Maßnahmen zur Sicherung der Vertraulichkeit

Zutrittskontrolle

Unbefugten wird der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, durch folgende Maßnahmen verwehrt:

  • Manuelles Schließsystem
  • Sicherheitsschlösser
  • Schlüsselregelung (Schlüsselausgabe)
  • Festlegung zutrittsberechtigter Personen

Zugangskontrolle

Es wird verhindert, dass Datenverarbeitungssysteme des Auftragnehmers durch folgende Maßnahmen von Unbefugten genutzt werden können:

  • Berechtigungskonzept
  • Authentifikation mit Benutzername und Kennwort
  • Einsatz einer Passwortrichtlinie (Mindestlänge und -komplexität)
  • Passworte müssen regelmäßig geändert werden
  • Passworte dürfen nicht gespeichert werden
  • Inaktive Arbeitsgeräte deaktivieren sich automatisch nach 5 Minuten mit einem kennwortgeschützten Bildschirmschoner
  • Mitarbeiter sperren ihre Arbeitsgeräte bei Abwesenheit
  • Verschlüsselung von Datenträgern
  • Einsatz von Antivirensoftware

Zugriffskontrolle

Es werden Maßnahmen ergriffen, die gewährleisten, dass ausschließlich Berechtigte auf Daten des Auftraggebers beim Auftragnehmer zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Vermeidung der Konzentration von Funktionen
  • Verwaltung der Nutzer und Rechte durch den/die Systemadministrator/en
  • Verschlüsselung der Datenträger
  • Datenträger werden vor Wiederverwendung gelöscht 

Trennungskontrolle

Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Logische Mandantentrennung (softwareseitig)
  • Getrennte Datenbanken
  • Getrennte Verzeichnisstrukturen
  • Produktiv-, und Testsysteme sind voneinander getrennt
  • Separate Tabellen innerhalb von Datenbanken

Maßnahmen zur Sicherung der Integrität

Weitergabekontrolle

Es werden Maßnahmen ergriffen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist:

  • Verschlüsselte Übertragung (SSL/TLS)
  • Verschlüsselung der Datenträger
  • Verschlüsselung von Smartphones

Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

Auftragskontrolle

Es wird gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Schriftliche Vereinbarung mit allen Datenverarbeitenden (Sub-)Auftragnehmern
  • Sorgfältige Auswahl der (Sub-) Auftragnehmer in Hinsicht auf Datenschutz und Datensicherheit
  • Schriftlich vereinbarte Kontrollrechte bei den (Sub-)Auftragnehmern
  • Die Einhaltung der Vereinbarungen wird regelmäßig überprüft
  • Bei schwerwiegenden Verstößen wird der Auftraggeber umgehend informiert Definition von Weisungsbefugten und Weisungsempfängern
  • Schriftlich bestellter Datenschutzbeauftragter
  • Verpflichtung der Mitarbeiter auf Vertraulichkeit
  • Bei schwerwiegenden Verstößen wird der Auftraggeber umgehend informiert

Verfügbarkeitskontrolle

Es wird gewährleistet, dass personenbezogene Daten auf den Systemen des Auftragnehmers gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Einsatz von zertifizierten Subdienstleistern, die eine hohe Verfügbarkeit der Daten garantieren
War diese Antwort hilfreich für dich?