### YKSolutions - Freiberufler - IT Consulting ### Yannik Korzikowski Fotografie und Design - Einzelunternehmen - Agenturbetrieb #### Yannik Korzikowski #### Seffenter Weg 29 #### Telefon: +49 15236997958 #### E-Mail: contact@korzikowski.de #### interner Datenschutzbeauftragter # Verarbeitungstätigkeiten [[dsgvo-verarbeitungsverarbeitungsverzeichnis:Vorlage]] [[dsgvo-verarbeitungsverarbeitungsverzeichnis:Finanzbuchhaltung]] [[dsgvo-verarbeitungsverarbeitungsverzeichnis:GOBD Dokumentenhaltung]] [[dsgvo-verarbeitungsverarbeitungsverzeichnis:Rechnungsstellung und CRM]] [[dsgvo-verarbeitungsverarbeitungsverzeichnis:Zeiterfassung]] [[dsgvo-verarbeitungsverarbeitungsverzeichnis:Matomo]] # Anhang zum Verarbeitungsverzeichnis – TOM ## 1. Gewährleistung der Vertraulichkeit ### Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren - Verschließen der Türen bei Abwesenheit ### Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. - Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen - Pflicht zur Passwortnutzung - Authentifikation durch biometrische Verfahren (Fingerabdruck) - Authentifikation durch Benutzername und Passwort - Einsatz von VPN-Technologie bei Zugriff von außen auf die internen Systeme ### Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. - Nutzer-Berechtigungskonzept - Verwaltung der Nutzerrechte durch Systemadministrator - Anzahl der Administratoren auf das Notwendigste reduziert - Protokollierung von Zugriffen auf Anwendungen - physische Löschung von Datenträgern vor Wiederverwendung - ordnungsgemäße Vernichtung von Datenträgern - Einsatz von Aktenvernichtern - Einsatz von Datenträgerverschlüsselung (LUKS) ## Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. - physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern - logische Mandantentrennung - Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept - Trennung von Produktiv- und Testsystem ## Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. - sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters) - vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs - schriftliche Vereinbarung mit dem Auftragnehmer - Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit - Datenschutzbeauftragter beim Auftragnehmer - Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags - vertraglich festgelegte Kontrollrechte gegenüber dem Auftragnehmer - regelmäßige Überprüfung des Auftragnehmers und seiner Tätigkeiten - vertraglich festgelegte Vertragsstrafen bei Verstößen ### Pseudonymisierung - Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister ### Verschlüsselung - Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker - Datenträgerverschlüsselung unter MacOS mittels FileVault - Datenträgerverschlüsselung unter Linux mittels LUKS ## 2. Gewährleistung der Integrität ### Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. - Protokollierung der Eingabe, Änderung und Löschung von Daten im System - individuelle Benutzernamen für Nutzer - sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden - Nachvollziehbarkeit durch Berechtigungskonzept ### Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. - Nutzung von Standleitungen bzw. VPN-Tunneln - Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich) - verschlüsselte E-Mail-Übertragung (SSL/TLS) - Verschlüsselung E-Mail-Inhalte (Software-Zertifikat, GnuPG) - vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe - festgelegte Löschfristen - sichere Transportverpackungen - sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern - Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion - Regelungen zum sicheren Transport von Datenträgern ## 3. Gewährleistung der Verfügbarkeit ### Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. - unterbrechungsfreie Stromversorgung (USV), zumindest für Server - Alarmanlage im Serverraum - Klimaanlage in Serverräumen - Überwachung von Temperatur und Feuchtigkeit in Serverräumen - Schutzsteckdosenleisten für EDV-Geräte - Feuer- bzw. Rauchmeldeanlagen - Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude - Datensicherungs-Konzept - regelmäßiges Testen der Funktionsweise der Datensicherung - Notfallkonzept - Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort - Serverräume nicht unterhalb von sanitären Anlagen gelegen - keine Wasserleitungen in Serverräumen bzw. über den Server-Rechnern - Serverräume nicht in Hochwasser gefährdeten Kellerräumen ## 4. Gewährleistung der Belastbarkeit der Systeme ### Belastbarkeit der IT-Systeme - Antiviren-Software - Hardware-Firewall - Software-Firewall - sorgfältige Auswahl des externen IT-Dienstleisters ## 5. Wiederherstellung der Verfügbarkeit ### Wiederherstellbarkeit von IT-Systemen - sorgfältig ausgewählter interner System-Administrator - Vorhaltung von Ersatz-Hardware / Server - Vorhaltung von Ersatz-Hardware / Arbeitsplätze - sorgfältig ausgewählter IT-Dienstleister ## 6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM ### Informations-Sicherheits-Management-System (ISMS) - regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator - elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmäßigen Prüfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System)