Skip to content

DSGVO

(A) FÜR DATENTRÄGER CLOUD SERVICES GILT:

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

(1)  Vertraulichkeit gemäß Art. 32 Abs. 1 Lit. B DSGVO

Zutrittskontrolle:

Der Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen ist gewährleistet durch:

  • Portier, Sicherheitspersonal und Sicherheitsschleuse mit mehrstufigem Zugangskontrollsystem
  • Videoüberwachung des Eingangsbereichs, aller Korridore und der Datenverarbeitungsräume
  • Manuelle Schließsysteme (Versperrte Server-Schränke)
  • Dritte werden nur auftrags-/projektbezogen in Begleitung von Mitarbeitern tätig
  • Protokollierung der Besucher

 

Zugangskontrolle:

Maßnahmen, um die Nutzung der Datenverarbeitungssysteme durch Unbefugte zu verhindern:

  • Ausschließlich kabelbasierte Netzwerke (kein WLAN)
  • Aktivitäts-Überwachung (inkl. Alarmierung) nicht genutzter Netzwerk-Schnittstellen
  • Nicht genutzte Schnittstellen von Serversystemen (z.B. USB Ports) sind deaktiviert
  • Betrieb und laufende Weiterentwicklung von Firewalls
  • Dokumentierte Vergaberichtlinie für Benutzer-IDs und Schlüssel/Kennwörter
  • Zugang zu Datenverarbeitungssystemen mit persönlicher Benutzerkennung und privatem Schlüssel oder sicherem Passwort
  • Branchenübliche Kennwort Richtlinien
  • Protokollierung der Logins und fehlgeschlagener Logins
  • Automatische Sperrung von Benutzern

 

Zugriffskontrolle:

Maßnahmen, um sicherzustellen, dass jeder für die Datenverarbeitungssysteme berechtigte Benutzer ausschließlich auf die ihm berechtigten Daten zugreifen kann und personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verwendung von Standard Berechtigungsprofilen (Benutzergruppen/Rollen)
  • Eigene Zugänge für Applikationen
  • Regelmäßige anlasslose Überprüfung und Aktualisierung der Berechtigungen
  • Einzelüberprüfungen und Aktualisierungen in Anlassfällen (z.B. Abteilungswechsel eines Mitarbeiters)
  • Standardprozedere bei Ausscheiden von Mitarbeitern

 

Trennung:

Maßnahmen, um sicherzustellen, dass Daten, welche zu unterschiedlichen Zwecken erhoben wurden, getrennt gespeichert werden:

  • Logische Kundentrennung (softwareseitig)
  • Trennung durch eigene System-/FTP-Benutzer
  • Separation der Daten unterschiedlicher Kunden in getrennten Verzeichnissen (Shared Webhosting/Server- und Shared E-Mail-Hosting-Dienstleistungen) und auf eigenen Partitionen (virtuelle Server).

 

Zutrittskontrolle:

Der Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen ist gewährleistet durch:

  • Portier, Sicherheitspersonal und Sicherheitsschleuse mit mehrstufigem Zugangskontrollsystem
  • Videoüberwachung des Eingangsbereichs, aller Korridore und der Datenverarbeitungsräume
  • Manuelle Schließsysteme (Versperrte Server-Schränke)
  • Dritte werden nur auftrags-/projektbezogen in Begleitung von Mitarbeitern tätig
  • Protokollierung der Besucher

 

Zugangskontrolle:

Maßnahmen, um die Nutzung der Datenverarbeitungssysteme durch Unbefugte zu verhindern:

  • Ausschließlich kabelbasierte Netzwerke (kein WLAN)
  • Aktivitäts-Überwachung (inkl. Alarmierung) nicht genutzter Netzwerk-Schnittstellen
  • Nicht genutzte Schnittstellen von Serversystemen (z.B. USB Ports) sind deaktiviert
  • Betrieb und laufende Weiterentwicklung von Firewalls
  • Dokumentierte Vergaberichtlinie für Benutzer-IDs und Schlüssel/Kennwörter
  • Zugang zu Datenverarbeitungssystemen mit persönlicher Benutzerkennung und privatem Schlüssel oder sicherem Passwort
  • Branchenübliche Kennwort Richtlinien
  • Protokollierung der Logins und fehlgeschlagener Logins
  • Automatische Sperrung von Benutzern

 

Zugriffskontrolle:

Maßnahmen, um sicherzustellen, dass jeder für die Datenverarbeitungssysteme berechtigte Benutzer ausschließlich auf die ihm berechtigten Daten zugreifen kann und personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verwendung von Standard Berechtigungsprofilen (Benutzergruppen/Rollen)
  • Eigene Zugänge für Applikationen
  • Regelmäßige anlasslose Überprüfung und Aktualisierung der Berechtigungen
  • Einzelüberprüfungen und Aktualisierungen in Anlassfällen (z.B. Abteilungswechsel eines Mitarbeiters)
  • Standardprozedere bei Ausscheiden von Mitarbeitern

 

Trennung:

Maßnahmen, um sicherzustellen, dass Daten, welche zu unterschiedlichen Zwecken erhoben wurden, getrennt gespeichert werden:

  • Logische Kundentrennung (softwareseitig)
  • Trennung durch eigene System-/FTP-Benutzer
  • Separation der Daten unterschiedlicher Kunden in getrennten Verzeichnissen (Shared Webhosting/Server- und Shared E-Mail-Hosting-Dienstleistungen) und auf eigenen Partitionen (virtuelle Server).

 

(2)  Integrität gemäß Art. 32 Abs. 1 Lit. B DSGVO

Weitergabekontrolle

Maßnahmen, um sicherzustellen, dass personenbezogene Daten bei elektronischer Übertragung oder Speicherung sowie beim Transport der Datenträger nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Abhängig vom Projekt):

  • Zugang über VPN oder sonstige Zertifikatsbasierte oder HTTPS-verschlüsselte Remoteverbindung
  • Nutzung von Verbindungsverschlüsselung bei Systemübergängen
  • Führung einer Inventarliste zu externen Speichermedien und kontrollierte Datenträgervernichtung

 

 

Eingabekontrolle

Maßnahmen um sicherzustellen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, bearbeitet und entfernt worden sind:

  • Protokollierung (inkl. regelmäßiger Auswertung) von Verbindungsdaten/Zugriffen bei Shared Webhosting/Server- und Shared E-Mail-Server-Dienstleistungen
  • Protokollierung (inkl. regelmäßiger Auswertung) von Arbeiten bei System-Operating und Unterstützungs-Dienstleistungen (Transfer von Daten von Drittanbietersystemen)
  • Regelungen zum Zugriff auf Protokolle und zur Löschung von Protokollen

 

Systemsicherheit

  • Betrieb von Virenscannern und weiterer Software zur Schadsoftware-Erkennung
  • Nutzung von Firewalls und Intrusion Detection Systemen
  • Regelmäßige Sicherheitsprüfungen auf Infrastruktur- und Anwendungseben

 

Softwaresicherheit

  • Bei Shared Webhosting Dienstleistungen und Managed-Servern übernimmt der Auftragnehmer die laufende Wartung des Betriebssystems und der damit verbundenen Basis-Software (z.B.: Systembibliotheken)
  • Bei dedicated Systemen ist der Auftraggeber für die laufende Wartung der Systeme verantwortlich

Weitergabekontrolle

Maßnahmen, um sicherzustellen, dass personenbezogene Daten bei elektronischer Übertragung oder Speicherung sowie beim Transport der Datenträger nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Abhängig vom Projekt):

  • Zugang über VPN oder sonstige Zertifikatsbasierte oder HTTPS-verschlüsselte Remoteverbindung
  • Nutzung von Verbindungsverschlüsselung bei Systemübergängen
  • Führung einer Inventarliste zu externen Speichermedien und kontrollierte Datenträgervernichtung

 

Systemsicherheit

  • Betrieb von Virenscannern und weiterer Software zur Schadsoftware-Erkennung
  • Nutzung von Firewalls und Intrusion Detection Systemen
  • Regelmäßige Sicherheitsprüfungen auf Infrastruktur- und Anwendungseben

 

Softwaresicherheit

  • Bei Shared Webhosting Dienstleistungen und Managed-Servern übernimmt der Auftragnehmer die laufende Wartung des Betriebssystems und der damit verbundenen Basis-Software (z.B.: Systembibliotheken)
  • Bei dedicated Systemen ist der Auftraggeber für die laufende Wartung der Systeme verantwortlich

(3) Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit

Verfügbarkeit

Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor zufälliger oder mutwilliger Zerstörung und Verlust geschützt sind:

  • Serverbetrieb im e-shelter Rechenzentrum, 1100 Wien                                   

Schutzmaßnahmen im Datencenter:

  • USV (unterbrechungsfreie Stromversorgung)
  • Überspannungsschutz
  • Idealtemperatur-Klimatisierung und Luftbe- und -entfeuchtung
  • Schutz gegen Feuer und Wassereintritt
  • Redundante Netzwerk- und Server-Infrastruktur
  • Monitoring aller Server-Systeme durch internes und externes Monitoring
  • Spiegelung von Festplatten (Festplattenspeicher im RAID-Verbund)
  • Ersatzteile für Komponenten mit hoher und sehr hoher Ausfallwahrscheinlichkeit vor Ort lagernd

Belastbarkeit

 Vorhalten von Reservekapazitäten um Hardwareschäden zu kompensieren (Betrieb gespiegelter Systeme)

  • Vorhalten von Ersatz-Hardware um bei Hardwareschäden einen Notfallbetrieb zu gewährleisten
  • Robuste Notfallpläne mit laufender Evaluierung

Wiederherstellbarkeit (Backup- und Recovery-Konzept)

  • Regelmäßige Erstellung von Backups
  • Definition von Löschfristen für Backupdaten

 

Verfügbarkeit

Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor zufälliger oder mutwilliger Zerstörung und Verlust geschützt sind:

  • Serverbetrieb im e-shelter Rechenzentrum, 1100 Wien                                   

Schutzmaßnahmen im Datencenter:

  • USV (unterbrechungsfreie Stromversorgung)
  • Überspannungsschutz
  • Idealtemperatur-Klimatisierung und Luftbe- und -entfeuchtung
  • Schutz gegen Feuer und Wassereintritt
  • Redundante Netzwerk- und Server-Infrastruktur
  • Monitoring aller Server-Systeme durch internes und externes Monitoring
  • Spiegelung von Festplatten (Festplattenspeicher im RAID-Verbund)
  • Ersatzteile für Komponenten mit hoher und sehr hoher Ausfallwahrscheinlichkeit vor Ort lagernd

Belastbarkeit

 Vorhalten von Reservekapazitäten um Hardwareschäden zu kompensieren (Betrieb gespiegelter Systeme)

  • Vorhalten von Ersatz-Hardware um bei Hardwareschäden einen Notfallbetrieb zu gewährleisten
  • Robuste Notfallpläne mit laufender Evaluierung

Wiederherstellbarkeit (Backup- und Recovery-Konzept)

  • Regelmäßige Erstellung von Backups
  • Definition von Löschfristen für Backupdaten

 

(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Auftragskontrolle

Maßnahmen, um sicherzustellen, dass personenbezogene Daten nur auf Weisung des Auftraggebers verarbeitet werden können:    

  • Zwischen Auftragnehmer und eventuellen Subauftragnehmern werden bei Bedarf Auftragsdatenverarbeitungs-Verträge geschlossen.

 

Regelmäßige Evaluierung

  • Die Datenschutz-Agenden werden von den Zuständigen regelmäßig überprüft, evaluiert und angepasst.
  • Technische und organisatorische Maßnahmen werden laufend weiterentwickelt.

 

Datenschutz-Management

  • Es ist ein Datenschutz-Koordinator benannt
  • Die Kontaktdaten der Datenschutz-Koordinatoren sind öffentlich zugänglich
  • Mitarbeiter werden regelmäßig geschult

Incident-Response-Management

Ein organisatorischer und technischer Vorgang im Falle eines Sicherheitsvorfalls ist definiert und implementiert. Im Rahmen solcher Fälle erfolgt eine Nachbearbeitung und Kontrolle im Sinne eines  kontinuierlichen Verbesserungsprozesses.

  • Die Benachrichtigung des Auftraggebers durch den Auftragnehmer erfolgt unverzüglich
  • Alle Vorfälle werden dokumentiert und regelmäßig ausgewertet.

 

Datenschutzfreundliche Voreinstellungen

 Es ist sichergestellt, dass technisch-organisatorische Maßnahmen getroffen sind, welche dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen im Sinne des Art. 25 Abs. 2 DSGVO entsprechen:

  • Die Erfassung von Log-Aufzeichnungen erfolgt ausschließlich in anonymisierter Form. Eine Änderung des Log-Formats hin zu einer Aufzeichnung personalisierter Daten ist nicht vorgesehen.
  • Verzeichnisinhalte werden von Webservern standardmäßig nicht gelistet (DirectoryListing). Eine Änderung der Konfiguration ist durch den Auftraggeber möglich.
  • Shared Server- und vServer-Dienstleistungen weisen zum Zeitpunkt der Einrichtung die aktuellsten verfügbaren Software-Versionsstände auf.
  • Verbindungsverschlüsselung (SSL/TLS) steht bei Shared -Dienstleistungen kostenfrei zur Verfügung (Let‘s Encrypt).
  • Der Zugriff auf Mailbox-Inhalte ist bei Shared E-Mail-Server- und Shared Webhosting-Dienstleistungen ausschließlich bei aktiver Übertragungsverschlüsselung möglich.

 

 

Auftragskontrolle

Maßnahmen, um sicherzustellen, dass personenbezogene Daten nur auf Weisung des Auftraggebers verarbeitet werden können:    

  • Zwischen Auftragnehmer und eventuellen Subauftragnehmern werden bei Bedarf Auftragsdatenverarbeitungs-Verträge geschlossen.

 

Regelmäßige Evaluierung

  • Die Datenschutz-Agenden werden von den Zuständigen regelmäßig überprüft, evaluiert und angepasst.
  • Technische und organisatorische Maßnahmen werden laufend weiterentwickelt.

 

Incident-Response-Management

Ein organisatorischer und technischer Vorgang im Falle eines Sicherheitsvorfalls ist definiert und implementiert. Im Rahmen solcher Fälle erfolgt eine Nachbearbeitung und Kontrolle im Sinne eines  kontinuierlichen Verbesserungsprozesses.

  • Die Benachrichtigung des Auftraggebers durch den Auftragnehmer erfolgt unverzüglich
  • Alle Vorfälle werden dokumentiert und regelmäßig ausgewertet.

 

Datenschutzfreundliche Voreinstellungen

 Es ist sichergestellt, dass technisch-organisatorische Maßnahmen getroffen sind, welche dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen im Sinne des Art. 25 Abs. 2 DSGVO entsprechen:

  • Die Erfassung von Log-Aufzeichnungen erfolgt ausschließlich in anonymisierter Form. Eine Änderung des Log-Formats hin zu einer Aufzeichnung personalisierter Daten ist nicht vorgesehen.
  • Verzeichnisinhalte werden von Webservern standardmäßig nicht gelistet (DirectoryListing). Eine Änderung der Konfiguration ist durch den Auftraggeber möglich.
  • Shared Server- und vServer-Dienstleistungen weisen zum Zeitpunkt der Einrichtung die aktuellsten verfügbaren Software-Versionsstände auf.
  • Verbindungsverschlüsselung (SSL/TLS) steht bei Shared -Dienstleistungen kostenfrei zur Verfügung (Let‘s Encrypt).
  • Der Zugriff auf Mailbox-Inhalte ist bei Shared E-Mail-Server- und Shared Webhosting-Dienstleistungen ausschließlich bei aktiver Übertragungsverschlüsselung möglich.

 

(5)  Subunternehmer

Zurzeit sind für den Auftragsverarbeiter keine Subunternehmer zur direkten Verarbeitung personenbezogener Daten tätig. Für die Erfüllung von Support -Anfragen gelten die Software Hersteller und deren Support als Erfüllungsgehilfen Für die Bereitstellung der technische Infrastruktur der DatenTräger Cloud ist tätig:   DATAplexx IT und Telekommunikationslösungen GmbH | Hosnedlgasse 16A | A-1220 Wien   Tel.: +43 1 955 40 42 – 0 | Fax.: +43 1 955 40 42 – 200   Mail: info@dataplexx.com | Web: www.dataplexx.com | UID: ATU53315407 | FN: 216692s

(B) Für DocuWare Cloud Services gilt:

Technischen und organisatorischen Maßnahmen:

Der Auftraggeber kann die technischen und organisatorischen Maßnahmen auf der Internet Page des Auftragnehmers einsehen unter:

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

Unterauftragnehmer:

Der Auftraggeber kann die Unterauftragnehmer auf der Internet Page des Auftragnehmers einsehen unter: http://go.docuware.com/Subcontractors-cloud?lang=de