© Shore, 2018. All rights reserved. AGB Datenschutz & Impressum


Technische und organisatorische Maßnahmen

zuletzt geändert am: 31.08.2018

Die IT-Infrastruktur der Shore GmbH besteht 1. aus angemieteten Servern im Rechenzentrum eines deutschen Internet Service Providers (im Folgenden ISP) sowie 2. aus eigenen Servern und Computern in den Büroräumen (Desktops, Laptops). Dabei dienen die beim ISP angemieteten Server gleichermaßen dem Zweck der Entwicklung (z.B. Datenaufbereitung, Datenintegration, Programmierung, Softwaretesting) wie auch der Bereitstellung der gemäß Auftrag bzw. Lizenzvereinbarung erworbenen SaaS-Anwendung (im Folgenden Software) an den Auftraggeber. Die eigenen Server und Computer der Shore GmbH dienen ausschließlich dem Zweck der Entwicklung (z.B. Datenaufbereitung, Datenintegration, Programmierung, Softwaretesting) und Wartung der gemäß Auftrag bereitgestellten Software für den Auftraggeber. Alle Server und Computer werden durch die Shore GmbH selbst administriert. Alle angemieteten Server der Shore GmbH sind in Rechenzentren in der Bundesrepublik Deutschland, alle eigenen Server in den gesicherten Büroräumen der Shore GmbH in München verortet.

Die gemäß Auftrag zu verarbeitenden Daten werden ausschließlich auf nicht-portablen Servern der Shore GmbH und ausschließlich in verschlüsselter Form gespeichert. Es erfolgt keine Speicherung auf Computern (Desktops, Laptops). Dazu wird jedem Mitarbeiter, der mit der Verarbeitung der Daten beauftragt ist, von einem Systemadministrator der Shore GmbH ein eigener verschlüsselter Speicher zugewiesen, worauf nur der Systemadministrator und dieser Mitarbeiter Zugriff hat. Auf diesem Speicher werden nur solche Dateien abgelegt, die der Mitarbeiter für seine Arbeit im Rahmen der Auftragsbearbeitung benötigt. Ferner wird einzelnen Teams bzw. Mitarbeitergruppen ein gemeinsamer Speicher zugewiesen, sodass gemäß den Berechtigungen eine Verarbeitung erfolgt. 

Der Zugriff auf die zu verarbeitenden Daten ist ausschließlich aus dem internen Netzwerk in den Büroräumen vor Ort möglich und zusätzlich durch Passwörter geschützt. Der Zugriff auf das interne Netzwerk aus anderen Netzwerken kann nur über eine autorisierte und verschlüsselte VPN-Verbindung erfolgen.  Zugriffe auf personenbezogene Daten finden nur statt, sofern diese für die Entwicklung und/oder Bereitstellung der Software zwingend erforderlich sind; sofern möglich, wird mit anonymisierten bzw. simulierten Testdaten gearbeitet, die keinen Personenbezug aufweisen. 

Die bereitgestellten Softwareprogramme werden sowohl auf nicht-portablen Servern der Shore GmbH als auch auf eigenen Computern gespeichert. Die Speicherung erfolgt ausschließlich in verschlüsselter Form. Der Zugriff auf die verarbeitenden Softwareprogramme ist sowohl aus dem internen Netzwerk als auch über das Internet möglich. Der Zugriff auf die verschlüsselten Speicher ist durch Passwörter, individuelle Zugriffsschlüssel, Firewalls, SSL, VPNs und vergleichbare Sicherheitsmaßnahmen geschützt. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

  1. Angemietete Server in deutschen Rechenzentren

Die angemieteten Server sind bezüglich Integrität und Verfügbarkeit ausreichend durch das jeweilige Rechenzentrum, welches eine Zertifizierung mindestens nach ISO 27001 vorweist, geschützt. Ein entsprechender Nachweis der Zertifizierung liegt vor und wird dem Auftraggeber auf Verlangen zur Verfügung gestellt. Die angemieteten Server werden vollständig durch die Shore GmbH administriert – der ISP hat zu keiner Zeit die Möglichkeit, auf die Server bzw. die dort gespeicherten Daten und Softwareprogramme zuzugreifen.  

Zusätzlich zum zertifizierten Schutz der angemieteten Server durch das Rechenzentrum werden die zu verarbeitenden Daten und verarbeitenden Softwareprogramme durch folgende technische und organisatorische Maßnahmen geschützt:

a) Zutrittskontrolle 

Siehe o.g. Zertifizierungsnachweis von AWS

b) Zugangskontrolle  

Die Software ist durch Firewalls und Passwörter geschützt. Diese Passwörter bestehen stets aus Zahlen und Buchstaben und sind mindestens 16 Zeichen lang und das Passwort muss alle 90 Tage geändert werden.

c) Zugriffskontrolle  

Ein Zugriff auf das Betriebssystem der angemieteten Server ist ausschließlich über SSH möglich. Alle SSH-Zugriffe werden protokolliert. Es haben nur Administratoren Zugriff auf das Betriebssystem. Zudem werden sämtliche Aktionen auf Administrationsebene protokolliert.

Zugriff wird ausschließlich einzelnen Mitarbeitern der Shore GmbH gewährt, die diesen zur Entwicklung bzw. Bereitstellung der Software benötigen und bei denen der Auftragnehmer zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO sicherstellt, dass die mit der Verarbeitung der Daten befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Die zu verarbeitenden Daten auf den angemieteten Servern werden ausschließlich verschlüsselt gespeichert.

d) Weitergabekontrolle  

Zur Nutzung der Software durch den Auftraggeber werden individuelle, passwortgeschützte Zugriffskonten vergeben. Zusätzlich erhalten Mitarbeiter der Shore GmbH Zugriff über passwortgeschützte Zugriffskonten, sofern sie diesen zur Einrichtung bzw. Wartung der Software benötigen. Der Zugriff bei Serviceanfragen muss durch den Auftraggeber freigegeben werden. Diese Passwörter bestehen stets aus Zahlen und Buchstaben und Sonderzeichen und sind mindestens 8 Zeichen lang. Alle Verbindungen zur Software sind SSL-verschlüsselt. Der jeweils letzte Zugriff auf die Software wird mit den entsprechenden Zugangsdaten dokumentiert. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten zugriffsberechtigten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Die zu verarbeitenden Daten werden nach Auftragsbeendigung datenschutzgerecht gelöscht.

e) Eingabekontrolle

Um die unbefugte Eingabe, Veränderung und Entfernung von personenbezogenen Daten auf den angemieteten Servern auszuschließen, werden Veränderungen an den Daten auf Benutzerebene des Betriebssystems, auf Datenbank-, bzw. Dateisystemebene. protokolliert. Es können keine Änderungen an der Kernelebene vorgenommen werden. 

f) Verfügbarkeitskontrolle  

Auf den angemieteten Servern beim ISP ist:  

  • Eine Firewall eingerichtet.
  • Eine unterbrechungsfreie Stromversorgung (USV) eingerichtet.
  • Ein dauerhafter DDoS-Schutz aktiv.
  • Eine Festplatten-Spiegelung (Raid 1) oder anderweitige Redundanzlösung eingerichtet, um die Ausfallsicherheit zu erhöhen.
  • Ein Backup-Verfahren eingerichtet.

g) Trennungskontrolle  

Die Trennung des Produktiv- und Testsystems erfolgt durch Verwendung separater Server und/oder Servercluster im Rechenzentrum des ISPs. sowie der durch die Shore GmbH eingesetzten eigenen Server.

  1. Eigene Server und Computer in den Büroräumen der Shore GmbH

Zusätzlich zu den beim ISP angemieteten Servern setzt die Shore GmbH eigene, lokale Server und Computer (Desktops, Laptops) ein.

