Common use of Maßnahmen Clause in Contracts

Maßnahmen. 2.1. Grundlegende Schutzmaßnahmen Wir trennen nach Möglichkeit und an den erforderlichen Stel- len personenbezogene Daten von den verarbeiteten Daten, so dass eine Verknüpfung der verarbei- teten Daten mit einer identifizierten oder identifizierbaren Person ohne zusätzliche Informationen, die gesondert und sicher aufbewahrt werden, nicht möglich ist. Dies gilt insbesondere, wenn Daten im Rahmen von Forschungsvorhaben verarbeitet werden. Zudem verschlüsseln wir insbesondere zur Übertragung vorgesehene personenbezogene Daten mit einem dem Stand der Technik entsprechen- den Verfahren. 2.2. Zutrittskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass Un- befugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird. Wir schützen unsere für die Verarbeitung von personenbezo- genen Daten kritischen Bereiche durch angemessene Zutrittskontrollsysteme wie Klingelanlagen, Videoüberwachung von kritischen Bereichen, automatische Zugangskontrollsysteme und manuelle Schließsysteme. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaß- nahmen ergriffen. Es handelt sich insbesondere um Alarmanlagen, Lichtschranken/Bewegungsmel- der, Einsatz von Wachpersonal und eine Protokollierung der Besucher. Zutrittsrechte für berechtigte Personen werden gemäß festgelegten Kriterien individuell erteilt. Dies gilt auch hinsichtlich externer Personen. 2.3. Zugangskontrolle Zugang zu Datenverarbeitungssystemen erhalten nur authentifizierte Benutzer aufgrund eines rollenbezogenen Berechtigungskonzepts unter Verwendung von folgenden Maßnah- men: individualisierte Passwortvergabe und Benutzerprofilen sowie regelmäßig aktualisierte Antivi- ren- und Spam-Filter im Netzwerk und auf den einzelnen PCs. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um den Einsatz von Hard- und Softwarefirewalls und den Einsatz von VPN Technologie. 2.4. Zugriffskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffs- berechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird auf der Grundlage einer pro- jektbezogenen Berechtigung gewährt. Es ist ein Benutzerverwaltungssystem eingerichtet, welches den Zu-und Abgang von Nutzern mit ihren jeweiligen Berechtigungen unter der Steuerung von System- administratoren abbildet. Die Vergabe von Passwörtern basiert auf einer Passwortrichtlinie, die die erforderliche Länge und Wechselintervalle regelt. Die Anzahl der Systemadministratoren wurde auf das „Notwendigste“ beschränkt. Datenträger werden datenschutzgerecht entsorgt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und Löschung von Daten. 2.5. Datenübertragungskontrolle Wir sichern die elektronischen Kommunikationswege durch Ein- richtung geschlossener Netzwerke und Verfahren zur Datenverschlüsselung ab. Dadurch stellen wir sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Trans- ports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermitt- lung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Sofern ein physischer Datenträgertransport erfolgt, werden auf der Basis einer Risikoabschätzung im Einzelfall Maßnahmen ergriffen, welche den unbefugten Datenzugriff oder den logischen Verlust verhindern. Werden Daten elektronisch übermittelt, geschieht dies unter Nutzung von Standleitung beziehungs- weise VPN Technologie. Allgemein wird eine verschlüsselte Übertragung nach Möglichkeit bevorzugt. 2.6. Eingabekontrolle Zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, findet eine weitgehende Eingabekontrolle statt. In diesem Zusammenhang ist die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benut- zernamen sichergestellt. Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines projektbezogenen Berechtigungskonzepts. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und Löschung 2.7. Trennungskontrolle Durch eine logische und physikalische Trennung der Daten gewährleisten wir, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Verwendete Test- und Live-Systeme sind vollständig getrennt. Die relevanten Anwendungen zur Speicherung von Daten sind mandantenfähig. Sie basieren zudem auf festgelegten Datenbankrechten und einem Be- rechtigungskonzept auf Grundlage eines Need-to-Know-Prinzips. 2.8. Verfügbarkeitskontrolle Wir ergreifen Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen umfassen in ers- ter Linie die direkte Sicherung der Serveranlagen gegen die gegebenen Risiken. Auf der technischen Seite handelt es sich insbesondere um: Feuer- und Rauchmeldeanlagen, unterbrechungsfreie Strom- versorgung, Geräte zur Überwachung der Temperatur und Feuchtigkeit, redundante Klimaanlagen, Schutzsteckdosen, Feuerlöschgeräte sowie in kritischen Bereichen durch automatisierte Löschanla- gen und unterbrechungsfreie Stromversorgung. Zur Gewährleistung der Verfügbarkeit werden diese technischen Maßnahmen durch organisatorische Maßnahmen ergänzt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen, Erstellung eines Notfallplans und die Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort. Des Weiteren befinden sich Serverräume grundsätzlich nicht unter sanitären Anlagen.

