Technische und organisatorische Maßnahmen (public)
Stand: Jan 1, 2024
Überblick
Eterno trifft geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau im Rahmen des Datenschutzes und der Datensicherheit der vorliegenden Auftragsverhältnisse zu gewährleisten. Eterno sichert insbesondere die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Systeme bzw. Anwendungen zu und setzt hierzu u. a. die nachfolgenden Maßnahmen um.
- 1 Überblick
- 2 Maßnahmen zur Sicherung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
- 2.1 Zutrittskontrolle
- 2.1.1 Technische Maßnahmen
- 2.1.2 Organisatorische Maßnahmen
- 2.2 Zugangskontrolle
- 2.2.1 Technische Maßnahmen
- 2.2.2 Organisatorische Maßnahmen
- 2.3 Zugriffskontrolle
- 2.3.1 Technische Maßnahmen
- 2.3.2 Organisatorische Maßnahmen
- 2.4 Trennungsgebot
- 2.4.1 Technische Maßnahmen
- 2.4.2 Organisatorische Maßnahmen
- 2.1 Zutrittskontrolle
- 3 Maßnahmen zur Sicherung der Integrität gemäß Art. 32 Abs. 1 lit. b) DSGVO
- 4 Maßnahmen zur Sicherung der Verfügbarkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
- 5 Maßnahmen zur Sicherung der Belastbarkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
Maßnahmen zur Sicherung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren:
Technische Maßnahmen
Automatisches Zugangskontrollsystem
Chipkarten- / Transponder-Systeme
Manuelles Schließsystem
Organisatorische Maßnahmen
Schlüsselregelung (Schlüsselausgabe / Liste)
Besucherbuch / Protokoll der Besucher
Sorgfalt bei Auswahl der Reinigungsdienste
Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können:
Technische Maßnahmen
Authentifikation Benutzername / Passwort
Einsatz Anti-Viren-Software Server
Einsatz Anti-Virus-Software Clients
Einsatz Anti-Virus-Software mobile Geräte
Einsatz Hardware-Firewall
Einsatz VPN-Technologie bei Remote-Zugriffen
Automatische Desktopsperre
Verschlüsselung von mobilen Datenträgern (Notebooks/Tablets)
Verschlüsselung Smartphones
Organisatorische Maßnahmen
Verwalten von Benutzerberechtigungen
Erstellen von Benutzerprofilen
Zentrale Passwortvergabe
Richtlinie “Sicheres Passwort”
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
Technische Maßnahmen
Aktenschredder
Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
Passwortrichtlinie (Passwortlänger und Passwortwechsel)
Organisatorische Maßnahmen
Einsatz Berechtigungskonzepte
Minimale Anzahl an Administratoren
Verwaltung Benutzerrechte durch Administratoren
Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist:
Technische Maßnahmen
Trennung von Produktiv- und Testumgebung
Physikalische Trennung (Systeme / Datenbanken / Datenträger)
Versehen der Datensätze mit Zweckattributen / Datenfeldern
Logische Kunden-/Mandantentrennung
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung
Organisatorische Maßnahmen
Steuerung über Berechtigungskonzept
Festlegung von Datenbankrechten
Datensätze sind mit Zweck-Attributen versehen
Maßnahmen zur Sicherung der Integrität gemäß Art. 32 Abs. 1 lit. b) DSGVO
Weitergabe- und Übertragungskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist:
Technische Maßnahmen
E-Mail-Verschlüsselung
Einsatz von VPN-Tunneln
Protokollierung der Zugriffe und Abrufe
Bereitstellung über verschlüsselte Verbindungen wie sftp, https
Organisatorische Maßnahmen
Übersicht regelmäßiger Abruf- und Übermittlung-Vorgängen
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:
Technische Maßnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
Manuelle oder automatisierte Kontrolle der Protokolle
Organisatorische Maßnahmen
Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Maßnahmen zur Sicherung der Verfügbarkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Technische Maßnahmen
Feuer- und Rauchmeldeanlagen
Feuerlöscher Serverraum
Serverraum-Überwachung Temperatur und Feuchtigkeit (Klimatisierung)
Schutz-Steckdosenleisten Serverraum
Videoüberwachung Serverraum
Unterbrechungsfreie Stromversorgung (USV)
Alarmmeldung bei unberechtigtem Zutritt zu Serverraum
Organisatorische Maßnahmen
Backup & Recovery-Konzept (ausformuliert)
Kontrolle des Sicherungsvorgangs
Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums (Respektive Cloud-Lösung)
Getrennte Partitionen für Betriebssysteme und Daten
Maßnahmen zur Sicherung der Belastbarkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
Maßnahmen, die die Überprüfung einer datenschutzkonformen und sicheren Verarbeitung kontinuierlich sicherstellen:
Technische Maßnahmen
Vorversion eines Sicherheitskonzept nach ISO 27001
Organisatorische Maßnahmen
Externer Datenschutzbeauftragter
Regelmäßige Schulung der Mitarbeitenden (mind. jährlich) und auf Vertraulichkeit / Datengeheimnis verpflichtet
Die Datenschutz-Folgeabschätzung (DSFA) wird bei Bedarf durchgeführt