Datenschutzmaßnahmen

 

Letzte Aktualisierung: 23.4.2020

Allgemeines

Wir implementieren Maßnahmen um die Sicherheit Ihrer Daten und der Daten Ihrer Kunden sicherzustellen, basierend auf den folgenden Regularien:

Datenschutzbeauftragter

Der verantwortliche Datenschutzbeauftragte ist:

Alexander Pilz
Syslab.com GmbH
Blütenstraße 30 – 80799 München
https://syslab.com – datenschutz@syslab.com
+49 89 30635890

Wenn Sie eine Anwendung bei uns betreiben, treffen folgende Aspekte aus der DSGVO auf Sie zu:

Auftragsdatenverarbeitung

Es findet eine Auftragsdatenverarbeitung im Sinne der DSGVO statt. Hierzu schliessen wir mit Ihnen einen Vertrag zur Auftragsdatenverarbeitung gemäß DSGVO ab. Eine Vorlage erhalten Sie gerne auf Anfrage.

Auskunftspflicht

Personen, deren Daten verarbeitet werden, haben das Recht, Auskunft über Umfang und Art der gespeicherten Daten zu erhalten sowie Auskuft über den Prozess, welcher dafür sorgt, dass die Daten sicher verarbeitet werden.

Regelmäßige Überprüfung der Maßnahmen auf Wirksamkeit

Der Kunde hat die Verantwortung, routinemäßig die Einhaltung der anwendbaren Regularien durch den Dienstleister zu prüfen. Jährliche Prüfungen erscheinen auch für hochsensible Daten (z.B. medizinische Datensätze) ausreichend. Das Ergebnis muss schriftlich dokumentiert werden. Der Audit muss üblicherweise durch Dritte durchgeführt werden.

Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

1. Zutrittskontrolle

Verpflichtung des Auftragnehmers, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die Vertragsdaten verarbeitet werden, zu verwehren (Zutrittskontrolle).

Umsetzung durch: Die Datenverarbeitungsanlagen sind sämtlich an den Unterauftragnehmer „Flying Circus GmbH“ ausgelagert. Die Zugriffskontrolle erfolgt dort und ist unter https://flyingcircus.io/doc/reference/security/index.html dokumentiert.

2. Zugangskontrolle

Verpflichtung des Auftragnehmers, zu verhindern, insbesondere durch den Einsatz von Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). 

Umsetzung durch: sichere Kennwörter (nach festgelegten Regeln zu erstellen) für Nutzer-Accounts;  VPN- oder TLS-Verbindungen mit Angabe von Benutzername und Passwort, Zugang zu Systemen, die Daten enthalten, ausschliesslich über SSH mit PPK Infrastruktur und passwortgesicherten Zertifikaten.

3. Zugriffskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, insbesondere durch den Einsatz von Authentifizierungs- und Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Vertragsdaten zugreifen können, diese nur auf Anweisung des Auftragnehmers verarbeiten und dass Vertragsdaten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).

Umsetzung durch: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte; Protokollierung von Zugriffen; Authentifizierungs- und Verschlüsselungsverfahren; sichere Kennwörter;

4. Weitergabekontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, insbesondere durch den Einsatz von Authentifizierungs- und Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass Vertragsdaten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Vertragsdaten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weiter-gabekontrolle).

Umsetzung durch: Verschlüsselung; Virtual Private Networks (VPN); elektronische Signatur

5. Eingabekontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem Vertragsdaten in Datenverarbeitungssysteme eingegeben, verändert, übertragen oder entfernt worden sind (Eingabekontrolle) und Vertragsdaten jederzeit ihrem Ursprung zugeordnet werden können (Authentizitätskontrolle).

Umsetzung durch: Protokollierung; Dokumentenmanagement; Dokumentation von Ein- und Ausgang

6. Verfügbarkeitskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass Vertragsdaten gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt sind (Verfügbarkeitskontrolle). Dies umfasst insbesondere die Gewährleistung der Belastbarkeit der Systeme und Dienste, die Verwahrung der Vertragsdaten nach den Grundsätzen einer ordnungsgemäßen Datensicherung sowie regelmäßige Datensicherungen, einschließlich regelmäßiger Backups, im erforderlichen Umfang.

Umsetzung durch: Schreibschutz/Versionskontrolle; Backup-Strategie, unterbrechungsfreie Stromversorgung (USV); Firewall; Systemwartung/Belastungstests; Updates; 

7. Trennungskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Vertragsdaten getrennt verarbeitet werden können (Trennungskontrolle).

Umsetzung durch: getrennte Zugriffsrechte

8. Umsetzungskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass die Datenschutzgrundsätze wirksam umgesetzt und die notwendigen Garantien in die Verarbeitung aufgenommen werden, um den datenschutzrechtlichen Anforderungen zu genügen und die Rechte von Betroffenen zu schützen.

Umsetzung durch: Unterweisung und Schulung der Mitarbeiter; Kontrollen/Stichproben

9. Wirksamkeitskontrolle

Verpflichtung des Auftragnehmers, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren.

Umsetzung durch: vollständige, aktuelle und transparente Dokumentation der Datenverarbeitungsvorgänge (Tracker); Incident-Response-Management; Anpassungen an den Stand der Technik (Updates, Schulungen)

10. Auftragskontrolle

Verpflichtung des Auftragnehmers, sicher zu stellen, dass die personenbezogenen Daten nur unter Einhaltung der Weisungen des Auftraggebers bearbeitet werden und erhaltene Weisungen unverzüglich umgesetzt werden.

Umsetzung durch: Eindeutige Vertragsgestaltung; Unterweisung der Mitarbeiter; strenge Auswahl des Dienstleisters; Nachkontrollen