Technisch-organisatorische Maßnahmen

Centra.Link GmbH

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes (Anlage 1)
Centra.Link GmbH, Hennef (Sieg)

 

Einleitung

Technisch-organisatorische Maßnahmen beschreiben die technischen und organisatorischen Sicherheitskontrollen, die im Zusammenhang mit den Dienstleistungen der Centra.Link GmbH, dem technischen Support und anderen Dienstleistungen im Rahmen von indirekten (Kunden/Partner) und direkten (Endkunden) Verträgen/Aufträgen durchgeführt werden. Diese Technisch-organisatorischen Maßnahmen werden als Anhang zum Auftragsverarbeitungsvertrag (AVV) aufgenommen.

 Centra.Link führt Datenverarbeitung an unterschiedlichen Standorten durch. Dies betrifft den Sitz der Centra.Link in Hennef sowie den Betrieb von Serversystemen in Deutschland. Detaillierte Standortangaben können auf Wunsch über die Leistungsbeschreibungen der jeweiligen Rechenzentrumsbetreiber eingesehen werden. Angaben zu den Betreibern sind im Bereich Subunternehmer/Unterauftragsnehmer ausgewiesen. Bei Fragen wenden Sie sich bitte an Centra.Link.

Die Kunden der Centra.Link haben sich laut Art. 28 DS-GVO von der Einhaltung der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes zu überzeugen, welche in Art. 32 Abs. 1 DS-GVO konkretisiert werden. Grundlage hierfür bildet diese Dokumentation. Die Gliederung dieser Dokumentation richtet sich nach dem Aufbau des Art. 32 Abs. 1 DS-GVO.

 

1. Vertraulichkeit (Art. 32 Abs. 1 Ziff. b DS-GVO)

1.1 Zutrittskontrolle
 
1.1.1 Zutrittskontrolle (Hennef)
 
Die Büroflächen sind Teil eines Hotelbetriebes. Der Zutritt zu dem Bürobereich ist gesondert durch Sicherheitsschlösser gesichert. Die Ausgabe von Türschlüsseln sind protokolliert. Die Hotelanlage ist an jedem Tag rund um die Uhr besetzt. Zusätzlich wird das Gelände über den Empfang des Hotelbetriebs Videoüberwacht.
 
Besucher müssen klingeln oder sich im Empfangsbereich des Hotelbetriebs anmelden. Besucher werden nicht registriert. Innerhalb des Firmenbereichs werden die Besucher geführt. Jeder Mitarbeiter ist für seine Besucher verantwortlich.
 
Nebenausgänge, Fluchttüren und sonstige Notausgänge können von außen nicht geöffnet werden.
 
1.1.3 Zutrittskontrolle (Rechenzentrum Terra Cloud GmbH, Hüllhorst)
 
Genaue Zutrittskontrollen für Rechenzentrum der Terra Cloud GmbH, Hüllhorst können Sie auf der Website des Betreibers einsehen und herunterladen werden. Link: Terra Cloud – Rechenzentrum
 
1.2 Zugangskontrolle
 
Die Zugangskontrolle verhindert, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können. Die Server im Rechenzentrum werden ausschließlich von namentlich benannten Mitarbeitern der Centra.Link administriert und diese verfügen hierzu über entsprechende Benutzerkonten. Die Administration erfolgt über das Internet mittels verschlüsselter Verbindungen. Mitarbeiter des Rechenzentrumbetreibers haben keinen Zugang zu Kundendaten oder der Datenverarbeitungssoftware.
 
Um nicht autorisierten Zugang über das Internet zu verhindern sind Serversysteme grundsätzlich durch Firewalls geschützt. Zum weiteren Schutz sind Kunden-/Gast-Netzwerke durch eigenständige Firewalls gesichert und abhängig von der Leistungsbeschreibung durch ein dediziertes virtuelles Netzwerk von den anderen Betriebsbereichen abgetrennt. Zugriffe auf das Management Netzwerk werden über eine eigene hardwarebasierte Firewall geschützt.
 
Der Zugang zu Rechnern in den Büroräumen der Centra.Link wird über Benutzerkonten kontrolliert. Hierzu hat jeder Mitarbeiter auf seinem Rechner ein eigenes Benutzerkonto. Der Zugriff auf das bürointerne Netzwerk von außerhalb der Büroräume ist ausschließlich über eine VPN Verbindung (Virtual Private Network) möglich. Das bürointerne Netzwerk wird ebenfalls von einer hardwarebasierten Firewall geschützt.
 
Der Zugang zu den Datenverarbeitungssystemen ist mit Benutzerkennung und einem sicheren Authentifizierungsverfahren geschützt. Zusätzlich werden Zugriffe auf Core-Systeme durch entsprechende ACLs (Access Control Lists) geschützt.
 
Es sind Regeln zur Bildung eines sicheren Passworts festgelegt.
 
