Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen entsprechend dieser Anlage zu. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Der Auftragnehmer wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers gegen Missbrauch und Verlust treffen, die den Forderungen der DSGVO entsprechen.
Dies beinhaltet insbesondere:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Ziel: Verwehrung des Zutritts zu Datenverarbeitungsanlagen für Unbefugte
Für den Zutritt zu den Bürogebäuden von CRIF ist ein Schlüssel erforderlich, der Zutritt zu den Büros selbst ist zusätzlich zur Schließung durch eine Chipkarte oder einen Passivtransponder gesichert. Vereinzelungsanlage, Alarmanlage, Wachdienst und Videoüberwachung sind weitere Komponenten zur Sicherung von Haupteingängen und Technikräumen.
Besucher werden an der Rezeption in Empfang genommen und dort von dem jeweiligen Fachbereich abgeholt. Die weitere Begehung ist betriebsfremden Personen nicht bzw. nur in Begleitung eines Mitarbeiters gestattet. Die einzelnen Bürobereiche sind nach Aufgabenbereichen strukturiert.
Zutritt zu Technikräumen
In den Bürogebäuden liegende Technikräume sind zusätzlich durch Chipkarte und/oder PIN-Schlösser gesichert.
Zutritt zum Rechenzentrum
Das Gebäude des Rechenzentrums ist von einem Sicherheitszaun umgeben, dessen Torschleuse sich nur mittels eines Chipkartenlesers/einer Chipkarte öffnen lässt. Das Gebäude wird außerdem durch Kameras und einen Wachdienst geschützt.
Der Zutritt zum Gebäude ist durch eine Alarmanlage und ein elektronisches Chipkartenschloss gesichert. Zutritt zu beiden Systemen ermöglichen eine gültige Chipkarte und zwei sechsstellige PINs (Schließ- und Alarmanlage). Die Chipkarte befindet sich in einem Tresor, zu dem nur bestimmte Mitarbeiter der IT-Infrastruktur Zugang haben. Jede Entnahme der Chipkarte wird dokumentiert. Die Liste der zutrittsberechtigten Personen wird regelmäßig überprüft und zeitnah aktualisiert, externes Wartungspersonal hat nur in Begleitung von berechtigten Personen Zutritt.
Systemzugangskontrolle
Ziel: keine Nutzung der Datenverarbeitungsanlagen durch Unbefugte
Im gesamten CRIF System ist keine Transaktion ohne gültige Authentifizierung und Autorisierung möglich. Der Zugang zu den Systemen wird durch mehrere Sicherheitsmechanismen abgesichert. Der Zugang zu Systemen erfolgt durch Eingabe von Benutzername und Passwort, wobei das Passwort Restriktionen bzgl. Länge, Sonderzeichen etc. unterliegt.
Die Vergabe der Nutzerzugangsdaten erfolgt auf schriftlichen Antrag durch den HelpDesk. Nach erstmaligem Login muss das Passwort vom Nutzer geändert werden.
Das Passwort muss außerdem durch den Benutzer regelmäßig geändert werden, eine wiederholte Verwendung desselben Passwortes wird durch das System unterbunden. Fehlerhafte Anmeldeversuche führen zur Sperrung des Benutzers, der nur nach Prüfung und durch den HelpDesk bei gleichzeitiger Vergabe eines neuen Passwortes wieder freigeschaltet wird.
Das interne Netz (LAN) ist durch Virtual-Local-Area-Network-(VLAN-) Technologie in mehrere Segmente eingeteilt. Die Segmente sind u. a. Produktionssysteme, Testsysteme und Bürosysteme. Die Netzübergänge sind durch Firewallsysteme geschützt und werden überwacht. Unbenutzte LAN-Ports sind technisch gesperrt und werden nur kontrolliert in Betrieb gesetzt. Der Übergang vom internen Netz zu Fremdnetzen (Internet, Partner- und Kundennetze) ist nur an zentralen Stellen möglich, die durch ein mehrstufiges Firewallsystem gesichert sind und sowohl von CRIF als auch durch Dritte überwacht und regelmäßig geprüft werden (z. B. PEN-Test).
Zugriffskontrolle
Ziel: Zugriffsbeschränkung für Berechtigte, Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Löschen von Daten
Allen Nutzern sind entsprechend Ihren Tätigkeiten bestimmte erforderliche Funktionen zugeordnet, die über den Benutzernamen gesteuert werden.
Die Einrichtung von Nutzern wird durch den HelpDesk durchgeführt. Die Nutzer erhalten vom HelpDesk Passwörter für den Zugang zu den Anwendungen, mit denen personenbezogene Daten verarbeitet werden. Im gesamten CRIF System ist keine Transaktion ohne gültige Authentifizierung und Autorisierung möglich.
Die Nutzer der Anwendungen haben nur in dem für die konkrete Rolle erforderlichen Umfang Zugriff auf personenbezogene Daten (Need-to-know-Prinzip). Ergänzend werden Daten und Dokumente, soweit geboten und technisch möglich, verschlüsselt gespeichert und übertragen.
