07.07.21 / Version 2.1
Der Locaboo GmbH Webserver befindet sich in einem Rechenzentrum der Hetzner Online GmbH mit Standort Gunzenhausen (Deutschland). Die Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zum Webserver können Sie entsprechend dem Dokument “Technische und organisatorische Maßnahmen” von Hetzner entnehmen.
Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden.
Umzsetzung zur Maßnahme:
Die Räumlichkeiten der Locaboo GmbH in denen Kunden-Daten erhoben, verarbeitet und/oder genutzt werden, werden ausschließlich von Mitarbeitern und entsprechend dieser Bestimmungen verpflichteten Vertragspartnern der Locaboo GmbH genutzt und betreten. Ausgenommen hiervon sind Personen, die sich zur Erfüllung der Verpflichtungen aus dem Rahmenvertrag in den Räumlichkeiten aufhalten müssen und die dabei während ihres gesamten Aufenthalts von Zutrittsberechtigten im Sinne des Satz 1 dieser Ziffer 1.1 begleitet werden.
Die Eingänge zu den Räumlichkeiten sind mit Sicherheitsschlüsseln gegen Zutritt Unbefugter gesichert.
Türen, Tore und Fenster werden außerhalb der Betriebszeiten fest verschlossen; Die Eingangstüre im Erdgeschoss sowie alle weiteren leicht zu erreichenden Zugänge zu den Räumen sind derart gesichert, dass diese Unbefugten nur erheblich erschwert zugänglich sind.
Die Vergabe von Zutrittsberechtigungen und von Schlüsseln ist nachvollziehbar dokumentiert. Das Betreten der Räumlichkeiten wird unverzüglich beim Betreten und für jeweils einen Zeitraum von einem Monat nach Betreten der Räumlichkeiten protokolliert.
Datensicherungen werden ständig in verschlossenen Sicherungsschränken aufbewahrt. Der Zugriff ist ausschließlich den zum Zweck der Vertragserfüllung von eingesetzten Mitarbeitern der Locaboo GmbH möglich.
Webserver, siehe “Technische und organisatorische Maßnahmen” von Hetzner.
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Umsetzung zur Maßnahme:
Schutz durch Authentifikations- und Autorisationssysteme; Wir verwenden Benutzerkennungen und komplexe Passwörter, sowie abgestufte Zugriffsrechte.
Zugang zur Erhebung, Verarbeitung und Nutzung der Kunden-Daten mit den eingesetzten Systemen nur an die zur Leistungserbringung eingesetzten Mitarbeiter und nur für den erforderlichen Umfang.
Personenspezifische Benutzerzugänge.
Technische Einschränkung für Nutzung Dritter, z.B. für die technische Wartung. Kein Zugriff auf Kunden-Daten durch Dritte ohne schriftliche Genehmigung durch den Auftraggeber.
Jede Vergabe von Zugängen und Zugriffsberechtigungen ist dokumentiert.
Passwort-Regel: Sichere Passwörter mit Sonderzeichen und mind. 8 Zeichen.
Passwörter-Änderung durch den Benutzer selbst alle 3 Monate.
Passwörter werden gesichert gespeichert und nicht an Dritte weitergegeben.
Übermittlung von Passwörtern wenn möglich verschlüsselt und ausschließlich an zur authentifizierte berechtigte Empfänger.
Webserver, siehe “Technische und organisatorische Maßnahmen” von Hetzner
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Umsetzung zur Maßnahme:
Benutzerverwaltung mit Passwortschutz
Logisches Berechtigungskonzept mit Rollen und Rechten pro Anbieter
Verwaltung der Rechte durch den Anbieter selbst
Passwortrichtlinie inklusive Passwortlänge
Webserver, siehe “Technische und organisatorische Maßnahmen” von Hetzner.
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Umsetzung zur Maßnahme:
Zugriff ausschließlich über verschlüsselte Datenübertragung (SSL)
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Umsetzung zur Maßnahme:
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelles Loggen mit Benutzernamen.
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Umsetzung zur Maßnahme:
Gemäß den Regelungen der vorliegenden Vereinbarung zur Auftragsdatenverarbeitung.
Entsprechende Unterweisung des Personals des Auftragnehmers und vertragliche Gestaltungen mit Subunternehmern.
Regelmäßige Prüfungen durch den Auftragnehmer im Hinblick auf die Ausführung dieser Vereinbarung.
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Umsetzung zur Maßnahme:
Datensicherungskonzept, Datensicherungsfestplatte pro Arbeitsplatz.
siehe “Technische und organisatorische Maßnahmen” von Hetzner.
Regelmäßige Datensicherungen (Backup- und Recoverykonzept).
Notfallprozeduren zur Datenwiederherstellung (Desaster-Management).
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Umsetzung zur Maßnahme:
Logische Mandantentrennung pro Anbieter
Rollen- und Berechtigungskonzept
Trennung von Produktiv- und Testsystem
siehe “Technische und organisatorische Maßnahmen” von Hetzner.
Es ist zu gewährleisten, dass ausreichende Verfahren zur Verschlüsselung und Pseudonymisierung angewendet werden, sofern dies auf Grund der Tätigkeit erforderlich ist.Umsetzung zur Maßnahme:
Verschlüsselte Verbindung via SSL
Passwortverschlüsselung der Benutzeraccounts
Trennung der Kunden-Accounts
Eine Pseudonymisierung ist aufgrund der Funktionsweise des Portals nicht erforderlich
Auflistung der umgesetzten Maßnahmen zur Gewährleistung eines kontinuierlichen Verbesserungsprozesses:
Durchführung regelmäßiger interner Audits.
Einsatz eines Incident-Management-Systems zur proaktiven Systemüberwachung und Fehler- bzw. Angriffserkennung. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich gemeldet werden. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
Desaster-Management-Konzept: Aufrechterhaltung des Betriebs auf Grund unterschiedlicher Notfallszenarien
Ein Backup-Konzept mit täglicher Statusprüfung, Auslagerung der Datensicherung, Widerherstellungstests und Vollsicherung über einen ausreichenden Zeitraum ist vorhanden.
Versionsmanagement des Software Sourcecodes
Bei der Verarbeitung von Daten wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts eine angemessene Datenschutzregelung getroffen. Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DS-GVO.
Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen.