Unbefugte erlangen zu den technischen Einrichtungen keinen Zutritt. Das Rechenzentrum mit der dazugehörenden Infrastruktur ist eine Hochsicherheitszone entsprechend der Datacenter Tier IV-Klassifikation. Nur durch die Geschäftsleitung autorisierte Personen erlangen nach persönlicher und zeitlich exakter Legitimation bei Betreiber und Wachschutz Zugang zu den technischen Einrichtungen. Der Zugang zum Datacenter und zu sämtlichen sensiblen Bereichen ist ausschließlich auf autorisiertes Fachpersonal beschränkt.
Befugte werden sowohl vom Sicherheitspersonal als auch durch mehrere separate Kontrollsysteme eindeutig identifiziert. Der Zutritt zu operativen Bereichen führt über Vereinzelungszellen mit speziellen Kartenlesern und Bewegungs-, Infrarot- und / oder Lichtsensoren. Ein unbefugter Zutritt wird dadurch praktisch unmöglich.
Maßnahmen, damit Unbefugte keinen Zutritt zu den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden, sind zum Beispiel:
Der Zugang zu organisatorischen und administrativen Tätigkeiten erfolgt grundsätzlich über ein personalisiertes, zweistufiges Authentifizierungsverfahren. Die Authentifizierungsregeln entsprechen dem derzeitigen Stand der Technik.
Maßnahmen, damit Unbefugte an der Benutzung der Datenverarbeitungsanlagen und -verfahren gehindert werden sind zum Beispiel:
Die entsprechenden Mitarbeiter haben nach erfolgreicher Authentifizierung lediglich die auf sie festgelegten Zugriffsrechte und Befugnisse (Autorisierung). Vertretungsregelungen sind definiert.
Maßnahmen, damit die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, sind zum Beispiel:
Eine Weitergabe und Übermittlung personenbezogener Daten, die sich auf den technischen Einrichtungen der Firma IT SCHNITTSTELLE befinden, ist grundsätzlich nur im Rahmen vorliegender Weisung der Auftraggeber möglich und wird protokolliert. Eine Weitergabe zu Zwecken der Strafverfolgung ist nur bei Vorliegen eines richterlichen Beschlusses möglich. Der Auftraggeber wird - falls laut Beschluss zulässig - darüber zeitnah informiert. Auf alle Systeme, die personenbezogene Daten gespeichert haben, wird ausschließlich über gesicherte Übertragungswege (bspw. VPN oder HTTPS) zugegriffen. Abgesehen von den Administratoren ist kein Mitarbeiter der Firma IT SCHNITTSTELLE dazu in der Lage, personenbezogene Daten über hierfür vorgesehene Prozeduren der Programme zu exportieren und damit weiterzugeben.
Alle administrativen Tätigkeiten (z.b. Einrichtung und Änderung von Backups, Software-Updates u.a.), die die Firma IT SCHNITTSTELLE aufgrund organisatorischer Vereinbarungen für den Auftraggeber ausführt, werden grundsätzlich protokolliert und sind über den vorgeschriebenen Zeitraum nachvollziehbar. Die Firma IT SCHNITTSTELLE erhebt, verändert oder löscht personenbezogene Daten primär im Rahmen der eigenen Kundenverwaltungssysteme. Eine Verarbeitung der durch den Auftraggeber auf Systemen der Firma IT SCHNITTSTELLE gespeicherten Daten durch Mitarbeiter der Firma IT SCHNITTSTELLE findet nicht statt.
Die personenbezogenen Daten des Auftraggebers werden ausschließlich auf der Grundlage der vertraglich festgelegten Regelungen und zusätzlicher schriftlicher Weisungen verarbeitet. Mitarbeiter, die als Administratoren Zugriff auf die Systeme haben, sind alle hinsichtlich des Datenschutzes belehrt, auf das Datengeheimnis verpflichtet und haben als Bestandteil ihres Arbeitsvertrags entsprechende Verschwiegenheits- und Geheimhaltungsvereinbarungen akzeptiert.
Die Verfügbarkeit der technischen Einrichtungen gemäß der Allgemeinen Geschäftsbedingungen wird nach derzeitigem Stand der Technik durch die Firma IT SCHNITTSTELLE gewährleistet. Die inhaltliche Verfügbarkeit der Daten obliegt dem Auftraggeber.
Maßnahmen, damit die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird:
Sowohl die Dienste des Rechenzentrums als auch die Server der Firma IT SCHNITTSTELLE werden mehreren unterschiedlichen Auftraggebern gleichzeitig zur Verfügung gestellt, wodurch auch unterschiedliche Datenbestände vorgehalten werden. Durch die Mandantenfähigkeit der Systeme in Kombination mit den Zugangsdaten für jeden Nutzer wird sichergestellt, dass die Datenbestände voneinander getrennt gespeichert werden und keinerlei Zugriff durch nicht autorisierte Nutzer erfolgen kann.