Damit sind unerlaubte Tätigkeiten in CRIF Systemen außerhalb eingeräumter Berechtigungen verhindert und eine bedarfsorientierte Ausgestaltung des Berechtigungs-konzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung ist gegeben.
Trennungskontrolle
Ziel: Zweckgebundenheit der Datenverarbeitung sicherstellen
Der Datenzugriff ist nur anhand von Berechtigungskonzepten möglich. Datenzugriff ist nur für die jeweils erforderlichen Zwecke möglich. Die Datenbestände der betriebenen Anwendungen werden getrennt voneinander betrieben, sodass aus einer Anwendung kein Zugriff auf andere Anwendungen möglich ist.
Jeder Einmelder und jeder eingelesene Datensatz ist eindeutig über eine Referenznummer identifizierbar. Jeder Zugriff über die Produkte auf die Daten ist eindeutig identifizierbar und nachvollziehbar. Transaktionen werden separat geloggt.
Kundendatenbestände werden auf der Basis jeweils eigener Kunden-Accounts logisch voneinander getrennt. Dabei ist die Mandantenfähigkeit der eingesetzten IT-Systeme gegeben. Die zu unterschiedlichen Zwecken erhobenen Daten werden auch getrennt verarbeitet.
Bei Betrieb einer Multiauskunfteistrategie des Kunden auf der CRIF CSP Plattform:
- CRIF kann eine Anfrage jederzeit bedienen, auch wenn eine Quelle abgeschaltet ist.
- CRIF kann jede genutzte Datenquelle auch getrennt beauskunften, weil jede Quelle und/oder Anfrage eindeutig referenziert wird.
- Die Herkunft der Daten ist jederzeit nachvollziehbar, d. h. wann von wem zu welchem Zweck Daten erhoben und gespeichert wurden.
- Transaktionsdaten sind vom eigenen Datenbestand separiert und werden nicht verändert oder zu einem anderen Zweck verwendet.
Eigene CRIF Bestandsdaten und Daten von fremden Auskunfteien sind in den Transaktionsdaten immer und jederzeit eindeutig identifizierbar.
2. Integrität (Art. 32 Abs. 1 lit. b dsgvo)
Weitergabekontrolle
Ziel: Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Löschen sowie Nachvollziehbarkeit erfolgter Übertragungen von Daten.
Der Zugriff auf die Datenbanken erfolgt durch die Nutzer zum einen via FTP mit Tunnel/SFTP, zum anderen via Webservices, die über HTTPS abgesichert sind. Dabei wird nicht nur die Authentifizierung, sondern auch die Übertragung der Daten gesichert. In Absprache mit den Kunden und je nach Schutzbedarf der Daten wird eine Vielzahl von aktuellen Verschlüsselungsverfahren angeboten.
Jede Auskunftsanforderung wird im System registriert, sodass jederzeit geprüft werden kann, welche Daten von wem gespeichert, verarbeitet oder übermittelt worden sind. Ebenso kann der Empfänger einer Datenübermittlung ermittelt werden. Die Weitergabe von personenbezogenen Daten erfolgt bei direkter Anbindung prinzipiell verschlüsselt. Im Standard erfolgt die Kommunikation mit externen Clients immer verschlüsselt über HTTPS (HyperText Transfer Protocol Secure, sicheres Hypertext-Übertragungsprotokoll) und/oder VPN (Virtual Private Network). Die Übermittlung der Daten per E-Mail (SMTP) erfolgt PGP-verschlüsselt.
Für den Transfer von Dateien ist SFTP (Secure File Transfer Protocol) oder eine Dateiverschlüsselung notwendig.
Ausrangierte Computerhardware, Datenträger und nicht mehr benötigte Unterlagen und Listenausdrucke werden durch einen Entsorgungsfachbetrieb zerstört. Die Geräte werden in einem abschließbaren, dedizierten Datenbehälter abtransportiert und fachgerecht entsorgt. Die Vernichtung wird protokolliert. Das Protokoll wird CRIFBÜRGEL zur Verfügung gestellt.
Eingabekontrolle
Ziel: Nachvollziehbarkeit von Eingaben, Änderungen oder Löschung von Daten
Die Eingabe von Daten erfolgt in automatisierten Prozessen. Diese werden vorab in Testsystemen überprüft und unterliegen einem standardisierten Freigabeprozess. In diesen Prozessen wird jede automatisierte Eingabe protokolliert und ist jederzeit durch die eindeutige Prozess- und Transaktions-ID nachvollziehbar. Durch die Protokollierung der Eingabedaten ist es jederzeit möglich, den ursprünglichen Zustand wiederherzustellen.
Auf Basis eines Rollen- und Rechtekonzepts werden den Mitarbeitern von CRIF in Abhängigkeit ihrer Funktion und der zu bearbeitenden Datenbestände differenzierte Berechtigungen zugewiesen. Die Verarbeitung von Daten durch die Mitarbeiter wird protokolliert. Manuelle Einzeleingaben erfolgen über eine Programmebene, die ebenfalls benutzerbezogen die einzelnen Schritte und Aktivitäten des Anwenders protokolliert. Das Eingabeprogramm unterliegt ebenfalls dem standardisierten Freigabeprozess von CRIF. Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist gewährleistet. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, sind im Einsatz.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Ziel: Schutz vor Datenverlust und Datenwiederherstellung in angemessener Zeit
Die Verfügbarkeit der produktiven Daten wird durch die eingesetzten Betriebstechniken (u. a. Storage Area Network [SAN], Virtualisierung und Spiegelung) und die Datensicherung gewährleistet. Netzwerkkomponenten (z. B. NIC, Switches) und Carrier-Verbindungen (WAN) sind redundant ausgelegt und mit Servicevereinbarungen (SLA/UC) gestützt. Komponenten und Verbindungen werden durch CRIFBÜRGEL und durch Dritte (z. B. Provider) überwacht.
In der Produktion sind alle Server doppelt oder mehrfach vorhanden. Im Falle eines Ausfalls wird (automatisiert) der jeweils andere Server eingesetzt. Durch Virtualisierung ist eine schnelle Bereitstellung gewährleistet. Das Transaktionslog der produktiven Datenbanken erlaubt auch im Falle eines Ausfalls mit Datenverlust eine Wiederherstellung des Produktionssystems.
Die Datensicherung erfolgt zusätzlich mehrfach über Magnetbandlaufwerke. Die Magnetbänder werden sowohl onsite vorgehalten als auch ausgelagert. Rücksicherungen auf Band werden regelmäßig getestet (Stichproben, automatisiert).
CRIF betreibt zusätzlich ein Notfallrechenzentrum (Geo-Redundanz), in dem alle produktiven Daten vorgehalten werden.
Maßnahmen zum Schutz vor Schäden durch Feuer und Wasser sind in den dezentralen Technikräumen installiert. Alle für die Produktion relevanten Datenbestände werden zentral im Rechenzentrum vorgehalten.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
Auftragskontrolle
Ziel: ausschließliche auftragsbezogene Verarbeitung der Daten
Auftragserteilung und Auftragsbearbeitung erfolgen bei CRIF mittels Standardprozessen. Die für die Geschäftsfelder „Risk“, „Solutions“ und „Recovery“ einschlägige Auftragsverarbeitung wird durch CRIF als Auftragsverarbeiter schriftlich dokumentiert.
Datenerhebung
Im Rahmen der automatisierten Datenerhebung werden die Aufträge (Einmeldungen) mit einem sogenannten Bearbeitungsstatus per Datei eingeliefert. Der Einmelder ist eindeutig per Referenz identifizierbar. Jede Datei und jede Einmeldung erhält eine eindeutige ID.
Entsprechend des Bearbeitungsstatus des Einmelders handelt es sich um
- eine Neuanlage,
- einen Löschauftrag oder
- eine Aktualisierung.
Die einzelnen Aufträge werden historisiert abgelegt. Daten werden immer in den für den Zweck vorgesehenen Tabellen gespeichert.
Beauskunftung
Anfragen des Kunden werden über Produkte durchgeführt. Die Produkte werden entsprechend dem Vertrag mit dem Kunden zweckgebunden konfiguriert. Jede Anfrage durch den Kunden wird nur im Kundenkontext durchgeführt.
Die dabei übermittelten Daten von externen Auskunfteien werden nicht für etwaige andere Beauskunftungen erneut verwendet. Es ist über eine eindeutige Referenzierung in den Logs immer nachvollziehbar, welche Daten für welche Anfrageaufträge beauskunftet wurden.
Die weisungsgemäße Auftragsverarbeitung ist gewährleistet und Maßnahmen (technisch/organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer sind gegeben.
5. Sonstiges
Überwachung durch die Aufsichtsbehörde
CRIF unterliegt aufgrund seiner Tätigkeit als Auskunftei der regelmäßigen Überprüfung der zuständigen Aufsichtsbehörde. Für CRIF ist das Bayerische Landesamt für Datenschutzaufsicht zuständig.
Verpflichtung der Mitarbeiter auf das Datengeheimnis, Sicherheitsrichtlinie
Der Datenschutzbeauftragte schult und überwacht die Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Vorschriften. Sämtliche an der Datenverarbeitung beteiligten Mitarbeiter sind über die datenschutzrechtlichen Anforderungen unterrichtet. Eine Verpflichtungserklärung über das Datengeheimnis liegt für jeden Mitarbeiter vor.
Des Weiteren werden die Mitarbeiter von CRIF durch eine interne Sicherheitsrichtlinie, die verbindlich zu unterzeichnen und einzuhalten ist, an interne Sicherheitsstandards gebunden.