Goodbye Turnschuh-IT

Technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO – Anhang 7 zur Vereinbarung zur Auftragsverarbeitung

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Folgende Maßnahmen verhindern unbefugten Zutritt zu Datenverarbeitungsanlagen (Server):

  • Festlegung Zutrittsberechtigter Personen
  • Verwaltung von personengebundenen Zutrittsberechtigungen
  • Begleitung von Fremdpersonal
  • Zugangsschutz durch Alarmanlagen

1.2 Zugangskontrolle

Folgende Maßnahmen verhindern unbefugte Systembenutzung (Server & Clients):

  • Zugangsschutz
  • Umsetzung sicherer Zugangsverfahren, starke Authentisierung (2FA)
  • Umsetzung einfacher Authentisierung per Username Passwort
  • Protokollierung des Zugangs
  • Monitoring bei kritischen IT-Systemen
  • Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

1.3 Zugriffskontrolle

Folgende Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems:

  • “Need to know”-Prinzip
  • Vergabe minimaler Berechtigungen
  • Protokollierung des Zugriffs

1.4 Trennungskontrolle

Folgende Möglichkeiten existieren, um Daten, die zu unterschiedlichen Zwecken erhoben wurden, unabhängig voneinander zu verarbeiten:

  • Datensparsamkeit im Umgang mit personenbezogenen Daten
  • Getrennte Verarbeitung verschiedener Datensätze
  • Regelmäßige Verwendungszweckkontrolle und Löschung
  • Trennung von Test- und Entwicklungsumgebung

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Diese Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

  • Sichere Datenübertragung zwischen Server und Client (VPN)
  • Sichere Übertragung zu externen Systemen
  • Risikominimierung durch Netzseparierung

2.2 Eingabekontrolle

So lässt sich feststellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierung der Eingabe innerhalb der Software

3. Verfügbarkeit, Belastbarkeit, Disaster Recovery

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Redundanz der Kommunikationsverbindungen
  • Monitoring
  • Ressourcenplanung und Bereitstellung
  • Abwehr von systembelastendem Missbrauch (Firewall, Antivirus)
  • Datensicherungskonzepte und Umsetzung

3.2 Disaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

  • Notfallpläne
  • Datensicherungskonzepte und Umsetzung

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
  • Prozess Datenschutz-Management
  • Prozess Incident-Response-Management
  • Durchführung von technischen Überprüfungen