Auftragsdatenverarbeitung. vom

Größe: px

Ab Seite anzeigen:

Download "Auftragsdatenverarbeitung. vom"

Adolf Otto
vor 5 Jahren
Abrufe

Anhang zur Anlage Auftragsdatenverarbeitung vom 15.06.2011 zwischen Internet Services GmbH Max-von-Laue-Str.

1 Anhang zur Anlage Auftragsdatenverarbeitung vom zwischen Internet Services GmbH Max-von-Laue-Str. 2b Landau - nachfolgend Auftragnehmer genannt - und rapidmail GmbH Zollstraße 11b Wentorf bei Hamburg - nachfolgend Auftraggeber genannt - Megaspace IS GmbH Max-von-Laue-Str. 2b Landau Seite 1 von 5

2 1. Gegenstand des Auftrags Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und / oder Leistungen: Personenbezogene Daten Sensitive Daten (vgl. 3 Abs. 9 BDSG) Der Auftragnehmer erbringt für den Auftraggeber nachfolgende Leistungen: Betrieb der Serverinfrastruktur in einem Rechenzentrum Anbindung der Server an das Internet Backup der Serversysteme nach Leistungsbeschreibung und Vereinbarung im Dienstleistungsvertrag Wartung und Updates des Serverbetriebssystems und der installierten Serverdienste wenn im Dienstleistungsvertrag für das Serversystem vereinbart. Kreis der von der Datenverarbeitung Betroffenen: Kunden Interessenten 2. Weisungsempfangsberechtigte Weisungen des Auftraggebers dürfen durch folgende Personen auf Auftragnehmerseite entgegengenommen werden: 1. Dominik Dausch (Geschäftsführer) 2. Thorsten Übel (Geschäftsführer) 3. Technische und organisatorische Maßnahmen zur Datensicherheit (1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind: a) Zutrittskontrolle Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird: Umzäunung des Rechenzentrum Geländes Fenster der Rechenzentrums Suite können nicht geöffnet werden alarmgesichertes Gebäude 24/7 Gebäudesicherheitsdienst im Rechenzentrum vor Ort Die Identität von Besuchern wird durch Ausweiskontrolle überprüft Die Zeit des Rechenzentrumsbesuchs wird am Empfang Protokolliert Megaspace IS GmbH Max-von-Laue-Str. 2b Landau Seite 2 von 5

3 Besucher dürfen nur nach vorheriger Anmeldung das Rechenzentrum betreten Zutrittskontrollsystem mittels Chipkarte zur Rechenzentrumssuite (elektronische Türsicherung) Das öffnen elektronischer Türen wird mit Zeitstempel Protokolliert Zutritt nur für vorher autorisierte Personen / Besuch muss vorab angemeldet werden Türen zu technischen Anlagen sind mit Schlössern gesichert Der Zutritt ist selektiv je Tür geregelt. Die Tür zur Suite wird automatisch nach 30 Sekunden verschlossen. 4-Augenprinzip bei Zutritt für Besucher, Kontrolle sowohl durch den Empfang als auch durch den RZ-Techniker. Zutritt zur Rechenzentrumsetage nur über Aufzug mit Fahrschlüssel Videoüberwachung b) Zugangskontrolle Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden: Die Serversysteme sind durch Kennwortschutz vor Fremdbedienung und Zugriff geschützt. Wartungszugriffe per Netztwerk erfolgen per SSH über eine verschlüsselte Verbindung mittels Benutzername und Passwort oder private Keys. Zugang zum Backupsystem über SSL Verbindung mit Benutzername und Passwort möglich. Datenträger werden nur innerhalb der Rechenzentrumssuite aufbewahrt Sämtliche Mitarbeiter sind auf das Datengeheimnis 5 BDSG verpflichtet Passwörter für Kundensysteme sind nur einem kleinen Personenkreis der betreuenden Admins zugänglich. c) Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können.: Kundenserver: Zugriff über Benutzernamen und Passwort oder Private Keys Nur administrativer Zugriff Protokollierung von administrativen Zugriffen inkl. Arbeitsstation Administrativer Zugriff vom Auftraggeber ist eingeschränkt. Megaspace IS GmbH Max-von-Laue-Str. 2b Landau Seite 3 von 5

4 Backupsystem: Zugangsrechte auf das Backupsystem werden restriktiv entsprechend der jeweiligen Aufgabe des Mitarbeiters vergeben. Die Nutzung (Login, Backup, Restore etc.) wird zusammen mit dem Benutzernamen protokolliert. Zugang über Benutzername und Passwort über gesicherte SSL Verbindung möglich d) Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: Daten werden während der Administrationsarbeiten nur verschlüsselt übertragen (gesicherte SSH Verbindungen) Unverschlüsselte Daten werden physikalisch nur durch den Auftragnehmer persönlich ohne Einschaltung von Drittunternehmen transportiert. Der Transport wird protokolliert. Bei physikalischem Transport durch Drittunternehmer werden Datensysteme nur verschlüsselt transportiert, die Übergabe und Übernahme wird protokolliert. Defekte oder nicht mehr benötigte Datenträger werden entweder durch mehrfaches Überschreiben gelöscht oder mechanisch vernichtet. Die Anfertigung von Kopien wird dokumentiert Der Bestand an Datenträger wird dokumentiert und regelmäßig überprüft. Für den administrativen Fernzugriff besteht eine Firmeninterne Regelung. Backups werden auf Vollständigkeit und Plausibilität geprüft e) Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind: Eine Eingabekontrolle wird vom Auftragnehmer nicht durchgeführt, da keine personenbezogene Daten auf Kundensystemen eingegeben werden. Beim Backupsystem wird protokolliert, wer wann auf welche Datei zugreift oder löscht. Megaspace IS GmbH Max-von-Laue-Str. 2b Landau Seite 4 von 5

5 f) Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: Vertragliche Regelung Regelmäßige Kontrolle der Auftragnehmer Auswahl der Auftragnehmer unter Berücksichtigung der Anforderungen des BDSG Aufträge müssen schriftlich erteilt werden g) Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: USV Anlage Dieselgenerator für Notstromversorgung Brandmeldeanlage redundante Stromzuführung redundante Klimatisierung Überwachung der Temperatur und Luftfeuchte mit Alarmierung Wassermelder Automatisierte Überwachung der Server und Backupsysteme mit Alarmierung (Monitoring) 24/7 technische Rufbereitschaft Serversysteme sind mit RAID Systemen ausgestattet CDP Backupsystem wenn beim Kundenserver vertraglich vereinbart. h) Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Für den Auftragsgeber werden keine Daten erhoben. Auf dem jeweiligen physikalischen / virtuellen Server werden ausschließlich Daten des Kunden gespeichert. Eine Vermischung mit anderen Daten findet nicht statt. Das Backupsystem ist Mandantenfähig. Jeder Mandant erhält nur Zugriff auf seine Daten. Die Trennung ist zusätzlich innerhalb eines Mandanten über verschiedene Benutzerkonten möglich, so dass eine Trennung auch pro gesichertem Serversystem erfolgen kann. Die Anlage von Mandanten ist nur für einen kleinen, besonders geschulten Personenkreis möglich. Megaspace IS GmbH Max-von-Laue-Str. 2b Landau Seite 5 von 5

Ähnliche Dokumente

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart e und organisatorische (TOM) i.s.d. Art. 32 DSGVO Der Firma avanti GreenSoftware GmbH Blumenstr. 19 70182 Stuttgart V 1.1.1 vom 13.06.2018 1 1. Zutrittskontrolle zu den Arbeitsbereichen, die geeignet sind,