Änderungshistorie

Technische und organisatorische Maßnahmen des Auftragnehmers zum Datenschutz gemäß Art. 32 Abs. 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art. 30 Abs. 2 lit. d) zur Verarbeitung medizinischer Daten

Die Litixsoft GmbH (Auftragnehmer) betreibt eine Software zur Erstellung von Krebsregistermeldungen (TumorScout, im Folgenden „Software“).

Sämtliche Daten werden auf Servern des Auftragnehmers in Frankfurt/Main gehostet, welche somit auch Deutschen und Europäischen Datenschutzbestimmungen unterliegen und nach DIN ISO/IEC 27001 (IT-Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen) zertifiziert sind. Darüber hinaus sind alle in Verbindung mit den genutzten Cloud-Dienstleistungen erbrachten Services auf Konformität nach ISO/IEC 27017 (Informationstechnik – Sicherheitsverfahren – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud-Dienste) und ISO/IEC 27018 (Informationstechnik – Sicherheitsverfahren – Leitfaden zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung) geprüft.

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die der Auftragnehmer in diesem Zusammenhang gemäß der DSGVO ergriffen hat.

Aufgrund der entsprechenden Zertifizierung der Server auf Konformität mit Deutschen und Europäischen Datenschutzbestimmungen einschl. DSGVO werden in diesem Dokument hauptsächlich die technischen und organisatorischen Maßnahmen des Auftragnehmers selbst beschrieben. Auf die Maßnahmen des zertifizierten Rechenzentrums wird nicht detailliert eingegangen.

Die vom Auftragnehmer angebotenen Services laufen in deutschen Rechenzentren eines Unterauftragnehmers (siehe Anlage 2). Somit werden alle relevanten Daten in den Rechenzentren des Unterauftragnehmers verarbeitet und gespeichert. Die sorgfältig ausgewählten Rechenzentren sind zertifiziert (siehe oben) und stellen diverse anspruchsvolle Maßnahmen zur Zutrittskontrolle sicher. Das Rechenzentrum ist mit verschiedenen Sicherheitsebenen geschützt, um nicht autorisierte Zugriffe auf Ihre Daten zu verhindern. Es wird mit sicheren Perimeterschutzsystemen, flächendeckender Kameraüberwachung, biometrischer Authentifizierung und Wachpersonal, das rund um die Uhr im Einsatz ist, gearbeitet. Außerdem werden im Rechenzentrum strikte Zugangs- und Sicherheitsvorschriften beachtet und dafür gesorgt, dass alle Mitarbeiter in Sicherheitsfragen umfassend geschult sind. Darüber hinaus verfügt das Rechenzentrum über lokale und regionale Sicherheitszentren – die sogenannten SOCs (Security Operation Center). Die Mitarbeiter in den SOCs überwachen sämtliche Anlagen und reagieren auf Alarmmeldungen. Sie beobachten kontinuierlich örtliche und weltweite Ereignisse, die Auswirkungen auf den Betrieb im Rechenzentrum haben könnten. Ferner führen die Sicherheitsteams ganzjährig Tests durch, damit die Teams jederzeit vorbereitet sind und auf jede Situation reagieren können. Neben Routinetests praktizieren die Teams auch ein striktes unternehmensweites Risikomanagementprogramm, mit dem sie Risiken für die Rechenzentren proaktiv einschätzen und eindämmen können. Detailliert sind die Maßnahmen unter den jeweiligen Punkten aufgeführt.

1     Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen)

Der Auftragnehmer trägt Sorge dafür, dass seine Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind.

Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.

Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.

Weitere Maßnahmen zur Sicherstellung der Zutrittskontrolle:

• Überwachungseinrichtung: Alarmanlage, Bewegungsmelder im Innen- und Außenbereich, Videoüberwachung der Eingänge und Innenbereich, Wachschutz

• Transpondersysteme

• Manuelles Schließsystem, Sicherheitsschlösser

• Türsicherung (elektrische Türöffner usw.)

