Sicherheitsmaßnahmen
Technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO – Anhang 7 zur Vereinbarung zur Auftragsverarbeitung
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Folgende Maßnahmen verhindern unbefugten Zutritt zu Datenverarbeitungsanlagen (Server):
- Festlegung Zutrittsberechtigter Personen
- Verwaltung von personengebundenen Zutrittsberechtigungen
- Begleitung von Fremdpersonal
- Zugangsschutz durch Alarmanlagen
1.2 Zugangskontrolle
Folgende Maßnahmen verhindern unbefugte Systembenutzung (Server & Clients):
- Zugangsschutz
- Umsetzung sicherer Zugangsverfahren, starke Authentisierung (2FA)
- Umsetzung einfacher Authentisierung per Username Passwort
- Protokollierung des Zugangs
- Monitoring bei kritischen IT-Systemen
- Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
1.3 Zugriffskontrolle
Folgende Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems:
- “Need to know”-Prinzip
- Vergabe minimaler Berechtigungen
- Protokollierung des Zugriffs
1.4 Trennungskontrolle
Folgende Möglichkeiten existieren, um Daten, die zu unterschiedlichen Zwecken erhoben wurden, unabhängig voneinander zu verarbeiten:
- Datensparsamkeit im Umgang mit personenbezogenen Daten
- Getrennte Verarbeitung verschiedener Datensätze
- Regelmäßige Verwendungszweckkontrolle und Löschung
- Trennung von Test- und Entwicklungsumgebung
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Diese Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:
- Sichere Datenübertragung zwischen Server und Client (VPN)
- Sichere Übertragung zu externen Systemen
- Risikominimierung durch Netzseparierung
2.2 Eingabekontrolle
So lässt sich feststellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Protokollierung der Eingabe innerhalb der Software
3. Verfügbarkeit, Belastbarkeit, Disaster Recovery
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Redundanz der Kommunikationsverbindungen
- Monitoring
- Ressourcenplanung und Bereitstellung
- Abwehr von systembelastendem Missbrauch (Firewall, Antivirus)
- Datensicherungskonzepte und Umsetzung
3.2 Disaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
- Notfallpläne
- Datensicherungskonzepte und Umsetzung
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
- Prozess Datenschutz-Management
- Prozess Incident-Response-Management
- Durchführung von technischen Überprüfungen