Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Ähnliche Dokumente
Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Leitlinie zur Informationssicherheit

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technisch-organisatorische Maßnahmen

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

MUSTER 4 Technische und organisatorische Maßnahmen

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Grasenhiller GmbH Sachsenstraße Neumarkt

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Maßnahmen des Auftragnehmers gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung)

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Checkliste: Technische und organisatorische Maßnahmen

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Öffentliches Verfahrensverzeichnis

Darstellung der technischen und organisatorischen Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen

Anlage. Praxis Datenschutz - Technische und organisatorische Maßnahmen. Hinweise zur Benutzung des Musters

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Vereinbarung zur Auftragsverarbeitung


Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Datenschutzvereinbarung Wartung und Pflege von IT-Systemen

Zwischen den Parteien besteht ein Vertragsverhältnis über die Wartung und Pflege von IT-Systemen.

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

VEREINBARUNG. über eine. Auftragsverarbeitung nach Art 28 DSGVO

Bestimmungen zur Datenverarbeitung im Auftrag

Technische und organisatorische Maßnahmen

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Wichtige Hinweise zur Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Datenschutzvereinbarung Wartung und Pflege von IT-Systemen

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Auftragsverarbeitervereinbarung

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Technische und organisatorische Maÿnahmen

Vereinbarung. über die Verarbeitung personenbezogener Daten. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

zwischen dem individuellen Mieter der Videoüberwachungslösung VIDEO GUARD - Auftraggeber - und International Security GmbH - Auftragnehmer -

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Mustervorlage technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Vereinbarung zwischen der

Continum * Datensicherheitskonzept

Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO Vereinbarung zwischen dem/der... Firma Straße / Hausnummer PLZ Ort...

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

DATENSCHUTZ UND DATENSICHERHEIT BEI COSMO CONSULT

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Informationen zur Verwendung dieses Vertrags

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Auftragsdatenverarbeitung. vom

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Beschreibung der technischen und organisatorischen Maßnahmen

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Auftragsdatenverarbeitungsvertrag. Zwischen und der Nagl Papierverarbeitung GmbH

Vereinbarung gemäß Art. 28 DS-GVO

AUFTRAGSVERARBEITUNGSVERTRAG NACH ART. 28 ABS. 3 DS-GVO

Vertrag über die Auftragsverarbeitung nach Art. 28 DS-GVO

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Technische und organisatorische Maßnahmen der KONTENT GmbH

Anhang I Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Auftragsverarbeitungs-Vertrag (AV-Vertrag)

Vertrag Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

Datensicherheit. Vorlesung 6: Wintersemester 2018/2019 h_da. Heiko Weber, Lehrbeauftragter

Bestellschein Vereins-ID: Aktionscode:

Muster-Vereinbarung zur Auftragsverarbeitung. Die Vertragsparteien. Unternehmensbezeichnung, Firma. Straße, Hausnummer

VERTRAG ZUR AUFTRAGSVERARBEITUNG GEMÄß ART. 28 DSGVO

Transkript:

Vertrag zur Auftragsverarbeitung gemäß Art. 28 EU-DS-GVO Anlage 2 Technische und organisatorische Maßnahmen Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,... 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Absicherung von Gebäudeschächten Automatisches Zugangskontrollsystem Manuelles Schließsystem Lichtschranken / Bewegungsmelder Sicherheitsschlösser Schlüsselregelung (Schlüsselausgabe etc.) Personenkontrolle beim Empfang Sorgfältige Auswahl von Reinigungspersonal Zuordnung von Benutzerrechten Erstellen von Benutzerprofilen Passwortvergabe automatische Sperrmechanismen Authentifikation mit Benutzername / Passwort Zuordnung von Benutzerprofilen zu IT-Systemen Gehäuseverriegelungen Einsatz von VPN-Technologie Einsatz von Anti-Viren-Software Einsatz einer Hardware-Firewall Einsatz einer Software-Firewall Identifizierungs- und Authentifizierungssystem Erstellen eines Berechtigungskonzepts Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten Verschlüsselungsverfahren/- systeme Vier-Augen-Prinzip bei Spezialan- 1 5

Trennungskontrolle Die getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, ist zu garantieren! Pseudonymisierung Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen. wendungen Sichere Aufbewahrung von Datenträgern (Datentresor) Verschlüsselung von Datenträgern physische Löschung von Datenträgern vor Wiederverwendung ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) Protokollierung (der Vernichtung) zum Nachvollzug physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Logische Mandantentrennung (softwareseitig) Rechteverwaltung bzw. Erstellung eines Berechtigungskonzepts Festlegung von Datenbankrechten Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden Versehen der Datensätze mit Zweckattributen/Datenfeldern Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT- System Trennung von Produktiv- und Testsystem Sandboxing Protokollierung und Beweissicherung 2. Integrität (Art. 32 Abs. 1 lit. b DSGVO) 2 5

Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Einrichtungen von Standleitungen bzw. VPN-Tunneln Weitergabe von Daten in anonymisierter oder pseudonymisierter Form Regelung / Dokumentation Ausgabe- und Empfängerkreis Fernwartungskonzept Beim physischen Transport: sichere Transportbehälter/- verpackungen Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Identifizierung und Authentifizierung Dokumentenmanagement Protokollierung der Eingabe, Änderung und Löschung von Daten Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind Virenschutz Firewall / IDS Unterbrechungsfreie Stromversorgung (USV) Klimaanlage in Serverräumen Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Schutzsteckdosenleisten in Serverräumen Feuer- und Rauchmeldeanlagen Feuerlöschgeräte in Server- 3 5

Wiederherstellbarkeit Maßnahmen, die die rasche Wiederherstellung der Verfügbarkeit von Daten nach deren zwischenzeitlichen Verlust oder Beschädigung gewährleisten. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO) räumen Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Backup-Strategie (online/offline; on-site/off-site) Verfügbarkeit eines Notfall- RZ Erstellen eines Backup- und Recovery-Konzepts Testen von Datenwiederherstellung Erstellen eines Notfallkonzeptes / Notfallplans Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Serverräume nicht unter sanitären Anlagen Backup-Strategie (online/offline; on-site/off-site) Verfügbarkeit eines Notfall- RZ Erstellen eines Backup- und Recovery-Konzepts Testen von Datenwiederherstellung Erstellen eines Notfallkonzeptes / Notfallplans Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) Datenschutz- Management Incident-Response- Management Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) Auftragskontrolle Technisch-organisatorische Maßnahmen zur Umsetzung datenschutzrechtlicher Vorgaben, d.h. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Data Privacy by Design and by Default Maßnahmen, die gewährleisten, dass im Rahmen der Auftragsdatenverarbeitung personenbezogenen Daten nur nach Weisung des Auftraggebers verarbeitet werden (können)! Pseudonymisierung Beschränkung bzgl. der Menge der erhobenen Auftragsdaten Beschränkung des Umfangs der Verarbeitung der erhobenen Daten Beschränkung der Speicherfrist Beschränkung der Zugänglichkeit Eindeutige Vertragsgestaltung / vertragliche Regelungen Formalisiertes Auftragsmanagement 4 5

Strenge Auswahl des Dienstleisters (insbesondere hinsichtlich Datensicherheit) Vorabüberzeugungspflicht Vorherige Prüfung der Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen Schriftliche Weisungen an den Auftragnehmer (z.b. durch Auftragsdatenverarbeitungsvertrag) i.s.d. 11 Abs. 2 BDSG Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ( 5 BDSG) Auftragnehmer hat Datenschutzbeauftragten bestellt Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart Vertragsstrafen bei Verstößen Geprüft durch Keyed GmbH in Frankfurt am 14.05.2018. Auditor: Nils Möllers 5 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback