Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, damit die Anforderungen der DSGVO erfüllt werden.
Zudem fordern die Datenschutzgesetze des Bundes und der Länder, dass für jede Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen auszuwählen und umzusetzen sind, die nach dem Stand der Technik und nach der Schutzbedürftigkeit der zu verarbeitenden Daten erforderlich und angemessen sind.
In den folgenden Abschnitten werden die technischen und organisatorische Maßnahmen nach Art. 32 Datenschutz-Grundverordnung (DSGVO) und § 64 Bundesdatenschutzgesetz (BDSG neu) der BMS Berens Mosiek Siemes Consulting GmbH beschrieben.
Technische und organisatorische Maßnahmen
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle (Räume und Gebäude)
Maßnahmen die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden:
-
-
- Einbruchshemmende Türen
- Verwendung von Sicherheitsschlüsseln
- Schlüsselvergabe nur an berechtigte Personen (Schlüsselregelung)
- Führung eines Schlüsselverzeichnisses
- Sorgfältige Auswahl von Reinigungspersonal und externen Dienstleistern
- Protokollierung von Besuchern, Begleitung durch eigene Mitarbeiter
Zugangskontrolle (IT-Systeme und Anwendungen)
Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
-
-
- Zugang zu Computern nur mit Hilfe gesicherter Authentifizierungsverfahren (Benutzerkonto/Passwort)
- Individuelle, geheime und komplexe Passwörter
- Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
- Das Kennwort muss mindestens 8 Zeichen lang sein.
- Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
- Großbuchstaben (A bis Z)
- Kleinbuchstaben (a bis z)
- Zahlen zur Basis 10 (0 bis 9)
- Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
- Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.
- Kontosperrungen erfolgen automatisch nach 5 Fehlversuchen
- Einsatz stets aktuell gehaltener Anti-Viren-Software (Server und Clients)
- Remote-Zugänge durch verschlüsselte VPN-Tunnel mit zentraler Anmeldung
- Absicherung der DV-Systeme und Netzwerke gegen Zugänge von außen mittels Firewall
- Trennung der Netzwerke in USER-Netze und Admin-Netze (getrennte VLANs)
- Daten werden nur verschlüsselt in externen Backup-Systemen gelagert
- Verschlüsselung von mobilen Datenträgern
- Automatische Sperrung des Bildschirms
- Prozesse für Rechtevergabe/-entzug bei Eintritt, Veränderung und Austritt von Mitarbeitern
- Regelmäßige Kontrolle der Gültigkeit der Zugangsberechtigungen
- Verpflichtung aller Mitarbeiter auf Vertraulichkeit
- Protokollierung und Auswertung von Systemprotokollen
Zugriffskontrolle (auf Daten und Informationen)
Maßnahmen die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten Zugang haben und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
-
-
- Einsatz einer zentralen Firewall
- Berechtigungskonzept und individuelle Vergabe von Benutzerrechten (Rollen-basiert)
- Erteilung und Nutzung von Administratorenrechten auf das Notwendigste begrenzt (Trennung von User- und Admin-Accounts)
- Admin-Accounts nur mit Multi-Faktor-Authentifizierung (MFA-Verfahren)
- Festlegung der Zugriffsberechtigung und der Befugnis zur Dateneingabe, -änderung, -löschung
- Trennung der Berechtigungsbewilligung (organisatorisch) und Vergabe (technisch)
- Regelmäßige Überprüfung der Zugriffsberechtigung
- Auswertung von Zugriffsprotokollen
- Konzept zur Laufwerksnutzung und –Zuordnung
- Datenschutzkonforme Vernichtung von Datenträgern und vertraulichen Unterlagen (Shredder der Sicherheitsstufe 4, Verwendung von „Datentonnen“)
Trennungskontrolle
Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
-
-
- Trennung von Speicherbereichen nach Kunden/Mandanten und Projekten
- Trennung von Zugriffen auf Basis von Organisations-/Abteilungs-/Teamgrenzen
- Separierung von Dateien bei Datenbanken
- Logische Trennung von Datenbeständen
- Trennung von Entwicklungs-, Test- und Produktivsystemen
Pseudonymisierung (Artikel 32 Abs. 1 lit. a DSGVO; Artikel 25 Abs. 1 DSGVO)
Maßnahmen die gewährleisten, dass bei der Verarbeitung personenbezogener Daten in einer Weise, die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
-
-
- Verwendung von Pseudonymisierungs- und Anonymisierungsverfahren sofern verfahrenstechnisch sinnvoll. In diesen Fällen erfolgt die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
- Weitergabe von Daten nur in anonymisierter oder pseudonymisierter Form.
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Maßnahmen die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:
-
-
- Einsatz der Systeme nur im privaten Netzwerk oder über verschlüsselte Verbindungen in öffentlichen Netzwerken (IPsec verschlüsselter VPN-Tunnel)
- Für einen Zugriff auf die DV-Systeme muss sich ein Benutzer mittels Benutzernamen und Passwort authentifizieren.
- E-Mail-Richtlinie bzw. kein unverschlüsselter Versand personenbezogener Daten per E-Mail
- E-Mailversand erfolgt mittels TLS-Verschlüsselung (TLS 1.2)
- Einsatz von E-Mail-Signaturen
- „Data Loss Prevention“-Mechanismen zur Identifikation personenbezogener Datensätze und Verhinderung von Datenweitergaben (E-Mails, Downloads, Dokumente)
- Keine Einsicht auf Bildschirme von außerhalb des Gebäudes möglich
- Sorgfältige Auswahl von Transportpersonal-/Fahrzeugen bzw. sichere Verpackungen
Eingabekontrolle
Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
-
-
- Organisatorische Festlegung der Zuständigkeiten für die Eingabe (mittels Zugriffsrechte
- Veränderungen/Löschungen von personenbezogenen Daten durch den Auftragnehmer erfolgen ausschließlich nach Beauftragung durch den Auftraggeber.
- Protokollierung von Eingaben/Änderungen/Löschungen
- Protokollauswertung und Sicherung mehrere Versionssätze im Rahmen des Backups
- Kontrolle der Dateneingabe
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
-
-
- Einsatz von Rauchmelder und Feuerlöschern
- Nutzung von Systemen zum Schutz vor Blitzschäden und Spannungsschwankungen
- Klimatisierung und Überwachung von Temperatur und Feuchtigkeit an zentralen Systemen
- Einsatz von Firewall, Virenscanner, Spam-Filter,
- Regelmäßige Produkt-/Software-Updates
- Regelmäßige Untersuchung von Hard- und Software-Schwachstellen
- Notfallkonzept und Notfallplan
- Regelmäßige Datensicherungen
- getrennte Aufbewahrung der Sicherungen
- Einsatz von unterbrechungsfreien Stromversorgungen (USV) an zentralen Komponenten
Wiederherstellbarkeit
Maßnahmen die gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
-
-
- Spiegelung von Festplatten und Systemen
- Redundante Sicherung von Daten und Systemen
- Auslagerung von verschlüsselten Sicherungskopien
- Regelmäßige Überprüfung der Wiederherstellbarkeit
- Vertretungsregelungen für abwesende Mitarbeiter
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs zur Gewährung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Datenschutz-Management (Leitlinie(n), Richtlinien, Arbeitsanweisungen und Sicherheitskonzepte)
Datenschutzfreundliche Voreinstellung (Art. 25 DSGVO)
-
-
- Berücksichtigung der Datenschutzgrundsätze bei der Verarbeitung personenbezogener Daten
- Verarbeitung personenbezogener Daten nur für den bestimmten Verarbeitungszweck
- Regelmäßige Sensibilisierung (Infoveranstaltungen, Newsletter, Schulungen) der Mitarbeiter für das Thema Datenschutz
- Schaffung eines Bewusstseins für eine sorgsame Absicherung des Arbeitsumfeldes.
- Passworteingaben müssen unbeobachtet erfolgen,
- geschäftliche Passwörter dürfen nicht außerhalb (z. B. privat zuhause) verwendet werden.
Kontrolle der Unterauftragnehmer
-
-
- Sorgfältige Auswahl geeigneter Dienstleister aufgrund von Standort und Datenschutz-Maßnahmen (Vorabüberzeugungspflicht)
- Zentrale Erfassung vorhandener Dienstleister
- Regelmäßige Überprüfung auf Eignung der Dienstleister
- Abschluss von Verträgen zur Auftragsdatenverarbeitung
- Schriftliche Weisungen und Festlegung der Zuständigkeiten, Kontrollrechte vereinbart
- Sichtung vorhandener IT-Sicherheitszertifikate und laufende Kontrolle der Auftragnehmer
Regelmäßige Kontrollen, Dokumentation und ggf. Optimierung
-
-
- Es finden regelmäßige Kontrollen der Verarbeitungsverfahren statt. Basierend auf dem Stand der Technik und nach der Schutzbedürftigkeit der zu verarbeitenden Daten, werden entsprechende Maßnahmen ergriffen, um den Datenschutzgrundsätzen – wie etwa Datenminimierung – gerecht zu werden
- Regelmäßige interne Kontrolle der getroffenen Sicherungsmaßnahmen. (ggf. Anpassung an den Stand der Technik)
- Prüfungen des externen Datenschutzbeauftragten auf Einhaltung der festgelegten Prozesse und Vorgaben zur Konfiguration und Bedienung der IT-Systeme