• Absicherung des Gebäudes (Zäune, Pforten) und der Gebäudeschächte

• Türen mit Blindknauf

• Vergitterte Fenster im Keller- und Erdgeschoß

• Klingelanlage mit Kamera

Zutrittskontrolle/Standortkontrolle im Rechenzentrum

Sicherheitsmaßnahmen im Rechenzentrum vor Ort:

Das Rechenzentrum unterhält ein Sicherheitsteam vor Ort, das dafür verantwortlich ist, dass für alle physischen Sicherheitsfunktionen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche, verfügbar sind und einwandfrei funktionieren. Die Mitarbeiter des Sicherheitsdienstes vor Ort überwachen CCTV-Kameras (Closed Circuit TV) und alle Alarmsysteme. Vor-Ort-Sicherheitspersonal führt regelmäßig interne und externe Patrouillen des Rechenzentrums durch.

Verfahren für den Zutritt zum Rechenzentrum:

Der Betreiber unterhält formelle Zutrittsverfahren für den physischen Zutritt zu zum Rechenzentrum. Das Rechenzentrum ist in einer Einrichtung untergebracht, die einen elektronischen Zugang mit Kartenschlüssel erfordert, mit Alarmen, die mit dem Sicherheitsdienst vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich ausweisen und den Sicherheitsdiensten vor Ort einen Identitätsnachweis vorlegen. Nur autorisierte Mitarbeiter, Auftragnehmer und Besucher haben Zutritt zum Rechenzentrum. Nur befugte Mitarbeiter und Auftragnehmer sind berechtigt, den Zutritt zu diesen Einrichtungen mit elektronischen Kartenschlüsseln zu beantragen. Anträge auf Zutritt zu elektronischen Kartenschlüsseln für Rechenzentren müssen per E-Mail gestellt werden und bedürfen der Genehmigung des Vorgesetzten des Antragstellers und des Leiters des Rechenzentrums. Alle anderen Teilnehmer, die einen vorübergehenden Zutritt zum Rechenzentrum benötigen, müssen: (i) die Genehmigung im Voraus die Genehmigung der Rechenzentrumsleiter für das Rechenzentrum und die internen Bereiche, die sie besuchen möchten, einholen; (ii) sich beim Sicherheitsdienst vor Ort anmelden und (iii) auf ein genehmigten Zutrittsprotokoll für das Rechenzentrum verweisen, das die Person als genehmigt führt.

Vor-Ort-Sicherheitsgeräte für Rechenzentren:

Das Rechenzentrum verwendet ein elektronisches Kartenschlüssel- und biometrisches Zutrittskontrollsystem, das mit einem Systemalarm verbunden ist. Das Zutrittskontrollsystem überwacht und speichert den elektronischen Kartenschlüssel jeder Person und den Zeitpunkt des Zutritts zu den Perimetertüren zum Versand und Wareneingang und anderen kritischen Bereiche. Unerlaubte Aktivitäten und fehlgeschlagene Zutrittsversuche werden vom Zutrittskontrollsystem protokolliert und gegebenenfalls untersucht. Autorisierter Zutritt zu allen Geschäftsbereichen und zum Rechenzentrum ist auf Grundlage von Zonen und den Verantwortlichkeiten der einzelnen Personen zugeteilt. Die Brandschutztüren im Rechenzentrum sind alarmgesichert. CCTV-Kameras werden sowohl innerhalb als auch außerhalb des Rechenzentrums betrieben. Die Positionierung der Kameras wurde so konzipiert, dass strategische Bereiche abgedeckt werden, darunter u. a. die Umzäunung, die Türen zum Gebäude des Rechenzentrums und Versand/Empfang. Das Sicherheitspersonal vor Ort verwaltet die CCTV-Überwachungs-, Aufzeichnungs- und Steuergeräte. Sichere Kabel im gesamten Rechenzentrum verbinden die CCTV-Ausrüstung. Die Kameras zeichnen vor Ort über digitale Videorekorder 24 Stunden am Tag, 7 Tage die Woche auf. Die Überwachungsaufzeichnungen werden je nach Aktivität bis zu 30 Tage lang aufbewahrt.

Personalsicherheit

Die Mitarbeiter des Partners sind verpflichtet, sich in einer Weise zu verhalten, die mit den Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards übereinstimmt. Der Partner führt angemessene Hintergrundüberprüfungen in Übereinstimmung mit dem geltenden lokalen Arbeitsrecht und den gesetzlichen Bestimmungen durch, soweit dies gesetzlich zulässig ist. Die Mitarbeiter müssen eine Vertraulichkeitsvereinbarung unterzeichnen und den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzrichtlinien des Partners bestätigen. Das Personal erhält eine Sicherheitsschulung. Mitarbeiter, die mit Kundendaten umgehen, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen (z. B. Zertifizierungen). Das Personal des Partners verarbeitet Kundendaten nicht ohne Genehmigung.

Zugangskontrolle (keine unbefugte Systembenutzung)

Für den Systemzugang müssen der Auftragnehmer und seine Beschäftigten über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von einem oder mehreren Administratoren vergeben. Die Zugänge werden zentral vom Systemadministrator verwaltet und regelmäßig kontrolliert.

Der Login zum System erfolgt mittels Benutzername und Passwort. Ein Passwortwechsel wird nicht erzwungen. Der Zugang über eine Zweifaktorauthentifizierung ist von der Software als Default vorgesehen und kann vom Auftraggeber nur auf ausdrücklichen Wunsch abgeschaltet werden.

Zwischen zwei Anmeldeversuchen besteht eine zeitliche Verzögerung von bis zu 5 Sekunden. Fehlerhafte Anmeldeversuche werden protokolliert und bei mehrmaliger Fehleingabe innerhalb kurzer Intervalle ein Alarm ausgelöst.

Sämtliche Analyse- und Entwicklungsaktivitäten werden ausschließlich auf den Servern des Auftragnehmers durchgeführt; die Möglichkeit des Kopierens einzelner oder mehrerer Datensätze (Rohdaten) auf lokale Rechner durch Fremde ist technisch unterbunden. 

Alle Server und Client-Systeme, die bei der Erbringung von Leistungen für den Auftraggeber im Einsatz sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches versorgt werden.

Alle Mitarbeiter des Auftragnehmers sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

Passwörter werden beim Auftragnehmer mittels Passwortmanager verwaltet und werden mit einer minimalen Komplexität von mindestens 16 Zeichen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben generiert. Der Zugang zu den Arbeitsstationen sowie zum Passwortmanager wird durch ein Passwort geschützt. Das Passwort muss aus mindestens 10 Zeichen bestehen sowie einem Zeichenmix aus Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben.

Weitere Maßnahmen zur Sicherstellung der Zugangskontrolle beim Auftragnehmer sind:

• Anti-Virensoftware

• Automatische Sperrung (Kennwort oder Pausenschaltung)

• Verwalten von Benutzerberechtigungen durch Administratoren

• Interne Richtlinie zu Datenschutz und Sicherheit

• Einrichtung eines Benutzerstammsatzes pro User

• Verschlüsselung von Datenträgern

• Software-Firewall

• Hardware-Firewall

• BIOS-Schutz

• Rechteentzug beim Ausscheiden von Mitarbeitern

Alle Nutzerzugänge zu den Services des Auftragnehmers steuert der Auftraggeber für sein Unternehmen über die vom Auftragnehmer entwickelte Software selbst. Die Einrichtung der Zugänge und jede Änderung daran werden protokolliert. Fehlerhafte Anmeldeversuche werden protokolliert und der Auftragnehmer bei mehrmaliger Fehleingabe innerhalb kurzer Intervalle informiert.

Zugangskontrolle im Rechenzentrum

Personal für die Sicherheit der Infrastruktur:

Es existiert eine Sicherheitsrichtlinie für das Personal und es werden Sicherheitstrainings als Teil des Trainingspakets für das Personal verlangt. Das Sicherheitspersonal für die Infrastruktur ist für die laufende Überwachung der Sicherheitsinfrastruktur, die Überprüfung der Services und die Reaktion auf Sicherheitsvorfälle verantwortlich.

Zugangskontrolle und Privilegienverwaltung:

Die Administratoren des Kunden (hier: des Auftragnehmers) müssen sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Dienste zu verwalten.

Externe Angriffsfläche:

Es kommen mehrere Schichten von Netzwerk und Intrusion Detection zum Einsatz, um die externe Angriffsfläche des Rechenzentrums zu schützen. Es werden potenzielle Angriffsvektoren berücksichtigt und geeignete, speziell entwickelte Technologien in die nach außen gerichteten Systeme integriert.

Erkennung von Eindringlingen:

Die Erkennung von Eindringlingen soll einen Einblick in laufende Angriffsaktivitäten geben und angemessene Informationen für die Reaktion auf Zwischenfälle liefern. Die Intrusion Detection beinhaltet:

1. eine strenge Kontrolle der Größe und des Aufbaus der Angriffsfläche durch präventive Maßnahmen;

2. den Einsatz intelligenter Erkennungskontrollen an den Dateneingangspunkten und

3. den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.

Reaktion auf Vorfälle/Incident Management:

Eine Vielzahl von Kommunikationskanälen werden auf Sicherheitsvorfälle hin überwacht. Das Sicherheits-personal reagiert umgehend auf bekannte Vorfälle.

Zugriffskontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems)

Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden nach dem Need-to-know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Server, Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind. Zudem ist auch für diese Mitarbeiter der Zugriff nur für die für sie notwendigen Daten und Tätigkeiten erlaubt.

Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.

Abweichend wird der Zugriff auf aggregierte Ergebnisse seitens autorisierter Personen vom Auftragnehmer mittels eines besonders regulierten Zugriffsmechanismus ermöglicht. Dies betrifft alle Ebenen der Software.

Zugriffe auf Anwendungen werden protokolliert, konkret bei Eingabe, Änderung und Löschung von Daten.

Weitere Maßnahmen zur Sicherstellung der Zugriffskontrolle sind:

• Einsatz von Berechtigungskonzepten

• Minimale Anzahl an Administratoren

• Verwaltung der Benutzerrechte durch Administratoren

• Zugriffsrechte werden regelmäßig überprüft

• Beim Ausscheiden von Mitarbeitern werden diese Rechte unverzüglich eingezogen.

• Dokumentation der Vergabe und des Entzugs von Berechtigungen

• Sicherung von Schnittstellen

• Einschränkung der Nutzung von mobilen Datenträgern/sonstigen Geräten

• Regelmäßige Updates der Systeme

Die vom Auftragnehmer entwickelte Softwarearchitektur stellt Berechtigungskonzepte mit Nutzerrollen zur Verfügung. Der Auftraggeber kann seinen Kunden („Primärnutzern“, i. d. R. onkologisch tätige Ärzte/Ärztinnen) den Zugang zur Software geben. Die Berechtigungen des Primärnutzers gestattet die Einrichtung weiterer Sekundärnutzer (i. d. R. Mitarbeiter der Praxis des Primärnutzers), die allerdings keine weiteren Benutzer einrichten können. Alle Nutzer melden sich mit eigenen Zugangsdaten (Nutzername, Passwort) in der Software an. Zugriffe auf die Software werden protokolliert, konkret bei Eingabe, Änderung und Löschung von Daten.

Zugriffkontrolle im Rechenzentrum

Die rechenzentrumsinternen Datenzugriffsprozesse und -richtlinien verhindern, dass unbefugte Personen und/oder Systeme Zugang zu Systemen erhalten, mit denen personenbezogene Daten verarbeitet wer-den. Die Systeme sind so gestaltet, dass (i) nur autorisierte Personen auf die Daten zugreifen können, zu deren Zugriff sie berechtigt sind, und (ii) gewährleistet wird, dass personenbezogene Daten während der Verarbeitung, Nutzung, Änderung oder nach der Speicherung nicht unbefugt aufgezeichnet werden. Die Systeme sind so konzipiert, dass sie jeden unangemessenen Zugriff erkennen. Es wird ein zentrales Zugriffsmanagementsystem verwendet, um Zugang des Personals zu den Produktionsservern zu kontrollieren, und nur einer begrenzten Anzahl von autorisiertem Personal Zugang zu gewähren. Die Authentifizierungs- und Autorisierungssysteme verwenden SSH-Zertifikate und Sicherheitsschlüssel und sind so konzipiert, dass sie das Rechenzentrum mit sicheren und flexiblen Zugriffsmechanismen ausstatten. Diese Mechanismen sind so konzipiert, dass sie nur genehmigte Zugriffsrechte auf Website-Hosts, Protokolle, Daten und Konfigurationsinformationen gewähren. Es wird die Verwendung von eindeutigen Nutzer-IDs, starken Passwörtern, Zwei-Faktor-Authentifizierung und sorgfältig überwachte Zugriffslisten eingefordert, um das Potenzial für eine nicht autorisierte Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des autorisierten Personals, den Anforderungen, die für die Ausführung der autorisierten Aufgaben erforderlich sind, und einer aus Erfahrung gewachsenen Wissensbasis. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem mit den internen Datenzugriffsrichtlinien und Schulungen des Betreibers übereinstimmen. Genehmigungen werden durch Workflow-Tools verwaltet, die alle Systemzugriffe protokollieren (Audit Trail). Der Zugriff auf Systeme wird protokolliert, um einen Prüfpfad zur Nachvollziehbarkeit zu erstellen (Audit Trail). Wo Passwörter für die Authentifizierung verwendet werden (z. B. für die Anmeldung an Workstations), werden Passwortrichtlinien implementiert, die mindestens dem Industrie-Standardverfahren folgen. Diese Standards umfassen Einschränkungen für die Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke. Für den Zugang zu äußerst sensiblen Informationen (z. B. Kreditkartendaten), werden Hardware-Tokens verwendet.

Trennungskontrolle/Verwendungszweckkontrolle (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)

Soweit der Auftragnehmer personenbezogene Daten vom Auftraggeber im Zusammenhang mit der Auftragsverarbeitung erhält, wird er diese getrennt von Daten anderer Kunden verarbeiten.

Produktiv- und Testumgebung werden funktional voneinander getrennt. Datenbanken (Festlegung von Datenbankrechten) sowie Tabellen innerhalb der Datenbanken werden separiert. Daten und Anwendung liegen auf getrennten Systemen (3 Tier): Backend-Server, Datenbank und Frontend-Server. Zugriff auf die Datenbankebene ist nur rechenzentrumsintern vom Backend-Server möglich. Die Datenbankebene ist somit vollständig unabhängig von der Anwendung und wird hinter einer Firewall betrieben. Ein Zugriff von außerhalb des Rechenzentrums ist nicht möglich. Auch die gespiegelten Datenbanken (siehe unten, Verfügbarkeit) sind separiert.

Weitere Maßnahmen zur Sicherstellung der Trennungskontrolle:

• Steuerung über Berechtigungskonzept

• Festlegung von Datenbankrechten

• Datensätze mit Zweckattributen versehen

• Mandantenfähigkeit der Software

Pseudonymisierung & Verschlüsselung (Art. 32 Abs. 1 lit. a, Art. 25 Abs. 1 DSGVO)

Der Auftragnehmer stellt sicher, dass Daten in das System (z. B. durch Import) oder zwischen Client und Server in verschlüsselter Form kommuniziert werden.

Die Daten werden während des Transports („in motion“) gemäß aktuellen Standards verschlüsselt. (Zum gegenwärtigen Zeitpunkt findet die Verschlüsselung gemäß AES‑256 und TLS 1.3 statt.) Die Daten werden vollständig verschlüsselt an den Server versendet und erst auf dem Server entschlüsselt und aufbereitet. Es wird regelmäßig (jährlich) überprüft, ob der Grad der Verschlüsselung noch adäquat ist.

Die Software bietet die Möglichkeit der automatisierten Datenerhebung/-dokumentation von Patienten. Für die Einhaltung der gesetzlichen Vorgaben für die Datenerhebung sind der Auftraggeber bzw. seine Kunden (Primär- und Sekundärnutzer) selbst verantwortlich.

Maßnahmen im Rechenzentrum:

Verschlüsselungstechnologien „in motion“:

HTTPS-Verschlüsselung (auch als SSL- oder TLS-Verbindung bezeichnet) wird zur Verfügung gestellt. Die Server unterstützen den ephemeren kryptografischen Diffie-Hellman-Schlüsselaustausch mit elliptischer Kurve, signiert mit RSA und ECDSA. Diese Perfect-Forward-Secrecy-(PFS-)Methoden schützen den Datenverkehr und minimieren die Auswirkungen eines kompromittierten Schlüssels oder eines kryptografischen Durchbruchs.

Verschlüsselungstechnologien „at rest“:

Es werden mehrere Verschlüsselungsebenen verwendet, um die Daten zu schützen.

Alle im Ruhezustand gespeicherten Inhalte werden mit einem oder mehreren Verschlüsselungsmechanismen verschlüsselt, ohne dass der Kunde/Anwender/Nutzer etwas tun muss.

Die zu speichernden Daten werden in Chunks aufgeteilt und jeder Chunk wird mit einem eindeutigen Datenverschlüsselungsschlüssel verschlüsselt. Diese Datenverschlüsselungsschlüssel werden zusammen mit den Daten gespeichert und mit Schlüsseln verschlüsselt („umhüllt“), die ausschließlich im zentralem Schlüsselverwaltungsdienst des Partners gespeichert und verwendet werden. Der Schlüsselverwaltungs-dienst des Unterauftragnehmers ist redundant und global verteilt.

Alle gespeicherten Daten werden auf der Speicherebene mit AES256 verschlüsselt, mit Ausnahme einer kleinen Anzahl von Persistent Disks, die vor 2015 erstellt wurden und AES128 verwenden.

Der Unterauftragnehmer verwendet eine gemeinsame kryptografische Bibliothek, die ein FIPS-140-2-validiertes Modul enthält, um die Verschlüsselung konsistent zu implementieren. Die konsistente Verwendung einer gemeinsamen Bibliothek bedeutet, dass nur ein kleines Team von Kryptographen diesen streng kontrollierten und überprüften Code implementieren und pflegen muss.

2     Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind)

Innerhalb der Datenbank der Software wird die Integrität dadurch gewährleistet, dass sowohl die originalen Datensätze als auch die letzten Bearbeitungsstände jeweils zusammen mit einem Protokoll aller durchgeführten Operationen abgelegt/erhalten werden. Eingabe, Änderung und Löschung von Daten werden technisch protokolliert und sind durch individuelle Benutzernamen nachvollziehbar. Protokolldaten sind gegen Verlust oder Veränderung gesichert.

Die Rechte zur Eingabe, Änderung und Löschung von Daten werden auf Basis eines Berechtigungssystems (siehe oben) vergeben.

Es gibt ein Löschkonzept und klare Zuständigkeiten für die Löschung die in einem Qualitätsmanagementhandbuch beschrieben sind. Es gelten spezifische Löschfristen für verschiedene Daten gemäß den gesetzlichen Regelungen.

In begrenztem Umfang sind Plausibilitätskontrollen innerhalb der Software implementiert.

Weitergabekontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport)

Die hier beschriebenen Maßnahmen beziehen sich auf personenbezogene Daten bei elektronischer Übertragung. Physikalischer Datentransport wird nicht vorgenommen.

Eine Weitergabe von personenbezogenen Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur in dem Umfang erfolgen, wie und soweit dies mit dem Auftraggeber abgestimmt ist.

Die Datenübertragung erfolgt ausschließlich vollständig verschlüsselt an den zertifizierten Server. Andere Datenübertragungswege sind somit ausgeschlossen.

Die Übertragung der Daten wird mittels TLS (https), d. h. auch über eine verschlüsselte Verbindung, durchgeführt. Jegliche Fehler in der Übertragung werden somit automatisch identifiziert.

Zugriffe und Abrufe werden protokolliert. Abruf- und Übermittlungsvorgänge werden über zusammenfassende Übersichten regelmäßig kontrolliert.

Testroutinen werden regelmäßig angewandt, um sicherzustellen, dass aus den Originaldaten abgeleitete Werte korrekt ermittelt werden.

Datenübertragung im Rechenzentrum

Das Rechenzentrum ist über private Hochgeschwindigkeitsverbindungen verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren zu gewährleisten. Damit soll verhindert werden, dass Daten während der elektronischen Übertragung, des Transports oder während der Aufzeichnung auf Datenträgern unbefugt gelesen, kopiert, verändert oder entfernt werden. Die Daten werden intern über Internet-Standardprotokolle übertragen.

