TECHNISCH- ORGANISATORISCHE MASSNAHMEN GEMAESS ART. 32 ABS. 1 DSGVO

Stand: April 2024

A.

I. Vertraulichkeit der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

1. Zutrittskontrolle

  • Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
  • Um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten gespeichert werden, zu verwehren, werden diese durch elektronische Zugangskontrollsysteme und Personal überwacht. Der Zugang wird nur autorisierten Personen (Geschäftsleitung und IT-Personal) gewährt. Videokameras überwachen die sensiblen Bereiche (Eingänge) des Gebäudes.

2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

Um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, werden folgende Maßnahmen zum Schutz der IT-Systeme mit Zugang zu der administrativen Oberfläche des Datenverarbeitungssystems ergriffen: Zugang nur für eine notwendige geringe Anzahl von Administratoren unter Verwendung einer geheimen Login/Passwort-Kombination (max. Passwortalter 90 Tage, minimale Passwortlänge 8 Zeichen)

Um zu verhindern, dass die Datenverarbeitungssysteme selbst von Unbefugten genutzt werden können, werden folgende Maßnahmen zum Schutz der in Anwendungen gespeicherten Daten ergriffen:

ein Benutzerstammsatz pro Anwender

Zugang nur über eine gesicherte Verbindung (z.B. HTTPS) und unter Verwendung einer Login/Passwort-Kombination (max. Passwortalter 90 Tage, minimale Passwortlänge 8 Zeichen)

automatische Sperrung des Zugangs nach 20 Minuten Inaktivität; anschließende Neuanmeldung am System möglich

3. Zugriffskontrolle

Maßnahmen, die geeignet sind zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

Um zu gewährleisten, dass die zur Benutzung der Datenverarbeitungssysteme Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, unterstützen die Datenverarbeitungssysteme die Zuordnung der Benutzer in verschiedene Berechtigungsklassen (je nach Firmenzugehörigkeit und Aufgabe). Jeder Benutzer ist entsprechend seiner Zugriffsberechtigung einer solchen Klasse zugeordnet (Berechtigungskonzept). Zur Gewährleistung, dass personenbezogene Daten nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden, wird ein Zugriff auf den Speicherort der personenbezogenen Daten nur von Systemen mit Zugangskontrolle (gem. 2. „Zugangskontrolle“) ermöglicht.

4. Trennungskontrolle

Maßnahmen, die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

Um zu gewährleisten, dass die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden können, wird die Zugehörigkeit der Daten (z.B. Emittentin, Grund der Datensatzanlage usw.) mit im System gespeichert. Es wird über das Berechtigungskonzept gewährleistet, dass das Lesen, die Speicherung, die Änderung und die Löschung der Daten nur für autorisierte Benutzer möglich ist.

II. Integrität der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

1. Weitergabekontrolle

 Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

Zur Verhinderung eines unbefugten Lesens, Kopierens, Änderns oder Entfernens der personenbezogenen Daten bei der elektronischen Übertragung vom PC des Anwenders zum Speicherort der Daten wird eine starke Verschlüsselung verwendet (Shared-Key-Verfahren; RSA 1024Bit). Ein Transport der personenbezogenen Daten über den Austausch von Speichermedien erfolgt nicht. Zum Lesen und Speichern der personenbezogenen Daten sind nur solche Systeme berechtigt, die auf einem System mit Zugangskontrolle (gem. 2. „Zugangskontrolle“) gestartet wurden und die zur Anmeldung an das Speichersystem (Datenbank) eine nur zu diesem Zwecke eingerichtete Login/Passwort-Kombination benutzen. Die Stellen, an welchen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen sind, sind in einem Anwendungshandbuch gesondert aufgeführt.

2.Eingabekontrolle

Maßnahmen, die geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

Um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt wurden, werden alle Nutzeraktivitäten protokolliert. Der jeweils unveränderte Datensatz bleibt im System zur Bestimmung des Änderungsausmaßes gespeichert.

III. Verfügbarkeit, Belastbarkeit und rasche Wiederherstellbarkeit der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) und lit. c) DSGVO)

Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind Maßnahmen zur Datensicherung (physikalisch / logisch):

Zur Gewährleistung des Schutzes personenbezogener Daten gegen zufällige Zerstörung oder Verlust werden folgende Maßnahmen sichergestellt

tägliches Voll-Backup auf Bänder, die anschließend an zutrittsgesicherten Orten (siehe Punkt 1 „Zutrittskontrolle“) gelagert werden

ständig aktuell gehaltenes Betriebssystem (Sicherheitsupdates)

ständig aktuell gehaltener Virenschutz und Firewall auf IT-Systemen, über die Zugriff auf personenbezogene Daten möglich ist

Notfallplan- unterbrechungsfreie Stromversorgung (USV) zur Verhinderung des Verlustes nicht gespeicherter Daten bei Stromausfällen und -schwankungen

B. Auftragsspezifische technische und organisatorische Maßnahmen sind dabei insbesondere:

Personenbezogene Daten werden ausschließlich in einem zutrittsgesicherten Gebäude (siehe Punkt I. 1 „Zutrittskontrolle“) in einem zugangsgeschützten IT-System (siehe Punkt I. 2 „Zugangskontrolle“) in einer zugriffsgeschützten Anwendung (siehe Punkt I. 3 „Zugriffsschutz“) gespeichert. Zu Testzwecken werden keine personenbezogenen Daten in andere Systeme kopiert. Testsysteme sind so konfiguriert, dass von dort aus kein Zugriff auf personenbezogene Daten im Produktivsystem möglich ist.

de_DEGerman