GÜLTIGE FASSUNG VOM MÄRZ 2018
Technisch-organisatorische Maßnahmen (TOM)
Vertraulichkeit
- Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch Schlüssel mit digitaler Schließanlage, Alarmanlagen, Videoanlagen, gesicherte Fenster
- Zugangskontrolle: soweit möglich Schutz vor unbefugter Systembenutzung durch Passwortschutz (einschließlich entsprechender Policy), automatische Sperrmechanismen, Verschlüsselung von Datenträgern
- Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten
- Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt und gesondert aufbewahrt
- Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich)
Integrität
- Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN)
- Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat im Rechenzentrum), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern
- Rasche Wiederherstellbarkeit
- Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, u. dgl.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen
- Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen
Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.
Get the latest updates
Sign up for our newsletter
By clicking the Subscribe, you are agreeing with our Terms & Conditions.