Anlage 1 zur AVV
Technische und organisatorische Maßnahmen
Vertraulichkeit
Art. 32 Abs. 1 lit. b DSGVO
Zutrittskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
- Digitales Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
- Schutz gegen Aufhebeln der Gebäudeeintrittstür
- Sicherheitstüren / -fenster
- Schlüsselverwaltung / Dokumentation der Schlüsselvergabe und der Zutrittsprotokolle
- Absicherung von Gebäudeschächten
Zugangskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:
- Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
- Autorisierungsprozess für Zugangsberechtigungen
- Begrenzung der befugten Benutzer
- Kennwortverfahren (mind. 10 Zeichen, Komplexität „3 aus 4" Zeichenvorräten, Änderungsintervall 3 Monate)
- Nutzung eines Passwortsafes mit sicherer Verschlüsselung (KeePass) für Kundenkennwörter
- Protokollierung des Zugangs
- Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (passwortgeschützter Bildschirmschoner / automatische Pausenschaltung)
- Firewall
- Sicherung von Schränken mit Schließ- und Zahlenschlössern
Zugriffskontrolle
Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:
- Verwaltung und Dokumentation von differenzierten Berechtigungen
- Autorisierungsprozess für Berechtigungen
- Genehmigungsroutinen
- Profile / Rollen
- Vier-Augen-Prinzip
- Funktionstrennung „Segregation of Duties"
Trennungskontrolle
Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:
- Zugriffsberechtigungen nach funktioneller Zuständigkeit
- Mandantenfähigkeit von IT-Systemen
Pseudonymisierung
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen:
- Einsatz von User-IDs bei Verarbeitung von Kundendaten, wo immer möglich
- Übermittlung von Kundendaten an Datenempfänger im Auftrag des Auftraggebers stets auf den minimalen Datensatz reduziert
Integrität
Art. 32 Abs. 1 lit. b DSGVO
Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
- Verschlüsselung von E-Mail bzw. E-Mail-Anhängen (z.B. WinZip)
- Gesicherter File Transfer (z.B. SFTP)
- Gesicherter Datentransport (z.B. SSL, FTPS, TLS)
- Gesichertes WLAN
- Getunnelte Datenfernverbindungen (VPN – Virtuelles Privates Netzwerk)
Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
- Zugriffsrechte
- Systemseitige Protokollierungen
- Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
- Mehraugenprinzip
Verfügbarkeit und Belastbarkeit
Art. 32 Abs. 1 lit. b DSGVO
Verfügbarkeitskontrolle und Belastbarkeitskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
- Sicherheitskonzept für Software- und IT-Anwendungen
- Back-up-Verfahren (dezentrale Cloud-Sicherungen)
- Aufbewahrungsprozess für Back-ups (brandgeschützter Safe, getrennter Brandabschnitt)
- Gewährleistung der Datenspeicherung im gesicherten Netzwerk
- Bedarfsgerechtes Einspielen von Sicherheits-Updates
- Spiegeln von Festplatten
- Geeignete Archivierungsräumlichkeiten für Papierdokumente in einem Brandabschnitt
- Virenschutz
- Firewall
- Unterbrechungsfreie Stromversorgung für Server, Backup-System, Firewall, Telefonanlage und Netzwerkinfrastruktur
- Aktive Belüftung des Serverschranks
- Notfallplan
- Erfolgreiche Notfallübungen
- Redundante, örtlich getrennte Lagerung der Datensicherungen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Art. 32 Abs. 1 lit. d DSGVO · Art. 25 Abs. 1 DSGVO
Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
- Interne Datenschutz-Richtlinie
- Richtlinien / Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
- Bestellung eines Datenschutzbeauftragten
- Verpflichtung der Mitarbeiter auf die Vertraulichkeit gem. Art. 28 Abs. 3 lit. b DSGVO
- Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
- Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
- Meldeprozess für Datenschutzverletzungen gem. Art. 33 DSGVO gegenüber den Aufsichtsbehörden
- Meldeprozess für Datenschutzverletzungen gegenüber den Auftraggebern bei Auftragsverarbeitung gem. Art. 28 Abs. 3 lit. f DSGVO
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:
- Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
- Prozess zur Erteilung und / oder Befolgung von Weisungen
- Bestimmung von Ansprechpartnern und / oder verantwortlichen Mitarbeitern
- Kontrolle / Überprüfung weisungsgebundener Auftragsdurchführung
- Schulungen / Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
- Verpflichtung der Mitarbeiter auf die Vertraulichkeit