Reading:
Technische und organisatorische Maßnahmen des Auftragnehmers

1 week ago

Technische und organisatorische Maßnahmen des Auftragnehmers


Begriffe, die im Folgenden nicht anderweitig definiert werden, haben die in den Nutzungsb

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

1.                 Maßnahmen zur Sicherung der Vertraulichkeit

Zutrittskontrolle-Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren:

·        Sicherheitsschlösser an den Eingangstüren

·        Sorgfältige Auswahl von Reinigungspersonal

·        Kontrollierte Schlüsselvergabe

·        Zugangs-Management: autorisiertes Personal und Umfang der Autorisiering sind vordefiniert

Zugangskontrolle-Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können:

·        System und Datenzugang sind eingeschränkt auf autorisierte Nutzer

·        Nutzer müssen sich mit Nutzername und Passwort identifizieren

·        Nutzerreicht werden nur eingeschränkt gewährt

·        All logins/logoffs werden aufgezeichnet

·        Einsatz einer zentralen PasswortPolicy

Zugriffskontrolle-Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

·        System und Datenzugang sind eingeschränkt auf autorisierte Nutzer

·        Nutzer müssen sich mit Nutzername und Passwort identifizieren

·        Alle Datenzugänge werden automatisch aufgezeichnet

·        Eine kleine Anzahl an System Administratoren

·        Protokollierung von Zugriffen und Missbrauchsversuchen

Trennungsgebot-Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist:

·        Systeme erlauben Daten Segregation durch unterschiedliche Software

·        Produktiv- und Testsysteme sind getrennt voneinander

·        Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind

·        Datenbanken Nutzerrechte werden zentral ausgegeben und verwaltet

 

2.                 Maßnahmen zur Sicherung der Integrität

Weitergabekontrolle-Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist:

·        HTTPS

·        Unnötige Ausdrucke und Fehldrucke werden vernichtet

·        Keine Benutzung von physischen Datenträgern

·        Umfassende Logging Prozeduren

·        Private Datenträger vom Personal dürfen nicht bei der Arbeit genutzt werden

Eingabekontrolle-Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:

·        Logging von allen System Aktivitäten und Behalten der Logs für mindestens 6 Monate

·        Nutzung der zentralen Rechteverwaltung für die Eingabe, Ändern und Löschen von Daten

3.                 Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle-Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Beschreibung des Verfügbarkeitskontrollsystems:

·        Es werden regelmäßig Backups erstellt

·        Ein Backup- und Wiederherstellungsplan ist vorhanden

·        Datensicherungsdateien werden an einem sicheren und entfernten Ort gespeichert

·        Die Datenrettung wird regelmäßig getestet

·        Hinzu kommen weitere Maßnahmen der Server-Dienstleister

Rasche Widerherstellbarkeit-Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen:

·        Datensicherungsverfahren

 

Stand: 12. Januar 2021

Arrow-up