Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO
Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
I. Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
- Logische Mandantentrennung (softwareseitig)
- Berechtigungskonzept
- Auftragsbezogene Ordnerstruktur
II. Vertraulichkeit und Integrität
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:
1. Verschlüsselung
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:
- Einsatz von GPG-Verschlüsselung mit min. 256-Bit
- Einsatz von AES-Verschlüsselung mit min. 256-Bit
2. Pseudonymisierung
„Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
- Nein
3. Zutrittskontrolle
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:
- Manuelles Schließsystem
- Schlüsselregelung (Schlüsselausgabe etc.)
- Sorgfältige Auswahl von Reinigungspersonal
- Zutrittskonzept
- Abschließen der Gebäude nach Dienstschluss und bei Dienstunterbrechung
4. Zugangskontrolle
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:
- Zuordnung von Benutzerrechten
- Erstellen von Benutzerprofilen
- Passwortvergabe
- Authentifikation mit Benutzername / Passwort
- Sorgfältige Auswahl von Reinigungspersonal
- Einsatz von Anti-Viren-Software an PC-Arbeitsplätzen
- Einsatz einer Software-Firewall
5. Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Berechtigungskonzept
- Verwaltung der Rechte durch Systemadministrator
- regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insbesondere bei Ausscheiden von Mitarbeitern)
- Anzahl der Administratoren ist das „Notwendigste“ reduziert
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Netzlaufwerke mit Zugriff nur für berechtigte Benutzer (Gruppen)
6. Eingabekontrolle
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Logfunktionalität und/oder Protokollierung der Eingabe, Änderung und Löschung von Daten in Swoppen Soferu
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
7. Auftragskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Wirksame Kontrollrechte gegenüber dem Auftragsverarbeiter vereinbart
- laufende Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten
8. Transport- bzw. Weitergabekontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:
- Einsatz von VPN-Tunneln
- Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des Email-Verkehrs)
- Einsatz von SSH
III. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Unterbrechungsfreie Stromversorgung (USV) in Rechenzentren
- Klimatisierung der Serverräume in Rechenzentren
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Rechenzentren
- Feuer- und Rauchmeldeanlagen in Rechenzentren
- Feuerlöschgeräte in Rechenzentren
- Erstellen eines Backup- & Recoverykonzepts
IV. Besondere Datenschutzmaßnahmen
Es liegen schriftlich vor:
- interne Verhaltensregeln
- Datensicherheitskonzept
V. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage niedergelegten technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
