Skip to main content

Technische und organisatorische Maßnahmen gem. DSGVO

Organisation:


Densys pv5 GmbH
Seligenstädter Straße 100, 63791 Karlstein

Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die Organisation erfüllt diesen Anspruch durch nachfolgende Maßnahmen.


1. Vertraulichkeit 

(Art. 32 Abs. 1 lit. DSGVO)

1.1 Zutrittskontrolle

Hierbei handelt es sich um Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transpondern, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind durch verschließbare Serverschränke zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.

  Technische Maßnahmen

    • Alarmanlage
    • Chipkarten/Transpondersystem
    • Manuelles Schließsystem
    • Schließsystem mit Codesperre
    • Türen mit Knauf Außenseite
    • Klingelanlage mit Kamera
    • Videoüberwachung der Eingänge

    Organisatorische Maßnahmen

    • Schlüsselregelung/Liste
    • Empfang/Rezeption/Pförtner
    • Beschäftigten-/Besucherausweis

    1.2 Zugangskontrolle

    Hierbei handelt es sich um Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (IT-Systeme) von Unbefugten genutzt werden können.

    Mit Zugangskontrolle ist die Verhinderung der unbefugten Nutzung von Systemen gemeint. Möglichkeiten sind beispielsweise: Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, sowie der Einsatz von Chipkarten zur Anmeldung. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines sicheren Passworts).

    Technische Maßnahmen

    • Login mit User-ID + Passwort
    • Anti-Viren Software auf Servern
    • Anti-Viren Software auf Clients
    • Firewall
    • VPN für externe Verbindungen
    • Verschlüsselung von Datenträgern
    • BIOS Schutz
    • Automatische Desktopsperre
    • Verschlüsselung von Notebooks

    Organisatorische Maßnahmen

    • Benutzerberechtigungen nach Need-to-know-Prinzip
    • Richtlinie „Umgang mit Passwörtern“
    • Richtlinie „Löschen von Daten“
    • Richtlinie „Datenschutz“

    1.3 Zugriffskontrolle

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

    Technische Maßnahmen

    • Aktenvernichter
    • Physische Löschung von Daten
    • Protokollierung von Zugriffen

    Organisatorische Maßnahmen

    •  Tresor

    1.4 Trennungskontrolle

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dies kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

    Technische Maßnahmen

    •  Trennung von Live- und Testumgebung
    • Physikalische Trennung (Systeme/Datenbanken/Datenträger)
    • Mandantenfähigkeit relevanter Anwendungen

    1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

    Pseudonymisierung bedeutet, die Verarbeitung personenbezogener Daten in einer Weise stattfindet, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Außerdem sind diese zusätzlichen Informationen gesondert aufzubewahren und durch entsprechende technische und organisatorische Maßnahmen zu schützen.



    2. Integrität 

    (Art. 32 Abs. 1 lit. b DSGVO)

    2.1 Weitergabekontrolle

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.

    Technische Maßnahmen

    • Einsatz von VPN
    • Protokollierung der Zugriffe
    • Verschlüsselte Verbindungen (https)
    • Nutzung von Mail-Signierung

    Organisatorische Maßnahmen

    •  Dokumentation der Empfänger

    2.2 Eingabekontrolle

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

    Technische Maßnahmen

    •  Protokollierung der Datenzugriffe

    Organisatorische Maßnahmen

    • Übersicht verwendeten Software
    • Individuelle Benutzernamen
    • Löschkonzept inkl. Zuständigkeiten

    3. Verfügbarkeit und Belastbarkeit 

    (Art. 32 Abs. 1 lit. b DSGVO)

    3.1 Verfügbarkeitskontrolle

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, RAID-Systeme, etc.

    Technische Maßnahmen

    • Rauchmelder
    • Feuerlöscher im Serverraum
    • Serverraumüberwachung
    • Klimaüberwachung im Serverraum
    • USV
    • Schutzsteckdosenleiste
    • Tresor
    • RAID-System

    Organisatorische Maßnahmen

    •  Backup & Recovery-Konzept
    • Überwachung des Backups
    • Wiederherstellungstests
    • Sichere Aufbewahrung der Sicherungsmedien
    • Keine Wasserrohre im Serverraum
    • Erstellung von Notfallplänen
    • Getrennte Partitionen für Betriebssystem und Daten

    4. Regelmäßige Überprüfung, Bewertung & Evaluierung 

    (Art. 32 Abs. 1 lit. d; Art. 25 Abs. 1 DSGVO)

    4.1 Datenschutz-Management

    Technische Maßnahmen

    •  Zentrale Dokumentation
    • Auditierung
    • IT-Sicherheitskonzept
    • Jährliche Überprüfung der TOM

    Organisatorische Maßnahmen

    • Bestellung eines Datenschutzbeauftragten
    • Halbjährliche Sensibilisierung der Beschäftigten
    • Verpflichtung aufs Datengeheimnis
    • Bestellung eines Informationssicherheitsbeauftragten
    • Informationspflichten nach Art. 13 und 14 DSGVO
    • Prozess „Auskunftsanfrage eines Betroffenen“

    4.2 Incident-Response-Management

    Unterstützung bei der Reaktion auf Sicherheitsverletzungen.

    Technische Maßnahmen

    • Einsatz von Firewall und regelmäßige Aktualisierung
    • Einsatz von Spamfilter und regelmäßige Aktualisierung
    • Einsatz von Virenscanner und regelmäßige Aktualisierung
    • Intrusion Detection System (IDS)
    • Intrusion Prevention System (IPS)

    Organisatorische Maßnahmen

    • Dokumentation der Prozesse zur Erkennung und Meldung von Sicherheitsvorfällen
    • Prozess „Umgang mit Sicherheitsvorfällen“
    • Verpflichtung aufs Datengeheimnis
    • Einbindung von DSB und ISB bei Sicherheitsvorfällen
    • Dokumentation von Sicherheitsvorfällen
    • Prozess für Nachbearbeitung eines Sicherheitsvorfalls
    • Datenschutzkonzept

    4.3 Datenschutzfreundliche Voreinstellung (Art. 25 Abs. 2 DSGVO)

    Privacy by design / Privacy by default

    Technische Maßnahmen

    •  Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich
    • Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen

    4.4 Auftragskontrolle (Outsourcing an Dritte)

    Hierbei handelt es sich um Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

    Organisatorische Maßnahmen

    •  Schließung von Auftragsverarbeitungsverträgen
    • Schriftliche Weisung an den Auftragnehmer
    • Verpflichtung der Beschäftigten des Auftragnehmers auf Datengeheimnis
    • Verpflichtung des Auftragnehmers zur Bestellung eines Datenschutzbeauftragten bei Bestellpflicht
    • Vereinbarung wirksamer Kontrollrechte
    • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
    • Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus