Es geht hier um unsere technischen und organisatorischen Massnahmen, die sog. TOM. Die Geltung der Vorschriften der DSGVO und des BDSG setzt keine IT-gestützte Verarbeitung von Personaldaten voraus; sie gelten auch für in Papierform geführte Personalakten, § 26 Abs. 7 BDSG. Besonders wichtig sind die TOM, wenn es im Rahmen eines Datenverlustes zu einem meldepflichtigen Verstoss kommt. Dies bedeutet unsererseits eine jährliche und nachweisbare Überprüfung, zum Beispiel mit  Penetrationstests. Es versteht sich von selbst, dass auch die nachfolgenden Verfahren regelmässig aktualisiert werden.

Unser Prüfschema für bestehende Betriebsvereinbarungen:

a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?
b) Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?

aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?)

Verarbeitung rechtmäßig, nach Treu und Glauben und in nachvollziehbarer Weise? vgl. Art. 6 I a-f DSGVO, EG 39 und Art. 12 ff. DSGVO

bb) Zweckbindungsgrundsatz

Zweck deutlich vereinbart (konkret & detailliert)?
Falls Verarbeitung zu anderem Zweck erfolgt: Vereinbarkeit mit altem Zweck?

cc) Datenminimierung

Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Mass beschränkt?
Sind Strategien und Massnahmen getroffen (Pseudonymisierung, techn. Vorrichtungen)?

dd) Datenrichtigkeit

Wurden Massnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden?
Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.

ee) Speicherbegrenzung

Sind klare Regelungen zu Speicherdauer von personenbezogenen Daten in Dienstvereinbarung getroffen?

ff) Integrität und Vertraulichkeit

Sind technisch-organisatorischen Massnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Schädigung, Zerstörung oder Verlust zu gewährleisten? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?

Sicherheit der Verarbeitung nach Art. 32 DSGVO und § 64 BDSG-neu
Einleitung technische und organisatorische Massnahmen, kurz TOM

(In dieser Offenlegung werden die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Rahmen der Tätigkeiten der Westaflexwerk GmbH und der westa gruppe nach Art. 32 DSGVO und § 64 BDSG-neu Abs. 1, Abs. 2) beschrieben, wie:

+  Vertraulichkeit

+  Integrität

+  Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und Dienstleistungen;

+  Pseudonymisierung und Verschlüsselung von personenbezogener Daten, soweit solche

Mittel in Anbetracht der Verarbeitungszwecke möglich sind.

+  Die Möglichkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten wiederherzustellen

+  Einen Prozess der regelmässigen Testwirksamkeit der TOMs sowie der ergänzenden Bestimmungen des § 64 BDSG-neu.

Zur Erstellung der TOMs haben wir folgende Schlüsselfaktoren berücksichtigt:

Der Stand der Technik, die Implementierungskosten, die Art, Umfang, Umstände und Zwecke der Verarbeitung, die Wahrscheinlichkeit und Schwere der Verarbeitungsgefahren für die Betroffenen und die Ergreifung organisatorischer Maßnahmen, um sicherzustellen, dass das Schutzniveau für die Verarbeitung von personenbezogener Daten angemessen ist, insbesonders im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Unser verantwortliche Konzern Datenschutzbeauftragter hat die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“ ( )

Selbstverteidigung - CryptoParty

Artikel 32 Abs. 2 DS-GVO
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zugangskontrolle (§ 64 BDSG-neu Abs. 3 Nr. 1)

(Massnahmen, die Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (räumlich))

Die westa holding unterhält Büroräume an verschiedenen Standorten. Alle Standorte sind in die IT-Infrastruktur der Zentrale eingebunden und unterliegen den Sicherheitsrichtlinien unser Firmengruppe. Der Zutritt zu den Büroräumen erfolgt entweder per Chip (Gütersloh) oder per Schlüssel (Salzwedel). Den Mitarbeitern wird bei Firmeneintritt ein Chip bzw. Schlüssel ausgehändigt. Der Mitarbeiter bestätigt den Erhalt mit seiner Unterschrift auf einer Schlüssel/Chipliste. Für das Ausscheiden der Mitarbeiter gibt es einen Workflow, bei dem auch der Chip bzw. der Schlüssel zurückgefordert wird. Chips von ausgeschiedenen Mitarbeitern werden deaktiviert.

