Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen:
Manuelle Schließanlage, Sicherheitsschlösser (Schlüsselreglung), Türen mit Knauf Außenseite, Besucher werden durch Beschäftigte begleitet, Sorgfältig ausgewähltes Reinigungspersonal;
- Zugangskontrolle
Keine unbefugte Systembenutzung,
(sichere) Kennwörter inkl. Benutzernamen (Zentrale Passwortvergabe, Richtlinie „Sicheres Passwort“), Anti-Viren-Software Server, Anti-Virus-Software Clients, Anti-Virus-Software mobile Geräte, Firewall, Verschlüsselung von Datenträgern, Verschlüsselung Smartphones, Automatische Desktopsperre, Verschlüsselung von Notebooks / Tablet, automatische Sperrmechanismen, Verwalten von Benutzerberechtigungen, Erstellen von Benutzerprofilen, Allg. Richtlinie Datenschutz und / oder Sicherheit,
- Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems:
Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
- Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden: Trennung von Produktiv- und Testumgebung; Mandantenfähigkeit, Steuerung über Berechtigungskonzept, Festlegung von Datenbankrechten
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:
Verschlüsselung, elektronische Signatur, Protokollierung der Zugriffe und Abrufe, Bereitstellung über verschlüsselte Verbindungen https, Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen,
- Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können, Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts, Klare Zuständigkeiten für Löschungen;
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust: Backup-Strategie (online) inkl. Kontrolle des Sicherungsvorgangs, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne, Feuer- und Rauchmeldeanlagen, Feuerlöscher Serverraum, Serverraumüberwachung Temperatur und Feuchtigkeit, Schutzsteckdosenleisten im Serverraum, Serverraum klimatisiert, RAID System, Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse, Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums, Keine sanitären Anschlüsse im oder oberhalb des Serverraums, Getrennte Partitionen für Betriebssysteme und Daten;
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
o Mitarbeiter geschult und auf Vertraulichkeit/ Datengeheimnis verpflichtet
o Regelmäßige Sensibilisierung der Mitarbeiter, Mindestens jährlich
o Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
o Informationssicherheits-Beauftragter
o Prüfung der Datenschutz-Folgenabschätzung (DSFA)
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle;
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Es wurde in externer Datenschutzbeauftragter bestellt:
INSECCO – eine Marke der Alsterbyte IT Solutions GmbH
Lennart Maack
Friedrich-Penseler-Straße 15,
21337 Lüneburg
041312211969
datenschutz@insecco.de
