Datenschutz- und Datensicherheitskonzept

Ähnliche Dokumente
Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)


Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Leitlinie zur Informationssicherheit

Technische und organisatorische Maÿnahmen

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Technische und organisatorische Maßnahmen

MUSTER 4 Technische und organisatorische Maßnahmen

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO


TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Technische und organisatorische Maßnahmen der KONTENT GmbH

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

Auftragsdatenverarbeitung

Verfahrensbeschreibung

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Auftragsdatenverarbeitung. vom

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Checkliste: Technische und organisatorische Maßnahmen

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

Grasenhiller GmbH Sachsenstraße Neumarkt

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

DATEN SCHUTZ MASS NAHMEN

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Technische und organisatorische Maßnahmen Anlage 2

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Kassenzahnärztliche Vereinigung Bayerns

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

Datenschutz Freiermuth Wolfgang 1

Checkliste: Technische und organisatorische Maßnahmen

ADV nach Art. 28 DSGVO

Information zur Datensicherheit und Übertragungssicherheit für Kunden des eurodata Rechenzentrums

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

Bestellschein Vereins-ID: Aktionscode:

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Anlage 3 Technische und organisatorische Maßnahmen des Auftragnehmers

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Datenschutz und Systemsicherheit

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNGSVERTRAG NACH ART 28 DSGVO

Das Unternehmen. 11 MitarbeiterInnen. seit 1996 am Markt tätig. IT-Systemhaus. Internet Service Provider. motiviert flexibel leistungsfähig

Anlage I. Rahmenvertrag zur Auftragsverarbeitung technische & organisatorische Maßnahmen. Stand 12. März Auftragnehmer

V e r e i n barung über eine Auftragsverarbeitung nach Art 28 DSGVO

die EU-Datenschutzgrundverordnung (EU-DSGVO) hat zum einige Änderungen in die Welt des Datenschutzes gebracht.

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Was sind TOMs (technische und organisatorische Maßnahmen) isd DSGVO?

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Auftragsverarbeitung nach Art 28 DSGVO

Vereinbarung über Auftragsverarbeitung. Zwischen der Firma. Firma : Straße : PLZ Ort : (nachfolgend Auftraggeber genannt) und der Firma

Technische und organisatorische Maßnahmen (TOM)

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG NACH ART 28 DSGVO

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner

Erklärung zur Datensicherheit

Datenschutz- Grundverordnung 2016/679 DS-GVO

DATENSCHUTZ UND DATENSICHERHEIT BEI COSMO CONSULT

Aufstellung der techn. und organ. Maßnahmen

Die Europäische Datenschutz- Grundverordnung. Schulung am

Auftragsverarbeitung personenbezogener Daten gemäß 11 BDSG (Stand )

BYOD Bring Your Own Device

Mustervorlage technische und organisatorische Maßnahmen (TOM)

Maßnahmen des Auftragnehmers gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung)

Technische und organisatorische Maßnahmen der

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Bestimmungen zur Datenverarbeitung im Auftrag

Transkript:

Datenschutz- und Datensicherheitskonzept Technische und organisatorische planetsoftware GmbH Meidlinger Hauptstraße 73 1120 Wien vorgelegt von planetsoftware GmbH Meidlinger Hauptstraße 73 1120 Wien Planetsoftware_DSDSI-Konzept_V1.0.docx 1 von 10

