AVV Anlage 2

Katalog der technischen und organisatorischen Maßnahmen nach §
9 DSGVO / Art. 32 Abs. 1 lit. b DSGVO AVV Anlage 2

 

Katalog der technischen und organisatorischen Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, die nachfolgend aufgeführt und mit möglichen Einzelmaßnahmen konkretisiert sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.


Katalog der technischen und organisatorischen Maßnahmen nach § 9 DSGVO / Art. 32 Abs. 1 lit. b DSGVO

Der Betrieb der Internet-Dienstleistung “Contentpepper“ wird vom der Auftragnehmer ausschließlich auf der Infrastruktur des auf externes Server-Hosting spezialisierten Sub-Auftragsverarbeiters Amazon Web Services EMEA SARL (AWS) am Standort Frankfurt am Main betrieben und in den Räumlichkeiten des Auftragnehmers (Contentpepper®) selbst keine personenbezogenen Daten von Teilnehmern gespeichert oder verarbeitet werden, beziehen sich die nachstehenden Technisch organisatorischen Maßnahmen auf die vom Auftragnehmer in seinen Räumlichkeiten gesetzten Sicherheitsrichtlinien.

Informationen zu den TOM für den Sub-Auftragsverarbeiters Amazon Web Servicessind abrufbar unter:
https://aws.amazon.com/de/compliance/data-center/controls/

Der Auftragnehmer verschlüsselt sämtliche personenbezogenen Daten in der Internet-Dienstleistung mit Hilfe des AWS Key Management System sicher (256 bit), so dass ein unberechtigter Zugriff auf diese Daten ausgeschlossen ist.


Folgende Maßnahmen trifft der Auftragnehmer zusätzlich in den eigenen Räumlichkeiten

1. Zutrittskontrolle

Um zu verhindern, dass unbefugte Personen zu Servern oder Datenverarbeitungsanlagen räumlichen Zutritt erhalten, auf denen personenbezogene Daten verarbeitet werden, wurden folgende Vorkehrungen zur Zutrittskontrolle getroffen:

  • Übergabeprotokoll bei der Schlüsselvergabe an Mitarbeiter

  • Zutrittskontrolle zu den Büroräumlichkeiten (Schutz vor unberechtigtem Zutritt)

  • Türsicherung (Elektrische Türöffner, Zugang zum Bürogebäude nur mit Schlüssel möglich)

  • Doppeltes Sicherheitsschloss an der Bürotür

  • Sorgfältiges Auswahverfahrenl von Dienstleistern und Sub-Auftragsverarbeitern


2. Zugangskontrolle

Vorkehrungen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können:

  • Alle Systeme sind passwortgeschützt und zusätzlich mit einem Rechte- und Rollenkonzept versehen

  • Abgesicherte Zugänge der Entwicklungs- und Verwaltungsbereiche mit einem Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, Keine Root-User / SSH-Keys)

  • Organisatorische Maßnahmen bei Beendigung eines Dienstverhältnisses mit einem Mitarbeiter (sämtliche Zugänge werden gelöscht)

  • Einrichtung eines Benutzerstammsatzes pro Anwender (Rechte- und Rollenkonzept)

  • Die Übertragung von Daten erfolgt ausschließlich über eine SSL verschlüsselte Verbindung


3. Zugriffskontrolle

  • Es besteht ein bedarfsorientiertes Berechtigungskonzept der Zugriffsrechte sowie deren Überwachung und Protokollierung.

  • Externer Zugriff auf das interne Unternehmensnetzwerk wird über eine verschlüsselte VPN-Verbindung mit personalisierten Mitarbeiter Accounts gesichert


4. Weitergabekontrolle

Maßnahmen die verhindern, dass personenbezogene Daten bei der elektronischen/digitalen Übertragung oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass dokumentiert (Logging) wird, an welchen Stellen eine Übermittlung von Daten im Datenverarbeitungssystem vorgesehen ist.

  • Der Verarbeitung und Speicherung von personenbezogenen Daten erfolgt ausschließlich auf den Systemen des Auftragnehmers sowie ggf. deren Sub-Auftragsverarbeiters. Innerhalb der einzelnen Systeme werden die Daten entweder lokal oder über eine per SSL verschlüsselte Datenverbindung übertragen.

  • Personenbezogene Daten werden im Zuge der Weitergabe und Verarbeitung zu keinem Zeitpunkt verändert und bleiben unversehrt und vollständig. Der Auftragnehmer unternimmt die notwendigen Maßnahmen um zu verhindern, dass Daten verfälscht, manipuliert oder nicht korrekte Daten verarbeitet werden. Gleichzeitig ist gewährleistet, dass Änderungen an Daten dokumentiert wird (Logging)


5. Eingabekontrolle

Eine Dokumentation zur nachträglichen Kontrolle / Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. Der Ursprung personenbezogener Daten kann jederzeit nachvollzogen werden und nur vom Teilnehmer/User, dem Auftraggeber (und dessen Anwendern) sowie durch den vom Anwender-Support von Contentpepper erstellt und/oder bearbeitet werden. Zu jeder durchgeführten Veränderung wird der betreffende Nutzer sowie der zugehörige Zeitstempel dokumentiert (Protokollierung über Logfiles).


6. Auftragskontrolle

Vertragliche Maßnahmen zur Abgrenzung der Zuständigkeiten zwischen Auftraggeber und Auftragnehmer. Der Auftragnehmer stellt durch die nachstehenden Maßnahmen sicher, dass die im Auftrag zu verarbeitenden Daten nur entsprechend der Auftragsbestätigung verarbeitet werden:

  • Eindeutige Vertragsgestaltung

  • Formalisierte Auftragserteilung (Auftragsbestätigung)

  • Kriterien zur Auswahl der Unterauftragnehmers

  • Vertraulichkeits- und Datenschutzvereinbarung mit Dienstleistern


7. Verfügbarkeitskontrolle

Maßnahmen die von Subauftragnehmer (AWS) getroffen worden sind, um personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen (Backups/RAID-System), sind hier abrufbar: https://aws.amazon.com/de/security/


8. Trennungskontrolle

Folgende Maßnahmen wurden getroffen bezüglich der getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit verschiedenen Zwecken:

  • Die Systeme des Auftragnehmers werden von mehreren Mandanten simultan genutzt (Multi-Mandantenfähigkeit) und gewährleisten eine logische Trennung der Daten. Zudem besteht eine physikalische Trennung der Systeme nach Funktion in Entwicklungssystem, Testsystem und Produktivsystem.

  • Daten der Zahlungsabwicklung werden vom Auftragnehmer nicht verarbeitet oder gespeichert. Die Verarbeitung erfolgt ausschließlich über das durch den Käufer ausgewählte Zahlungsmittel. Contentpepper speichert lediglich Zeitpunkt sowie den Status der Transaktion.

Daten für die geschäftliche Korrespondenz werden zwischen Auftragnehmer und Auftraggeber mittels eines ERP-Systems auf Servern des Hosting-Anbieters Hetzner gespeichert und verarbeitet. Es werden nur Daten verarbeitet die für die geschäftliche Korrespondenz notwendig sind.


Compliance Hetzner

HETZNER ONLINE IST NACH DIN ISO/IEC 27001 ZERTIFIZIERT

Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH und der Hetzner Finland Oy, dass ein geeignetes Informationssicherheits-Managementsystem, kurz ISMS, implementiert wurde und gelebt wird. Das ISMS findet an den Standorten Nürnberg und Falkenstein sowie Helsinki unter dem Scope “Der Anwendungsbereich des Informationssicherheits-Managementsystems umfasst die Infrastruktur, den Betrieb und den Kundensupport der Rechenzentren.” seine Anwendung. Das entsprechende Zertifizierungs-Verfahren wurde durch die FOX Certification GmbH durchgeführt.

Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.


Compliance AWS

AWS bietet eine Vielzahl an Zertifizierungen. Eine Übersicht über den aktuellen Stand der Zertifizierungen von AWS kann dem folgenden Link entnommen werden: