Auftragsverarbeitung

Eingesetzte technische und organisatorische Maßnahmen

Allgemeines

Grundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:

-Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens jährlich evaluiert wird.

-Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.

-Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.

-Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch  Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO). Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.

-Beschäftigte und Mitglieder werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für
betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.

-Die an Beschäftigte und Mitglieder ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus dem Verein, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.

-Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

-Beschäftigte und Mitglieder werden auf Datenschutz, Informationssicherheit und Compliance sensibilisiert.  

Zutrittskontrolle

-Absicherung des Gebäudes, Fenster und Türen
-Absicherung bei Homeoffice/ Telearbeit-Arbeitsplätzen
-Schlüsselregelung / Liste

Zugangskontrolle

-Login mit Benutzername + Passwort
-Anti-Virus-Software Clients
-Anti-Virus-Software mobile Geräte
-Firewall
-Einsatz VPN bei Remote-Zugriffen
-Automatische Desktopsperre
-Verschlüsselung von Notebooks / Tablet
-Allg. Richtlinie Datenschutz und / oder Sicherheit / EDV
-Mobile Device Policy
-Richtlinie „Clean Desk“
-Regelmäßige Kontrolle der Gültigkeit von Berechtigungen
-Anleitung „Manuelle Desktopsperre“
-Richtlinie „Löschen / Vernichten“
-Verwalten von Benutzerberechtigungen
-Richtlinie „Sicheres Passwort“
-Verschlüsselung Smartphones

Zugriffskontrolle

-Verwaltung Benutzerrechte durch Administratoren
-Implementieren eines ausreichend differenzierten Rollen- und Berechtigungsmodells
-Maschinelle Überprüfung der Berechtigungen
-Identifikation und Authentifizierung der Benutzer
-Verwendung von Benutzerkennungen
-Die Installation von Software auf einem PC ist nur mittels Admin-Rechten (durch den
Administrator) möglich
-Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger
-Minimale Anzahl an Administratoren

Trennungskontrolle

-Trennung von Produktiv- und Test-umgebung
-Physikalische Trennung (Systeme / Datenbanken / Datenträger)
-Klare innerbetriebliche Vorgaben für Datenerhebung und Verarbeitung
-Dokumentation der verwendeten Datenbanken
-Mandantenfähigkeit relevanter Anwendungen

Pseudonymisierung & Verschlüsselung

-Personenbezogene Daten werden im Falle einer Weitergabe oder auch nach
Ablauf der gesetzlichen Löschfrist möglichst anonymisiert / pseudonymisiert
-Zugriff auf externe Datenquellen bzw. Datensenken via VPN-Tunnel
-Zugriff auf öffentliche Webseiten über https-Protokoll

Eingabekontrolle

-Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
-Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines
Berechtigungskonzepts
-Klare Zuständigkeiten für Löschungen

Weitergabekontrolle

-Einsatz von VPN
-Bereitstellung über verschlüsselte Verbindungen wie sftp, https
-E-Mail-Verschlüsselung
-Protokollierung der Zugriffe und Abrufe

Verfügbarkeit und Belastbarkeit

-Patch-Management vorhanden
-Backup & Recovery-Konzept

-Notfallkonzept
-Kontrolle des Sicherungsvorgangs
-Alle PCs und Notebooks sind so konfiguriert, dass Softwareupdates des Betriebssystems
automatisch eingespielt werden

Datenschutz-Management

-Software-Lösungen für Datenschutz-Management im Einsatz
-Benennung eines internen Datenschutzbeauftragten ohne, dass dafür eine rechtliche Verpflichtung besteht
-Regelmäßige Sensibilisierung (mindestens jährlich)
-Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt

Incident-Response-Management

-Einsatz von Virenscanner und regelmäßige Aktualisierung
-Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen /
Datenpannen (auch im Hinblick auf Meldepflicht gegenüber der Aufsichtsbehörde)
-Dokumentation vorhandener PCs und Notebooks
-Dokumentation aller Smartphones, Tablets und sonstige Endgeräte
-Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von
Sicherheitsvorfällen und Datenpannen
-Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
-Dokumentation von Sicherheitsvorfällen und Datenpannen z. B. via Ticketsystem
-Einbindung von DSB in Sicherheitsvorfälle und Datenpannen
-Einsatz von Firewall und regelmäßige Aktualisierung

Datenschutzfreundliche Voreinstellungen

-Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck
erforderlich sind
-Einfache Ausübung des Widerrufrechts der Betroffenen durch technische Maßnahmen

Auftragskontrolle (Outsourcing an Dritte)

-Vorherige Prüfung der vom Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen und
deren Dokumentation
-Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (gerade in Bezug auf
Datenschutz und Datensicherheit
-Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-
Standardvertragsklauseln
-Schriftliche Weisungen an den Auftragsverarbeiter

DSMS-Software

-ISO 27001 zertifiziertes Rechenzentrum
-Firewall
-Virenscanner
-Berechtigungskonzept
-Passwort-Richtlinie
-Zwei-Faktor-Authentisierung
-TLS-Verschlüsselung (AES-256-CBC)
-CSRF-Tokens und X-Frame-Policy
-Redundante Datensicherung