Toms

Technische und organisatorische Maßnahmen von Wunderkopf Technologies GmbH gem. Art. 32 Abs. 1. DSGVO


Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zweck der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheit natürlicher Personen wurden von der Wunderkopf GmbH folgende technische und organisatorische Maßnahmen getroffen.

1. Pseudonymisierung

  • Bei einer Auswertung der Daten in Form von Statistiken werden diese pseudonymisiert. In allen anderen Fällen kann aufgrund der produktspezifischen Anforderung bei der Datenverarbeitung diese nur mit nicht pseudonymisierten Daten durchgeführt werden.

2. Verschlüsselung

  • Wo immer technisch möglich, wird auf den Systemen eine Verschlüsselung der Daten durchgeführt (z.B. Passwort Hash).
  • Alle Webseiten werden auf eine verschlüsselte Verbindung umgeleitet (aktuell TLS 1.2 oder höher).
  • Der Zugriff auf E-Mail Postfächer sowie der Versand von E-Mails erfolgt mittels TLS/StartTLS Verschlüsselungsverfahren
  • Externe Datenträger mit personenbezogenen Daten werden nach dem Stand der Technik verschlüsselt.
  • Die Festplatten von Notebooks und die Speicher von Smartphones und Tablets werden nach dem Stand der Technik verschlüsselte

3. Gewährleistung der Vertraulichkeit

  1. Zutrittskontrolle
    • Die Außentüren der Wunderkopf sind über ein elektronisches Schließsystem gesichert. Die dokumentierte Vergabe der Schlüssel erfolgt durch die Geschäftsleitung.
    • Das elektronische Schließsystem protokolliert den Zugang
    • Besucher werden in den Geschäftsräumen durch einen Mitarbeiter begleitet
    • Berechtigungen zum Zutritt zum Serverraum werden durch die Geschäftsführung verwaltet.
    • Die Räume werden außerhalb der Dienstzeiten durch eine Alarmanlage und Wachdienst gesichert.
  2. Zugangskontrolle
    • Der Zugang aus dem Internet wird durch eine Firewall geregelt. Ein administrativer Zugang zu den System ist aus dem Internet nicht möglich.
    • Alle Server sind mit Kennwort gesichert. Das administrative Kennwort ist nur der Leitung und wenigen, durch die Leitung bestimmten Mitarbeitern bekannt.
    • Es werden nur unbedingt notwendige Benutzer an den Systemen eingerichtet.
    • Der Zugang zu sämtlichen Servern wird auf diesen protokolliert.
    • Mobile Geräte: s. Punkt 2. Verschlüsselung
    • Arbeitsplätze, Test-und Entwicklersysteme sind von Produktivsystem getrennt.
    • Zugriff/Änderungen am Softwarecodes unterliegen differenzierte Berechtigungen.
    • Jeder Zugriff, jede Änderung wird protokolliert und ist eindeutig dem entsprechenden User zuzuweisen.
  3. Zugriffskontrolle
    • Physische Datenträger werden vor der Wiederverwendung gelöscht
    • Externe Datenträger mit personenbezogenen Daten werden in einem feuerfesten Safe verwahrt. Zugang zu dem Safe hat nur die Geschäftsleitung.
    • Der Zugang zu den Daten wird über differenzierte Berechtigungen geregelt. Es erhalten nur die Entwickler Zugriff auf Datenbanken, Log-Dateien, die diese benötigen.
  4. Trennungskontrolle
    • Wunderkopf entwickelt und betreibt mandantenfähige Softwarelösungen. Die Daten unterschiedlicher Kunden werden in eigenen Datenbanken gespeichert.
    • Jedem E-Mail Konto ist ein eigener Speicherplatz zugewiesen.
    • Test-und Entwicklersysteme arbeiten mit von den Produktivsystemen getrennten Daten.

4. Gewährleistung der Integrität

  1. Weitergabekontrolle
    • Die Fernwartung und Anbindung an die Kunden erfolgt per VPN, wenn möglich.
    • Datenübermittlung mit personenbezogenen Daten erfolgen verschlüsselt.
    • Externe Datenträger mit personenbezogenen Daten werden verschlüsselt.
  2. Eingabekontrolle
    • Änderungen an den Daten werden zusammen mit dem individuellen Benutzernamen protokolliert.
    • Alle Eingaben der Benutzer werden von den Servern intern protokolliert.
    • Änderungen an den Daten im Zuge der Auftragsverarbeitung werden nur auf Weisung der verantwortlichen Stellen vorgenommen und dokumentiert.

5. Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme

  • Ein Feuerlöschgerät ist im Serverraum vorhanden.
  • Der Serverraum wird durch eine ausreichen dimensionierte Klimaanlage auf einer vorgegebenen Temperatur gehalten, die Temperatur wird überwacht und bei Überschreiten des definierten Temperaturbereiches Alarm gegeben.
  • Die Server sind gegen Überspannung und Stromausfall durch eine USV gesichert.
  • Auf allen Systemen werden regelmäßig Sicherheitsupdates durchgeführt.
  • Alle Datenträger mit wichtigen Daten sind auf ausfallsicheren Datenträgern RAID(1-6) gespeichert.
  • Alle wichtigen Systeme sind redundant ausgelegt oder es sind Reserveserver vorhanden. Datenbanken werden auf mehrere Server repliziert. Die Fileserver sind doppelt vorhanden und werden 1x täglich repliziert.
  • Es existiert ein Datensicherungskonzept

6. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

  • Der Serverraum befindet sich räumlich in Zugriffsreichweite. Dadurch ist eine geeignete Reaktionszeit gewährleistet.
  • Es existieren geeignete Ersatzteilbevorratung
  • Es existieren Notfall-bzw. Wiederaufbaupläne.

7. Regelmäßige Überprüfung, Bewertung, Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

  1. Datenschutz-Managment
    • Es wurde ein Datenschutzbeauftragter benannt
    • Es gibt sich absprechende Datenschutzkoordinatoren
    • Es existiert ein Verzeichnis der Verarbeitungstätigkeit
    • Das Personal wurde in Fragen der Sensibilität geschult.
    • Die Mitarbeiter wurden auf Vertraulichkeit verpflichtet.
    • Es existieren definierte und dokumentierte Prozess im Fall der Verletzung des Schutzes personenbezogener Daten.
    • Es gibt eine klare Zuordnung der Zuständigkeiten
    • Es wird regelmäßig eine Schwachstellenanalyse der Hard-und Software durchgeführt.
  2. Incident-Response-Management
    • Die Zuständigkeiten und Verantwortlichkeiten für Vorfälle wurden definiert, verteilt und ein Vorfallteam dafür gebildet.
    • Es gibt einen definierten Meldeprozess
    • Es gibt zwei stets aktuell gehaltene inner-und außerbetriebliche Melde-und Kontaktlisten. (Verantwortliche, Personen, Firmenkunden)
    • Es gibt einen definierten Prüfungsprozess für gemeldete Vorfälle mit anschließender Risikoklassifizierung.
    • Es gibt eine ausdrückliche Firmenkultur, um aus Vorfällen zu lernen
  3. Datenschutzfreundliche Voreinstellungen
    • Systemprotokolle (Logfiles) werden regelmäßig gelöscht oder anonymisiert. Nach Möglichkeit durch automatisierte, zyklische Prozesse.
    • Daten in der Auftragsverarbeitung werden nach Vorgabe des Auftraggebers durch automatisierte, zyklische Prozesse gelöscht oder anonymisiert.
    • Es werden nur Daten verarbeitet, die für die Erfüllung der Auftragsverarbeitung benötigt werden.
    • Sensibilisierung und Schulung der Mitarbeiter zur Sicherung von Privacy by Design und Privacy by Default.
  4. Auftragskontrolle
    • Alle Mitarbeiter der Wunderkopf Technologies GmbH sind nach der DSGVO zur Verschwiegenheit und nach §88 TKG zur Wahrung des Fernmeldegeheimnisses verpflichtet.
    • Im Zuge einer Auftragsverarbeitung erfolgt die Aufnahme der Tätigkeit nur auf dokumentierte Weisung der verantwortlichen Stellen.

8. Schriftliche Dokumentation von sonstigen Maßnahmen

Es liegt schriftlich vor:

  • Datensicherungskonzept