3     Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Datenspeicherung und -verarbeitung erfolgt ausschließlich auf den zertifizierten Servern. Die dortigen Maßnahmen werden unten separat aufgeführt.

Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust)

Zur Verfügbarkeit der Hardware wird auf die Maßnahmen des Auftragnehmers verwiesen, siehe hierzu oben.

Die Software wird mittels des Kubernetes-Systems bereitgestellt und durch ein Monitoring-System in Echtzeit überwacht. Bei Auffälligkeiten wird ein Alarm ausgelöst, auf den jeweils zeitnah reagiert wird.

Es werden regelmäßig Standard-Funktionstests durchgeführt.

Es werden regelmäßig Standard-Funktionstests durchgeführt. Die Datenbanken sind separiert und in drei Feuerzonen gespiegelt. Backups der Live-Datenbank werden als Snapshot der Festplatte alle 4 Stunden für 24 Stunden generiert; diese werden 24 Stunden lang aufgehoben und dann wieder überschrieben. Darüber hinaus wird täglich ein Backup angefertigt, das nach 14 Tagen überschrieben wird. Auf regelmäßiger Basis wird die Funktionalität des Recoverys überprüft.

Das System wird permanent auf korrekte Funktion und Performance überwacht.

Alle produktiven Services der Software laufen im o. g. zertifizierten Google-Rechenzentrum in Frankfurt/Main. Dieses ist professionell aufgestellt und mehrfach zertifiziert. Der Betreiber des Rechenzentrums stellt eine hohe Verfügbarkeit durch verschiedenste Maßnahmen sicher, zu denen u. a. eine unterbrechungsfreie Stromversorgung (USV), diverse Meldeanlagen sowie umfangreiche Backup- und Wiederherstellungskonzepte gehören. Sowohl der Betreiber des Rechenzentrums als auch der Unterauftragnehmer verfügen über Notfall- und Wiederanlaufpläne und überwachen die Services permanent. Details sind weiter unten aufgeführt.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen)

Es werden regelmäßig Tests zur Datenwiederherstellung mit und Prüfung der Ergebnisse durchgeführt. Der Sicherungsvorgang wird kontrolliert.

Es gibt ein Datensicherungskonzept/Backup- und Recoverykonzept, das auch das erfolgreiche Testen der Wiederherstellung von Daten beinhaltet. Sollten Funktionsprobleme auf Seiten der Hardware oder Software identifiziert worden sein, die nicht innerhalb kürzester Zeit beseitigt werden können (z. B. infolge höherer Gewalt oder von Elementarereignissen), so existieren interne Anweisungen zu Kontaktwegen, mit denen der Auftraggeber auf diesen Sachverhalt aufmerksam gemacht werden kann. Ein Notfallplan regelt die zu ergreifenden Maßnahmen, sowie die Verantwortlichkeiten im Falle eines Zwischenfalls.

Das Incident Management erfolgt über ein Ticketsystem.

Belastbarkeit

Die Belastbarkeit ist auf den gegenwärtig zu erwartendem Umfang abgestimmt.

Es wird eine effiziente Skalierungstechnik auf Basis von Containern zur Verfügung gestellt, die in kurzer Zeit und automatisch auf Lastspitzen reagiert.

Es wird regelmäßig die Performance mit einer standardisierten Testsuite überprüft (Stresstest).

Maßnahmen im Rechenzentrum

Ausfallsicherheit:

Die Infrastruktursysteme wurden so konzipiert, dass einzelne Ausfallpunkte eliminiert werden und die Auswirkungen der zu erwartenden Umwelt-/Umgebungsrisiken (z. B. Überschwemmung) zu minimieren.

Stromversorgung:

Die Stromversorgungssysteme des Rechenzentrums sind so ausgelegt, dass sie redundant sind und ohne Beeinträchtigung des laufenden Betriebs 24 Stunden am Tag, 7 Tage die Woche gewartet werden können. In den meisten Fällen werden für kritische Infrastrukturkomponenten sowohl eine primäre als auch eine alternative Stromquelle mit jeweils gleicher Kapazität für kritische Infrastrukturkomponenten im Rechenzentrum bereitgestellt. Die Sicherung der Stromversorgung wird durch verschiedene Mechanismen wie unterbrechungsfreie Stromversorgungsbatterien (USV), die bei Spannungsabfällen, Stromausfällen, Überspannungen und Frequenzüberschreitungen gesichert. Wenn die Stromversorgung unterbrochen wird, versorgt die Notstromversorgung das Rechenzentrum bis zu 10 Minuten lang mit voller Kapazität mit Strom, bis die Dieselgeneratorsysteme übernehmen. Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch anzulaufen, um genügend Notstrom um das Rechen-zentrum in der Regel mehrere Tage lang mit voller Leistung zu betreiben.

Serverbetriebssysteme:

Die Server verwenden eine Linux-basierte Implementierung, die für die Anwendungsumgebung angepasst wurde. Die Daten werden mit Algorithmen gespeichert, um die Datensicherheit und Redundanz zu erhöhen. Ein Code-Review-Verfahren kommt zum Einsatz, um die Sicherheit des Codes für die Bereitstellung der Dienste zu erhöhen und zur die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.

Geschäftskontinuität:

Die Daten werden über mehrere Systeme repliziert, um Schutz vor versehentlicher Zerstörung oder Verlust zu bieten. Es existieren Programme zur Planung der Geschäftskontinuität und zur Wiederherstellung im Katastrophenfall, die regelmäßig getestet werden.

4     Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO, Art. 25 Abs. 1 DSGVO)

Der Auftragnehmer trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den An-forderungen der DSGVO entspricht. Die Mitarbeiter des Auftragnehmers können jederzeit auf eine zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz zugreifen.

Das Sicherheitskonzept beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen zum Schutz personenbezogener Daten und ggf. der Anpassung.

Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und unverzüglich dem Auftraggeber gemeldet werden, wenn dies Daten betrifft, die im Rahmen der Auftragsverarbeitung für den Auftraggeber verarbeitet werden.

Die Mitarbeiter werden jährlich zum Datenschutz geschult.

Auftragskontrolle

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Gegenüber Auftragnehmern werden wirksame Kontrollrechte vereinbart.

Die vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation (z. B. Server) werden vor Beauftragung geprüft. Die Auswahl des Auftragnehmers erfolgt unter Sorgfaltsgesichtspunkten insb. in Bezug auf Datenschutz und Datensicherheit.

Maßnahmen im Rechenzentrum

Sicherheit von Unterauftragsverarbeitern

Vor der Beauftragung von Unterauftragsverarbeitern führt Google (Unterauftragnehmer i. S. dieses Vertrags) eine Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheits- und Datenschutzniveau bieten, das ihrem Zugang zu Daten und dem Umfang der von ihnen zu erbringenden Dienstleistungen angemessen ist. Sobald der Partner die von dem Unterauftragsverarbeiter ausgehenden Risiken bewertet hat, muss der Unterauftragsverarbeiter vorbehaltlich der Anforderungen des Partners an die Beauftragung von Unterauftragsverarbeitern einen angemessenen Vertrag über Sicherheit, Vertraulichkeit und Datenschutz abschließen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Etwaige nach Art. 25 DSGVO erforderliche Maßnahmen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch den Auftraggeber sind vom Auftraggeber zu treffen bzw. durch ergänzende Weisungen des Auftraggebers an den Auftragnehmer festzulegen.

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. Obligate Angaben für die Meldungserstellung bzw. in den Nutzerstammdaten sind entsprechend gekennzeichnet. Für die Inhalte der vom Auftraggeber sowie seiner Kunden (Primär und Sekundärnutzer) eingegebenen Inhalte und die Rechtmäßigkeit der Datenerhebung ist allein der Auftraggeber bzw. der Endnutzer verantwortlich.

Die einfache Ausübung des Widerrufsrechts des Betroffenen ist durch technische Maßnahmen gesichert (beispielsweise Möglichkeit zur Implementierung in der Software im Falle des Widerrufs der Genehmigung der Datenverarbeitung eines Patienten).