Wähle ein anderes Land oder eine andere Region, um Inhalte für deinen Standort zu sehen.

Technisch-organisatorische Maßnahmen

 

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen), z. B.:

     - Magnet- oder Chipkarten
     - Schlüssel
     - elektrische Türöffner
     - Werkschutz bzw. Pförtner
     - Alarmanlagen
     - Videoanlagen;

Zugangskontrolle (keine unbefugte Systembenutzung), z. B.:

     - (sichere) Kennwörter
     - automatische Sperrmechanismen
     - Zwei-Faktor-Authentifizierung
     - Verschlüsselung von Datenträgern;

Zugriffskontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems), z. B.:

     - Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
     - Protokollierung von Zugriffen;

Trennungskontrolle (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden), z. B.:

     - Mandantenfähigkeit
     - Sandboxing;

 

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

 

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport), z. B.:

     - bei Fernwartung werden nur verschlüsselte Verbindungen eingesetzt
     - die Website des Auftragnehmers ist verschlüsselt (https)
     - Verschlüsselung
     - Virtual Private Networks (VPN)
     - elektronische Signatur;

Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind), z. B.:

     - Protokollierung
     - Dokumentenmanagement;

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust), z. B.:

     - Backup-Strategie (online/offline; on-site/off-site)
     - unterbrechungsfreie Stromversorgung (USV)
     - Virenschutz
     - Firewall
     - Meldewege
     - Notfallpläne

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management;
Incident-Response-Management;
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
Auftragskontrolle (keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers), z. B.:

     - eindeutige Vertragsgestaltung
     - formalisiertes Auftragsmanagement
     - strenge Auswahl des Dienstleisters
     - Vorabüberzeugungspflicht
     - Nachkontrollen.