Technische und organisatorische Maßnahmen
Das vorliegende Dokument informiert über die technischen und organisatorischen Maßnahmen für unsere im World Wide Web zur Verfügung gestellten digitalen Dienste, Internetauftritte, sowie für unsere unternehmensinternen Verarbeitungsprozesse. Beachten Sie bitte außerdem, dass die beauftragten Dienstleister, Auftragsverarbeiter und Unterauftragsverarbeiter für deren Dienstangebote und Rechenzentren zusätzliche eigene technische und organisatorische Maßnahmen einsetzen und deren Prozesse regelmäßig hinsichtlich der IT-Sicherheit und Einhaltung der datenschutzrechtlichen Bestimmungen auditiert und von unabhängigen Dienstleistern zertifiziert, bzw. rezertifiziert werden.
Weitere Informationen für die für Sie relevanten Dienstleister, die zur gewünschten Leistungserbringung notwendig sind, finden Sie unter folgenden Links:
Microsoft Azure:
Auftragsverarbeiter: Microsoft Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland
Eingetragener Sitz: 70 Sir Rogerson’s Quay, Dublin 2, Irland (Registernummer 256796)
Mutterkonzern: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
https://learn.microsoft.com/de-de/compliance/
https://learn.microsoft.com/de-de/compliance/assurance/assurance-datacenter-security
https://servicetrust.microsoft.com/ (Dokumentenhub von Microsoft mit Downloadmöglichkeiten von Berichten und Zertifikaten)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbefugte Offenlegung von bzw. unbefugten Zugang zu den verarbeiteten Daten ist zu reduzieren.
a) Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.
Auflistung der umgesetzten Maßnahmen um das Schutzziel zu erreichen:
• Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
• Sicherheitsschließanlage mit verbundenem Alarm- und Zutrittskontrollsystem
• Spezielle Schutzvorkehrungen von Serverräumen
• Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern
• Nicht-reversible Vernichtung von Datenträgern
• Sperrbereiche, Festlegung von Sicherheitsbereichen
• Ausstattung der Maßnahmen zur Objektsicherung (z. B. Absicherung von Schächten, Sicherheitstüren / -fenster)
• Vorgelagerte Rezeption im Eingangsbereich
• Besucherregelung (Bspw. Abholung am Empfang, Begleitung nach dem Besuch bis zum Ausgang)
b) Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).
Auflistung der umgesetzten Maßnahmen um das Schutzziel zu erreichen:
• Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk und Anwendungen
• Autorisierungsprozess für Zugangsberechtigungen mit regelmäßiger Revision
• Begrenzung der befugten Benutzer
• Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
• Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
• Protokollierung des Zugangs
• Zusätzlicher System-Log-In für bestimmte Anwendungen, sowie deren Administration
• Automatischer Logout aus diversen Anwendungen bei längerer Inaktivität der Nutzer
• Firewall
• Anti-Viren-Software
• Intrusion Detection Systeme
• Einsatz VPN bei Remote-Zugriffen
c) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
Auflistung der umgesetzten Maßnahmen um das Schutzziel zu erreichen:
• Verwaltung und Dokumentation von differenzierten Berechtigungen durch geschultes Personal
• Abschluss von Verträgen zur Auftragsdatenverarbeitung, sofern bei der Erbringung der Dienstleistung die Verarbeitung von personenbezogener Daten, also der Umgang mit personenbezogenen Daten, Gegenstand der Dienstleistung ist, oder nicht ausgeschlossen werden kann, dass der Dienstleister in Berührung mit personenbezogener Daten kommen kann und es sich um eine Auftragsverarbeitung im Sinne der DSGVO handelt. In diesen Verträgen werden insb. auch die Zuständigkeiten der Vertragspartner festgelegt.
• Auswertungen/Protokollierungen von Datenverarbeitungen
• Autorisierungsprozess für Berechtigungen
• Bedarfsgerechte Rechtevergabe der verschiedenen Rollen, Personal mit administrativen Aufgaben verwenden das Nutzerkonto mit entsprechenden administrativen Privilegien nur für derartige Aufgaben und wechseln anschließend auf ein Nutzerkonto mit eingeschränkten Zugriffsrechten.
• Verschlüsselung von bspw. Speichermedien, Backups, elektronische Mails mit sensiblen Inhalten (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)
• Funktionstrennung, Teilzugriffsmöglichkeit auf Datenbestände und Funktionen
• Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399 (bspw. Aktenvernichter Stufe 3 cross cut)
• Nicht-reversible Löschung von Datenträgern
• Vorhandensein von Verschlussmöglichkeiten der Datenverarbeitungssysteme
d) Trennungskontrolle
Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.
• Speicherung der Datensätze in physikalisch oder logisch getrennten Datenbanken
• Verarbeitung auf getrennten Systemen
• Zugriffsberechtigungen nach funktioneller Zuständigkeit
• Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
• Mandantenfähigkeit von IT-Systemen
• Verwendung von Testdaten
• Trennung von Entwicklungs-, Test- und Produktionsumgebung
• Umsetzung von Regelungen zur Programmierung
e) Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Das Institut für Vorsorge und Finanzplanung GmbH und die Software für Vorsorge und Finanzplanung GmbH & Co. KG stellt Softwareanwendungen im World Wide Web zur Verfügung und weist das eigene Personal an, dass personenbezogene Daten je nach Verwendungszweck und nach dem Zeitraum der Dauer der Verarbeitung zu anonymisieren oder pseudonymisieren und nach Ablauf gesetzlicher Löschfristen zu datenschutzgerecht zu löschen sind. Die zur Verfügung gestellten Softwareanwendungen bieten den jeweiligen Nutzern/Kunden vollständige Kontrolle über die Datensätze und können diese selbstständig eingeben, speichern, verändern und löschen. Archivierte Datensätze werden getrennt von der Liveumgebung verschlüsselt aufbewahrt und wenn oben genannte Unternehmen zu eigenen Zwecken personenbezogene Daten, bspw. zur Verbesserung der Anwendung oder zur Gewährleistung der Datensicherheit, verarbeiten, werden diese im Vorfeld entweder anonymisiert oder pseudonymisiert. Die Vorgänge zur Anonymisierung und Pseudonymisierung erfolgen automatisiert und maschinell seitens zusätzlicher Software.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
a) Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
Auflistung der umgesetzten Maßnahmen um das Schutzziel zu erreichen:
• Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
• Verschlüsselung von Speichermedien mobiler Arbeitsgeräte, ext. Festplatten und Datenträger bei sensiblen Inhalten
• Gesicherter File Transfer (z.B. sftp)
• Gesicherter Datentransport (z.B. SSL, ftp, ftps, TLS)
• Verpackungs- und Versandvorschriften
• Gesichertes WLAN, Trennung von Gastzugängen
• Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber, Einmal-Passwort)
• Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)
• Protokollierung von Datenübertragung oder Datentransport
• Durchführung von Plausibilitätsprüfungen
• Protokollierung bei Veränderungen oder Löschungen von Daten
• Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk)
• Regelung für das datenschutzgerechte Löschen von Datenträgern, wenn diese ersetzt oder entsorgt werden
b) Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat. Die Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
• Systemseitige Protokollierungen
• Anwendungsprotokollierungen in bestimmten Fällen, insb. Cloudanwendungen
• Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
• Mehraugenprinzip
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.
• Sicherheitskonzept für Software- und IT-Anwendungen
• Back-Up Verfahren
• Aufbewahrungsprozess für Back-Ups an sicheren Orten
• Gewährleistung der Datenspeicherung im gesicherten Netzwerk
• Bedarfsgerechtes Einspielen von Sicherheits-Updates
• Spiegeln von Festplatten
• Einrichtung einer unterbrechungsfreien Stromversorgung (USV) für betriebsinterne Server und kritische Datenverarbeitungsanlagen
• Geeignete Archivierungsräumlichkeiten für Papierdokumente
• Feuer- und Rauchmeldeanlagen
• Klimatisierter Serverraum
• Regelmäßige Tests zur Datenwiederherstellung
• Keine sanitären Anschlüsse im oder oberhalb des Serverraums
• Notfallplan
• Erfolgreiche Notfallübungen
• Redundante, örtlich getrennte Datenaufbewahrung (erfolgt durch Dienstleister)
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
a) Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z. B. Wiki, Intranet usw.)
• Eine Überprüfung der Wirksamkeit der TOM wird jährlich durchgeführt.
• Datenschutzbeauftragter für das Institut für Vorsorge und Finanzplanung GmbH und die Software für Vorsorge und Finanzplanung GmbH & Co. KG
• Verpflichtung der Mitarbeiter zur Einhaltung der Arbeitsanweisungen, ordnungsgemäßgen Datenverarbeitung personenbezogener Daten und deren Geheimhaltung
• Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten.
• Newsletter zum Thema Datenschutz nach Bedarf und Dringlichkeit
• Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
• Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener
b) Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
• Dokumentierter Prozess zur Erkennung und Umgang von Sicherheitsvorfällen
• Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
• Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
c) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) (Privacy by design)
Die Default Einstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. von Eingabemöglichkeiten (z. B. von Freitexten) festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden (z. B. hinsichtlich des Umfangs der Verarbeitung). Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. festgelegt.
Auflistung der umgesetzten Maßnahmen um das Schutzziel zu erreichen:
• Berücksichtigung der datenschutzfreundlichen Voreinstellungen nach Artikel 25 DSGVO
• Einfache Ausübung des Widerrufsrechts via E-Mail oder Funktionsfeld innerhalb der jeweiligen Anwendung
• Datensparsamkeit bei der Erhebung (Pflichtfelderkennzeichnung)
• Zweckgebundenheit der erhobenen Daten beachten
d) Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.