LoyJoy

Technische und organisatorische Maßnahmen Art. 32 – LoyJoy

Die LoyJoy GmbH trifft die folgenden technischen und organisatorischen Maßnahmen (TOMS), um die Ausführung der Vorschriften der Datenschutzgrundverordnung zu gewährleisten. Anlage 1 zum AVV.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Maßnahmen

  • Manuelles Schließsystem
  • Kein Betrieb eigener Rechenzentren

Organisatorische Maßnahmen

  • Schlüsselregelung / Liste
  • Besucher in Begleitung durch Mitarbeiter

Zugangskontrolle

Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint.

Technische Maßnahmen

  • Login mit E-Mail-Adresse und Zugangstoken
  • Login mit Zugangsschlüssel im FIDO 2-Standard
  • Firewall
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Smartphones
  • Automatische Desktopsperre
  • Verschlüsselung von Notebooks / Tablets
  • Verwaltung von Endgeräten via Mobile Device Management
  • Sperrung des Zugangs zur LoyJoy Platform nach zu vielen Fehlversuchen

Organisatorische Maßnahmen

  • Verwalten von Benutzerberechtigungen
  • Erstellen von Benutzerprofilen
  • Richtlinie „Clean desk”
  • Besucher in Begleitung durch Mitarbeiter
  • Allg. Richtlinie Datenschutz und / oder Sicherheit
  • Anweisung „Manuelle Bildschirmsperre”
  • Nutzung externer Datenträger durch Richtlinie untersagt

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen

  • Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten

Organisatorische Maßnahmen

  • Einsatz Berechtigungskonzepte
  • Prozess zur Berechtigungsvergabe sowie dem Entzug von Berechtigungen
  • Minimale Anzahl an Administratoren
  • Verwaltung Benutzerrechte durch Administratoren

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Technische Maßnahmen

  • Trennung von Produktiv- und Testumgebung
  • Physikalische Trennung (Systeme / Datenbanken / Datenträger)
  • Mandantenfähigkeit relevanter Anwendungen inkl. Dienstleister

Organisatorische Maßnahmen

  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen

  • Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System

Organisatorische Maßnahmen

  • Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen

  • Protokollierung der Zugriffe und Abrufe
  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https
  • Patches und Updates werden automatisch für die LoyJoy-Infrastruktur angewendet. Automatisierte Updates sind auf den Geräten der Mitarbeiter aktiviert. Die Wirksamkeit wird regelmäßig überprüft.
  • Es werden ausschließlich verschlüsselte WLAN-Netze (mindestens WPA2) genutzt.
  • Einsatz von Verschlüsselung zur Gewährleistung der Integrität von Daten, Software und IT-Systemen gemäß dem Stand der Technik.

Organisatorische Maßnahmen

  • Nutzung externer Datenträger (z. B. USB-Sticks, externe Festplatten) ist durch interne Richtlinie untersagt.
  • Nutzung nicht freigegebener Datenaustauschplattformen und Cloud-Speicherdienste ist durch interne Richtlinie untersagt. Datenaustausch erfolgt ausschließlich über vom Unternehmen freigegebene und verschlüsselte Kanäle.

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten

Organisatorische Maßnahmen

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzerkennung
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Maßnahmen

  • Feuer- und Rauchmeldeanlagen
  • Automatische Prüfung der Verfügbarkeit mit Notifikation bei Nichtverfügbarkeit
  • Alle Firmencomputer sind mit Malware Protection ausgestattet

Organisatorische Maßnahmen

  • Kein Betrieb eigener Rechenzentren
  • Backup & Recovery-Konzept (ausformuliert)
  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
  • Notfallpläne

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

Die schnelle Wiederherstellbarkeit ist über die umfassenden Maßnahmen unserer Unterauftragsverarbeiter nach aktuellen technischen Standards gewährleistet.

Im Falle einer dauerhaften Nichtverfügbarkeit eines Unterauftragsverarbeiters würde der Auftragnehmer nach einer angemessenen Zeit den Betrieb auf einen alternativen Cloud-Dienstleister umstellen. Ist der Auftragnehmer für die Nichtverfügbarkeit verantwortlich, werden unverzüglich Mitigationsmaßnahmen eingeleitet.

Technische Maßnahmen

  • Automatisierte, regelmäßige Backups der Datenbanken und Anwendungsdaten
  • Georedundante Datenhaltung über mehrere Verfügbarkeitszonen des Cloud-Anbieters
  • Monitoring und automatische Alarmierung bei Störungen

Organisatorische Maßnahmen

  • Notfallpläne (Business Continuity) mit definierten Verantwortlichkeiten und Eskalationsstufen
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter hinsichtlich ihrer Wiederherstellungsfähigkeiten

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Technische Maßnahmen

  • Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
  • Bei unserem Infrastrukturanbieter Google Cloud EMEA liegt eine Zertifizierung nach ISO 27001 und PCI DSS vor.

Organisatorische Maßnahmen

  • Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
  • Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
  • Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DS-GVO nach
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen.

Technische Maßnahmen

  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz eines Spamfilters und regelmäßige Aktualisierung

Organisatorische Maßnahmen

  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Technische Maßnahmen

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
  • Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Technische Maßnahmen

  • Technische Durchsetzung von mandantenspezifischen Berechtigungen, sodass Zugriff auf personenbezogene Daten nur im Rahmen des jeweiligen Auftrags möglich ist
  • Technische Umsetzung automatisierter Löschroutinen nach Ablauf definierter Aufbewahrungsfristen
  • API-basierter Datenaustausch mit Auftraggebern ausschließlich über authentifizierte und verschlüsselte Schnittstellen

Organisatorische Maßnahmen

  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
  • Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags