DSMS.EU

DSMS.EU
Team
Testimonials

  • Datenschutz und Informationssicherheit.

    untrennnbar verknüpft

  • BDSG und DSGVO - Bundesdatenschutzgesetz - Datenschutzgrundverordnung

    Neue Gesetze und Richtlinien seit Mai 2018

  • Wir bieten Ihnen das passende Framework für diese Unternehmensaufgabe

    DSMS.EU

  • DSMS

    ... steht für DatenSchutzManagementSystem
Featuread Posts some tile Datenschutz & Informationssicherheit
Kontakt
Cockpit
Featured Projects
Ticketsystem
CMS
Dokumentation
Projekte

© 2018/2019 DSMS.EU

Alle Rechte liegen bei DSBextern.de

All rights reserved by DBSextern.de

Über uns

Datenschutz - neu gedacht.

WAS KÖNNEN WIR FÜR SIE TUN?

 

Benennung

Cras metus sem, mattis et volutpat ac, dignissim quis arcu. Fusce pretium suscipit mauris, in rhoncus arcu. Pellentesque malesuada dolor a lorem ultrices dapibus vel eget neque.

 

Unterstützung

Cras metus sem, mattis et volutpat ac, dignissim quis arcu. Fusce pretium suscipit mauris, in rhoncus arcu. Pellentesque malesuada dolor a lorem ultrices dapibus vel eget neque.

 

Tools

Cras metus sem, mattis et volutpat ac, dignissim quis arcu. Fusce pretium suscipit mauris, in rhoncus arcu. Pellentesque malesuada dolor a lorem ultrices dapibus vel eget neque.

Team

Datenschutz neu gedacht. Als Experten in Bereich Datenschutz und Informationssicherheit stehen wir mit unserer umfassenden Erfahrung für Sie im Team bereit. Nachfolgend ein Auszug unserer Mitarbeiter, die sich für Sie um das Thema Datenschutz bei Ihnen annehmen.

  • Stefan Spörrer

    Stefan Spörrer

    Datenschutzbeauftragter

Übersicht

Super Design

Donec pulvinar porttitor felis ac tincidunt. Quisque sit amet ligula quis lacus pellentesque luctus consequat aliquam neque. Nunc ac elit eu odio consequat rutrum. Suspendisse nec facilisis turpis. Proin egestas nisl in nibh condimentum, nec ornare erat egestas. Fusce dui est, gravida ut sem vitae, tincidunt pharetra massa. In erat libero, fermentum suscipit pretium vel, eleifend vitae odio. Nullam quis mi velit. Cras ut aliquet orci. Curabitur sollicitudin massa quis magna cursus, a auctor dolor imperdiet. Nullam ultrices pretium mauris, vel fermentum nisl venenatis ac. Aenean adipiscing lorem a purus viverra, eu hendrerit est consequat. Duis felis mauris, imperdiet eu erat a, bibendum egestas arcu. Morbi at pulvinar quam, eget vulputate dolor. Mauris id urna diam. Proin gravida luctus dolor, at aliquet eros pretium id. Donec accumsan leo tellus, quis interdum felis elementum a

Cool Project

Donec pulvinar porttitor felis ac tincidunt. Quisque sit amet ligula quis lacus pellentesque luctus consequat aliquam neque. Nunc ac elit eu odio consequat rutrum. Suspendisse nec facilisis turpis. Proin egestas nisl in nibh condimentum, nec ornare erat egestas. Fusce dui est, gravida ut sem vitae, tincidunt pharetra massa. In erat libero, fermentum suscipit pretium vel, eleifend vitae odio. Nullam quis mi velit. Cras ut aliquet orci. Curabitur sollicitudin massa quis magna cursus, a auctor dolor imperdiet. Nullam ultrices pretium mauris, vel fermentum nisl venenatis ac. Aenean adipiscing lorem a purus viverra, eu hendrerit est consequat. Duis felis mauris, imperdiet eu erat a, bibendum egestas arcu. Morbi at pulvinar quam, eget vulputate dolor. Mauris id urna diam. Proin gravida luctus dolor, at aliquet eros pretium id. Donec accumsan leo tellus, quis interdum felis elementum a

New Project

Donec pulvinar porttitor felis ac tincidunt. Quisque sit amet ligula quis lacus pellentesque luctus consequat aliquam neque. Nunc ac elit eu odio consequat rutrum. Suspendisse nec facilisis turpis. Proin egestas nisl in nibh condimentum, nec ornare erat egestas. Fusce dui est, gravida ut sem vitae, tincidunt pharetra massa. In erat libero, fermentum suscipit pretium vel, eleifend vitae odio. Nullam quis mi velit. Cras ut aliquet orci. Curabitur sollicitudin massa quis magna cursus, a auctor dolor imperdiet. Nullam ultrices pretium mauris, vel fermentum nisl venenatis ac. Aenean adipiscing lorem a purus viverra, eu hendrerit est consequat. Duis felis mauris, imperdiet eu erat a, bibendum egestas arcu. Morbi at pulvinar quam, eget vulputate dolor. Mauris id urna diam. Proin gravida luctus dolor, at aliquet eros pretium id. Donec accumsan leo tellus, quis interdum felis elementum a

  • Super Design

    Super Design

  • Cool Project

    Cool Project

  • New Project

    New Project

Kontakt

Vous pouvez nous contacter lectus. Integer laoreet urna tincidunt sem suscipit, pretium congue nunc dapibus. Proin ac pretium quam. Sed in metus quis elit elementum vestibulum. Quisque tincidunt, ante a egestas venenatis, est neque mattis nisl, ut volutpat turpis erat ac neque.

Your Name (required)

Your Email (required)

Subject

Your Message

Get In Touch

50, Bd Abdellatif Ben Kaddour, Casablanca
info@dsms.com
Phone: +212 548 367 189
Adress

Cockpit

Status
Dashboad
Ticket System
CMS
Dokumentation
Projekte
Tools
Reports

Status

Dashboad

Tools

TOM
ADV
Datenschutzpanne

ADV

TOM

Technische und organisatorische Maßnahmen (TOM)

oder

„Sicherheit der Verarbeitung“ nach Art. 32 DSGVO bzw.

„Verfahrensspezifisches IT-Sicherheitskonzept“ gemäß Art. 32 Abs. 1 DSGVO

Hinweis: Bitte beachten Sie dazu auch folgende Dokumente im DSMS:

  • Dokument 3210 – letzte Version vom November 2018: Technische und organisatorische Maßnahmen in der DSGVO
  • Dokument 2444 – letzte Version aus 2018: Technische und organisatorische Maßnahmen

TOM bzw. „Sicherheit der Verarbeitung“ nach Art. 32 DSGVO bzw. „Verfahrens- spezifisches IT-Sicherheitskonzept“ gemäß Art. 32 Abs. 1 DSGVO, ggf. ein- schließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG-E 2018 (Bayeri- sches Landesdatenschutzgesetz bzw. etwaiges zuständiges Landesdatenschutz- gesetz des jeweiligen Bundeslandes).

Satz (1) des Art. 32 DSGVO „Sicherheit der Verarbeitung“ lautet: Unter Berück- sichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der un- terschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnah- men, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maß- nahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Zur einfacheren Unterscheidung hier noch Hinweise für die Bearbeitung:

Technische und organisatorische Maßnahmen werden meist in einem Atemzug genannt – zum Beispiel als TOM Datenschutz oder Verfahrensspezifisches IT-Sicherheitskonzept.

Dabei unterscheiden sich die beiden folgenden Maßnahmen:

  • Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen las- sen, zum Beispiel durch das Installieren einer Alarmanlage oder Benutzer- konten, die passwortgeschützt sind.
  • Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

Dieses Dokument ist in folgende Maßnahmengruppen unterteilt:

1.Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO
2.Integrität (Art. 32 Abs. 1 lit. b DSGVO)
3.Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
4.Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Die jeweils in der Organisation verwendeten Maßnahmen sind durch ein gekennzeichnet.

Bitte kreuzen Sie an:

Erstprüfung

Wiederholungsprüfung

Die Prüfung Ihrer Angaben wird im Rahmen des internen oder externen Audits von uns geprüft, bei Unklarheiten werden wir Rückfragen stellen, und das Ergebnis im Nachgang zu Dokumentationszwe- cken ins DSMS hochladen.

Name des Unternehmens / Organisation:

Kundennummer (falls bekannt):

Datum der Momentaufnahme:

Bearbeiter:

Funktion / intern / extern:

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO

1.1. Zutrittskontrolle

Kurz: Zutritt zu den Server- und Speichersystemen

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbe- zogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste aber auch Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisungen, Richtlinien oder Betriebsvereinbarungen, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen. Auch die Aufgaben eines Putzdienstes können so ausgestaltet sein, dass dieser seine Reinigungsarbeiten nur zu be- stimmten Zeiten oder unter Aufsicht durchführen darf.

Technische Maßnahmen Organisatorische Maßnahmen
Absicherung der Fenster Besucher in Begleitung durch Mitarbeiter
Absicherung der Feuerleiter Besucherliste zur Protokollierung
Absicherung der Feuertreppe Betriebsvereinbarung vorhanden
Absicherung der Lichtschächte Empfang / Rezeption / Pförtner
Absicherung der Lüftungsöffnungen Generalschlüsselanlage
Alarmanlage Keine Telefonlisten in Besprechungsräumen
Anwesenheitskontrolle (z.B. über Zeiterfas-sungssystem, Stechuhren, Schichtbuch, etc.) Mitarbeiter- / Besucherausweise
Automatisches Zugangskontrollsystem Netzverteiler abgegrenzt (Sperrbereich)
Chipkarten- / Transpondersysteme PC-Arbeitsplätze abgegrenzt
Klingelanlage mit Kamera Quittierung der Schlüsselausgabe
Lichtschranken / Bewegungsmelder Regelung zur Aufbewahrung des General-schlüssels
Manuelles Schließsystem Regelungen zur Tele-/Heimarbeit
Rollos gegen Hochschieben gesichert Schlüsselregelung / Liste
Schließsystem mit Codesperre Serverräume abgegrenzt (Sperrbereich)
Sicherheitsschlösser Sorgfalt bei Auswahl des Wachpersonals
Türen mit sog. Kopfdrückern auf Außenseite Sorgfalt bei Auswahl Reinigungsdienste
Wachpersonal TK-Anlage abgegrenzt (Sperrbereich)
  Videoüberwachung der Eingänge

Weitere Maßnahmen bitte hier beschreiben:

1.2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwarepro- dukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispiels- weise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausga- be von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Technische Maßnahmen Organisatorische Maßnahmen
Anti-Virus-Software Clients Allg. Richtlinie Datenschutz
Anti-Virus-Software mobile Geräte Allg. Richtlinie Sicherheit
Anti-Viren-Software Server Anleitung „Manuelle Desktopsperre“
Authentifikation mit Benutzer und Passwort Erstellen von Benutzerprofilen
Authentifikation mit biometrischen Daten Mobile Device Policy
Automatische Desktopsperre Personenkontrolle beim Pförtner / Empfang
BIOS Schutz (separates Passwort) Protokollierung der Besucher/ Besucherbuch
Einsatz VPN bei Remote-Zugriffen Richtlinie „Clean desk“
Firewall Richtlinie „Löschen / Vernichten“
Gehäuseverriegelung Richtlinie „Sicheres Passwort“
Intrusion Detection Systeme Verwalten von Benutzerberechtigungen
Login mit Benutzername + Passwort Zentrale Passwortvergabe
Login mit biometrischen Daten  
MDM - Mobile Device Management  
Sperren externer Schnittstellen (z.B. USB)  
Verschlüsselung mobiler Geräte  
Verschlüsselung von Datenträgern  
Verschlüsselung von Notebooks / Tablet  
Verschlüsselung von Smartphones  

Weitere Maßnahmen:

1.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten aus- schließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezo- gene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

