Technische und organisatorische Maßnahmen nach § 28 DSGVO
Die folgenden technisch und organisatorischen Maßnahmen werden von der INTERNET AG Global Network standardmäßig umgesetzt und sind als Mindeststandards zu verstehen. Oftmals werden diese Mindeststandards übertroffen und es können jederzeit individulle technisch organisatorische Maßnahmen vereinbart werden, um jedweder Anforderung gerecht werden zu können.
A) Gewährleistung der Vertraulichkeit
1.1 Zutrittskontrolle
Besucher erhalten erst nach Türöffnung durch einen Mitarbeiter oder des Sicherheitspersonals Zutritt zum Eingangsbereich
Die Rechenzentrumsräume werden überwacht.
Besucher haben nur Zutritt durch vorherige Anmeldung und nach Eintragung auf einem Zutrittsbeleg. Schliesskarten werden durch einen Mitarbeiter bzw. durch das Sicherheitspersonal nach einem definierten Prozess ausgehändigt Türen im Gebäude sind durch entsprechende Sicherheitstechnik vor unbefugten Personen geschützt. Eine interne Überwachungseinrichtung erfasst den Ein-, Ausgangsbereich, Sicherheitsbereiche sowie Serverräume
Eine interne Alarmanlage kann von jedem Mitarbeiter auf Funktion eingesehen werden. Ausschalten ist nur durch einen autorisierten Mitarbeiter gegeben. Durch einen Videomonitor kann von den Mitarbeitern der Ein-, Ausgansbereich, Sicherheitsschleusen sowie Serverräume eingesehen werden. Jeder Besucher muss sich in ein Besuchsprotokoll eintragen
Jeder Besucher erhält zur Kennzeichnung einen Besucherausweis, der ersichtlich getragen werden muss. Es dürfen sich keine Besucher ohne Begleitung in den Büroräumen bewegen/aufhalten
1.2 Zugangskontrolle
Bei Dienstleistungen, welche nicht explizit unter dem Management der INTERNET AG Global Network liegen (wie z.B. Server, Housing, etc.) , obliegt die Verantwortung beim Auftraggeber:
Server Passwörter werden zur einmaligen Nutzung erteilt und müssen sofort vom Auftraggeber geändert werden. Das neu gesetzte Passwort ist der INTERNET AG Global Network nicht bekannt.
Bei Dienstleistungen, welche explizit unter dem Management der INTERNET AG Global Network liegen ( wie z.B. Managed Server, Webhosting) obliegt die Verantwortung bei der INTERNET AG Global Network:
- Die Zugänge sind Passwortgeschützt
- Der Zugriff besteht nur für berechtigte Mitarbeiter
- Die Remote-Zugriffe erfolgen nur über verschlüsselte Verbindungen
- Systeme werden grundsätzlich durch eine regelmäßig gewartete Firewall geschützt
- Verwendete Passwörter müssen eine Mindestlänge haben und werden in regelmäßigen Abständen erneuert
- Alle Mitarbeiter sind angewiesen, ihre Endgeräte bei nicht Nutzung zu sperren.
1.3 Zugriffsskontrolle
Bei Dienstleistungen, welche nicht explizit unter dem Management der INTERNET AG Global Network liegen (wie z.B. Server, Housing, etc.) , obliegt die Zugriffskontrolle bei dem Auftraggeber.
Bei Dienstleistungen, welche explizit unter dem Management der INTERNET AG Global Network liegen ( wie z.B. Managed Server, Webhosting obliegt die Zugriffskontrolle bei der INTERNET AG Global Network
- Durch regelmäßige Sicherheitsupdates stellt die INTERNET AG Global Network sicher, das unberechtigter Zugriff verhindert wird.
- Berechtigungen erhalten nur Mitarbeiter die diese IT-Systeme warten und pflegen.
- Für übertragene Daten/Software ist einzig der Auftraggeber in Bezug auf Sicherheit und Updates zuständig.
- Interne IT-Systeme werden durch regelmäßige Sicherheitsupdates vor unberechtigte Zugriffe geschützt.
- Alle Mitarbeiter müssen nicht mehr benötigte, ausgedruckte Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsgeräte einwerfen.
- Den Mitarbeitern ist es untersagt, nicht genehmigte Software auf den Endgeräten zu installieren.
- Festplatten werden nach Kündigung nach einem definierten Prozess mehrfach überschrieben. Defekte Festplatten werden zerstört.
B) Gewährleistung der Vertraulichkeit
Die Gewährleistung der Vertraulichkeit wird unter Punkte 1.1 bis 1.3. geregelt.
C) Gewährleistung der Integrität
3.1 Weitergabekontrolle
- Alle Mitarbeiter sind unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen, sowie eine nach Auftragsbeendigung Datenschutzgerechte Löschung.
- Soweit möglich werden Daten (je nach Stand der Technik) verschlüsselt übertragen.
3.2 Eingabekontrolle
Bei Dienstleistungen, welche nicht explizit unter dem Management der INTERNET AG Global Network liegen (wie z.B. Server, Housing, etc.) obliegt die Verantwortung beim Auftraggeber
Bei Dienstleistungen, welche explizit unter dem Management der INTERNET AG Global Network liegen ( wie z.B. Managed Server, Webhosting) obliegt die Verantwortung bei der INTERNET AG Global Network
- Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst
- Änderungen an Daten durch die INTERNET AG Global Network werden protokolliert.
3.3 Auftragskontrolle
- Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union.
- Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils ein Auftragsverarbeitungsvertrag durch den Datenschutzbeauftragen abgeschlossen.
- Mitarbeiter der INTERNET AG Global Network werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen.
- Die INTERNET AG Global Network hat einen Datenschutzbeauftragten sowie einen Sabotageschutzbeauftragten.
3.4 Trennungskontrolle
Zu gewährleisten ist, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden:
- Interne Mandantenfähigkeit/Zweckbindung
- Funktionstrennung
D) Gewährleistung der Verfügbarkeit
4.1 Verfügbarkeitskontrolle
- Für alle internen Systeme ist eine Prozesskette definiert, die genau beschreibt wer im Fehlerfall zu informieren ist, um die Systeme schnellstmöglich wiederherzustellen. Alle relevanten Server unterliegen einem Monitoring sowie einem dauerhaft aktiven DDoS-Schutz, das im Falle von Störungen unverzüglich Meldungen an einen beauftragten Mitarbeiter auslöst. Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung.
- Die INTERNET AG Global Network verwaltet Backups auf unterschiedlichen Systemen die getrennt voneinander an unterschiedlichen Brandschutzabschnitten zu finden sind. Die Backups werden durch ein Monitoringsystem überwacht.
E) Pseudonymisierung
- Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
- Darüber hinaus wird für die Datenverarbeitung auf Serverystemen der Einsatz von verschlüsselten Datenträgern angeboten.
- Die Hardware im Serverraum wird durch anonyme ID-Nummern anstelle von Klarnamen beschriftet.
F) Gewährleistung der Belastbarkeit der Systeme
- Daten auf Serversystemen von INTERNET AG Global Network werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Backupsysteme werden in einem zusätzlich zutrittsgeschützten Bereich untergebracht.
- Das Einspielen von Backups wird regelmäßig getestet.
- Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage.
- Alle Serversysteme unterliegen einem Monitoring, das im Falle von wesentlichen Störungen unverzüglich Meldungen an einen Administrator auslöst.
- Es gibt bei INTERNET AG Global Network einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.
G) Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
- Die INTERNET AG Global Network verwaltet Backups auf unterschiedlichen Systemen die getrennt von einander an unterschiedlichen Brandschutzabschnitten zu finden sind. Die Backupsysteme werden durch ein Monitoringsystem überwacht.
H) Verfahren regelmäßiger Überprüfung, Bewertungund Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
- Es ist ein Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
- Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
- Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort
- untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
- Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.