Anlage 2 – Technische und organisatorische Maßnahmen der Lombego Systems GmbH

Allgemeine Informationen

Organisation

Die Lombego Systems GmbH hat ein unternehmensinternes Regelwerk zu Datenschutz und IT-Sicherheit etabliert. In der Geschäftsleitung ist ein Verantwortlicher für Fragen des Datenschutzes benannt.

Es wurden nachfolgend beschriebene technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen um die Ausführung der datenschutzrechtlichen Vorschriften im Rahmen von Datenverarbeitungstätigkeiten zu gewährleisten.

Es wurde ein TÜV-zertifizierter betrieblicher Datenschutzbeauftragter benannt.

Kontakt:
Herr Benjamin Ißleib
Lombego Systems GmbH
Kaufstr. 2-4
99423 Weimar
Tel: +49 3643 8118070
Email: datenschutz@lombego.de

Die Verarbeitung personenbezogener Daten erfolgt in abteilungsspezifischen Verarbeitungssystemen. Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind. Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.

Es findet eine regelmäßige Überprüfung der eingesetzten Maßnahmen durch den Datenschutzbeauftragten statt.

Alle Mitarbeiter werden in Zusammenarbeit mit dem Datenschutzbeauftragten regelmäßig sensibilisiert und zu Datenschutzthemen geschult. Zusätzliche Schulungen erfolgen bei Aufnahme von Verarbeitungstätigkeiten. Alle Mitarbeiter sind auf einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

Von der Geschäftsführung wird ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO gepflegt.

Es ist ein Informationssicherheitsteam eingerichtet, das abteilungsübergreifende Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem Informationssicherheitsteam gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden. Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.

Anfragen und Probleme durchlaufen einen definierten Prozess und werden nach der Aufnahme durch den First Level Support durch die entsprechende Fachabteilung bearbeitet und dokumentiert.

Siehe Aktivitätsdiagramm “Anfragemanagement”.

Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union.

Anfragemanagement

Anfragemanagement

Datenschutzfreundliche Voreinstellungen

Bei der Lombego Systems GmbH wird bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzerinterfaces Rechnung getragen wird. So sind z.B. Formularfelder und Bildschirmmasken flexibel gestaltbar. Es können Pflichtfelder vorgesehen oder Felder deaktiviert werden.

Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.

Vertraulichkeit

Zutrittskontrolle

Die Büroräume der Lombego Systems GmbH befinden sich in einem Gewerbehaus in Weimar. Es kommt ein elektronisches Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils ausgehändigten Transponder-Schlüssel selbst zu verwalten und elektronische Zutrittsrecht zu erteilen und zu entziehen. Alternativ können die Türen mit entsprechenden Sicherheitsschlüsseln geöffnet werden.

Das Büro der Lombego Systems GmbH befindet sich im 2. Obergeschoss des Gebäudes. Der Zugang erfolgt über ein von allen Mietern genutztes Treppenhaus. Die Eingangstür ist über eine elektronische Schließanlage gesichert.

Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt. Zutrittsberechtigungen werden einem Beschäftigten durch die Geschäftsleitung erteilt. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.

Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen. Sie erhalten erst nach Türöffnung durch den Empfang Zutritt zu dem Bürohaus und dann den Büroräumen. Der Empfang kann die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet. Jeder Besucher wird in einem Besucherbuch protokolliert und dann von der Empfangsperson zu seinem jeweiligen Ansprechpartner begleitet.

Zugangskontrolle

Verarbeitungsanlagen befinden sich

  1. in einem gesonderten, abgeschlossenen Raum im Büro. Ein Zugang ist nur für Administratoren möglich. Die Vergabe von Schlüsseln wird protokolliert.
  2. in einem nach ISO 27001 zertifizierten Rechenzentrum in Deutschland. Ein Zugang ist nur nach vorheriger Einweisung und Freigabe durch einen Administrator möglich. Die Verbindung erfolgt verschlüsselt.

Es erfolgt ein regelmäßiger Audit des Datenschutzbeauftragten über die vergebenen Zugänge.

Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben.

Die Initialisierung des Berechtigungsprozesses erfolgt durch den jeweiligen Vorgesetzten. Eine Dokumentation des Vorgangs erfolgt über ein Taskmanagementsystem.

Benutzerzugänge werden zentral verwaltet, die Nutzer können ihr Passwort selbst jederzeit ändern. Hierbei ist eine Passwort-Policy zu beachten. Passwörter die dieser nicht entsprechen werden nicht zugelassen.

Beim Ausscheiden eines Mitarbeiters wird der Zugriff sofort deaktiviert, inaktive Benutzerkonten werden nach einem festgelegten Zeitraum entfernt bzw. deaktiviert.

