Technische & organisatorische Maßnahmen

gem. Art. 32 DSGVO

Stand: Juni 2023

Unternehmen

ignition teams GmbH

Fabrik Sonntag 6
79183 Waldkirch

Telefon: +49 7681 20644 0

E-Mail: team@ignition-teams.de

 

Vertraulichkeit

Zutrittskontrolle

Getroffene Maßnahmen, die dazu geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Maßnahmen

  • Kameraüberwachung im Bereich der Büroräume
    (außerhalb Arbeitszeiten)

  • Elektronisches Schließsystem

  • Sicherheitsschlösser

  • Außentüren mit Sicherheitsbeschlägen

Organisatorische Maßnahmen 

  • Zugangs-Regelung

  • Besucherbegleitung durch Mitarbeiter

  • Sorgfältige Auswahl der Reinigungsdienste

  • Richtlinien zum Verschluss von Büroräumen

  • Richtlinien zum Verhalten im Homeoffice/ unterwegs

Zugangskontrolle

Getroffene Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische Maßnahmen

  • Login mit Nutzername + Passwort bzw. biometrischen Daten

  • Multi-Faktor Authentifizierung

  • vollständiger Malwareschutz aller Clients (auch mobile Endgeräte)

  • Soft- und Hardware-Firewall

  • Intrusion Prevention/-detection Systeme

  • permanentes Security Awareness Training der Mitarbeiter

  • Device- und Mobile Device Management

  • Daten-Zugriff ausschließlich über gesicherte und reglementierte Endgeräte

  • Ausschließlich verschlüsselte Clients (auch mobile Endgeräte)

  • Automatischer Bildschirmschoner mit Systemsperre, Sichtschutz wo verfügbar

  • verpflichtender Einsatz eines zentralen, hochsicheren Passwortsafes
    inkl. Bewertungsoptionen für Wiederverwendung
    sowie Erkennung von kompromittierten Passwörtern

Organisatorische Maßnahmen

  • Verwaltung von Benutzerberechtigungen

  • Periodische Überprüfung der Berechtigungen

  • Überwachungsrichtlinie für besonders kritische Daten

  • Einsatz einer Passwortrichtlinie

  • Richtlinie für Homeoffice-Arbeitsplätze

  • Richtlinie zu Datenschutz & Informationssicherheit für Mitarbeiter

  • Richtlinie zum Löschen von Daten

  • Richtlinie zur Gestaltung des Arbeitsplatzes

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die unter ihrer Zugriffsberechtigung liegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Massnahmen

  • Protokollierung von Zugriffen auf Daten

  • Protokollierung von Zugriffen auf Anwendungen

  • Physische Löschung von nicht-verschlüsselten Datenträgern

  • Aktenvernichter nach DIN 66399, größtmögliche Vermeidung von Papier

Organisatorische Massnahmen

  • Einsatz von Berechtigungskonzepten

  • Verwaltung & Überprüfung der Benutzerrechte durch Administratoren

  • Prozess zum Entzug von Berechtigungen nach Ausscheiden des Mitarbeiters

  • Prozess zur Anpassung von Berechtigungen nach internem Wechsel des Arbeitsplatzes

  • Minimale Anzahl von Administratoren

Trennungskontrolle

Maßnahmen, die gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben werden, getrennt voneinander verarbeitet werden.

Technische Massnahmen

  • Trennung von Test-, Demonstrations- & Produktivsystem

  • Virtuelle Systemtrennung (Diensttrennung soweit technisch möglich)

  • Mandantenfähige Anwendungen

Organisatorische Massnahmen

  • Einsatz von Berechtigungskonzepten

  • Pflege der Berechtigungen liegt in Organisationsverantwortung

Pseudonymisierung

Die Verarbeitung personenbezogener Daten muss in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Technische Massnahmen

  • Pseudonymisierung von Daten mittels Trennung von zuordenbaren Merkmalen zu den personenbezogenen Daten in getrennten Systemen wo der Arbeitsauftrag es zulässt

Organisatorische Massnahmen

  • Interne Richtlinien zur Anwendung der Pseudonymisierung

Integrität 

Eingabekontrolle

Getroffene Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Massnahmen

  • Protokollierung bei Eingabe, Änderung & Löschung von Daten

Organisatorische Massnahmen

  • Zugriffsregelung zu den Protokollen

  • Zuordenbarkeit von Benutzernamen zu Eingabe, Änderung & Löschung von Daten

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert, gelöscht oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Massnahmen

  • E-Mail Transportverschlüsselung

  • Compliance-Überwachung bei E-Mail-Verkehr

  • E-Mail-Authentizität verifizierbar durch SPF/DKIM/DMARC

  • Nutzung verschlüsselter Verbindungen für Datenübermittlungen (HTTPS/SSL)

  • Protokollierung von Datenzugriffen, -abruf, -transport

  • Fortlaufende Überwachung von externen Zugriffsberechtigungen mit Risikobewertung

Organisatorische Massnahmen

  • Datenweitergabe in anonymisierter Form

  • Richtlinie zur Nutzung von mobilen Datenträgern

Verfügbarkeit & Belastbarkeit

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Massnahmen

  • Redundante Datenhaltung / -sicherung in getrennten Geolokationen

  • Keine lokale Primärspeicherung von Daten

  • Zugangskontrolle zu Clouddaten ausschließlich mit MFA oder Standortauthentifizierung

  • keine singuläre Speicherung von betriebskritischen Daten auf Clients
    (umgehende Cloud-Sicherung aller Daten)

  • Verschlüsselung der Datensicherungen

  • Malwareprüfung jeglicher Datentransfers in und aus der Datensicherung

  • Früherkennung von Ransomware-Angriffen mit vollständiger Revidierbarkeit

Organisatorische Massnahmen

  • langfristige (weitgehend unbefristete) Datensicherung aller Produktivdaten
    mit selektiver Löschoption für personenbezogene, löschfähige Daten

  • Aufbewahrung einer Datensicherung an getrennter Geolokation

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Die getroffenen technischen und organisatorischen Maßnahmen sind nicht als statisches Paket anzusehen, das, einmal erreicht, bis auf Weiteres Bestand hat. Anhand von sich ändernden Parametern wie Gesetzeslage, geänderte Verfahren zur Datenverarbeitung, räumliche, personelle und organisatorische Änderungen ist es unabdingbar, den Kreislauf mittels regelmäßiger Überprüfung, Bewertung der Ergebnisse und Evaluierung von Anpassungen zu schließen.

Datenschutzmaßnahmen

Maßnahmen, die ein fortlaufendes Beibehalten des gesetzlich geforderten Datenschutzniveaus unter Einbeziehung der bereits getroffenen Maßnahmen gewährleisten.

Technische Massnahmen

  • Zentrale elektronische Dokumentation von Verfahren & Regelungen zum Datenschutz mit Zugriff für Mitarbeiter

  • Mind. jährliche Überprüfung der technischen Schutzmaßnahmen

    Organisatorische Massnahmen

  • Leitlinie für Datenschutz & Informationssicherheit durch Geschäftsführung

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis

  • Richtlinien für Beschäftigte zum Umgang mit personenbezogenen Daten

  • Prozess zur Bearbeitung v. Betroffenenanfragen

  • Prozess zur Meldung von Datenschutzverstößen

  • Prozess zur Erfüllung der Informationspflichten nach Art. 13 & 14 DSGVO

  • Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Incident Response Plan

Maßnahmen zur Reaktion auf Datenschutz- und Sicherheitsverletzungen, die zur Erkennung, Eindämmung, Beseitigung und Wiederherstellung der Betriebsfähigkeit dienen.

Technische Massnahmen

  • Einsatz von Intrusion Detection Lösungen

  • Einsatz von Intrusion Prevention Lösungen

  • Verwaltungssystem mit Angriffserkennung und Blockademechanismen

  • Einsatz von Virenschutzlösungen mit mindestens täglicher Aktualisierung

  • Einsatz von Anti Spam Lösungen für E-Mail

  • Einsatz von Anomalie-Erkennungs-Systemen mit verteilten Sensoren

  • Trennbarkeit von Netzwerksegmenten

  • Redundante Datenhaltung / -sicherung in getrennten Geozonen

Organisatorische Massnahmen

  • Prozess zur Erkennung, Meldung & Dokumentation von Datenschutz- und Sicherheitsvorfällen

  • Etablierung von Meldeketten bei Vorfällen

  • Prozess zur Übernahme von Verantwortlichkeiten, Vertretungen

  • Prozess zur Krisenkommunikation

 

Datenschutzfreundliche Voreinstellungen

Privacy by Design / Privacy by Default

Technische Massnahmen

  • Einhaltung der Datensparsamkeit

  • Ermöglichung der Wahrung des Widerrufrechts durch technische Maßnahmen

 

Auftragskontrolle (bei Einsatz von Auftragsverarbeitern)

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

Organisatorische Massnahmen

  • Prozess zur sorgfältigen Auswahl von Auftragnehmern

  • Abschluss eines Auftragsverarbeitungsvertrags

  • Schriftliche Weisung des Auftragnehmers

  • Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses

  • Regelung weiterer Unterauftragnehmer

  • Vereinbarung von Kontrollrechten beim Auftragnehmer

  • Regelung der Rechte und Pflichten von Auftraggeber & Auftragnehmer