XQueue GmbH Datenschutzkonzept XQ:Campaign

Transkript

1 XQueue GmbH Datenschutzkonzept XQ:Campaign XQueue GmbH. Alle Rechte vorbehalten. Diese Dokumentation darf ohne vorherige schriftliche Genehmigung durch die XQueue GmbH weder teilweise noch ganz reproduziert, in Datenbanken gespeichert oder in irgendeiner Form übertragen werden. Der Inhalt dieser Dokumentation dient ausschließlich zu Informationszwecken, kann jederzeit geändert werden und stellt keine Verpflichtung seitens der XQueue GmbH dar. Für Fehler der in dieser Dokumentation enthaltenen Informationen wird keine Haftung übernommen. XQueue GmbH, Christian-Pleß-Str , Offenbach am Main Bearbeitungsstand: August 2014

2 I. Einleitung Das Datenschutzkonzept hat die Aufgabe intern die getroffenen Maßnahmen zum Datenschutz zu dokumentieren. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen im Rahmen der Auftragsdatenverarbeitung genutzt werden. II. Rahmenbedingungen Personenbezogene Daten dürfen nur verarbeitet werden, soweit die gesetzlichen Vorschriften dies zulassen oder der Betroffene ausdrücklich zugestimmt hat. Für die Dienstleistungen der XQueue GmbH als datenverarbeitende nicht-öffentliche Stelle und als Telekommunikationsdiensteanbieter haben dabei insbesondere die Vorschriften der 27 ff. des Bundesdatenschutzgesetzes (BDSG) und der 91 ff des Telekommunikationsgesetzes (TKG) datenschutzrechtliche Relevanz. Die Verarbeitung und Speicherung von Daten erfolgt im Rahmen der Erbringung der Dienstleistungen in dem Rechenzentrum der Firma Claranet GmbH (Hanauer Landstraße 196, Frankfurt am Main). Es wird lediglich Housing betrieben. Mitarbeiter der Firma Claranet GmbH haben keinen Zugang zu den datenverarbeitenden Anlagen. Der XQueue GmbH liegt ein vollständiges Datenschutzkonzept mit Technischen und organisatorischen Maßnahmen von der Firma Claranet GmbH vor, sowie ein Audit Zertifikat dieser Maßnahmen und das Prüfprotokoll. Letzteres ist nicht öffentlich einsehbar. Sollte dies benötigt werden, so schließt XQueue GmbH und der Interessent eine Geheimhaltungserklärung. Wir prüfen regelmäßig im laufenden Betrieb, ob die im Datenschutzkonzept zugesicherten technischen und organisatorischen Maßnahmen, insbesondere im Rahmen der Zutrittskontrolle eingehalten werden. Die Regelmäßigkeit wird hierbei durch die Besuche unseres Administrationsteams im Rechenzentrum bestimmt, was ungefähr einmal im Monat der Fall ist. Gemäß 11 Abs. 1 BDSG ist im Falle der Auftragsdatenverarbeitung grundsätzlich der Auftraggeber der XQueue GmbH für die Einhaltung des Datenschutzes gesamtverantwortlich. III. Betrieblicher Datenschutzbeauftragter Der Datenschutzbeauftragter der Firma XQueue nach 4f BDSG ist Herr Boris Budeck (datenschutz@xqueue.com), Christian Pleß Str.11-13, Offenbach am Main. IV. Erläuterung der Funktionsweise Die XQueue GmbH verarbeitet personenbezogene Daten in Form der sogenannte Adressdaten. Die Datensätze beinhalten je nach Kunde Stammdaten, Adresse und Nutzungsverhalten. Die XQ:Campaign ist in sogenannte Mandanten unterteilt. Der Zugriff eines Mandanten ist technisch auf seine eigenen Inhalte limitiert. Jeder Mandant verfügt über seine eigenen Adressdaten. Das Büro der XQueue GmbH ist per VPN an die datenverarbeitenden Anlagen bei Claranet angebunden. Ein Zugriff auf personenbezogene Daten im laufenden Betrieb ist nicht möglich XQueue GmbH. Alle Rechte vorbehalten. Seite 2 von 5

3 V. Technische und organisatorische Maßnahmen nach 9 BDSG und Anlage Die XQueue GmbH verarbeitet personenbezogene Daten in Form der sogenannte Adressdaten. Die Datensätze beinhalten je nach Kunde Stammdaten, Adresse und Nutzungsverhalten. Im Folgenden werden die unter datenschutzrechtlichen Gesichtspunkten relevanten Maßnahmen vorgestellt, die in Bezug auf die Betriebsleistungen der XQueue GmbH eingesetzt werden: 1. Zutrittskontrolle a) Zutrittskontrolle XQueue GmbH Der Zugang zum Büro ist verschlossen. Personalisierte elektronische Schlüssel haben die Mitarbeiter der Firma XQueue GmbH. Ein Auslesen der Protokolle des Schlosses ist möglich, sofern ein berechtigtes Interesse vorliegt. Unternehmensfremde Personen werden kontrolliert, wenn sie das Büro betreten möchten. Das Büro verfügt über eine Alarmanlage. b) Zutrittskontrolle Claranet Der Zutritt zu den Räumlichkeiten der Claranet für Dritte ist nur nach Klingeln und anschließender Anmeldung möglich. Besucher werden von einer Mitarbeiterin oder Mitarbeiter des Vertriebsinnendienstes persönlich abgeholt und müssen sich dann anmelden. Sie erhalten anschließend einen Besucherausweis der offen zu tragen ist. Dieser ist beim Verlassen der Büroräumlichkeiten wieder abzugeben. Die Vergabe und Abgabe des Ausweises wird protokolliert. Der Zutritt zu den Rechenzentren, in denen sich sämtliche datenverarbeitenden Systeme und Speichersysteme befinden, ist physisch besonders gesichert. Das Rechenzentrum und die Zugänge zur Bürofläche werden videoüberwacht. Der Service Desk verfügt über Monitore für die Videokameras und ist rund um die Uhr an 365 Tagen im Jahr besetzt. Der Notausgang des Rechenzentrums ist alarmgesichert. Zutritt zum Rechenzentrum wird nur autorisierten Personen gegeben. Autorisierte Personen sind in diesem Zusammenhang die Rechenzentrumsbetreuer der Claranet sowie die zum Zeitpunkt des Vertragsabschlusses definierten Ansprechpartner von Kunden, die Claranet als Anbieter von Rechenzentrumsdienstleistungen nutzen, letztere aber nur in Bezug auf ihre eigenen Systeme. Der Zutritt zu anderen Systemen ist nicht erlaubt und wird überwacht. Claranet verfügt für Mitarbeiter der XQueue GmbH über ein elektronisches Zutrittssystem für das Rechenzentrum, separierte Bereiche des Rechenzentrums sowie die Büroräumlichkeiten. Die Zutrittsrechte werden auf den jeweiligen Zutrittskarten oder Tokens der Mitarbeiter gespeichert und sind zeitlich begrenzt. Der Prozess zur Zuteilung der Rechte zum Rechenzentrumszutritt auf dem jeweiligen Zutrittskarten oder Token ist in der Checkliste Mitarbeiter-LifeCycle dokumentiert. Lieferanten, Kunden und sonstigen Dienstleistern wird nur nach Anmeldung, Identifikation und Registrierung sowie in Begleitung der Zutritt zum Rechenzentrum gewährt. Alle Serversysteme befinden sich in abgeschlossenen Schränken (Racks). Nur die Mitarbeiter, die zum Zutritt ins Rechenzentrum berechtigt sind, haben auch Zugriff auf die Schlüssel zu den Schränken. Die Systeme, für die Claranet Dienstleistungen im Sinne der Auftragsdatenverarbeitung erbringt, befinden sich in einem separierten Abschnitt des Rechenzentrums. Kunden erhalten keinen Zutritt zu diesem Abschnitt. 2. Zugangskontrolle 2014 XQueue GmbH. Alle Rechte vorbehalten. Seite 3 von 5

4 Allen Passwörtern liegt die interne Passwortrichtlinie der XQueue GmbH zugrunde, die Komplexität, Wechselturnus, etc. festlegt. a) XQueue GmbH Der Zugang zu den Rechnern im Büro ist mit Passwörtern gängiger Komplexität (mind. 8stellig, Zahlen, Groß- & Kleinbuchstaben, Wechselturnus 6 Monate) geschützt. Rechner müssen beim Verlassen des Arbeitsplatz gesperrt. Das Büro verfügt über ein WLAN, welches aber keinen Zugriff zum lokalen Netz, sondern nur zum Internet gewährt. Das WLAN ist WPA2 gesichert. b) Claranet GmbH Der Zugang zu den DV Anlagen ist mit einem Serverpasswort (mind. 12stellig, Zahlen, Groß- & Kleinbuchstaben, Sonderzeichen, Satzzeichen, Wechselturnus 3 Monate) geschützt. Dieses Passwort kennen nur die Mitarbeiter unseres Plattform Operations Teams. Der Server loggt jeden Zugriff mit Herkunft-IP. 3. Zugriffskontrolle Jeder Benutzer hat ein individuellen Nutzernamen und Passwort mit dem der Zugriff auf die DV Anlagen authentifiziert wird. Jeder Zugriff auf das System wird geloggt. Logfiles werden bei Bedarf überprüft. Automatische Monitoring Prozesse überwachen die Logfiles in Hinblick auf Auffälligkeiten (z.b. IP Zugriffe außerhalb Europas). Die Log Daten beinhalten keine personenbezogenen Daten und werden auch nicht nochmal separat gesichert. 4. Weitergabekontrolle XQ:Campaign verarbeitet und übermittelt personenbezogene Daten ausschließlich innerhalb eines lokalen Netzwerkes, welches entsprechenden Sicherungen unterliegt. Die Arbeit innerhalb der Plattform, inklusive Up- und Downloads wird auch mit SSL Verschlüsselung angeboten. 5. Eingabekontrolle Sämtliche Anfragen werden anonymisiert geloggt. Personenbezogene Daten werden nicht gespeichert. 6. Auftragskontrolle Mitarbeiter der Firma XQueue GmbH dürfen keine Datenverarbeitung vornehmen, ohne schriftlichen konkreten Auftrag des Auftragsgebers. 7. Verfügbarkeitskontrolle Die XQ:AdressCheck Server werden in zyklischen Abständen auf Datenträgern, die im selben Rechenzentrum sich im Rack befinden gesichert. Festplattensysteme an Servern werden RAID- Mechanismen eingesetzt, die die Ausfallsicherheit erhöhen. Alle Systeme werden über USV in den Rechenzentren abgesichert. Über diese Systemeinrichtungen gewährleistet die XQueue GmbH, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 8. Trennungskontrolle Daten, die zu verschiedenen Zwecken erhoben werden (bspw. Abrechnungsdaten und Log Daten) werden logisch voneinander getrennt gespeichert. VI. Abschluss 2014 XQueue GmbH. Alle Rechte vorbehalten. Seite 4 von 5

5 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit spiegelt das Datenschutzkonzept den derzeitigen Stand der Technik wieder. Die XQueue GmbH wird weitere adäquate Maßnahmen umsetzen und in weiteren Versionen dieses Konzeptes dokumentieren. Dabei darf das jeweils zuvor gültige Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. August 2014 XQueue GmbH Frank Strzyzewski (Geschäftsführer) XQueue GmbH Boris Budeck (Datenschutzbeauftragter) 2014 XQueue GmbH. Alle Rechte vorbehalten. Seite 5 von 5