article 32, paragraphe 1 RGPD

1. Confidentialité (article 32, paragraphe 1, point b), du RGPD)

1.1. Contrôle d’accès

Ci-dessous sont énumérées toutes les mesures visant à empêcher les personnes non autorisées d’accéder aux installations de traitement des données qui traitent ou utilisent des données à caractère personnel :

• Klingelanlage mit Kamera
• Chipkarten / Transpondersysteme
• Türen mit Knauf an der Außenseite
• Schlüsselregelung / Schlüsselbuch
• Ausweis-Vergaberegelung
• Token-Vergaberegelung
• Besucher / Externe in Begleitung durch Mitarbeiter
• Externer Reinigungsdienst
• Externer Wartungsdienst
• Maßnahmen bei Verlust von Schlüssel / Ausweis / Dongle / Token/ Chipkarte

1.2. Contrôle de l’accès

Im Folgenden werden alle Maßnahmen aufgelistet, um Unbefugten den Zugang zu den Datenverarbeitungssystemen zu verhindern:

• Login mit Benutzername + Passwort
• Login mit biometrischen Daten
• Anti-Virus-Software Clients
• Firewall – Server
• Externer Zugang durch Mobile- / Homeoffice (bspw. PC / Laptop)
• Externer Zugang von externen Dienstleistern
• Externer Zugang durch Smartphones /Tablets
• Verschlüsselung von Datenträgern
• Automatische Desktopsperre
• Verschlüsselung von Notebooks / Tablet
• Verschlüsselung bei WLAN-Benutzung (WPA2)
• Erstellen und Verwalten von Benutzerprofilen und -berechtigungen
• Anleitung „Manuelle Desktopsperre“
• Richtlinie „Sicheres Passwort“
• Richtlinie „Löschen / Vernichten“
• Richtlinie „Clean desk“
• Richtlinie “Home-/Mobile-Office”
• Mobile Device Policy

1.3. Contrôle des autorisations d’accès

Im Folgenden werden alle Maßnahmen aufgelistet, um Unbefugten das Lesen, Kopieren, Verändern oder Löschen innerhalb der Datenverarbeitungssysteme zu verhindern:

• Aktenschredder
• Externer Aktenvernichter
• Physische Löschung von Datenträgern
• Berechtigungskonzept(e)
• Minimale Anzahl an Administratoren
• Datenschutztresor
• Verwaltung Benutzerrechte durch Administratoren

1.4. Contrôle de la séparation

Im Folgenden werden alle Maßnahmen aufgelistet, um die zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten zu trennen:

• Trennung von Produktiv- und Testumgebung
• Physikalische Trennung (Systeme / Datenbanken / Datenträger)
• Mandantenfähigkeit relevanter Anwendungen
• Bedarfsgerechte Zugriffsberechtigungen der Mitarbeiter
• Festlegung von Datenbankrechten

1.5. Pseudonymisation (article 32, paragraphe 1, point a) & article 25, paragraphe 1, du RGPD) 1 DSGVO)

Die Pseudonymisierung von Datensätzen wird durch folgende Maßnahmen umgesetzt:

Es findet keine Pseudonymisierung der Datensätze statt.

2. Intégrité (article 32, paragraphe 1, point b), du RGPD)

2.1. Weitergabekontrolle

Personenbezogene Daten müssen bei der elektronischen Übermittlung ausreichend geschützt werden, um nicht unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Folgende technische und organisatorische Maßnahmen haben wir hierfür ergriffen:

• Email-Verschlüsselung
• Bereitstellung von Tunnelverbindungen (VPN)
• Bereitstellung verschlüsselter Verbindungen
• Elektronische Signaturverfahren
• Protokollierung der Zugriffe und Abrufe in Log-Dateien
• Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen

2.2. Contrôle de saisie

Zur Kontrolle, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, geändert, gesperrt oder gelöscht werden, setzen wir folgende Maßnahmen ein:

• Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
• Manuelle oder automatisierte Kontrolle der Protokolle
• Softwareliste mit Datenverarbeitungsprogrammen
• Vergabe individueller Benutzernamen
• Berechtigungskonzept mit Vergabe von bedarfsgerechten Benutzerrechten
• Sichere Aufbewahrung von Dokumenten in Papierform

3. Disponibilité et résilience (article 32, paragraphe 1, point b), du RGPD)

3.1. Contrôle de disponibilité

Zur Gewährleistung der Verfügbarkeit personenbezogener Daten gegen zufällige oder mutwillige Zerstörung oder Verlust, setzen wir folgende Maßnahmen ein:

• Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
• Getrennte Partitionen für Betriebssysteme und Daten

Reev GmbH betreibt keine eigenen Server, sondern hostet die Daten in externen Rechenzentren des Anbieters MCON mit Speicherort in Deutschland. Die TOM’s werden im Rahmen des jeweiligen Auftragsverarbeitungsverhältnisses regelmäßig überprüft.

Die rasche Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit. c) DSGVO) gewährleisten wir durch folgende Maßnahmen:

Reev GmbH betreibt keine eigenen Server, sondern hostet die Daten in externen Rechenzentren des Anbieters MCON mit Speicherort in Deutschland. Die TOM’s werden im Rahmen des jeweiligen Auftragsverarbeitungsverhältnisses regelmäßig überprüft.

4) des procédures de suivi, d’évaluation et d’appréciation périodiques

(Art. 32 Abs. 1 lit d) DSGVO & Art. 25 Abs. 1 DSGVO)

Datum der Evaluierung der technischen und organisatorischen Maßnahmen: 10.01.23

4.1. Protection des données-Management

Zur Gewährleistung des Datenschutzes in unserem Unternehmen setzen wir folgende Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung ein:

• Softwarelösungen für Datenschutz-Management im Einsatz
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter
• Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
• Délégué externe à la protection des données : Sophie Hohmann, SiDIT GmbH, info@sidit.de
• Responsable interne de la sécurité de l’information : José Carvalho, reev GmbH, josé.carvalho@reev.com
• Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
• Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
• Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
• Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
• Formalisierter Prozess zur Bearbeitung von Auskunfts-, Löschungs- und Datenübertragungsanfragen seitens Betroffener

4.2. Gestion des réponses aux incidents
(conformément à l’article 33 du RGPD)

Im Falle des Erkennens und der Meldung von Datenschutzverletzungen setzen wir folgende Maßnahmen ein:

• Einsatz von Firewall und regelmäßige Aktualisierung
• Einsatz von Spamfilter und regelmäßige Aktualisierung
• Einsatz von Virenscanner und regelmäßige Aktualisierung
• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
• Procédure documentée pour gérer les incidents de sécurité
• Einbindung von DSB in Sicherheitsvorfällen und Datenpannen
• Einbindung von ISB in Sicherheitsvorfällen und Datenpannen
• Dokumentation von Sicherheitsvorfällen und Datenpannen
• Processus formel et responsabilités pour le suivi des incidents de sécurité et des violations de données

4.3. Datenschutzfreundliche Voreinstellungen

Im Rahmen datenschutzfreundlicher Voreinstellungen (Art. 25 Abs. 2 DSGVO) setzen wir folgende Maßnahmen ein:

• Datenminimierung und Zweckbindung
• Einfache (technische) Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

4.4. Auftragskontrolle (Outsourcing)

Im Rahmen des Outsourcings der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter setzen wir für die Gewährleistung eines angemessenen Schutzniveaus folgende Maßnahmen ein:

• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Sélection du fournisseur en fonction de sa diligence
  (notamment en ce qui concerne la protection et la sécurité des données)
• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
• Schriftliche Weisungen an den Auftragnehmer
• Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
• Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen der Bestellpflicht
• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
• Regelung zum Einsatz weiterer Subunternehmer
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus