Technische und organisatorische Maßnahmen

top.legal ist der juristische Marktplatz, der die Art und Weise verändert, wie interne Teams externe Rechtsberater finden, mandatieren und managen. Auf der folgenden Seiten erläutern wir, wie Ihren Daten über den Einsatz von technischen und organisatorischen Maßnahmen schützen.

Technische und organisatorische Maßnahmen

Stand: 18.12.2019

Das nachfolgende Dokument dient nur der erläuternden Darstellung gesetzlicher Anforderungen in Bezug auf den Datenschutz. Die Rechte und Pflichten der Parteien ergeben sich allein aus den vertraglichen Vereinbarungen und den gesetzlichen Bestimmungen zum Datenschutz. Insofern können aus diesem Dokument keine Ansprüche abgeleitet werden. Technische Änderungen und/oder Änderungen in der Organisation, die keinen Einfluss auf die Erfüllung der gesetzlichen Anforderungen der DS-GVO in der jeweils aktuellen Fassung haben, bedürfen keiner gesonderten Information gegenüber dem Vertragspartner.

Bei der e-profound GmbH (nachfolgend “top.legal“) sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden:

1.

Zutrittskontrolle

1.1

Darunter sind Maßnahmen zu verstehen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

1.2

Die Büroräume von top.legal befinden sich in einem Bürohaus in München. Die Zugänge zum Bürohaus und auch zu den Büroräumen von top.legal sind Tag und Nacht verschlossen. Zugang zu dem Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Es kommt ein elektronisches Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Nicht befugten Personen ist der Zutritt zu den Räumlichkeiten von top.legal nicht gestattet. Sämtliche Personen, die Zutritt zu den Büroräumen erhalten, werden elektronisch erfasst.  

1.3

Die Anwesenheit von Personen in den Räumlichkeiten von top.legal wird über Anwesenheitsaufzeichnungen protokolliert.

1.4

Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.

1.5

Besucher erhalten erst nach Türöffnung durch den Empfang Zutritt zu dem Bürohaus und dann den Büroräumen. Der Empfang kann die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet.

1.6

Jeder Besucher wird in einem Besucherbuch protokolliert und dann von der Empfangsperson zu seinem jeweiligen Ansprechpartner begleitet. Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen.

1.7

Eigene Rechenzentren und Serverräume befinden sich nicht in den Räumlichkeiten von top.legal.

2.

Zugangskontrolle

2.1

Durch die Zugangskontrolle wird verhindert, dass die Datenverarbeitungssysteme der top.legal von Unbefugten genutzt werden können. Hält sich die bei Zutritt kontrollierte Person bereits in einem Raum auf, in dem sich die Datenverarbeitungsanlage der top.legal befinden, wird sichergestellt, dass die betreffende Person diese Datenverarbeitungsanlage benutzen darf. Es ist jederzeit nachvollziehbar, wer wann welches Datenverarbeitungssystem benutzt hat.

2.2

Für die Zugangskontrolle sind nachfolgende Maßnahmen von top.legal getroffen worden:

2.2.1

Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung oder Geschäftsführung gestellt werden.

2.2.2

Jeder Benutzer von top.legal erhält einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 12 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Passwörter werden alle 90 Tage gewechselt. Die Passworthistorie der einzelnen Nutzer ist hinterlegt. So wird sichergestellt, dass einmal genutzte Passwörter nicht noch einmal verwendet werden können. Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen. Passwörter werden grundsätzlich verschlüsselt gespeichert.

2.2.3

Sämtliche Anmeldeversuche auf allen IT-System werden protokolliert. Bei 3-maliger Fehleingabe erfolgt in der Regel eine Sperrung des jeweiligen Benutzer-Accounts.

2.2.4

Eine zusätzliche Zwei-Faktor-Authentifizierung, welche bei der Anmeldung einen weiteren Identitätsnachweis des Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten verlangt, bringt zusätzliche Sicherheit bei der Anmeldung.

2.2.5

Remote-Zugriffe auf die IT-Systeme von top.legal erfolgen stets über verschlüsselte Verbindungen.

2.2.6

Sämtliche Zugriffe auf Daten und Applikation zu Verarbeitung von Daten werden im Rahmen eines revisionssicheren Audit-Protokoll protokolliert. Dabei werden Ort, Datum und Nutzerkennung der Mitarbeiter von top.legal erfasst. Die Protokolle sind nur für die Administratoren von top.legal einsehbar.

2.2.7

Im Falle des Ausscheidens von Mitarbeiter informieren die Personalverantwortlichen die IT-Administration unverzüglich über anstehende Veränderungen, damit die IT-Administration entsprechende Berechtigungen entziehen kann. Der Entzug von Berechtigungen muss binnen 24 Stunden nach Ausscheiden eines Mitarbeiters durchgeführt worden sein.

3.

Zugriffskontrolle

3.1

Darunter sind Maßnahmen zu verstehen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

3.2

top.legal stellt sicher, dass die berechtigte Personen ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen (need-to-know-Prinzip) und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird kontrolliert, indem dieser in Logdateien des Systems manipulationssicher protokolliert wird. Wenn sich eine befugte Person in einem Raum mit einer Datenverarbeitungsanlage befindet und das System benutzt, ist sichergestellt sein, dass sie nur auf die Daten zugreifen kann, für die sie die entsprechende Berechtigung besitzt (Berechtigungskonzept). Dabei ist nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.

3.3

Berechtigungen für IT-Systeme und Applikationen von top.legal werden ausschließlich von Administratoren eingerichtet. Voraussetzung für eine Berechtigung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.

3.4

Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten. Zusätzlich kann eine Freigabe für einzelne Dateien im Bedarfsfall durch den Administrator vorgenommen werden. Um eine Freigabe einzuräumen, muss ein Antrag durch den Vorgesetzten bzw. den Geschäftsführer vorliegen.

3.5

Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet. Alle Mitarbeiter bei top.legal sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen.

3.6

Für die Verarbeitung von personenbezogenen Daten sind die Beschäftigten von top.legal verpflichtet nur auf getestete und freigegebene Anwendungssoftware zurückzugreifen. Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.

3.7

Personenbezogene Daten werden auf sicheren DS-GVO konformen Datenservern gespeichert. Das Speichern von Daten auf lokale Datenträger ist nicht vorgesehen. Eine lokale Speicherung von Daten auf einem lokalen Datenträger erfordert die Freigabe durch den Vorgesetzten. 

3.8

Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

4.

Trennungskontrolle

4.1

Alle von top.legal für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.

5.

Pseudonymisierung & Verschlüsselung

5.1

Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich nur über verschlüsselte Verbindungen.

5.2

Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Verschlüsselungssysteme im Einsatz.

6.

Eingabekontrolle

6.1

Darunter sind Maßnahmen zu verstehen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

6.2

Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von top.legal im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.

6.3

Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

7.

Weitergabekontrolle

7.1

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

7.2

Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von top.legal erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.

7.3

Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert. Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.

7.4

Die Nutzung von privaten Datenträgern ist den Beschäftigten bei im Zusammenhang mit Kundenprojekten untersagt. Beim Ausscheiden der Mitarbeiter werden eventuell bestehende Zugriffsrechte zur Weitergabe von Daten aufgehoben.

7.5

Mitarbeiter bei top.legal werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

8.

Verfügbarkeit und Belastbarkeit

8.1

top.legal stellt sicher, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Die Verfügbarkeit der Daten wird regelmäßig kontrolliert, d. h. es wird sichergestellt, dass die personenbezogenen Daten zu festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt werden. Die Verfügbarkeit selbst entspricht dabei den rechtlichen und betrieblichen Erfordernissen, so dass u. a. bei Wartungsfenstern für die Pflege und Wartung der Systeme und Software, diese den laufenden Betrieb nicht negativ beeinflussen.

8.2

top.legal nutzt für die Speicherung und Verwaltung von personenbezogen Daten sowie für die Bereitstellung von Servern einen Cloud-Dienstleister und betreibt in den eigenen Räumlichkeiten keine eigenen Servern. top.legal stellt dabei regelmäßig die Eignung und Sicherheit der zu Verfügung gestellten Dienste sicher und prüft eventuell vorliegende Zertifizierung durch die eingesetzten Prüfstellen. 

9.

Sicheres Design

9.1

Sämtliche Daten von top.legal werden verschlüsselt gespeichert, sowohl wenn sie sich auf einem lokalen Datenträger befinden, auf Sicherungsmedien gespeichert werden, oder wenn sie über das Internet übertragen werden. 

9.2

Personenbezogen Daten liegen stets mehrfach redundant Form in voneinander unabhängigen Datencentern vor, das heißt die Daten liegen gespiegelt und örtlich getrennt vor. 

9.3

Daten auf den Serversystemen von top.legal werden mindestens täglich inkrementell und wöchentlich vollständig gesichert. Die Sicherungsdaten werden verschlüsselt und in einem virtuell abgetrennten Cloud-Speicher separat gespeichert und verwaltet. Das Einspielen von Backups wird regelmäßig getestet.

9.4

Die eingesetzten Rechenzentren sind darauf ausgelegt, Funktionsausfälle zu antizipieren und zu tolerieren und dabei Servicelevel aufrecht zu erhalten. Für das Eintreten eines Funktionsausfalls wird der Datenverkehr von dem vom Ausfall betroffenen Bereich auf einen anderen umgeleitet. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbleibenden Standorte aufgeteilt werden kann.

10.

Physischer Zugriff

10.1

Der Zugang von top.legal genutzten Rechenzentren wird regelmäßig durch den Betreiber geprüft. Physische Zugangspunkte zu Serverräumen werden von CCTV-Kameras mit Aufzeichnungsfunktion überwacht. Die Aufnahmen werden gemäß behördlichen und Compliance-Anforderungen aufbewahrt. 

11.

Überwachung und Erkennung

11.1

Physische Zugangspunkte zu Serverräumen werden von CCTV-Kameras mit Aufzeichnungsfunktion überwacht. Die Aufnahmen werden gemäß behördlichen und Compliance-Anforderungen aufbewahrt. 

11.2

Der physische Zugang wird durch professionelles Sicherheitspersonal an den Gebäudeeingängen kontrolliert. Dabei werden Überwachung, Meldeanlagen und andere elektronische Vorrichtungen eingesetzt. Autorisiertes Personal erlangt über Multi-Faktor-Authentifizierungsmechanismen Zugang zu den Rechenzentren. Die Eingänge zu den Serverräumen sind mit Geräten abgesichert, die Alarm auslösen, wenn die Tür aufgebrochen oder offen gehalten wird.

11.3

In der Datenebene sind elektronische Einbruchmeldesysteme installiert, die sicherheitsrelevante Ereignisse erkennen und automatisch die zuständigen Mitarbeiter alarmieren. Die Ein- und Ausgänge der Serverräume sind durch Geräte gesichert, an denen Personal Multi-Faktor-Authentifizierungsverfahren durchlaufen müssen, bevor sie den Raum betreten oder verlassen können. Diese Geräte lösen einen Alarm aus, wenn die Tür ohne Autorisierung aufgebrochen oder offen gehalten wird. Die Türalarmsysteme sind so konfiguriert, dass sie erkennen, wenn jemand eine Datenebene ohne Multi-Faktor-Autorisierung betritt oder verlässt. In diesem Fall wird umgehend ein Alarm ausgelöst.

12.

Gerätemanagement

12.1

Medienspeichergeräte, auf denen personenbezogene gespeichert sind, werden vom Betreiber der Datencenter als kritisch eingestuft und deshalb über ihren gesamten Lebenszyklus als höchst dringlich behandelt. Der Betrieber des Datencenters hat bestehende Normen, wie die Geräte installiert, betrieben und irgendwann zerstört werden, wenn sie nicht mehr verwendet werden. Wenn ein Speichergerät das Ende seines Lebenszyklus erreicht hat, wird es gemäß zertifizierter Techniken stillgelegt. Medien, auf denen Kundendaten gespeichert wurden, werden erst nach erfolgter Stilllegung aus der Hand gegeben.

13.

