Technische und organisatorische Maßnahmen#

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO#

Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der EU-DSGVO zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. In dieser Anlage werden die vom Hersteller getroffenen technischen und organisatorischen Maßnahmen dokumentiert, wie Art. 32 DSGVO vorschreibt. Die vom Hersteller getroffenen Maßnahmen werden im Folgenden in Tabellenform dargestellt. In der linken Tabellenspalte werden solche Maßnahmen erfasst, die von der Gesellschaft für Datenschutz und Datensicherung e.V. (im Folgenden: „GDD”) als besonders geeignet vorgeschlagen werden. In der rechten Spalte sind die entsprechenden vom Hersteller getroffenen Maßnahmen dokumentiert. Dies dokumentiert getroffenen technischen und organisatorischen Maßnahmen.

Zutrittskontrolle#

Der unbefugte räumliche Zutritt wird verhindert. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten.

  • Maßnahmenvorschlag (GDD): Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte

  • Maßnahmen (Helm & Nagel): Siehe die in Anlage 3 dokumentierten Sicherheitsmaßnahmen des vom Hersteller gewählten Hosting Unternehmens

Zugangskontrolle#

Das Eindringen Unbefugter in die DV-Systeme wird verhindert. Technische und organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

Kennwörter#

  • Maßnahmenvorschlag (GDD): Kennwortverfahren

  • Maßnahmen (Helm & Nagel): Der Zugang auf die Anwendung ist ausschließlich mit einem persönlichem Usernamen und Passwort über das Internet möglich. Die Passwörter werden in besonders starken Varianten erstellt. Dabei werden üblicherweise Passwörter mit mindestens 8 Stellen akzeptiert. Passwörter die Ähnlichkeit zu den Stammdaten eines Nutzer vorweisen oder in einer Liste allgemeiner Kennwörter enthalten sind werden nicht akzeptiert. Auch die manuelle Eingabe neuer Passwörter durch die Nutzer erfordert die Einhaltung der oben genannten Anforderungen. Der Zugangauf die Server ist ausschließlich besonders berechtigten Mitarbeitern möglich. Der Zugriff erfolgt ausschließlich über verschlüsselte Verbindungen (SSH) über das private/public key Verfahren.

Datenträger#

  • Maßnahmenvorschlag (GDD): Verschlüsselung von Datenträgern

  • Maßnahmen (Helm & Nagel): Die Datenspeicher der Server des Herstellers unterliegen starker Verschlüsselung. Der Zugang zu den Servern erfolgt stets verschlüsselt.

Zugriffskontrolle#

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen werden verhindert. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

  • Maßnahmenvorschlag (GDD): Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)

  • Maßnahmen (Helm & Nagel): Innerhalb der Anwendung erfolgt eine differenzierte Aufteilung in Rechte und Rollen. Die Möglichkeiten eines Nutzers sich innerhalb der Anwendung zu bewegen und Aktionen durchzuführen wird durch eine Zuteilung entsprechender Rollen und Rechte begrenzt. Änderungen am Datenbestand werden protokolliert.

Weitergabekontrolle#

Die sichere Weitergabe personenbezogener Daten wird gewährleistet. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

  • Maßnahmenvorschlag (GDD): Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)

  • Maßnahmen (Helm & Nagel): Die Kommunikation zwischen Client und Server erfolgt ausschließlich verschlüsselt. Helm & Nagel setzt dabei auf eine 256 Bit Verschlüsselung (SSL). Zu keiner Zeit werden sicherheitsrelevante oder kundenspezifische Daten unverschlüsselt übertragen.

Eingabekontrolle#

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege wird gewährleistet. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

  • Maßnahmenvorschlag (GDD): Protokollierungs- und Protokollauswertungssysteme.

  • Maßnahmen (Helm & Nagel): Änderungen am Datenbestand werden protokolliert.

Auftragskontrolle#

Die weisungsgemäße Auftragsdatenverarbeitung wird gewährleistet. Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Kunden und Hersteller:

  • Maßnahmenvorschlag (GDD): Eindeutige Vertragsgestaltung

  • Maßnahmen (Helm & Nagel): Der Vertrag des Herstellers enthält eine spezielle DSGVO-konforme Datenschutzanlage.

Verfügbarkeitskontrolle#

Die Daten werden gegen zufällige Zerstörung oder Verluste geschützt. Maßnahmen zur Datensicherung (physikalisch / logisch):

Backup#

  • Maßnahmenvorschlag (GDD): Backup-Verfahren

  • Maßnahmen (Helm & Nagel): Ein tägliches Backup der Daten wird automatisiert erstellt. Der Hersteller erstellt fortlaufend, jedoch keinesfalls seltener als einmal pro Woche (es sei denn, es wurden in dem Zeitraum keine Kundendaten aktualisiert) mehrere aktuelle Kopien von Kundendaten, von denen Kundendaten wiederhergestellt werden können, und bewahrt diese auf. Der Hersteller protokolliert Datenwiederherstellungsmaßnahmen.

Firewall#

  • Maßnahmenvorschlag (GDD): Virenschutz / Firewall

  • Maßnahmen (Helm & Nagel): Die Server des Herstellers sind durch eine Firewall geschützt. Diese erlaubt den Zugang zum Server über 3 Ports - 80 (http), 443 (https) und 22 (ssh). Der Hersteller nutzt Antimalwarekontrollen, um zu verhindern, dass Malware unbefugten Zugriff auf Kundendaten erhält, einschließlich Malware aus öffentlichen Netzwerken.

Trennungskontrolle#

Daten, die zu unterschiedlichen Zwecken erhoben werden, werden auch getrennt verarbeitet. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

  • Maßnahmenvorschlag (GDD): “Interne Mandantenfähigkeit” / Zweckbindung

  • Maßnahmen (Helm & Nagel): Auf jedem Server können mehrere Kundenanwendungen installiert sein. Dabei ist sichergestellt, dass jede Anwendung stets nur in einem eigenen separaten Umfeld arbeitet. Auf den Servern befinden sich ausschließlich für den Betrieb notwendige Programme. Diese werden stets auf einem aktuellen Stand gehalten

Hosting#

Verweis auf die Sicherheitsmaßnahmen der von Helm & Nagel gewählten Hosting Unternehmen

Bitte beachten Sie: Jeder der hier aufgeführten Hosting Anbieter erhält personenbezogene Daten nur dann, wenn dies zur Erfüllung der im Rahmen der Auftragsverarbeitung definierten Tätigkeit erforderlich ist. Andernfalls findet eine Datenübermittlung nicht statt. Unser Unternehmen orientieren sich an Artikel 21 und 22 des „Code of Conduct” des Gesamtverbands der deutschen Versicherungswirtschaft GDV, zuletzt abgerufen am 26.06.2021, und dem Leitfaden für Verarbeitungstätigkeiten des Bitkom e.V., zuletzt abgerufen am 26.06.2021. Für eine detaillierte Auflistung der von uns beauftragten Dienstleistungsunternehmen kann sich die betroffene Person an den Datenschutzbeauftragten wenden, der diese nach Art. 15 DSGVO zur Verfügung stellt.