Technische und Organisatorische Maßnahmen | e-pm marketingagentur

Technische und Organisatorische Maßnahmen (TOM)

PDF-Downloads:
e-pm Vertrag zur Auftragsverarbeitung Ihrer Daten nach DSGVO | DOWNLOAD
e-pm Anlage 1: Technische und Organisatorische Maßnahmen nach DSGVO | DOWNLOAD


Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
e-pm erfüllt diesen Anspruch durch folgende Maßnahmen.

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO

1.1. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

1.1.1 Technische Maßnahmen

  • Manuelles Schließsystem mit Sicherheitsschlössern und nummerierten Schlüsseln.
  • Die Serverräume sind separat verschlossen und nur Administratoren haben Schlüssel.

1.1.2 Organisatorische Maßnahmen

  • Schlüsselvergabe wird protokolliert.
  • Besucher müssen sich in ein Besucherbuch eintragen und werden durch einen Mitarbeiter begleitet.

1.2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

1.2.1 Technische Maßnahmen

  • Die Geräte, Programme und Daten erfordern Anmeldungen mit Benutzerkennung und Passwort.
  • Alle Server und Rechner sind mit Anti-Viren-Software und Firewall ausgestattet, die immer auf aktuellem Stand gehalten werden.
  • Datenschutzrelevante Verzeichnisse sind Serverseitig verschlüsselt.
  • Rechner werden Automatisch Desktop-Gesperrt und fordern eine Passworteingabe.

1.2.2 Organisatorische Maßnahmen

  • Alle Geräte, Programme und Daten sind durch rollenbasierte Berechtigungen gesichert. Zugriffsberechtigt sind ausschließlich Mitarbeiter. Jeder Mitarbeiter verfügt zu Protokollierungszwecken über ein eigenes Zugriffskonto.
  • Passwörter werden Zentral vergeben und folgen den Sicherheitsrichtlinien für Passwörter.

1.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

1.3.1 Technische Maßnahmen

  • Ausrangierte Datenträger werden physisch sicher gelöscht und fachgerecht vernichtet.

1.3.2 Organisatorische Maßnahmen

  • Administratorrechte werden nur in unbedingter Notwendigkeit vergeben.
  • Benutzerrechte werden durch Administratoren verwaltet.

1.4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

1.4.1 Technische Maßnahmen

  • Arbeitsrechner und Datenbankserver sind Physikalisch und räumlich getrennt.
  • Daten werden im Netzwerk nur Kabelgebunden übertragen, alle Kabel sind von außen nicht zugänglich.

1.4.2 Organisatorische Maßnahmen

  • Datenbankrechte werden nur nach Notwendigkeit vom Administrator temporär vergeben.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1. Datenversand an e-pm

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung an e-pm oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

2.1.1 Technische Maßnahmen

  • E-Mail-Anhänge sind Passwortgeschützt, die Nötigen Passwörter werden separat übertragen.
  • Zugriffe und Abrufe werden Protokolliert.
  • Eine verschlüsselte HTTPS-Leitung steht über https:\\www.e-pm.net bereit.

2.1.2 Organisatorische Maßnahmen

  • Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. Löschfristen.

2.2. Auftragskontrolle (Outsourcing an Dritte)

Sämtliche uns übertragenen Kunden-Daten werden von e-pm ausschließlich selber/inhouse bearbeitet/verarbeitet und verlassen ihre speziell eingerichtete Verarbeitungsumgebung bei e-pm grundsätzlich nicht.
Falls Daten im Rahmen der Auftragsdatenverarbeitung aus bestimmten Gründen weitergegeben werden müssen, erfolgt dies stets auf verschlüsseltem Weg. Dies gilt sowohl für den Transport von Daten über das Internet, als auch für den Transport auf mobilen Datenträgern.
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation.
  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung.
  • Schriftliche Weisungen an den Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis.
  • Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht.
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer.
  • Regelung zum Einsatz weiterer Subunternehmer.
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.
  • Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus.

2.2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

2.2.2 Technische Maßnahmen

  • E-Mails werden verschlüsselt übertragen, Anhänge sind Passwortgeschützt, die nötigen Passwörter werden separat übertragen.
  • Zugriffe und Abrufe werden Protokolliert.
  • Eine verschlüsselte HTTPS-Leitung steht über https:\\www.e-pm.net bereit.

2.2.3 Organisatorische Maßnahmen

  • Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. Löschfristen.

2.3. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

2.3.1 Technische Maßnahmen

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Manuelle oder automatisierte Kontrolle der Protokolle

2.3.2 Organisatorische Maßnahmen

  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können.
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen.
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden.
  • Klare Zuständigkeiten für Löschungen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

3.1.1 Technische Maßnahmen

  • Feuerlöscher nach DIN EN3 im Serverraum
  • Stromversorgung der Server über Schutzsteckdosenleisten
  • Datensicherheit durch RAID System und Festplattenspiegelung

3.1.2 Organisatorische Maßnahmen

  • Keine sanitären Anschlüsse im oder oberhalb des Serverraums
  • Backup & Recovery-Konzept
  • Kontrolle des Sicherungsvorgangs
  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
  • Daten werden nicht lokal sondern nur Serverseitig gespeichert.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Info: Fortlaufende Kontrolle aller DS-Maßnahmen, die im Unternehmen getroffen wurden. Zusätzlich nach Außen Abschätzung der Risiken ggü. Endverbraucher, bzw. weitere Betroffene in der Bearbeitungskette (z.B. falls Subunternehmer in Anspruch genommen werden müssen). Insbesondere – bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden "verbunden sind".

4.1. Datenschutz-Management

4.1.1 Technische Maßnahmen

  • Software-Lösungen für Datenschutzmanagement im Einsatz.
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung.
  • Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

4.1.2 Organisatorische Maßnahmen

  • Interner / externer Datenschutzbeauftragter Name / Firma / Kontaktdaten.
  • Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet.
  • Regelmäßige Sensibilisierung der Mitarbeiter Mindestens jährlich
  • Interner / externer Informationssicherheitsbeauftragter Name / Firma Kontakt
  • Bei Bedarf Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

4.2. Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

4.2.1 Technische Maßnahmen

  • Einsatz von Anti-Viren Software, Firewall und Spamfilter mit regelmäßige Aktualisierung.

4.2.2 Organisatorische Maßnahmen

  • Organisatorische Maßnahmen
  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde).
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen