{"id":283,"date":"2024-01-27T16:26:46","date_gmt":"2024-01-27T16:26:46","guid":{"rendered":"https:\/\/cloud2go.de\/?page_id=283"},"modified":"2024-04-08T15:10:44","modified_gmt":"2024-04-08T15:10:44","slug":"toms","status":"publish","type":"page","link":"https:\/\/cloud2go.de\/de\/toms\/","title":{"rendered":"TOMs"},"content":{"rendered":"<div data-elementor-type=\"wp-page\" data-elementor-id=\"283\" class=\"elementor elementor-283\" data-elementor-post-type=\"page\">\n\t\t\t\t<div class=\"elementor-element elementor-element-15b5698 e-flex e-con-boxed e-con e-parent\" data-id=\"15b5698\" data-element_type=\"container\" data-settings=\"{&quot;background_background&quot;:&quot;classic&quot;,&quot;content_width&quot;:&quot;boxed&quot;}\" data-core-v316-plus=\"true\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-64478b2 elementor-widget elementor-widget-text-editor\" data-id=\"64478b2\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.19.0 - 05-02-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p class=\"p2\"><strong>TECHNISCH- ORGANISATORISCHE MASSNAHMEN GEMAESS ART. 32 ABS. 1 DSGVO<\/strong><\/p><p class=\"p2\">Stand: April 2024<\/p><p class=\"p2\">A.<\/p><p class=\"p2\">I. Vertraulichkeit der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)<\/p><p class=\"p2\">1. Zutrittskontrolle<\/p><ul><li class=\"p2\">Ma\u00dfnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren technische bzw. organisatorische Ma\u00dfnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:<\/li><li class=\"p2\">Um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten gespeichert werden, zu verwehren, werden diese durch elektronische Zugangskontrollsysteme und Personal \u00fcberwacht. Der Zugang wird nur autorisierten Personen (Gesch\u00e4ftsleitung und IT-Personal) gew\u00e4hrt. Videokameras \u00fcberwachen die sensiblen Bereiche (Eing\u00e4nge) des Geb\u00e4udes.<\/li><\/ul><p class=\"p2\">2. Zugangskontrolle<\/p><p class=\"p2\">Ma\u00dfnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden k\u00f6nnen technische (Kennwort- \/ Passwortschutz) und organisatorische (Benutzerstammsatz) Ma\u00dfnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:<\/p><p class=\"p2\">Um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden k\u00f6nnen, werden folgende Ma\u00dfnahmen zum Schutz der IT-Systeme mit Zugang zu der administrativen Oberfl\u00e4che des Datenverarbeitungssystems ergriffen: Zugang nur f\u00fcr eine notwendige geringe Anzahl von Administratoren unter Verwendung einer geheimen Login\/Passwort-Kombination (max. Passwortalter 90 Tage, minimale Passwortl\u00e4nge 8 Zeichen)<\/p><p class=\"p2\">Um zu verhindern, dass die Datenverarbeitungssysteme selbst von Unbefugten genutzt werden k\u00f6nnen, werden folgende Ma\u00dfnahmen zum Schutz der in Anwendungen gespeicherten Daten ergriffen:<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>ein Benutzerstammsatz pro Anwender<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>Zugang nur \u00fcber eine gesicherte Verbindung (z.B. HTTPS) und unter Verwendung einer Login\/Passwort-Kombination (max. Passwortalter 90 Tage, minimale Passwortl\u00e4nge 8 Zeichen)<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>automatische Sperrung des Zugangs nach 20 Minuten Inaktivit\u00e4t; anschlie\u00dfende Neuanmeldung am System m\u00f6glich<\/p><p class=\"p2\">3. Zugriffskontrolle<\/p><p class=\"p2\">Ma\u00dfnahmen, die geeignet sind zu gew\u00e4hrleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschlie\u00dflich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen k\u00f6nnen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden k\u00f6nnen bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren \u00dcberwachung und Protokollierung:<\/p><p class=\"p2\">Um zu gew\u00e4hrleisten, dass die zur Benutzung der Datenverarbeitungssysteme Berechtigten ausschlie\u00dflich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen k\u00f6nnen, unterst\u00fctzen die Datenverarbeitungssysteme die Zuordnung der Benutzer in verschiedene Berechtigungsklassen (je nach Firmenzugeh\u00f6rigkeit und Aufgabe). Jeder Benutzer ist entsprechend seiner Zugriffsberechtigung einer solchen Klasse zugeordnet (Berechtigungskonzept). Zur Gew\u00e4hrleistung, dass personenbezogene Daten nach der Speicherung nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden, wird ein Zugriff auf den Speicherort der personenbezogenen Daten nur von Systemen mit Zugangskontrolle (gem. 2. \u201eZugangskontrolle\u201c) erm\u00f6glicht.<\/p><p class=\"p2\">4. Trennungskontrolle<\/p><p class=\"p2\">Ma\u00dfnahmen, die geeignet sind zu gew\u00e4hrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden k\u00f6nnen Ma\u00dfnahmen zur getrennten Verarbeitung (Speicherung, Ver\u00e4nderung, L\u00f6schung, \u00dcbermittlung) von Daten mit unterschiedlichen Zwecken:<\/p><p class=\"p2\">Um zu gew\u00e4hrleisten, dass die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden k\u00f6nnen, wird die Zugeh\u00f6rigkeit der Daten (z.B. Emittentin, Grund der Datensatzanlage usw.) mit im System gespeichert. Es wird \u00fcber das Berechtigungskonzept gew\u00e4hrleistet, dass das Lesen, die Speicherung, die \u00c4nderung und die L\u00f6schung der Daten nur f\u00fcr autorisierte Benutzer m\u00f6glich ist.<\/p><p class=\"p2\">II. Integrit\u00e4t der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)<\/p><p class=\"p2\">1. Weitergabekontrolle<\/p><p class=\"p2\">\uf0a7\tMa\u00dfnahmen, die geeignet sind zu gew\u00e4hrleisten, dass personenbezogene Daten bei der elektronischen \u00dcbertragung oder w\u00e4hrend ihres Transports oder ihrer Speicherung auf Datentr\u00e4ger nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden k\u00f6nnen, und dass \u00fcberpr\u00fcft und festgestellt werden kann, an welche Stellen eine \u00dcbermittlung personenbezogener Daten durch Einrichtungen zur Daten\u00fcbertragung vorgesehen ist  Ma\u00dfnahmen bei Transport, \u00dcbertragung und \u00dcbermittlung oder Speicherung auf Datentr\u00e4ger (manuell oder elektronisch) sowie bei der nachtr\u00e4glichen \u00dcberpr\u00fcfung:<\/p><p class=\"p2\">Zur Verhinderung eines unbefugten Lesens, Kopierens, \u00c4nderns oder Entfernens der personenbezogenen Daten bei der elektronischen \u00dcbertragung vom PC des Anwenders zum Speicherort der Daten wird eine starke Verschl\u00fcsselung verwendet (Shared-Key-Verfahren; RSA 1024Bit). Ein Transport der personenbezogenen Daten \u00fcber den Austausch von Speichermedien erfolgt nicht. Zum Lesen und Speichern der personenbezogenen Daten sind nur solche Systeme berechtigt, die auf einem System mit Zugangskontrolle (gem. 2. \u201eZugangskontrolle\u201c) gestartet wurden und die zur Anmeldung an das Speichersystem (Datenbank) eine nur zu diesem Zwecke eingerichtete Login\/Passwort-Kombination benutzen. Die Stellen, an welchen eine \u00dcbermittlung personenbezogener Daten durch Einrichtungen zur Daten\u00fcbertragung vorgesehen sind, sind in einem Anwendungshandbuch gesondert aufgef\u00fchrt.