Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
betrieb:dsgvo-verarbeitungsverarbeitungsverzeichnis [2022/08/08 15:36] – ykorzikowski | betrieb:dsgvo-verarbeitungsverarbeitungsverzeichnis [2022/08/08 16:32] (current) – ykorzikowski | ||
---|---|---|---|
Line 17: | Line 17: | ||
# Verarbeitungstätigkeiten | # Verarbeitungstätigkeiten | ||
+ | |||
+ | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
+ | |||
+ | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
+ | |||
+ | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
+ | |||
+ | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
+ | |||
+ | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
[[dsgvo-verarbeitungsverarbeitungsverzeichnis: | [[dsgvo-verarbeitungsverarbeitungsverzeichnis: | ||
+ | |||
+ | # Anhang zum Verarbeitungsverzeichnis – TOM | ||
+ | |||
+ | ## 1. Gewährleistung der Vertraulichkeit | ||
+ | |||
+ | ### Zutrittskontrolle | ||
+ | |||
+ | Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, | ||
+ | |||
+ | - Verschließen der Türen bei Abwesenheit | ||
+ | |||
+ | ### Zugangskontrolle | ||
+ | |||
+ | Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. | ||
+ | |||
+ | - Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen | ||
+ | |||
+ | - Pflicht zur Passwortnutzung | ||
+ | |||
+ | - Authentifikation durch biometrische Verfahren (Fingerabdruck) | ||
+ | |||
+ | - Authentifikation durch Benutzername und Passwort | ||
+ | |||
+ | - Einsatz von VPN-Technologie bei Zugriff von außen auf die internen Systeme | ||
+ | |||
+ | ### Zugriffskontrolle | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - Nutzer-Berechtigungskonzept | ||
+ | |||
+ | - Verwaltung der Nutzerrechte durch Systemadministrator | ||
+ | |||
+ | - Anzahl der Administratoren auf das Notwendigste reduziert | ||
+ | |||
+ | - Protokollierung von Zugriffen auf Anwendungen | ||
+ | |||
+ | - physische Löschung von Datenträgern vor Wiederverwendung | ||
+ | |||
+ | - ordnungsgemäße Vernichtung von Datenträgern | ||
+ | |||
+ | - Einsatz von Aktenvernichtern | ||
+ | |||
+ | - Einsatz von Datenträgerverschlüsselung (LUKS) | ||
+ | |||
+ | ## Trennungsgebot | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern | ||
+ | |||
+ | - logische Mandantentrennung | ||
+ | |||
+ | - Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept | ||
+ | |||
+ | - Trennung von Produktiv- und Testsystem | ||
+ | |||
+ | ## Auftragskontrolle | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters) | ||
+ | |||
+ | - vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs | ||
+ | |||
+ | - schriftliche Vereinbarung mit dem Auftragnehmer | ||
+ | |||
+ | - Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit | ||
+ | |||
+ | - Datenschutzbeauftragter beim Auftragnehmer | ||
+ | |||
+ | - Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | ||
+ | |||
+ | - vertraglich festgelegte Kontrollrechte gegenüber dem Auftragnehmer | ||
+ | |||
+ | - regelmäßige Überprüfung des Auftragnehmers und seiner Tätigkeiten | ||
+ | |||
+ | - vertraglich festgelegte Vertragsstrafen bei Verstößen | ||
+ | |||
+ | ### Pseudonymisierung | ||
+ | |||
+ | - Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister | ||
+ | |||
+ | ### Verschlüsselung | ||
+ | |||
+ | - Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker | ||
+ | |||
+ | - Datenträgerverschlüsselung unter MacOS mittels FileVault | ||
+ | |||
+ | - Datenträgerverschlüsselung unter Linux mittels LUKS | ||
+ | |||
+ | ## 2. Gewährleistung der Integrität | ||
+ | |||
+ | ### Eingabekontrolle | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - Protokollierung der Eingabe, Änderung und Löschung von Daten im System | ||
+ | |||
+ | - individuelle Benutzernamen für Nutzer | ||
+ | |||
+ | - sichere Aufbewahrung von Papierunterlagen, | ||
+ | |||
+ | - Nachvollziehbarkeit durch Berechtigungskonzept | ||
+ | |||
+ | ### Weitergabekontrolle | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - Nutzung von Standleitungen bzw. VPN-Tunneln | ||
+ | |||
+ | - Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich) | ||
+ | |||
+ | - verschlüsselte E-Mail-Übertragung (SSL/TLS) | ||
+ | |||
+ | - Verschlüsselung E-Mail-Inhalte (Software-Zertifikat, | ||
+ | |||
+ | - vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe | ||
+ | |||
+ | - festgelegte Löschfristen | ||
+ | |||
+ | - sichere Transportverpackungen | ||
+ | |||
+ | - sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern | ||
+ | |||
+ | - Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion | ||
+ | |||
+ | - Regelungen zum sicheren Transport von Datenträgern | ||
+ | |||
+ | ## 3. Gewährleistung der Verfügbarkeit | ||
+ | |||
+ | ### Verfügbarkeitskontrolle | ||
+ | |||
+ | Maßnahmen, die gewährleisten, | ||
+ | |||
+ | - unterbrechungsfreie Stromversorgung (USV), zumindest für Server | ||
+ | |||
+ | - Alarmanlage im Serverraum | ||
+ | |||
+ | - Klimaanlage in Serverräumen | ||
+ | |||
+ | - Überwachung von Temperatur und Feuchtigkeit in Serverräumen | ||
+ | |||
+ | - Schutzsteckdosenleisten für EDV-Geräte | ||
+ | |||
+ | - Feuer- bzw. Rauchmeldeanlagen | ||
+ | |||
+ | - Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude | ||
+ | |||
+ | - Datensicherungs-Konzept | ||
+ | |||
+ | - regelmäßiges Testen der Funktionsweise der Datensicherung | ||
+ | |||
+ | - Notfallkonzept | ||
+ | |||
+ | - Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort | ||
+ | |||
+ | - Serverräume nicht unterhalb von sanitären Anlagen gelegen | ||
+ | |||
+ | - keine Wasserleitungen in Serverräumen bzw. über den Server-Rechnern | ||
+ | |||
+ | - Serverräume nicht in Hochwasser gefährdeten Kellerräumen | ||
+ | |||
+ | ## 4. Gewährleistung der Belastbarkeit der Systeme | ||
+ | |||
+ | ### Belastbarkeit der IT-Systeme | ||
+ | |||
+ | - Antiviren-Software | ||
+ | |||
+ | - Hardware-Firewall | ||
+ | |||
+ | - Software-Firewall | ||
+ | |||
+ | - sorgfältige Auswahl des externen IT-Dienstleisters | ||
+ | |||
+ | |||
+ | ## 5. Wiederherstellung der Verfügbarkeit | ||
+ | |||
+ | ### Wiederherstellbarkeit von IT-Systemen | ||
+ | |||
+ | - sorgfältig ausgewählter interner System-Administrator | ||
+ | |||
+ | - Vorhaltung von Ersatz-Hardware / Server | ||
+ | |||
+ | - Vorhaltung von Ersatz-Hardware / Arbeitsplätze | ||
+ | |||
+ | - sorgfältig ausgewählter IT-Dienstleister | ||
+ | |||
+ | ## 6. Verfahren zur regelmäßigen Überprüfung, | ||
+ | |||
+ | ### Informations-Sicherheits-Management-System (ISMS) | ||
+ | |||
+ | - regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator | ||
+ | |||
+ | - elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmäßigen Prüfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System) | ||
+ |