Die Büroräume der Shore GmbH sind durch folgende technische und organisatorische Maßnahmen nach Art. 28 Abs. 3 S. 2, lit. c, 32 DS-GVO geschützt:

a) Zutrittskontrolle

  • Elektronische Zutrittscodekarten
  • Videoüberwachung zum Gebäude allgemein
  • Alarmanlage
  • Schlüsselregelung und Anweisung zur Ausgabe von Schlüsseln sowie Protokollierung der Schlüsselvergabe
  • Begleitung von Besucherzutritten durch Mitarbeiter
  • Kontrolle durch die Mitarbeiter (4-Augen-Prinzip)
  • Spezialverglasung
  • Gesicherter Zutritt zu den eigenen Servern in geschlossenen Räumen
  •  Aufbewahrung der Datenträger unter Verschluss

b) Zugangskontrolle  

  • Verschlüsselung von Netzwerken durch die Verschlüsselungsalgorithmen WPA2-PSK, SPLASH, PAGG.
  • Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen
  • Verwendung von individuellen Passwörtern
  • Passwortrichtlinie mit Mindestvorgaben zur Passwortkomplexität
  • Verpflichtung auf das Datengeheimnis
  • Programmprüfung und Freigabe bei Neuinstallationen durch Administrator
  • Aufbewahrung personenbezogener Daten in verschließbaren Sicherheitsschänken

c) Zugriffskontrolle  

Sämtliche Daten auf eigenen Servern und Softwareprogramme auf den eigenen Computern (Desktops, Laptops) werden ausschließlich verschlüsselt gespeichert und bei Versand über SSL, SHA2 und Salt verschlüsselt. Dazu wird jedem Mitarbeiter, der mit der Verarbeitung der Daten beauftragt wird, von einem Systemadministrator der Shore GmbH ein eigener verschlüsselter Speicher auf einem lokalen Server der Shore GmbH zugewiesen, worauf nur der Systemadministrator und dieser Mitarbeiter Zugriff hat. Auf diesem Laufwerk werden nur solche Dateien abgelegt, die der Mitarbeiter für seine Arbeit im Rahmen der Auftragsbearbeitung benötigt. Der Zugriff auf diese Laufwerke ist ausschließlich aus dem internen Netzwerk in den Büroräumen vor Ort möglich und zusätzlich durch Passwörter geschützt. Der Zugriff auf das interne Netzwerk aus anderen Netzwerken kann nur über eine autorisierte und verschlüsselte VPN-Verbindung erfolgen. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten zugriffsberechtigten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Der Zugriff wird nur aufgrund der Festlegung der Zugriffsberechtigung und des Berechtigungskonzepts gewährt. Es werden entsprechende Sicherheitssysteme für Software und Hardware eingesetzt, wie Virenscanner, Firewalls, SPAM-Filter, IPS und IDS. 

d) Weitergabekontrolle  

Die Büroräume sind ausgestattet mit:

  • LAN und verschlüsseltem WLAN 
  • Router mit Firewall
  • Passwortgeschützten Servern
  • Passwortgeschützten Computern (Desktops & Laptops)
  • Alle Computer von Mitarbeitern, die Zugriff auf die Daten und Softwareprogramme haben, sind dem Stand der Technik entsprechend verschlüsselt sowie mit Viren-Scanner und Personal Firewalls ausgestattet.
  • Alle externen Verbindungen zwischen Computern der Shore GmbH und Verbindungen der Computer zu Servern beim ISP sind SSL-verschlüsselt.
  • Datenträgerentsorgung erfolgt durch 3-fache Überschreibung (5220.22-M-Standard des US Verteidigungsministeriums)
  • Papierentsorgung erfolgt über Shredder gem. DIN 66399

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Sämtliche verarbeitete Daten werden nach Auftragsbeendigung datenschutzgerecht gelöscht.

e) Eingabekontrolle

Die unbefugte Eingabe, Veränderung und Entfernung von Daten auf den eigenen Computern der Shore GmbH wird durch o.g. Maßnahmen zur Zugangs- und Zugriffskontrolle verhindert. Zum Zweck der Entwicklung bzw. Bereitstellung der Software ist eine solche Eingabe, Veränderung und Entfernung von Daten durch befugte Mitarbeiter der Shore GmbH jedoch zwingend erforderlich (Datenaufbereitung und -integration). Es liegt ein abgestuftes Berechtigungskonzept über die Zugriffe durch die Profile vor. 

