| Technische und organisatorische Maßnahmen
|
|
| Folgende technische und organisatorische Maßnahmen wurden getroffen: |
|
A. Zutrittskontrolle |
|
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, zu verwehren: |
|
1. Technische Maßnahmen |
|
Schlüsselregelung (Schlüsselverwaltung: Schlüsselausgabe etc.), Sicherheitsschlösser |
|
2. Organisatorische Maßnahmen |
|
Schlüsselbuch, Protokollierung der Besucher |
|
B. Zugangskontrolle |
|
Maßnahme, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: |
|
1. Technische Maßnahmen |
|
Authentifikation mit Benutzer und Passwort, aktuelle Anti-Viren-Software, aktuelle Firewall VPN-Technologie |
|
2. Organisatorische Maßnahmen |
|
Zuordnung und Verwaltung der Benutzerberechtigungen, Passwortvergabe / Passwortregeln inkl. regelmäßigen Änderungen, Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen, Protokollierung von Übermittlungen, Erstellung einer Übersicht von Datenträgern |
|
C. Zugriffskontrolle |
|
Maßnahmen, die gewährleisten, dass Personen nur im Rahmen ihrer Zugriffsberechtigung auf Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: |
|
1. Technische Maßnahmen |
|
Einsatz von Aktenvernichter, Einsatz von Datenträgervernichter, Einsatz von Dienstleistern unter Beachtung nach DIN 66399, Ordnungsgemäße Vernichtung von Datenträgern nach DIN 32757, Passwortschutz von Smartphones |
|
2. Organisatorische Maßnahmen |
|
Verwaltung der Benutzerrechte durch System-Administrator, Anzahl der Administratoren auf das Notwendigste reduziert, sichere Aufbewahrung von Datenträgern, ordnungsgemäße Vernichtung von Datenträgern, Löschungskonzept für Daten, Protokollierung der Vernichtung von Daten |
|
D. Weitergabekontrolle |
|
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: |
|
1. Technische Maßnahmen |
|
E-Mail-Verschlüsselung |
|
2. Organisatorische Maßnahmen |
|
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen |
|
E. Eingabekontrolle |
|
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: |
|
1. Technische Maßnahmen |
|
Protokollierung der Eingabe, Änderung und Löschung von Daten |
|
2. Organisatorische Maßnahmen |
|
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen, Protokollauswertungsroutinen und Aufbewahrungs-/Löschungsfrist für Protokolle |
|
F. Auftragskontrolle |
|
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: |
|
1. Technische Maßnahmen |
|
Einsatz von Aktenvernichter, Einsatz von Datenträgervernichter, Einsatz von Dienstleistern unter Beachtung nach DIN 66399, Ordnungsgemäße Vernichtung von Datenträgern nach DIN 32757, Passwortschutz von Smartphones |
|
2. Organisatorische Maßnahmen |
|
Vorhandene Vereinbarungen zur Auftragsverarbeitung, Kontrolle der Vertragsausführung Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrages |
|
G. Verfügbarkeitskontrolle |
|
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: |
|
1. Technische Maßnahmen |
|
Feuerlöscher |
|
2. Organisatorische Maßnahmen |
|
Testen von Datenwiederherstellung, Erstellen eines täglichen Backup, Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort |
|
H. Dokumentationskontrolle |
|
Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können: |
|
1. Technische Maßnahmen |
|
Zulässigkeit eines Datentransfers in Drittländer ist gegeben |
|
2. Organisatorische Maßnahmen |
|
Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration |
