TOM - Hotelmeister

Technisch und organisatorische Standardmaßnahmen zum Schutz personenbezogener Daten

der Ing. Peter Rainer, Achenweg 2, A-5760 Saalfelden, im Folgenden kurz Rainer genannt.

1. Standardmaßnahmen.

Rainer sieht zum Schutz personenbezogener Daten im Rahmen der folgenden Standardverarbeitungsvorgängen, welche

nur im geringen Ausmaß personenbezogene Daten über Straftaten und strafrechtliche Verurteilungen bzw. besondere Kategorien von personenbezogenen Daten beinhalten und
auch sonst nur kein oder nur ein geringes Risiko aufweisen

folgende technische und organisatorische Maßnahmen

zur Sicherstellung der Vertraulichkeit der Datenverarbeitung,
zur Sicherstellung der Integrität der Datenverarbeitung,
zur Sicherstellung der Verfügbarkeit der Datenverarbeitung,
zur Sicherstellung der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung,
zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
zur Sicherstellung der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

in den nachfolgenden Bereichen vor:

1 Organisationskontrolle
1.5	Schriftliche Regelungen über den Betrieb, die Abläufe, die Sicherheit der Datenverarbeitung
1.6	Mitbenutzung der DV-Anlagen durch Fremdfirmen
1.13	Regelungen über Sicherung des Datenbestandes
1.16	IT-Versicherungen
2 Zutrittskontrolle
2.1	Gebäudeart
2.1.4	Büro- und Wohngebäude
2.3	Zutritt ausreichend abgesichert
2.3.1	Türen, Türschlösser
2.4	Auf- und Abschließen der Räume bei Arbeitsbeginn bzw. –ende
2.4.1	Schlüsselregelung
3 Zugangskontrolle
3.1	Passwortverfahren
3.1.1	Forderung einer unterschiedlichen Zeichenzusammensetzung
3.1.2	Mindestlänge 8 Zeichen
3.1.5	Bildschirmsperre bei Pausen mit Passwort-Aktivierung
3.1.10	Aufbewahrung Administrator-Passwörter
3.1.15.	Bei Administratorzugang muss Passwort länger als 8 Zeichen sein
3.5	Zugang von außerhalb des Intranets
3.7	Welcher Internet-Provider wird genutzt? Cablelink und T-Mobile LTE als Backup-Leitung Bei Bereitschaftsdiensten erfolgt teilweise auch ein Zugriff über andere Verbindungen (z.B. Mobiltelefon, Hotel-WLAN)
3.7.2	Internet-Provider (direkt)
3.10	Welcher Browser wird genutzt? Google Chrome Firefox Microsoft Edge
3.10.1	Wie oft werden Sicherheitspatches und/oder Updates installiert? Updates werden automatisch (mindest einmal wöchentlich) über die Update-Funktion des Browsers bzw. des Betriebssystems durchgeführt.
3.10.1.1	Laufend, automatisiertes Verfahren
4 Zugriffskontrolle
4.7	Zugriffsschutz durch Bildschirmschoner
4.7.1	Automatische Sperre
4.7.2	Sperre über Funktionstasten
4.7.3	Ausschließlich passwortgestützte Aufhebung
4.10.	Sonstige Netzwerksicherheit
4.10.4.	Die Kommunikation in drahtlosen Netzen erfolgt verschlüsselt
4.10.5.	Zugriffe aus externen Netzen über eigenen VLANs
4.10.12.	Bei Internet-Anwendungen werden Anmeldedaten verschlüsselt übertragen
5 Weitergabekontrolle
5.2	Welche Versendungsarten (allgemein)?
5.2.1	Datenleitung
5.2.2	E-Mail
5.12	Fernwartung
5.12.3	Wofür wird Fernwartung durchgeführt?
5.12.3.2	Software
5.12.3.2.1	Betriebssystem
5.12.3.2.3	Anwendungen
5.12.3.4	Helpdesk
5.12.5	Zugangs-/Zugriffsweg
5.12.5.1	permanent bestehende bzw. intern vorhandene Verbindung
5.12.7	Verschlüsselung
5.12.8	Zugangskontrolle
5.12.8.1	Benutzerkennung / Passwort
6 Eingabekontrolle
7 Auftragskontrolle
7.1	Sorgfältige Auswahl der Auftragnehmer durch wen? Rainer
7.2	Kriterien zur Auswahl der Auftragnehmer festgelegt
7.2.1	Referenzen
7.2.2	Zertifizierungen / Gütesiegel
7.4	Unternehmen ist selbst als Auftragnehmer tätig
7.8.	Grundinformationen nach Artikel 28
7.8.1.	Gegenstand und Dauer der Verarbeitung
7.8.2.	Art und Zweck der Verarbeitung
7.8.3.	Art der personenbezogenen Daten
7.8.4.	Kategorien betroffener Personen (z.B. Kunden)
8 Verfügbarkeitskontrolle
8.6.3	Sicherungen zur Sicherstellung eines ordnungsgemäßen Betriebes
8.6.3.3	Datensicherung
8.6.3.9	Einzelrechner
8.12	Notfallplan
9 Trennungskontrolle
9.2	Interne Mandantenfähigkeit
9.5	Trennung der verarbeitenden Systeme
9.5.1	Produktion
9.5.2	Integration
9.5.4	Entwicklung
9.7	Trennung der Nutzerkonten
9.7.1	Produktion
9.7.2	Integration
9.7.4	Entwicklung

1.1 Zusätzliche Schutzmaßnahmen für Hotelsoftware

1 Organisationskontrolle
2 Zutrittskontrolle
3 Zugangskontrolle
4 Zugriffskontrolle
4.1.2	Programmtechnisches Berechtigungskonzept
4.1.3	Rollendefinition
4.1.8	Protokollierung
4.1.8.5	Richtlinienverstoß
4.1.8.8	Aufbewahrung der Protokolle (max.1a)
4.1.8.9.	Synchronisierung der Uhren zur Auswertung von Protokollen
4.8	Regelungen und Kontrolle von externer Wartung und Fernwartung
4.10.	Sonstige Netzwerksicherheit
4.10.14.	Bei Kreditkarteninformationen werden PCI/DSS-Anforderungen beachtet
5 Weitergabekontrolle
5.12	Fernwartung
5.12.1	Bestehen Zugriffsmöglichkeiten auf personenbezogene Daten? Ja
5.12.3	Wofür wird Fernwartung durchgeführt? Für Support-Anfragen die über unseren Helpdesk bei uns eingehen.
5.12.3.2	Software
5.12.3.2.1	Betriebssystem
5.12.3.2.3	Anwendungen
5.12.3.4	Helpdesk
5.12.5	Zugangs-/Zugriffsweg
5.12.5.1	permanent bestehende bzw. intern vorhandene Verbindung
5.12.7	Verschlüsselung
5.12.8	Zugangskontrolle
5.12.8.1	Benutzerkennung / Passwort
6 Eingabekontrolle
6.1	Protokollierungs- und Protokollauswertungssysteme
6.1.1	Wer hat wann was eingegeben? Ja, allerdings nur bei besonders wichtig Änderungen (Balance Kontrolle vs. Systembelastung)
6.1.4	Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine? Helpdesk von Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner
7 Auftragskontrolle
8 Verfügbarkeitskontrolle
9 Trennungskontrolle
9.2	Interne Mandantenfähigkeit
9.5	Trennung der verarbeitenden Systeme
9.5.1	Produktion
9.5.2	Integration
9.5.4	Entwicklung
9.7	Trennung der Nutzerkonten
9.7.1	Produktion
9.7.2	Integration
9.7.4	Entwicklung

1.2 Zusätzliche Schutzmaßnahmen für Web-Hosting & Web-Analyse

1 Organisationskontrolle
2 Zutrittskontrolle
3 Zugangskontrolle
4 Zugriffskontrolle
4.1.8	Protokollierung
4.1.8.5	Richtlinienverstoß
4.1.8.8	Aufbewahrung der Protokolle (max.1a)
4.1.8.9.	Synchronisierung der Uhren zur Auswertung von Protokollen
4.8	Regelungen und Kontrolle von externer Wartung und Fernwartung
5 Weitergabekontrolle
6 Eingabekontrolle
6.1	Protokollierungs- und Protokollauswertungssysteme
6.1.4	Wer hat Zugriffsrechte auf Protokolle bzw. Auswertungsroutine? Rainer und mit der Bearbeitung des Vorfalls betraute Mitarbeiter und Vertragspartner
7 Auftragskontrolle
8 Verfügbarkeitskontrolle
9 Trennungskontrolle
9.7	Trennung der Nutzerkonten
9.7.1	Produktion

2. Sub-Auftragsverarbeiter

Unternehmensname	Zweck	Land
Google LLC	Cloud-Anbieter	USA
Amazon Web Services, Inc.	Cloud-Anbieter	USA
AWS Europe	Cloud-Anbieter	Europa
Amazon Data Services Ireland Ltd	Cloud-Anbieter	Irland
OVH GmbH	Cloud-Anbieter	Deutschland
Hetzner	Cloud-Anbieter	Deutschland
Netcup / Anexia	Cloud-Anbieter	Deutschland
Markus Perl	Datenqualität	Deutschland
Answerbook, Inc.	Log-Daten	USA
Google Analytics	Web-Analyse	USA
New Relic	Systemzustand	USA
Mailchimp	E-Mail Dienstanbieter	USA
HubSpot Inc	CRM	USA
Freshworks, Inc.	Helpdesk	USA
Slack	Interne Kommunikation, Alerts/Notifications	USA
TresorIt	Datensicherung	Schweiz
Datadog	Systemüberwachung	USA
fino data services GmbH	Buchhaltung/Belegerfassung	Deutschland
Loom Inc.	Support/Videos	USA
Zendesk	Support	USA
Rollbar, Inc	Systemüberwachung	USA
fiskaltrust gmbh (c/o Audicon GmbH)	Registrierkassen	Deutschland
Audicon GmbH	Kassenarchiv	Deutschland
Swissbit AG	TSE	Schweiz
A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH	TSE	Österreich
fiskaly GmbH	TSE	Wien
fiskaly Germany GmbH	TSE	Deutschland
DF Deutsche Fiskal GmbH	TSE	Deutschland
Dropbox International Unlimited Company	Datensicherung	Irland

Sämtliche von uns, bei Cloud-Anbietern, betriebene Server befinden sich in Rechenzentren innerhalb der Europäischen Union.

Unsere Sub-Auftragsverarbeiter mit Firmensitz in der USA sind nach “Privacy Shield” zertifiziert, diesen Unternehmen wird ein adäquates Datenschutzniveau analog der EU attestiert.

Unseren Sub-Auftragsverarbeitern mit Firmensitz in der Schweiz wird ein adäquates Datenschutzniveau analog der EU attestiert.

Sofern Sie in Ihrer Hotelsoftware Schnittstellen zu Systemen von Drittanbietern aktiviert haben, so leiten wir die von Ihnen gewünschten Daten an diese Anbieter weiter. Hierfür müssen Sie selbst mit dem Schnittstellen-Anbieter (Datenempfänger) einen Vertrag zur Auftragsverarbeitung abschließen. Durch die Aktivierung der entsprechenden Schnittstellen, bestätigen Sie uns gegenüber, dass Sie einen entsprechenden Vertrag geschlossen haben und wir die Daten, bis zu einer etwaigen Deaktivierung der Schnittstelle, an den von Ihnen genannten Auftragsverarbeiter weiterleiten dürfen.