26. Mai 2025 Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO

Grundsätzliche Maßnahmen

Unser Allgemeines Sicherheitskonzept, das der Wahrung der Betroffenenrechte, der unverzüglichen Reaktion in Notfällen und der Einhaltung der Vorgaben zur Technikgestaltung dient:

  • Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst auch die Benennung der für die Umsetzung zuständigen Personen.
  • Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogen und mindestens 1x jährlich evaluiert wird.
  • Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst auch die Benennung der für die Umsetzung zuständigen Personen.
  • Privacy by design: Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
  • Die eingesetzte Software sowie sicherheitsrelevante Inhalte werden stets auf dem aktuellen Stand gehalten.
  • Mitarbeitende werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeitende außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggeber*innen einer Auftragsverarbeitung.
  • Die an Mitarbeitende ausgegebenen Schlüssel, Transponder oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus dem Unternehmen bzw. Wechsel der Zuständigkeiten eingezogen bzw. entzogen.
  • Das Reinigungspersonal, Wachpersonal und übrige Dienstleistende, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

Zutrittskontrolle

  • Elektronische Türschlösser mit automatischer Zutrittsdokumentation
  • Beaufsichtigung von Hilfskräften
  • Zutrittsregelungen für betriebsfremde Personen
  • Richtlinie zur Arbeit am Telearbeitsplatz

Zugangs- & Zugriffskontrolle

  • Keine Lagerung von Geschäftsdaten in den Räumlichkeiten in Abwesenheit Betriebszugehöriger
  • Stets aktuelle Softwareversionen
  • Berechtigungs-/ Authentifizierungskonzepte mit auf das Nötigste beschränkten Zugriffsregelungen
  • Passwort-Richtlinie und Passwort-Manager
  • Verschlüsselung von mobilen Datenträgern und Geräten
  • Verschlüsselung von Festplatten
  • Authentifikation mit personengebundenen Userkonten und Passwörtern und bei erhöhtem Schutzbedarf durch eine zusätzliche Multifaktor-Authentisierung
  • Einsatz von VPN-Technologie
  • Firewall
  • Ordnungsgemäße Vernichtung von Datenträgern

Weitergabekontrolle

  • Festlegung und Dokumentation der Empfänger*innen
  • Pseudonymisierung
  • Verschlüsselung von Datenträgern und Verbindungen
  • E-Mail-Verschlüsselung (PGP)
  • SSL Verschlüsselung nach dem Stand der Technik

Eingabekontrolle

  • Protokollierung von Dateneingaben, -änderungen und -löschungen
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Auftragskontrolle

  • Auswahl von Auftragnehmenden unter Sorgfaltsgesichtspunkten
  • Schriftliche Festlegung der Weisungen
  • Kontrolle der Einhaltung bei Auftragnehmenden
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Verfügbarkeitskontrolle

  • Notfallkonzept
  • Ständig kontrolliertes Backup- und Recoverykonzept
  • Zusätzliche Sicherungskopien mit Lagerung an geografisch getrennten Orten
  • Unterbrechungsfreie Stromversorgung und Überspannungsschutz
  • Sicherstellung einer funktionsfähigen Klimatisierung
  • Einsatz von Festplattenspiegelung

Trennungskontrolle

  • Trennung von Produktiv- und Testsystemen
  • Logische Mandantentrennung (Software)
  • Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem separaten, abgesicherten System