I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Ähnliche Dokumente
Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Technisch-organisatorische Maßnahmen

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)


EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Technische und organisatorische Maßnahmen

Leitlinie zur Informationssicherheit

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Auftragsdatenverarbeitung. vom

DATEN SCHUTZ MASS NAHMEN

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Technische und organisatorische Maßnahmen

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Technische und organisatorische Maÿnahmen

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Auftragsverarbeitervereinbarung

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Technische und organisatorische Maßnahmen der KONTENT GmbH

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Grasenhiller GmbH Sachsenstraße Neumarkt

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Erklärung zur Datensicherheit

Technische und organisatorische Maßnahmen (TOM)

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Leitlinie zur Umsetzung des Datenschutzes bei der Stadt Rees

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Technische und organisatorische Maßnahmen gem. Art. 32 Abs. 1 DSGVO Verantwortliche Stelle: Krämer IT Solutions GmbH, Koßmannstr.

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

ADV nach Art. 28 DSGVO

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

MUSTER 4 Technische und organisatorische Maßnahmen

Darstellung der technischen und organisatorischen Maßnahmen

Anlage I. Rahmenvertrag zur Auftragsverarbeitung technische & organisatorische Maßnahmen. Stand 12. März Auftragnehmer

Anlage 3 Technische und organisatorische Maßnahmen des Auftragnehmers

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Sichere Kommunikation Pflicht für Anwälte

Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Anlage 2 zum Auftrag gemäss Art. 28 DS-GVO: Technische und organisatorische Massnahmen nach Art. 32 DS-GVO und Anlage.

Anlage zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO. zwischen. FIO SYSTEMS AG Ritter-Pflugk-Str Leipzig. - im Folgenden "FIO SYSTEMS" und

Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit (nach Art. 32 DSGVO)

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Technische und organisatorische Maßnahmen der badenit gem. (Art. 32 DS-GVO)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Datenschutzgruppe

Information zur Datensicherheit und Übertragungssicherheit für Kunden des eurodata Rechenzentrums

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Beschreibung der technischen und organisatorischen Maßnahmen

Sicherheitsrichtlinien

Datensicherheit. Vorlesung 6: Wintersemester 2018/2019 h_da. Heiko Weber, Lehrbeauftragter

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Behördliche Datenschutzbeauftragte des Staatsministeriums für Kultus Straße, Hausnummer: Carolaplatz 1 Postleitzahl: 01097

So schützen Sie ein Rechenzentrum vor Hacking

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Inhaltsverzeichnis. A. Verschlüsselung personenbezogener Daten... 3 A.1. Ziel der Verschlüsselung... 3 A.2. Umsetzung der Verschlüsselung...

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Datenschutz Management System

Datenschutz und Systemsicherheit

So steuern Sie Ihren Computer auf einem Ambrosia-System

Transkript:

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO für Auftragsverarbeiter (Art. 30 Abs. 2 lit. d DS-GVO) (Stand: April 2018) I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) 1. Zutrittskontrolle Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen, mit denen Daten im Auftrag verarbeitet werden, zu verwehren. b. Technische und organisatorische Maßnahmen Alle im Auftrag verarbeiteten Daten werden grundsätzlich in Sicherheitsbereichen gespeichert. Der Zutritt ist nur Berechtigten möglich. Besucher haben sich beim Empfang anzumelden und werden grundsätzlich vom einem uberall-mitarbeiter begleitet. Der Eintritt in die Arbeitsflächen erfolgt nur mit einem Sicherheitsschlüssel. Die Büroräume werden zudem nachts und an Wochenenden sowie an Feiertagen von einem Sicherheitspersonal überwacht. 2. Zugangskontrolle Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbefugte Offenlegung bzw. unbefugten Zugang zu den im Auftrag verarbeiteten Daten ist zu reduzieren. Es muss verhindert werden, dass Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen von unbefugten Dritten genutzt werden können. b. Technische und organisatorische Maßnahmen: Alle Rechner verfügen über ein Zugangskontrollsystem. Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter. Datenträger sind verschlüsselt, das Schlüsselmaterial ist beim Serveranbieter Amazon Web Services gespeichert und kann nur von autorisierten uberall-mitarbeitern eingesehen werden. Mobile Endgeräte von uberall- Mitarbeitern werden verschlüsselt. Die Mitarbeiter werden in diesem Zusammenhang regelmäßig durch zur Verfügung Stellung von Informationen gebrieft und aufgeklärt. Im Rahmen des Remote Zugriffs auf die Infrastruktur besteht keine direkte Verbindung mit Servern, die Zugriffe laufen über einen zentralen Server. Ein Zugang per Passwort ist nicht möglich, der Zugriff erfolgt über eine individuelle Private-Key-Authentifizierung. 1