<\/p><p class=\"p2\">2.Eingabekontrolle<\/p><p class=\"p2\">Ma\u00dfnahmen, die geeignet sind zu gew\u00e4hrleisten, dass nachtr\u00e4glich \u00fcberpr\u00fcft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver\u00e4ndert oder entfernt worden sind Ma\u00dfnahmen zur nachtr\u00e4glichen \u00dcberpr\u00fcfung, ob und von wem Daten eingegeben, ver\u00e4ndert oder entfernt (gel\u00f6scht) worden sind:<\/p><p class=\"p2\">Um zu gew\u00e4hrleisten, dass nachtr\u00e4glich \u00fcberpr\u00fcft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, ver\u00e4ndert oder entfernt wurden, werden alle Nutzeraktivit\u00e4ten protokolliert. Der jeweils unver\u00e4nderte Datensatz bleibt im System zur Bestimmung des \u00c4nderungsausma\u00dfes gespeichert.<\/p><p class=\"p2\">III. Verf\u00fcgbarkeit, Belastbarkeit und rasche Wiederherstellbarkeit der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) und lit. c) DSGVO)<\/p><p class=\"p2\">Ma\u00dfnahmen, die geeignet sind zu gew\u00e4hrleisten, dass personenbezogene Daten gegen zuf\u00e4llige Zerst\u00f6rung oder Verlust gesch\u00fctzt sind  Ma\u00dfnahmen zur Datensicherung (physikalisch \/ logisch):<\/p><p class=\"p2\">Zur Gew\u00e4hrleistung des Schutzes personenbezogener Daten gegen zuf\u00e4llige Zerst\u00f6rung oder Verlust werden folgende Ma\u00dfnahmen sichergestellt<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>t\u00e4gliches Voll-Backup auf B\u00e4nder, die anschlie\u00dfend an zutrittsgesicherten Orten (siehe Punkt 1 \u201eZutrittskontrolle\u201c) gelagert werden<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>st\u00e4ndig aktuell gehaltenes Betriebssystem (Sicherheitsupdates)<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>st\u00e4ndig aktuell gehaltener Virenschutz und Firewall auf IT-Systemen, \u00fcber die Zugriff auf personenbezogene Daten m\u00f6glich ist<\/p><p class=\"p2\"><span class=\"s2\">\u2022 <\/span>Notfallplan- unterbrechungsfreie Stromversorgung (USV) zur Verhinderung des Verlustes nicht gespeicherter Daten bei Stromausf\u00e4llen und -schwankungen<\/p><p class=\"p2\">B. Auftragsspezifische technische und organisatorische Ma\u00dfnahmen sind dabei insbesondere:<\/p><p class=\"p2\">Personenbezogene Daten werden ausschlie\u00dflich in einem zutrittsgesicherten Geb\u00e4ude (siehe Punkt I. 1 \u201eZutrittskontrolle\u201c) in einem zugangsgesch\u00fctzten IT-System (siehe Punkt I. 2 \u201eZugangskontrolle\u201c) in einer zugriffsgesch\u00fctzten Anwendung (siehe Punkt I. 3 \u201eZugriffsschutz\u201c) gespeichert. Zu Testzwecken werden keine personenbezogenen Daten in andere Systeme kopiert. Testsysteme sind so konfiguriert, dass von dort aus kein Zugriff auf personenbezogene Daten im Produktivsystem m\u00f6glich ist.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>TECHNICAL AND ORGANIZATIONAL MEASURES ACCORDING TO ARTICLE 32(1) GDPR As of: April 2024 A. I. Confidentiality of IT Systems and Data Processing (Article 32(1)(b) GDPR) 1. Access Control Measures suitable for preventing unauthorized access to data processing systems used for processing or using personal data; Technical and organizational measures for access control, particularly for authentication [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-283","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/pages\/283","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/comments?post=283"}],"version-history":[{"count":13,"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/pages\/283\/revisions"}],"predecessor-version":[{"id":936,"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/pages\/283\/revisions\/936"}],"wp:attachment":[{"href":"https:\/\/cloud2go.de\/de\/wp-json\/wp\/v2\/media?parent=283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}