Inhalt 1 Vorwort 4 1.1 Geltungsbereich 4 2 Datenschutz- und Datensicherheitskonzept 4 3 Vertraulichkeit 5 3.1 Zutrittskontrolle 5 3.1.1 Zentrale Datenverarbeitungsanlagen 5 3.1.2 Büroräume 5 3.2 Zugangskontrolle 6 3.2.1 Regelung der Zugangsberechtigungen 6 3.2.2 Zusätzliche beim Fernzugang 6 3.2.3 Protokollierung von Zugängen 6 3.3 Zugriffskontrolle / Benutzerkontrolle 6 3.3.1 Berechtigungskonzept 6 3.3.2 Zugriffsschutz 7 3.3.3 Aufbewahrung bei Verwendung von Datenträgern 7 3.3.4 Protokollierung von Zugriffen 7 3.4 Trennungskontrolle 7 3.5 Pseudonymisierung 7 4 Integrität 7 4.1 Weitergabekontrolle / Übertragungskontrolle 7 4.1.1 Regelung der elektronischen Übertragung 8 4.1.2 Regelung bei der Speicherung auf Wechseldatenträgern 8 4.1.3 Regelungen des Transports von Datenträgern 8 4.2 Eingabekontrolle / Datenträgerkontrolle / Speicherkontrolle 8 5 Verfügbarkeit und Belastbarkeit / Wiederherstellbarkeit 8 5.1 Erstellung und Verwahrung von Sicherheitskopien 8 5.2 Gewährleistung des laufenden Betriebes 9 5.2.1 Unterbrechungsfreie Stromversorgung 9 5.2.2 Brandschutz 9 5.2.3 Klimatisierung 9 5.2.4 Anbindung Internet 9 5.3 Organisatorische 9 6 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung 9 6.1 Datenschutz-Management 9 6.2 Incident-Response-Management 10 Planetsoftware_DSDSI-Konzept_V1.0.docx 2 von 10

6.3 Datenschutzfreundliche Voreinstellungen 10 6.4 Auftragskontrolle 10 Planetsoftware_DSDSI-Konzept_V1.0.docx 3 von 10

1 Vorwort Das Dokument beschreibt die als verbindlich festgelegten technischen und organisatorischen im Zusammenhang mit durchgeführten Auftragsverarbeitungsvorgängen zwischen Auftraggeber und Auftragnehmer. Die dargestellten stellen somit ein Abbild des gelebten Datenschutz- und Datensicherheitskonzept der Bechtle AG dar. 1.1 Geltungsbereich Die beschriebenen technischen und organisatorischen gelten für die Standorte in Wien, Wels, Innsbruck und Graz. 2 Datenschutz- und Datensicherheitskonzept Der folgende katalog beschreibt die im Rahmen der Auftragsverarbeitung zu treffenden technischen und organisatorischen Einzelmaßnahmen nach Art. 24 Abs. 1 EU-DS-GVO. Die EU-DS-GVO verpflichtet Unternehmen die Datenverarbeitung personenbezogener Daten durch angemessene, technische und organisatorische abzusichern und personenbezogene Daten nach Möglichkeit zu anonymisieren oder zu pseudonymisieren. Die getroffenen müssen dabei dem Risiko des jeweiligen Datenverarbeitungsvorgangs Rechnung tragen und dem derzeitigen Stand der Technik entsprechen. Diese Anforderungen erfüllt der Auftragnehmer durch ein wirksames Zusammenspiel aus Datenschutzmanagement und Informationssicherheitsmanagement und hat angemessene zur Absicherung der Datenverarbeitungsvorgänge getroffen. Insbesondere die Schutzwerte: Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit. Den Schutzwerten werden dabei folgende informationssicherheitsrelevanten Definitionen zugrunde gelegt: Vertraulichkeit: Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Integrität: Der Begriff Integrität bezieht sich auf die Korrektheit der verarbeiteten Informationen und Daten. Verfügbarkeit: Der Begriff der Verfügbarkeit bezieht sich auf Informationen, Daten, Applikationen sowie Systeme und betrifft deren Funktionsfähigkeit bzw. Abrufbarkeit. Belastbarkeit: Die Belastbarkeit stellt als besonderen Aspekt der Verfügbarkeit die Anforderung, dass Systeme auch im Störfall, Fehlerfall oder bei hoher Belastung möglichst Widerstandsfähig ausgestaltet sein müssen. Planetsoftware_DSDSI-Konzept_V1.0.docx 4 von 10

3 Vertraulichkeit Geeignete technische und organisatorische zum Schutz der Vertraulichkeit werden, unter Berücksichtigung des Stands der Technik, der Art, des Umfangs, der Umstände, der Zwecke der Verarbeitung, der Implementierungskosten und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen. Hiermit wird ein dem Risiko angemessenes Schutzniveau gewährleistet. 3.1 Zutrittskontrolle Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. 3.1.1 Zentrale Datenverarbeitungsanlagen Objektsicherung Die zentralen Datenverarbeitungsanlagen befinden sich in einem Serverraum am Standort Wien. Sicherheitszonen Der Serverraum ist mit strikter Zutrittsbeschränkung ausgestattet. Alarmanlage im Vorbereich (Gang) Art der Zutrittskontrolle Zutrittskontrolle mittels Schlüssel (getrennt von Büros) Regelung der Zutrittsberechtigungen Zutrittsregelungen für Mitarbeiter Personenkontrolle Anmeldung und Begleitung von Besuchern und Firmenfremden Revisionsfähigkeit der Vergabe und des Entzugs der Zutrittsberechtigungen 3.1.2 Büroräume Objektsicherung Die Büros befinden sich in angemieteten Räumen an den Standorten. Sicherheitszonen Die angemieteten Büroräume sind räumlich von anderen Firmen getrennt. Art der Zutrittskontrolle Schlüssel Schließregelung (verschlossene Türen bei Abwesenheit) Regelung der Zutrittsberechtigungen Zutrittsregelungen für Personengruppen (Mitarbeiter, Führungskräfte, Firmenfremde, Besucher, Wartungs-/ Reinigungspersonal, Lieferanten, Boten usw.) Festlegung befugter Personen (bezogen auf Zonen und Zeiten) speziell für IT-Raum. Berechtigungen für Gäste nicht erforderlich; immer Begleitung durch Mitarbeiter Regelung beim Ausscheiden und Wechseln von Berechtigten Planetsoftware_DSDSI-Konzept_V1.0.docx 5 von 10

Personenkontrolle Anmeldung und Begleitung von Besuchern und Firmenfremden Revisionsfähigkeit der Vergabe und des Entzugs der Zutrittsberechtigungen 3.2 Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 3.2.1 Regelung der Zugangsberechtigungen Regelungen für die Vergabe und Verwaltung von Zugangsberechtigungen Regelmäßige Kontrolle der Gültigkeit der Zugangsberechtigungen Zugangsberechtigte weisen sich durch Benutzerkennung und Passwort aus Regelung der Verwendung von Passwörtern Regelung für Sperrung des Arbeitsplatzrechners beim Verlassen Single Sign-On in Teilbereichen Berechtigungen (Kontenaktivierung) für temporäre Mitarbeiter/ Externe sind zeitlich befristet Regelung beim Ausscheiden und Wechseln von Berechtigten Regelungen bei Verlust (Vergessen) des Passwortes/ Passwörter Trennen der Verbindung bei wiederholten Fehlversuchen oder Zeitüberschreitungen Getrennte Internet Infrastruktur für Besucher 3.2.2 Zusätzliche beim Fernzugang Regelung für die Benutzung des Anschlusses, insbesondere bei Benutzung durch Dritte Festlegung der Personen, die zur Anmeldung von außerhalb befugt sind Netzzugangssicherungen durch Hard- und Softwaremaßnahmen ausschließlich VPN-Zugänge mit Token / PIN 2-Wege Authentifizierung Regelungen bei Fernadministration und Fernwartung (Fernwartungskonzept) Verhinderung des unberechtigten Zugriffs aus dem Internet (Firewall) 3.2.3 Protokollierung von Zugängen Nachweis der Benutzung von DV-Systemen (Protokollierung der Zugänge) Protokollierung der fehlgeschlagenen Zugangsversuche (Entsperren eines Benutzers) Protokollierung der Vergabe/ Änderung von Zugangsberechtigungen 3.3 Zugriffskontrolle / Benutzerkontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. 3.3.1 Berechtigungskonzept Nachweis der Benutzung von DV-Systemen (Protokollierung der Zugänge) Protokollierung der fehlgeschlagenen Zugangsversuche (Entsperren eines Benutzers) Protokollierung der Vergabe/ Änderung von Zugriffsberechtigungen Planetsoftware_DSDSI-Konzept_V1.0.docx 6 von 10

3.3.2 Zugriffsschutz Passwortschutz bei Dateien nach Bedarf Einsatz von Verschlüsselungsroutinen/ Dateiverschlüsselung (Notebooks über Geräteverschlüsselung verschlüsselt) Trennung von Test- und Produktionsbetrieb (sofern erforderlich) Mobile Device Management-System 3.3.3 Aufbewahrung bei Verwendung von Datenträgern Aufbewahrung in Zonen, die durch Schlüssel gesichert sind Fachkundige Akten- und Datenträgervernichtung (Aktenvernichter) Nicht-reversible Löschung von Datenträgern 3.3.4 Protokollierung von Zugriffen Protokollierung von Lesezugriffen auf die Datensicherungen Protokollierung der Vergabe / Änderung von Zugriffsberechtigungen 3.4 Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Logische Trennung der Daten Mandantenfähigkeit von Anwendungen (sofern erforderlich) Innerbetriebliche Vorgaben für die Datenerhebung und die -verarbeitung Speicherung der Datensätze in getrennten Datenbanken (sofern erforderlich) Zugriffsberechtigungen nach funktioneller Zuständigkeit Dokumentation der Verarbeitungsprogramme Dokumentation der Datenerhebungszwecke 3.5 Pseudonymisierung Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, dass die Daten ohne weitere Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen den entsprechenden technischen und organisatorischen. Pseudonymisierungen werden vom Auftragnehmer nur weisungsgebunden im Einzelfall realisiert. 4 Integrität Die Richtigkeit der verarbeiteten personenbezogenen Daten ist zu gewährleisten. Unzulässige Änderungen müssen identifiziert und korrigiert werden können. 4.1 Weitergabekontrolle / Übertragungskontrolle Es darf kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport möglich sein. Planetsoftware_DSDSI-Konzept_V1.0.docx 7 von 10

4.1.1 Regelung der elektronischen Übertragung Festlegung der Personen, die zur Übermittlung befugt sind (Berechtigungskonzept) Verschlüsselung der Daten bei der Übertragung (z. B. SSL/TLS) Authentisierung bei Mails (digitale Signatur) in Teilbereichen Protokollierung der Datenübermittlung und der Empfänger (bei Bedarf) Regelung zum Umgang mit mobilen Speichermedien (z.b. Laptop, USB Stick, Mobiltelefon) 4.1.2 Regelung bei der Speicherung auf Wechseldatenträgern Eine Speicherung von personenbezogenen Daten auf Wechseldatenträgern ist grundsätzlich nicht vorgesehen. Im Ausnahmefall werden ausschließlich verschlüsselte USB-Sticks verwendet. 4.1.3 Regelungen des Transports von Datenträgern Transport von Datenträgern mit personenbezogenen Daten wird ausschließlich durch betriebszugehörige Boten, gesicherte Transportverhältnisse oder eine sonstige sichere Versendeform durchgeführt. Datenträger sind stets verschlüsselt. 4.2 Eingabekontrolle / Datenträgerkontrolle / Speicherkontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. : - Zuständigkeiten für die Dateneingabe sind festgelegt (einschließlich Regelung der Stellvertretung) - Protokollierung aller Eingaben, Veränderungen oder Löschungen personenbezogener Daten (in Teilbereichen) 5 Verfügbarkeit und Belastbarkeit / Wiederherstellbarkeit Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust abgesichert sind. : 5.1 Erstellung und Verwahrung von Sicherheitskopien Generelles Datensicherungskonzept Kontrollierte und regelmäßige Sicherung der Benutzerdateien, Datenbanken Namenskonventionen für Sicherungsdateien Kennzeichnung der Datenträger Verwendung des Schreibschutzes bei Datenträgern (logisch) Bestandsverzeichnis der Sicherungskopien (Dateien, Datenträger) Bestandskontrolle von Datenträgern Protokollierung von Sicherheitsspeicherungen Lagerung von Kopien an besonders geschützten Orten (Offsite an einen anderen Standort) Festlegung von Aufbewahrungsfristen Planetsoftware_DSDSI-Konzept_V1.0.docx 8 von 10

