Appendix - Technical and
Organizational Measures
1. Authority of the Customer to issue instructions
Physical Access Control
There is a separate server room with explicit security systems in place. Physical access is gained via several closed doors with a discrete key system; access is granted only to internally accredited IT employees. Unauthorized access to data processing equipment is strictly prohibited.
Access to the space is documented by means of written records of key transfer. As a result, the responsibility is clearly traceable.
The space includes video surveillance (including storage), which does not cover just the door, but includes the whole room. In addition, a selected group of people are notified of any access automatically via mail. To the extent that no measures have been agreed on the premises, control takes place immediately either personally or via video.
The cloud provider used is certified to ISO 27001 and Level 3.
Electronic Access Control
The Company has set up a monitoring system that immediately reports attempts at unauthorized use.
In addition, all servers and personnel have passwords in accordance with the Company’s password policy.
Passwords are stored in encrypted form on separate machines on the network. These machines are only accessible over separate V-LANs.
The Company is constantly working to further improve the level of protection, based on the latest technologies. Additional measures are planned in the coming months to further increase the level of protection.
Internal Access Control (permissions for user rights of access to and amendment of data)
Employee onboarding and offboarding is recorded in writing on standardized printed forms. As part of this, training in data protection is given. Access rights are granted to each employee in accordance with their post, qualifications and responsibilities.
Apart from the keys and access cards, this also includes stepped authorization levels for accessing parts or all of the IT system.
Physical or data access in exceptional circumstances beyond the explicitly granted authorization can only be granted technically through the clearance of the responsible administrators and is recorded exactly.
All access and changes are recorded and documented.
Isolation Control
In the internal network, several VLANs are used to demarcate different areas of the network. Special attention has been given to critical network areas.
The Company uses a market leading CRM program for all communications with customers. This displays and documents the entire contact with the customer including address management, projects, offers, orders, etc. This system is hosted in the service provider’s own certified data centers and access to it occurs over web services following successful authentication and using encryption via TLS. Personal user accounts are provided using a distinct authorization system.
The other customer-/ partner-related systems are at the present time either still configured in a general way or have an area that is only visible to the respective customer. Only common information such as terms and conditions or price lists are published in the general areas. The customer-specific areas can only be viewed by the corresponding customer, for example, during the course of service enquiries. Here, the customer also has the option to allocate specific access rights across their employees. Insofar that the Company uses service providers to fulfill its obligations, the system administrators will only grant them access explicitly to those areas of system / customer information that are required for them to fulfill their tasks (for example, international service partners will only be granted access to service requests from customers that have been explicitly allocated to them).
Pseudonymization (Article 32 Paragraph 1 Point a GDPR; Article 25 Paragraph 1 GDPR)
In general, personal data is of limited relevance to the Company’s business model. Customer-specific data is of greater relevance.
Both personal and customer data are always processed anonymously and cannot be reconstructed retrospectively. Disclosure of data in a non-anonymized form is strictly prohibited and will not take place under any circumstances or only after written approval of the respective customer.
2. Integrity (Article 32 Paragraph 1 Point b GDPR)
Data Transfer Control
See Paragraph 1.
All communication takes place in an encrypted form.
Access to the internal network is only possible externally using a VPN tunnel and is documented without exception.
All external services are encrypted using SSL and patch management is undertaken on the Company’s own web servers.
All patches for commercial solutions are installed in a timely manner, in any case within 2 weeks of the availability of an update or hotfix.
Data Entry Control
In general, personal data is of limited relevance to the Company’s business model. Customer-specific data is of greater relevance.
Only those employees that are directly concerned with personal / customer-specific data have the option to access it; they will be specifically recruited and undergo training in this respect (see above, Internal data-access control)
An explicit access control concept exists with corresponding controls and documentation, as described in 1.
Old versions of the data are backed up and may be retrieved for a definable period of time.
3. Availability and Resilience (Article 32 Paragraph 1 Point b GDPR)
Availability Control
All internal servers are protected using UPSs and can be properly shutdown at any time.
All servers and workstations are under the permanent surveillance of an anti-virus program and a central firewall.
A daily backup is taken retrospectively each day for all productive systems. These are stored in rotation and retained in a separate fire zone.
Some backup material may be removed and retained elsewhere in encrypted form on external media.
The Company’s cloud provider is certified to ISO 27001 and Level 3.
The Company checks the security relevant settings on an on-going basis and adapts these to the available technical options.
Rapid Recovery (Article 32 Paragraph 1 Point c GDPR);
The Company’s technology allows the complete collection of the generated data even in the case of a failure of a customer system. These can be provided retroactively and allow the customer the option of unbroken documentation.
Backups are audited regularly and replayed into a test system.
4. Procedures for regular testing, assessment and evaluation (Article 32 Paragraph 1 Point d GDPR; Article 25 Paragraph 1 GDPR)
Data Protection Management;
Aside from the measures already mentioned (in particular in the point “Swift recovery”) data backups will be selectively replayed once per month.
Incident Response Management;
The Company has defined processes and responsibilities in case of faults. These will be assessed at regular intervals and adapted as necessary.
In addition, preventive maintenance measures and tests are undertaken regularly in order to impede technical faults, for example maintenance of the air conditioning, USPs, backups and examination of log files.
Data Protection by Design and Default (Article 25 Paragraph 2 GDPR);
See here Paragraph 1. The Company’s business model demands high security standards and the demarcation of customer information. Appropriate technical precautions have been taken.
Order or Contract Control
The Company will only operate on the basis of a written order or within the terms of an existing service contract. For this, clear contractual arrangements are in place that have been created on the basis of legal advice and reviewed by customers.
Whenever the Company commissions service providers and subcontractors, this is done on the basis of correspondingly exact legal terms; they will be explicitly selected and trained. Connections to the IT or parts of the IT take place only to the extent that is absolutely necessary, and then after accreditation by the internal IT department. In addition, verification mechanisms are in place to ensure compliance with the agreed standards.
The Company’s cloud provider is certified to ISO 27001 and Level 3.
Anhang – Technische und Organisatorische Maßnahmen
1. Vertraulichkeit (Artikel 32 Abs. 1 lit. b) DS-GVO)
Zugangskontrolle
Es gibt einen separaten Serverraum mit expliziten Sicherungssystemen. Der Zugang erfolgt über drei geschlossene Türen mit separatem Schlüsselsystem; ausschließlich intern zertifizierten IT-Mitarbeitern ist der Zugang gestattet. Unbefugten ist der Zugang zu Datenverarbeitungseinrichtungen strengstens untersagt.
Eine schriftliche Schlüsselübergabe dokumentiert den Zugang zu den Räumlichkeiten. Dadurch ist eine Verantwortlichkeit exakt nachvollziehbar.
Die Räumlichkeiten haben eine Videoüberwachung (inkl. Speicherung), die nicht nur Türen, sondern den gesamten Raum erfasst. Weiterhin wird ein ausgewählter Personenkreis über jeden Zugang per automatischer Mail benachrichtigt. Soweit keine Maßnahme in den Räumlichkeiten abgesprochen waren, erfolgt eine sofortige Kontrolle persönlich oder via Video.
Der genutzte Cloud-Anbieter ist ISO 27001 und Tier3 zertifiziert.
Zugriffskontrolle
Das Unternehmen hat ein Überwachungssystem aufgebaut, das Versuche einer unbefugten Nutzung unmittelbar meldet.
Zudem haben alle Server zufällig generierte Passwörter die mindestens folgenden Merkmale aufweisen: mindestens 16 Zeichen lang, Zahlen, kleine und große Buchstaben, Sonderzeichen, alphanumerische Zeichen.
Kennwörter werden mit einem pgp (pretty good privacy) Verfahren verschlüsselt und auf separaten Maschinen im Netzwerk abgelegt. Diese Maschinen sind nur über separate V-LANS erreichbar (aktuell werden diese Zugänge über Yubi-KEYs geschützt).
Das Unternehmen arbeitet laufend an einer weiteren Verbesserung der Schutzstandards auf Basis neuester Technologien. Hier werden auch in den kommenden Monaten zusätzliche Maßnahmen erfolgen, die den Schutz weiter erhöhen.
Interne Zugangskontrolle (Berechtigungen für Zugangsrechte von Benutzern zu und Änderung von Daten)
On- und Offboarding eines jeden Mitarbeiters wird schriftlich über ausgedruckte Protokolle festgehalten. Hier erfolgt auch eine datenschutzrechtliche Schulung. Zugriffsrechte werden jedem Mitarbeiter nur entsprechend seiner Position, Qualifikation und Verantwortung eingeräumt.
Hierzu gehören neben den Schlüssel und Zugangskarten auch die stufige Berechtigung zum Zugriff auf Teile oder die Gesamtheit des IT-Systems.
Ein ausnahmsweiser Zugang / Zugriff über die explizite Zugangsberechtigung hinaus kann technisch nur durch Freigabe der dafür verantwortlichen Administratoren erfolgen und wird exakt dokumentiert.
Die Zugriffe und Änderungen werden erfasst und dokumentiert.
Isolationskontrolle
Im internen Netzwerk grenzen mehrere VLANs die verschiedenen Netzbereiche ab. Kritische Netzbereiche erfahren dabei eine besondere Beachtung.
Das Unternehmen nutzt ein marktführendes CRM-Programm für die gesamte Kommunikation mit den Kunden. Hier wird der gesamte Kundenkontakt separiert abgebildet und dokumentiert, inklusive Adressverwaltung, Projekten, Angeboten, Aufträgen etc. Das Hosting erfolgt in den dem Dienstleister eigenen und zertifizierten Rechenzentren und der Zugriff erfolgt über Webservices nach erfolgreicher Authentifizierung und Verschlüsselung via TLS. Es sind personenbezogene Nutzerkonten mit eigenem Berechtigungssystem.
Die weiteren kunden- / partnerbezogenen Systeme sind entweder derzeit noch generalistisch aufgebaut oder haben einen Bereich, der nur für den jeweiligen Kunden einsehbar ist. Bei den generalistischen Bereichen erfolgt lediglich eine Veröffentlichung von allgemeinen Informationen wie AGBs oder Preislisten. Bei den kundenspezifischen Bereichen, bspw. im Zuge der Serviceanfragen, ist der jeweilige Bereich nur von dem jeweiligen Kunden einsehbar. Auch der Kunde hat die Möglichkeit hier bestimmte Berechtigungen innerhalb seiner Mitarbeiter zu verteilen. Insoweit das Unternehmen zur Erfüllung seiner Pflichten Dienstleister nutzt, erhalten diese über die Systemadministratoren lediglich Zugriff auf die zur Erfüllung ihrer Aufgabe explizit notwendigen Bereiche des Systems / Kundeninformationen (bspw. erhalten internationale Servicepartner lediglich den Zugriff auf Serviceanfragen von explizit zugewiesenen Kunden).
Pseudonymisierung (Artikel 32 Abs. 1 lit. a) DS-GVO; Artikel 25 Abs. 1 DS-GVO)
Grundsätzlich ist die Relevanz von personenbezogenen Daten beim Geschäftsmodell des Unternehmens nur eingeschränkt. Von höherer Relevanz sind kundenspezifische Daten.
Die Verarbeitung personenbezogener bzw. kundenspezifischer Daten erfolgt ausschließlich anonymisiert und nicht rückwirkend nachvollziehbar. Eine nicht-anonymisierte Weitergabe von Daten ist strengstens verboten und erfolgt unter keinen Umständen bzw. nur nach schriftlicher Freigabe des Kunden.
2. Integrität (Artikel 32 Abs. 1 lit. b) DS-GVO)
Datenübertragungssteuerung
Siehe Ziffer 1.
Sämtliche Kommunikation erfolgt über eine verschlüsselte Übertragung.
Die Zugriffe auf das interne Netzwerk sind von außen nur über einen VPN-Tunnel möglich und werden ausnahmslos dokumentiert.
Alle externen Dienstleitungen sind über SSL verschlüsselt und auf den firmeneigenen Webservern findet ein aktuelles Patch-Management statt.
Alle aktuellen Patche von kommerziellen Lösungen finden zeitnah statt, spätestens aber im Abstand von 2 Wochen nach Erscheinen des Updates / Hotfixes.
