Technische und Organisatorische Maßnahmen

GREYHOUND-Serviceinformation
Letzte Aktualisierung: 23.5.2018

Relevant für: Datenschutz

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 (1) DS-GVO für Auftragsverarbeiter (Art. 30 (2) lit. d DS-GVO)

Version 1.0, Stand Mai 2018
Gültig ab 25.05.2018

GREYHOUND betreibt kein eigenes Rechenzentrum, sondern arbeitet mit der Firma COMTRANCE GmbH, In der Steele 35, 40599 Düsseldorf zusammen – im nachfolgenden COMTRANCE genannt. GREYHOUND hat mit der Firma COMTRANCE einen “Colocation sowie Managed Rack” Vertrag abgeschlossen in dessen Rahmen die Aufgaben wie folgt verteilt sind:

  1. COMTRANCE stellt GREYHOUND dedizierte Server-Racks mit bis zu 42 Höheneinheiten inkl. redundantem Netzwerk- und Internetanschluss, redundantem Stromanschluss sowie redundanten USV Systemen in Ihrem Rechenzentrum in zwei Brandschutzzonen zur Verfügung.
  2. COMTRANCE betreibt im Rahmen des “Colocation / Managed Rack” Vertrags die FIREWALLS die jedes Server-Rack, welches GREYHOUND betreibt, dediziert vom Internet abschirmt und stellt sicher, das diese jeweils nach dem Stand der Technik gewartet, aktualisiert und abgesichert werden.
  3. COMTRANCE unterstützt GREYHOUND bei auftretenden Problemen mit “Hands-On-Leistungen” (Ein-/Auschalten von Servern, Austausch defekter Hardware.). Alle “Hands-On-Leistungen” werden schriftlich an COMTRANCE übermittelt und dort im Rahmen eines Incident-Managements abgewickelt und protokolliert. Zur Erbringung der “Hands-On-Leistung” hat COMTRANCE pysikalischen Zugriff zu den Server-Racks von GREYHOUND. Über den physikalischen Zugriff hinaus hat COMTRANCE keinen Zugriff zu den Systemen von GREYHOUND.
  4. Die GREYHOUND Appliance(s) werden immer On-Premise, also Vor-Ort beim Kunden, betrieben. Kunden die eine Appliance betreiben, sind also insbesondere für die Punkte 3.1, 5.1. und 8. selbst verantwortlich.

1. Pseudonymisierung

Als Auftragsverarbeiter trifft GREYHOUND zusätzlich zu Maßnahmen, die sich aus den jeweiligen Leistungsbeschreibungen der Produkte / Dienstleistungen ergeben oder durch den Verantwortlichen im Rahmen der Beauftragung vorgenommen werden, keine Maßnahmen zur Pseudonymisierung.

2. Verschlüsselung

Regelungsgegenstand
Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbefugte Offenlegung von bzw. unbefugten Zugang zu den im Auftrag verarbeiteten Daten ist zu reduzieren.

Technische und organisatorische Maßnahmen:

  • Hierzu setzt GREYHOUND für den elektronischen Transport Verschlüsselungsverfahren ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, das den Anforderungen angemessen ist.
    Dies sind für den elektronischen Transport zwischen Rechenzentrum…
    • … und Verantwortlichem: SSL-Verbindung oder andere Verschlüsselungsverfahren nach dem Stand der Technik
    • … und Kunden: SSL-Verbindung oder andere Verschlüsselungsverfahren nach dem Stand der Technik
    • … und Dienstleistern von GREYHOUND: VPN- oder SSL-Verbindung oder andere Verschlüsselungsverfahren nach dem Stand der Technik,
    • … und Mitarbeitern der GREYHOUND: VPN- oder SSL-Verbindung oder andere Verschlüsselungsverfahren nach dem Stand der Technik.
  • Für den Transport per E-Mail werden Daten, grundsätzlich nach dem Stand der Technik auf dem Transportweg verschlüsselt. Eine Inhaltsverschlüsselung findet nicht statt.
  • Mobile Endgeräte der GREYHOUND-Mitarbeiter werden verschlüsselt.
  • Außerhalb des elektronischen Transports werden Verschlüsselungsverfahren eingesetzt, wenn dies in den Leistungsbeschreibungen der vereinbarten Leistungen dokumentiert ist.Festplatten von Remote-Arbeitsplatz-Rechnern (Laptops) werden standardisiert nur vollverschlüsselt eingesetzt.

3. Vertraulichkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbefugte Offenlegung von bzw. unbefugten Zugang zu den im Auftrag verarbeiteten Daten ist zu reduzieren.

3.1. Physikalische Sicherheit

Regelungsgegenstand
Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten), mit denen Daten im Auftrag verarbeitet werden, zu verwehren. Der Grad der Schutzmaßnahmen richtet sich dabei nach dem Grad der Schutzbedürftigkeit der Daten.

Technische und organisatorische Maßnahmen im COMTRANCE Rechenzentrum:

  • Bauliche Maßnahmen
    Das Rechenzentrum verfügt über Außen- und Innenwände in Massivbauweise. Weiterhin ist es mit selbstschließenden Türen ausgestattet. Alle im Auftrag verarbeiteten Daten werden grundsätzlich in Sicherheitsbereichen gespeichert. Der Zutritt ist nur Berechtigten mittels RFID-Karte und biometrischen Handscanner möglich und wird visuell über Kameras überwacht.
  • Objektschutz
    Das gesamte Rechenzentrum wird rund um die Uhr Kameraüberwacht. Die Kameras befinden sich sowohl an allen Zugängen zum Rechenzentrum, wie auch in den Colocation-Flächen selbst. Sämtliche Aufnahmen werden gespeichert und über einen vordefinierten Zeitraum Langzeit archiviert.
  • Zutrittsregelung zu den kontrollierten Bereichen und Sicherheitsbereichen
    Der physikalische Zugang zum Rechenzentrum ist nur für autorisierte Personen möglich. Mittels RFID-Lesegeräten und einem biometrischen Handscanner wird die Identität geprüft und so nur berechtigten Personen der Zugang zum Rechenzentrum gewährt. Die Zutrittskontrollen zum GREYHOUND-Bereich im COMTRANCE-Rechenzentrum sind lückenlos.

3.2. Authentifizierung

Regelungsgegenstand
Es muss verhindert werden, dass Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten) von unbefugten Dritten genutzt werden können.

Technische und organisatorische Maßnahmen:

  • Technische Maßnahmen (innerhalb von kontrollierten Bereichen)
    Alle Rechner verfügen mindestens über ein Zugangskontrollsystem (UserID, Passwort). Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter.
  • Organisatorische Maßnahmen
    Es sind definierte organisatorische und technische Verfahren und Methoden zum Incident-Management umgesetzt.
    GREYHOUND hat mit den relevanten Herstellern und COMTRANCE Verträge geschlossen. Hierbei werden GREYHOUND bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.

3.3. Berechtigungskonzept

Regelungsgegenstand
Die zur Benutzung von IT-Systemen Berechtigten dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen. Im Auftrag verarbeitete Daten dürfen bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

Technische und organisatorische Maßnahmen:

  • Technische Maßnahmen
    Die eingesetzten IT-Systeme haben ein dediziertes Rechtesystem, welche es ermöglicht, Datenzugriffe und –veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter.
  • Organisatorische Maßnahmen zur Zugriffsberechtigung
    Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Die Erteilung der Berechtigungen erfolgt in einem dokumentierten Genehmigungsverfahren. Das Erfordernis der Berechtigung wird regelmäßig überprüft.
    Zugriffe auf im Auftrag verarbeitete Daten, die zur Serviceerbringung und Auskunftserteilung an Verantwortliche erfolgen, werden grundsätzlich protokolliert und ausschließlich zu Zwecken der Datenschutzkontrolle verwendet.
    Die persönliche Verantwortung jedes Mitarbeiters für die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen wird durch Schulungsmaßnahmen, Infoveranstaltungen und zentral bereitgestellte Informationen gestärkt.

