Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

1. Vertraulichkeit

   • Zutrittskonstrolle

     • Datacenter-Park in Helsinki

       • elektronisches Zutrittskontrollsystem mit Protokollierung

       • Hochsicherheitszaun um den gesamten Datacenter-Park

       • dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation- Kunden fü Colocation Racks (jeder Auftraggeber ausschließlich fü seinen Colocation Rack)

       • Richtlinien zur Begleitung und Kennzeichnung von Gusten im Gebäude

       • 24/7 personelle Besetzung der Rechenzentren

       • Videouberwachung an den Ein- und Ausgungen, Sicherheitsschleusen und Serverruumen

       • Der Zutritt fü betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Ruumen ist wie folgt beschrunkt: nur in Begleitung eines lifehost360.com OÜ Mitarbeiters

         • Verwaltung

           • elektronisches Zutrittskontrollsystem mit Protokollierung

           • Videouberwachung an den Ein- und Ausgungen

   • Zugangskontrolle

     • fü Dedicated Server, Colocation Server und Cloud Server

       • Server-Passwörter, welche nur vom Auftraggeber nach erstmaliger Inbetriebnahme von ihm selbst geundert werden und dem Auftragnehmer nicht bekannt sind

       • Das Passwort zur Administrationsoberfluche wird vom Auftraggeber selbst vergeben - die Passwörter mussen vordefinierte Richtlinien erfullen. Zusätzlich steht dem

         
         

         Auftraggeber dort eine Zwei-Faktor-Authentifizierung zur weiteren Absicherung seines Accounts zur Verfügung.

     • fü Managed Server, Webhosting und Storage Share

       • Zugang ist passwortgeschutzt, Zugriff besteht nur fü berechtigte Mitarbeiter vom Auftragnehmer; verwendete Passwörter mussen Mindestlunge haben und werden in regelmußigen Abstunden erneuert

         
         

   • Zugriffskontrolle

     • bei internen Verwaltungssystemen des Auftragnehmers

       • Durch regelmußige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.

       • Revisionssicheres, verbindliches Berechtigungsvergabeverfahren fü Mitarbeiter des Auftragnehmers

     • fü Dedicated Server, Colocation Server und Cloud Server

       • Die Verantwortung der Zugriffskontrolle obliegt dem Auftraggeber.

     • fü Managed Server, Webhosting und Storage Share

       • Durch regelmußige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.

       • Revisionssicheres, verbindliches Berechtigungsvergabeverfahren fü Mitarbeiter des Auftragnehmers

       • Fur ubertragene Daten/Software ist einzig der Auftraggeber in Bezug auf Sicherheit und Updates zustundig.

   • Datenträgerkontrolle

     • Datacenter-Park in Helsinki

       • Festplatten werden nach Kundigung mit einem definierten Verfahren mehrfach überschrieben (gelöscht). Nach Überprufung werden die Festplatten wieder eingesetzt.

       • Defekte Festplatten, die nicht sicher gelöscht werden können,

         
         

         werden direkt im Rechenzentrum (Helsinki) zerstört (geschreddert).

   • Trennungskontrolle

     • bei internen Verwaltungssystemen des Auftragnehmers

       • Daten werden physisch oder logisch von anderen Daten getrennt gespeichert.

       • Die Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.

     • fü Dedicated Server, Colocation Server und Cloud Server

       • Die Trennungskontrolle obliegt dem Auftraggeber.

     • fü Managed Server und Webhosting

       • Daten werden physisch oder logisch von anderen Daten getrennt gespeichert.

       • Die Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.

   • Pseudonymisierung

     • Fur die Pseudonymisierung ist der Auftraggeber verantwortlich

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

   • Weitergabekontrolle

     • Alle Mitarbeiter sind i.S.d. Art. 32 Abs.4 DS-GVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

     • Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.

     • Möglichkeiten zur verschlusselten Datenubertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.

   • Eingabekontrolle

     • bei internen Verwaltungssystemen des Auftragnehmers

       • Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.

       • Änderungen der Daten werden protokolliert.

         
         

     • fü Dedicated Server, Colocation Server und Cloud Server

       • Die Verantwortung der Eingabekontrolle obliegt dem Auftraggeber.

     • fü Managed Server, Webhosting und Storage Share

       • Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.

       • Änderungen der Daten werden protokolliert.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

   • Verfügbarkeitskontrolle

     • bei internen Verwaltungssystemen des Auftragnehmers

       • Backup- und Recovery-Konzept mit tuglicher Sicherung aller relevanten Daten.

       • Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlusselungsprogramme, SPAM-Filter).

       • Einsatz von Festplattenspiegelung bei allen relevanten Servern.

       • Monitoring aller relevanten Server.

       • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.

       • Dauerhaft aktiver DDoS-Schutz.

     • fü Dedicated Server, Colocation Server, Cloud Server und Storage Box

       • Datensicherung obliegt dem Auftraggeber.

       • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.

         • Dauerhaft aktiver DDoS-Schutz.

     • Fur Managed Server, Webhosting und Storage Share

       • Backup- und Recovery-Konzept mit tuglicher Sicherung der Daten je nach gebuchten Leistungen des Hauptauftrages.

       • Einsatz von Festplattenspiegelung.

       • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.

       • Einsatz von Softwarefirewall und Portreglementierungen.

         
         

       • Dauerhaft aktiver DdoS-Schutz.

         
         

   • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS- GVO);

     • Fur alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

       
       

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

   • Das Datenschutz-Managementsystem und das Informationssicherheitsmanagementsystem wurden zu einem DIMS (Datenschutz-Informationssicherheits-Management-System) vereint.

   • Incident-Response-Management ist vorhanden.

   • Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berucksichtigt (Art. 25 Abs. 2 DS-GVO).

   • Auftragskontrolle

     • Unsere Mitarbeiter werden in regelmußigen Abstunden im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien fü die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die AGB enthalten detaillierte Angaben uber Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers.

     • Die AGB enthalten detaillierte Angaben uber die Zweckbindung der personenbezogenen Daten des Auftraggebers.

     • Die lifehost360.com OÜ hat einen betrieblichen Datenschutzbeauftragten sowie einen Informationssicherheitsbeauftragten bestellt. Beide sind durch die Datenschutzorganisation und das Informationssicherheitsmanagementsystem in die relevanten betrieblichen Prozesse eingebunden.