Technische Maßnahmen Organisatorische Maßnahmen. Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Technische Maßnahmen Organisatorische Maßnahmen. Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept Physikalische Trennung (Systeme / Datenbanken / Datenträger) Festlegung von Datenbankrechten Mandantenfähigkeit relevanter Anwendungen Datensätze sind mit Zweckattributen versehen
Technische Maßnahmen Organisatorische Maßnahmen. Aktenschredder (mind. Stufe 3, cross cut) Einsatz Berechtigungskonzepte Externer Aktenvernichter (DIN 66399) Minimale Anzahl an Administratoren Physische Löschung von Datenträgern Datenschutztresor Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten Verwaltung Benutzerrechte durch Administratoren
Technische Maßnahmen Organisatorische Maßnahmen. Alarmanlage Schlüsselregelung / Liste Automatisches Zugangskontrollsystem Empfang / Rezeption / Pförtner Biometrische Zugangssperren Besucherbuch / Protokoll der Besucher Chipkarten / Transpondersysteme Mitarbeiter- / Besucherausweise Xxxxxxxxx Xxxxxxxxxxxxx Besucher in Begleitung durch Mitarbeiter Sicherheitsschlösser Sorgfalt bei Auswahl des Wachpersonals Schließsystem mit Codesperre Sorgfalt bei Auswahl Reinigungsdienste Absicherung der Gebäudeschächte Türen mit Knauf Außenseite Klingelanlage mit Kamera Videoüberwachung der Eingänge
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Bereitstellung über verschlüsselte Verbindungen wie sftp, https ✓ Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen ✓ Protokollierung der Zugriffe und Abrufe ✓ Weitergabe in anonymisierter oder pseudonymisierter Form ✓ Handschriftliche Aufzeichnungen nur in erforderlichem Umfang des Leistungszeitraums
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Mehrstufige Löschung von Datenträgern ✓ Einsatz Berechtigungskonzepten ✓ Protokollierung von Zugriffen auf Anwendungen ✓ Minimale Anzahl an Administratoren ✓ Datenschutz als wiederkehrendes Thema in Managementrunden ✓ Verwaltung Benutzerrechte durch Administratoren Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, wird eine vollständige Trennung der Personenbezogene Daten von personenbezogenen Daten anderer Auftraggeber realisiert und dadurch die jederzeitige und vollständige Identifizier- und Löschbarkeit von personenbezogene Daten sichergestellt, u. A. mittels folgender technischer und organisatorischer Maßnahmen.
Technische Maßnahmen Organisatorische Maßnahmen. Login mit Benutzername + Passwort Verwalten von Benutzerberechtigungen Login mit biometrischen Daten Erstellen von Benutzerprofilen Anti-Viren-Software Server Zentrale Passwortvergabe Anti-Virus-Software Clients Richtlinie „Sicheres Passwort“ Anti-Virus-Software mobile Geräte Richtlinie „Löschen / Vernichten“ Firewall Richtlinie „Clean desk“ Intrusion Detection Systeme Allg. Richtlinie Datenschutz und / oder Sicherheit Mobile Device Management Mobile Device Policy Einsatz VPN bei Remote-Zugriffen Anleitung „Manuelle Desktopsperre“ Verschlüsselung von Datenträgern Verschlüsselung Smartphones Gehäuseverriegelung BIOS Schutz (separates Passwort) Sperre externer Schnittstellen (USB) Automatische Desktopsperre Verschlüsselung von Notebooks / Tablet
Technische Maßnahmen Organisatorische Maßnahmen. Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
Technische Maßnahmen Organisatorische Maßnahmen. ✓ Trennung von Produktiv- und Testumgebung mittels Nutzung eines Versionsmanagementsystem ✓ Steuerung über Berechtigungskonzept ✓ Mandantenfähigkeit relevanter Anwendungen ✓ Festlegung von Datenbankrechten ✓ Datensätze sind mit Zweckattributen versehen
Technische Maßnahmen Organisatorische Maßnahmen. ☑ Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem System (verschlüsselt) ☑ Auf Wunsch des Kunden werden Logfiles pseudonymisiert ☑ Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren/pseudonymisieren ☑ Richtlinie Informationssicherheit ☑ Richtlinie Datenschutz ☑ Richtlinie Datenschutz ☑ Separate, explizite Arbeitsanweisung Kryptographie (dzt. in Ausarbeitung)