Technische und organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1) Zutrittskontrolle I – Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
a) Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
b) Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
c) Sicherheitstüren / -fenster
d) Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
e) Absicherung von Gebäudeschächten
2) Zugangskontrolle – Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
a) Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
b) Autorisierungsprozess für Zugangsberechtigungen
c) Begrenzung der befugten Benutzer
d) Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
e) Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
f) Protokollierung des Zugangs
g) Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
h) Firewall
3) Zugriffskontrolle – Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.
a) Verwaltung und Dokumentation von differenzierten Berechtigungen
b) Autorisierungsprozess für Berechtigungen
c) Genehmigungsroutinen
d) Profile/Rollen
e) Vier-Augen-Prinzip
f) Funktionstrennung „Segregation of Duties“
4) Trennungskontrolle – Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.
a) Zugriffsberechtigungen nach funktioneller Zuständigkeit
b) Mandantenfähigkeit von IT-Systemen
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1) Weitergabekontrolle – Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
a) Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
b) Gesicherter File Transfer (z.B. sftp)
c) Gesicherter Datentransport (z.B. SSL, ftps, TLS)
d) Gesichertes WLAN
e) Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk)
2) Eingabekontrolle – Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
a) Zugriffsrechte
b) Systemseitige Protokollierungen
c) Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
d) Mehraugenprinzip
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle – Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.
a) Sicherheitskonzept für Software- und IT-Anwendungen
b) Back-Up Verfahren
c) Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
d) Gewährleistung der Datenspeicherung im gesicherten Netzwerk
e) Bedarfsgerechtes Einspielen von Sicherheits-Updates
f) Spiegeln von Festplatten
g) Geeignete Archivierungsräumlichkeiten für Papierdokumente
h) Virenschutz
i) Firewall
j) Notfallplan
k) Erfolgreiche Notfallübungen
l) Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
1) Datenschutz-Management – Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
a) Interne Datenschutz-Richtlinie
b) Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
c) Bestellung eines Datenschutzbeauftragten
d) Verpflichtung der Mitarbeiter auf das Datengeheimnis
e) Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
f) Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
g) Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
2) Incident-Response-Management – Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
a) Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
b) Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12
5. Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
a) Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
b) Prozess zur Erteilung und/oder Befolgung von Weisungen
c) Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
d) Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
e) Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
f) Verpflichtung der Mitarbeiter auf das Datengeheimnis