Technische und Organisatorische Maßnahmen

 1.         Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) 

 

Zutrittskontrolle

  • Eingangstüre mit elektronischem Chip-Sensor gesichert
  • Zutritt zu den Büroräumen nur durch berechtigte Personen
  • Besucher melden sich am Empfang
  • Persönliche Besucherführung

 

Zugangskontrolle

  • Persönliche Userprofile
  • Zugangseinschränkungen durch individuelle Benutzerrechte
  • Sichere Passwörter
    •  Mindestens 10 Zeichen
    •  Kennwortkomplexität angeschaltet 
    •  Dauerhafte Account-Sperre bei 5 Fehlversuchen 
    • Änderungszyklus
  • Automatische Bildschirmsperre bei Inaktivität
  • Alle Festplatten in den Clients sind verschlüsselt
  • Externe Datenträger werden verschlüsselt
  • Absicherung gegen unbefugtes Eindringen von außen
    • Unified Threat Management
      • Firewall
      • Virenscanner
      • Intrusion Protection System
      • WebProtection
      • Virtual Private Network (VPN)
      • User Authentisierung 

 

Zugriffskontrolle

  • Benutzerrechteverwaltung
    • Rechteverwaltung durch interne IT
    • Im Vier-Augen-Prinzip mit zuständigem Datenverantwortlichen
    • Zugriffsbefugnis anhand von
      • Verantwortlichkeiten
      • Aufgabenstellungen
  • Regelmäßige Überprüfung der vorhanden Rechte und ggf. Anpassung
  • Regelmäßige Auswertung von Logfiles

 

Trennungskontrolle

  •  Logische Trennung der vorhandenen Daten nach Aufgabenbereich und Zweck der Datenverarbeitung
  • Mandantenfähigkeit der eingesetzten Software-Lösungen

 

2.    Integrität (Art. 32 Abs. 1 lit. b DSGVO)

 

Weitergabekontrolle

  • Datenübertragungen erfolgen nur im verschlüsselten Format
    • VPN: Zugriff von außen auf das Firmennetzwerk
    • SSL: Zugriff auf Webseiten und Services der Hammer Real GmbH
  • Schutz der Daten bei Übertragung
    • Bevorzugt verschlüsselt, wenn technisch nicht möglich mindestens mit Passwortschutz
  • Passwörter werden mit einer Passwort-Management-Software verwaltet
    • Zugriffsberechtigungen
    • Protokollierung
    • Bei besonders kritischen Passwörtern: Zugriff nur im „Vier-Augen-Prinzip“
  • Mobile Datenträger verlassen nur verschlüsselt das Haus
  • Sichere Löschung und Entsorgung von Datenträgern
  • Datenkonforme Vernichtung und Entsorgung von Papierakten durch einen externen, zertifizierten Dienstleister
  • Zugriff auf Kundendaten und Kundensysteme per Fernwartung
    • Verschlüsselte Verbindung
    • Der Kunde muss die Verbindung beim Verbindungaufbau bestätigen
    • Nach Absprache mit dem Kunden kann der Zugriff auch unbeaufsichtigt erfolgen
    • Es wird ein Video des Fernzugriffs angefertigt und gespeichert. Eine Auswertung findet nur im Verdachtsfall statt

 

Eingabekontrolle

  • Zugriff auf die Kundendaten und Kundensysteme in einer Fernwartung
    • Der Kunde muss die Verbindung beim Verbindungaufbau bestätigen
    • Nach Absprache mit dem Kunden kann der Zugriff auch unbeaufsichtigt erfolgen
    • Fernwartungen werden auf beiden Seiten (Kunde / Auftragnehmer) protokolliert
  • Protokollierung und Protokollauswertung der Fernwartung
    • Das Video zur Fernwartungssitzung wird für einen festgelegten Zeitraum aufbewahrt
    • Auch der Auftraggeber hat die Möglichkeit ein Video zu der Fernwartungssitzung zu erzeugen
  • Logfunktionalität und Protokollierung von Änderungen der verschiedenen Systeme (z.B.: DocuWare, Datev, etc.)
  • Nachvollziehbarkeit von Eingabe, Änderungen oder Löschung von personenbezogenen Daten durch individuelle Benutzernamen
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten basierend auf dem Berechtigungskonzept

 

3.    Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

 

Verfügbarkeitskontrolle

  • Datensicherungen
    • Alle Daten werden nach dem im Datensicherungskonzept festgelegten Backupplan gesichert
    • Die Anzahl der Sicherungen hängt von der Wichtigkeit der Daten ab
    • Die Datensicherungen werden in einem feuerfesten Safe aufbewahrt
    • Im bestimmten Turnus werden die Sicherungen in einen anderen Brandabschnitt unseres Firmensitzes gebracht
    • Teilweise werden die Sicherungen an einen anderen Standort ausgelagert
  • Alle Server und die wichtigsten Infrastrukturgeräte sind mit einer Unterbrechungsfreien Stromversorgung abgesichert
  • Die wichtigsten Server und die wichtigsten Infrastrukturgeräte sind redundant vorhanden
  • Notfallpläne existieren und sind den Schlüsselpersonen bekannt
  • Meldewege sind bekannt

 

Belastbarkeit der Systeme

  • Hochverfügbarkeit
    • Alle Kernsysteme sind redundant vorhanden
    • Wiederherstellung ganzer Systeme ist in wenigen Minuten möglich
  • Anpassbarkeit
    • Alle Kernsysteme sind entweder mit ausreichend großem Puffer an Systemressourcen ausgestattet oder können dynamisch angepasst werden

 

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Unsere Backupsysteme ermöglichen eine Wiederherstellung ganzer Systeme oder einzelner Datensätze ist in wenigen Minuten

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DSGVO)

 

Auftragskontrolle 

  • Protokollierungs- und Auswertungsmechanismen beim Zugriff auf Kundensysteme und Kundendaten
  • Umfassende und ordnungsgemäße Ausgestaltung von Auftragsverarbeitungsverträgen mit externen Dienstleistern
  • Sorgfältige Auswahl von Unterauftragnehmern

 

Datenschutz-Management

  • Es existieren interne Datenschutzrichtlinien sowie Verhaltensrichtlinien, welche allen Mitarbeitern zugänglich sind
  • Alle Mitarbeiter werden regelmäßig, mindestens einmal im Jahr, zum Thema Datenschutz geschult
  • Im Unternehmen existieren ein Organigramm, sowie weitere Dokumente, welche die Verantwortlichkeiten und Befugnisse der einzelnen Mitarbeiter regeln. Diese werden in regelmäßigen Abständen von der Unternehmensführung überprüft und ggf. aktualisiert.

 

Incident-Response-Management

  • Die Meldewege bei Datenschutz-Vorfällen sind bekannt und werden regelmäßig überprüft

 

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

  • Bei der Beschaffung wird auf den Einsatz datenschutzfreundlicher Technologien geachtet