Rechtliches

Technische und organisatorische Massnahmen zur Datensicherheit gemäß Art. 32 Abs. 1 DS-GVO

1 VERSCHLÜSSELUNG (ART. 32 ABS. 1 LIT. A DS-GVO)

  1. Für den elektronischen Transport der Daten setzt der Auftragsnehmer Verschlüsselungsverfahren ein.
    a. Verschlüsseltes WLAN
    b. HTTPS - Verschlüsselung der Cloud-Dienstleistungen, wie z.B. dem Ticket- und Projektmanagement-System Weclapp
    c. Verwendung einer gesicherten Verbindung (z.B. VPN) zwischen Mitarbeitern im Homeoffice oder Subunternehmen und kreativrudel bzw. zur Übertragung der Datenbackups
    d. PGP Verschlüsselung für Kundenzugangsdaten im Intranet des Auftragsnehmers
    e. Zugriff auf projektbezogene Quellcodes ist asymmetrisch verschlüsselt
    f. TLS-Verschlüsselung für Mailserver

II. VERTRAULICHKEIT (ART. 32 ABS. 1 LIT. B. DS-GVO)

2 Zugangskontrolle und Zutrittskontrolle

  1. Zutrittskontrolle:
    Die Betriebsareale am Standort Bonn sind gegen den unbefugten Zutritt Dritter abgesichert. Besucher müssen sich am Eingang identifizieren und werden nur in Begleitung zu ihren Ansprechpartnern geführt. Der Zutritt zum Büro wird durch ein elektronisches Schließ- und Schlüsselsystem abgesichert. Die Ausgabe der Schlüssel wird zentral verwaltet, überwacht und anhand der spezifischen Schlüssel-ID protokolliert. Die Autorisierung von berechtigtem Personal erfolgt über ein elektronisches Schlüssel-Schließsystem. Die Zutrittsbereiche sind durch eine Alarmanlage abgesichert. Es erfolgen Alarmmeldungen in mehreren sicherheitsrelevanten Abstufungen bei unberechtigten Zutritten zu den Räumlichkeiten. Innerhalb der Bereiche werden Bewegungsmelder eingesetzt. Es erfolgt eine sorgfältige Auswahl von Wach- und Reinigungspersonal.
  2. Zugangskontrolle:
    Die Datenverarbeitungssysteme werden insbesondere durch Anti-Viren-Software (bei Windows Betriebssystemen) und Firewall-Systeme (Software) geschützt. Die Verwaltung der Sicherheitssoftware wird regelmäßig sichergestellt und erfolgt nur durch autorisiertes Personal. Die Autorisierung des Personals wird durch zugeordnete Benutzerrechte bzw. Benutzerprofile sichergestellt. Über diese Profile kann eine Authentifizierung an den jeweiligen IT-Systemen durch Benutzername / Passwort erfolgen. Zugriffe auf Datenverarbeitungssysteme erfolgen über gesicherte Verbindungen (u.a. VPN-Technologie). Darüber hinaus erfolgt der Zugriff auf die Unternehmensserver ausschließlich über einen persönlichen User-Login mit mindestens Username und Passwort. Die Verbindung zu kritischen Daten wird darüber hinaus asymmetrisch verschlüsselt.
  3. Zugriffskontrolle
    Die Rechtevergabe und die Verwaltung obliegt den Systemadministratoren. Grundsätzlich wird die Anzahl der Administratoren nur auf das „Notwendigste“ reduziert. Um den Zugriff auf Daten nur autorisiertem Personal zu ermöglichen, wird der Zugriff über die Nutzerrechte reguliert. Mitarbeiter sind verpflichtet organisatorisch sowie technisch angemessene Passwörter zu wählen und regelmäßige Wechsel durchzuführen und diese nicht weiterzugeben. Der Zugriff auf Systeme und Anwendungen erfolgt passwortgeschützt und ist rechtegebunden. Der Auftragsnehmer verfolgt den Grundsatz, möglichst wenige Drucksachen zu erzeugen. Bei der
    Entsorgung werden Aktenvernichter eingesetzt. Sensible physische Unterlagen werden in einem abschließbaren Schrank aufbewahrt. Der Zugriff obliegt nur dem zugriffsberechtigten Personal.
  4. Trennungskontrolle
    Daten, die für unterschiedliche Mandanten erhoben wurden, werden separat verwaltet und getrennt verarbeitet. Um das sicherzustellen, wurde ein Berechtigungskonzept erstellt, auf dem auch die Datenbankrechte basieren. Das Berechtigungskonzept leitet sich aus dem jeweiligen aktuell laufenden Datenbankmanagementsystem ab. Eine softwareseitige logische Mandanten-Trennung erfolgt. Je nach Leistungsumfang werden Testumgebungen vom Produktivsystem unabhängig verwaltet. Darüber hinaus Nutzung einer externen Cloud-Dienstleistung für das Ticket- und Projektmanagement-System.

