TOMs

Technische und Organisatorische Maßnahmen

Windhund Workplace

Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenverarbeitung entfernt und gesondert aufbewahrt.

 

      1. Zutrittskontrolle

Maßnahmen, die Windhund umsetzt, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren, umfassen ein Zutrittsmanagement durch Schlüssel inklusive Dokumentation der Schlüsselausgabe, eine sichere Aufbewahrung nicht ausgegebener Schlüssel und elektronische Türöffner. Durch den elektronischen Türöffner werden alle Türöffnungen registriert, womit ein zusätzlicher Kontroll- und Sicherheitsaspekt umgesetzt ist.

Die Räumlichkeiten sind Windhund zur alleinigen Nutzung überlassen und Besucher werden stets durch Mitarbeiter von Windhund begleitet. Die Zutrittsrechte zu den Räumlichkeiten von Windhund werden entsprechend der Funktionen im Unternehmen geregelt. Allen Mitarbeitern wurde angewiesen, bei Abwesenheit die Fenster zu schließen und Außentüren abzuschließen.

Weitere Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, werden ausschließlich durch die in Anlage 2 genannten Sub-Auftragsverarbeiter betrieben. Die Verantwortung, angemessene Zutrittskontrollen zu implementieren, liegt beim jeweiligen Sub-Auftragsverarbeiter.

 

      1. Zugangskontrolle

Maßnahmen, die Windhund umsetzt, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (einschließlich Verschlüsselungsverfahren):

 

Zugangsschutz (Authentisierung):

Es besteht Zugangsschutz zu allen Datenverarbeitungssystemen durch Benutzer-Authentisierung. Die Passwörter müssen den Richtlinien im IT-Sicherheitshandbuch der Wirtschaftskammer Österreich in der 9. Auflage genügen. Die Benutzer sind angewiesen, Ihr Passwort geheim zu halten. Alle Mitarbeiter verwenden 1Password als Passwort-Manager für sämtliche Zugangsdaten. Der Zugang zu dem 1Password-Account ist mittels 2FA geschützt.

 

Gesicherte Übertragung von Authentisierungs-Geheimnissen (Credentials) im Netzwerk:

Die Übertragung der Authentisierungs-Geheimnisse über das Netz erfolgt verschlüsselt.

 

 

 

Festlegung befugter Personen:

Es existiert für jedes Datenverarbeitungssystem, welches Windhund im Einsatz hat, ein Rollenkonzept (vordefinierte Benutzerprofile).

Zugangsberechtigungen inklusive Rollen und Rechte werden individuell (personengebunden) auf need-to-know und need-to-have Basis vergeben. Jeder Nutzer hat in jedem System, welches bei Windhund im Einsatz ist einen eigenen, eindeutig zugeordneten Zugang, Zugänge werden nicht mit anderen Nutzern geteilt. Der Kreis der befugten Personen ist auf das betriebsnotwendige Minimum reduziert. Zugangsberechtigungen bei längeren Abwesenheiten von berechtigten Personen werden vorübergehend gesperrt.

 

Verwaltung und Dokumentation von personengebundenen Zugangsberechtigungen:

Für die Vergabe von Zugangsberechtigungen ist eine verantwortliche Person benannt. Es existiert eine Vertretungsregelung. Die Vergabe und der Entzug von personengebundenen Zugangsberechtigungen wird Dokumentiert.

 

Manuelle Zugangssperre:

Es existiert eine Richtlinie, Arbeitsstationen und Terminals bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung zu schützen, z.B. durch automatische oder manuelle Aktivierung des kennwortgeschützten Bildschirmschoners.

Die Nutzer werden über diese Vorgaben belehrt.

 

Es ist ein aktueller Virenschutz auf allen Arbeitsgeräten vorhanden.

 

      1. Zugriffskontrolle

Windhund gewährleistet, dass die zur Benutzung des Datenverarbeitungssystems Berechtigten ausschließlich auf die Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (einschließlich Verschlüsselungsverfahren):

 

Berechtigungskonzept / Umsetzung von Zugriffsbeschränkungen:

Windhund hat Regelungen zum Anlegen, Ändern und Löschen von

Berechtigungsprofilen umgesetzt. Zudem gibt es einen Verantwortlichen für die Vergabe von Zugriffsrechten. Jeder Zugangsberechtigte kann nur auf die Daten zugreifen, die er zur auftragsgemäßen Bearbeitung des jeweils aktuellen Vorgangs konkret benötigt und die in dem individuellen Berechtigungsprofil eingerichtet sind.

Alle Nutzer wurden über die Vorgabe einer „Clear-Desk“-Policy und „Clear Screen“-Policy belehrt. Es gibt ein Konzept für die Nutzung und Zuordnung der Laufwerke entsprechend der jeweiligen Zugriffsberechtigung und es kann ein Teilzugriff auf Datenbestände und Funktionen stattfinden.Externe Zugriffe auf das interne Netz sind auf das erforderliche Maß eingeschränkt.  Dies bedeutet, dass externe Zugriffe nur soweit gewährt werden, wie sie der Vertragserfüllung mit der TK dienen und ausdrücklich vereinbart worden sind.

 

Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen:

Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Zugriffsberechtigungen ist implementiert. Berechtigungen sind – soweit vom jeweiligen Datenverarbeitungssystem unterstützt – an eine persönliche Benutzerkennung und an einen Account geknüpft. Die Berechtigungen werden regelmäßig geprüft und aktualisiert. Entfällt die Grundlage für eine Berechtigung (z.B. durch Funktionsänderung), wird diese zeitnah entzogen.

 

Protokollierung des Datenzugriffs:

Alle sicherheitsrelevanten Login-, Logout-, Export- und Löschungsaktionen werden – soweit vom Datenverarbeitungssystem unterstützt – protokolliert und in Logfiles festgehalten. Zur Missbrauchserkennung werden bei Bedarf stichprobenartige Auswertungen vorgenommen.

 

      1. Auftragskontrolle

Windhund hat Maßnahmen umgesetzt, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden (Auftragskontrolle):

 

Ausübung der Kontrollpflichten:

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Ausübung seiner Kontrollpflichten.

 

Die Mitarbeiter sind auch nach deutschem SGB I § 35 zur Wahrung des Sozialgeheimnisses verpflichtet

 

Alle auftretenden Vorfälle werden dem Verantwortlichen gemeldet.

 

Der Auftragsverarbeiter hat alle Mitarbeiter über die Meldepflicht von Vorfällen informiert.

 

      1. Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben werden, werden nur für den jeweiligen Erhebungszweck getrennt voneinander verarbeitet.  Entwicklungs-, Test- und Produktivsysteme werden voneinander getrennt. Zudem besteht eine Mandantentrennung und es existiert ein Berechtigungskonzept, das der getrennten Verarbeitung der Auftraggeber-Daten von Daten anderer Kunden Rechnung trägt.

 

      1. Umgang mit Datenschutzverletzungen

Zum Umgang mit Datenschutzverletzungen wird auf die Datenschutzfolgeabschätzung verwiesen. Diese ist beim Datenschutzbeauftragten anforderbar.

Kontaktdaten Datenschutzbeauftragter: [email protected]

 

Windhund hat Maßnahmen umsetzt, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können und, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

 

Prozess zur Sammlung und Entsorgung:

Windhund hat Regelungen zur datenschutzkonformen Vernichtung von Datenträgern und Dokumenten umgesetzt.

 

Datenschutzgerechtes Lösch- / Zerstörungsverfahren:

Datenträger werden vor Wiederbenutzung durch andere Nutzer datenschutzgerecht formatiert; eine Wiederherstellung der gelöschten Daten ist nur mit unverhältnismäßigem Aufwand möglich. Auch Hardwarekomponenten oder Dokumente werden so gelöscht, dass eine Wiederherstellung gar nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Sollte eine Datenvernichtung nötig sein, erfüllen wir alle Anforderung der deutschen DIN 66399. So ist für Dokumente in Papierform beispielsweise ein Schredder mit Partikularschnitt in Gebrauch, welcher zur Aktenvernichtung der Sicherheitsstufe P-3 nach DIN 66399 entspricht.

Alle Mitarbeiter wurden über Regeln über den Umgang mit Datenträgern, deren Versand, Aufbewahrung und Entsorgung belehrt. Soweit möglich wird intern auf den Gebrauch von Wechseldatenträgern verzichtet um deren Missbrauch zu verhindern.

 

Sichere Datenübertragung zwischen Server und Client:

Die Datenübertragung zwischen Clients und Servern erfolgt verschlüsselt

(SSL/TLS, SSH oder VPN).

 

Übertragung im Backend:

Die Verbindung zu den Backendsystemen ist geschützt. Daten mit hohem Schutzbedarf werden verschlüsselt.

 

Mensch-Maschine-Authentisierung:

Eine gegenseitige Authentisierung erfolgt mittels kryptographischen Verfahrens.

 

      1. Eingabekontrolle

Maßnahmen die Windhund umsetzt, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle):

 

Es existiert ein Protokoll über Datenverarbeitungsvorgänge

 

Es existiert eine Dokumentation darüber, welche Personen aufgrund ihrer Aufgabenstellung befugt und verantwortlich sind, personenbezogene Daten in der Datenverarbeitungsanlage einzugeben, zu verändern oder zu entfernen.

Windhund setzt folgende Maßnahmen um, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle):

 

Backup-Konzept:

Es existiert ein Backup-Konzept.

 

Prüfung der Infrastruktur:

Es findet eine permanente Überwachung der Betriebsparameter statt.

 

Security Checks auf Infrastruktur- und Applikationsebene

 

      1. Rasche Wiederherstellbarkeit

Eine rasche Wiederherstellbarkeit ist gegeben.

 

      1. Weitere Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit

Bezüglich der Gewährleistung der Verfügbarkeit und Belastbarkeit der verwendeten Server verweisen wir auf die technischen und organisatorischen Maßnahmen unseres Serveranbieters. Diese sind anforderbar unter: [email protected]

 

Windhund hat einen Datenschutzbeauftragten bestellt.

 

Prozessdefinition / -kontrolle:

Für die Verarbeitung von Daten im Unternehmen existieren Prozesse und

Arbeitsabläufe. So existiert ein Klassifikationsschema für Daten, klassifiziert nach: geheim/vertraulich/intern/öffentlich. Die Umsetzung und Einhaltung der Prozesse wird kontrolliert.

 

Schulung / Verpflichtung:

Alle Benutzer werden zu folgenden Punkten geschult und ggf. verpflichtet. Den Grundsätzen des Datenschutzes, einschließlich technisch-organisatorischer

Maßnahmen. Der Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse einschließlich den Vorgängen des Verantwortlichen (§11 UWG), und dem ordnungsgemäßen und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen Unterlagen.

Die Schulungen sind dokumentiert und werden regelmäßig wiederholt, mindestens jedoch alle drei Jahre.

 

Schulung / Verpflichtung Betriebsfremder:

Firmenfremde erhalten erst dann Zugang zu Datenverarbeitungsanlagen, wenn diese schriftlich auf das Daten- und ggf. auch auf das Fernmeldegeheimnis bzw. weitere Verschwiegenheitsverpflichtungen verpflichtet und geschult wurden, bevor diese die Datenverarbeitungsanlagen in Betrieb nehmen und bedienen dürfen.

 

Vertreterregelung:

Für alle betriebsnotwendigen Aufgaben/Funktionen ist ein Vertreter festgelegt.