Bild von
TOM

Sehr gut

4.62/5.00

Zertifizierter Shop

Über 1 Mio. zufriedene Kunden
Versandkostenfreie Lieferung
Blitzdruck & Expressversand

09161 6209800   Mo-Fr 8-18:00

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen der Onlineprinters GmbH gemäß Art. 28 Abs. 1 DSGVO zur sicheren Verarbeitung personenbezogener Daten

Auftragnehmer

Onlineprinters GmbH

Dr.-Mack-Straße 83

90762 Fürth

Deutschland

Datenschutzbeauftragter

Onlineprinters GmbH

-Datenschutz-

Dr.-Mack-Straße 83

90762 Fürth

Deutschland

datenschutz@diedruckerei.de

1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) 


1.1 Zutrittskontrolle 
Räumlich zu verstehende Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  • Schlüsselregelung/Schlüsselliste
  • Protokollierung des Besucherzutritts
  • Chipkarten-/Transponder-Schließsystem
  • Videoüberwachung der Zugänge
  • Manuelles Schließsystem
  • Tragepflicht von Berechtigungsausweisen
  • Sicherheitsschlösser

1.2 Zugangskontrolle  
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 

  • Zuordnung von Benutzerrechten
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Authentifikation mit Benutzer/Passwort
  • Einsatz von VPN-Technologie
  • Sperren von externen Schnittstellen (USB etc.)
  • Verschlüsselung von Datenträgern in Laptops
  • Einsatz einer Software-Firewall
  • Einsatz von Anti-Viren-Software
  • Einsatz einer Hardware-Firewall
  • Tragepflicht von Berechtigungsausweisen
  • Passwortrichtlinie
  • Protokollierung der Besucher
  • Sperre Systemzugang nach Inaktivität
  • Sorgfältige Auswahl von Reinigungspersonal

1.3 Zugriffskontrolle  
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 

  • Erstellen eines Berechtigungskonzepts
  • Verwaltung der Rechte durch Systemadministrator
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, periodischer Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Sichere Aufbewahrung von Datenträgern
  • physische Löschung von Datenträgern vor Wiederverwendung
  • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (möglichst Datenschutzzertifiziert)
  • Protokollierung der Vernichtung
  • Verschlüsselung von Datenträgern
  • Rechteentzug bei Mitarbeiteraustritt

1.4 Trennungskontrolle 
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 

  • Erstellung eines Berechtigungskonzepts
  • Logische Mandantentrennung (softwareseitig)
  • Festlegung von Datenbankrechten
  • Trennung von Produktiv- und Testsystem
  • Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden

2 Integrität (Art. 32 Abs. 1 lit. b DSGVO) 


2.1 Weitergabekontrolle 
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 

  • Einrichtungen von Standleitungen bzw. VPN-Tunneln
  • Passwortgeschützte Dateien
  • Nutzung von verschlüsselten Übertragungswegen, z. B. SFTP
  • Beim physischen Transport: sorgfältige Auswahl von Transportpersonal

2.2 Eingabekontrolle 
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) 


3.1 Verfügbarkeitskontrolle 
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 

  • Redundante Rechenzentren
  • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  • Redundante und unterbrechungsfreie Stromversorgung
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Backup- & Recoverykonzept
  • Klimaanlage in Serverräumen
  • Rasche Wiederherstellbarkeit
  • Überspannungsschutz
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Feuer- und Rauchmeldeanlagen, Feuerlöschgeräte in Serverräumen
  • Firewall/Virenschutz
  • Serverräume nicht im Umfeld von Wasser-/Abwasseranlagen
  • Regelmäßige Belastungstests durch unabhängige Prüfinstitute
  • Rechenzentrum mit widerstandsfähiger Außenhülle

4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) 


4.1 Datenschutz-Management  


4.2 Incident-Response-Management  


4.3 Regelmäßige Prüfung der Sicherheit mit Zertifizierung durch unabhängige Prüfinstitute


4.4 Auftragnehmer hat Datenschutzbeauftragten bestellt 


4.5 Auftragskontrolle 
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
  • schriftliche Weisungen an den Auftragnehmer (z. B. durch Auftrags-verarbeitungsvertrag) i. S. d. Art. 28 DSGVO
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
  • laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten

PDF-Download

Diese Datei können Sie speichern und/oder drucken. Klicken Sie hier.

Sie benötigen den kostenlosen Adobe Reader, um die Datei zu öffnen. Klicken Sie hier, um das Programm herunterzuladen.