Falls Sie eine unterzeichnete Ausführung der AVV (inklusive TOM) benötigen, kontaktieren Sie uns.

Stand: 23. Juli 2020

Präambel

Wir – die Digital Republic Media Group GmbH, Mansfelder Str. 56, 06108 Halle (Saale), Deutschland – treffen bei der Erbringung der Dienste gemäß Hauptvertrag zusammen mit dem Kunden – nachstehend „Auftraggeber“ – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die folgenden technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Auswahl der Maßnahmen gliedert sich in die Bereiche:

  • Pseudonymisierung
  • Verschlüsselung
  • Vertraulichkeit und Integrität
  • Verfügbarkeit und Belastbarkeit
  • Wirksamkeitsprüfung

Pseudonymisierung

Maßnahmen zur Pseudonymisierung haben den Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

  1. Die Ablage und Zusammenführung personenbezogener Daten erfolgen anhand einer pseudonymisierten Nutzeridentifikationsnummer (User-ID).

Verschlüsselung

Maßnahmen zur Verschlüsselung haben den Zweck die Nutzung und den Missbrauch der Daten durch unberechtigte Dritte – mangels Schlüssel – zu verhindern.

  1. Die Kommunikation zwischen Servern und verbundenen Clients wird durchgehend unter Verwendung aktueller Technologien und akzeptierter Industriestandards verschlüsselt. Abhängig vom Client des Nutzers werden TLS1.2, 256-bit AES in GCM mit elliptischer Kurven-Kryptographie und Forward-Secrecy verwendet. Weitere Informationen zur Übertragungssicherheit finden Sie im Qualys SSL Report für Conceptboard.
  2. Gespeicherte Daten des Kunden werden mit symmetrischen AES256-Schlüsseln verschlüsselt.
  3. Nutzer-Passwörter werden nicht gespeichert. Stattdessen wird ein sicheres, auf kryptographischen Hashfunktionen basiertes Verfahren verwendet (“Salted Cryptographic Hash”).

Vertraulichkeit und Integrität

Maßnahmen zur Vertraulichkeit und Integrität dienen dem Schutz personenbezogener Daten vor unbefugter Preisgabe, sowie der Sicherstellung, dass die Systeme korrekt funktionieren, und die Daten unversehrt, das heißt vollständig und durch äußere Einflüsse unverändert, bleiben.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verfügen über umfangreiche und moderne Zutrittskontrollen (bspw. elektronische Zutrittskontrollsysteme, Kameraüberwachung, Einbruchmeldeanlagen, Wachpersonal) und implementieren Prozesse, die nachhaltig vor unbefugtem Zutritt schützen (bspw. festgelegte Sicherheitsbereiche, individuelle Zutrittsberechtigungsvergabe, rollenbasiertes Berechtigungskonzept). Weitere Informationen über die getroffenen Schutzmaßnahmen finden Sie im AWS Portal zur Cloud-Sicherheit.
  2. Die genutzten Büroräume verfügen über elektronische Zutrittskontrollsysteme und Kameraüberwachung der Eingangsbereiche. Es sind Prozesse zur individuellen Zutrittsberechtigungsvergabe, der Dokumentationen von Zutrittsberechtigungen, sowie Besucher-Regulierungen implementiert. Die Büroräume sind außerhalb der Arbeitszeiten verschlossen.
  3. Die öffentlich bereitgestellten Server-Systeme, die dedizierten Enterprise-Systeme je Mandant und die Entwicklungssysteme, sowie deren jeweiligen Datenspeicher- und Backup-Speicherorte, sind durch separate Netzwerke und Netzwerk-Segmente vollständig voneinander getrennt. Netzwerke und Netzwerk-Segmente sind durch restriktive Firewall-Regeln geschützt. Systemkomponenten sind entsprechend allgemein etablierter und akzeptierter Industriestandards verstärkt (bspw. Sperrung von nicht erforderlichen Ports, regelmäßige Software-Updates).
  4. Administrativer Zugang erfolgt nur über sichere Verbindungen (VPN mit Ende-zu-Ende-Verschlüsselung, separate Management-Netzwerke, Jump-Hosts, 2FA) und wird in Log-Files protokolliert. Zugänge zur Administration und zur Wartung sind eindeutig natürlichen Personen zugeordnet.
  5. Die Vergabe von Zugriffsrechten erfolgt unter Einhaltung spezifischer Genehmigungsregelungen und wird dokumentiert. Das Prinzip der geringsten Rechtevergabe (“Need-to-Know-Prinzip”), nachdem Nutzer nur diejenigen Zugänge erhalten, die für die Erfüllung ihrer Aufgaben nötig sind, wird eingesetzt. Zugriffsrechte für IT-Systeme werden regelmäßig überprüft und entzogen, sobald die geschäftliche Notwendigkeit für den Zugriff nicht mehr besteht. Kritische administrative Rechtekombinationen werden überwacht (“Separation-of-Duty-Prinzip”).
  6. Alle Mitarbeiter sind im Umgang mit vertraulichen Daten unterrichtet und schriftlich auf die Wahrung der Vertraulichkeit verpflichtet. Verbindliche Regeln für die Einsichtnahme in und die Offenlegung von sensiblen Daten, sowie schriftliche Richtlinien für die Übertragung und Weitergabe von Daten bestehen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich entsprechend den Weisungen des Auftraggebers.
  7. Arbeitsgeräte sind mit Sicherheitssoftware wie bspw. Firewalls, Antivirus-Software und Malware-Erkennung ausgestattet. Schriftliche Regelungen zum Umgang mit mobilen Geräten und Datenträgern, zur sicheren Datenlöschung, zur Vernichtung von Datenträgern, sowie zur Remote-Arbeit (Home-Office) bestehen. Unbeaufsichtigte IT-System werden automatisch gesperrt.
  8. Passwörter erfordern eine definierte Mindestkomplexität. Initiale Passwörter müssen nach der ersten Anmeldung geändert werden.

