Zugriffskontrolle. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Zugriffskontrolle. Gewährleistungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Getroffene Maßnahmen: Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.
Zugriffskontrolle. Die Zugriffskontrolle ist in differenzierten Berechtigungen auf Menü-Ebene eingerichtet. Ein elektronischer Datensafe überwacht den Zugang der Supportmitarbeiter zu Kundendaten. Zugriffe auf Anwendungen werden protokolliert.
Zugriffskontrolle. Es ist Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ergriffene Maßnahmen: • Berechtigungskonzept mit differenzierten Berechtigungen (sowohl für Anwender, als auch für Administratoren) • Identifikation und Authentifizierung der Benutzer • Zentrale Vergabestelle von Benutzerrechten
Zugriffskontrolle. Um zu gew¨ahrleisten, dass die zur Benutzung eines Systems zur Verarbeitung von Daten Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen ko¨nnen und dass gespeicherte oder in Verarbeitung befindliche Daten nicht unbefugt gelesen, kopiert, ver¨andert oder entfernt werden ko¨nnen, werden die Systeme passwortgeschu¨tzt und in weiten Teilen verschlu¨sselt. Der Zugriff auf personenbezogene Daten ist bei allen Berechtigten auf das zur konkreten Aufgabenerfu¨llung notwendige Maß beschr¨ankt. Hierbei werden die gesetzlichen Datenschutz- anforderungen, insbesondere solche der Datenschutzgrundverordnung (DSGVO) und des Te- lekommunikationsgesetzes (TKG) eingehalten. Werden Daten auf mobilen Ger¨aten (Laptops, Tablets) gespeichert, erfolgt die Speicherung immer (z. T. mehrfach) verschlu¨sselt und mit starkem Passwort geschu¨tzt. Insbesondere wer- den alle Ger¨ate nach M¨oglichkeit per Hardware (Festplatte) und/oder Software (Open Sour- ce/Betriebssystem) pre-Boot verschlu¨sselt, sodass selbst bei einem Verlust des Ger¨ates die Daten nicht in unbefugte H¨ande gelangen ko¨nnen.
Zugriffskontrolle. Die in der Datenverarbeitung personenbezogener Daten eingesetzten IT-Systeme haben ein dediziertes Rechtesystem, welche es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Mitarbeiter erhalten ausschließlich gemäß ihrer dienstlichen Aufgabenstellung die notwendigen Zugriffsberechtigungen. Die Erteilung der Berechtigungen erfolgt in einem dokumentierten Genehmigungsverfahren. Die Verantwortung jedes Mitarbeiters für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen wird durch jährliche Schulungsmaßnahmen gestärkt.
Zugriffskontrolle. ▪ Es wurden Regelungen zur Klassifizierung und Handhabung von Informationen hinsichtlich ihrer Vertraulichkeit in einer Organisationsanweisung herausgegeben. ▪ Zugriffsrechte auf klassifizierte Daten werden für jeden Beschäftigten in Abhängigkeit von der Arbeitsaufgabe restriktiv nach dem Prinzip „so viel Rechte wie nötig, so wenig wie möglich“ vergeben. ▪ Zur Vereinfachung werden Berechtigungen zu Rechteprofilen zusammengefasst und die Benutzer diesen Profilen zugeordnet. ▪ Die Rechteprofile und die Zuordnung der Benutzer zu diesen Profilen werden dokumentiert. ▪ Es ist ein restriktiver Datenzugriff über die Anwendungssoftware sichergestellt. Es werden nur Funktionalitäten und Daten zur Verfügung gestellt, die für die Erfüllung der jeweiligen Arbeitsaufgabe erforderlich sind. ▪ Alle Beschäftigten sind angehalten, ihren Bildschirm bei Verlassen des Arbeitsplatzes mit einem passwortgeschützten Bildschirmschoner zu verdunkeln. Nach fünf Minuten der Nichtbenutzung werden Bildschirme automatisch verdunkelt. ▪ Es gibt Vorgaben für die Beschäftigten zum aufgeräumten Arbeitsplatz, nach denen Dokumente und Datenträger bei Verlassen des Arbeitslatzes unter Verschluss genommen oder beaufsichtigt werden müssen. ▪ Das sichere, rückstandsfreie Löschen der Daten bzw. Vernichten von Datenträgern nach Ablauf der Aufbewahrungsfristen lt. Löschkonzept bzw. entsprechend der Weisung des Auftraggebers bei Verarbeitung im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO mit Xxxxx- bzw. Vernichtungsprotokoll wird gewährleistet. ▪ Die einzusetzenden Xxxxx- und Vernichtungsverfahren sind in einem Löschkonzept festgelegt. ▪ Bei Auftragsverarbeitung werden Daten bzw. Datenträger nur nach Weisung und vertraglichen Vorgaben des Auftraggebers als Verantwortlichem gelöscht bzw. vernichtet. ▪ Es gibt Festlegungen zur Auswahl und Beauftragung externer Dienstleister mit der Vernichtung von Datenträgern, insbesondere unter Beachtung der Vorschriften von Art. 28 DS-GVO. ▪ Die Vernichtung von Datenträgern und Akten erfolgt in Abhängigkeit vom Schutzbedarf der gespeicherten Daten bzw. bei Verarbeitung im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO nach den Weisungen bzw. vertraglichen Vorgaben des für die Verarbeitungstätigkeit Verantwortlichen nach DIN 66399 Teil 1 und 2 sowie DIN SPEC 66399-3 durch einen beauftragten Unterauftragnehmer (siehe auch Anlage 1). ▪ Das zur Vernichtung anstehende Material wird in verschlossenen Sicherheitsbehältern bzw. bei Archivmaterial in versc...
Zugriffskontrolle. Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können. Beim Auftragnehmer umgesetzte Maßnahmen: • Der Zugriff auf die Datenverarbeitungssysteme ist durch eine Nutzer- und Rechteverwaltung abgesichert. Es ist dem einzelnen Mitarbeiter nur möglich die für seine Aufgaben erforderlichen Daten einzusehen, zu nutzen, zu verarbeiten oder zu löschen. • Die Zugriffe auf die Datenverarbeitungssysteme werden geloggt. • Beim Verlassen des Arbeitsplatzes erfolgt eine Sperrung durch Bildschirmschoner, Freigabe nur durch Eingabe des Passworts. • Jeder Mitarbeiter wird entsprechend zur Vertraulichkeit und der Einhaltung des Datenschutzes bei Aufnahme seiner Tätigkeit verpflichtet. Ein Verstoß hätte die fristlose Kündigung, sowie eine Strafanzeige zur Folge. Betroffene Auftraggeber würden in so einem Fall selbstverständlich über den Vorfall informiert.
Zugriffskontrolle. Die Maßnahmen zur Zugriffskontrolle müssen darauf ausgerichtet sein, dass nur auf Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es existieren folgende Maßnahmen zur Zugriffskontrolle: • Erstellen eines Berechtigungskonzepts • Verwaltung der Rechte durch Systemadministrator • Anzahl der Administratoren auf das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) • Einsatz von Aktenvernichtern • Protokollierung der Vernichtung von Festplatten • Verschlüsselung von Datenträgern
Zugriffskontrolle. Die Zugriffsberechtigung für Produktivsysteme durch den Auftragnehmer ist auf ei- nen kleinen Kreis von Mitarbeitern beschränkt.