FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1
1.1 Hosting 1.1.1 Räumliche Voraussetzungen Alle räumlichen Voraussetzungen werden durch unser geprüftes Rechenzentrum erfüllt. Der Zutritt ist durch Kartenleser und Code-Eingaben gesichert und mit Kameras überwacht. Der Raum verfügt über eine leistungsfähige Klimatisierung und Rack-Serverschränke. Die Stromversorgung ist gebäudeseitig gesichert. Die interne und externe Netzanbindung entspricht dem Stand der Technik. Die Absicherung gegen Angriffe von außen ist in einem aufwendigen Angriffs-Test eines großen Kreditkarten-Unternehmens erwiesen. 2 Service Level Management Alle angebotenen Services werden laufend überprüft und in einem Statusbericht festgehalten. Seite 2
3 Vorgehensweise zur Sicherung und Kontrolle der SLAs Die vereinbarten Kennzahlen/Berichte zur Messung der Servicequalität werden nicht nur zum Nachweis gegenüber dem Kunden erstellt, sondern entsprechen unserem Qualitätsverständnis. Grundsätzlich sind wir bemüht, Risiken rechtzeitig zu identifizieren und im Vorfeld Probleme zu vermeiden. Dies wird durch standardisierte Prozesse und Prozessdokumentationen sichergestellt. Viele Prozesse haben eine integrierte Qualitätssicherung mit Stichprobenkontrollen. Zum Beispiel werden Dateien, soweit nicht ausdrücklich ein automatisierter Versand vorgesehen ist, vor dem Versand im 4-Augen-Prinzip kontrolliert. Änderungen an Verfahren und Prozessen werden einem Freigabe-Verfahren unterzogen. Sollten Probleme trotz aller Bemühungen auftreten, werden sie zunächst intern analysiert und nach Lösungen gesucht. Alle Probleme sowie der Lösungsverlauf werden gemäß den im Leistungsschein definierten Eskalationsmechanismen berichtet. Seite 3
3.1 Datenschutz und Datensicherheit Alle Mitarbeiter erhalten bereits bei Einstellung eine Belehrung über die datenschutzrechtlichen Bestimmungen. Für Aufgaben die im Rahmen der Erbringung der Dienstleistung für den Kunden durchgeführt werden, sind die Geschäftsräume mit einer modernen protokollierenden Karten-Zugangskontrolle ausgestattet. Darüber hinaus sind der Arbeitsbereich und nochmals zusätzlich der Serverraum mit einer Video-Alarmanlage inkl. Anruffunktion auf eine Einsatzzentrale gesichert. Diese schaltet sich abends und für das gesamte Wochenende automatisch ein. Das Intranet ist gegenüber dem Internet mit allen derzeit gängigen Verfahren zur passiven und aktiven Zugriffssicherheit gesichert inkl. Doppel-Firewall und mehrfachem Virenschutz. Teile der Datenverwaltung sind in einem nochmals abgetrennten inneren Sicherheitsnetz abgeschirmt. Die Authentifizierung an der Workstation erfolgt mittels Eingabe von Benutzername und Passwort. Die differenzierten Benutzerrechte verhindern im Rahmen einer Speicherkontrolle unbefugten Schreib- und Lesezugriff sowie die Veränderung und Löschung personenbeziehbarer Daten. Schutz vor der unbefugten Datenextraktion besteht insoweit, als dass an den lokalen Rechnern keine Diskettenlaufwerke und keine CD-Brenner vorhanden sind. Die Datenübertragung mit Hilfe großvolumiger Systeme (FTP, ISDN) ist auf ausgewählte Benutzer beschränkt und protokolliert, die Geschäftskommunikation mit E-Mails wird komplett überwacht und protokolliert. Im Erfassungssystem ist nachvollziehbar gespeichert, welcher Erfasser welche Daten erfasst hat. Im Rahmen des Projektmanagements ist eine Planungsüberwachung und eine Qualitätssicherung hinterlegt, die gewährleistet, dass bei der Verarbeitung von personenbezogenen oder personenbeziehbaren Daten nur nach den Weisungen der Auftraggeber verfahren wird. Seite 4
Bis zur Übergabe an den Frachtführer wird durch eine Transportkontrolle sichergestellt, das Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Die Versendung von Datenträgern oder die Datenübertragung geschieht grundsätzlich - wenn nicht anders vom Auftraggeber bestimmt - mit einem Passwort geschützt. Personenbezogene Daten werden soweit nicht anders schriftlich vereinbart spätestens 6 Monate nach Auftragsdurchführung von Speichermedien im Datennetz gelöscht. Personenbezogene Daten werden soweit nicht anders schriftlich vereinbart im Rahmen des Datensicherungskonzepts auf externen Medien gesichert und zeitlich unbefristet vor unberechtigtem Zugriff geschützt im Bankschließfach aufbewahrt. Zugang zum Bankschließfach haben ein Geschäftsführer und ein Administrator. Eine Rücksicherung darf nur im Auftrag des Kunden zur erneuten Verwendung der Daten veranlasst werden. Eine Verwechslung mit anderen Kundendaten ist ausgeschlossen. Eine Wiederherstellung nach vollständiger Zerstörung der Betriebsstätte ist mit Hilfe dieser ausgelagerten Daten möglich. Durch die Benennung eines betrieblichen Datenschutzbeauftragten und einer Organisationskontrolle ist gewährleistet, dass die innerbetriebliche Organisation so gestaltet ist, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. PRODATA ist Mitglied im Deutschen Direktmarketing Verband (DDV) und wird hier zusätzlich regelmäßig freiwilligen Datenschutzkontrollen unterzogen. PRODATA hat mehrere Qualitätsauszeichnungen erhalten. Seite 5