Technische Maßnahmen Organisatorische Maßnahmen. Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Technische Maßnahmen Organisatorische Maßnahmen. Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept Physikalische Trennung (Systeme / Datenbanken / Datenträger) Festlegung von Datenbankrechten Mandantenfähigkeit relevanter Anwendungen Datensätze sind mit Zweckattributen versehen
Technische Maßnahmen Organisatorische Maßnahmen. Aktenschredder (mind. Stufe 3, cross cut) Einsatz Berechtigungskonzepte Externer Aktenvernichter (DIN 66399) Minimale Anzahl an Administratoren Physische Löschung von Datenträgern Datenschutztresor Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten Verwaltung Benutzerrechte durch Administratoren
Technische Maßnahmen Organisatorische Maßnahmen. Alarmanlage Schlüsselregelung / Liste Automatisches Zugangskontrollsystem Empfang / Rezeption / Pförtner Biometrische Zugangssperren Besucherbuch / Protokoll der Besucher Chipkarten / Transpondersysteme Mitarbeiter- / Besucherausweise Xxxxxxxxx Xxxxxxxxxxxxx Besucher in Begleitung durch Mitarbeiter Sicherheitsschlösser Sorgfalt bei Auswahl des Wachpersonals Schließsystem mit Codesperre Sorgfalt bei Auswahl Reinigungsdienste Türen mit Knauf Außenseite Klingelanlage mit Kamera Videoüberwachung der Eingänge
Technische Maßnahmen Organisatorische Maßnahmen. Login mit Benutzername + Passwort Verwalten von Benutzerberechtigungen Login mit biometrischen Daten Erstellen von Benutzerprofilen Anti-Viren-Software Server Zentrale Passwortvergabe Anti-Virus-Software Clients Richtlinie „Sicheres Passwort“ Anti-Virus-Software mobile Geräte Richtlinie „Löschen / Vernichten“ Firewall Richtlinie „Clean desk“ Intrusion Detection Systeme Allg. Richtlinie Datenschutz und / oder Sicherheit Mobile Device Management Mobile Device Policy Einsatz VPN bei Remote-Zugriffen Anleitung „Manuelle Desktopsperre“ Verschlüsselung von Datenträgern Verschlüsselung Smartphones Gehäuseverriegelung BIOS Schutz (separates Passwort) Sperre externer Schnittstellen (USB) Automatische Desktopsperre Verschlüsselung von Notebooks / Tablet
Technische Maßnahmen Organisatorische Maßnahmen. Email-Verschlüsselung Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen Einsatz von VPN Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen Protokollierung der Zugriffe und Abrufe Weitergabe in anonymisierter oder pseudonymisierter Form Sichere Transportbehälter Sorgfalt bei Auswahl von Transport- Personal und Fahrzeugen Bereitstellung über verschlüsselte Verbindungen wie sftp, https Persönliche Übergabe mit Protokoll Nutzung von Signaturverfahren Weitere Maßnahmen:
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Mehrstufige Löschung von Datenträgern ✓ Einsatz Berechtigungskonzepten ✓ Protokollierung von Zugriffen auf Anwendungen ✓ Minimale Anzahl an Administratoren ✓ Datenschutz als wiederkehrendes Thema in Managementrunden ✓ Verwaltung Benutzerrechte durch Administratoren Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, wird eine vollständige Trennung der Personenbezogene Daten von personenbezogenen Daten anderer Auftraggeber realisiert und dadurch die jederzeitige und vollständige Identifizier- und Löschbarkeit von personenbezogene Daten sichergestellt, u. A. mittels folgender technischer und organisatorischer Maßnahmen.
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Bereitstellung über verschlüsselte Verbindungen wie sftp, https ✓ Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen ✓ Protokollierung der Zugriffe und Abrufe ✓ Weitergabe in anonymisierter oder pseudonymisierter Form ✓ Handschriftliche Aufzeichnungen nur in erforderlichem Umfang des Leistungszeitraums
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Trennung von Produktiv- und Testumgebung mittels Nutzung eines Versionsmanagementsystem ✓ Steuerung über Berechtigungskonzept ✓ Mandantenfähigkeit relevanter Anwendungen ✓ Festlegung von Datenbankrechten ✓ Datensätze sind mit Zweckattributen versehen
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Logins Laptops/Tablets mit biometrischen Daten ✓ Verwalten von Benutzerberechtigungen ✓ Weitere Logins mit Benutzername + Passwort ✓ Erstellen von Benutzerprofilen ✓ Wo möglich 2-Faktor-Authentifizierung ✓ Tool-gestützte, zentrale Passwortvergabe ✓ Firewall ✓ Passwörter mit mind. 10 Zeichen und Verwendung Sonderzeichen, Ziffern, Groß- & Kleinbuchstaben ✓ Verschlüsselung von Datenträger ✓ Richtlinien “Clean Desk” ✓ Verschlüsselung Smartphones ✓ Automatische Desktopsperre Sofern Personenbezogene Daten zur Durchführung des Auftrags auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, ist für sämtliche Zugriffe auf personenbezogene Daten ein abgestuftes und geeignet granulares Rechtesystem eingerichtet und technisch implementiert. Dadurch ist sichergestellt, dass die Zugriffsrechte so gestaltet sind, dass sie nur den für die Leistungserbringung eingesetzten Mitarbeiter jeweils für die Erfüllung der konkreten Aufgaben im notwendigen Umfang Zugriff auf die personenbezogene Daten erlauben. Dabei ist die Vergabe von Administratorenrechte auf das zwingend erforderliche Maß an Mitarbeitern des Auftragsverarbeiters begrenzt. Folgende technische und organisatorische Maßnahmen werden ergriffen, um Zugriffe nur befugten Personen zu gewähren.