Datenschutz, Techn. & organisat. Maßnahmen

Datenschutz, Techn. & organisat. Maßnahmen

Wir erheben, um unsere Services zur Verfügung stellen zu können, Daten unserer Nutzer. Dabei hat der Schutz Ihrer Daten für uns oberste Priorität. Wir möchten Ihnen im Folgenden die wesentlichen Punkte zusammenstellen, die wir als besonders wissenswert über den Umgang mit Ihren Daten betrachten.

Unsere vollständige Datenschutzerklärung können Sie hier einsehen.

Wir differenzieren in unserem Unternehmen zwischen zwei Arten von Daten: "Allgemeine Daten von Interessenten und Kunden" sowie "Buchhaltungsdaten unserer Kunden".

Allgemeine Daten von Interessenten und Kunden

Dies sind alle Daten, welche wir im Zuge von Anfragen, beim Anlegen eines Testaccounts, zu Zwecken der Abrechnung von Nutzerkonten oder, weil Sie sich für unseren Newsletter angemeldet haben, von Ihnen übermittelt bekommen haben - jedoch keine Buchhaltungs-Daten.

Auf diese Daten haben unsere Mitarbeiter Zugriff, sowie eine Reihe an Auftragsverarbeitern. Hierzu zählen u.A. unser CRM-System, unser E-Mail Provider, unsere Bank und unser Telefonanbieter.

Diese Daten genießen besonderen Schutz und wir treffen diverse Maßnahmen, welche Sie in den unten aufgeführten technischen und organisatorischen Maßnahmen nachlesen können, um diese Daten zu schützen.

Buchhaltungsdaten unserer Kunden

Höchste Sicherheitsvorkehrungen treffen wir für die Buchhaltungsdaten unserer Kunden, welche wir Ihnen im Folgenden kurz umreißen möchten:

  • Stark beschränkte Mitarbeiteranzahl: Lediglich vier Mitarbeiter haben technisch die Möglichkeit, auf Buchhaltungsdaten zugreifen zu können. Neben der Geschäftsführung und dem CTO ist dies unser Head of Backend Development.
  • Höchste Sicherheitsvorkehrungen: Die Serverinfrastruktur ist durch multiple Sicherheitsschranken gegen den Zugriff von außen geschützt.
  • Tägliche Backups nach verschiedenen Methoden auf räumlich getrennten Servern ermöglichen die schnelle Wiederherstellung der Daten im unwahrscheinlichen Fall eines Datenverlusts, etwa bei Hardware-Defekten
  • Lediglich zwei Auftragsverarbeiter (Hosting und OCR) kommen in Kontakt mit buchhaltungsrelevanten Daten
  • Deutsches Rechenzentrum, nach ISO 9001, 14001, 22301, 27001, 27018 und 50001 zertifiziert. Sicherheitsaudits haben Bankenstandard.

Technische und organisatorische Maßnahmen

Im Folgenden beschreiben wir Ihnen in Auszügen unsere technischen und organisatorischen Datenschutzmaßnahmen.
Eine genaue Auflistung sämtlicher Maßnahmen finden Sie in unserer Auftragsverarbeitungs-Vereinbarung, welche Sie hier herunterladen können.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

A) Zutrittskontrolle

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (geeignete Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet, zu verwehren):

  • Schließsystem mit Codesperre
  • Chipkarten / Transpondersysteme
  • Besucher: Anmeldung und Protokoll am Empfang
  • Besucher nur in Begleitung durch Mitarbeiter
  • Empfang, 24/7 Security im Eingangs und Außenbereich

Die eigenen Büro- und Geschäftsräume des Auftragnehmers sind mit verschlossenen Türen und
Schließsystemen versehen, so dass ein unbefugter Zutritt von Dritten wirksam unterbunden werden
kann. Während der Geschäftszeiten gibt es eine Besucherregelung, die unter anderem vorsieht, dass
jeder Besucher sich nicht ohne Begleitung durch die Büroräume bewegen kann.

