Technische und organisatorische Maßnahmen

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 (1) DS-GVO für Auftragsverarbeiter (Art. 30 (2) lit. d DS-GV

  1. Technische und organisatorische Maßnahmen zur Datensicherheit

    Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.

  2. Zutrittskontrolle

    Die Server-Technik der Wikando GmbH , die personenbezogene Daten verarbeitet, befindet sich in namhaften großen deutschen Rechenzentren, dessen Eingänge und Ausgänge vollständig videoüberwacht sind. Ein elektronisches Zutrittskontrollsystem erlaubt nur autorisierten Rechenzentrum-Mitarbeitern und autorisierten Vertragspartnern den physikalischen Zutritt. Es bestehen Richtlinien zur Begleitung und Kennzeichnung von Externen im Gebäude. Alle Zutritte werden protokolliert.

  3. Zugangskontrolle

    Die Systeme der Wikando GmbH sind durch spezifische Benutzerkennungen und Passwortregelungen geschützt. Für die Passwortvergabe existieren Komplexitäts- Änderungungs und Wiederverwendungsrichtlinien. Der technische Zugriff auf die Serverumgebungen erfolgt über einen passwortabgesicheren verschlüsselten SSH-Zugang, der nur ausgewählten Mitarbeitern zur Verfügung steht. Eine Firewall limitiert die Port-Freigabe auf die minimal notwendigen Dienste. Die Datenbestände der Auftraggeber können nur von ausgewählten Mitarbeitern der Wikando GmbH über die FundraisingBox eingesehen und bearbeitet werden. Der protokollierte Mitarbeiter- Zugang ist passwortgeschützt und mit einer Zwei-Faktor-Authentifizierung abgesichert.

  4. Zugriffskontrolle

    Jeder Mitarbeiter der Wikando GmbH hat ausschließlich auf die für seinen Verantwortungsbereich relevanten Daten Zugriff. Dabei verhindern Autorisierungs- und Zugriffsregelungen, in Kombination mit den Zugangskontrollen, den unberechtigten Zugriff. Alle Zugriffe auf Server der Wikando GmbH, die personenbezogene Daten verarbeiten, werden protokolliert. Soweit nicht autorisierte Zugriffsversuche stattfinden, wird nach mehrfachen Fehlversuchen der Zugriff für den Anwender automatisch gesperrt. 
    Alle Rechner (auch Remote-Arbeitsplätze) verfügen mindestens über ein Zugangskontrollsystem mittels UserID und Passwort. Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Die Erteilung der Berechtigungen erfolgt in einem dokumentierten Genehmigungsverfahren. Das Erfordernis der Berechtigung wird regelmäßig überprüft.

  5. Weitergabekontrolle

    Soweit betriebliche Belange den Transport von Daten erfordert, werden diese ausschließlich per SSL oder SSH verschlüsselt übertragen und verschlüsselt gespeichert. Die Mitarbeiter der Wikando GmbH sind vertraglich zur Verschwiegenheit verpflichtet und haben sich im Rahmen des Arbeitsverhältnisses den Regeln der Vertraulichkeit unterworfen
    (Art. 29 DSGVO). Entsorgungsgut (Datenträger) mit schutzwürdigem Inhalt wird unter Beachtung des Vier-Augen-Prinzips vernichtet.

  6. Eingabekontrolle

    Personenbezogene Daten werden bei Spenden-Transaktionen automatisch durch die FundraisingBox erzeugt oder verändert. Die zum Einsatz kommende Software ist, zu jedem Zeitpunkt, nach aktuellen Stand der Technik, intensiv getestet und gewartet. Bei jeder Transaktion ist es ersichtlich, ob diese automatisch oder manuell angelegt wurde. Darüber hinaus wird für jede Transaktion eine eindeutige Transaktions-Nummer vergeben. Personenbezogene Daten können zusätzlich manuell gespeichert und verändert werden. Diese Eingaben können nur nach expliziter Anmeldung in der FundraisingBox erfolgen. Die Logins werden automatisch protokolliert. Bei jedem Personendatensatz ist der Besitzer, bzw. das Erstellungsdatum ersichtlich. Änderungen und Löschungen können nur von legitimierten FundraisingBox Nutzern vorgenommen werden. Löschungen und verantwortliche Nutzer werden automatisch protokolliert.

  7. Verschlüsselung

    Hierzu setzt Wikando für den elektronischen Transport Verschlüsselungsverfahren ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, dass den jeweiligen Daten angemessen ist.
    Dies sind für den elektronischen Transport zwischen Rechenzentrum
    und Verantwortlichem:
    über VPN-, https- oder TLS-Verbindung mit Zwei-Faktor-Authentisierung abgesichert.
    und Einzelpersonen: personenbezogene Daten der Nutzer über Internet, abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik
    und Mitarbeitern der Wikando: Verschlüsselte Verbindung mit Zwei-Faktor-Authentisierung oder One-Time-Password Verfahren
    Festplatten von Remote-Arbeitsplatz-Rechnern (Laptops) werden standardisiert nur vollverschlüsselt eingesetz t.

  8. Auftragskontrolle

    Die Mitarbeiter der Wikando GmbH werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen. Sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die AGB enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers. Der Weisungsrahmen ist insbesondere durchden schriftlich geschlossenen Vertrag zur Datenverarbeitung im Auftrag unter Berücksichtigung der Pflichtinhalte gemäß Art. 28 DSGVO sowie ferner durch die Anwendungsbeschreibung eindeutig vorgegeben.Die Wikando GmbH hat einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betriebliche Prozesse.

  9. Verfügbarkeitskontrolle

    Die Wikando GmbH betreibt ein mehrstufig ausgelegtes Backup- und Recovery-Konzept, das regelmäßig kontrolliert wird. Alle serverseitigen Datenverarbeitungssysteme sind georedundant ausgelegt. Es werden täglich Backups aller relevanten Daten durchgeführt. Die Datensicherung erfolgt auf physikalisch getrennten Systemen. Ausfallsichere Energieversorgungssysteme, sowie Brand- und Hochwasserschutzmaßnahmen sorgen an den Speicherorten für maximale Sicherheit. Alle Systeme der Wikando GmbH unterliegen der geregelten Kontrolle und Wartung durch eigenes Fachpersonal und durch vertraglich gebundene Servicetechniker.

  10. Trennungsgebot

    Im Rahmen der betrieblich veranlassten Datenverarbeitung sind Entwicklungs-, Test- und Produktionsdatenverarbeitung voneinander getrennt. Damit wird dem Trennungsgebot Rechnung getragen. Die Verarbeitung der für den Kunden betriebenen Systeme erfolgt datentechnisch separiert. Daten, die im Auftrag für den Auftraggeber verarbeitet werden, sind auf geeignete Weise gekennzeichnet. Damit ist eine unrechtmäßige Verquickung der Daten ausgeschlossen.

  11. Löschung von Daten

    Die Löschung der Daten erfolgt nach Ablauf der gesetzlichen oder vertraglichen Aufbewahrungsfristen. Sofern Daten hiervon nicht betroffen sind, werden sie gelöscht, wenn die mit der Auftragsdatenverarbeitung verbundenen Zwecke entfallen sind. Nach der Auftragsbeendigung erfolgt eine datenschutzgerechte Löschung der Daten, sofern diese nicht aufgrund gesetzlicher Vorschriften weiter aufbewahrt werden müssen oder dies zur Beweisführung bei ggf. Erhobenen Mängelansprüchen notwendig erscheint.

  12. Belastbarkeit der Systeme

    Wikando trifft für die Auftragsdatenverarbeitung in ihrer Server-Infrastruktur Maßnahmen für eine Systemstabilität, die dem Anspruch der großen Anzahl von Kunden und Spenden einer zuverlässigen, zeitgerechte, Verarbeitung der Daten gerecht wird. Wikando legt die Speicher-, Zugriffs- und Leitungskapazitäten der Systeme und Dienste so aus, dass sie auch an Tagen planerischer Spitzenbelastung ohne merkliche Verzögerung von Zugriffs- oder Übertragungszeiten genutzt werden können.

  13. Adäquate Maßnahmen

    Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. 

 

Stand 17.05.2018

 

AGB

Technische und organisatorische Maßnahmen

Leistungsbeschreibung