Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, Chipkarte, jeder Mitarbeiter hat eine personenbezogene Zugangskarte, abschließbarer Serverraum, Werkschutz (nachts) bzw. Pförtner (tagsüber) beim Betreten des Gebäudes, Alarmanlage
Zugangskontrolle: Keine unbefugte Systembenutzung, (sichere) Kennwörter, Funktionstrennung bei Vergabe von Zugangsberechtigung, automatische Sperrmechanismen beim Verlassen des PCs, Verschlüsselung von Datenträgern bei Notebooks, Abschottung interner Netzwerke gegen ungewollte Zugriffe von außen (Firewall / Virenschutz), Verschlüsselung der E-Mails über TLS, Virenscanner, Mobile Device Management, VPN bei Remote-Zugriffen, Verschlüsselung von Notebooks, Verwalten von Benutzerberechtigungen
Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen z.B.: im CRM-System, Verpflichtung der Mitarbeiter auf das Datengeheimnis (Artikel 28 Abs. (3b) DSGVO), Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger
Trennungskontrolle: Logische Trennung der Daten, die zu unterschiedlichen Zwecken erhoben wurden, Mandantenfähigkeit, Benutzerprofile, Trennung von Produktiv und Testumgebungen, Mandantenfähigkeit relevanter Anwendungen, Steuerung über Berechtigungskonzept, Festlegung von Datenbankrechten
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, Verschlüsselung TLS der Mails, Virtual Private Networks (VPN), Festgelegte und dokumentierte Übermittlungswege, E-Mail-Verschlüsselung, Bereitstellung über verschlüsselte Verbindungen
Eingabekontrolle: Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe (Protokollierung)
Auftragskontrolle: Schriftliche Festlegungen der Weisungen auf der Grundlage von Artikel 28 DSGVO in Verbindung mit Artikel 32 DSGVO und den jeweiligen Anlagen
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Backup-Strategie, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne, Feuer und Rauchmeldeanlage, Feuerlöscher im Serverraum, Serverraumüberwachung Temperatur, Backup und Recovery Konzept, Kontrolle des Sicherungsvorgangs, Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums, Getrennte Partitionen für Betriebssysteme und Daten
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO), Einsatz eines hochredundanten Hyper-V Clusters
Datenschutz-Management, Einsatz von Otris Privacy, Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung, Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
Arbeitskreis (Datenschutz-Beauftragter, fachlich zuständige Abteilung und Datenschutzkoordinator) Datenschutzfreundliche Voreinstellungen