Technische Maßnahmen Organisatorische Maßnahmen
Aktenschredder (mind. Stufe 3, cross cut) Datenschutztresor
Alle Unterlagen landen im Papierkorb Einsatz Berechtigungskonzepte
Die Einstufung der Aktenvernichter ist mir unbekannt Einsatz von Dienstleistern zur Akten- und Datenvernichtung(nach Möglichkeit mit Zerti-fikat)
Drucker an Druckerinseln können erst nach PIN-Eingabe drucken Minimale Anzahl an Administratoren
Physische Löschung von Datenträgern Verwaltung Benutzerrechte durch Adminis-tratoren
Protokollierung von Zugriffen auf Anwen-dungen, konkret bei der Eingabe, Änderungund Löschung von Daten  
Ordnungsgemäße Vernichtung von Daten-trägern (DIN 32757)  
Wir nutzen Druckerinseln (Drucker für mehrere Personen)  

Weitere Maßnahmen:

1.4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet wer- den können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen Organisatorische Maßnahmen
Mandantenfähigkeit relevanter Anwendun-gen Datensätze sind mit Zweckattributen verse-hen
Physikalische Trennung (Systeme / Daten-banken / Datenträger) Festlegung von Datenbankrechten
Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept
Verschlüsselung von Datensätzen, die zudemselben Zweck verarbeitet werden Logische Mandantentrennung (softwaresei-tig)

Weitere Maßnahmen:

1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher In- formationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzli- chen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen Organisatorische Maßnahmen
Im Falle der Pseudonymisierung:Trennung der Zuordnungsdaten und Auf- bewahrung in getrenntem und abge-sicherten System (mögl. verschlüsselt) Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymi-sieren

Weitere Maßnahmen:

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder wäh- rend ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Daten- trägern.

Technische Maßnahmen Organisatorische Maßnahmen
Bereitstellung über verschlüsselte Verbin-dungen wie sftp, https Dokumentation der Datenempfänger sowieder Dauer der geplanten Überlassung bzw.der Löschfristen
E-Mail-Verschlüsselung Persönliche Übergabe mit Protokoll
Einsatz von VPN Sorgfalt bei Auswahl von Transport-Personalund Fahrzeugen
Nutzung von Signaturverfahren Übersicht regelmäßiger Abruf- und Übermitt-lungsvorgängen
Protokollierung der Zugriffe und Abrufe Weitergabe in anonymisierter oder pseudonymisierter Form
Sichere Transportbehälter  

Weitere Maßnahmen:

2.2. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrol- liert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Technische Maßnahmen Organisatorische Maßnahmen
Manuelle oder automatisierte Kontrolle derProtokolle Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
Technische Protokollierung der Eingabe,Änderung und Löschung von Daten Klare Zuständigkeiten für Löschungen
  Nachvollziehbarkeit von Eingabe,Änderung und Löschung von Daten durch Individuelle Benutzernamen (nichtBenutzergruppen)
  Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  Vergabe von Rechten zur Eingabe,Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Weitere Maßnahmen:

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust ge-schützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brand- schutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiege-lungen etc.

Technische Maßnahmen Organisatorische Maßnahmen
Alarmmeldung bei unberechtigtem Zutritt zu Serverraum Alarmmeldung bei unberechtigten Zutrittenzu Serverräumen
Datenschutztresor (S60DIS, S120DIS, anderegeeignete Normen mit Quelldichtung etc.) Aufbewahrung der Sicherungsmedien aneinem sicheren Ort außerhalb des Server-raums
Feuerlöscher Serverraum Backup & Recovery-Konzept (ausformuliert)
Feuer- und Rauchmeldeanlagen Existenz eines Notfallplans (z.B. BSI IT-Grund-schutz 100-4)
RAID System / Festplattenspiegelung Getrennte Partitionen für Betriebssystemeund Daten
Schutzsteckdosenleisten Serverraum In Hochwassergebieten: Serverräume überder Wassergrenze
Serverraumüberwachung Temperatur und Feuchtigkeit Keine sanitären Anschlüsse im oder oberhalbdes Serverraums
Serverraum klimatisiert Kontrolle des Sicherungsvorgangs
USV Regelmäßige Tests zur Datenwiederher-stellung und Protokollierung der Ergebnisse
Videoüberwachung Serverraum Testen von Datenwiederherstellung

Weitere Maßnahmen:

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1. Datenschutz-Management

Technische Maßnahmen Organisatorische Maßnahmen
Anderweitiges dokumentiertes Sicherheits-Konzept Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
Eine Überprüfung der Wirksamkeit derTechnischen Schutzmaßnahmen wird mind. jährlich durchgeführt Die Organisation kommt den Informations-pflichten nach Art. 13 und 14 DSGVO nach
Sicherheitszertifizierung nach ISO 27001,BSI IT-Grundschutz oder ISIS12 Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
Software-Lösungen für Datenschutz-Management im Einsatz Interner / externer Datenschutzbeauftragter Name / Firma / Kontaktdaten
Zentrale Dokumentation aller Verfahrens-weisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet ...) Interner / externer Informationssicherheits-Beauftragter Name / Firma Kontakt
  Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
  Regelmäßige Sensibilisierung der Mitarbeiter Mindestens jährlich

Weitere Maßnahmen:

4.2. Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen Organisatorische Maßnahmen
Einsatz von Firewall und regelmäßige Aktualisierung Dokumentation von Sicherheitsvorfällenund Datenpannen z.B. via Ticketsystem
Einsatz von Spamfilter und regelmäßige Aktualisierung Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten-Pannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
Einsatz von Virenscanner und regelmäßige Aktualisierung Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
Intrusion Detection System (IDS) Einbindung von DSB und ISB in Sicher-heitsvorfälle und Datenpannen
Intrusion Prevention System (IPS) Formaler Prozess und Verantwortlichkeitenzur Nachbearbeitung von Sicherheitsvor-fällen und Datenpannen

Weitere Maßnahmen:

4.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Privacy by design / Privacy by default

Technische Maßnahmen Organisatorische Maßnahmen
Einfache Ausübung des Widerrufrechtsdes Betroffenen durch technische Maß-nahmen Dokumentation der Bewertung der Risikenfür die Betroffenen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind Dokumentation der gesetzten TOMs

Weitere Maßnahmen:

4.4. Auftragskontrolle (Outsourcing an Dritte)

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur ent- sprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Technische Maßnahmen Organisatorische Maßnahmen
  Abschluss der notwendigen Vereinbarungzur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
  Auswahl des Auftragnehmers unter Sorg-faltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
  Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
  Regelung zum Einsatz weiterer Subunter-nehmer
  Schriftliche Weisungen an den Auftragneh-mer (z.B. durch Auftragsdatenverarbeitungs-vertrag) i. S. d. § 11 Abs. 2 BDSG
  Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  Verpflichtung der Mitarbeiter des Auftrag-nehmers auf Datengeheimnis
  Verpflichtung zur Bestellung eines Daten-schutzbeauftragten durch den Auftragneh-mer bei Vorliegen Bestellpflicht
  Vertragsstrafen bei Verstößen
  Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation

Weitere Maßnahmen:

 

alternativ:

Hiermit versichern wir, keine Subunternehmer im Sinne einer Auftragsverarbeitung einzusetzen.

 

Ausgefüllt für die Organisation durch

Name:

Funktion:

Rufnummer:

Email:

 

Ort, 2020-12-30

 

Vom Auftraggeber auszufüllen:

Geprüft am    durch    .Ergebnis(se):

Es besteht noch Klärungsbedarf zu.

TOM sind für den angestrebten Schutzzweck ausreichend.

Vereinbarung Auftragsverarbeitung kann geschlossen werden.

Hinweis: Diese Vorlage verwendet durchaus noch Begrifflichkeiten des BDSG a.F. Inhaltlich unter- scheiden sich die technischen und organisatorischen Maßnahmen nicht von denen, die in der DSGVO gefordert werden!

Datenschutzpanne

Reports