5.2 Gewährleistung des laufenden Betriebes Die Infrastruktur im IT-Serverraum ist wie folgt gewährleistet: 5.2.1 Unterbrechungsfreie Stromversorgung Unterbrechungsfreie Stromversorgung mit ausreichender Kapazität ist vorgeschaltet; Ordnungsgemäße Funktionsfähigkeit wird durch regelmäßige Tests sichergestellt; Monitoring. 5.2.2 Brandschutz Brandmeldeanlage in Betrieb; Auf eine Brandlastreduzierung wird geachtet. 5.2.3 Klimatisierung Klimaanlage im Mietumfang enthalten; Zentrales Monitoring-System mit definierter Alarmweiterleitung. 5.2.4 Anbindung Internet Redundante Internetanbindung (teilweise automatisiert); Anbindung über unterschiedliche Provider. 5.3 Organisatorische Funktionstrennung zwischen Fachabteilung und DV-Abteilung Sicherheitsrichtlinien sowie sicherheits- und datenschutzspezifische Arbeitsanweisungen existieren, wurden verkündet und werden kontrolliert; Vorgaben für Verfahrens- und Programmdokumentation; Eingesetzte Hard- und Software wird regelmäßig überprüft; Vorhandensein ausreichender Personalressourcen; Anwender werden geschult; Zentrale und einheitliche Beschaffung von Hard- und Software; Erlass von Dienstanweisungen und Sicherheitsrichtlinien; Vorhandensein ausreichender Personalressourcen in der DV-Abteilung; Angemessene Schulung der Anwender. 6 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung 6.1 Datenschutz-Management Die umfangreichen Pflichten und Anforderungen der EU-DS-GVO erfordern eine ganzheitliche Strategie nach einem strukturierten Ansatz und ein entsprechendes Managementsystem. Alle Elemente, die für die Sicherstellung des Datenschutzes erforderlich sind, unterliegen der systematischen Koordination des Datenschutz-Managements. Datenschutz-Management gemäß der Datenschutzrichtlinie der Bechtle-Gruppe Datenschutzorganisation etabliert; Über Datenschutzstrategie wird ein strukturierter Ansatz verfolgt; Etablierte Prozesse sehen die Einbindung des Datenschutzbeauftragten vor Planetsoftware_DSDSI-Konzept_V1.0.docx 9 von 10

Datenschutzrelevante Richtlinien und Arbeitsanweisungen werden verkündet und die Einhaltung kontrolliert; Formalisierte Freigabeverfahren für neue DV-Verfahren und bei wesentlichen Änderungen in Altverfahren. 6.2 Incident-Response-Management Um im Bedarfsfall eines Vorfalls reagieren zu können, sind einschlägige Meldewege zu definieren und Verantwortlichkeiten festzulegen. Meldeprozess gemäß der Datenschutzrichtlinie der Bechtle-Gruppe Meldepflicht bei Datenpannen und Sicherheitsvorfällen Mitarbeiter sind entsprechend geschult; Meldestellen und Meldewege für Vorfälle- und Sicherheitsvorfälle sind definiert; Geordnete Behandlung ist sichergestellt; Dokumentation wird gepflegt; Gewonnene Erfahrungswerte fließen in die weitere Ausgestaltung und Verbesserung der Prozesse ein; 6.3 Datenschutzfreundliche Voreinstellungen Durch Voreinstellungen ist sicherzustellen, dass personenbezogene Daten nur nach den jeweiligen bestimmten Verarbeitungszweck verarbeitet werden. Dies gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit). Privacy by Design und Default gemäß der Datenschutzrichtlinie der Bechtle-Gruppe Frühzeitige Einbindung der lokalen bzw. des zentralen Datenschutzkoordinators bei Projekten Durch kontinuierlichen Sensibilisierungs- und Schulungsprozess im Rahmen des Datenschutzmanagements sind die Mitarbeiter behutsam im Umgang mit personenbezogenen Daten; 6.4 Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Es erfolgt keine Auftragsverarbeitung im Sinne von Art. 28 EU-DS-GVO ohne entsprechende Weisung des Auftraggebers. Es besteht ein schriftlicher Vertrag zwischen Auftraggeber und Auftragnehmer Der Auftraggeber erteilt dem Auftragnehmer die Weisungen in Schriftform Der Auftragnehmer hat ausreichende betriebsinterne Anweisungen aufgrund des Auftrags und der damit verbundenen Weisungen des Auftraggebers Ausreichende zur Einhaltung des Datenschutzes durch einen möglichen Unterauftragnehmer können auch durch den Auftraggeber geprüft werden Wenn beim Auftragnehmer eine Prüfung durch die Aufsichtsbehörde stattgefunden hat, so kann der Auftraggeber den Prüfbericht verlangen; Gleiches gilt für Prüfungen bei möglichen Unterauftragnehmern Interner Prozess stellt sicher, dass notwendige Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Planetsoftware_DSDSI-Konzept_V1.0.docx 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback