zum Inhalt Bereichsmenü
 

Kontakt

Technisch-Organisatorische Maßnahmen (TOM)

Wie gesagt, wir nehmen den Datenschutz schon viel länger ernst, als er in Mode ist.

Unsere Maßnahmen im Sinne des Artikels 32 DSGVO:

  1. Zutrittskontrolle
    Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
    • Schlüsselregelung (Quittungsbuch etc.)
    • Manuelles Schließsystem
    • Sicherheitsschlösser
    • Fenstersicherungen
    • Personenkontrolle beim Empfang
    • im Aufbau Stiller Bewegungsalarm außerhalb der Bürozeiten
    • Sorgfältige Auswahl und Kontrolle von Reinigungspersonal
  2. Zugangskontrolle
    Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
    • Regelmäßig überprüftes Berechtigungs- und Rollensystem
    • Passwortvergabe, Passwortrichtlinie und Passwortmanagement (starke Passwörter, keine Wiederverwendung, verschlüsselter Speicher)
    • Authentifizierung mit Benutzername und Passwort, zzgl. 2-Faktor-Authentifizierung, wenn möglich
    • Einsatz von Firewall und Anti-Viren-Software
    • Einsatz von VPN-Technologie
    • Verschlüsselung von mobilen Datenträgern
    • Verschlüsselung von Datenträgern in Computergeräten
  3. Zugriffskontrolle
    Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
    • Erstellen und regelmäßiges Überprüfen von Rollen-/Berechtigungskonzepten
    • Administrationsrolle/-berechtigungen nur, wenn wirklich benötigt (und als zusätzlicher Account für Nutzende in Mehrfach-Rollen)
    • Protokollierung von administrativen Zugriffen
    • Protokollieren von schreibenden/löschenden Zugriffen auf personenbezogene Daten
    • Keine Übermittlung vertraulicher Daten über mit mehreren Personen geteilte Postfächer
    • Tiefenlöschung von Datenträgern vor der Wiederverwendung, Löschung und Zerstörung von Datenträgern vor der Entsorgung
    • Einsatz von Aktenvernichtern, auch im Homeoffice
    • Akten-/Datenvernichtung durch professionellen Fachbetrieb bei sensiblem Material
    • Sichere Aufbewahrung von Datenträgern
    • Sorgfältige Auswahl und Überprüfung von Dienstleistern (insbesondere hinsichtlich Datensicherheit und Datenschutz)
    • Wiederkehrende Auffrischungsschulungen für Mitarbeitende
  4. Weitergabekontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
    • Einrichtung von VPN-Tunneln
    • SSL-Verschlüsselung von Verbindungen
    • Verschlüsselung von E-Mails und E-Mail-Transportwegen
    • Datenschutz-Evaluation von Software vor der Installation
  5. Eingabekontrolle
    Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
    • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch personenbezogene Benutzeraccounts
    • Protokollierung der Eingabe, Änderung und Löschung von Daten
    • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
    • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können
  6. Auftragskontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
    • Sorgfältige Auswahl und Überprüfung von Dienstleistern (insbesondere hinsichtlich Datensicherheit und Datenschutz)
    • schriftliche Weisungen an Auftragnehmer*innen und Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
    • Entsprechende Auftragnehmer*innen haben Datenschutzbeauftragten bestellt
    • Wirksame Kontrollrechte mit Auftragnehmer*innen vereinbart
    • Vorherige Prüfung der Dokumentation der bei Auftragnehmer*innen getroffenen Sicherheitsmaßnahmen
    • Verpflichtung aller Mitarbeitenden auf das Datengeheimnis nach Art. 5 und Art. 24 DSGVO
    • Sicherstellung der Datenvernichtung nach Beendigung des Auftrags
  7. Verfügbarkeitskontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
    • Regemäßig überprüftes Backup-/Recoverykonzept
    • Aufbewahrung von Datensicherungen an einem ausgelagerten sicheren Ort
  8. Trennungsgebot
    Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
    • Physikalisch getrennte Speicherung auf gesonderten Systemen/Datenträgern
    • Regelmäßig überprüftes Berechtigungskonzept
    • Festlegung von gesonderten Datenbankrechten
    • Softwareseitig logische Mandantentrennung
    • Trennung von Produktiv- und Testsystemen
    • Wenn möglich, vollständige Pseudonymisierung von personenbezogenen Daten bei der Weiterentwicklung von Systemen