Maßnahmen. 2.1. Grundlegende Schutzmaßnahmen Wir trennen nach Möglichkeit und an den erforderlichen Stel- len personenbezogene Daten von den verarbeiteten Daten, so dass eine Verknüpfung der verarbei- teten Daten mit einer identifizierten oder identifizierbaren Person ohne zusätzliche Informationen, die gesondert und sicher aufbewahrt werden, nicht möglich ist. Dies gilt insbesondere, wenn Daten im Rahmen von Forschungsvorhaben verarbeitet werden. Zudem verschlüsseln wir insbesondere zur Übertragung vorgesehene personenbezogene Daten mit einem dem Stand der Technik entsprechen- den Verfahren. 2.2. Zutrittskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass Un- befugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird. Wir schützen unsere für die Verarbeitung von personenbezo- genen Daten kritischen Bereiche durch angemessene Zutrittskontrollsysteme wie Klingelanlagen, Videoüberwachung von kritischen Bereichen, automatische Zugangskontrollsysteme und manuelle Schließsysteme. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaß- nahmen ergriffen. Es handelt sich insbesondere um Alarmanlagen, Lichtschranken/Bewegungsmel- der, Einsatz von Wachpersonal und eine Protokollierung der Besucher. Zutrittsrechte für berechtigte Personen werden gemäß festgelegten Kriterien individuell erteilt. Dies gilt auch hinsichtlich externer Personen. 2.3. Zugangskontrolle Zugang zu Datenverarbeitungssystemen erhalten nur authentifizierte Benutzer aufgrund eines rollenbezogenen Berechtigungskonzepts unter Verwendung von folgenden Maßnah- men: individualisierte Passwortvergabe und Benutzerprofilen sowie regelmäßig aktualisierte Antivi- ren- und Spam-Filter im Netzwerk und auf den einzelnen PCs. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um den Einsatz von Hard- und Softwarefirewalls und den Einsatz von VPN Technologie. 2.4. Zugriffskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffs- berechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird auf der Grundlage einer pro- jektbezogenen Berechtigung gewährt. Es ist ein Benutzerverwaltungssystem eingerichtet, welches den Zu-und Abgang von Nutzern mit ihren jeweiligen Berechtigungen unter der Steuerung von System- administratoren abbildet. Die Vergabe von Passwörtern basiert auf einer Passwortrichtlinie, die die erforderliche Länge und Wechselintervalle regelt. Die Anzahl der Systemadministratoren wurde auf das „Notwendigste“ beschränkt. Datenträger werden datenschutzgerecht entsorgt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und Löschung von Daten. 2.5. Datenübertragungskontrolle Wir sichern die elektronischen Kommunikationswege durch Ein- richtung Einrich- tung geschlossener Netzwerke und Verfahren zur Datenverschlüsselung ab. Dadurch stellen wir sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Trans- ports Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt entfernt- werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermitt- lung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Sofern ein physischer Datenträgertransport erfolgt, werden auf der Basis einer Risikoabschätzung im Einzelfall Maßnahmen ergriffen, welche den unbefugten Datenzugriff oder den logischen Verlust verhindern. Werden Daten elektronisch übermittelt, geschieht dies unter Nutzung von Standleitung beziehungs- weise VPN Technologie. Allgemein wird eine verschlüsselte Übertragung nach Möglichkeit bevorzugt. 2.6. Eingabekontrolle Zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, findet eine weitgehende Eingabekontrolle statt. In diesem Zusammenhang Zusammen- hang ist die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benut- zernamen Benutzernamen sichergestellt. Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines projektbezogenen Berechtigungskonzepts. Zudem werden für besonders schutz- würdige schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und LöschungLöschung von Daten. 