Gäste werden am Empfang begrüsst, erhalten einen Besucherausweis und werden vom Mitarbeiter abgeholt und begleitet. Gäste können nicht ohne Begleitung die Büroräume betreten. Server stehen nur im Serverraum der Zentrale in Gütersloh. Der Serverraum ist durch eine Zutrittskontrollanlage gesichert und zusätzlich abgeschlossen. Zugang haben nur speziell dafür ausgewählte Mitarbeiter. Zusätzlich werden unsere Liegenschaften in Deutschland in den Nachtstunden durch einen Wachdienst überwacht. Die Landes-Niederlassungen und Salzwedel haben keine eigenen Server, sondern sind über MPLS eingebunden.

Benutzerkontrolle (§ 64 BDSG-neu Abs. 3 Nr. 4)

(Massnahmen, die verhindern, dass automatisierte Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte genutzt werden können ()

Für den Zugang auf das Netzwerk und unsere Server sind individuelle BenutzerAccounts notwendig. Die Kennworte müssen alle 60 Tage erneuert werden. Die letzten 15 Kennwörter können nicht wieder verwendet werden. Die Regeln für Kennworte sind:

+  Mindestens 08 Stellen (frei wählbar)

+  Mindestens ein Sonderzeichen oder eine Ziffer

+  Keine doppelten Zeichen (wird als SHA-Hash gespeichert)

Passwortkontrolle

Werden Passworte mehrfach fehlerhaft eingegeben, erfolgt eine Sperrung des Accounts; dieses kann nur durch einen Administrator rückgängig gemacht werden. Die Gruppe der Administratoren ist in der Gruppe Domain-Admins dokumentiert. Alle Mitarbeiter greifen auf unsere Systeme mit einem individuellen Benutzer-Account zu. Die Zugangsberechtigung und die Rechte im Netz werden mit Hilfe eines Directory (AD) geregelt. Jeder Rechner ist so eingestellt, dass spätestens nach 25 Minuten Inaktivität der Bildschirmschoner aktiv wird, der nur mit dem Kennwort des Benutzers aufgehoben werden kann. Virenscanner werden flächendeckend auf allen Clients und File-Server eingesetzt, sowie für E-Mail und Internetzugriffe. Die Notebooks der Mitarbeiter kommen mit kennwortgeschützten Festplatten zum Einsatz. Dies gilt auch für Desktops, soweit sie technisch dazu in der Lage sind. Die Mitarbeiter sind angewiesen, Notebooks vor unberechtigtem Zugriff zu schützen. Firewalls werden an den Übergängen aller Netzwerke (intern, extern, Niederlassungen, Homeoffice) eingesetzt. Es besteht eine Netzwerktrennung zwischen LAN, DMZ und Internetzone. Mitarbeitende können sich per VPN von firmeneigenen Laptops in unser Netzwerk einloggen. Zusätzlich zu Benutzername und Passwort wird ein zeitbasiertes „One Time Passwort“ verwendet, das alle 30 Sekunden geändert wird. Unser Gäste WLAN ist durch eine entsprechende WLAN- und FirewallInfrastruktur vom lokalen Netzwerk getrennt. Der Zugang durch mobile Geräte erfolgt über ein Device-Management. Die zugreifenden Personen inkl. der zugreifenden Geräte werden nur freigeschaltet, wenn die Geräte Kennwortgesichert sind, sich bei Inaktivität automatisch sperren und sich nach drei falschen Kennworteingaben automatisch löschen/zurücksetzen

Zugriffskontrolle (§ 64 BDSG-neu Abs. 3 Nr. 5)

(Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigungen ausschließlich zu den von ihrer Zugangsberechtigung ausschließlich zu den von ihrer Zugriffsberechtigung umfassten personenbezogenen Daten Zugang haben)

Zugriffe auf die Server erfolgen durch Authentifizierung (Benutzername/Passwort) mit entsprechenden Zugriffsberechtigungen. Freigaben sind durch Berechtigungsgruppen im Register Directory geschützt. Über Zugriffsberechtigungen wird sichergestellt, dass die Mitarbeiter nur auf die Datenbanken und Verzeichnisse zugreifen können, die sie für ihre Aufgabenerfüllung benötigen. Benötigt ein Mitarbeiter erweiterte Zugriffsrechte, so beantragt er diese in einer speziellen Datenbank (HW-SW-Antrag). Wird der Wunsch von dem Personalverantwortlichen genehmigt, so erhält der Mitarbeiter Zugriff.

Bei Projekt-Daten von Kreditoren/Debitoren wird die Zugriffsberechtigung in der Vereinbarung zur Auftragsdatenverarbeitung mit dem Auftraggeber geregelt. Die Datenzugriffe unsererseits auf Server des Kreditoren/Debitoren erfolgen durch verschlüsselte Tunnel. Die eingesetzte Hardware und Software wird auf dem jeweils aktuellen technischen Stand gehalten. Den Zugriff auf Daten im Shared Service (Financial, HR) ist durch spezielle Benutzerprofile eingeschränkt. Dies gilt auch für sensible Verzeichnisse, die nur Mitarbeitern mit entsprechender Berechtigung angezeigt werden. Der Zugriff auf Server von Kreditoren/Debitoren ist durch Benutzerprofile und Kennwort durch den Auftragsgeber zu schützen. Alle Zugriffe werden protokolliert, sofern dieser eine Protokollierung auf seinem System aktiviert hat.

Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DS-
GVO; Art. 25 Abs. 1 DS-GVO, § 64 BDSG-neu (Abs. 1) Abs. 2)

(Es ist zu gewährleisten, dass bei Bedarf die Verarbeitung personenbezogener Daten in einer Weise erfolgt, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen).

Wir führen grundsätzlich bei der Verarbeitung eine Verschlüsselung personenbezogener Daten durch, um sicherzustellen, dass geeignete Kontrollen vorhanden sind, die eine Identifizierung von betroffenen Personen (durch Anonymisierung personenbezogener Daten) nicht oder nicht mehr zulassen. Wenn personenbezogene Daten ausserhalb des lokalen Netzwerkes des Unternehmens gespeichert oder verarbeitet werden, das heißt auf externen Speichermedien oder an einen Drittanbieter übertragen, schliessen wir eine Datenschutzvereinbarung mit dem Drittanbieter, die sicherstellt, dass die Daten angemessen und sicher sind gemäss den DSGVO-Anforderungen gelagert und / oder verarbeitet werden. Die Festplatten unser Laptops sowie der Desktop-PCs (soweit diese es technisch zulassen) sind verschlüsselt (PreBoot); Netzwerkübertragungen personenbezogener Daten im WAN erfolgt verschlüsselt (SSL, HTTPS, MPLS).

Alles wie ganz früher. Nur ganz anders. Das ist wirklich merkwürdig: an den verschiedenen Ecken dieser Webseiten haben sich diesmal in den verschiedenensten Zusammenhängen Gedanken eingefunden, die sich geradezu ähneln - indem sie nämlich hinter die industrielle Digitalisierung zurückgehen. Es hat sich tatsächlich mehr oder weniger zufällig ergeben, dass wir das Industrie- und Massendatenzeitalter umkurven und bei den Zuständen aus der Zeit davor ankommen. Altes Prinzip - neuer Name: am Prinzip des Verbraucher- und Persönlichkeitsschutzes hat der europäische Gesetzgeber festgehalten. Zum Nachweis der Erfüllung wird verstärkt auf Zertifikate und Aufschreibungen gesetzt. 

Datenträgerkontrolle (§ 64 BDSG-neu Abs. 3 Nr. 2)

(Es ist zu gewährleisten, dass das Risiko des unbefugten Lesens, Kopieren, Änderns oder Löschens von Datenträgern beseitigt wird.)

Sicherungsbänder werden im Tresor aufbewahrt; der Code ist nur ausgewählten Mitarbeitern zugängig. Die Erstellung von Sicherungsbändern erfolgt durch ausgewählte Mitarbeiter; der Sicherungsprozess erfolgt kontrolliert und wird protokolliert. Jedes Sicherheitsband wird auf Lesbarkeit und Vollständigkeit überprüft. Die Vernichtung von Datenträgern erfolgt über Fachfirmen nach der DIN-Norm 66399. Auf unser Corporate Archiv kann nur von ausgewählten Personen der kaufmännischen Abteilung und des Managements zugegriffen werden. Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden personenbezogene Papierdaten / Akten in speziellen Sicherheitscontainer eingelagert und von einem zertifizierten Spezialisten für Akten- und Datenvernichtung sicher entsorgt. Die Mitarbeitenden sind angewiesen, keine externen Datenträger oder Geräte mit firmeneigenen Geräten oder dem Firmennetzwerk zu verbinden

Speicherkontrolle (§ 64 BDSG-neu Abs. 3 Nr. 3)

(Es muss sichergestellt werden, dass geeignete Maßnahmen ergriffen werden, um die unbefugte Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten zu verhindern.)

Benutzer- und gruppenabhängige Zugriffsberechtigungen steuern die Sichtbarkeit und Änderbarkeit der Informationen im eingesetzten ERP- und CRM-System. Datenänderungen und -löschungen im ERP und CRM werden fortlaufend protokolliert (=journalisiert).

Die EU-Datenschutz-Grundverordnung (DSGVO) trifft keine inhaltlichen Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt es dem nationalen Gesetzgeber, hierzu Vorschiften zu erlassen. Der deutsche Gesetzgeber hat das innerhalb der Änderung des Bundesdatenschutzgesetzes (BDSG) mit § 26 getan. So muss unsererseits zwecks Erfüllung der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden. Davon umfasst ist auch der Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Freiwilligkeit der Einwilligung wird vermutet, wenn sich für den Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil ergibt (z.B. betriebliche Altersversorgung).  Nach § 26 Abs. 8 BDSG umfasst der Begriff auch LeiharbeitnehmerInnen, sowie BewerberInnen und ausgeschiedene ArbeitnehmerInnen.

Übertragungskontrolle (§ 64 BDSG-neu Abs. 3 Nr. 6)

(Es ist zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden.)

Eine E-Mail-Verschlüsselung nach dem Standardverfahren TLS erfolgt standardisiert. Ein Übertragungsprotokoll z.B. bei E-Mail-Versand kann eingestellt werden- Die Weitergabe der personenbezogenen Daten im Rahmen der gesetzlichen Anforderungen bspw. in der Personalabteilung, erfolgt in geeigneter verschlüsselter Form. Die Übertragung von personenbezogenen Daten (im Rahmen der gesetzlichen Forderungen) liegt in der Verantwortung von ausgewählten und berechtigte Personen. Bei der Auftragsverarbeitung werden die Daten nur im Rahmen der Weisungen des Auftraggebers bearbeitet. Bei den Arbeiten beim Auftraggeber sind die Datenverbindungen verschlüsselt (SSL-VPN, IPEC, MPLS). Verschlüsselung externer Datenträger bei Weitergabe (USB-Sticks etc.)

Transportkontrolle (§ 64 BDSG-neu Abs. 3 Nr. 8)

(Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.) Alle Mitarbeitenden sind angewiesen, keine personenbezogenen Daten weiterzugeben. Die Weitergabe der personenbezogenen Daten im Rahmen der gesetzlichen Anforderungen z.B. in der Personalabteilung, erfolgt in geeigneter verschlüsselter Form (z.B. über einen Passwortschutz, Dokumentschutz). Beim physischen Transport: Sichere Transportbehälter.

Die DS-GVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Bei der Erfüllung seiner Aufgaben hat unser Konzern-Datenschutzbeauftragter (bDSB) die Pflicht zur risikoorientierten Tätigkeit, d. h., er entscheidet selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos vorranging prüft. Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom Dezember 2016 trägt der bDSB im Falle der Nichteinhaltung der DS-GVO keine persönliche Verantwortung.

Trennbarkeit (§ 64 BDSG-neu Abs. 3 Nr. 14)

(Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können)

Unsere Produktivsysteme sind vollständig von Entwicklungs- und Testsystemen getrennt. Dazu zählt der Einsatz getrennter Datenbanken, getrennter virtueller Maschinen und getrennter Applikationsserver. Produktiv- und Testdaten werden in getrennten Mandaten geführt. Es ist nicht vorgesehen, dass wir personenbezogene Daten aus dem Bereich unser Kreditoren/Debitoren verarbeitet. Wenn Daten aus diesem Bereich zum Zwecke der Fehlersuche oder deren Wiederherstellung übertragen werden, werden diese gesondert gespeichert.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Eingabekontrolle (§ 64 BDSG-neu Abs. 3 Nr. 7)

(Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

Nur speziell berechtigte Mitarbeiter haben die Möglichkeit personenbezogene Daten zu verarbeiten. Die Mitarbeiter sind angewiesen, personenbezogene Daten besonders sorgfältig zu bearbeiten. Eine Veränderung oder Entfernung im Sinne des Datenschutzrechts ist den Mitarbeitenden nur gestattet, wenn der Kreditor/debitor dies vorher ausdrücklich schriftlich beauftragt hat. Die Speicherung von Daten aus dem Projektbereich erfolgt nur während der Arbeiten zur Mängelbeseitigung oder zur Unterstützung des Einsatzes gelieferten Systeme bzw. von Systemen, für die wir Serviceleistungen erbringt.

Datenintegrität (§ 64 BDSG-neu Abs. 3 Nr. 11)

(Es ist zu gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.)

+  Über Berechtigungskonzepte kann die Vergabe von Zugriffsrechten mit Unterscheidung der Rechte zur Eingabe, Änderung und Löschung von Daten geregelt werden.

+  Sicherheitskonzept mit Virenscanner, Firewalls, Erfassung gescheiterter Zugriffsversuche

+  Einsatz eines Dokumentenmanagementsystems

+  Regelmässige Datensicherungen

Die EU-Datenschutz-Grundverordnung (DS-GVO) verknüpft Datenschutz und Datensicherheit eng miteinander. Schutz und Technik sind nicht nur bei den technisch-organisatorischen Maßnahmen miteinander verbunden, wie es bisher bei § 9 BDSG und seiner Anlage der Fall war. Die DS-GVO verlangt Datensicherheitsmassnahmen, die geeignet sind, das Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen; wir passen daher stetig an. Zugleich besteht ein IT-Sicherheitsmanagement an unseren deutschen Standorten.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle (§ 64 BDSG-neu Abs. 3 Nr. 13)

Alle Serversysteme der westa gruppe werden in festgelegten Zyklen in Gütersloh gesichert. Unser Serverraum ist so konzipiert, dass alle Server durch eine USV abgesichert sind, die Klimatisierung redundant ausgelegt ist und die Server an einem SAN angeschlossen bzw. mit RAID5 oder RAID10 geschützt sind. Die korrekte Funktion bei Stromausfall wird regelmäßig kontrolliert. Alle Server werden täglich gesichert und die Sicherungen ausgelagert. Es werden Monats- und Jahressicherungen aufbewahrt. Die Rücksicherung wird regelmäßig getestet. Alle Arbeitsplatzclients sowie alle Server sind, soweit technisch sinnvoll oder erlaubt, mit aktuellem Virenscanner ausgestattet. Die Firewall prüft zusätzlich auf Viren, ein- und ausgehende E-Mails werden ebenfalls auf Viren untersucht.

Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO, § 64 BDSG-neuAbs. 3 Nr. 9, Abs. 2 Nr. 2)

(Es ist zu gewährleisten, dass die Verfügbarkeit von personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden kann.)

