Sicherheitskonzept
Vertraulichkeit gem. Art. 32 §1 lit. DSGVO
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Technische Maßnahmen
Manuelles Schließsystem
Elektronisches Zugangssystem mit Protokollierung
Sicherheitsschlösser
Türen mit Knauf Außenseite
Organisatorische Maßnahmen
Schlüsselregelung / Liste
Besucher in Begleitung durch Mitarbeiter
Besucherregistrierung und Karte
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Technische Maßnahmen
Login mit Benutzername + Passwort
Login mit biometrischen Daten
Anti-Viren-Software Server
Anti-Viren-Software Clients
Firewall
Verschlüsselung von Datenträgern
Verschlüsselung Smartphones
Automatische Desktopsperre
Verschlüsselung von Notebooks /Tablets
Organisatorische Maßnahmen
Verwalten von Benutzerberechtigungen
Erstellen von Benutzerprofilen
Richtlinie „Sicheres Passwort“
Richtlinie „Löschen / Vernichten“
Allg. Richtlinie Datenschutz und / oder Sicherheit
Mobile Device Policy
Anleitung „Manuelle Desktopsperre“
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Technische Maßnahmen
Physische Löschung von Datenträgern
Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
Verschlüsselung von Datenträgern
Verschlüsselung von Smartphones
Organisatorische Maßnahmen
Einsatz Berechtigungskonzepte
Minimale Anzahl an Administratoren
Verwaltung Benutzerrechte durch Administratoren
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
Technische Maßnahmen
Trennung von Produktiv- und Testumgebung
Physikalische Trennung (Systeme / Datenbanken / Datenträger)
Multi-Client-Fähigkeit relevanter Anwendungen
Organisatorische Maßnahmen
Steuerung über Berechtigungskonzept
Festlegung von Datenbankrechten
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Technische Maßnahmen
Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt)
Organisatorische Maßnahmen
Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren /pseudonymisieren
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Technische Maßnahmen
Einsatz von VPN
Protokollierung der Zugriffe und Abrufe
Sichere Transportbehälter
Bereitstellung über verschlüsselte Verbindungen wie sftp, https
Organisatorische Maßnahmen
Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Technische Maßnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
Manuelle oder automatisierte Kontrolle der Protokolle
Organisatorische Maßnahmen
Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
Klare Zuständigkeiten für Löschungen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Technische Maßnahmen
Organisatorische Maßnahmen
Backup & Recovery-Konzept
Kontrolle des Sicherungsvorgangs
Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Technische Maßnahmen
Organisatorische Maßnahmen
Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Technische Maßnahmen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen
Organisatorische Maßnahmen
tesa 360 – Systemarchitektur
Systemarchitektur
- Redundante Web- und Datenbankserver
- Firewalls und sichere SSL-Verbindung
- Lastverteilung, Sicherung und Zugriffsbeschränkung
- Nur verschlüsselte ID-Codes gespeichert, Entschlüsselung nicht möglich
- Intrusion Prevention & Detection System, Notstromaggregate
- 24/7 Überwachung & Betriebszeit / Funktionskontrolle
- Schneller und zuverlässiger Hochgeschwindigkeits-Internet-Hub
- Zertifizierte Hochsicherheit: ISO 27001-Zertifizierung für Daten- und IT-Sicherheit