Im Rechenzentrum sind folgende Maßnahmen getroffen:

  • Zutritt zum Gebäude nur durch Legitimation über eine persönliche Code-Karte (RFID)
  • Besucher können nur nach vorheriger Anmeldung das Gebäude betreten. Während des
    gesamten Aufenthalts begleitet mindestens ein Mitarbeiter die Gäste, welche einen
    gesonderten Ausweis erhalten, der jedoch keinen Zutritt zu geschützten Bereichen ermöglicht
  • Wachschutz 24h/Tag, 365 Tage im Jahr, Kontrollgänge werden durchgeführt
  • Alarmanlagensystem mit Aufschaltung auf örtliche Polizeidienststellen
  • abgesichertes Rechenzentrum mit eigenem Eingang, geschützt durch speziell codierte
    Zugangskarten (personenbezogen, RFID)
  • Schleusensystem, Kameraüberwachung und Protokollierung von Zugängen sichern den
    Aufenthalt ab
  • Serverracks sind verschlossen und werden nur im Bedarfsfall geöffnet. Die Schlüssel zu den
    Racks liegen in einem verschlossenen Safe, zu dem nur autorisierte Personen Zugang haben

B) Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können.

  • Login mit Benutzername sowie geeignetem Kennwortverfahren (u.a. Sonderzeichen,
    Mindestlänge, bedarfsorientierter Wechsel des Kennworts)
  • Einsatz aktueller Antivirus-Client (Endpoint-Security)
  • Einsatz aktueller Antivirus-Software für mobile Endgeräte (insbesondere Notebooks)
  • Einsatz von VPN-Verbindungen bei Remotezugriffen
  • Sperre von externen Schnittstellen (insb. USB)
  • Automatische Bildschirm- bzw. Desktopsperre
  • Verschlüsselung von Datenträgern (insb. Festplatten)
  • Verschlüsselung von Datenträgern in mobilen Endgeraten (u.a. Notebooks, Tablets,
    Smartphones)
  • Einsatz moderner Firewall Technologien (Bsp. Application Layer Firewall, Intrusion Detection
    System, Intrusion Prevention System etc.)
  • Verwalten von Benutzerberechtigungen durch Systemadministratoren
  • Erstellen von Benutzerprofilen (insbesondere Einrichtung eines Benutzerstammsatzes pro
    User)
  • Richtlinie für die Erstellung und Verwendung sicherer Passwörter sowie Logindaten
  • Richtlinie für einen aufgeräumten Schreibtisch (Clean-Desk-Policy

Alle vorstehenden Punkte werden durch den Auftragnehmer erfüllt.
Alle IT-Systeme und Applikationen des Auftragnehmers sind erst nach vorheriger Authentifizierung
zugänglich.

Die Mindestpasswortlänge beträgt derzeit 20 Zeichen. Passwörter müssen zudem komplex sein (Groß-
/Kleinbuchstaben, Ziffern, Sonderzeichen).

Alle Server-Systeme sind mit Firewall-Technologie (Hardware) gesichert. Auf allen Systemen ist
moderne Antiviren-Software installiert, bei der eine regelmäßige Aktualisierung gewährleistet ist.

C) Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können,
und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Aktenvernichter (Sicherheitsstufe 5 nach DIN 66399)
  • Einsatz externer Datenvernichter zur Löschung / Vernichtung von Daten und Datenträgern
    wie Festplatten, PCs, Notebooks und sonstiger Speichermedien (zertifiziert, AVV erforderlich)
  • Protokollierung der Zugriffe auf Anwendungen, insbesondere von Eingabe, Änderung und
    Löschung von Daten
  • Einsatz eines Berechtigungskonzepts inkl. Rollendefinition
  • Richtlinie zur Verwendung von Datenverarbeitungsanlagen bzw. Datenträgern (u.a. Verbot
    zur Nutzung privater Geräte)
  • Kontrolle der ordnungsgemäßen Löschung von Daten und Vernichtung von Datenträgern
    anhand von Stichproben
  • minimale Anzahl an Administratoren (Begrenzung auf die unbedingt erforderliche Anzahl)

Alle vorstehenden Punkte werden vom Auftragnehmer erfüllt. Die Protokollierung erfolgt im
jeweiligen System oder, sofern technisch nicht möglich, an separater Stelle.

Ein Berechtigungskonzept ist im Einsatz. Alle Applikationen und Datenbanken sehen eine differenzierte
Einräumung von Berechtigungen vor (Profile, Rollen, Transaktionen und Objekte). Im
Verantwortungsbereich des Auftragnehmers werden Berechtigungen ausschließlich nach dem „Need-to-know-Prinzip“ vergeben.

Bei ausscheidenden Mitarbeitenden wird dafür Sorge getragen, dass die Berechtigungen rechtzeitig
wieder entzogen werden.

Die Zugriffsrechte von Datenbanknutzern sind auf das Notwendigste reduziert, um die Integrität der
Daten bestmöglich zu gewährleisten.

D) Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von
Daten mit unterschiedlichen Zwecken:

  • Trennung von Produktiv- und Testumgebung
  • Physikalische Trennung von Systemen, Datenbanken und Datenträgern
  • Strikte räumliche Trennung von Arbeitsplätzen und Servern
  • Mandantenfähigkeit relevanter Anwendungen
  • Steuerung über Berechtigungskonzept
  • Festlegung/Zuweisung von Datenbankrechten
  • Datensätze sind mit Zweckattributen versehen (so dass eine zweckgebundene Verarbeitung
    jederzeit gewährleistet ist)

Eine Trennung der Daten ist so jederzeit gewährleistet.

E) Pseudonymisierung (Art. 32 Abs. 1 lit. DSGVO, Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden
können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende
technischen und organisatorischen Maßnahmen unterliegen:

  • Soweit Pseudonymisierung verwendet wird: Trennung der jeweiligen Zuordnungsdaten und
    Aufbewahrung in getrennten und abgesicherten Systemen (unter Verwendung einer
    geeigneten Verschlüsselung

Eine Pseudonymisierung wird je nach Schutzbedarf der personenbezogenen Daten angewendet.

2. Integrität (Art. 32. Abs. 1 lit. b DSGVO)

A) Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung
oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an
welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist.

  • Einsatz von VPN geschützten Verbindungen (Virtual Private Network)
  • E-Mail-Verschlüsselung (i.d.R. SSL/TLS)
  • Bereitstellung von Daten mittels verschlüsselter Verbindungen wie sftp, https etc.
  • https verschlüsselte Datenübertragung über Website und Webapp
  • Einsatz von aktueller Firewall

Alle vorstehenden Punkte werden vom Auftragnehmer erfüllt.

Der Auftragnehmer gibt grundsätzlich keine Daten an Dritte weiter, sofern dies nicht zu den
Vertragspflichten gegenüber dem Auftraggeber gehört.

Es werden verschlüsselte Verbindungen zur Nutzung der Applikation verwendet.

B) Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder
entfernt (gelöscht) worden sind:

  • Stichproben und Anlass basierte Kontrolle von Protokollen
  • Sicherstellung durch Übersicht mit welchen Programmen welche Daten eingegeben,
    geändert oder gelöscht werden können
  • Die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten wird durch
    individuelle Benutzernamen mit einem Benutzer gewährleistet
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines
    Berechtigungskonzepts
  • Klare Zuständigkeiten für Vornahme/Kontrolle/Protokollierung von Löschungen
  • Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschung von Daten
    (durch Logfiles). Der Zugriff auf Datenbestände erfolgt anhand von Berechtigungen. Das
    Verfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden
    können

Die Eingabe, Änderung und Löschung von Daten werden, soweit technisch und unter angemessenem
Aufwand möglich, protokolliert. Vornahmen von Eingaben oder Datenveränderungen können Nutzern
zugeordnet werden.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

Maßnahmen zur Datensicherung (physikalisch/logisch):

  • Moderne Feuer- und Rauchmeldeanlage (Büros / Rechenzentrum)
  • Inertgas-Löschanlage (Rechenzentrum)
  • Klimatisierter Serverraum (Rechenzentrum)
  • USV (Unterbrechungsfreie Stromversorgung, insbesondere Rechenzentrum)
  • RAID System (gespiegelte Festplatten, Rechenzentrum)
  • Serverräume sind hochwassergeschützt errichtet (Rechenzentrum)
  • Videoüberwachung Serverraum (Rechenzentrum)
  • Alarmmeldung bei unberechtigtem Zutritt zu Serveräumen (Rechenzentrum)
  • Sprinkleranlage (Rechenzentrum)
  • Brandklasseneinteilung (Kennzeichnung besonders gefährdeter Räume, Rechenzentrum)
  • Feuerlöscher an/in den PC-Arbeitsräumen (Rechenzentrum / Büros)
  • Einsatz eines geeigneten Antivieren Programms
  • Bestehendes Backup & Recovery-Konzept
  • Regelmäßige Test zur Datenwiederherstellung und Protokollierung der Ergebnisse
  • Backups und Sicherungsmedien werden örtlich getrennt aufbewahrt
  • Keine sanitären Anschlüsse im oder oberhalb der Serverräume
  • Vorliegen eines geeigneten Notfallplans
  • Getrennte Partitionen für Betriebssysteme und Daten

Alle eingesetzten Serversysteme arbeiten mit gespiegelten Festplattensystemen (RAID). Das BackupKonzept sieht mindestens eine tägliche inkrementelle und eine wöchentliche Vollsicherung vor. Die Backups werden örtlich getrennt aufbewahrt. Ausgelagerte Backups werden zudem verschlüsselt.

Alle Serversysteme im Rechenzentrum verfügen über eine unterbrechungsfreie Stromversorgung
(Akkus und Dieselgeneratoren).

Ein Inergen-Gas basierendes Feuerlöschsystem mit Aufschaltung auf örtliche Feuerleitstellen ist im
Einsatz.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

A) Datenschutz-Management

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit
    Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Intranet, CollaborationSoftware etc.)
  • Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich
    durchgeführt
  • Bestehende Sicherheitszertifizierung nach ISO 27001, BSI-Grundschutz, ggf. weitere oder
    sonstige Zertifizierungen, u.a. VdS-Zertifikat)
  • Externer Datenschutzbeauftragter bestellt – dessen Kontaktdaten sind auf der Website des
    Verantwortlichen jederzeit einsehbar
  • Regelmäßige und dem individuellen Bedarf angepasste Schulung der Mitarbeiter zum
    Datenschutz
  • Durchführung Datenschutz-Folgenabschätzung soweit erforderlich
  • Erfüllung sämtlicher Informationspflichten nach Artt. 13 und 14 DSGVO
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen durch Betroffene

Alle vorgenannten Maßnahmen werden umgesetzt und regelmäßig überprüft und bei
Änderungsbedarf entsprechend angepasst. Die getroffenen Maßnahmen werden entsprechend
protokolliert.

B) Incident-Response-Management

  • Einsatz von Firewall und regelmäßige Aktualisierung (s. auch Zugriffskontrolle)
  • Einsatz von Spamfilter und regelmäßige Aktualisierung
  • Einsatz geeigneter sowie regelmäßig aktualisierter Antivirus-Software (mit Virenscanner)
  • Einsatz eines Intrusion Detection Systems (IDS) zur Aufdeckung von Sicherheitsvorfällen
    (Netzwerk)
  • Einsatz eines Intrusion Prevention Systems (IPS) zur Behebung und Einleitung von
    Gegenmaßnamen bei Sicherheitsvorfällen
  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
    (dieser berücksichtigt ebenfalls Meldepflicht gegenüber Aufsichtsbehörde und Betroffenen)
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Einbindung von DSB und der IT-Sicherheit in Sicherheitsvorfälle und Datenpannen
  • Dokumentation von Sicherheitsvorfällen und Datenpannen (u.a. Ticketsystem)
  • Definierter Prozess sowie Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen
    und Datenpannen

Sämtliche genannten Maßnahmen werden umgesetzt sowie die Verfahren in einem angemessenen
Umfang auf Aktualität und insbesondere deren Wirksamkeit hin überprüft.

C) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Privacy by design & Privacy by default:

  • Die Gestaltung und Voreinstellungen von Softwares und anderen Verarbeitungsvorgängen
    gewährleisten, dass lediglich solche personenbezogenen Daten verarbeitet, die für den
    jeweiligen Zweck auch tatsächlich erforderlich sind
  • Technische Maßnahmen gewährleisten die einfache Ausübung des Widerrufsrechts von
    Betroffenen

D) Auftragskontrolle (Outsourcing)

  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen sowie der
    Dokumentation (Vorabüberzeugungspflicht)
  • Sorgfältige Auswahl des Auftragnehmers (insbesondere hinsichtlich Datenschutz und
    Datensicherheit)
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EUStandardvertragsklauseln
  • Weisungen an den Auftragnehmer erfolgen grundsätzlich ausschließlich schriftlich oder in
    Textform (mündliche Weisungen werden zusätzlich entsprechend schriftlich oder in Textform
    erteilt)
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf den Datenschutz & Vertraulichkeit
  • Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei
    Vorliegen einer Bestellpflicht
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  • Regelung zum Einsatz weiterer Subunternehmer
  • Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus bei längerer
    Zusammenarbeit
  • Sicherstellung der Löschung /Vernichtung von Daten nach Beendigung des Auftrags

Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des
Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge
Auswahl des Dienstleisters und Vorabüberzeugungspflicht.


Stand: 04 / 2020