f) Auftragskontrolle  

Jegliche Daten werden nach Weisung des Auftraggebers durch den bestehenden Vertrag verarbeitet. Eine Datenverarbeitung ohne vorliegender Weisung des Auftraggebers erfolgt nicht. Nach der Beendigung eines Bearbeitungsauftrags werden die entsprechenden Daten durch einen internen Systemadministrator der Shore GmbH datenschutzgerecht von den Servern und Computern gemäß dem Löschkonzept gelöscht. Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die Shore GmbH hat einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse. 

Es werden Vorabkontrollen bei Subunternehmern durchgeführt und das Datensicherheitskonzept überprüft.

g) Verfügbarkeitskontrolle  

Eine Verfügbarkeitskontrolle bezieht sich insbesondere auf die Bereitstellung der Software für den Auftraggeber über die beim ISP angemieteten Server. Siehe hierzu Punkt 1 f). Zusätzlich dazu sind nachfolgende Maßnahmen getroffen:

Auf den eigenen Servern ist

  • Eine Firewall eingerichtet
  • Eine unterbrechungsfreie Stromversorgung (USV) eingerichtet.
  • Eine Festplatten-Spiegelung (Raid 5 und Raid 10) oder anderweitige Redundanzlösung eingerichtet, um die Ausfallsicherheit zu erhöhen.
  • Ein Backup-Verfahren eingerichtet.
  • Auf den Computern ist: 
  • Antivirus, Virenscanner
  • Backup-Konzept

h) Trennungskontrolle  

Die Trennung des Produktiv- und Testsystems erfolgt durch Verwendung separater Server und/oder Servercluster im Rechenzentrum des ISPs, sowie der durch die Shore GmbH eingesetzten eigenen Server.

zuletzt geändert am: 31.08.2018

Die IT-Infrastruktur der Shore GmbH besteht 1. aus angemieteten Servern im Rechenzentrum eines deutschen Internet Service Providers (im Folgenden ISP) sowie 2. aus eigenen Servern und Computern in den Büroräumen (Desktops, Laptops). Dabei dienen die beim ISP angemieteten Server gleichermaßen dem Zweck der Entwicklung (z.B. Datenaufbereitung, Datenintegration, Programmierung, Softwaretesting) wie auch der Bereitstellung der gemäß Auftrag bzw. Lizenzvereinbarung erworbenen SaaS-Anwendung (im Folgenden Software) an den Auftraggeber. Die eigenen Server und Computer der Shore GmbH dienen ausschließlich dem Zweck der Entwicklung (z.B. Datenaufbereitung, Datenintegration, Programmierung, Softwaretesting) und Wartung der gemäß Auftrag bereitgestellten Software für den Auftraggeber. Alle Server und Computer werden durch die Shore GmbH selbst administriert. Alle angemieteten Server der Shore GmbH sind in Rechenzentren in der Bundesrepublik Deutschland, alle eigenen Server in den gesicherten Büroräumen der Shore GmbH in München verortet.

Die gemäß Auftrag zu verarbeitenden Daten werden ausschließlich auf nicht-portablen Servern der Shore GmbH und ausschließlich in verschlüsselter Form gespeichert. Es erfolgt keine Speicherung auf Computern (Desktops, Laptops). Dazu wird jedem Mitarbeiter, der mit der Verarbeitung der Daten beauftragt ist, von einem Systemadministrator der Shore GmbH ein eigener verschlüsselter Speicher zugewiesen, worauf nur der Systemadministrator und dieser Mitarbeiter Zugriff hat. Auf diesem Speicher werden nur solche Dateien abgelegt, die der Mitarbeiter für seine Arbeit im Rahmen der Auftragsbearbeitung benötigt. Ferner wird einzelnen Teams bzw. Mitarbeitergruppen ein gemeinsamer Speicher zugewiesen, sodass gemäß den Berechtigungen eine Verarbeitung erfolgt. 

Der Zugriff auf die zu verarbeitenden Daten ist ausschließlich aus dem internen Netzwerk in den Büroräumen vor Ort möglich und zusätzlich durch Passwörter geschützt. Der Zugriff auf das interne Netzwerk aus anderen Netzwerken kann nur über eine autorisierte und verschlüsselte VPN-Verbindung erfolgen.  Zugriffe auf personenbezogene Daten finden nur statt, sofern diese für die Entwicklung und/oder Bereitstellung der Software zwingend erforderlich sind; sofern möglich, wird mit anonymisierten bzw. simulierten Testdaten gearbeitet, die keinen Personenbezug aufweisen. 

Die bereitgestellten Softwareprogramme werden sowohl auf nicht-portablen Servern der Shore GmbH als auch auf eigenen Computern gespeichert. Die Speicherung erfolgt ausschließlich in verschlüsselter Form. Der Zugriff auf die verarbeitenden Softwareprogramme ist sowohl aus dem internen Netzwerk als auch über das Internet möglich. Der Zugriff auf die verschlüsselten Speicher ist durch Passwörter, individuelle Zugriffsschlüssel, Firewalls, SSL, VPNs und vergleichbare Sicherheitsmaßnahmen geschützt. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

  1. Angemietete Server in deutschen Rechenzentren

Die angemieteten Server sind bezüglich Integrität und Verfügbarkeit ausreichend durch das jeweilige Rechenzentrum, welches eine Zertifizierung mindestens nach ISO 27001 vorweist, geschützt. Ein entsprechender Nachweis der Zertifizierung liegt vor und wird dem Auftraggeber auf Verlangen zur Verfügung gestellt. Die angemieteten Server werden vollständig durch die Shore GmbH administriert – der ISP hat zu keiner Zeit die Möglichkeit, auf die Server bzw. die dort gespeicherten Daten und Softwareprogramme zuzugreifen.  

Zusätzlich zum zertifizierten Schutz der angemieteten Server durch das Rechenzentrum werden die zu verarbeitenden Daten und verarbeitenden Softwareprogramme durch folgende technische und organisatorische Maßnahmen geschützt:

a) Zutrittskontrolle 

Siehe o.g. Zertifizierungsnachweis von AWS

b) Zugangskontrolle  

Die Software ist durch Firewalls und Passwörter geschützt. Diese Passwörter bestehen stets aus Zahlen und Buchstaben und sind mindestens 16 Zeichen lang und das Passwort muss alle 90 Tage geändert werden.

c) Zugriffskontrolle  

Ein Zugriff auf das Betriebssystem der angemieteten Server ist ausschließlich über SSH möglich. Alle SSH-Zugriffe werden protokolliert. Es haben nur Administratoren Zugriff auf das Betriebssystem. Zudem werden sämtliche Aktionen auf Administrationsebene protokolliert.

Zugriff wird ausschließlich einzelnen Mitarbeitern der Shore GmbH gewährt, die diesen zur Entwicklung bzw. Bereitstellung der Software benötigen und bei denen der Auftragnehmer zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO sicherstellt, dass die mit der Verarbeitung der Daten befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Die zu verarbeitenden Daten auf den angemieteten Servern werden ausschließlich verschlüsselt gespeichert.

d) Weitergabekontrolle  

Zur Nutzung der Software durch den Auftraggeber werden individuelle, passwortgeschützte Zugriffskonten vergeben. Zusätzlich erhalten Mitarbeiter der Shore GmbH Zugriff über passwortgeschützte Zugriffskonten, sofern sie diesen zur Einrichtung bzw. Wartung der Software benötigen. Der Zugriff bei Serviceanfragen muss durch den Auftraggeber freigegeben werden. Diese Passwörter bestehen stets aus Zahlen und Buchstaben und Sonderzeichen und sind mindestens 8 Zeichen lang. Alle Verbindungen zur Software sind SSL-verschlüsselt. Der jeweils letzte Zugriff auf die Software wird mit den entsprechenden Zugangsdaten dokumentiert. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten zugriffsberechtigten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Die zu verarbeitenden Daten werden nach Auftragsbeendigung datenschutzgerecht gelöscht.

e) Eingabekontrolle

Um die unbefugte Eingabe, Veränderung und Entfernung von personenbezogenen Daten auf den angemieteten Servern auszuschließen, werden Veränderungen an den Daten auf Benutzerebene des Betriebssystems, auf Datenbank-, bzw. Dateisystemebene. protokolliert. Es können keine Änderungen an der Kernelebene vorgenommen werden. 

f) Verfügbarkeitskontrolle  

Auf den angemieteten Servern beim ISP ist:  

  • Eine Firewall eingerichtet.
  • Eine unterbrechungsfreie Stromversorgung (USV) eingerichtet.
  • Ein dauerhafter DDoS-Schutz aktiv.
  • Eine Festplatten-Spiegelung (Raid 1) oder anderweitige Redundanzlösung eingerichtet, um die Ausfallsicherheit zu erhöhen.
  • Ein Backup-Verfahren eingerichtet.

g) Trennungskontrolle  

Die Trennung des Produktiv- und Testsystems erfolgt durch Verwendung separater Server und/oder Servercluster im Rechenzentrum des ISPs. sowie der durch die Shore GmbH eingesetzten eigenen Server.

  1. Eigene Server und Computer in den Büroräumen der Shore GmbH

Zusätzlich zu den beim ISP angemieteten Servern setzt die Shore GmbH eigene, lokale Server und Computer (Desktops, Laptops) ein.

Die Büroräume der Shore GmbH sind durch folgende technische und organisatorische Maßnahmen nach Art. 28 Abs. 3 S. 2, lit. c, 32 DS-GVO geschützt:

a) Zutrittskontrolle

  • Elektronische Zutrittscodekarten
  • Videoüberwachung zum Gebäude allgemein
  • Alarmanlage
  • Schlüsselregelung und Anweisung zur Ausgabe von Schlüsseln sowie Protokollierung der Schlüsselvergabe
  • Begleitung von Besucherzutritten durch Mitarbeiter
  • Kontrolle durch die Mitarbeiter (4-Augen-Prinzip)
  • Spezialverglasung
  • Gesicherter Zutritt zu den eigenen Servern in geschlossenen Räumen
  • Aufbewahrung der Datenträger unter Verschluss

b) Zugangskontrolle  

  • Verschlüsselung von Netzwerken durch die Verschlüsselungsalgorithmen WPA2-PSK, SPLASH, PAGG.
  • Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen
  • Verwendung von individuellen Passwörtern
  • Passwortrichtlinie mit Mindestvorgaben zur Passwortkomplexität
  • Verpflichtung auf das Datengeheimnis
  • Programmprüfung und Freigabe bei Neuinstallationen durch Administrator
  • Aufbewahrung personenbezogener Daten in verschließbaren Sicherheitsschänken

c) Zugriffskontrolle  

Sämtliche Daten auf eigenen Servern und Softwareprogramme auf den eigenen Computern (Desktops, Laptops) werden ausschließlich verschlüsselt gespeichert und bei Versand über SSL, SHA2 und Salt verschlüsselt. Dazu wird jedem Mitarbeiter, der mit der Verarbeitung der Daten beauftragt wird, von einem Systemadministrator der Shore GmbH ein eigener verschlüsselter Speicher auf einem lokalen Server der Shore GmbH zugewiesen, worauf nur der Systemadministrator und dieser Mitarbeiter Zugriff hat. Auf diesem Laufwerk werden nur solche Dateien abgelegt, die der Mitarbeiter für seine Arbeit im Rahmen der Auftragsbearbeitung benötigt. Der Zugriff auf diese Laufwerke ist ausschließlich aus dem internen Netzwerk in den Büroräumen vor Ort möglich und zusätzlich durch Passwörter geschützt. Der Zugriff auf das interne Netzwerk aus anderen Netzwerken kann nur über eine autorisierte und verschlüsselte VPN-Verbindung erfolgen. 

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten zugriffsberechtigten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Der Zugriff wird nur aufgrund der Festlegung der Zugriffsberechtigung und des Berechtigungskonzepts gewährt. Es werden entsprechende Sicherheitssysteme für Software und Hardware eingesetzt, wie Virenscanner, Firewalls, SPAM-Filter, IPS und IDS. 

d) Weitergabekontrolle  

Die Büroräume sind ausgestattet mit:

  • LAN und verschlüsseltem WLAN 
  • Router mit Firewall
  • Passwortgeschützten Servern
  • Passwortgeschützten Computern (Desktops & Laptops)
  • Alle Computer von Mitarbeitern, die Zugriff auf die Daten und Softwareprogramme haben, sind dem Stand der Technik entsprechend verschlüsselt sowie mit Viren-Scanner und Personal Firewalls ausgestattet.
  • Alle externen Verbindungen zwischen Computern der Shore GmbH und Verbindungen der Computer zu Servern beim ISP sind SSL-verschlüsselt.
  • Datenträgerentsorgung erfolgt durch 3-fache Überschreibung (5220.22-M-Standard des US Verteidigungsministeriums)
  • Papierentsorgung erfolgt über Shredder gem. DIN 66399

Zur Wahrung der Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter auf die Vertraulichkeit verpflichtet wurden sowie zuvor und regelmäßig zu Datenschutz und Datensicherheit geschult werden.

Sämtliche verarbeitete Daten werden nach Auftragsbeendigung datenschutzgerecht gelöscht.

e) Eingabekontrolle

Die unbefugte Eingabe, Veränderung und Entfernung von Daten auf den eigenen Computern der Shore GmbH wird durch o.g. Maßnahmen zur Zugangs- und Zugriffskontrolle verhindert. Zum Zweck der Entwicklung bzw. Bereitstellung der Software ist eine solche Eingabe, Veränderung und Entfernung von Daten durch befugte Mitarbeiter der Shore GmbH jedoch zwingend erforderlich (Datenaufbereitung und -integration). Es liegt ein abgestuftes Berechtigungskonzept über die Zugriffe durch die Profile vor. 

f) Auftragskontrolle  

Jegliche Daten werden nach Weisung des Auftraggebers durch den bestehenden Vertrag verarbeitet. Eine Datenverarbeitung ohne vorliegender Weisung des Auftraggebers erfolgt nicht. Nach der Beendigung eines Bearbeitungsauftrags werden die entsprechenden Daten durch einen internen Systemadministrator der Shore GmbH datenschutzgerecht von den Servern und Computern gemäß dem Löschkonzept gelöscht. Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die Shore GmbH hat einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse. 

Es werden Vorabkontrollen bei Subunternehmern durchgeführt und das Datensicherheitskonzept überprüft.

g) Verfügbarkeitskontrolle  

Eine Verfügbarkeitskontrolle bezieht sich insbesondere auf die Bereitstellung der Software für den Auftraggeber über die beim ISP angemieteten Server. Siehe hierzu Punkt 1 f). Zusätzlich dazu sind nachfolgende Maßnahmen getroffen:

Auf den eigenen Servern ist: 

  • Eine Firewall eingerichtet
  • Eine unterbrechungsfreie Stromversorgung (USV) eingerichtet.
  • Eine Festplatten-Spiegelung (Raid 5 und Raid 10) oder anderweitige Redundanzlösung eingerichtet, um die Ausfallsicherheit zu erhöhen.
  • Ein Backup-Verfahren eingerichtet.
  • Auf den Computern ist: 
  • Antivirus, Virenscanner
  • Backup-Konzept

h) Trennungskontrolle  

Die Trennung des Produktiv- und Testsystems erfolgt durch Verwendung separater Server und/oder Servercluster im Rechenzentrum des ISPs, sowie der durch die Shore GmbH eingesetzten eigenen Server.


Technische und organisatorische Maßnahmen