Allgemeine technische und organisatorische Maßnahmasen nach Art. 32 Abs. 1 DSGVO

Aktualisiert am 23.01.2020

 
 

Einführende Bestimmungen

VRxs hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es VRxs gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Allgemeine technische und organisatorische Maßnahmen (TOM)

Da der Auftragnehmer den Betrieb der Internet-Dienstleistung VRxs ausschließlich auf den Infrastrukturen der auf externes Server-Hosting spezialisierten Sub-Auftragsverarbeiter Amazon Web Services EMEA SARL (AWS) und Digital Ocean, LLC am Standort Frankfurt am Main betreibt und in den Räumlichkeiten des Auftragnehmers selbst keine personenbezogenen Daten von Teilnehmern gespeichert oder verarbeitet werden, beschränken sich die nachstehenden TOM auf die vom Auftragnehmer in seinen Räumlichkeiten gesetzten Sicherheitsmaßnahmen.

Informationen zu den TOM für das externe Server-Hosting sind abrufbar unter:
https://aws.amazon.com/de/compliance/data-center/controls/
https://www.digitalocean.com/legal/gdpr/

Darüber hinaus ergreift der Auftragnehmer folgende Maßnahmen:

1. Zutrittskontrolle

Maßnahmen, um zu verhindern, dass Unbefugte räumlichen Zutritt zu Datenverarbeitungsanlagen erhalten, mit welchen personenbezogene Daten verarbeitet werden:

  • Schlüsselvergabe an Mitarbeiter mit Übergabeprotokoll
  • Türsicherung
  • Sorgfältige Auswahl von Dienstleistern und Sub-Auftragsverarbeitern

2. Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können:

  • Alle Systeme sind passwortgeschützt
  • Abgesicherter Zugang des Entwicklungs- und Verwaltungsbereichs mit einem Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge)
  • Organisatorische Maßnahmen bei Beendigung eines Dienstverhältnisses mit einem Mitarbeiter (Zugang wird gelöscht)
  • Einrichtung eines Benutzerstammsatzes pro Anwender
  • Die Übertragung von Daten erfolgt ausschließlich über eine per SSL verschlüsselte Verbindung

3. Zugriffskontrolle

Es besteht eine bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung.

4. Weitergabekontrolle

Maßnahmen, dass personenbezogene Daten bei der elektronischen Übertragung oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können und das festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im DV-System vorgesehen ist.

Der Austausch von personenbezogenen Daten erfolgt ausschließlich innerhalb der Systeme des Auftragnehmers sowie ggf. deren Sub-Auftragsverarbeiter. Zwischen den einzelnen Systemen werden die Daten entweder lokal oder über eine per SSL verschlüsselte Datenverbindung übertragen.

Personenbezogene Daten werden im Zuge der Weitergabe und Verarbeitung nicht verändert und bleiben unversehrt, vollständig und aktuell. Der Auftragnehmer unternimmt alles Notwendige, um zu verhindern, dass Daten verfälscht werden oder falsche Daten verarbeitet werden. Gleichzeitig ist gewährleistet, dass Änderungen an Daten nachvollzogen werden können.

5. Eingabekontrolle

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. Personenbezogene Daten können jederzeit ihrem Ursprung zugeordnet und nur vom Teilnehmer, dem Auftraggeber (und dessen Anwendern) sowie durch den Anwender-Support von VRxs erstellt und/oder bearbeitet werden. Jede Veränderung wird mit dem Nutzer sowie einem Zeitstempel dokumentiert. Darüber hinaus erfolgt die Protokollierung über Logfiles.

6. Auftragskontrolle

Maßnahmen zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer. Der Auftragnehmer gewährleistet durch die nachstehenden Maßnahmen, dass die im Auftrag zu verarbeitenden Daten nur entsprechend der Auftragsbestätigung verarbeitet werden:

  • Eindeutige Vertragsgestaltung
  • Formalisierte Auftragserteilung (Auftragsbestätigung)
  • Kriterien zur Auswahl des Auftragnehmers
  • Vertraulichkeits- und Datenschutzvereinbarung mit Dienstleistern

7. Verfügbarkeitskontrolle

Maßnahmen, um personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen, sind abrufbar unter:
https://aws.amazon.com/de/security/
https://www.digitalocean.com/trust/

8. Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: Die Systeme des Auftragnehmers werden von mehreren Mandanten gleichzeitig genutzt (Mandantenfähigkeit) und gewährleisten eine logische Trennung der Daten der Mandanten. Gleichzeitig besteht eine physikalische Trennung der Systeme nach Funktion in Entwicklungssystem, Testsystem und Produktivsystem.

Fragen?

Nicht gefunden, was Sie suchen? Wir helfen gerne weiter. Kontaktieren Sie uns jederzeit:

Rufen Sie gerne an
Schreiben Sie uns