Technische und organisatorische Maßnahmen der Onlineprinters GmbH gemäß Art. 28 Abs. 1 DSGVO zur sicheren Verarbeitung personenbezogener Daten
Auftragnehmer
Onlineprinters GmbH
Dr.-Mack-Straße 83
90762 Fürth
Deutschland
Datenschutzbeauftragter
Onlineprinters GmbH
-Datenschutz-
Dr.-Mack-Strasse 83
90762 Fürth
Deutschland
1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Räumlich zu verstehende Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
- Schlüsselregelung/Schlüsselliste
- Protokollierung des Besucherzutritts
- Chipkarten-/Transponder-Schließsystem
- Videoüberwachung der Zugänge
- Manuelles Schließsystem
- Tragepflicht von Berechtigungsausweisen
- Sicherheitsschlösser
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
- Zuordnung von Benutzerrechten
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Authentifikation mit Benutzer/Passwort
- Einsatz von VPN-Technologie
- Sperren von externen Schnittstellen (USB etc.)
- Verschlüsselung von Datenträgern in Laptops
- Einsatz einer Software-Firewall
- Einsatz von Anti-Viren-Software
- Einsatz einer Hardware-Firewall
- Tragepflicht von Berechtigungsausweisen
- Passwortrichtlinie
- Protokollierung der Besucher
- Sperre Systemzugang nach Inaktivität
- Sorgfältige Auswahl von Reinigungspersonal
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Erstellen eines Berechtigungskonzepts
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, periodischer Passwortwechsel
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Sichere Aufbewahrung von Datenträgern
- physische Löschung von Datenträgern vor Wiederverwendung
- ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Einsatz von Aktenvernichtern bzw. Dienstleistern (möglichst Datenschutzzertifiziert)
- Protokollierung der Vernichtung
- Verschlüsselung von Datenträgern
- Rechteentzug bei Mitarbeiteraustritt
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
- Erstellung eines Berechtigungskonzepts
- Logische Mandantentrennung (softwareseitig)
- Festlegung von Datenbankrechten
- Trennung von Produktiv- und Testsystem
- Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
- Einrichtungen von Standleitungen bzw. VPN-Tunneln
- Passwortgeschützte Dateien
- Nutzung von verschlüsselten Übertragungswegen, z. B. SFTP
- Beim physischen Transport: sorgfältige Auswahl von Transportpersonal
2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Redundante Rechenzentren
- Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
- Redundante und unterbrechungsfreie Stromversorgung
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Backup- & Recoverykonzept
- Klimaanlage in Serverräumen
- Rasche Wiederherstellbarkeit
- Überspannungsschutz
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Feuer- und Rauchmeldeanlagen, Feuerlöschgeräte in Serverräumen
- Firewall/Virenschutz
- Serverräume nicht im Umfeld von Wasser-/Abwasseranlagen
- Regelmäßige Belastungstests durch unabhängige Prüfinstitute
- Rechenzentrum mit widerstandsfähiger Außenhülle
4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1 Datenschutz-Management
4.2 Incident-Response-Management
4.3 Regelmäßige Prüfung der Sicherheit mit Zertifizierung durch unabhängige Prüfinstitute
4.4 Auftragnehmer hat Datenschutzbeauftragten bestellt
4.5 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
- schriftliche Weisungen an den Auftragnehmer (z. B. durch Auftragsverarbeitungsvertrag) i. S. d. Art. 28 DSGVO
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
- laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
Onlineprinters GmbH 2024