Technische und organisatorische Maßnahmen


ExpertCircle GmbH
Jörg Schlichtig
Nordstraße 9
56424 Mogendorf

Tel.: +49 228 30401570
Fax: +49 228 2864320
Mail: joerg.schlichtig@expertcircle.de

1. Gegenstand und Geltungsbereich

Dieses Konzept dokumentiert die Einrichtungen und die Organisation zum Datenschutz bei der ExpertCircle GmbH (nachfolgend „ExpertCircle“ genannt). Als Leitfaden dient die Anlage zu Art. 32 Datenschutzgrundverordnung (DSGVO). Dieses Konzept kann als Nachweis für getroffene Sicherheitsmaßnahmen für Auftraggeber bei Verträgen zur Datenverarbeitung im Auftrag oder weitere interessierte Dritte dienen.

2. Ansprechpartner

Geschäftsführer

Jörg Schlichtig
joerg.schlichtig@expertcircle.de
Ralf Christ
ralf.christ@expertcircle.de

Datenschutzbeauftragter

Marcel Erntges
datenschutzbeauftragter@expertcircle.de

3. Sicherheitsmaßnahmen

3.1 Allgemeine organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit

Die Geschäftsführung wirkt auf die Einhaltung des Datenschutzes bei ExpertCircle hin. Die Mitarbeiter bei ExpertCircle sind auf Verschwiegenheit und die Wahrung des Datengeheimnisses verpflichtet.

3.2 Zutrittskontrolle

ExpertCircle trägt dafür Sorge, dass Unbefugte Räume, in denen Daten verarbeitet werden, nicht betreten können und keinen Einblick oder Zugang zu Datenverarbeitungsgeräten (Server, Arbeitsplatzrechner, Monitore, Drucker, etc.) erlangen können.
Der Zutritt zum Gebäude ist durch eine manuelle Schließanlage gesichert. Mitarbeiter bekommen mit Aufnahme ihrer Tätigkeit bei ExpertCircle einen Schlüssel. Der Entzug dieser Gebäudezutrittsberechtigung ist geregelt. Der Zutritt und Aufenthalt von Besuchern erfolgt nur in Begleitung von Firmenpersonal.

3.3 Zugangskontrolle

Um zu verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können, sind bei ExpertCircle Maßnahmen zur Zugangskontrolle im Einsatz.
Das Firmennetzwerk der ExpertCircle ist durch eine Firewall geschützt. Außerdem werden an den folgenden Übergängen zum Firmennetzwerk Virenscanner eingesetzt: E-Mail / Web.
Bei der Anmeldung an Systemen müssen sich die Anwender mit Benutzername und Passwort authentifizieren. Zudem wurde jeder Mitarbeiter über die Passwortanforderungen in Kenntnis gesetzt und ist informiert darüber, wie IT-Geräte bei Verlassen des Arbeitsplatzes zu sichern sind.
Mobile IT-Geräte sind so eingerichtet, dass sie ohne die Eingabe eines Zugangspassworts nicht verwendet werden können.

3.4 Zugriffskontrolle

ExpertCircle gewährleistet, dass ausschließlich Personen Zugriff auf Daten erlangen, die mit der Erfüllung der damit verbundenen Aufgabe beschäftigt sind. Hierzu sind entsprechende Zugriffsberechtigungsmaßnahmen (Profile, Gruppen, Rollen, etc.) eingerichtet.
Der Zugriff zu Informationen, die auf Systemen der ExpertCircle abgelegt sind, wird ebenfalls ausschließlich auf “Need-to-know-Basis” gewährt. Bei der Anmeldung an den Datenverarbeitungssystemen der ExpertCircle GmbH wird dem Benutzer ein definiertes Profil zugeordnet.
Sofern eine Softwareapplikation die Möglichkeit zur Rollen- und Rechtevergabe bietet, werden diese Möglichkeiten auf Grundlage der im vorhergehenden Absatz geschilderten Grundsätze genutzt.

3.5 Weitergabekontrolle

ExpertCircle muss gewährleisten, dass Daten bei der elektronischen Übertragung während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Die Übertragung von personenbezogenen Daten per E-Mail kann auf Wunsch des Kommunikationspartners geschützt erfolgen. Speicherung, Versand oder Transport von personenbezogenen Daten auf mobilen Datenträgern (CD, USB-Stick, Speicherkarten, etc.) der ExpertCircle darf nur verschlüsselt erfolgen. Der Zugriff von extern auf Datenverarbeitungsanlagen von ExpertCircle darf nur über sichere verschlüsselte Verbindungen erfolgen.

3.6 Eingabekontrolle

Wo immer technisch möglich gewährleistet ExpertCircle, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Es müssen daher für derartige Maßnahmen entsprechende Protokollierungssysteme vorhanden sein.
Informationssysteme werden in der Form konfiguriert, dass eine Vorgangsprotokollierung zur Verfügung steht, die das Betriebs-, Sicherheits- und Datenschutzmanagement in ausreichender Weise unterstützt. Bei zentralen Softwareapplikationen, die Möglichkeiten zur Protokollierung und Änderungshistorie bieten, ist diese Funktion aktiviert. Protokolle werden im Bedarfsfall zweckgebunden ausgewertet.

3.7 Auftragskontrolle

ExpertCircle stellt sicher, dass Auftragnehmer in Fällen von Datenverarbeitung im Auftrag sorgfältig ausgewählt werden.
ExpertCircle gewährleistet, dass personenbezogene Daten der Auftraggeber nur gemäß deren Weisungen verarbeitet werden. Beschäftigt ExpertCircle einen Unterauftragnehmer, so wird dieser in gleicher Weise zur Erfüllung der Weisungen und zur Einhaltung des Datenschutzes verpflichtet. ExpertCircle kontrolliert in regelmäßigen Abständen die Einhaltung der vertraglichen Regelungen.

3.8 Verfügbarkeitskontrolle

ExpertCircle sorgt dafür, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Dazu richtet ExpertCircle Datensicherungsverfahren ein, bewahrt Sicherungsdaten in getrennten Räumlichkeiten auf, hat Anlagen für die unterbrechungsfreie Stromversorgung installiert sowie Schutzmaßnahmen eingerichtet, die Angriffe durch unbefugte Dritte verhindern (Virenschutz, Firewall, Spyware Detection, Paketfilter, DMZ, etc.).
Alle ExpertCircle-Dienste, die für die Weiterführung des Geschäftsbetriebs wichtig sind, werden vor den Auswirkungen durch Stromschwankungen oder Stromausfälle geschützt. Dies erfolgt im Wesentlichen durch den Einsatz unterbrechungsfreier Stromversorgungen.
Die Daten jedes Servers werden durch ein zentralisiertes Backup-System gesichert. Datenträger für die Datenrückgewinnung im Notfall werden aufbewahrt.
Wenn Updates für Systeme oder Anwendungen angekündigt werden, werden sie so schnell wie möglich ausgewertet und nach Freigabe installiert. Die Installation sicherheitstechnischer Updates wird priorisiert.
Die von ExpertCircle eingesetzten Virenschutzprogramme sind auf allen Servern und Endbenutzer-Arbeitsplätzen implementiert. Updates werden automatisiert verteilt. Eingehende Dateien (E-Mails, Downloads, Dokumente, etc.) werden durch den Echtzeitschutz auf Virenbefall gescannt.
Bei den eingesetzten Firewalls werden nur benötigte Protokolle und Anschlüsse zugelassen. Änderungen an der Firewall und dem Regelwerk können nur Mitarbeiter der IT-Abteilung durchführen. Auch auf Endgeräten sind Firewalls installiert.

3.9 Trennungsgebot

ExpertCircle sorgt dafür, dass zu unterschiedlichen Zwecken erhobene Daten auch getrennt verarbeitet werden. Die Trennung der Daten ist so gestaltet, dass eine „Vermischung“ von Daten für unterschiedliche Verarbeitungszwecke oder anderer Vertragspartner / Auftraggeber nicht möglich ist.

Kontakt

ExpertCircle GmbH

Verwaltungssitz:
Nordstraße 9
56424 Mogendorf

Fon: +49 228 30401570
Fax: +49 228 2864320
E-mail: info@expertcircle.de
Web: www.expertcircle.de

Niederlassung:
Mittelstraße 2-10
53175 Bonn