Technisch und organisatorische Standardmaßnahmen zum Schutz personenbezogener Daten

der Ing. Peter Rainer, Achenweg 2, A-5760 Saalfelden, im Folgenden kurz Rainer genannt.

1. Standardmaßnahmen.

Rainer sieht zum Schutz personenbezogener Daten im Rahmen der folgenden Standardverarbeitungsvorgängen, welche

  • nur im geringen Ausmaß personenbezogene Daten über Straftaten und strafrechtliche Verurteilungen bzw. besondere Kategorien von personenbezogenen Daten beinhalten und

  • auch sonst nur kein oder nur ein geringes Risiko aufweisen

folgende technische und organisatorische Maßnahmen

  • zur Sicherstellung der Vertraulichkeit der Datenverarbeitung,

  • zur Sicherstellung der Integrität der Datenverarbeitung,

  • zur Sicherstellung der Verfügbarkeit der Datenverarbeitung,

  • zur Sicherstellung der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung,

  • zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und

  • zur Sicherstellung der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

in den nachfolgenden Bereichen vor:

1 Organisationskontrolle

1.5

Schriftliche Regelungen über den Betrieb, die Abläufe, die Sicherheit der Datenverarbeitung

1.6

Mitbenutzung der DV-Anlagen durch Fremdfirmen

1.13

Regelungen über Sicherung des Datenbestandes

1.16

IT-Versicherungen

2 Zutrittskontrolle

2.1

Gebäudeart

2.1.4

Büro- und Wohngebäude

2.3

Zutritt ausreichend abgesichert

2.3.1

Türen, Türschlösser

2.4

Auf- und Abschließen der Räume bei Arbeitsbeginn bzw. –ende

2.4.1

Schlüsselregelung

3 Zugangskontrolle

3.1

Passwortverfahren

3.1.1

Forderung einer unterschiedlichen Zeichenzusammensetzung

3.1.2

Mindestlänge 8 Zeichen

3.1.5

Bildschirmsperre bei Pausen mit Passwort-Aktivierung

3.1.10

Aufbewahrung Administrator-Passwörter

3.1.15.

Bei Administratorzugang muss Passwort länger als 8 Zeichen sein

3.5

Zugang von außerhalb des Intranets

3.7

Welcher Internet-Provider wird genutzt?

Cablelink und T-Mobile LTE als Backup-Leitung

Bei Bereitschaftsdiensten erfolgt teilweise auch ein Zugriff über andere Verbindungen (z.B. Mobiltelefon, Hotel-WLAN)

3.7.2

Internet-Provider (direkt)

3.10

Welcher Browser wird genutzt?

Google Chrome

Firefox

Microsoft Edge

3.10.1

Wie oft werden Sicherheitspatches und/oder Updates installiert?

Updates werden automatisch (mindest einmal wöchentlich) über die Update-Funktion des Browsers bzw. des Betriebssystems durchgeführt.

3.10.1.1

Laufend, automatisiertes Verfahren

4 Zugriffskontrolle

4.7

Zugriffsschutz durch Bildschirmschoner

4.7.1

Automatische Sperre

4.7.2

Sperre über Funktionstasten

4.7.3

Ausschließlich passwortgestützte Aufhebung

4.10.

Sonstige Netzwerksicherheit

4.10.4.

Die Kommunikation in drahtlosen Netzen erfolgt verschlüsselt

4.10.5.

Zugriffe aus externen Netzen über eigenen VLANs

4.10.12.

Bei Internet-Anwendungen werden Anmeldedaten verschlüsselt übertragen

5 Weitergabekontrolle

5.2

Welche Versendungsarten (allgemein)?

5.2.1

Datenleitung

5.2.2

E-Mail

5.12

Fernwartung

5.12.3

Wofür wird Fernwartung durchgeführt?

5.12.3.2

Software

5.12.3.2.1

Betriebssystem

5.12.3.2.3

Anwendungen

5.12.3.4

Helpdesk

5.12.5

Zugangs-/Zugriffsweg

5.12.5.1

permanent bestehende bzw. intern vorhandene Verbindung

5.12.7

Verschlüsselung

5.12.8

Zugangskontrolle

5.12.8.1

Benutzerkennung / Passwort

6 Eingabekontrolle

7 Auftragskontrolle

7.1

Sorgfältige Auswahl der Auftragnehmer durch wen?

Rainer

7.2

Kriterien zur Auswahl der Auftragnehmer festgelegt

7.2.1

Referenzen

7.2.2

Zertifizierungen / Gütesiegel

7.4

Unternehmen ist selbst als Auftragnehmer tätig

7.8.

Grundinformationen nach Artikel 28

7.8.1.

Gegenstand und Dauer der Verarbeitung

7.8.2.

Art und Zweck der Verarbeitung

7.8.3.

Art der personenbezogenen Daten

7.8.4.

Kategorien betroffener Personen (z.B. Kunden)

8 Verfügbarkeitskontrolle

8.6.3

Sicherungen zur Sicherstellung eines ordnungsgemäßen Betriebes

8.6.3.3

Datensicherung

8.6.3.9

Einzelrechner

8.12

Notfallplan

9 Trennungskontrolle

9.2

Interne Mandantenfähigkeit

9.5

Trennung der verarbeitenden Systeme

9.5.1

Produktion

9.5.2

Integration

9.5.4

Entwicklung

9.7

Trennung der Nutzerkonten

9.7.1

Produktion

9.7.2

Integration

9.7.4

Entwicklung

1.1 Zusätzliche Schutzmaßnahmen für Hotelsoftware

1 Organisationskontrolle

2 Zutrittskontrolle

3 Zugangskontrolle

4 Zugriffskontrolle

4.1.2

Programmtechnisches Berechtigungskonzept

4.1.3

Rollendefinition

4.1.8

Protokollierung

4.1.8.5

Richtlinienverstoß

4.1.8.8

Aufbewahrung der Protokolle (max.1a)

4.1.8.9.

Synchronisierung der Uhren zur Auswertung von Protokollen

4.8

Regelungen und Kontrolle von externer Wartung und Fernwartung

4.10.

Sonstige Netzwerksicherheit

4.10.14.

Bei Kreditkarteninformationen werden PCI/DSS-Anforderungen beachtet

5 Weitergabekontrolle

5.12

Fernwartung

5.12.1

Bestehen Zugriffsmöglichkeiten auf personenbezogene Daten?

Ja

5.12.3

Wofür wird Fernwartung durchgeführt?

Für Support-Anfragen die über unseren Helpdesk bei uns eingehen.

5.12.3.2

Software

5.12.3.2.1

Betriebssystem

5.12.3.2.3

Anwendungen

5.12.3.4

Helpdesk

5.12.5

Zugangs-/Zugriffsweg

5.12.5.1

permanent bestehende bzw. intern vorhandene Verbindung

5.12.7

Verschlüsselung

5.12.8

Zugangskontrolle

5.12.8.1

Benutzerkennung / Passwort

6 Eingabekontrolle

6.1

Protokollierungs- und Protokollauswertungssysteme

6.1.1

Wer hat wann was eingegeben?

Ja, allerdings nur bei besonders wichtig Änderungen (Balance Kontrolle vs. Systembelastung)

6.1.4

Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine?

Helpdesk von Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner

7 Auftragskontrolle

8 Verfügbarkeitskontrolle

9 Trennungskontrolle

9.2

Interne Mandantenfähigkeit

9.5

Trennung der verarbeitenden Systeme

9.5.1

Produktion

9.5.2

Integration

9.5.4

Entwicklung

9.7

Trennung der Nutzerkonten

9.7.1

Produktion

9.7.2

Integration

9.7.4

Entwicklung

1.2 Zusätzliche Schutzmaßnahmen für Web-Hosting & Web-Analyse

1 Organisationskontrolle

2 Zutrittskontrolle

3 Zugangskontrolle

4 Zugriffskontrolle

4.1.8

Protokollierung

4.1.8.5

Richtlinienverstoß

4.1.8.8

Aufbewahrung der Protokolle (max.1a)

4.1.8.9.

Synchronisierung der Uhren zur Auswertung von Protokollen

4.8

Regelungen und Kontrolle von externer Wartung und Fernwartung

5 Weitergabekontrolle

6 Eingabekontrolle

6.1

Protokollierungs- und Protokollauswertungssysteme

6.1.4

Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine?

Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner

7 Auftragskontrolle

8 Verfügbarkeitskontrolle

9 Trennungskontrolle

9.7

Trennung der Nutzerkonten

9.7.1

Produktion

2. Sub-Auftragsverarbeiter

Unternehmensname

Zweck

Land

Google LLC

Cloud-Anbieter

USA

Amazon Web Services, Inc.

Cloud-Anbieter

USA

AWS Europe

Cloud-Anbieter

Europa

Amazon Data Services Ireland Ltd

Cloud-Anbieter

Irland

OVH GmbH

Cloud-Anbieter

Deutschland

Hetzner

Cloud-Anbieter

Deutschland

Netcup / Anexia

Cloud-Anbieter

Deutschland

Markus Perl

Datenqualität

Deutschland

Answerbook, Inc.

Log-Daten

USA

Google Analytics

Web-Analyse

USA

New Relic

Systemzustand

USA

Mailchimp

E-Mail Dienstanbieter

USA

HubSpot Inc

CRM

USA

Freshworks, Inc.

Helpdesk

USA

Slack

Interne Kommunikation, Alerts/Notifications

USA

TresorIt

Datensicherung

Schweiz

Datadog

Systemüberwachung

USA

fino data services GmbH

Buchhaltung/Belegerfassung

Deutschland

Loom Inc.

Support/Videos

USA

Zendesk

Support

USA

Rollbar, Inc

Systemüberwachung

USA

fiskaltrust gmbh (c/o Audicon GmbH)

Registrierkassen

Deutschland

Audicon GmbH

Kassenarchiv

Deutschland

Swissbit AG

TSE

Schweiz

A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH

TSE

Österreich

fiskaly GmbH

TSE

Wien

fiskaly Germany GmbH

TSE

Deutschland

DF Deutsche Fiskal GmbH

TSE

Deutschland

Dropbox International Unlimited Company

Datensicherung

Irland

Sämtliche von uns, bei Cloud-Anbietern, betriebene Server befinden sich in Rechenzentren innerhalb der Europäischen Union.

Unsere Sub-Auftragsverarbeiter, mit Firmensitz in den USA, welche von uns personenbezogene Daten erhalten, sind nach dem „Data Privacy Framework“ zertifiziert, dadurch wird diesen Unternehmen wird ein adäquates Datenschutzniveau analog der EU attestiert.

Unseren Sub-Auftragsverarbeitern mit Firmensitz in der Schweiz wird ein adäquates Datenschutzniveau analog der EU attestiert.

Sofern Sie in Ihrer Hotelsoftware Schnittstellen zu Systemen von Drittanbietern aktiviert haben, so leiten wir die von Ihnen gewünschten Daten an diese Anbieter weiter. Hierfür müssen Sie selbst mit dem Schnittstellen-Anbieter (Datenempfänger) einen Vertrag zur Auftragsverarbeitung abschließen. Durch die Aktivierung der entsprechenden Schnittstellen, bestätigen Sie uns gegenüber, dass Sie einen entsprechenden Vertrag geschlossen haben und wir die Daten, bis zu einer etwaigen Deaktivierung der Schnittstelle, an den von Ihnen genannten Auftragsverarbeiter weiterleiten dürfen.