Technisch und organisatorische Standardmaßnahmen zum Schutz personenbezogener Daten
der Ing. Peter Rainer, Achenweg 2, A-5760 Saalfelden, im Folgenden kurz Rainer genannt.
1. Standardmaßnahmen.
Rainer sieht zum Schutz personenbezogener Daten im Rahmen der folgenden Standardverarbeitungsvorgängen, welche
nur im geringen Ausmaß personenbezogene Daten über Straftaten und strafrechtliche Verurteilungen bzw. besondere Kategorien von personenbezogenen Daten beinhalten und
auch sonst nur kein oder nur ein geringes Risiko aufweisen
folgende technische und organisatorische Maßnahmen
zur Sicherstellung der Vertraulichkeit der Datenverarbeitung,
zur Sicherstellung der Integrität der Datenverarbeitung,
zur Sicherstellung der Verfügbarkeit der Datenverarbeitung,
zur Sicherstellung der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung,
zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
zur Sicherstellung der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
in den nachfolgenden Bereichen vor:
1 Organisationskontrolle | |
1.5 | Schriftliche Regelungen über den Betrieb, die Abläufe, die Sicherheit der Datenverarbeitung |
1.6 | Mitbenutzung der DV-Anlagen durch Fremdfirmen |
1.13 | Regelungen über Sicherung des Datenbestandes |
1.16 | IT-Versicherungen |
2 Zutrittskontrolle | |
2.1 | Gebäudeart |
2.1.4 | Büro- und Wohngebäude |
2.3 | Zutritt ausreichend abgesichert |
2.3.1 | Türen, Türschlösser |
2.4 | Auf- und Abschließen der Räume bei Arbeitsbeginn bzw. –ende |
2.4.1 | Schlüsselregelung |
3 Zugangskontrolle | |
3.1 | Passwortverfahren |
3.1.1 | Forderung einer unterschiedlichen Zeichenzusammensetzung |
3.1.2 | Mindestlänge 8 Zeichen |
3.1.5 | Bildschirmsperre bei Pausen mit Passwort-Aktivierung |
3.1.10 | Aufbewahrung Administrator-Passwörter |
3.1.15. | Bei Administratorzugang muss Passwort länger als 8 Zeichen sein |
3.5 | Zugang von außerhalb des Intranets |
3.7 | Welcher Internet-Provider wird genutzt? Cablelink und T-Mobile LTE als Backup-Leitung Bei Bereitschaftsdiensten erfolgt teilweise auch ein Zugriff über andere Verbindungen (z.B. Mobiltelefon, Hotel-WLAN) |
3.7.2 | Internet-Provider (direkt) |
3.10 | Welcher Browser wird genutzt? Google Chrome Firefox Microsoft Edge |
3.10.1 | Wie oft werden Sicherheitspatches und/oder Updates installiert? Updates werden automatisch (mindest einmal wöchentlich) über die Update-Funktion des Browsers bzw. des Betriebssystems durchgeführt. |
3.10.1.1 | Laufend, automatisiertes Verfahren |
4 Zugriffskontrolle | |
4.7 | Zugriffsschutz durch Bildschirmschoner |
4.7.1 | Automatische Sperre |
4.7.2 | Sperre über Funktionstasten |
4.7.3 | Ausschließlich passwortgestützte Aufhebung |
4.10. | Sonstige Netzwerksicherheit |
4.10.4. | Die Kommunikation in drahtlosen Netzen erfolgt verschlüsselt |
4.10.5. | Zugriffe aus externen Netzen über eigenen VLANs |
4.10.12. | Bei Internet-Anwendungen werden Anmeldedaten verschlüsselt übertragen |
5 Weitergabekontrolle | |
5.2 | Welche Versendungsarten (allgemein)? |
5.2.1 | Datenleitung |
5.2.2 | |
5.12 | Fernwartung |
5.12.3 | Wofür wird Fernwartung durchgeführt? |
5.12.3.2 | Software |
5.12.3.2.1 | Betriebssystem |
5.12.3.2.3 | Anwendungen |
5.12.3.4 | Helpdesk |
5.12.5 | Zugangs-/Zugriffsweg |
5.12.5.1 | permanent bestehende bzw. intern vorhandene Verbindung |
5.12.7 | Verschlüsselung |
5.12.8 | Zugangskontrolle |
5.12.8.1 | Benutzerkennung / Passwort |
6 Eingabekontrolle | |
7 Auftragskontrolle | |
7.1 | Sorgfältige Auswahl der Auftragnehmer durch wen? Rainer |
7.2 | Kriterien zur Auswahl der Auftragnehmer festgelegt |
7.2.1 | Referenzen |
7.2.2 | Zertifizierungen / Gütesiegel |
7.4 | Unternehmen ist selbst als Auftragnehmer tätig |
7.8. | Grundinformationen nach Artikel 28 |
7.8.1. | Gegenstand und Dauer der Verarbeitung |
7.8.2. | Art und Zweck der Verarbeitung |
7.8.3. | Art der personenbezogenen Daten |
7.8.4. | Kategorien betroffener Personen (z.B. Kunden) |
8 Verfügbarkeitskontrolle | |
8.6.3 | Sicherungen zur Sicherstellung eines ordnungsgemäßen Betriebes |
8.6.3.3 | Datensicherung |
8.6.3.9 | Einzelrechner |
8.12 | Notfallplan |
9 Trennungskontrolle | |
9.2 | Interne Mandantenfähigkeit |
9.5 | Trennung der verarbeitenden Systeme |
9.5.1 | Produktion |
9.5.2 | Integration |
9.5.4 | Entwicklung |
9.7 | Trennung der Nutzerkonten |
9.7.1 | Produktion |
9.7.2 | Integration |
9.7.4 | Entwicklung |
1.1 Zusätzliche Schutzmaßnahmen für Hotelsoftware
1 Organisationskontrolle | |
2 Zutrittskontrolle | |
3 Zugangskontrolle | |
4 Zugriffskontrolle | |
4.1.2 | Programmtechnisches Berechtigungskonzept |
4.1.3 | Rollendefinition |
4.1.8 | Protokollierung |
4.1.8.5 | Richtlinienverstoß |
4.1.8.8 | Aufbewahrung der Protokolle (max.1a) |
4.1.8.9. | Synchronisierung der Uhren zur Auswertung von Protokollen |
4.8 | Regelungen und Kontrolle von externer Wartung und Fernwartung |
4.10. | Sonstige Netzwerksicherheit |
4.10.14. | Bei Kreditkarteninformationen werden PCI/DSS-Anforderungen beachtet |
5 Weitergabekontrolle | |
5.12 | Fernwartung |
5.12.1 | Bestehen Zugriffsmöglichkeiten auf personenbezogene Daten? Ja |
5.12.3 | Wofür wird Fernwartung durchgeführt? Für Support-Anfragen die über unseren Helpdesk bei uns eingehen. |
5.12.3.2 | Software |
5.12.3.2.1 | Betriebssystem |
5.12.3.2.3 | Anwendungen |
5.12.3.4 | Helpdesk |
5.12.5 | Zugangs-/Zugriffsweg |
5.12.5.1 | permanent bestehende bzw. intern vorhandene Verbindung |
5.12.7 | Verschlüsselung |
5.12.8 | Zugangskontrolle |
5.12.8.1 | Benutzerkennung / Passwort |
6 Eingabekontrolle | |
6.1 | Protokollierungs- und Protokollauswertungssysteme |
6.1.1 | Wer hat wann was eingegeben? Ja, allerdings nur bei besonders wichtig Änderungen (Balance Kontrolle vs. Systembelastung) |
6.1.4 | Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine? Helpdesk von Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner |
7 Auftragskontrolle | |
8 Verfügbarkeitskontrolle | |
9 Trennungskontrolle | |
9.2 | Interne Mandantenfähigkeit |
9.5 | Trennung der verarbeitenden Systeme |
9.5.1 | Produktion |
9.5.2 | Integration |
9.5.4 | Entwicklung |
9.7 | Trennung der Nutzerkonten |
9.7.1 | Produktion |
9.7.2 | Integration |
9.7.4 | Entwicklung |
1.2 Zusätzliche Schutzmaßnahmen für Web-Hosting & Web-Analyse
1 Organisationskontrolle | |
2 Zutrittskontrolle | |
3 Zugangskontrolle | |
4 Zugriffskontrolle | |
4.1.8 | Protokollierung |
4.1.8.5 | Richtlinienverstoß |
4.1.8.8 | Aufbewahrung der Protokolle (max.1a) |
4.1.8.9. | Synchronisierung der Uhren zur Auswertung von Protokollen |
4.8 | Regelungen und Kontrolle von externer Wartung und Fernwartung |
5 Weitergabekontrolle | |
6 Eingabekontrolle | |
6.1 | Protokollierungs- und Protokollauswertungssysteme |
6.1.4 | Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine? Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner |
7 Auftragskontrolle | |
8 Verfügbarkeitskontrolle | |
9 Trennungskontrolle | |
9.7 | Trennung der Nutzerkonten |
9.7.1 | Produktion |
2. Sub-Auftragsverarbeiter
Unternehmensname | Zweck | Land |
Google LLC | Cloud-Anbieter | USA |
Amazon Web Services, Inc. | Cloud-Anbieter | USA |
AWS Europe | Cloud-Anbieter | Europa |
Amazon Data Services Ireland Ltd | Cloud-Anbieter | Irland |
OVH GmbH | Cloud-Anbieter | Deutschland |
Hetzner | Cloud-Anbieter | Deutschland |
Netcup / Anexia | Cloud-Anbieter | Deutschland |
Markus Perl | Datenqualität | Deutschland |
Answerbook, Inc. | Log-Daten | USA |
Google Analytics | Web-Analyse | USA |
New Relic | Systemzustand | USA |
Mailchimp | E-Mail Dienstanbieter | USA |
HubSpot Inc | CRM | USA |
Freshworks, Inc. | Helpdesk | USA |
Slack | Interne Kommunikation, Alerts/Notifications | USA |
TresorIt | Datensicherung | Schweiz |
Datadog | Systemüberwachung | USA |
fino data services GmbH | Buchhaltung/Belegerfassung | Deutschland |
Loom Inc. | Support/Videos | USA |
Zendesk | Support | USA |
Rollbar, Inc | Systemüberwachung | USA |
fiskaltrust gmbh (c/o Audicon GmbH) | Registrierkassen | Deutschland |
Audicon GmbH | Kassenarchiv | Deutschland |
Swissbit AG | TSE | Schweiz |
A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH | TSE | Österreich |
fiskaly GmbH | TSE | Wien |
fiskaly Germany GmbH | TSE | Deutschland |
DF Deutsche Fiskal GmbH | TSE | Deutschland |
Dropbox International Unlimited Company | Datensicherung | Irland |
Sämtliche von uns, bei Cloud-Anbietern, betriebene Server befinden sich in Rechenzentren innerhalb der Europäischen Union.
Unsere Sub-Auftragsverarbeiter, mit Firmensitz in den USA, welche von uns personenbezogene Daten erhalten, sind nach dem „Data Privacy Framework“ zertifiziert, dadurch wird diesen Unternehmen wird ein adäquates Datenschutzniveau analog der EU attestiert.
Unseren Sub-Auftragsverarbeitern mit Firmensitz in der Schweiz wird ein adäquates Datenschutzniveau analog der EU attestiert.
Sofern Sie in Ihrer Hotelsoftware Schnittstellen zu Systemen von Drittanbietern aktiviert haben, so leiten wir die von Ihnen gewünschten Daten an diese Anbieter weiter. Hierfür müssen Sie selbst mit dem Schnittstellen-Anbieter (Datenempfänger) einen Vertrag zur Auftragsverarbeitung abschließen. Durch die Aktivierung der entsprechenden Schnittstellen, bestätigen Sie uns gegenüber, dass Sie einen entsprechenden Vertrag geschlossen haben und wir die Daten, bis zu einer etwaigen Deaktivierung der Schnittstelle, an den von Ihnen genannten Auftragsverarbeiter weiterleiten dürfen.