Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 1 | Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. | Ja | Nein |
| Zutrittsregelung für betriebsfremde Personen | X | ||
| Protokollierung Besucher, externe Dienstleister | X | ||
| Zentraler Empfangsbereich (Pförtner / Empfang) vorhanden | X | ||
| Ausgabe und Rücknahme von Besucherausweisen | X | ||
| Aufenthalt betriebsfremder Personen nur in Anwesenheit von Mitarbeitern | X | ||
| Gebäudesicherung durch Alarmanlage | X | ||
| Gebäudeüberwachung durch Video, Werkschutz oder Nachtwächter | X | ||
| Maßnahmen zur Objektsicherung bei Fenster und Schächten | X | ||
| Automatische Türsicherungen (elektrische Türöffner und Schließautomatik) | X | ||
| Chipkarten-/Transponder-Schließsystem | X | ||
| Manuelles Schließsystem | X | ||
| Festgelegte Serverraumzutrittsberechtigungen einschließlich Schlüsselregelung und Zutrittsprotokollierung. | X | ||
| Sonstiges: Auftragnehmer ist Programmierer der Softwareplattform. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH. | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 2 | Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. | Ja | Nein |
| Authentifikation mit individuellem Benutzername/Passwort bzw. biometrisches Verfahren | X | ||
| Regelung Passwortvergabe (Art, Dauer, Sperrung) | X | ||
| Zuordnen von Benutzerprofilen zu IT-Systemen | X | ||
| Automatische, passwortgeschützte Rechnersperre | X | ||
| Regelung für die Löschung von Berechtigungen ausgeschiedener Mitarbeiter | X | ||
| Verbindliches Verfahren zur Vergabe von Berechtigungen | X | ||
| Einsatz von Anti-Viren-Software | X | ||
| Verschlüsselung von Datenträger | X | ||
| Sicherung interner Netze gegen unberechtigte Zugriffe von extern (Firewall) | X | ||
| Externer Zugriff auf interne Netze durch VPN-Technologie | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 3 | Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Ja | Nein |
| Erstellung von Benutzerprofilen | X | ||
| Erstellen Berechtigungskonzept mit differenzierten Berechtigungsstufen | X | ||
| Dokumentation der Berechtigungen | X | ||
| Regelung zum Kopieren von Daten | X | ||
| Deaktivierung oder Sicherung von USB-Anschlüssen und Brennern | X | ||
| Zeitliche Begrenzung der Zugriffsmöglichkeiten (z.B. Wochenende) | X | ||
| Protokollierung und datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 4 | Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. | Ja | Nein |
| Einsatz von Verschlüsselung in Aufbewahrung und Transport | X | ||
| Zugriff auf personenbezogene Daten nur über authentifizierte Kanäle | X | ||
| Dokumentation von Datenempfängern bei Transport oder Übermittlung | X | ||
| Dokumentation der Abruf- und Übermittlungsprogramme | X | ||
| Auswertemöglichkeiten der Übermittlungsprotokolle | X | ||
| Führen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen | X | ||
| Automatische Sperre bei mehrmaliger fehlerhafter Authentifizierung | X | ||
| Bei physischem Transport sichere Transportbehälter/-verpackungen | X | ||
| Einsatz von E-Mail-Verschlüsselungen bei personenbezogenen Daten | X | ||
| Datenschutzgerechte Vernichtung von Datenträgern (z.B. Fehldrucke) | X | ||
| Sonstiges: Die Datenübertragung zwischen Rechenzentrum und Auftragnehmer erfolgt ausschließlich per verschlüsseltem VPN und unter den Sicherheitsrichtlinien des Konzerns. Personenbezogene Daten werden nicht auf physischen Datenträgern verschickt. Personenbezogene Daten werden z.B. ihm Rahmen von Benutzerprofil-Registrierung per E-Mail an einen werwowas-Administrator im Hause Werben &Verkaufen verschickt. Davon abgesehen findet kein Versand personenbezogener Daten per E-Mail statt. | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 5 | Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. | Ja | Nein |
| Protokollierung der Eingabe, Änderung und Löschung von Daten | X | ||
| Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) | X | ||
| Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts | X | ||
| Übersicht, mit welchen Applikationen Daten eingegeben, geändert oder gelöscht werden können. | X | ||
| Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden. | X | ||
| Löschungsregelung für Protokolldaten | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 6 | Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. | Ja | Nein |
| Kontrolle der Datensicherheitsvorkehrungen und schriftlicher Nachweis | X | ||
| Bestellung eines Datenschutzbeauftragten | X | ||
| Verpflichtung der Mitarbeiter auf das Datengeheimnis gem. § 5 BDSG | X | ||
| Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 7 | Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | Ja | Nein |
| Notfallkonzept bei IT-Störungen vorhanden | X | ||
| Redundante Absicherung von Servern und Datenbeständen | X | ||
| Unterbrechungsfreie Stromversorgung (USV) in Serverräumen | X | ||
| (Redundante) Klimaanlage in Serverräumen | X | ||
| Automatische Feuer- und Rauchmeldeanlagen | X | ||
| Feuerlöscheinrichtungen im Serverraum | X | ||
| Alarmmeldungen bei unberechtigten Zutritten zu Serverräumen | X | ||
| Sicherungs- und Wiederherstellungskonzept von Daten | X | ||
| Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort | X | ||
| Rekonstruktion von Datenbeständen und Test der Datenbestände | X | ||
| Einsatz von Virenscannern | X | ||
| Automatisierte Aktualisierung von Virenscannern | X | ||
| Richtlinien zur Wartung und Durchführung von Updates | X | ||
| Automatisches und permanentes Monitoring zur Erkennung von Störungen | X | ||
| Sonstiges:Trifft für den Auftragnehmer nicht zu. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH. | X | ||
| Nr. | Maßnahme | Umsetzung der Maßnahme | |
| 8 | Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. | Ja | Nein |
| Logische Mandantentrennung | X | ||
| Berechtigungskonzept mit Festlegung der Zugriffsrechte | X | ||
| Daten unterschiedlicher Auftraggeber/Projekte werden soweit möglich auf unterschiedlichen Systemen verarbeitet | X | ||
| Trennung von Produktiv- und Testsystem | X | ||
| Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System | X | ||
| Sonstiges: Trifft für den Auftragnehmer nicht zu. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH. | X | ||
Im Übrigen gelten die Allgemeinen Geschäftsbedingungen für discoverize (https://www.discoverize.com/agb).