Vorlage

Finanzbuchhaltung

GOBD Dokumentenhaltung

Rechnungsstellung und CRM

Zeiterfassung

Matomo

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren

• Verschließen der Türen bei Abwesenheit

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

• Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen
• Pflicht zur Passwortnutzung
• Authentifikation durch biometrische Verfahren (Fingerabdruck)
• Authentifikation durch Benutzername und Passwort
• Einsatz von VPN-Technologie bei Zugriff von außen auf die internen Systeme

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Nutzer-Berechtigungskonzept
• Verwaltung der Nutzerrechte durch Systemadministrator
• Anzahl der Administratoren auf das Notwendigste reduziert
• Protokollierung von Zugriffen auf Anwendungen
• physische Löschung von Datenträgern vor Wiederverwendung
• ordnungsgemäße Vernichtung von Datenträgern
• Einsatz von Aktenvernichtern
• Einsatz von Datenträgerverschlüsselung (LUKS)

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
• logische Mandantentrennung
• Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept
• Trennung von Produktiv- und Testsystem

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

• sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters)
• vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs
• schriftliche Vereinbarung mit dem Auftragnehmer
• Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit
• Datenschutzbeauftragter beim Auftragnehmer
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• vertraglich festgelegte Kontrollrechte gegenüber dem Auftragnehmer
• regelmäßige Überprüfung des Auftragnehmers und seiner Tätigkeiten
• vertraglich festgelegte Vertragsstrafen bei Verstößen

• Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister

• Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker
• Datenträgerverschlüsselung unter MacOS mittels FileVault
• Datenträgerverschlüsselung unter Linux mittels LUKS

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Protokollierung der Eingabe, Änderung und Löschung von Daten im System
• individuelle Benutzernamen für Nutzer
• sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden
• Nachvollziehbarkeit durch Berechtigungskonzept

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Nutzung von Standleitungen bzw. VPN-Tunneln
• Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich)
• verschlüsselte E-Mail-Übertragung (SSL/TLS)
• Verschlüsselung E-Mail-Inhalte (Software-Zertifikat, GnuPG)
• vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe
• festgelegte Löschfristen
• sichere Transportverpackungen
• sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern
• Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion
• Regelungen zum sicheren Transport von Datenträgern

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• unterbrechungsfreie Stromversorgung (USV), zumindest für Server
• Alarmanlage im Serverraum
• Klimaanlage in Serverräumen
• Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Schutzsteckdosenleisten für EDV-Geräte
• Feuer- bzw. Rauchmeldeanlagen
• Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude
• Datensicherungs-Konzept
• regelmäßiges Testen der Funktionsweise der Datensicherung
• Notfallkonzept
• Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort
• Serverräume nicht unterhalb von sanitären Anlagen gelegen
• keine Wasserleitungen in Serverräumen bzw. über den Server-Rechnern
• Serverräume nicht in Hochwasser gefährdeten Kellerräumen

• Antiviren-Software
• Hardware-Firewall
• Software-Firewall
• sorgfältige Auswahl des externen IT-Dienstleisters

• sorgfältig ausgewählter interner System-Administrator
• Vorhaltung von Ersatz-Hardware / Server
• Vorhaltung von Ersatz-Hardware / Arbeitsplätze
• sorgfältig ausgewählter IT-Dienstleister

• regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator
• elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmäßigen Prüfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System)