Für die Nutzung der uberall-applikation besteht zum Zwecke des höheren Schutzes für den Kunden eine Mindestpasswortlänge. Zudem ist die User Session durch einen secure cookie gesichert. 3. Zugriffskontrolle Die zur Benutzung von IT-Systemen Berechtigten dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen. Im Auftrag verarbeitete Daten dürfen bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. : Die eingesetzten IT-Systeme haben ein dediziertes Rechtesystem, welche es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passwortes sowie die Wiederverwendung alter Passwörter. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Ein anonymer Zugriff auf interne Daten ist nicht möglich, es gilt hier das Principle of least privilege. Zugriffe werden grundsätzlich zentral und lokal protokolliert. Die persönliche Verantwortung jedes Mitarbeiters für die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen wird durch zentral bereitgestellte Informationen gestärkt. 4. Trennungskontrolle Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können. Es existiert das Prinzip der Funktionstrennung zwischen Dienstleistung und Entwicklung, die eingebundenen Abteilungen sind funktionell und organisatorisch getrennt. Schutzwürdige Daten werden den Mitarbeitern nur in dem Umfang zur Verfügung gestellt, wie es für die zugewiesene Aufgabenerfüllung unbedingt erforderlich ist. Der Übergang vom Entwicklungssystem zum Produktionssystem ist durch entsprechende Werkzeuge gesichert und nachvollziehbar dokumentiert. Zu Entwicklungszwecken genutzte Daten werden anonymisiert. 5. Pseudonymisierung Als Auftragsverarbeiter trifft uberall zusätzlich zu Maßnahmen, die sich aus den jeweiligen Leistungsbeschreibungen der Dienstleistungen ergeben oder durch den Verantwortlichen im Rahmen der Beauftragung vorgenommen werden, keine Maßnahmen zur Pseudonymisierung. 2

II. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) 1. Weitergabekontrolle Im Auftrag verarbeitete Daten dürfen bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu setzt uberall für den elektronischen Transport Verschlüsselungsverfahren ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, das den Anforderungen angemessen ist. Der elektronische Transport von Daten ist über https und ssl verschlüsselt und über eine VPN-Verbindung abgesichert. Erklärungen per Email erfolgen grundsätzlich mit einer elektronischen Signatur. 2. Eingabekontrolle Veränderungen, Eingaben sowie das Entfernen personenbezogener Daten müssen kontrolliert und protokolliert werden, um eventuelle, unbefugte Zugriffe zu erkennen und um hierauf schnellstmöglich reagieren zu können. Sämtliche Dateneingaben (Erstellung, Aktualisierung und Löschung) wird von der uberall- Applikation gespeichert. Direkte Dateneingabe in die Datenbank ist nur mit speziellen Rechten möglich und ist zudem beschränkt auf einen kleinen Personenkreis und wird von mindestens 4 Augen geprüft. III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) 1. Verfügbarkeitskontrolle Im Auftrag verarbeitete Daten sind gegen zufällige oder mutwillig herbeigeführte Zerstörung oder Verlust zu schützen. Als Rechenzentrum und Serverdienstleister nutzt uberall die Amazon Web Services. Diese stellen durch folgende Maßnahmen die Verfügbarkeit der Daten sicher: Die Systeme des Rechenzentrums sind auf verschiedene Brandabschnitte aufgeteilt. 3

Durch regelmäßige Wartung der Produktionsanlagen besitzen die technischen Anlagen eine hohe Verfügbarkeit. Notstrom Die Stromversorgung für die IT-Systeme ist redundant aufgebaut und erlaubt über dynamische USV-Anlagen (Unterbrechungsfreie Stromversorgung) die Leistungsversorgung. Moderne Netzersatzanlagen ermöglichen den Betrieb des Rechenzentrums ohne Anbindung an das öffentliche Stromnetz. Brandschutz: Brandfrühesterkennung; die Um- und Außenluft wird auf Brand- /Rauchaerosole detektiert. Brandabschnitte mit Feuer hemmenden Wänden Sauerstoffreduzierende Löschanlage Sprinkleranlage Klimatisierung: Die Klimatisierung des Rechenzentrums erfolgt über redundante Klimaanlagen und räumlich getrennte, redundante Kältezentralen, die im Verbund arbeiten. Uberall selbst stellt die optimale Verfügbarkeit zudem dadurch sicher, dass Backups mehrmals täglich erstellt und an verschiedenen Orten (SQL oder direkter Snapshot) gespeichert werden. Zudem ist jede Komponente redundant und durch eine Firewall gesichert. 2. Wiederherstellbarkeit Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu diesen durch einen physischen oder technischen Zwischenfall ist zu reduzieren. Datenbank-Snapshots können jederzeit wiederhergestellt werden. Die Infrastruktur kann innerhalb von wenigen Stunden durch höchst automatisierte Verfahren wiederhergestellt werden. IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) 1. Datenschutzmanagement 4

Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben. Die Wirksamkeit der Maßnahmen wird durch den Datenschutzbeauftragten laufend geprüft. Der Datenschutzbeauftragte lautet wie folgt: Christoph Najberg, Degnerstraße 9, 13053 Berlin; Email: dataprotection@uberall.com 2. Incident-Response-Management Im Falle von festgestellten, unbefugten Zugriffen auf Daten ist ein funktionales Management und eine damit verbundene Fehleranalyse bzw. behebung sicher zu stellen. Individuelle Maßnahmen werden mit den jeweiligen Kunden, verbunden mit Responsezeiten für verschiedene Szenarien, per SLA definiert. Zudem ist ein interner Notfalldienst implementiert, der sowohl für die Infrastruktur als auch für die Applikation zuständig ist. 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback