Sicherheitskonzept
Vertraulichkeit gem. Art. 32 §1 lit. DSGVO einfügen
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Manuelles Schließsystem | Schlüsselregelung / Liste |
| Elektronisches Zugangssystem mit Protokollierung | Besucher in Begleitung durch Mitarbeiter |
| Sicherheitsschlösser | Besucherregistrierung und Karte |
| Türen mit Knauf Außenseite |
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Login mit Benutzername + Passwort | Verwalten von Benutzerberechtigungen |
| Login mit biometrischen Daten | Erstellen von Benutzerprofilen |
| Anti-Viren-Software Server | Richtlinie „Sicheres Passwort“ |
| Anti-Viren-Software Clients | Richtlinie „Löschen / Vernichten“ |
| Firewall | Allg. Richtlinie Datenschutz und / oder Sicherheit |
| Verschlüsselung von Datenträgern | Mobile Device Policy |
| Verschlüsselung Smartphones | Anleitung „Manuelle Desktopsperre“ |
| Automatische Desktopsperre | |
| Verschlüsselung von Notebooks / Tablets |
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Physische Löschung von Datenträgern | Einsatz Berechtigungskonzepte |
| Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten | Minimale Anzahl an Administratoren |
| Verschlüsselung von Datenträgern | Verwaltung Benutzerrechte durch Administratoren |
| Verschlüsselung von Smartphones |
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Trennung von Produktiv- und Testumgebung | Steuerung über Berechtigungs¬konzept |
| Physikalische Trennung (Systeme / Datenbanken / Datenträger) | Festlegung von Datenbankrechten |
| Multi-Client-Fähigkeit relevanter Anwendungen |
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt) | Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren /pseudonymisieren |
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Einsatz von VPN | Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen |
| Protokollierung der Zugriffe und Abrufe | |
| Sichere Transportbehälter | |
| Bereitstellung über verschlüsselte Verbindungen wie sftp, https |
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können |
| Manuelle oder automatisierte Kontrolle der Protokolle | Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) |
| Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts | |
| Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden | |
| Klare Zuständigkeiten für Löschungen |
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Backup & Recovery-Konzept | |
| Kontrolle des Sicherungsvorgangs | |
| Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums |
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet | |
| Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich | |
| Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach |
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind | |
| Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen |
SCRIBOS 360 – Systemarchitektur
- Redundante Web- und Datenbankserver
- Firewalls und sichere SSL-Verbindung
- Lastverteilung, Sicherung und Zugriffsbeschränkung
- Nur verschlüsselte ID-Codes gespeichert, Entschlüsselung nicht möglich
- Intrusion Prevention & Detection System, Notstromaggregate
- 24/7 Überwachung & Betriebszeit / Funktionskontrolle
- Schneller und zuverlässiger Hochgeschwindigkeits-Internet-Hub
- Zertifizierte Hochsicherheit: ISO 27001-Zertifizierung für Daten- und IT-Sicherheit