Begriffe, die im Folgenden nicht anderweitig definiert werden, haben die in den Nutzungsb
Der Auftragnehmer trifft
nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit
i.S.d. Art. 32 DSGVO.
1. Maßnahmen zur Sicherung der Vertraulichkeit
Zutrittskontrolle-Maßnahmen,
die unbefugten Personen den Zutritt zu IT-Systemen und
Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden,
sowie vertraulichen Akten und Datenträgern physisch verwehren:
·
Sicherheitsschlösser an den
Eingangstüren
·
Sorgfältige Auswahl von
Reinigungspersonal
·
Kontrollierte Schlüsselvergabe
·
Zugangs-Management:
autorisiertes Personal und Umfang der Autorisiering sind vordefiniert
Zugangskontrolle-Maßnahmen,
die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten
verarbeiten oder nutzen können:
·
System und
Datenzugang sind eingeschränkt auf autorisierte Nutzer
·
Nutzer müssen
sich mit Nutzername und Passwort identifizieren
·
Nutzerreicht werden nur
eingeschränkt gewährt
·
All logins/logoffs werden
aufgezeichnet
·
Einsatz einer zentralen
PasswortPolicy
Zugriffskontrolle-Maßnahmen,
die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung,
Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können:
·
System und
Datenzugang sind eingeschränkt auf autorisierte Nutzer
·
Nutzer müssen
sich mit Nutzername und Passwort identifizieren
·
Alle Datenzugänge werden
automatisch aufgezeichnet
·
Eine kleine
Anzahl an System Administratoren
·
Protokollierung von Zugriffen
und Missbrauchsversuchen
Trennungsgebot-Maßnahmen, die gewährleisten, dass zu
unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von
anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung
dieser Daten zu anderen Zwecken ausgeschlossen ist:
·
Systeme
erlauben Daten Segregation durch unterschiedliche Software
·
Produktiv-
und Testsysteme sind getrennt voneinander
·
Datensätze
sind nur durch Systeme zugänglich, die vordefiniert sind
·
Datenbanken
Nutzerrechte werden zentral ausgegeben und verwaltet
2. Maßnahmen zur Sicherung der Integrität
Weitergabekontrolle-Maßnahmen, die gewährleisten, dass personenbezogene
Daten bei der elektronischen Übertragung oder während ihres Transports oder
ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können sowie Maßnahmen mit denen überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener
Daten vorgesehen ist:
·
HTTPS
·
Unnötige Ausdrucke und Fehldrucke werden vernichtet
·
Keine Benutzung von physischen
Datenträgern
·
Umfassende Logging Prozeduren
·
Private
Datenträger vom Personal dürfen nicht bei der Arbeit genutzt werden
Eingabekontrolle-Maßnahmen,
die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob
und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:
·
Logging von
allen System Aktivitäten und
Behalten der Logs für mindestens 6
Monate
·
Nutzung der
zentralen Rechteverwaltung für die Eingabe, Ändern und Löschen von Daten
3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle-Maßnahmen,
die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder
Verlust geschützt sind. Beschreibung des
Verfügbarkeitskontrollsystems:
·
Es werden regelmäßig
Backups erstellt
·
Ein Backup-
und Wiederherstellungsplan ist vorhanden
·
Datensicherungsdateien
werden an einem sicheren und entfernten Ort gespeichert
·
Die Datenrettung
wird regelmäßig getestet
·
Hinzu kommen weitere
Maßnahmen der Server-Dienstleister
Rasche
Widerherstellbarkeit-Maßnahmen, die
die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und
den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch
wiederherzustellen:
·
Datensicherungsverfahren
Stand: 12. Januar 2021