Datenschutz Maßnahmen

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men i.S.d. Art. 32 DSGV

Der Auf­trags­ver­ar­bei­ter ver­pflich­tet sich gegen­über dem Ver­ant­wort­li­chen zur Ein­hal­tung nach­fol­gen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, die zur Ein­hal­tung der anzu­wen­den­den Daten­schutz­vor­schrif­ten erfor­der­lich sind.

a) Zutritts­kon­trol­le

Maß­nah­men, mit denen Unbe­fug­ten der Zutritt zu Daten­ver­ar­bei­tungs­an­la­gen, mit denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet oder genutzt wer­den, ver­wehrt wird:
— Unter­neh­mens­räu­me sind ver­schlos­se­nen

b) Zugangs­kon­trol­le

Maß­nah­men, mit denen die Nut­zung von Daten­ver­ar­bei­tungs­sys­te­men durch Unbe-fug­te ver­hin­dert wird:
— Ver­wen­dung von Pass­wör­tern
— Ein­satz pass­wort­ge­schütz­ter Bild­schirm­scho­ner

c) Zugriffs­kon­trol­le

Maß­nah­men, die gewähr­leis­ten, dass die zur Benut­zung eines Daten­ver­ar­bei­tungs­sys­tems Berech­tig­ten aus­schließ­lich auf die ihrer Zugangs­be­rech­ti­gung unter­lie­gen­den Daten zugrei­fen kön­nen, und dass per­so­nen­be­zo­ge­ne Daten bei der Ver­ar­bei­tung, Nut­zung und nach der Spei­che­rung nicht unbe­fugt, gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den kön­nen:
— sämt­li­che Daten­trä­ger sind unter Ver­schluss zu hal­ten
— Daten­trä­ger sind gemäß DIN-Norm (DIN 32757–1 bzw. 33858) zu ver­nich­ten

d) Tren­nungs­kon­trol­le

Maß­nah­men, die gewähr­leis­ten, dass per­so­nen­be­zo­ge­ne Daten, die für unter­schied­li­che Zwe­cke erho­ben wur­de, getrennt von­ein­an­der ver­ar­bei­tet wer­den. Die Tren­nungs­kon­trol­le ist wie folgt rea­li­siert:
— die Daten sind kun­den­be­zo­gen sepa­riert
— die Erfas­sung, Ver­än­de­rung, Löschung und Über­mitt­lung erfolgt durch jeweils eigen­stän­di­ge Funk­tio­nen.

e) Pseud­ony­mi­sie­rung (Art. 32 Abs. 1 lit. a DSGVO)

Pseud­ony­mi­sie­rung“ meint die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in einer Wei­se, dass die per­so­nen­be­zo­ge­nen Daten ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen nicht mehr einer spe­zi­fi­schen betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, sofern die­se zusätz­li­chen Infor­ma­tio­nen geson­dert auf­be­wahrt wer­den und tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men unter­lie­gen, die gewähr­leis­ten, dass die per­so­nen­be­zo­ge­nen Daten nicht einer iden­ti­fi­zier­ten oder iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­wie­sen wer­den.

f) Über­tra­gungs-/Wei­ter­ga­be­kon­trol­le

Gewähr­leis­tung, dass über­prüft und fest­ge­stellt wer­den kann, an wel­che Stel­len per­so­nen­be­zo­ge­ne Daten mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung über­mit­telt oder zur Ver­fü­gung gestellt wur­den oder wer­den kön­nen. Maß­nah­men, die gewähr­leis­ten, dass per­so­nen­be­zo­ge­ne Daten bei der elek­tro­ni­schen Über­tra­gung oder wäh­rend ihres Trans­ports oder ihrer Spei­che­rung auf Daten­trä­ger nicht unbe­fugt gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den kön­nen und dass über­prüft und fest­ge­stellt wer­den kann, an wel­che Stel­len eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten durch Ein­rich­tun­gen zur Daten­über­tra­gung vor­ge­se­hen ist:
— Trans­por­te von Daten­trä­gern sind in ver­schlos­se­nen Behäl­tern durch­zu­füh­ren

g) Spei­cher-/Ein­ga­be­kon­trol­le

h) Auf­trags­kon­trol­le

Maß­nah­men, die gewähr­leis­ten, dass per­so­nen­be­zo­ge­ne Daten, die im Auf­trag ver­ar­bei­tet wer­den, nur ent­spre­chend den Wei­sun­gen des Ver­ant­wort­li­chen ver­ar­bei­tet wer­den kön­nen:
— schrift­li­che Abstim­mung

i) Ver­füg­bar­keits­kon­trol­le

Maß­nah­men, die gewähr­leis­ten, dass per­so­nen­be­zo­ge­ne Daten gegen Zer­stö­rung oder Ver­lust geschützt sind:
— Ein­satz von aktu­el­len Viren­scan­ner
— Regel­mä­ßi­ge Daten­si­che­rung

j) Wie­der­her­stell­bar­keit

Maß­nah­men, die gewähr­leis­ten, dass alle Funk­tio­nen des Sys­tems und die Ver­füg­bar­keit und der Zugang zu per­so­nen­be­zo­ge­nen Daten im Stö­rungs­fall rasch wie­der­her­ge­stellt wer­den kön­nen.
— Regel­mä­ßi­ge Tests der Wie­der­her­stell­bar­keit.

k) Zuver­läs­sig­keit

Maß­nah­men, die gewähr­leis­ten, dass alle Funk­tio­nen des Sys­tems zur Ver­fü­gung ste­hen und auf­tre­ten­de Fehl­funk­tio­nen gemel­det wer­den.
— Regel­mä­ßi­ge Test­läu­fe zur Anspra­che aller im Sys­tem ent­hal­te­nen Funk­tio­nen

l) Daten­in­te­gri­tät

Maß­nah­men, die gewähr­leis­ten, dass gespei­cher­te per­so­nen­be­zo­ge­ne Daten nicht durch Fehl­funk­tio­nen des Sys­tems beschä­digt wer­den kön­nen.
— Ein­satz von aktu­el­len Viren­scan­ner

m) Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der getrof­fe­nen Maß­nah­men (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

- Anlass­be­zo­ge­ne Kon­trol­len ein­zel­ner Ver­ar­bei­tungs­vor­gän­ge
— Auf­trags­kon­trol­le