Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 14 Next »


Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften. In unserem Online-Portal finden Sie alle Information und Unterlagen zu unserer Funktion als Datenverarbeiter in Ihrem Auftrag.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung ist:

die netzwerker Computernetze GmbH

Neue Weilheimer Str. 14

D-73230 Kirchheim

Telefon: +49 (0) 7021 – 9439 – 0

E-Mail: info@netzwerker.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an datenschutz@netzwerker.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Sperrung, Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.

Datenschutzbeauftragter

Gesetzlich vorgeschriebener Datenschutzbeauftragter

Wir haben für unser Unternehmen einen Datenschutzbeauftragten extern bestellt.

Aurenz GmbH

Herr Jürgen Dagutat

Hans-Böckler-Str. 29

D-73230 Kirchheim unter Teck

Telefon: +49 (0) 7021 73888-0

E-Mail: j.dagutat@aurenz.de

TOM - Technisch Organisatorische Maßnahmen

Technische und organisatorische Maßnahmen, Art. 32 DSGVO

 I. Vertraulichkeit

(Art. 32 Abs. 1 lit. DSGVO)

Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Der Zutritt zu Arbeitsplatzrechnern und Servern ist über eine kontrollierte protokollierte Schlüsselvergabe gewährleistet. Die Räume sind grundsätzlich verschlossen. Der Zutritt für Besucher wird durch eigenes Personal kontrolliert.

Die Räume des Auftragnehmers sind mit Bewegungsmeldern und korrespondierenden Kameras ausgestattet. Im Falle eines unbefugten Betretens der Räume erfolgt automatisch eine Signalisierung per Alarmaufschaltung bei einem externen Sicherheitsdienstleister zur Auswertung der Bewegt-Bild-Aufzeichnungen. Im Falle eines unbefugten Zutritts erfolgt die Aktivierung eines Außenalarms und Alarmierung der örtlichen Polizei sowie der Geschäftsleitung. Die Bewegungssequenzen werden zusätzlich auf einem räumlich abgesetzten Speicher abgelegt.

Das Rechenzentrum des Auftragnehmers ist zusätzlich mit einem elektronischen Zugangssystem ausgestattet. Im Falle eines Zutritts wird der Zutritt als Bewegungssequenz aufgezeichnet. Die Bewegungssequenzen werden 30 Tage in einem abgesetzten Speicher aufbewahrt.

Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

Der Zugang zu Endgeräten von Mitarbeitern wird durch Betriebssystemkennung und ein persönliches Passwort geschützt.

Die Änderung der Passwörter wird alle 6 Monate systemseitig erzwungen. Die Passwortkomplexität gemäß BSI Empfehlung wird ebenfalls systemseitig erzwungen.

Der Zugang von außen auf das Netz des Auftragnehmers wird durch verschlüsselte Verbindungen sichergestellt. Externe Zugriffe auf sensible Daten werden zusätzlich mit einer Zwei-Faktor-Authentifizierung mit einmal Passwörtern abgesichert.

Firewall Systeme schirmen das Netzwerk gegen unerlaubten Zugriff aus dem Internet ab. Verbindungen zu Kunden werden über VPN Gateways oder gesicherte Fernadministrationstools hergestellt. Zugriffe werden dokumentiert.

Mitarbeiter erhalten nur im Rahmen Ihrer Tätigkeit Zugriff auf die zur Vertragserfüllung notwendigen Systeme und Daten.

Die vom Auftraggeber zur Authentifizierung eingerichteten und an den Auftragnehmer übergebenen Zugangskennungen und Passwörter aus Systemen des Auftraggebers, verlassen den Personenkreis der Berechtigten nicht. Sie werden in gesicherten Bereichen auf IT-Systeme des Auftragnehmers hinterlegt und sind nur dem Personenkreis zugänglich, der diese für die Erbringung der vereinbarten Dienstleistung zwingend benötigen.

Sofern möglich werden die Zugangsdaten per Blindeingabe an das Zugangssystem des Auftraggebers übermittelt.

Vom Auftragnehmer generierte Passwörter haben eine Länge von mindestens 8 Zeichen und enthalten mindestens eine Ziffer und ein Sonderzeichen sowie Groß- und Kleinbuchstaben. Die Weitergabe an den Auftraggeber erfolgt grundsätzlich mit einem Passwortverschlüsselten Dokument. Das Passwort für die Entschlüsselung wird ausschließlich telefonisch mitgeteilt.

Im Falle eines Betriebs außerhalb der Räume des Auftragnehmers ist die Verbindung zum Zugangssystem des Auftraggebers ist mit einer 256Bit SSL Verschlüsselung gegen eine „man in the middle attack“ geschützt.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

Soweit technisch machbar, werden An- und Abmeldungen der Benutzer an den DV-Arbeitsstationen und den Anwendungen protokolliert. Internetzugriffe und Mailverkehr werden datenschutzkonform protokolliert.

Eine Auswertung erfolgt zur technischen Fehleranalyse oder Verdacht eines Richtlinienverstoßes im Rahmen des technisch und organisatorisch Machbaren sind angemessene Abstufungen der Zugriffsberechtigten aufgebaut.

Diese erlauben das Eingeben, Lesen, Kopieren, Verändern oder Entfernen von Auftraggeber-Daten bei der Verarbeitung, Nutzung und nach der Speicherung nur in dem für die jeweilige Aufgabe erforderlichen Umfang.

Die Zugriffsberechtigten werden durch eine begrenzte Anzahl an System- und Anwendungsadministratoren verwaltet.

Die Aufbewahrung von Sicherungsdatenträgern erfolgt in gesicherten Bereichen, zu denen nur das betroffene Betriebspersonal und die Geschäftsleitung Zutritt haben.

Ausgemusterte Datenträger werden datenschutzgerecht entsorgt. Vorzugsweise sind Einmalsicherungscodes zu verwenden.

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Der Auftragnehmer nutzt personenbezogene Daten nur für interne Zwecke im Rahmen des Auftrages oder der Kundenbeziehung. Die Daten werden entsprechend des Auftrages getrennt gespeichert. Alle Mitarbeiter sind angewiesen und geschult, Daten nur im Rahmen der Dienstleistungserbringung und zur Wahrung der Zweckbindung zu erheben, zu verarbeiten und zu nutzen.

II. Integrität

(Art. 32 Abs 1 lit. b DSGVO)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Personenbezogene Daten werden nur über verschlüsselte Verbindungen oder Datenträger zweckgebunden an Geschäftspartner übermittelt. Die Verschlüsselung erfolgt entsprechend dem Stand der Technik. Personenbezogene Daten werden derzeit nur falls erforderlich und nur an Unterauftragnehmer übermittelt.

Aus betriebserforderlichen Gründen sind Büro- und Produktionsräume des Auftragnehmers auf verschiedene Standorte verteilt. Personenbezogene Daten des Auftraggebers werden im Rahmen betriebsüblicher und betriebsnotwendiger Prozesse zwischen den Standorten übermittelt.

Die Übertragung erfolgt über gesicherte Internet-Infrastrukturen über das Internet. In diesem Fall wird grundsätzlich VPN-Technik nach aktuellem Stand angewendet.

Der Transport von Sicherungsdatenträgern, die personenbezogene Daten enthalten, erfolgt ausschließlich durch besonders ausgewählte und eingewiesene Mitarbeiter des Auftragnehmers. Die Daten sind grundsätzlich verschlüsselt auf den Datenträgern gespeichert.

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Die Eingabekontrolle wird über technische und organisatorische Maßnahmen dokumentiert. Bei Servicezugriffen werden Mitarbeiter, Partner, Kunde sowie Datum, Beginn und Ende mit Kurzbeschreibung der erbrachten Dienstleistung dokumentiert. Zusätzlich wird die Eingabekontrolle über Systemprotokolle dokumentiert.

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:

Voraussetzung für eine Auftragsdatenverarbeitung ist ein schriftlicher Vertrag.

Der Auftragnehmer setzt zur Steuerung der Aufträge ein Transaktionssystem ein in dem die Anforderungen, die Arbeitsanweisungen und die Umsetzung dokumentiert werden. Die Qualität der Dokumentation wird laufend durch das Qualitätsmanagement des Auftragnehmers kontrolliert.

Zusätzlich werden alle Mitarbeiter des Auftragnehmers auf das Datengeheimnis verpflichtet.

III.  Verfügbarkeit, Belastbarkeit

(Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Der Auftragnehmer rüstet die relevanten DV-Systeme mit einem geeigneten Schutz gegen Viren, Trojaner, Würmer und sonstige Malware aus und gewährleistet dadurch einen hinreichenden Schutz gegen Verletzung der Systemintegrität durch die vorgenannten Gefahren.

Die Ausführung arbeitsplatzfremder Software wird, soweit technisch möglich, durch technische Maßnahmen und durch organisatorische Regelung verhindert. Betriebssysteme und Schutzsoftware werden in angemessenen Zeitabständen aktualisiert. Dafür betreibt der Auftragnehmer ein zentrales Patchmanagement in dem alle relevanten DV-Systeme integriert sind.

In den Produktionsräumen stehen zum Schutz der Produktionseinrichtungen unterbrechungsfreie Stromversorgungen, Rauchmeldeanlagen, Feuerlöschgeräte und doppelt ausgeführte Klimaanlagen zur Verfügung. Die Produktionsräume werden zusätzlich auf Abweichungen des Raumklimas und Kohlenmonoxid-Dichte überwacht.

Der Datenbestand wird einmal täglich vollständig auf externen Speichermedien gesichert. Diese Speichermedien werden täglich an einen entfernten gesicherten Standort verbracht und in einem F120-Zertifizierten Panzerschrank abgelegt. Die Daten sind auf den mobilen Sicherungsmedien verschlüsselt gespeichert.

Es werden regelmäßige testweise Rücksicherungen auf eine produktionsnahe Testumgebung durchgeführt.

Das Datensicherungskonzept sieht das Auslagern von Sicherungsmedien aus den Sicherungszyklen vor. Dies geschieht alle vier Wochen.

Für die anzunehmenden Notfallarten existieren Notfallpläne, die regelmäßig validiert und aktualisiert werden.

IV.  Pseudonymisierung und Verschlüsselung

(Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

Es findet keine Pseudonymisierung statt.

Bei Hosting obliegt die Pseudonymisierung personenbezogener Daten im Rahmen des Hostingvertrages und der dort vom Auftraggeber betriebenen Anwendungen dem Auftraggeber.

V.  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Maßnahmen, die die Sicherheit der Verarbeitung gewährleisten.

Das Datenschutz-Management definiert im laufenden Betrieb kontinuierlich die Verantwortlichkeiten, Strukturen und Prozesse und baut diese im Sinne eines risikobasierten Ansatzes aus. Zur Gewährleistung der Sicherheit der Verarbeitung verfügt das Unternehmen über eine strukturierte Verfahrensbeschreibung, die im laufenden Betrieb aktualisiert wird.

Des Weiteren finden regelmäßige Datenschutzschulungen der Mitarbeiter zur erneuten Sensibilisierung statt. Betriebsanweisungen zur Nutzung der Kommunikationssystem und der IT sind kommuniziert und werden im laufenden Prozess angepasst.

Außerdem wird die Wirksamkeit der technischen Schutzmaßnahmen mindestens einmal jährlich ordnungsgemäß überprüft.

VI.  Datenschutzfreundliche Voreinstellungen

(Art. 25 Abs. 2 DSGVO)

Maßnahmen, die grundsätzlich ergriffen werden um den Datenschutz zu gewährleisten.

Es werden nie mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.


Revision

der TOM - Technisch Organisatorische Maßnahmen

Version Date Comment
Current Version (v. 21) 03. Jul 2018 20:10 Andreas Dannenberg
v. 20 03. Jul 2018 20:09 Andreas Dannenberg
v. 19 03. Jul 2018 20:06 Andreas Dannenberg
v. 18 03. Jul 2018 20:05 Andreas Dannenberg
v. 17 13. May 2018 23:52 Andreas Dannenberg
v. 16 13. May 2018 23:50 Andreas Dannenberg
v. 15 13. May 2018 18:38 Andreas Dannenberg
v. 14 08. May 2018 23:30 Andreas Dannenberg
v. 13 08. May 2018 23:29 Andreas Dannenberg
v. 12 08. May 2018 22:56 Andreas Dannenberg
v. 11 08. May 2018 22:41 Andreas Dannenberg
v. 10 08. May 2018 22:22 Andreas Dannenberg
v. 9 08. May 2018 22:19 Andreas Dannenberg
v. 8 08. May 2018 21:59 Andreas Dannenberg
v. 7 08. May 2018 21:11 Andreas Dannenberg
v. 6 08. May 2018 21:06 Andreas Dannenberg
v. 5 08. May 2018 21:04 Andreas Dannenberg
v. 4 08. May 2018 20:35 Andreas Dannenberg
v. 3 08. May 2018 20:34 Andreas Dannenberg
v. 2 08. May 2018 20:32 Andreas Dannenberg
v. 1 08. May 2018 20:26 Andreas Dannenberg


Revision

Version Date Comment
Current Version (v. 14) 13. May 2018 18:31 Andreas Dannenberg
v. 40 23. May 2018 10:14 Andreas Dannenberg
v. 39 19. May 2018 09:23 Andreas Dannenberg
v. 38 19. May 2018 09:22 Andreas Dannenberg
v. 37 15. May 2018 20:09 Andreas Dannenberg
v. 36 15. May 2018 20:05 Andreas Dannenberg
v. 35 15. May 2018 20:03 Andreas Dannenberg
v. 34 15. May 2018 20:02 Andreas Dannenberg
v. 33 15. May 2018 18:52 Andreas Dannenberg
v. 32 15. May 2018 18:25 Andreas Dannenberg
v. 31 13. May 2018 18:56 Andreas Dannenberg
v. 30 13. May 2018 18:55 Andreas Dannenberg
v. 29 13. May 2018 18:54 Andreas Dannenberg
v. 28 13. May 2018 18:53 Andreas Dannenberg
v. 27 13. May 2018 18:52 Andreas Dannenberg
v. 26 13. May 2018 18:51 Andreas Dannenberg
v. 25 13. May 2018 18:50 Andreas Dannenberg
v. 24 13. May 2018 18:50 Andreas Dannenberg
v. 23 13. May 2018 18:50 Andreas Dannenberg
v. 22 13. May 2018 18:48 Andreas Dannenberg
v. 21 13. May 2018 18:47 Andreas Dannenberg
v. 20 13. May 2018 18:46 Andreas Dannenberg
v. 19 13. May 2018 18:44 Andreas Dannenberg
v. 18 13. May 2018 18:42 Andreas Dannenberg
v. 17 13. May 2018 18:40 Andreas Dannenberg
v. 16 13. May 2018 18:34 Andreas Dannenberg
v. 15 13. May 2018 18:33 Andreas Dannenberg
v. 14 13. May 2018 18:31 Andreas Dannenberg
v. 13 13. May 2018 18:16 Andreas Dannenberg
v. 12 11. May 2018 20:35 Andreas Dannenberg
v. 11 11. May 2018 20:34 Andreas Dannenberg
v. 10 11. May 2018 20:18 Andreas Dannenberg
v. 9 11. May 2018 20:18 Andreas Dannenberg
v. 8 11. May 2018 20:14 Andreas Dannenberg
v. 7 11. May 2018 20:11 Andreas Dannenberg
v. 6 09. May 2018 19:00 Andreas Dannenberg
v. 5 09. May 2018 18:59 Andreas Dannenberg
v. 4 09. May 2018 18:54 Andreas Dannenberg
v. 3 08. May 2018 23:46 Andreas Dannenberg
v. 2 08. May 2018 16:39 Andreas Dannenberg
v. 1 08. May 2018 16:38 Andreas Dannenberg

Historie

  • No labels