III. INTEGRITÄT (ART. 32 ABS. 1 LIT. B. DS-GVO)

  1. 1. Weitergabekontrolle:
    Alle Mitarbeiter der kreativrudel GmbH & Co. KG werden zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) verpflichtet und darin regelmäßig durch den Datenschutzbeauftragten geschult.
  2. 2. Eingabekontrolle:
    Durch die restriktive Vergabe von Rechten wird die Eingabe, Änderung oder Entfernung von personenbezogenen Daten eingeschränkt.

IV. VERFÜGBARKEIT UND BELASTBARKEIT (ART. 32 ABS. 1 LIT. B. DS-GVO) SOWIE RASCHE WIEDERHERSTELLBARKEIT (ART. 32 ABS. 1 LIT. C DS-GVO)

  1. Um zufällige Zerstörung oder Verlust im Rahmen der auftragsbezogenen Verarbeitung von Daten einzuschränken, wurde ein Backup- & Recoverykonzept erstellt und implementiert. Die Datensicherungen werden an einem sicheren, ausgelagerten Ort verwahrt. Um auch bei Störungen im Stromnetz den regelmäßigen und sicheren Betrieb der Systeme zu gewährleisten, wird eine unterbrechungsfreie Stromversorgung (USV) eingesetzt.

    Darüber hinaus wird eine Versionsverwaltung für Softwareprojekte genutzt. Es werden regelmäßige Backups der Codeverwaltung erstellt.

    Für die Verfügbarkeit werden unter anderem folgende Maßnahmen umgesetzt.

    1. Ausreichende Kapazität von IT-Systemen und Anlagen
    2. Nutzung externer Rechenzentren / Cloud-Dienstleistungen
    3. Nutzung eines Büroservices zur Sicherstellung der Erreichbarkeit und passgenauen Vermittlung von Anrufen
    4. Vertretungsregelungen für abwesende Mitarbeiter

V. VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG (ART. 32 ABS. 1 LIT. D DS-GVO)

  1. 1. Auftragskontrolle:
    Der Auftragsnehmer verarbeitet die eingereichten Daten gemäß dem geschlossenen Vertrag und achtet dabei die per Vertrag definierten Anforderungen im Rahmen der Weisungen des Auftraggebers. Dadurch kann die Weitergabe der Daten an unbefugte Dritte vertraglich unterbunden und der Weisungsrahmen festgelegt werden. Darüber hinaus wird eine Versionsverwaltung für Softwareprojekte genutzt. Es werden regelmäßige Backups der Codeverwaltung erstellt.
  2. 2. Datenschutz-Management
    Die Beschäftigten des Auftragsnehmers werden regelmäßig über die Anforderungen des Datenschutzes unterrichtet. Alle Mitarbeiter des Auftragsnehmers werden auf das Datengeheimnis bzw. zur Wahrung der Vertraulichkeit verpflichtet. Es wurde ein Datenschutzbeauftragter benannt, der in sämtlichen Fragestellungen zum Schutz personenbezogener Daten eingebunden wird. Der Datenschutzbeauftragte überwacht die
    Einhaltung der Vorgaben des Datenschutzes.