1.3 Zugriffskontrolle
 
Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
 
In den vom Auftragnehmer genutzten Datenverarbeitungssystemen sind Berechtigungsprofile hinterlegt, in denen die zugriffsberechtigten Personen festgelegt sind. Die Rechte werden in einem geregelten Verfahren vergeben, und die Notwendigkeit der bestehenden Rechte wird regelmäßig kontrolliert. Die Einrichtung und Freigabe werden dokumentiert.
 
Der Auftragnehmer hat die technischen und organisatorischen Maßnahmen getroffen, die sicherstellen, dass ausscheidenden Mitarbeitern sämtliche Unterlagen, Zugangsberechtigungen und Zugriffsrechte entzogen bzw. gelöscht werden um einen unberechtigten Zugriff auf die Daten des Auftraggebers zu verhindern.
 
Der Zugang zu Daten über Kunden für den Centra.Link Support ist auf ein Mindestmaß beschränkt. Dieser Zugang erfolgt über eine eigene Installation. Damit ist es möglich, Informationen zu den Kunden einzusehen, die für die Aufgaben des Supports notwendig sind. Diese Rolle muss jedem Supportmitarbeiter individuell zugewiesen werden.
 
Der Zugriff auf technischer Ebene auf Kundendaten, z.B. über Serverinstanzen / Cloud Account des Kunden, ist ausschließlich eigens dafür benannten Mitarbeitern aus dem Team „Service & Support“ der Centra.Link möglich. In diesem Fall verwenden besagte Mitarbeiter jeweils eigene Benutzerkonten. Der Zugriff ist nur gestattet, wenn eine Supportaufgabe vorliegt, die nicht durch den Kunden oder den Support alleine gelöst werden kann und der Auftraggeber seine Einwilligung zum Zugriff schriftlich erteilt hat. Diese wird im Ticketsystem protokolliert. Sollte die Aufgabe auch durch direkten Zugriff auf die Daten nicht lösbar sein, kann eine lokale Kopie der Daten z.B. für Debuggingzwecke erstellt und dem verantwortlichen Softwareentwickler / Vorlieferant zugänglich gemacht werden.
 
1.4 Trennungskontrolle
 
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
 
Centra.Link verarbeitet die Daten mehrerer Kunden auf den gleichen Servern. Die strikte Trennung der Daten einzelner Kunden voneinander wird durch eine Reihe von Maßnahmen sichergestellt: Jeder Kunde hat eine eigene virtuelle Cloud Umgebung mit eigenen Benutzerkonten innerhalb einer mehrstufig automatisierten Cloud Betriebsplattform, die wiederum Multi-Tenant fähig ist. Bei Cloud Umgebungen, die ausschließlich über das Centra.Link verwaltet werden oder eine Integration zwischen der automatisierten Cloud Betriebsplattform und der über das DMRZ gemanagten Cloud Umgebung notwendig ist, übernehmen DMRZ Mitarbeiter die Trennung und oder Integration der Systeme und Netzwerke.
 
 

2. Integrität (Art. 32 Abs. 1 Ziff. b DS-GVO)

 
2.1 Weitergabekontrolle
 
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
 
Wie unter 1.4 beschrieben unterscheidet Centra.Link zwischen dem Betrieb von Systemen innerhalb einer durch das Centra.Link verwalteten Umgebung (Full-Managed) und einer automatisierten Cloud Betriebsplattform (Self-Managed) bei der die Pflege dieser Systeme liegen jedoch vollkommen in den Händen des Kunden. Damit liegen auch alle Sicherungsmaßnahmen in den Händen des Kunden. Das Management Netz der  Centra.Link ist von Kunden- / Gastnetzwerken abgekapselt.
 
Bezugnehmend auf die Cloud Betriebsplattform sind Kunden-Netze im Standard durch VLAN voneinander getrennt. Diese VLANs werden automatisch verwaltet. Eine Doppelvergabe ist nicht möglich. Ebenfalls werden öffentliche IP Adressen automatisiert vergeben. Es existiert eine virtuelle Firewall vor jedem durch den Kunden oder das Centra.Link angelegtes Netzwerk. Abhängig von der Partnerstufe und durch das Centra.Link vergeben Rechte innerhalb der Cloud Betriebsplattform kann diese durch den Kunden vollständig eigenständig verwaltet werden.
 
Der Kunde kann kostenpflichtig die Erstellung von regelmäßigen Backups hinzubuchen und ebenfalls eigenständig verwalten. Die Verschlüsselung der Backup Datensätze ist obligatorisch und erfolgt kundenseitig. Diese Passwörter sind der Centra.Link nicht bekannt und können auch nicht ausgelesen oder zurückgesetzt werden.
 
Bei der durch das Centra.Link verwalteten Umgebung werden Netzwerke sowie VLANs und Firewalls nur von speziell geschulten Mitarbeitern gepflegt. Gleiches gilt für die Verwaltung von öffentlichen IP Adressen.
 
2.2 Eingabekontrolle
 
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Zugriffe auf Management Systeme werden protokolliert. Konfigurationsänderungen werden protokolliert und gespeichert. Zur Gewährleistung der Eingabekontrolle sind die von Softwareherstellern mitgebrachen Log Mechanismen und Transaktionsprotokolle, zur Protokollierung von Eingaben für Anwendungen, vorhanden. Zusätzlich werden Änderungen mittels eines Ticketbasierenden Change Management Software System durchgeführt, protokoliert und archiviert.
 
 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Ziff. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

4.1 Datenschutzmanagement
 
Centra.Link ist sich seiner Verantwortung in Bezug auf Datenschutz sehr bewusst. Deshalb wird dem Datenschutzmanagement eine besondere Stellung in unserem Haus zuteil.
 
Unsere Mitarbeiter sind umfassend mit dem Thema durch Schulungen und andere Sensibilisierungsmaßnahmen vertraut gemacht worden.
 
Wir sind uns aber auch der Tatsache bewusst, dass Datenschutz und IT-Sicherheit zwei Seiten einer Medaille darstellen und damit untrennbar miteinander verbunden sind. Dem tragen wir in einer Richtlinie zur Informationssicherheit und einer IT-Sicherheitsrichtlinie Rechnung. Deren Umsetzung wird durch sämtliche Mitarbeiter unseres Unternehmens sichergestellt.
 
Das Datenschutzmanagement wurde in die bestehenden Qualitätsicherungssysteme, sowie in das Changemanagement und Ticketing System integriert und orientiert sich an den in den Systemen bereits etablierten Berechtigungsstrukturen.
 
Der Aufbau unseres Datenschutz- und IT-Sicherheitsmanagements orientiert sich am BSI Grundschutz.
 
4.2 Incident-Reponse-Management
 
Innerhalb der Centra.Link wurde ein sehr umfangreiches Incident und Ticket Systeme eingeführt. Anfragen sind ausschließlich über diese Plattform zu stellen und werden innerhalb des Systems entsprechend verwaltet und archiviert. Telefonische Anfragen werden von den Mitarbeitern in eine schriftliche Anfrage verwandelt.
 
Für die internen Prozesse zur Qualitätssicherung, Installationsüberwachung und zum Zwecke des Change-Managements wird eine weitere, unabhängige „interne“ Plattform betrieben. Zu diesem System haben nur autorisierte Mitarbeiter Zugriff.
 
Alle Mitarbeiter, die mit der Entwicklung, der Bereitstellung und der Unterstützung der über die Centra.Link angebotenen Dienste und Produkte in Kontakt kommen, wurden geschult und haben sich mit ihren Aufgaben in diesem Zusammenhang vertraut gemacht.
 
4.3 Datenschutzfreundliche Voreinstellungen
 
Die zur Eingabe von Daten bestehenden Portale sind so konzipiert, dass ausschließlich Daten erhoben werden, die zur Ausführung der bestellten Leistung entweder für den Bestellprozess selbst, zur Installation oder zur Durchführung von Wartungsarbeiten benötigt werden.
 
Die Art der Daten, die vom Auftraggeber erfasst und verarbeitet werden, liegen rein in der Verantwortung des Auftraggebers. So hat der Auftraggeber das dem Verarbeitungsrisiko angemessene Schutzniveau zu ermitteln und die diesbezügliche Schutzbedarfsklassifizierung zu dokumentieren.
 
4.4 Auftragskontrolle
 
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass die Verarbeitung personenbezogener Daten durch einen Dritten im Auftrag Ihres Unternehmens (Auftragsdatenverarbeitung) nur entsprechend den Weisungen des Auftraggebers erfolgt.
 
Zur Auftragskontrolle wird ein definierter Prozess verwendet, der insbesondere folgende Inhalte betrachtet: Aufträge werden nur nach einer vorherigen Überprüfung der Zulässigkeit bei Auftragsdatenverarbeitungen schriftlich getroffen. Zusätzliche Vereinbarungen bedürfen ebenfalls der Schriftform. Der Auftrag enthält eine klare Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber. Unterauftragsverhältnisse
sind offen zu legen und entsprechend zu überprüfen.
 
Vor der Vergabe erfolgt eine Überprüfung der technisch- organisatorischen Maßnahmen des Auftragnehmers. Wenn erforderlich, werden zusätzliche Sicherheitsmaßnahmen definiert und umgesetzt. Zur Überwachung der ordnungsgemäßen Vertragsausführung erfolgt mindestens einmal im Jahr eine Kontrolle des Auftragnehmers. Diese kann auch durch einen entsprechenden Nachweis erbracht werden (z.B. TÜV Audit).
 
 

Sonstige Angaben

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich festzuhalten und dem Auftraggeber bekannt zu geben.
 
Weiterführende Informationen sind den Leistungsbeschreibungen der Produkte/Dienste/Verträge zu entnehmen. Zusätzlich wird auf die Leistungsbeschreibungen der Vorlieferanten sowie Subunternehmer/Unterauftragsnehmer verwiesen. Dieser Verweis ist gerade in Bezug auf den Betrieb von IT und Kommunikations Systeme zu beachten.