Betriebliche Support-Systeme

13.1

Die elektrischen Anlagen der eingesetzten Rechenzentren wurden so entwickelt, dass sie vollständig redundant sind und ohne Beeinträchtigung des Betriebs gewartet werden können. Dabei ist sichergestellt, dass die Rechenzentren mit einer Notstromversorgung ausgestattet sind, damit im Fall eines Stromausfalls der Betrieb von kritischen Lasten der Anlage gewährleistet ist.

13.2

Die genutzten Rechenzentren verfügen über Klimaanlagen zur Kontrolle der Betriebstemperatur für Server und andere Hardware, um eine Überhitzung zu vermeiden und das Risiko von Serviceausfällen zu verringern. Temperatur und Luftfeuchtigkeit werden in angemessener Weise vom Personal und den technischen Systemen überwacht und geregelt.

13.3

Die Rechenzentren sind mit automatischen Geräten zur Branderkennung und -bekämpfung ausgestattet. Die Branderkennungssysteme setzen Rauchsensoren in vernetzten, mechanischen und Infrastrukturbereichen ein. Diese Bereiche sind darüber hinaus durch Brandbekämpfungssysteme geschützt.

13.4

Um Wasserlecks erkennen zu können, sind die Rechenzentren mit Wassererkennungssensoren ausgestattet. Wenn Wasser entdeckt wird, wird dieses entfernt, um zusätzliche Wasserschäden zu vermeiden.

14.

Governance und Risiko

14.1

Die von top.legal eingesetzten Rechenzentren sind darauf ausgelegt, Funktionsausfälle zu antizipieren und zu tolerieren und dabei Servicelevel aufrecht zu erhalten. Für das Eintreten eines Funktionsausfalls wird der Datenverkehr von dem vom Ausfall betroffenen Bereich auf einen anderen umgeleitet. Für wichtige Anwendungen gilt ein N+1-Standard. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbleibenden Standorte aufgeteilt werden kann.

14.2

Kritische Systemkomponenten werden an mehreren, voneinander isolierten Standorten (Availability Zones genannt) gesichert. Jede Availability Zone ist auf einen unabhängigen Betrieb mit hoher Zuverlässigkeit ausgelegt. Die Availability Zones sind vernetzt. Dies ermöglicht Ihnen die Nutzung von Anwendungen, für die ein automatischer, unterbrechungsfreier Failover zwischen den Availability Zones eingerichtet ist. Extrem ausfallsichere Systeme und eine daraus resultierende Serviceverfügbarkeit sind Bestandteil des Systemdesigns.

14.3

Es werden zudem regelmäßig Bedrohungs- und Schwachstellenprüfungen der Rechenzentren durch den Betreiber durchgeführt. Die fortlaufende Bewertung und Abwehr von potenziellen Schwachstellen erfolgt über die Risikobewertungsaktivitäten der Rechenzentren. Dabei werden auch regionale behördliche und Umweltrisiken berücksichtigt.

14.4

Ein Betriebskontinuitätsplan des Betreibers umfasst Maßnahmen zur Vermeidung und Verringerung von Störungen durch Umwelteinflüsse. Der Plan enthält betriebliche Details zu den Maßnahmen, die vor, während und nach einem entsprechenden Ereignis ergriffen werden. Der Betriebskontinuitätsplan wird durch Tests gestützt, die auch Simulationen verschiedener Szenarios umfassen. 

15.

Auftragskontrolle

15.1

Im Rahmen der Auftragskontrolle wird gewährleistet, dass personenbezogenen Daten, die im Auftrag verarbeitet werden, nur auf Grundlage des Vertrages entsprechend den Weisungen des Auftraggebers (Verantwortlichen) verarbeitet werden.

15.2

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführten Audit durch den Datenschutzbeauftragten von top.legal abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

16.

Datenschutzfreundliche Voreinstellungen

16.1

Bei top.legal wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder teilweise deaktiviert werden.

16.2

Die Software von top.legal unterstützt sowohl die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht. Berechtigungen für Daten oder Funktionaliäten können flexibel und granular gesetzt werden.

17.

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

17.1

Bei top.legal ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.

17.2

Es ist Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.

17.3

Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.

17.4

Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.

17.5

Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.