gemäß Art. 32 Abs. 1 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO)
1.1. Zutrittskontrolle
Im Folgenden werden alle Maßnahmen aufgelistet, um Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verhindern:
- Klingelanlage mit Kamera
- Chipkarten / Transpondersysteme
- Türen mit Knauf an der Außenseite
- Schlüsselregelung / Schlüsselbuch
- Ausweis-Vergaberegelung
- Token-Vergaberegelung
- Besucher / Externe in Begleitung durch Mitarbeiter
- Externer Reinigungsdienst
- Externer Wartungsdienst
- Maßnahmen bei Verlust von Schlüssel / Ausweis / Dongle / Token/ Chipkarte
1.2. Zugangskontrolle
Im Folgenden werden alle Maßnahmen aufgelistet, um Unbefugten den Zugang zu den Datenverarbeitungssystemen zu verhindern:
- Login mit Benutzername + Passwort
- Login mit biometrischen Daten
- Anti-Virus-Software Clients
- Firewall – Server
- Externer Zugang durch Mobile- / Homeoffice (bspw. PC / Laptop)
- Externer Zugang von externen Dienstleistern
- Externer Zugang durch Smartphones /Tablets
- Verschlüsselung von Datenträgern
- Automatische Desktopsperre
- Verschlüsselung von Notebooks / Tablet
- Verschlüsselung bei WLAN-Benutzung (WPA2)
- Erstellen und Verwalten von Benutzerprofilen und -berechtigungen
- Anleitung „Manuelle Desktopsperre“
- Richtlinie „Sicheres Passwort“
- Richtlinie „Löschen / Vernichten“
- Richtlinie „Clean desk“
- Richtlinie „Home-/Mobile-Office“
- Mobile Device Policy
1.3. Zugriffskontrolle
Im Folgenden werden alle Maßnahmen aufgelistet, um Unbefugten das Lesen, Kopieren, Verändern oder Löschen innerhalb der Datenverarbeitungssysteme zu verhindern:
- Aktenschredder
- Externer Aktenvernichter
- Physische Löschung von Datenträgern
- Berechtigungskonzept(e)
- Minimale Anzahl an Administratoren
- Datenschutztresor
- Verwaltung Benutzerrechte durch Administratoren
1.4. Trennungskontrolle
Im Folgenden werden alle Maßnahmen aufgelistet, um die zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten zu trennen:
- Trennung von Produktiv- und Testumgebung
- Physikalische Trennung (Systeme / Datenbanken / Datenträger)
- Mandantenfähigkeit relevanter Anwendungen
- Bedarfsgerechte Zugriffsberechtigungen der Mitarbeiter
- Festlegung von Datenbankrechten
1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a) & Art. 25 Abs. 1 DSGVO)
Die Pseudonymisierung von Datensätzen wird durch folgende Maßnahmen umgesetzt:
Es findet keine Pseudonymisierung der Datensätze statt.
2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO)
2.1. Weitergabekontrolle
Personenbezogene Daten müssen bei der elektronischen Übermittlung ausreichend geschützt werden, um nicht unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Folgende technische und organisatorische Maßnahmen haben wir hierfür ergriffen:
- Email-Verschlüsselung
- Bereitstellung von Tunnelverbindungen (VPN)
- Bereitstellung verschlüsselter Verbindungen
- Elektronische Signaturverfahren
- Protokollierung der Zugriffe und Abrufe in Log-Dateien
- Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
2.2. Eingabekontrolle
Zur Kontrolle, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, geändert, gesperrt oder gelöscht werden, setzen wir folgende Maßnahmen ein:
- Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Manuelle oder automatisierte Kontrolle der Protokolle
- Softwareliste mit Datenverarbeitungsprogrammen
- Vergabe individueller Benutzernamen
- Berechtigungskonzept mit Vergabe von bedarfsgerechten Benutzerrechten
- Sichere Aufbewahrung von Dokumenten in Papierform
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DSGVO)
3.1. Verfügbarkeitskontrolle
Zur Gewährleistung der Verfügbarkeit personenbezogener Daten gegen zufällige oder mutwillige Zerstörung oder Verlust, setzen wir folgende Maßnahmen ein:
- Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
- Getrennte Partitionen für Betriebssysteme und Daten
Reev GmbH betreibt keine eigenen Server, sondern hostet die Daten in externen Rechenzentren des Anbieters MCON mit Speicherort in Deutschland. Die TOM’s werden im Rahmen des jeweiligen Auftragsverarbeitungsverhältnisses regelmäßig überprüft.
Die rasche Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit. c) DSGVO) gewährleisten wir durch folgende Maßnahmen:
Reev GmbH betreibt keine eigenen Server, sondern hostet die Daten in externen Rechenzentren des Anbieters MCON mit Speicherort in Deutschland. Die TOM’s werden im Rahmen des jeweiligen Auftragsverarbeitungsverhältnisses regelmäßig überprüft.
4. Verfahren zur regelmäßigen Überwachung, Bewertung und Evaluierung
(Art. 32 Abs. 1 lit d) DSGVO & Art. 25 Abs. 1 DSGVO)
Datum der Evaluierung der technischen und organisatorischen Maßnahmen: 10.01.23
4.1. Datenschutz-Management
Zur Gewährleistung des Datenschutzes in unserem Unternehmen setzen wir folgende Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung ein:
- Softwarelösungen für Datenschutz-Management im Einsatz
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter
- Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
- Externer Datenschutzbeauftragter: Sophie Hohmann, SiDIT GmbH, info@sidit.de
- Interner Informationssicherheitsbeauftragter: José Carvalho, reev GmbH, josé.carvalho@reev.com
- Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
- Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
- Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
- Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
- Formalisierter Prozess zur Bearbeitung von Auskunfts-, Löschungs- und Datenübertragungsanfragen seitens Betroffener
4.2. Incident-Response-Management
(gemäß Art. 33 DSGVO)
Im Falle des Erkennens und der Meldung von Datenschutzverletzungen setzen wir folgende Maßnahmen ein:
- Einsatz von Firewall und regelmäßige Aktualisierung
- Einsatz von Spamfilter und regelmäßige Aktualisierung
- Einsatz von Virenscanner und regelmäßige Aktualisierung
- Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
- Dokumentierte Vorgehensweise zum Umgang mit
Sicherheitsvorfällen - Einbindung von DSB in Sicherheitsvorfällen und Datenpannen
- Einbindung von ISB in Sicherheitsvorfällen und Datenpannen
- Dokumentation von Sicherheitsvorfällen und Datenpannen
- Formaler Prozeß und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
4.3. Datenschutzfreundliche Voreinstellungen
Im Rahmen datenschutzfreundlicher Voreinstellungen (Art. 25 Abs. 2 DSGVO) setzen wir folgende Maßnahmen ein:
- Datenminimierung und Zweckbindung
- Einfache (technische) Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen
4.4. Auftragskontrolle (Outsourcing)
Im Rahmen des Outsourcings der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter setzen wir für die Gewährleistung eines angemessenen Schutzniveaus folgende Maßnahmen ein:
- Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
- Auswahl des Auftragnehmers unter Sorgfalts-Gesichtspunkten
(gerade in Bezug auf Datenschutz und Datensicherheit) - Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
- Schriftliche Weisungen an den Auftragnehmer
- Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
- Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen der Bestellpflicht
- Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
- Regelung zum Einsatz weiterer Subunternehmer
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus