Technische und organisatorische Maßnahmen nach DSGVO

In Art. 32 DSGVO werden verschiedene Schutzbereiche definiert, für die geeignete technische und organisatorische Maßnahmen (TOM) ergriffen werden sollen. Ziel ist es, unter Berücksichtigung des Stands der Technik, des notwendigen Aufwands und unter Abschätzung von Risiken ein angemessenes Schutzniveau zu gewährleisten. [Rechtstext bei EUR-LEX]

Die folgenden, für votesUP definierten technischen und organisatorischen Maßnahmen stehen nicht für sich allein: Der grundlegende Serverbetrieb wird durch den Provider Hetzner als Auftragsverarbeiter sichergestellt. Die vom Provider aufgestellten TOM sind abrufbar unter www.hetzner.com/AV/TOM.pdf

Datenschutz ist eine Daueraufgabe. Die IT-Welt entwickelt sich weiter. Organisatorische Maßnahmen sind abhängig von der Größe eines begleitenden Teams und orientieren sich an Risikobewertungen. Daher werden wir die TOM immer wieder an aktuelle Entwicklungen anpassen und auch auf Basis von Erfahrungswerten verbessern.

1. Pseudonymisierung

  • Vom System verarbeitete IP-Adressen werden sofort nach Auslieferung der Inhalte gekürzt und reduziert in den Logdateien gespeichert.
  • Es werden so wenige personenbezogene Daten wie möglich abgefragt und verarbeitet: Nutzung über anonyme Tokens ist vorgesehen. Nutzer:innen können ihren Anzeigenamen verändern.

2. Verschlüsselung

  • Jegliche Verbindungen zu votesUP finden transportverschlüsselt statt. Dies gilt auch für ausgehende Kommunikation: votesUP versendet E-Mails ausschließlich transportverschlüsselt.
  • Es werden domain-validierte TLS-Zertifikate (früher „SSL-Zertifikate“) nach dem jeweils aktuellen Stand der Technik eingesetzt, die spätestens alle 90 Tage erneuert werden. Wir greifen hierzu auf Zertifikate von Mozillas „Let's Encrypt“-Ausgabestelle zurück.
  • Verbindungen werden nur noch nach neueren TLS 1.2/1.3-Standards zugelassen. Damit sind veraltete und nicht mehr abzusichernde Betriebssysteme wie Windows XP allerdings von der votesUP-Nutzung ausgeschlossen.
  • Für eine Validierungsüberprüfung der Zertifikate greifen wir auf das verbesserte Online Certificate Status Protocol (OCSP Stapling) zurück, so dass der anfragende Browser den Status des Verschlüsselungszertifikats überprüfen kann. Zusätzlich werden bei votesup.eu durch eine „Certification Authority Authorization“ (CAA) im DNS die berechtigten Ausgabestellen für TLS-Verschlüsselungszertifikate ausgewiesen.

3. Gewährleistung der Vertraulichkeit

  • Vertraulichkeit wird durch das persönliche Verhalten wie auch automatische Zugriffsbeschränkungen gewährleistet. Wir setzen soweit wie möglich auf automatisierte Verfahren, um den Ermessensspielraum von Nutzer:innen nicht unnötig auszuweiten und sie damit unnötiger Verantwortung auszusetzen.
  • Der Umfang der möglichen Datenzugriffe ist über die zugewiesenen Nutzer-Rollen und Beschränkungen zum Rollenwechsel festgelegt.
  • Der Datenzugriff ist nur über passwortgeschützte Zugänge möglich. Die Passwortanforderungen unterscheiden sich nach Verantwortungsrolle der/des Nutzer:in.
  • Passwörter werden nicht direkt gespeichert, sondern nur als Prüfwerte (Hash + Salt).
  • Eine zusätzliche Absicherung von Zugängen wird über die optionale Zwei-Faktor-Authentifizierung gewährleistet.
  • Administrative Zugänge sind in ihren Datenzugriffsmöglichkeiten auf die zu betreuenden Aufgaben zugeschnitten.
  • Betreuende Team-Mitglieder von votesUP sind zu Datenschutz-Anforderungen sensibilisiert und geschult. Sie unterzeichnen eine Vertraulichkeitserklärung.
  • Risikobasierte Bewertungen der Datenverarbeitung nehmen wir vorausschauend vor. Die Schwere des möglichen Schadens fällt bei votesUP-Veranstaltungen nach Klassifizierung der Datenschutzbehörden des Bundes und der Länder überwiegend in die Kategorie „überschaubar“ (DSK-Kurzpapier Nr. 18): Betroffene könnten in ihrer gesellschaftlichen Stellung beeinträchtigt werden („Ansehen”). Dennoch orientiert sich das votesUP-System stets an den höchsten Vertraulichkeitserfordernissen.
  • Mittels zentral vermitteltem Stapling des unter 2. genannten OCSP wird die Datenschutzproblematik bei Validierungsanfragen abgewehrt: Der votesUP-Server übermittelt die Validierungsanfrage, so dass die personenbezogene IP-Adressen der Nutzer:innen nicht an die jeweiligen Zertifizierungsstellen weitergegeben werden müssen.

4. Gewährleistung der Integrität

  • Die Verarbeitung und insbesondere die Speicherung von Datensätzen erfolgt über mehrere Sicherheitsschleifen (Verfügbarkeit der Anforderung → Berechtigung → Plausibilität).
  • Für die Absicherung gegen Manipulation werden in manchen Bereichen (insbesondere Abstimmungen) Prüfmechanismen integriert, für die neben Datenbankzugriff auch der Zugriff auf den Programmcode und Konfigurationsschlüssel notwendig sind. Durch diese Kombination werden Gefahren bei einem Datenbankangriff reduziert und fallen sofort auf. Die Prüfsummen werden mittels standardisierter Hashing-Verfahren erstellt.
  • Das Session-Management verwendet erhöhte Standards bei Schlüssellängen, Bit-Tiefe, Anforderungsquellen und Übertragung.
  • Alle ausgehenden E-Mails werden durch DKIM signiert und können mittels DMARC-Protokoll vom empfangenen Mailserver validiert werden.
  • Durch Fehlerlogging sind Probleme leichter identifizierbar. Das Fehlerlogging wird schrittweise verbessert.

5. Gewährleistung der Verfügbarkeit

  • votesUP wird in einem Rechenzentrum bei einem angesehenen deutschen Provider betrieben, der nach ISO 27001 (Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems) zertifiziert ist.
  • Die Wartung des grundlegenden Servers (Betriebssystem, Web-Server, Datenbankserver, E-Mail-Server sowie unterstützende Systeme wie Firewalls oder Angriffserkennung) wird von ausgebildeten Techniker:innen des Providers sichergestellt.
  • Sowohl die votesUP-Plattform wie auch die nutzergenerierten Daten (Abstimmungen usw.) werden laufend auf redundanten Datenträgern gespeichert. Dadurch ist selbst bei Ausfall einer Festplatte ein ununterbrochener Betrieb sichergestellt.
  • Die Systeme werden einmal täglich vollständig und automatisiert gesichert. Diese täglichen Backups reichen 14 Tage zurück.
  • Neue Funktionen werden zuerst in einem Testsystem überprüft, bevor sie in das votesUP-Produktivsystem eingespielt werden.
  • Größere Wartungsarbeiten und Umbauten an votesUP finden in wenig frequentierten Zeiträumen statt (24 Uhr - 6 Uhr) und werden nach Möglichkeit vorher auf der votesUP-Startseite angekündigt.

6. Gewährleistung der Belastbarkeit der Systeme

  • Eine allgemeine Belastbarkeitsprüfung des Systems findet in unregelmäßigen Abständen statt (zuletzt im Dezember 2020, im Februar 2021, im September 2021 und im Januar 2024).
  • Es findet ein durchgehendes Monitoring des Load Average auf dem Server statt.
  • Unüblich erhöhte Zugriffsversuche oder Quellen missbräuchlicher Nutzung werden ggf. automatisiert geblockt. Bei nutzerspezifischen Anforderungen werden die Betroffenen über die Limiterreichung informiert.
  • Veranstaltungen sind standardmäßig auf eine bestimmte Nutzerzahl beschränkt. Erst auf Antrag und Zeitraum-Angabe wird das Limit erhöht.
  • Veranstalter:innen werden in der Verwaltungsoberfläche gebeten, ihre konkreten Veranstaltungszeiträume vorher anzumelden. Der Kalender der zu erwartenden Last wird täglich geprüft.
  • Es können anlassbezogen Systemeinstellungen angepasst werden, um die Last pro Nutzer:in zu reduzieren. Dies betrifft insbesondere die Häufigkeit von Statusabfragen (Chat, Session, neue Abstimmungen, Wortmeldungen).
  • Ressourcenintensive Datenbankabfragen können gecacht werden.

7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

  • Für das gesamte System werden täglich nachts Sicherheitskopien angelegt. Die gespeicherten Daten sind 14 Tage lang wiederherstellbar.
  • Die Erstellung und Verwaltung dieser Backups erfolgt automatisiert. Diese Mechanismen werden von uns in unterschiedlichen Abständen auf ihre Funktionstüchtigkeit überprüft.
  • Der Programmcode wird versioniert erstellt, d.h. Änderungen sind bei Problemen umkehrbar.
  • Für die Evaluierung von Programmcode steht dauerhaft ein Zweitsystem und anlassbezogen ein Drittsystem zur Verfügung.

8. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

 

Stand der TOM: 04.07.2024