YKSolutions - Freiberufler - IT Consulting

Yannik Korzikowski Fotografie und Design - Einzelunternehmen - Agenturbetrieb

Yannik Korzikowski

Seffenter Weg 29

Telefon: +49 15236997958

E-Mail: contact@korzikowski.de

interner Datenschutzbeauftragter

Verarbeitungstätigkeiten

Anhang zum Verarbeitungsverzeichnis – TOM

1. Gewährleistung der Vertraulichkeit

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren

  • Verschließen der Türen bei Abwesenheit

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen
  • Pflicht zur Passwortnutzung
  • Authentifikation durch biometrische Verfahren (Fingerabdruck)
  • Authentifikation durch Benutzername und Passwort
  • Einsatz von VPN-Technologie bei Zugriff von außen auf die internen Systeme

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Nutzer-Berechtigungskonzept
  • Verwaltung der Nutzerrechte durch Systemadministrator
  • Anzahl der Administratoren auf das Notwendigste reduziert
  • Protokollierung von Zugriffen auf Anwendungen
  • physische Löschung von Datenträgern vor Wiederverwendung
  • ordnungsgemäße Vernichtung von Datenträgern
  • Einsatz von Aktenvernichtern
  • Einsatz von Datenträgerverschlüsselung (LUKS)

Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • logische Mandantentrennung
  • Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept
  • Trennung von Produktiv- und Testsystem

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • sorgfältige Auswahl des Auftragnehmers (Überprüfung des Dienstleisters)
  • vorherige Prüfung und Dokumentation der beim Auftragnehmer existierenden TOMs
  • schriftliche Vereinbarung mit dem Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit
  • Datenschutzbeauftragter beim Auftragnehmer
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • vertraglich festgelegte Kontrollrechte gegenüber dem Auftragnehmer
  • regelmäßige Überprüfung des Auftragnehmers und seiner Tätigkeiten
  • vertraglich festgelegte Vertragsstrafen bei Verstößen

Pseudonymisierung

  • Nutzung von pseudonymisierten Daten bei Datenübermittlung an externe Dienstleister

Verschlüsselung

  • Datenträgerverschlüsselung unter Windows 10 mittels Bitlocker
  • Datenträgerverschlüsselung unter MacOS mittels FileVault
  • Datenträgerverschlüsselung unter Linux mittels LUKS

2. Gewährleistung der Integrität

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Protokollierung der Eingabe, Änderung und Löschung von Daten im System
  • individuelle Benutzernamen für Nutzer
  • sichere Aufbewahrung von Papierunterlagen, von denen Daten ins EDV-System übernommen wurden
  • Nachvollziehbarkeit durch Berechtigungskonzept

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Nutzung von Standleitungen bzw. VPN-Tunneln
  • Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich)
  • verschlüsselte E-Mail-Übertragung (SSL/TLS)
  • Verschlüsselung E-Mail-Inhalte (Software-Zertifikat, GnuPG)
  • vertraglich vereinbarte Rechte und Pflichten in Bezug auf die Datenweitergabe
  • festgelegte Löschfristen
  • sichere Transportverpackungen
  • sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern
  • Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion
  • Regelungen zum sicheren Transport von Datenträgern

3. Gewährleistung der Verfügbarkeit

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • unterbrechungsfreie Stromversorgung (USV), zumindest für Server
  • Alarmanlage im Serverraum
  • Klimaanlage in Serverräumen
  • Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Schutzsteckdosenleisten für EDV-Geräte
  • Feuer- bzw. Rauchmeldeanlagen
  • Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude
  • Datensicherungs-Konzept
  • regelmäßiges Testen der Funktionsweise der Datensicherung
  • Notfallkonzept
  • Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort
  • Serverräume nicht unterhalb von sanitären Anlagen gelegen
  • keine Wasserleitungen in Serverräumen bzw. über den Server-Rechnern
  • Serverräume nicht in Hochwasser gefährdeten Kellerräumen

4. Gewährleistung der Belastbarkeit der Systeme

Belastbarkeit der IT-Systeme

  • Antiviren-Software
  • Hardware-Firewall
  • Software-Firewall
  • sorgfältige Auswahl des externen IT-Dienstleisters

5. Wiederherstellung der Verfügbarkeit

Wiederherstellbarkeit von IT-Systemen

  • sorgfältig ausgewählter interner System-Administrator
  • Vorhaltung von Ersatz-Hardware / Server
  • Vorhaltung von Ersatz-Hardware / Arbeitsplätze
  • sorgfältig ausgewählter IT-Dienstleister

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Informations-Sicherheits-Management-System (ISMS)

  • regelmäßige Prüfung der TOM (mind. 2x jährlich) durch Geschäftsführer und System-Administrator
  • elektronisches Datenschutz-Handbuch mit Vorgaben zu regelmäßigen Prüfintervallen (ggf. eingebunden in vorhandenes Dokumenten-Management-System)