Die Rücksicherung wird regelmäßig getestet. Spezielle Backup-to-Disk – Disk-to-Tape-Sicherungsstrategien sorgen für eine angemessen rasche Wiederherstellbarkeit der Daten. Durch den Einsatz unser virtuellen Systemumgebung innerhalb einer redundanten Infrastruktur können personenbezogene Daten jederzeit rasch wiederhergestellt werden.

Zuverlässigkeit (§ 64 BDSG-neu Abs. 3 Nr. 10)

(Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.)

Die Verfügbarkeit und Funktion der für die Datenverarbeitung erforderlichen Systeme werden rund um die Uhr überwacht. Fehlfunktionen werden unverzüglich an die Supportabteilung / Verantwortlichen gemeldet.

+  Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort

+  Feuerlöschanlage im Serverraum

+  Alarmmeldung bei unberechtigten Zutritt zum Serverraum

+  Unterbrechungsfreie Stromversorgung (USV) 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO)

(Es ist sicherzustellen, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung etabliert ist.)

Datenschutz-Management

Durch Zertifizierung nach DIN EN ISO 9001:2015 finden regelmäßige interne Audits und Managementbewertungen statt. Es wurde ein Konzern Datenschutzbeauftragter und ein interner Koordinator für den Datenschutz benannt. Ein Datenschutzkonzept ist vorhanden Die Mitarbeitenden werden regelmässig über vom Konzern Datenschutzbeauftragten geschult, so dass die Mitarbeitenden über den der Umgang mit personenbezogenen Daten sensibilisiert sind. Es gibt einen Prozess "Datenpanne". Es werden Verarbeitungsverzeichnisse für die Verarbeitung von personenbezogene Daten geführt. Hier werden die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammengefasst, insbesondere Angaben zum Zweck der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger und der Löschfristen. Es gibt regelmäßige Überprüfungen der technischen und organisatorischen Maßnahmen wie etwa einen Stromausfalltest.

+  Permanente Überwachung der Firewalls über Tools

+  Backupleitungen über verschiedene Provider zur Reduzierung

+  Änderungen an Daten werden über Journale dokumentiert

Auftragskontrolle (Art. 32 Abs. 4 DS-GVO, § 64 BDSG-neu Abs. 3 Nr. 12)

(Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

Sorgfältige Auswahl von Subdienstleister

Formalisierte Vertragsgestaltung: Mit allen Subdienstleister wird ein AV Vertrag / eine Verpflichtungserklärung abgeschlossen; unabhängig ob durch den Subkontrakter personenbezogene Daten verarbeitet werden. Datenschutzüberprüfungen bei Subdienstleister u.a. Einfordern von Nachweisen wie etwa Datenschutz- oder IT-Sicherheits-Zertifikat, bestellter DSB, Unterweisungsstand der Mitarbeitenden. Unsere Mitarbeitenden sind verpflichtet, Arbeiten, bei denen wir unsererseits Kontakt zu personenbezogenen Daten aus dem Bereich des Auftraggebers bekommen oder bekommen sollen, nur durchzuführen, wenn dieser diese im Einzelfall anfordert. Dies ist beispielsweise dann der Fall, wenn der Projektgeber an uns eine Fehlermeldung (Ticket) übermittelt. Alle Mitarbeitenden der westa gruppe, die mit personenbezogenen Daten aus dem Bereich des Auftraggebers in Kontakt kommen können, wurden schriftlich (§ 53 BDSG-neu) auf die Einhaltung des Datenschutzes verpflichtet. Sie sind entsprechend belehrt und angewiesen, dass sie Arbeiten gemäss dem vorstehenden Absatz nur auf Anforderung des Auftraggebers durchführen dürfen.

Die Regelungen unser Selbstverpflichtung finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertragsverhältnis sowie zukünftigen Ergänzungen und – soweit im Einzelfall nichts anderes vereinbart wird – weiteren Leistungsvereinbarungen im Zusammenhang stehen.