Verfügbarkeit und Belastbarkeit

Die Maßnahmen zur Verfügbarkeit und Belastbarkeit haben den Zweck, die Dienste und internen Betriebsabläufe, sowie deren Informationssicherheit, auch bei Betriebsstörungen und unvorhergesehenen Ereignissen zu gewährleisten.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verfügen über umfangreiche und moderne Brandmelde- und Löscheinrichtungen, Klima- und Temperaturregelungen, sowie Maßnahmen zum Überspannungsschutz und zur unterbrechungsfreien Stromversorgung (USV). Weitere Informationen finden Sie im AWS Portal zur Cloud-Sicherheit.
  2. Die Inbetriebnahme der bereitgestellten Produktiv-Systeme, deren Konfiguration und das Einspielen von Änderungen erfolgen nachvollziehbar und transparent über eine automatisierte Deployment-Infrastruktur (“Infrastructure-as-Code-Prinzip”).
  3. Backups der Produktiv-Daten erfolgen stündlich in inkrementeller Form und täglich als Voll-Backup. Alle Backups werden redundant und in verschlüsselter Form (AES256) über mehrere Geräte und mindestens 3 getrennte Einrichtungen – sofern nicht anders vereinbart oder anderweitig dokumentiert innerhalb der Rechenzentren der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verteilt vorgehalten. Technische Zugriffsbeschränkungen, automatische Historisierungs- und Lösch-Policies, sowie strikte organisatorische Vorgaben zum Umgang mit Backups sind implementiert.
  4. Disaster-Recovery-Prozesse für die Datenwiederherstellung und Prozesse zur stichprobenartigen Prüfung der Wiederherstellungsfähigkeit sind definiert.
  5. Capacity-Management-Maßnahmen zur Überwachung des Resourcen-Verbrauchs der Systeme sowie der Planung des zukünftigen Ressourcen-Bedarfs sind implementiert.
  6. Verfahren zum Umgang und der Meldung von Störungen (Incident-Management) inklusive der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle sind definiert.

Wirksamkeitsprüfung

Die Maßnahmen zur Wirksamkeitsprüfung dienen der regelmäßigen Kontrolle und Bewertung der Effektivität aller zuvor beschriebenen technischen und organisatorischen Maßnahmen.

  1. Datenschutzkoordinatoren sind definiert und beauftragt Änderungen in den internen Arbeitsprozessen aus Datenschutzsicht zu begleiten, auf Datenschutzaspekte hinzuweisen, und mit dem Datenschutzbeauftragten abzustimmen. Mitarbeiter sind angewiesen erkannte Verletzungen der Datenschutzbestimmungen, Verdacht auf mögliche Verletzungen, sowie sonstige Vorfälle mit Bezug zur Informationssicherheit umgehend den Datenschutzkoordinatoren zu melden. Disziplinarmaßnahmen bei Zuwiderhandlung gegen Geheimhaltungsverpflichtungen bestehen.
  2. Regelmäßige Besprechungen des Datenschutzbeauftragten mit den Datenschutzkoordinatoren inklusive der Überprüfung der Betriebsprozesse, welche die Verarbeitung von personenbezogenen Daten betreffen, und der Revision der zugehörigen technischen und organisatorischen Maßnahmen finden statt.
  3. Sicherheitsprüfungen (bspw. Penetrationstests) durch externe Parteien sind nach Absprache möglich und werden aktiv unterstützt. IT-Sicherheitsforscher, welche valide Sicherheitsrisiken identifizieren, werden öffentlich in Conceptboard’s Security Hall of Fame genannt.