Dateneingabekontrolle
Grundsätzlich ist die Relevanz von personenbezogenen Daten beim Geschäftsmodell des Unternehmens nur eingeschränkt. Von höherer Relevanz sind kundenspezifische Daten.
Nur explizit damit befasste, vor diesem Hintergrund eingestellte und entsprechend geschulte (siehe oben unter Interne Zugangskontrolle) Mitarbeiter haben die Möglichkeit auf personen- / kundenbezogene Daten zuzugreifen.
Wie unter 1. erwähnt, existiert ein explizites Berechtigungskonzept mit entsprechender Kontrolle und Dokumentation.
Alte Versionen der Daten sind über einen festlegbaren Zeitraum wiederherstellbar gesichert.
3. Verfügbarkeit und Belastbarkeit (Artikel 32 Abs. 1 lit. b) DS-GVO)
Verfügbarkeitsprüfung
Alle internen Server sind mittels USV geschützt und können immer sachgerecht heruntergefahren werden.
Alle Server und Workstations sind unter permanenter Kontrolle eines Virenschutzprogramms und einer zentralen Firewall.
Es erfolgt eine tägliche Datensicherung rückwirkend für alle produktiven Systeme. Diese werden in Rotation aufgehoben und in einem separaten Brandabschnitt vorgehalten.
Datensicherungen werden teilweise ausgelagert und auf externen Medien verschlüsselt vorgehalten.
Der Cloud Anbieter des Unternehmens ist ISO 27001 und Tier3 zertifiziert.
Das Unternehmen prüft die sicherheitsrelevanten Einstellungen laufend und passt diese den verfügbaren technischen Möglichkeiten an.
Rasche Wiederherstellung (Artikel 32 Abs. 1 lit. C) DS-GVO);
Die Technologie des Unternehmens ermöglicht auch bei Abfall eines Kundensystems die lückenlose Erfassung der generierten Daten. Diese können entsprechend rückwirkend zur Verfügung gestellt werden und geben den Kunden die Möglichkeit einer lückenlosen Dokumentation.
Backups werden regelmäßig einer Prüfung unterzogen und in einem Testsystem zurückgespielt.
4. Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Abs. 1 lit. d) DS-GVO; Artikel 25 Abs. 1 DS-GVO)
Datenschutzmanagement;
Abgesehen von den bereits erwähnten Maßnahmen (insbesondere unter dem Punkt „Rasche Wiederherstellung“) werden Datensicherungen einmal im Monat wahlweise zurückgespielt.
Störungsmanagement;
Das Unternehmen verfügt über definierte Prozesse und Verantwortlichkeiten für den Störungsfall. In regelmäßigen Abständen werden diese überprüft und soweit nötig angepasst.
Darüber hinaus finden regelmäßig präventive Wartungen / Tests statt, um technischen Störungen Vorschub zu leisten, bspw. Wartung der Klimaanlage, USVs, Backups und Sichtung von Logfiles.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 Abs. 2 DS-GVO);
Siehe hierzu Ziffer 1. Das Geschäftsmodell des Unternehmens erfordert hohe Sicherheitsstandards und eine Trennung der Informationen der Kunden. Entsprechende technische Vorkehrungen sind getroffen.
Auftrags- oder Vertragskontrolle
Das Unternehmen wird nur auf Basis einer schriftlichen Beauftragung tätig bzw. im Rahmen der bestehenden Serviceverträge. Hierzu bestehen klare, unter anwaltlicher Beratung erstellte und von Kunden geprüfte vertragliche Regelungen.
Wenn das Unternehmen Dienstleister und Subunternehmer beauftragt, erfolgt dies auf Basis entsprechender genauer vertraglicher Regelungen und diese werden explizit ausgewählt und geschult. Eine Anbindung an die IT oder Teile der IT erfolgt nur soweit und in dem Umfang wie zwingend notwendig und dann nach Zertifizierung durch die interne IT-Abteilung. Zudem bestehen Überprüfungsmechanismen, ob die ausgemachten Standards eingehalten werden.
Der Cloud Anbieter des Unternehmens ist ISO 27001 und Tier3 zertifiziert.