Zugriffskontrolle. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Zugriffskontrolle. Gewährleistungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Getroffene Maßnahmen: Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.
Zugriffskontrolle. Die Zugriffskontrolle ist in differenzierten Berechtigungen auf Menü-Ebene eingerichtet. Ein elektronischer Datensafe überwacht den Zugang der Supportmitarbeiter zu Kundendaten. Zugriffe auf Anwendungen werden protokolliert.
Zugriffskontrolle. Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können. Beim Auftragnehmer umgesetzte Maßnahmen: • Verwaltung von Berechtigungen • Differenzierte Berechtigungen • Profile- und Rollenkonzept • Dokumentation von Berechtigungen
Zugriffskontrolle. Die in der Datenverarbeitung personenbezogener Daten eingesetzten IT-Systeme haben ein dediziertes Rechtesystem, welche es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Mitarbeiter erhalten ausschließlich gemäß ihrer dienstlichen Aufgabenstellung die notwendigen Zugriffsberechtigungen. Die Erteilung der Berechtigungen erfolgt in einem dokumentierten Genehmigungsverfahren. Die Verantwortung jedes Mitarbeiters für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen wird durch jährliche Schulungsmaßnahmen gestärkt.
Zugriffskontrolle. Um zu gew¨ahrleisten, dass die zur Benutzung eines Systems zur Verarbeitung von Daten Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen ko¨nnen und dass gespeicherte oder in Verarbeitung befindliche Daten nicht unbefugt gelesen, kopiert, ver¨andert oder entfernt werden ko¨nnen, werden die Systeme passwortgeschu¨tzt und in weiten Teilen verschlu¨sselt. Der Zugriff auf personenbezogene Daten ist bei allen Berechtigten auf das zur konkreten Aufgabenerfu¨llung notwendige Maß beschr¨ankt. Hierbei werden die gesetzlichen Datenschutz- anforderungen, insbesondere solche der Datenschutzgrundverordnung (DSGVO) und des Te- lekommunikationsgesetzes (TKG) eingehalten. Werden Daten auf mobilen Ger¨aten (Laptops, Tablets) gespeichert, erfolgt die Speicherung immer (z. T. mehrfach) verschlu¨sselt und mit starkem Passwort geschu¨tzt. Insbesondere wer- den alle Ger¨ate nach M¨oglichkeit per Hardware (Festplatte) und/oder Software (Open Sour- ce/Betriebssystem) pre-Boot verschlu¨sselt, sodass selbst bei einem Verlust des Ger¨ates die Daten nicht in unbefugte H¨ande gelangen ko¨nnen.
Zugriffskontrolle. Für die Zugriffe auf personenbezogene Daten muss ein dokumentiertes, rollenbasiertes Berechtigungskonzept vorhanden sein, welches die Zugriffe in der Form einschränkt, dass nur berechtigte Personen auf die für ihre Aufgabe notwendigen personenbezogenen Daten zugreifen können (Minimumprinzip). Die Passwort-Regelungen aus der Zugangskontrolle müssen auch im Rahmen der Zugriffskontrolle umgesetzt werden. Die administrativen Tätigkeiten müssen auf einen kleinen Kreis von Administratoren eingeschränkt sein. Die Tätigkeiten der Administratoren müssen im Rahmen technisch vertretbaren Aufwandes überwacht und protokolliert werden.
Zugriffskontrolle. Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können. Beim Auftragnehmer umgesetzte Maßnahmen: • Der Zugriff auf die Datenverarbeitungssysteme ist durch eine Nutzer- und Rechteverwaltung abgesichert. Es ist dem einzelnen Mitarbeiter nur möglich die für seine Aufgaben erforderlichen Daten einzusehen, zu nutzen, zu verarbeiten oder zu löschen. • Die Zugriffe auf die Datenverarbeitungssysteme werden geloggt. • Beim Verlassen des Arbeitsplatzes erfolgt eine Sperrung durch Bildschirmschoner, Freigabe nur durch Eingabe des Passworts. • Jeder Mitarbeiter wird entsprechend zur Vertraulichkeit und der Einhaltung des Datenschutzes bei Aufnahme seiner Tätigkeit verpflichtet. Ein Verstoß hätte die fristlose Kündigung, sowie eine Strafanzeige zur Folge. Betroffene Auftraggeber würden in so einem Fall selbstverständlich über den Vorfall informiert.
Zugriffskontrolle. Die Maßnahmen zur Zugriffskontrolle müssen darauf ausgerichtet sein, dass nur auf Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es existieren folgende Maßnahmen zur Zugriffskontrolle: • Erstellen eines Berechtigungskonzepts • Verwaltung der Rechte durch Systemadministrator • Anzahl der Administratoren auf das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) • Einsatz von Aktenvernichtern • Protokollierung der Vernichtung von Festplatten • Verschlüsselung von Datenträgern
Zugriffskontrolle. Wie wird erreicht, dass Passwörter nur dem jeweiligen Benutzer bekannt sind? Die Passwörter werden vom jeweiligen Mitarbeiter selbst vergeben. Die strengen Systemvoreinstellungen zwingen zu einer hohen Passwortkomplexität. Passwörter werden nicht gespeichert. Welche Anforderungen werden an die Komplexität von Passwörtern gestellt? Die Vorgaben Empfehlungen des BSI dienen als Vorbild für die o.g. Systemeinstellungen Wie wird gewährleistet, dass der Benutzer sein Passwort regelmäßig ändern kann / muss? Systemeinstellungen Welche organisatorischen Vorkehrungen werden zur Verhinderung von unberechtigten Zugriffen auf personenbezogene Daten am Arbeitsplatz getroffen? Schulung und Sensibilisierung der Mitarbeiter. Einweisungen und regelmäßige Schulungen zu den verwendeten Geräten Wie wird sichergestellt, dass Zugriffsberechtigungen anforderungsgerecht und zeitlich beschränkt vergeben werden? Siehe auch Punkt Vergabe von Benutzerzugängen Punkt 1.2; die Geschäftsführung prüft in regelmäßigen Abständen die Rechte und Benutzerstruktur Wie erfolgt die Dokumentation von Zugriffsberechtigungen? Regelmäßige Reports aus dem Berechtigungssystem Wie wird sichergestellt, dass Zugriffsberechtigungen nicht missbräuchlich verwendet werden? Sporadische Durchsicht der Systemprotokolle Wie lange werden Protokolle aufbewahrt? Keine festgelegten Fristen, meist Systemparameter, Wer hat Zugriff auf die Protokolle und wie oft werden sie ausgewertet? ausschließlich die Geschäftsführung Wie wird sichergestellt, dass nicht mehr verwendete Datenträger sicher gelöscht oder vernichtet werden? Nicht mehr verwendete Datenträger werden protokolliert gelöscht bzw. entsorgt. Wir wird sichergestellt, dass Papierunterlagen mit personenbezogenen Daten sicher vernichtet werden und die Vernichtung nachgewiesen wird? Papierunterlagen werden mit einem Aktenvernichter, der den jeweils notwendigen Anforderungen entspricht, entsorgt.