2.7. Trennungskontrolle Durch eine logische und physikalische Trennung der Daten gewährleisten wir, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Verwendete Test- und Live-Systeme sind vollständig getrennt. Die relevanten Anwendungen zur Speicherung von Daten sind mandantenfähig. Sie basieren zudem auf festgelegten Datenbankrechten und einem Be- rechtigungskonzept auf Grundlage eines Need-to-Know-Prinzips. 2.8. Verfügbarkeitskontrolle Wir ergreifen Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen umfassen in ers- ter erster Linie die direkte Sicherung der Serveranlagen gegen die gegebenen Risiken. Auf der technischen Seite handelt es sich insbesondere um: Feuer- und Rauchmeldeanlagen, unterbrechungsfreie Strom- versorgung, Geräte zur Überwachung der Temperatur und Feuchtigkeit, redundante Klimaanlagen, Schutzsteckdosen, Feuerlöschgeräte sowie in kritischen Bereichen durch automatisierte Löschanla- gen und unterbrechungsfreie Stromversorgung. Zur Gewährleistung der Verfügbarkeit werden diese technischen Maßnahmen durch organisatorische Maßnahmen ergänzt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen, Erstellung eines Notfallplans und die Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort. Des Weiteren befinden be- finden sich Serverräume grundsätzlich nicht unter sanitären Anlagen.

Maßnahmen. 2.1. Grundlegende Schutzmaßnahmen Wir trennen nach Möglichkeit und an den erforderlichen Stel- len personenbezogene Daten von den verarbeiteten Daten, so dass eine Verknüpfung der verarbei- teten Daten mit einer identifizierten oder identifizierbaren Person ohne zusätzliche Informationen, die gesondert und sicher aufbewahrt werden, nicht möglich ist. Dies gilt insbesondere, wenn Daten im Rahmen von Forschungsvorhaben verarbeitet werden. Zudem verschlüsseln wir insbesondere zur Übertragung vorgesehene personenbezogene Daten mit einem dem Stand der Technik entsprechen- den Verfahren. 2.2. Zutrittskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass Un- befugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird. Wir schützen unsere für die Verarbeitung von personenbezo- genen Daten kritischen Bereiche durch angemessene Zutrittskontrollsysteme wie Klingelanlagen, Videoüberwachung von kritischen Bereichen, automatische Zugangskontrollsysteme und manuelle Schließsysteme. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaß- nahmen ergriffen. Es handelt sich insbesondere um Alarmanlagen, Lichtschranken/Bewegungsmel- der, Einsatz von Wachpersonal und eine Protokollierung der Besucher. Zutrittsrechte für berechtigte Personen werden gemäß festgelegten Kriterien individuell erteilt. Dies gilt auch hinsichtlich externer Personen. 2.3. Zugangskontrolle Zugang zu Datenverarbeitungssystemen erhalten nur authentifizierte Benutzer aufgrund eines rollenbezogenen Berechtigungskonzepts unter Verwendung von folgenden Maßnah- men: individualisierte Passwortvergabe und Benutzerprofilen sowie regelmäßig aktualisierte Antivi- ren- und Spam-Filter im Netzwerk und auf den einzelnen PCs. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um den Einsatz von Hard- und Softwarefirewalls und den Einsatz von VPN Technologie. 2.4. Zugriffskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffs- berechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird auf der Grundlage einer pro- jektbezogenen Berechtigung gewährt. Es ist ein Benutzerverwaltungssystem eingerichtet, welches den Zu-und Abgang von Nutzern mit ihren jeweiligen Berechtigungen unter der Steuerung von System- administratoren abbildet. Die Vergabe von Passwörtern basiert auf einer Passwortrichtlinie, die die erforderliche Länge und Wechselintervalle regelt. Die Anzahl der Systemadministratoren wurde auf das „Notwendigste“ beschränkt. Datenträger werden datenschutzgerecht entsorgt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und Löschung von Daten. 2.5. Datenübertragungskontrolle Wir sichern die elektronischen Kommunikationswege durch Ein- richtung geschlossener Netzwerke und Verfahren zur Datenverschlüsselung ab. Dadurch stellen wir sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Trans- ports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermitt- lung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Sofern ein physischer Datenträgertransport erfolgt, werden auf der Basis einer Risikoabschätzung im Einzelfall Maßnahmen ergriffen, welche den unbefugten Datenzugriff oder den logischen Verlust verhindern. Werden Daten elektronisch übermittelt, geschieht dies unter Nutzung von Standleitung beziehungs- weise VPN Technologie. Allgemein wird eine verschlüsselte Übertragung nach Möglichkeit bevorzugt. 2.6. Eingabekontrolle Zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, findet eine weitgehende Eingabekontrolle statt. In diesem Zusammenhang ist die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benut- zernamen sichergestellt. Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines projektbezogenen Berechtigungskonzepts. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und LöschungLöschung von Daten. 2.7. Trennungskontrolle Durch eine logische und physikalische Trennung der Daten gewährleisten wir, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Verwendete Test- und Live-Systeme sind vollständig getrennt. Die relevanten Anwendungen zur Speicherung von Daten sind mandantenfähig. Sie basieren zudem auf festgelegten Datenbankrechten und einem Be- rechtigungskonzept auf Grundlage eines Need-to-Know-Prinzips. 2.8. Verfügbarkeitskontrolle Wir ergreifen Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen umfassen in ers- ter Linie die direkte Sicherung der Serveranlagen gegen die gegebenen Risiken. Auf der technischen Seite handelt es sich insbesondere um: Feuer- und Rauchmeldeanlagen, unterbrechungsfreie Strom- versorgung, Geräte zur Überwachung der Temperatur und Feuchtigkeit, redundante Klimaanlagen, Schutzsteckdosen, Feuerlöschgeräte sowie in kritischen Bereichen durch automatisierte Löschanla- gen und unterbrechungsfreie Stromversorgung. Zur Gewährleistung der Verfügbarkeit werden diese technischen Maßnahmen durch organisatorische Maßnahmen ergänzt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen, Erstellung eines Notfallplans und die Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort. Des Weiteren befinden sich Serverräume grundsätzlich nicht unter sanitären Anlagen.

Maßnahmen. 2.1. Grundlegende Schutzmaßnahmen Wir trennen nach Möglichkeit und an den erforderlichen Stel- len personenbezogene Daten von den verarbeiteten Daten, so dass eine Verknüpfung der verarbei- teten Daten mit einer identifizierten oder identifizierbaren Person ohne zusätzliche Informationen, die gesondert und sicher aufbewahrt werden, nicht möglich ist. Dies gilt insbesondere, wenn Daten im Rahmen von Forschungsvorhaben verarbeitet werden. Zudem verschlüsseln wir insbesondere zur Übertragung vorgesehene personenbezogene Daten mit einem dem Stand der Technik entsprechen- den Verfahren. 2.2. Zutrittskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass Un- befugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird. Wir schützen unsere für die Verarbeitung von personenbezo- genen Daten kritischen Bereiche durch angemessene Zutrittskontrollsysteme wie Klingelanlagen, Videoüberwachung von kritischen Bereichen, automatische Zugangskontrollsysteme und manuelle Schließsysteme. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaß- nahmen ergriffen. Es handelt sich insbesondere um Alarmanlagen, Lichtschranken/Bewegungsmel- der, Einsatz von Wachpersonal und eine Protokollierung der Besucher. Zutrittsrechte für berechtigte Personen werden gemäß festgelegten Kriterien individuell erteilt. Dies gilt auch hinsichtlich externer Personen. 2.3. Zugangskontrolle Zugang zu Datenverarbeitungssystemen erhalten nur authentifizierte Benutzer aufgrund eines rollenbezogenen Berechtigungskonzepts unter Verwendung von folgenden Maßnah- men: individualisierte Passwortvergabe und Benutzerprofilen sowie regelmäßig aktualisierte Antivi- ren- und Spam-Filter im Netzwerk und auf den einzelnen PCs. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um den Einsatz von Hard- und Softwarefirewalls und den Einsatz von VPN Technologie. 2.4. Zugriffskontrolle Die eingerichteten Maßnahmen zur Zugriffskontrolle gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffs- berechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird auf der Grundlage einer pro- jektbezogenen Berechtigung gewährt. Es ist ein Benutzerverwaltungssystem eingerichtet, welches den Zu-und Abgang von Nutzern mit ihren jeweiligen Berechtigungen unter der Steuerung von System- administratoren abbildet. Die Vergabe von Passwörtern basiert auf einer Passwortrichtlinie, die die erforderliche Länge und Wechselintervalle regelt. Die Anzahl der Systemadministratoren wurde auf das „Notwendigste“ beschränkt. Datenträger werden datenschutzgerecht entsorgt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und Löschung von Daten. 2.5. Datenübertragungskontrolle Wir sichern die elektronischen Kommunikationswege durch Ein- richtung geschlossener Netzwerke und Verfahren zur Datenverschlüsselung ab. Dadurch stellen wir sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Trans- ports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermitt- lung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Sofern ein physischer Datenträgertransport erfolgt, werden auf der Basis einer Risikoabschätzung im Einzelfall Maßnahmen ergriffen, welche den unbefugten Datenzugriff oder den logischen Verlust verhindern. Werden Daten elektronisch übermittelt, geschieht dies unter Nutzung von Standleitung beziehungs- weise VPN Technologie. Allgemein wird eine verschlüsselte Übertragung nach Möglichkeit bevorzugt. 2.6. Eingabekontrolle Zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, findet eine weitgehende Eingabekontrolle statt. In diesem Zusammenhang ist die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benut- zernamen sichergestellt. Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines projektbezogenen Berechtigungskonzepts. Zudem werden für besonders schutz- würdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um die Protokollierung von Zugriffen auf Anwendungen, besonders bei der Eingabe, Änderung und LöschungLöschung von Daten. 2.7. Trennungskontrolle Durch eine logische und physikalische Trennung der Daten gewährleisten wir, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Verwendete Test- und Live-Systeme sind vollständig getrennt. Die relevanten Anwendungen zur Speicherung von Daten sind mandantenfähig. Sie basieren zudem auf festgelegten Datenbankrechten und einem Be- rechtigungskonzept auf Grundlage eines Need-to-Know-Prinzips.Verwendete 2.8. Verfügbarkeitskontrolle Wir ergreifen Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen umfassen in ers- ter Linie die direkte Sicherung der Serveranlagen gegen die gegebenen Risiken. Auf der technischen Seite handelt es sich insbesondere um: Feuer- und Rauchmeldeanlagen, unterbrechungsfreie Strom- versorgung, Geräte zur Überwachung der Temperatur und Feuchtigkeit, redundante Klimaanlagen, Schutzsteckdosen, Feuerlöschgeräte sowie in kritischen Bereichen durch automatisierte Löschanla- gen und unterbrechungsfreie Stromversorgung. Zur Gewährleistung der Verfügbarkeit werden diese technischen Maßnahmen durch organisatorische Maßnahmen ergänzt. Zudem werden für besonders schutzwürdige Bereiche zusätzliche Sicherheitsmaßnahmen ergriffen. Es handelt sich insbesondere um Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen, Erstellung eines Notfallplans und die Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort. Des Weiteren befinden sich Serverräume grundsätzlich nicht unter sanitären Anlagen.