Übersicht der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. ConRat WebSolutions GmbH (nachfolgend ConRat) verarbeitet personenbezogene Daten im Auftrag ihrer Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die ConRat gemäß den jeweiligen vertraglichen Vereinbarungen mit dem Kunden erbringt und die eine Auftragsverarbeitung darstellen.
Hier sind die technischen und organisatorischen Maßnahmen als Anlage zur „Vereinbarung zur Auftragsverarbeitung nach EU-Datenschutzgrundverordnung (DSGVO)“ aufgeführt.
ConRat setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt.
Pseudonymisierung
Die vom Kunden in der Software eingegebenen sowie die vom System erhobenen Daten werden mit einer User-ID gespeichert. Diese ist ein Pseudonym für den jeweiligen Nutzer und lässt sich über eine Tabelle mit den eingetragenen Daten (mindestens E-Mail-Adresse) verknüpfen.
Verschlüsselung
Datenträger in den Geschäftsräumen mit personenbezogenen Daten werden entsprechend dem Stand der Technik verschlüsselt. Der Zugang zu Server-Systemen sowie die Datenübertragung zwischen einzelnen Servern erfolgt über verschlüsselte Verbindungen. Die Software ist durch den Kunden ausschließlich über verschlüsselte Internetverbindungen (https) nutzbar.
Gewährleistung der Vertraulichkeit Zutrittskontrolle
Der Zutritt zu den Geschäftsräumen ist nur Mitarbeitern der ConRat WebSolutions GmbH möglich. Besucher dürfen die Geschäftsräume nur in Begleitung berechtigter Mitarbeiter betreten. Die Zutrittskontrolle zum Rechenzentrum erfolgt auf Basis der technischen und organisatorischen Maßnahmen des Rechenzentrumsbetreibers DomainFactory GmbH.
Zugangskontrolle
Die Anmeldung an IT-Systemen erfolgt über Kennwörter mit Sonderzeichen, Ziffer und/oder Klein- /Großbuchstaben. Sofern möglich sind die Login-Daten personenbezogen und nur dem jeweiligen Mitarbeiter bekannt. Die IT-Systeme sind durch eine Firewall gesichert. Für Remote-Zugriffe werden personenbezogene VPN-Zugänge genutzt.
Zugriffskontrolle
Für die Zugriffskontrolle sind differenzierte Berechtigungen nach dem Rollenkonzept eingerichtet. Die Freigabe von Daten erfolgt nur an berechtigte Personen. Zugewiesene Berechtigungen werden durch die Administratoren regelmäßig überprüft und bei Entfall der Notwendigkeit entzogen.
Trennungskontrolle
Soweit die betrieblichen Abläufe eine getrennte Verarbeitung und Auswertung von Daten ermöglichen wird diese entsprechend eingerichtet. Produktiv- und Testsysteme nutzen generell getrennte Datenbanken. Für Kundendaten erfolgt eine logische Trennung auf Datenbankebene. Der Zugriff auf Produktivsysteme wird soweit wie möglich eingeschränkt.
Gewährleistung der Integrität Weitergabekontrolle
Zur Übertragung von Daten werden verschlüsselte Verbindungen entsprechend dem Stand der Technik eingesetzt. Die Remote-Einwahl in das interne Netzwerk erfolgt über VPN-Verbindungen.
Eingabekontrolle
Eingaben, Änderungen und Löschung von Produktivdaten sind nur durch Administratoren möglich. Diese Aktivitäten werden in Logdateien protokolliert. Die Logdateien werden bei Auffälligkeiten manuell auf unbefugte Aktivitäten kontrolliert.
Gewährleistung der Verfügbarkeit
Von Server-Systemen werden täglich Backups durchgeführt. Die Verfügbarkeit der Server- Systeme wird außerdem durch Echtzeit-Spiegelung sichergestellt. Sicherungen werden zusätzlich räumlich getrennt an einem anderen Standort gespeichert.
Auf allen Client-Rechnern ist Antiviren-Software installiert und wird fortlaufend aktualisiert.
Die Gewährleistung der Verfügbarkeit auf Ebene des Rechenzentrums erfolgt darüber hinaus auf Basis der technischen und organisatorischen Maßnahmen des Rechenzentrumsbetreibers DomainFactory GmbH.
Gewährleistung der Belastbarkeit der Systeme
Um die Belastbarkeit der Systeme zu gewährleisten, setzen wir auf eine skalierbare Serverinfrastruktur und ein Monitoring um Trends und Lastspitzen zu erkennen und rechtzeitig darauf zu reagieren. Die Architektur des Rechenzentrums ermöglicht eine Erhöhung der Rechenkapazitäten innerhalb von wenigen Minuten, so dass auch spontan auftretende Lastspitzen abgefangen werden können.
Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
Die Administratoren sind in der Lage, die unter 5. genannten Sicherungen zeitnah einzuspielen. Das Szenario wird in periodischen Abständen getestet.
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Unsere Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag. Sie sind in einer gesonderten Vereinbarung dem Datengeheimnis verpflichtet.
Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnamen wird mindestens jährlich durchgeführt. Dabei erfolgt auch eine Beurteilung der Angemessenheit des Schutzniveaus und gegebenenfalls eine Anpassung auf den aktuellen Stand der Technik, beispielsweise eine Umstellung auf neuere Verschlüsselungsverfahren.
Stand: 01.04.2023