Eine Dokumentation der Anlage und Änderung von Benutzerzugängen und Rechten erfolgt über ein Taskmanagementsystem.

Remote-Zugriffe auf IT-Systeme der Lombego Systems GmbH erfolgen stets über verschlüsselte Verbindungen.

Für einen Zugriff von Orten außerhalb der Büroräume wird ein Virtual-Private-Network (VPN) verwendet. Die Berechtigung zur Nutzung wird erst nach Unterzeichnung einer gesonderten Betriebsanweisung und damit verbundenen Schulung erteilt.

Das VPN wird nur auf vom Unternehmen bereitgestellten Geräten eingerichtet.

Passwörter werden grundsätzlich verschlüsselt gespeichert.

Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

Zugriffskontrolle

Der Benutzer erhält einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss.

Die Benutzerauthentifizierung erfolgt mittels komplexer Passwörter, die gängigen Passwortrichtlinien entsprechen. Die konkreten Anforderungen unterliegen einem ständigen Evaluationsprozess und beinhalten derzeit eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.

Benutzerzugänge werden zentral verwaltet, die Nutzer können ihr Passwort selbst jederzeit ändern. Hierbei ist eine Passwort-Policy zu beachten. Passwörter die dieser nicht entsprechen werden nicht zugelassen.

Jeder Arbeitsplatz ist mit einem verschließbaren Schrank ausgestattet, in welchem personenbezogene Daten bei Abwesenheit verwahrt werden müssen.

Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.

Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

Ein administrativer Zugriff auf externe Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.

Alle Arbeitsplatzrechner und Notebooks vollverschlüsselt.

Besonders sensible Daten benötigen ein Hardwaretoken als zweiten Faktor.

Backups interner Systeme werden grundsätzlich verschlüsselt.

Trennungskontrolle

Alle von der Lombego Systems GmbH für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet. Produktiv- und Testsysteme sind voneinander getrennt.

Integrität

Weitergabekontrolle

Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden der Lombego Systems GmbH erfolgt, darf jeweils nur in dem Umfang erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.

Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.

Die Nutzung von privaten Datenträgern ist den Beschäftigten der Lombego Systems GmbH im Zusammenhang mit Kundenprojekten untersagt.

Soweit möglich werden Daten verschlüsselt an Empfänger übertragen. Lombego Systems GmbH verfügt über S/MIME und GPG-gesicherte E-Mail-Adressen für die Weitergabe und Entgegennahme personenbezogener Daten.

Anweisungen zur Datenweitergabe erfolgen ausschließlich schriftlich durch den Verantwortlichen.

Eingabekontrolle

Die Auftragserteilung von Auftraggebern gegenüber dem Auftragnehmer erfolgt immer schriftlich und in der Regel formalisiert über die vom Auftragnehmer bereitgestellten Auftragsformulare und Vertragsunterlagen. Dieses Verfahren der formalisierten Auftragserteilung dient der Qualitätssicherung im Hinblick auf die vertragsgemäße Durchführung der Dienstleistungen durch den Auftragnehmer. Es wird eine stichprobenartige Kontrolle der durchgeführten Auftragsdatenverarbeitungen durch den Datenschutzbeauftragten durchgeführt.

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag (Art. 29 EU-DSGVO) nach zuvor durchgeführtem Audit durch den Datenschutzbeauftragten von Lombego Systems GmbH abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

Unterauftragnehmer der Lombego Systems GmbH werden zu einer Löschung nicht mehr benötigter Daten verpflichtet.

Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Individuelle Benutzer-Accounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

Verfügbarkeit

Verfügbarkeitskontrolle

Daten auf Verarbeitungssystemen der Lombego Systems GmbH werden mindestens täglich inkrementell gesichert.

Sicherungsmedien werden an einen physisch getrennten Ort verbracht.

Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist. Der Zugriff von Clients auf das Internet ist durch Firewalls gesichert. Eine Antivirensoftware wird aktiv ausgeführt und kann von den Benutzern weder deaktiviert noch verändert werden. Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.

Sobald personenbezogene Daten, gleich in welcher Form (insbesondere in Papierform oder elektronischer Form) nicht mehr benötigt werden, werden diese in einer Art und Weise vernichtet, mit der die Wiederherstellung unmöglich ist (Einsatz von Shreddern, Verfahren zur sicheren Löschung elektronischer Daten sowie die Entsorgung durch zertifizierte Dienstleister).

Wiederherstellbarkeit

Bei der Anschaffung und dem Betrieb von technischen Anlagen ist ein Servicevertrag mit dem jeweiligen Hersteller obligatorisch.

Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung.

Es gibt einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

Das Einspielen von Backups wird regelmäßig getestet.