Technische und organisatorische Maßnahmen der LANCOM Systems GmbH (LANCOM)
gem. Art. 32 DSGVO (Datenschutz-Grundverordnung)

LANCOM trifft als Auftragnehmer alle zur Sicherstellung des Datenschutzes gesetzlich erforderlichen und geeigneten technischen und organisatorischen Maßnahmen. Diese Maßnahmen hält LANCOM während der Laufzeit des Vertrages aufrecht. LANCOM ist berechtigt, die ergriffenen Maßnahmen - etwa aufgrund technischer Innovationen oder von Veränderungen im System oder in Prozessen - zu ersetzen, wird aber in jedem Falle sicherstellen, dass damit die gesetzlichen Vorgaben eingehalten werden.

 

Die nachstehende Darstellung gibt die gesetzlichen Anforderungen wieder, welche LANCOM durch prozessuale und technische Maßnahmen erfüllt und während der Laufzeit des Vertrages zur Auftragsbearbeitung aufrechterhält. Die konkrete Art der Umsetzung ist sicherheitsrelevant und daher vertraulich. Informationen hierzu stellen wir nur bei berechtigtem Interesse und entsprechender Anfrage zur Verfügung.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Ein unbefugter Zutritt zu Datenverarbeitungsanlagen ist ausgeschlossen. Der Zutritt wird beschränkt durch Einsatz geeigneter technischer Maßnahmen wie etwa Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, sowie weiterhin den Einsatz einer Alarmanlage und gegebenenfalls auch Videoanlage.

Zugangskontrolle

Eine unbefugte Systembenutzung ist ausgeschlossen. Der Schutz des Systems erfolgt durch Einsatz geeigneter technischer Maßnahmen wie etwa die Verwendung sicherer Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.

Zugriffskontrolle

Ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems wird verhindert durch geeignete technische Maßnahmen wie das Bestehen eines Berechtigungskonzeptes sowie bedarfsgerechte Zugriffsrechte und die Protokollierung von Zugriffen.

Trennungskontrolle

Soweit technisch möglich erfolgt eine getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Soweit technisch möglich erfolgt eine Pseudonymisierung von Daten. In diesen Fällen erfolgt die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport wird durch geeignete technische Maßnahmen wie etwa Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur ausgeschlossen.

Eingabekontrolle

LANCOM stellt durch Verwendung geeigneter Protokolle und ein Dokumentenmanagementsystem fest, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Es bestehen Regelungen mit denen eine unterbrechungsfreie Stromversorgung sichergestellt wird. Das System ist durch eine Firewall geschützt. Ferner sind IT-seitig Vorkehrungen zum Virenschutz getroffen.

Belastbarkeit

Alle wichtigen Systeme sind redundant konzipiert. Es sind darüber hinaus wirksame Schutzmaßnahmen ergriffen gegen zufällige oder mutwillige Zerstörung bzw. Verlust.

4. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Eine Backup-Strategie (online/offline; on-site/off-site) ist in Kraft. Es bestehen Regelungen betreffend Meldewege und Notfallpläne sowie zur Gewährleistung einer raschen Wiederherstellbarkeit der Systeme (Art. 32 Abs. 1 lit. c DS-GVO).

5. Verfahren zur regelmäßigen Überprüfung Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

Es besteht eine Datenschutzrichtlinie, welche den Mitarbeitern die zentralen Bestimmungen des Datenschutzrechts vertraut macht. Alle Mitarbeiter werden im Datenschutz unterwiesen und haben eine Erklärung unterschrieben, in welcher sie die Kenntnis der für sie relevanten Bestimmungen und deren Einhaltung bestätigen. Die Unterweisung wird durch bedarfsweise durchgeführte Schulungen ergänzt. Die nachhaltige Einhaltung aller technisch- organisatorischen Maßnahmen wird vom externen Datenschutzbeauftragten überprüft. Dies gilt insbesondere für die Wirksamkeit der technischen Schutzmaßnahmen.

Incident-Response-Management

Bei LANCOM besteht ein dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen. Dies schließt ein rechtskonformes Verhalten im Hinblick auf eine gegebenenfalls bestehende Meldepflicht gegenüber der Aufsichtsbehörde ein. Sicherheitsrelevante Vorfälle werden dokumentiert. Der Datenschutzbeauftragte ist in diesen Prozess eingebunden. Darüber hinaus regelt die Datenschutzrichtlinie, dass datenschutzrechtlich relevante Vorfälle aufgearbeitet und gegebenenfalls Konsequenzen hieraus gezogen werden, die im Interesse der LANCOM und ihrer Vertragspartner ein höchstmögliches Maß an Datenschutz sicherstellen.

6. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Bei LANCOM werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. Darüber hinaus sind verschiedene, teils softwarebasierte Schutz-mechanismen in Kraft, welche geeignet sind, die Verletzung datenschutzrechtlicher Bestimmungen zu verhindern (unter anderem Einsatz von Firewall, Spamfilter, Virenscanner).

7. Auftragskontrolle (Outsourcing an Dritte)

Eine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO durch die LANCOM als Auftragnehmer erfolgt stets auf Grundlage eines Auftragsverarbeitungsvertrages. Qualifizierten Auftragnehmern wird bedarfsweise eine Vertragsvorlage zur Verfügung gestellt, welche den Anforderungen der DSGVO entspricht.

 

Ist LANCOM Auftraggeber, so setzt eine Auftragsverarbeitung durch Dritte ebenfalls stets einen entsprechenden Vertrag betreffend die Datenverarbeitung voraus. Der Vertrag entspricht den Vorgaben der DSGVO und stellt sicher, dass auch der Auftragnehmer alle rechtlichen Voraussetzungen für eine rechtskonforme Datenverarbeitung erfüllt. Dies gilt insbesondere für die Ergreifung angemessener technischer und organisatorischer Maßnahmen. Vor Abschluss des Vertrages überzeugt LANCOM sich bei gegebenem Anlass auch tatsächlich davon, dass der Auftragnehmer in Bezug auf Datenschutz und Datensicherheit geeignet ist.