fbpx
CH DE
Kontakt aufnehmen

Anlage zur AV-Vereinbarung:
Technische und Organisatorische Maßnahmen

Home Rechtliche Vereinbarungen Anlage zur AV-Vereinbarung: Technische und Organisatorische Maßnahmen

Datum der Erstellung: 08.09.2020

1 Verfügbarkeit (gemäß Art. 32, Abs. 1, lit. b) DSGVO)

1.1 Zutrittskontrolle

Im Folgenden werden alle Maßnahmen aufgelistet, um unbefugten Zutritt zu den Datenverarbeitungsanlagen zu verhindern:

  • Bewegungsmelder an den Eingängen
  • Automatisches Zutrittskontrollsystem
  • Chipkarten / Transpondersysteme
  • Manuelles Schließsystem
  • Sicherheitsschlösser und einbruchshemmende Türen
  • Türen mit Knauf an der Außenseite
  • Vergaberegelung von Token zum Zutritt
  • Sorgfältige Auswahl von Reinigungs- und Wachpersonal
  • Maßnahmen bei Verlust von Schlüssel / Ausweis / Dongle / Token/ Chip

 

1.2 Zugangskontrolle

Im Folgenden werden alle Maßnahmen aufgelistet, um unbefugten Zugang zu den Datenverarbeitungssystemen zu verhindern:

  • Login mit Benutzername + Passwort
  • Login mit biometrischen Daten
  • Anti-Virus-Software Clients
  • Firewall
  • Verschlüsselung von Datenträgern
  • Externer Zugriff nur über VPN möglich
  • Verschlüsselung von Iphones
  • Systempasswörter bei Apple
  • Verschlüsselung von Notebooks / Tablet
  • Automatische Desktopsperre
  • Erstellen und Verwalten von Benutzerprofilen und -berechtigungen
  • Richtlinie „Sicheres Passwort“
  • Richtlinie „Clean desk“
  • Anleitung „Manuelle Desktopsperre“
  • Verschlüsselung bei WLAN-Benutzung (WPA2)

 

1.3 Zugriffskontrolle

Im Folgenden werden alle Maßnahmen aufgelistet, um unbefugtes Lesen, Kopieren,

Verändern oder Löschen innerhalb der Datenverarbeitungssysteme zu verhindern:

  • Externer Aktenvernichter (DIN 66399)
  • Physische Löschung von Datenträgern
  • Datenschutztresor

 

1.4 Trennungskontrolle

Im Folgenden werden alle Maßnahmen aufgelistet, um die zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten zu trennen:

  • Trennung von Produktiv- und Testumgebung
  • Mandantenfähigkeit relevanter Anwendungen
  • Festlegung von Datenbankrechten

 

Es findet keine Pseudonymisierung der Datensätze statt.

 

2 Integrität (gemäß Art. 32, Abs. 1, lit. b) DSGVO)

 

2.1 Weitergabekontrolle

Personenbezogene Daten müssen bei der elektronischen Übermittlung ausreichend geschützt werden, um nicht unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Folgende technische und organisatorische Maßnahmen haben wir hierfür ergriffen:

  • Email-Verschlüsselung
  • Einsatz von VPN
  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https
  • Nutzung von Signaturverfahren
  • Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen

 

2.2 Eingabekontrolle

Zur Kontrolle, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, geändert, gesperrt oder gelöscht werden, setzen wir folgende Maßnahmen ein:

  • Manuelle oder automatisierte Kontrolle der Protokolle
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch
  • individuelle Benutzernamen (nicht Benutzergruppen)
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen
  • übernommen wurden

 

3 Verfügbarkeit und Belastbarkeit (gemäß Art. 32, Abs. 1, lit. b) DSGVO)

 

3.1 Verfügbarkeitskontrolle

Zur Gewährleistung der Verfügbarkeit und schnellen Wiederherstellung (Art. 32, Abs. 1, lit. c) DSGVO) personenbezogener Daten bei zufälliger oder mutwilliger Zerstörung oder Verlust, setzen wir folgende Maßnahmen ein:

  • Datenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quelldichtung etc.)
  • RAID System / Festplattenspiegelung
  • Regelmäßige Archivierung / Backup der Daten
  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
  • Getrennte Partitionen für Betriebssysteme und Daten

4 Verfahren zur regelmäßigen Überwachung, Bewertung und Evaluierung (gemäß Art. 32, Abs. 1, lit d) & Art. 25, Abs. 1 DSGVO)

 

4.1 Datenschutz-Management

Zur Gewährleistung des Datenschutzes in unserem Unternehmen setzen wir folgende Maßnahmen zur regelmäßigen .berprüfung, Bewertung und Evaluierung ein:

  • externer Datenschutzbeauftragter: Firma SiDIT
  • Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
  • Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt

 

4.2 Incident-Response-Management (gemäß Art. 33 DSGVO)

Im Falle des Erkennens und der Meldung von Datenschutzverletzungen setzen wir folgende Maßnahmen ein:

  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Spamfilter und regelmäßige Aktualisierung
  • Einsatz von Virenscanner und regelmäßige Aktualisierung
  • Einbindung von DSB in Sicherheitsvorfällen und Datenpannen

 

4.3 Datenschutzfreundliche Voreinstellungen

Im Rahmen datenschutzfreundlicher Voreinstellungen setzen wir folgende Maßnahmen ein:

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
  • Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

 

4.4 Auftragskontrolle

Bei Auftragsverarbeitungen sichern wir die Umsetzung durch folgende Maßnahmen:

  • Auswahl des Auftragnehmers unter Sorgfalts-Gesichtspunkten (gerade in Bezug auf
  • Datenschutz und Datensicherheit)
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU
  • Standard-Vertragsklauseln
  • Schriftliche Weisungen an den Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  • Regelung zum Einsatz weiterer Subunternehmer

Stand: September 2020