Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

- Zutrittskontrolle

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen:

Manuelle Schließanlage, Sicherheitsschlösser (Schlüsselreglung), Türen mit Knauf Außenseite,  Besucher werden durch Beschäftigte begleitet, Sorgfältig ausgewähltes Reinigungspersonal;

- Zugangskontrolle

Keine unbefugte Systembenutzung,

(sichere) Kennwörter inkl. Benutzernamen (Zentrale Passwortvergabe, Richtlinie „Sicheres Passwort“), Anti-Viren-Software Server, Anti-Virus-Software Clients, Anti-Virus-Software mobile Geräte, Firewall,  Verschlüsselung von Datenträgern, Verschlüsselung Smartphones, Automatische Desktopsperre, Verschlüsselung von Notebooks / Tablet, automatische Sperrmechanismen, Verwalten von Benutzerberechtigungen, Erstellen von Benutzerprofilen, Allg. Richtlinie Datenschutz und / oder Sicherheit,

- Zugriffskontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems:

Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

- Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden: Trennung von Produktiv- und Testumgebung; Mandantenfähigkeit, Steuerung über Berechtigungskonzept, Festlegung von Datenbankrechten

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

- Weitergabekontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

Verschlüsselung, elektronische Signatur, Protokollierung der Zugriffe und Abrufe, Bereitstellung über verschlüsselte Verbindungen https, Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen,

- Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können, Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts, Klare Zuständigkeiten für Löschungen;

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

- Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust: Backup-Strategie (online) inkl. Kontrolle des Sicherungsvorgangs, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne, Feuer- und Rauchmeldeanlagen, Feuerlöscher Serverraum, Serverraumüberwachung Temperatur und Feuchtigkeit, Schutzsteckdosenleisten im Serverraum, Serverraum klimatisiert, RAID System, Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse,  Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums, Keine sanitären Anschlüsse im oder oberhalb des Serverraums, Getrennte Partitionen für Betriebssysteme und Daten;

- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

- Datenschutz-Management;

o Mitarbeiter geschult und auf Vertraulichkeit/ Datengeheimnis verpflichtet

o Regelmäßige Sensibilisierung der Mitarbeiter, Mindestens jährlich

o Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

o Informationssicherheits-Beauftragter

o Prüfung der Datenschutz-Folgenabschätzung (DSFA)

- Incident-Response-Management;

- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);

- Auftragskontrolle;

Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Es wurde in externer Datenschutzbeauftragter bestellt:

INSECCO – eine Marke der Alsterbyte IT Solutions GmbH

Lennart Maack

Friedrich-Penseler-Straße 15,

21337 Lüneburg

041312211969

datenschutz@insecco.de