Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO

 

Nr.MaßnahmeUmsetzung der Maßnahme
1Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
 

Ja

Nein
Zutrittsregelung für betriebsfremde Personen X
Protokollierung Besucher, externe DienstleisterX
Zentraler Empfangsbereich (Pförtner / Empfang) vorhandenX
Ausgabe und Rücknahme von BesucherausweisenX
Aufenthalt betriebsfremder Personen nur in Anwesenheit von MitarbeiternX
Gebäudesicherung durch AlarmanlageX
Gebäudeüberwachung durch Video, Werkschutz oder NachtwächterX
Maßnahmen zur Objektsicherung bei Fenster und SchächtenX
Automatische Türsicherungen (elektrische Türöffner und Schließautomatik)X
Chipkarten-/Transponder-SchließsystemX
Manuelles SchließsystemX
Festgelegte Serverraumzutrittsberechtigungen einschließlich Schlüsselregelung und Zutrittsprotokollierung.X
Sonstiges: Auftragnehmer ist Programmierer der Softwareplattform. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH.X

 

Nr.MaßnahmeUmsetzung der Maßnahme
2Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
JaNein
Authentifikation mit individuellem Benutzername/Passwort bzw. biometrisches VerfahrenX
Regelung Passwortvergabe (Art, Dauer, Sperrung)X
Zuordnen von Benutzerprofilen zu IT-SystemenX
Automatische, passwortgeschützte RechnersperreX
Regelung für die Löschung von Berechtigungen ausgeschiedener MitarbeiterX
Verbindliches Verfahren zur Vergabe von BerechtigungenX
Einsatz von Anti-Viren-SoftwareX
Verschlüsselung von DatenträgerX
Sicherung interner Netze gegen unberechtigte Zugriffe von extern (Firewall)X
Externer Zugriff auf interne Netze durch VPN-TechnologieX

 

Nr.MaßnahmeUmsetzung der Maßnahme
3Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
JaNein
Erstellung von BenutzerprofilenX
Erstellen Berechtigungskonzept mit differenzierten BerechtigungsstufenX
Dokumentation der BerechtigungenX
Regelung zum Kopieren von DatenX
Deaktivierung oder Sicherung von USB-Anschlüssen und BrennernX
Zeitliche Begrenzung der Zugriffsmöglichkeiten (z.B. Wochenende)X
Protokollierung und datenschutzgerechte Entsorgung nicht mehr benötigter DatenträgerX

 

Nr.MaßnahmeUmsetzung der Maßnahme
4Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
JaNein
Einsatz von Verschlüsselung in Aufbewahrung und TransportX
Zugriff auf personenbezogene Daten nur über authentifizierte KanäleX
Dokumentation von Datenempfängern bei Transport oder ÜbermittlungX
Dokumentation der Abruf- und ÜbermittlungsprogrammeX
Auswertemöglichkeiten der ÜbermittlungsprotokolleX
Führen einer Übersicht von regelmäßigen Abruf- und ÜbermittlungsvorgängenX
Automatische Sperre bei mehrmaliger fehlerhafter AuthentifizierungX
Bei physischem Transport sichere Transportbehälter/-verpackungenX
Einsatz von E-Mail-Verschlüsselungen bei personenbezogenen DatenX
Datenschutzgerechte Vernichtung von Datenträgern (z.B. Fehldrucke)X
Sonstiges: Die Datenübertragung zwischen Rechenzentrum und Auftragnehmer erfolgt ausschließlich per verschlüsseltem VPN und unter den Sicherheitsrichtlinien des Konzerns.

Personenbezogene Daten werden nicht auf physischen Datenträgern verschickt.

Personenbezogene Daten werden z.B. ihm Rahmen von Benutzerprofil-Registrierung per E-Mail an einen werwowas-Administrator im Hause Werben &Verkaufen verschickt. Davon abgesehen findet kein Versand personenbezogener Daten per E-Mail statt.

X

 

Nr.MaßnahmeUmsetzung der Maßnahme
5Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
JaNein
Protokollierung der Eingabe, Änderung und Löschung von DatenX
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)X
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines BerechtigungskonzeptsX
Übersicht, mit welchen Applikationen Daten eingegeben, geändert oder gelöscht werden können.X
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden.X
Löschungsregelung für ProtokolldatenX

 

Nr.MaßnahmeUmsetzung der Maßnahme
6Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
JaNein
Kontrolle der Datensicherheitsvorkehrungen und schriftlicher NachweisX
Bestellung eines DatenschutzbeauftragtenX
Verpflichtung der Mitarbeiter auf das Datengeheimnis gem. § 5 BDSGX
Sicherstellung der Vernichtung von Daten nach Beendigung des AuftragsX

 

Nr.MaßnahmeUmsetzung der Maßnahme
7Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
JaNein
Notfallkonzept bei IT-Störungen vorhanden  X
Redundante Absicherung von Servern und DatenbeständenX
Unterbrechungsfreie Stromversorgung (USV) in ServerräumenX
(Redundante) Klimaanlage in ServerräumenX
Automatische Feuer- und RauchmeldeanlagenX
Feuerlöscheinrichtungen im ServerraumX
Alarmmeldungen bei unberechtigten Zutritten zu ServerräumenX
Sicherungs- und Wiederherstellungskonzept von DatenX
Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten OrtX
Rekonstruktion von Datenbeständen und Test der DatenbeständeX
Einsatz von VirenscannernX
Automatisierte Aktualisierung von VirenscannernX
Richtlinien zur Wartung und Durchführung von UpdatesX
Automatisches und permanentes Monitoring zur Erkennung von StörungenX
Sonstiges:Trifft für den Auftragnehmer nicht zu. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH.X

 

Nr.MaßnahmeUmsetzung der Maßnahme
8Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
JaNein
Logische MandantentrennungX
Berechtigungskonzept mit Festlegung der ZugriffsrechteX
Daten unterschiedlicher Auftraggeber/Projekte werden soweit möglich auf unterschiedlichen Systemen verarbeitet X
Trennung von Produktiv- und TestsystemX
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-SystemX
Sonstiges: Trifft für den Auftragnehmer nicht zu. Alle Daten liegen auf den Servern des beauftragten Rechenzentrums bei der Hetzner GmbH.X

 

Im Übrigen gelten die Allgemeinen Geschäftsbedingungen für discoverize (https://www.discoverize.com/agb).

Live Demo Termin vereinbaren

Gerne zeigen wir in einem kurzen Überblick die Branchenportal Software discoverize: Die Verwaltung und Konfiguration eines Portals über das Anlegen von Einträgen bis hin zu Seiten für Besucher.

Dies geht am einfachsten Online via Skype oder einem anderen Screensharing Tool. Gerne zeigen wir discoverize auch bei Ihnen vor Ort oder bei uns im Berliner Büro


9-12 Uhr12-15 Uhr15-18 Uhr