3.4. Weitergabe von Daten

Regelungsgegenstand
Im Auftrag verarbeitete Daten dürfen bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische und organisatorische Maßnahmen:

  • Datenübertragung
    Die Datenübertragung zwischen GREYHOUND und anderen Kommunikationspartnern wird grundsätzlich verschlüsselt (Siehe Abschnitt 2 „Verschlüsselung“). Dabei kann GREYHOUND das konkrete Verfahren mit den Partnern individuell regeln.
    Ferner werden die in Ziffer 2 aufgeführten Verschlüsselungsmaßnahmen getroffen.
  • Datenträgertransport
    Es bestehen verbindliche Sicherheitsregelungen für den Transport von vertraulichen Datenträgern.

3.5. Löschen von Daten

Regelungsgegenstand
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Technische und organisatorische Maßnahmen:

  • Vernichten von Datenträgern
    Alle Datenträger werden in Übereinstimmung mit der DIN-Norm SPEC 66399 “Büro- und Datentechnik – Vernichtung von Datenträgern Teil 3: Prozess der Datenträgervernichtung, Februar 2013” nach Schutzklasse 2 und Sicherheitsstufe 2 vernichtet.
    Die Aufbewahrungsfrist der Daten wird im Rahmen der Beauftragung durch den Kunden vorgegeben.

3.6. Mandantentrennung

Regelungsgegenstand
Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.

Technische und organisatorische Maßnahmen:
Es existiert das Prinzip der Funktionstrennung zwischen Produktion und Entwicklung; das heißt, dass die eingebundenen Abteilungen funktionell, organisatorisch oder räumlich getrennt sind. Schutzwürdige Daten werden den Mitarbeitern nur in dem Umfang zur Verfügung gestellt, wie es für die zugewiesene Aufgabenerfüllung unbedingt erforderlich ist.
Der Übergang vom Entwicklungssystem zum Produktionssystem ist durch entsprechende Werkzeuge gesichert und nachvollziehbar dokumentiert.
Bei der Nutzung der GREYHOUND-Infrastruktur (Hard-/Software) werden bereits zu unterschiedlichen Zwecken und für unterschiedliche Ordnungsbegriffe (z. B. Kundennummer) erhobene bzw. gespeicherte Daten logisch getrennt verarbeitet.

4. Integrität

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbeabsichtigte oder unbefugte Veränderung oder unrechtmäßiges oder fahrlässiges Handeln von im Auftrag verarbeiteten Daten ist zu reduzieren.
Hierzu trifft GREYHOUND Maßnahmen für ein Schutzniveau, das jeweils abhängig von dem Risiko für die Rechte und Freiheiten der betroffenen Personen, aber auch den allgemeinen Anforderungen an die Unveränderbarkeit der Daten angemessen ist.

4.1. Protokollierung

Regelungsgegenstand
Es sind Maßnahmen zu wählen, mittels derer nachträglich überprüft und festgestellt werden kann, ob und von wem im Auftrag verarbeitete Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische und organisatorische Maßnahmen:
Bei den IT-Systemen erfolgt eine laufende Protokollierung der Abläufe.
Die Dateneingabe und die Verarbeitung der im Auftrag verarbeiteten Daten erfolgen ausschließlich nach dem mit dem Auftraggeber festgelegten Verfahren.

5. Verfügbarkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Nichtverfügbarkeit von im Auftrag verarbeiteten Daten ist zu reduzieren.
Hierzu trifft GREYHOUND im COMTRANCE-Rechenzentrum Maßnahmen, die dazu dienen, dass im Auftrag verarbeitete Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn der Verantwortliche sie benötigt.

5.1. Sicherstellen der Verfügbarkeit

Regelungsgegenstand
Im Auftrag verarbeitete Daten sind gegen zufällige oder mutwillig herbeigeführte Zerstörung oder Verlust zu schützen.

Technische und organisatorische Maßnahmen:

