TOM

TECHNISCH-ORGANISATORISCHE MASSNAHMEN

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, Chipkarte, jeder Mitarbeiter hat eine personenbezogene Zugangskarte, abschließbarer Serverraum, Werkschutz (nachts) bzw. Pförtner (tagsüber) beim Betreten des Gebäudes, Alarmanlage

Zugangskontrolle
Keine unbefugte Systembenutzung, (sichere) Kennwörter, Funktionstrennung bei Vergabe von Zugangsberechtigung, automatische Sperrmechanismen beim Verlassen des PCs, Verschlüsselung von Datenträgern bei Notebooks, Abschottung interner Netzwerke gegen ungewollte Zugriffe von außen (Firewall / Virenschutz), Verschlüsselung der E-Mails über TLS, Virenscanner

Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen z.B.: im CRM System, Verpflichtung der Mitarbeiter auf das Datengeheimnis (Artikel 28 Abs. (3b) DSGVO), Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger

Trennungskontrolle
Logische Trennung der Daten, die zu unterschiedlichen Zwecken erhoben wurden, Mandantenfähigkeit, Benutzerprofile


2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, Verschlüsselung TLS der Mails, Virtual Private Networks (VPN), Festgelegte und dokumentierte Übermittlungswege

Eingabekontrolle
Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe (Protokollierung)

Auftragskontrolle
Schriftliche Festlegungen der Weisungen auf der Grundlage von Artikel 28 DSGVO in Verbindung mit Artikel 32 DSGVO und den jeweiligen Anlagen


3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Backup-Strategie, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO), Einsatz eines hochredundanten Hyper-V Clusters


4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management, Einsatz von Otris Privacy

Arbeitskreis (Datenschutz-Beauftragter, fachlich zuständige Abteilung und Datenschutzkoordinator) Datenschutzfreundliche Voreinstellungen