1. Vertraulichkeit
1.1 Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen des Auftragnehmers
- Manuelles Schließsystem
- Personenkontrolle beim Empfang
- Einbruchmeldeanlage
- Videoüberwachung Geschäftsstelle Außenbereich
- Sorgfältige Auswahl von Reinigungspersonal
1.2 Zugangskontrolle
Keine unbefugte Benutzung der Systeme des Auftragnehmers
- Erstellen von Benutzerprofilen gemäß zugewiesener Aufgaben
- Zuordnung von Benutzerrechten
- Authentifikation mit Benutzername / Passwort
- Verwendung von Passwörtern bezüglich Länge und Komplexität entsprechend IT-Sicherheitsrichtlinien
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Verschlüsselung von Datenträgern in Laptops
- Einsatz einer Hardware-Firewall
- Bildschirmsperre mit Passwortaktivierung
1.3 Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb der Systeme des Auftragnehmers
- differenzierte Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen
- Verwaltung der Rechte durch die Geschäftsleitung
- Reduzierung der Administratorenrollen und deren Nutzung auf das „Notwendigste“
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Protokollierung von Zugriffen auf kritische Unternehmensanwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten, soweit technisch möglich
- ordnungsgemäße Vernichtung von Datenträgern
- Protokollierung der Vernichtung
1.4 Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden in Systemen des Auftragnehmers
- die Daten des Auftraggebers werden, soweit es technisch möglich ist, getrennt von den Daten anderer Kunde des Auftragnehmers gehalten
1.5 Pseudonymisierung
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen
- nicht im Aufgabenbereich des Auftragnehmers
2. Integrität
2.1 Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport aus Systemen des Auftragnehmers heraus
- Authentifizierung erfolgt verschlüsselt
- grundsätzlich erfolgt Transportsicherung von Datenträgern soweit geboten
- Verschlüsselung entsprechend dem Stand der Technik
2.2 Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Systemen eingegeben, verändert oder entfernt worden sind
- Protokollierung der Aktivitäten
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust von Daten in Systemen des Auftragnehmers
- Unterbrechungsfreie Stromversorgung (USV)
- Klimaanlage in Serverräumen
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte in Serverräumen
- Backup- & Recoverykonzept
- Testen von Datenwiederherstellung
- Notfallplan
- Datensicherung an einem externen Standort
- Serverräume nicht unterhalb von Räumen mit sanitären Anlagen
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der TOM
4.1 Datenschutz-Management
- Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Schutzmaßnahmen
- Regelmäßige Datenschutzschulung Beschäftigte
- Datenschutzleitlinie und Arbeitsanweisung Wahrung Betroffenenrechte informiert Beschäftigte über DSGVO-Anforderungen
4.2 Incident-Response-Management
- Arbeitsanweisung zur Erkennung und Meldung von Sicherheitsvorfällen / Datenschutzverletzungen (auch im Hinblick auf Melde- und Benachrichtigungspflicht)
- Dokumentation von Sicherheitsvorfällen / Datenschutzverletzungen
- Dummynutzerkonto zur Alarmierung bei Mißbrauch nach einem breach
4.3 Auftragskontrolle
- Keine Auftragsverarbeitung ohne entsprechende Weisung des Auftraggebers
- eindeutige und Art.28 DSGVO konforme Vertragsgestaltung
- formalisiertes Auftragsmanagement (Ticketsystem)
- strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht
