Datenschutz / TOM gemäß § 9 BDSG
Um dem Bedürfnis unserer Geschäftskunden nach einem verbindlichen und schriftlich festgelegten Datenschutz nachzukommen, listen wir nachfolgend die
Technisch-organisatorische Sicherheitsmaßnahmen gemäß § 9 BDSG
auf. Selbstverständlich können wir nach Rücksprache, einzelne Punkte erweitern oder verbessern. Sprechen Sie uns bitte darauf an.
Vereinbarung zur Festlegung der technischen und organisatorischen Maßnahmen
Nach § 11 Abs. 2 S. 2 BDSG sind die technischen und organisatorischen Datenschutzmaßnahmen schriftlich festzulegen.
1) Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren:
- Die Vergleichsrechner laufen auf einem Internetserver unter dem Betriebssystem Linux / Debian, der bei dem Internetprovider „Hetzner“ angemietet wurde. Damit wird die Firma Hetzner zum Subunternehmer. Deren TOM gemäß § 9 BDSG können Sie hier einsehen: https://www.hetzner.de/pdf/ADV_TOM.pdf
- Die Büroräume werden durch ein elektronisches Türöffnungssystem der Fa. Burg – Wächter versperrt. Zugangsberechtigte erhalten einen Code, der individuell vergeben und auch gelöscht werden kann.
2) Zugangskontrolle
Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
- Da VERSDIREKT mit der Programmierung und Wartung des Servers betraut ist, müssen deren Mitarbeiter über das Administrator – Passwort (unter Linux „Root“ Passwort genannt) verfügen.
- Dieses Passwort wird nach dem Grundsatz der Datensparsamkeit nur den Personen bekannt gemacht, die sich mit dem Programm beschäftigen.
- Das Root – Passwort muss aus mindestens 8 Zeichen bestehen. Diese Zeichenkette muss mindestens einen großen und einen kleinen Buchstaben, eine Zahl und ein Sonderzeichen enthalten. Die Rücksetzung des Root – Passwortes ist nicht vorgesehen. Dafür wird das Passwort in einer Akte, die in einem verschlossenen Stahlschrank hängt, aufbewahrt.
3) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf, die ihrer Zugriffsberechtigung unterliegenden Daten, zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Die Zugriffskontrolle erfolgt über ein revisionssicheres, verbindliches Berechtigungsvergabeverfahren.
- Server, die wir zur Datenverarbeitung anmieten, sind immer decidierten Linux Server mit aktuellem Betriebssystem. Die Kommunikation zwischen dem Browser des Anwenders und unserem Server erfolgt ausschließlich verschlüsselt mit dem Verfahren TSL 1.2 / mindestens 128 Bit tief. Weiterhin gelten auch hier die Ausführungen unter „1) Zutrittskontrolle“ sinngemäß.
4) Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
- Die Server sind dezidierte Linux Server mit aktuellem Betriebssystem. Die Kommunikation zwischen dem Browser und unserem Server erfolgt verschlüsselt mit dem Verfahren TSL 1.2 / mind. 128 Bit-Tiefe (SSL).
- Das Verschlüsselungsverfahren entspricht dem Standard „Perfect Forward Secrecy“
- Der Server steht bei einem deutschen Provider und unterliegt den deutschen Datenschutzrichtlinien.
5) Eingabekontrolle
Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Alle Produktiv – Server verfügen über ein Login – System, welche alle Logins und Loginversuche abspeichern.
6) Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:
- Anfragen, die über den Vergleichsrechner Daten wie Tarif, Adresse, etc beinhalten, kann nur von Mitarbeitern des Unternehmens bearbeitet werden, die die Website mit diesem Rechner veröffentlicht. Eine Weitergabe der Anfrage und aller dieser Anfrage notwendig zugehörigen personenbezogenen Daten an Dritte ist technisch ausgeschlossen. Zur Überwachung wurde ein externen Datenschutzbeauftragten bestellt. Dieser sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse.
7) Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Im Hause gelten die folgenden Sicherheitsstandards:
- Alle Server laufen unter Univention Corporate Server (Debian Derivat). Die Server selber sind auf den neuesten Stand gepatchet. Ein Windows Server mit einer Microsoft SQL Datenbank wird zusätzlich gepflegt. Dieser ist durch einen aktuellen Virenscanner gesichert und nur über wenige Ports von aussen überhaupt erreichbar.
- Auch der IMAP-Mailserver wird von VERSDIREKT selber am Standort Gilching betrieben und läuft unter Univention Corporate Server. Als Spamschutz wird der kostenpflichtige Service der Firma „Spamdrain“ eingesetzt. Die vom Kunden an VERSDIREKT gesendeten Emails sind somit nur für autorisiertes Personal einsehbar und durchsuchbar.
- Die moderne Hardware Firewall ist mit einem zentralen Malware- und Virenscanner ausgestattet. Das VPN – Gateway arbeitet im neuesten Standard.
- Alle Workstations laufen ausnahmslos unter Windows 7 u. 10, MacOS 10.9 oder Ubuntu 16.04 LTS und sind zusätzlich mit einem Virenscanner gesichert.
- Unsere Mitarbeiter und die Geschäftsführung arbeitet mit (geschäftlichen) Mobiltelefonen, die sparsam oder keine externe Cloudservices nutzen. So ist weder eine WhatsApp, Google+-oder die Facebook App installiert. Die Adressdaten und Termine werden über einen eigenen Cloudserver (ownCloud) syncronisiert.
- Die File-, Datenbank- und Imap Server werden über ein Mehrstufiges System gesichert.
8) Trennungsgebot
Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Das Programm wird im Produktivbereich durch ein Berechtigungssystem sowohl auf File,- als auch auf Datenbankebene getrennt. Es ist zu jeder Zeit gewährleistet, dass unsere Kunden ausschließlich zu ihren eigenen Daten einen Zugriff haben.
- Google oder Facebook Tracking- oder Analyse-Software wird in den VERSDIREKT Vergleichsrechnern nicht verwendet. Es werden grundsätzlich keine „Third-Party Cookies“ platziert.
Datenschutzerklärung gemäß Datenschutz Grundverordung
Diese können Sie hier einsehen.