  • Bauliche Maßnahmen
    Die GREYHOUND-Systeme sind im Rechenzentrum auf zwei verschiedene Brandabschnitte aufgeteilt. In einem Brandabschnitt findet der Produktivbetrieb statt, im anderen Brandabschnitt werden alle Backups gespeichert und vorgehalten.
  • Personelle Maßnahmen
    Durch regelmäßige Wartung der Produktionsanlagen besitzen die technischen Anlagen der GREYHOUND eine hohe Verfügbarkeit. Dies wird durch GREYHOUND-eigene Techniker sowie entsprechende Serviceverträge für Wartung und Entstörung mit den Herstellern sowie dem Rechenzentrumsbetreiber COMTRANCE sichergestellt.
    Die Abwicklung der Aufträge wird überwacht und begleitet, die korrekte Umsetzung der vertraglich vereinbarten Leistungen wird kontrolliert. Abweichungen werden zeitnah geklärt.
  • Organisatorische Maßnahmen
    Die Maßnahmen für den Fall physischer oder technischer Zwischenfälle sind in einem IT-Notfallhandbuch inklusive Wiederanlaufplanung dokumentiert. Die Maßnahmen werden regelmäßig geprüft und aktualisiert.
    Sind spezielle organisatorische Maßnahmen zur Erfüllung der vertraglich vereinbarten Leistung notwendig, so werden diese individuell mit dem Auftraggeber festgelegt.
  • Notstrom
    Zur Sicherstellung einer dauerhaften Stromversorgung, wurde insbesondere auch bei der Energieversorgung Wert auf ein hohes Maß an Verfügbarkeit und Redundanz gelegt. Der Strom wird dauerhaft durch redundante USV-Anlagen gepuffert, wodurch nicht nur vollständige Stromausfälle, sondern auch Stromschwankungen im Netz des Energieversorgers ausgeglichen werden.
    Für längere Stromausfälle steht ein Notstromgenerator zur Verfügung und liefert bei Bedarf bis zu 100% des Stroms. Passende Kontrollmechanismen stellen bei Komponenten mit hohen Anlaufströmen wie etwa Motorlasten und Gleichrichter sicher, dass diese nacheinander gestartet werden. Der Notstromgenerator hat eine Anlaufzeit von etwa 30 Sekunden und wird einmal monatlich auf seine Funktionsfähigkeit überprüft und getestet. Der Kraftstoffvorrat ist für einen dauerhaften Betrieb des Notstromgenerators ausgelegt. Weiterhin ist eine Betankung im laufenden Betrieb möglich, um auch längere Ausfallzeiten überbrücken zu können.
  • Brandschutz
    Das COMTRANCE-Rechenzentrum verfügt über ein modernes Brandfrüherkennungssystem, welches sowohl oberhalb, wie auch unterhalb des Doppelbodens einen möglichen Brand frühzeitig erkennt und die entsprechenden Maßnahmen einleitet. Das System ist mit einem örtlichen Sicherheitsdienst verbunden und wird Fernüberwacht.
  • Klimatisierung
    Die Klimatisierung erfolgt über den Doppelboden. Die eingesetzten Klimaanlagen sind speziell für den Einsatz in Rechenzentren ausgelegt und sorgen neben einer optimalen Kühlung auch für ein minimales Kondensierungsrisiko. Die Eingangsklimatisierung beträgt 22°C ±2°C und unterliegt einer ständigen Überwachung. Die Kühlleistung der einzelnen Klimaanlagen beträgt ca. 50 kW.

5.2. Zweckbindung

Regelungsgegenstand
Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Dies gilt insbesondere auch für die Löschung von Daten.

Technische und organisatorische Maßnahmen:
Die Verarbeitung von Auftragsdaten erfolgt ausschließlich entsprechend den produktbezogen Leistungsvereinbarungen mit dem Auftraggeber. Individuelle Auskunftserteilung an Auftraggeber oder Weisungen des Auftraggebers werden nur nach einer ausreichenden Authentisierung (z.B. Service-TAN) im Rahmen des vereinbarten Leistungsumfangs angenommen.
Weisungen zur Verarbeitung und insbesondere zur Löschung von im Auftrag verarbeiteten Daten werden nur ausgeführt, wenn der Kunde sie in der vertraglich vorgeschriebenen Form erteilt.

Kontrollen:
GREYHOUND räumt im Rahmen der Regelungen der Vereinbarung zur Auftragsdatenverarbeitung von GREYHOUND den autorisierten Ansprechpartnern des Auftraggebers und dem Datenschutzbeauftragten nach vorheriger Anmeldung und Abgabe einer Datenschutzerklärung/Verschwiegenheitserklärung zu den üblichen Geschäftszeiten auf Verlangen ein Zutrittsrecht sowie ein Auskunfts- und Kontrollrecht ein, um dessen Überwachungspflicht beim Auftragnehmer erfüllen zu können. Der Zutritt zu den Produktionsräumen von GREYHOUND erfolgt nur in Begleitung von GREYHOUND- oder COMTRANCE-Personal.

6. Belastbarkeit der Systeme

Regelungsgegenstand
Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu im Auftrag verarbeiteten Daten aufgrund von Systemüberlastungen oder –abstürzen ist zu reduzieren.
Hierzu trifft GREYHOUND für die Verarbeitung von Daten im Auftrag im Rechenzentrum Maßnahmen für eine Systemstabilität, die dem Anspruch der Anzahl von Verantwortlichen und von betroffenen Personen an zuverlässig zeitgerechte Verarbeitung ihrer Daten gerecht wird.

Technische und organisatorische Maßnahmen:
GREYHOUND führt eine laufende Überwachung der Nutzung der Dienste und der Auslastung der Systeme durch. COMTRANCE und GREYHOUND haben ein Notfallkonzept umgesetzt, das z.B. das Vorhalten von Notstromgeneratoren und Maßnahmen zur Abwehr von Angriffen (z. B. Virenscanner, Firewall) dokumentiert. Dieses Notfallkonzept wird laufend fortgeschrieben und regelmäßig auf Wirksamkeit geprüft.
GREYHOUND prognostiziert regelmäßig die künftige Nutzung, so dass die Kapazitäten der Systeme rechtzeitig angepasst werden können.
GREYHOUND legt die Speicher-, Zugriffs- und Leitungskapazitäten der Systeme und Dienste so aus, dass sie auch an Tagen planerischer Spitzenbelastung ohne merkliche Verzögerung von Zugriffs- oder Übertragungszeiten genutzt werden können.

7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

Regelungsgegenstand
Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu diesen durch einen physischen oder technischen Zwischenfall ist zu reduzieren.
Hierzu trifft GREYHOUND für die Verarbeitung von Daten im Auftrag im Rechenzentrum Maßnahmen für die Systemstabilität, die dem Anspruch der Anzahl von Verantwortlichen und betroffenen Personen an zuverlässig zeitgerechte Verarbeitung ihrer Daten gerecht wird.

Technische und organisatorische Maßnahmen:
Die Rechenzentrums-Infrastruktur (Internetconnectivity und Zuführung, Stormversorgung und Zuführung, USV, Firewalls etc.) ist redundant ausgelegt. Die physikalischen Server der GREYHOUND sind mit redundanten Netzteilen ausgestattet, die jeweils an eine redundante Stromzuführung angeschlossen sind, die Produktivdaten liegen auf einem redundanten RAID 10 Festplattenverbund auf dem jeweiligen Produktivserver. Jeder Server ist darüber hinaus mit einer primären Backup-Festplatte ausgestattet, auf die einmal innerhalb von 24 Stunden alle auf dem Server befindlichen virtuellen Maschinen gesichert werden. Von dort aus werden die Backups dann auf ein zentrales Backupsystem in einer andere Brandschutzzone gespiegelt. Die Kundensysteme werden NICHT redundant betrieben.
Nach einem physischen oder technischen Ausfall des Rechenzentrums ist der Produktivbetrieb nach dem Wiederanlaufkonzept wiederherzustellen. Da die Produktivsysteme NICHT redundant vorgehalten werden, ist die Wiederanlaufzeit von der Art des Schadens abhängig. Für physische Schäden werden jeweils ausreichend Ersatzteile vorgehalten, um Schäden schnellstmöglich beheben zu können. Für alle IT- und TK-Systeme besteht ein Wiederanlaufkonzept, nach dem der Produktivbetrieb innerhalb festgelegter Fristen wiederhergestellt wird. Das Wiederanlaufkonzept wird laufend fortgeschrieben und regelmäßig auf Wirksamkeit geprüft.

8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Regelungsgegenstand
Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben.

Technische und organisatorische Maßnahmen:
Das von COMTRANCE betriebene Rechenzentrum sowie alle von GREYHOUND bei COMTRANCE beauftragten Leistungen sind ISO/IEC 27001 sowie ISO 9001 zertifiziert.

Die aktuellen Zertifikate sind wie folgt abrufbar: