DocSetMinder. Modul Datenschutz LDSG M-V. Dokumentationsleitfaden. DSM Handbuch Nr. 004

DocSetMinder Modul Datenschutz LDSG M-V Dokumentationsleitfaden DSM Handbuch Nr. 004

Der vorliegende Leitfaden ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Verbreitung, Weitergabe, ganz oder teilweise, ist verboten. Kein Teil der Dokumentation darf ohne schriftliche Genehmigung des Autors in irgendeiner Form durch Fotokopie, Mikrofilm oder andere Verfahren reproduziert oder in eine für Maschinen, insbesondere Datenverarbeitungsanlagen, verwendbare Sprache übertragen werden. DocSetMinder - Dokumentversion 1.0 Seite 2 von 23

Inhaltsverzeichnis DocSetMinder... 1 1. Einführung... 4 2. Namenskonventionen... 5 3. Reihenfolge... 6 4. Beschreibung und Nutzung der Vorlagen... 7 5. Vorlagen und Verzeichnisse des Moduls Datenschutz nach LDSG M-V... 8 Verzeichnis Verantwortliche Stelle... 8 5.1.1 Vorlage Verantwortliche Stelle... 8 Verzeichnis Daten und Datenkategorien... 9 5.2.1 Vorlage Daten oder Datenkategorie... 9 Verzeichnis Öffentliches Verfahrensverzeichnis... 10 5.3.1 Einführung... 10 5.3.2 Verfahrensbeschreibung nach 18 DSG M-V... 11 Verzeichnis Verfahrensakte... 13 5.4.1 Kopieren von Verzeichnissen für Verfahrensübersichten... 13 5.4.2 Verzeichnis Maßnahmen... 15 5.4.2.1 Vorlage Maßnahme... 15 5.4.3 Vorlage Sicherheitskonzept TOM zum Verfahren... 16 5.4.4 Vorlage Technik des Verfahrens... 18 5.4.5 Verzeichnis Vorabkontrolle... 20 Verzeichnis Technische und organisatorische Sicherheitsmaßnahmen (TOM)... 21 5.5.1 Vorlage Technische und organisatorische Sicherheitsmaßnahmen des Auftragnehmers... 21 DocSetMinder - Dokumentversion 1.0 Seite 3 von 23

1. Einführung "Jeder hat das Recht auf Schutz seiner personenbezogenen Daten." heißt es in der Verfassung des Landes Mecklenburg- Vorpommern in Art. 6 Abs. 1 Satz 1. Um dies zu gewährleisten, haben wir für den bdsb das Modul LDSG M-V entwickelt. Die Anforderungen des DSG M-V an ein Verfahrensverzeichnis sind: Angabe einer verantwortlichen Stelle und der zuständigen Leitung und IT-Leitung Angabe eines Verantwortlichen für die Datenverarbeitung Angabe des/der Datenschutzbeauftragten Erstellung eines öffentlichen Verfahrensverzeichnisses mit Angaben zur datenverarbeiteten Stelle, Zweckbestimmungen und Rechtsgrundlagen, Art der gespeicherten Daten, Empfänger der Daten Angaben zu Löschfristen und Sperrfristen Angaben zu Sicherheitskonzepten/Technischen und organisatorischen Maßnahmen Angaben zur im Verfahren genutzten Technik (Hard- und Software) Vorabkontrolle Freigabe Für die Dokumentation greift das Modul LDSG M-V auf die bereits in den Modulen Organisation und IT-Dokumentation erfassten organisatorischen Einheiten und Prozesse der Aufbau- und Ablauforganisation sowie der IT-Infrastruktur zu, was den Erstellungsaufwand und die Umsetzung der Anforderungen des DSG M-V ungemein erleichtert. Abschließend noch folgende Hinweise: Dieser Leitfaden ist nicht dazu gedacht, umfassendes Wissen im Bereich Datenschutz zu vermitteln. Es wird vorausgesetzt, dass die Benutzer bereits die erforderliche Fachkenntnis im Bereich Datenschutz, insbesondere im Bereich Landesdatenschutzgesetz Mecklenburg-Vorpommern, besitzen. Dieser Leitfaden unterstützt die Benutzer bei der erfolgreichen Umsetzung der Datenschutzdokumentation gemäß den Anforderungen des LDSG M-V. Es wird davon ausgegangen, dass bereits alle notwendigen Daten und Informationen in den Modulen Organisation (Behördenorganisation) und IT-Dokumentation erfasst sind. Die Pfadangaben in diesem Leitfaden beziehen sich auf die Modulstrukturen im Auslieferungszustand. DocSetMinder - Dokumentversion 1.0 Seite 4 von 23

2. Namenskonventionen Namenskonventionen sind ein fester Bestandteil einer Dokumentationsrichtlinie. Sie sind interne Vereinbarungen für eine einheitliche, transparente und für alle involvierten Mitarbeiter verständliche Bezeichnung von Sachverhalten (Dokumentationsobjekte). Sie tragen zur Verbesserung der Lesbarkeit und zur Wiederauffindbarkeit der Dokumente bei 1. Die Bedeutung der Namenskonventionen und die Kennzeichnung der Dokumente werden oft in der Praxis unterschätzt. Eine vollständige Definition der Namenskonventionen erfolgt bereits vor der Aufnahme und Dokumentation der Sachverhalte und sollte abgeschlossen sein. Diese Tabelle listet einige Beispiele von Namenskonventionen aus dem Bereich des Datenschutzes auf: Verfahrensbeschreibung = V001 - Verfahrensbezeichnung Daten oder Datenkategorie = D001 - Bezeichnung der Daten Technik des Verfahrens = TDV01 Bezeichnung Sicherheitskonzept ToM zum Verfahren = TOM001 Bezeichnung Maßnahme = M001 Bezeichnung ToM des Auftragnehmers =TOMAN01 Bezeichnung 1 Vgl. ISO 22301: 2012, Kapitel 7.5.3 Control of documented information, S.14. und Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-4 V. 1.0, Kapitel 3.2.1. Mindestanforderung an die Kennzeichnung der Dokumente zum Notfallmanagement. S.12. DocSetMinder - Dokumentversion 1.0 Seite 5 von 23

3. Reihenfolge Die Erstellung und Aktualisierung der Dokumentation ist häufig mit hohem personellen Aufwand und nicht selten mit Zeitdruck verbunden. Eine bestimmte, geplante Reihenfolge der Aufnahme und Dokumentation der Sachverhalte kann einen direkten Einfluss auf die effektive und effiziente Erstellung der Dokumentation haben. Die Reihenfolge der Dokumentation ist grundsätzlich unabhängig vom eingesetzten Dokumentations-Werkzeug. Die bereits in den Modulen Organisation sowie IT-Dokumentation erfassten Informationen über organisatorische Einheiten, Rollen, Prozesse/Produkte, Verantwortlichkeiten und IT-Infrastruktur werden im Modul LDSG M-V genutzt (vgl. Abbildung 1). Abbildung 1: Modularchitektur Informationslieferant und -empfänger. DocSetMinder - Dokumentversion 1.0 Seite 6 von 23

4. Beschreibung und Nutzung der Vorlagen Um die hohen Anforderungen des Datenschutzgesetzes Mecklenburg-Vorpommern zu erfüllen, stehen dem/der Datenschutzbeauftragen eine vorgegebene Struktur (die Struktur kann bezüglich der Anforderungen der Behörde und Menge der vorhandenen Verfahren angepasst werden) sowie für das DSG M-V entwickelte Vorlagen zur Verfügung, die beliebig oft und auch modulübergreifend eingesetzt werden können. Die Vorlagen können nach Bedarf individuell angepasst werden (z.b. können sie erweitert oder einzelne Zeilen ausgeblendet werden). Der vorliegende Leitfaden beschreibt die Nutzung der Vorlagen. Die Beschreibung ist wie folgt strukturiert: Screenshot der Vorlage Erläuterung Zweckbeschreibung der Vorlage Dokumentationsschritt siehe Kapitel 3 Verwendung Beschreibung der Verwendung der dokumentierten Informationen Aktivität Beschreibung der Aktivität (was ist zu tun) des Dokumenterstellers (Redakteurs) Methode Beschreibung der Eingabemethode, wie z.b. manuell, Datenimport etc. Bitte beachten Sie, dass zwischen der bei Ihnen installierten Modul-Version (Release) und dem vorliegenden Leitfaden einzelne Unterschiede im Inhalt existieren können. Abbildung 2: Struktur des LDSG M-V DocSetMinder - Dokumentversion 1.0 Seite 7 von 23

5. Vorlagen und Verzeichnisse des Moduls Datenschutz nach LDSG M-V Verzeichnis Verantwortliche Stelle 5.1.1 Vorlage Verantwortliche Stelle Abbildung 3: Vorlage Verantwortliche Stelle Erläuterung: Die Vorlage Verantwortliche Stelle dient der Erfassung der Angaben zur verantwortlichen Stelle und der aus der Datenschutzsicht relevanten Verantwortlichkeiten. Dokumentationsschritt: Die verantwortliche Stelle wird in Schritt 1 erfasst. Verwendung: Die Erfassung der verantwortlichen Stelle wird vom LDSG M-V vorgeschrieben und ist fester Bestandteil der Datenschutzdokumentation. Aktivität: Tragen Sie Name, Anschrift und Kontaktdaten ein. Verlinken Sie die zuständigen Mitarbeiter (Pfad: [Modul: Organisation -> Unternehmens-/Behördenstruktur -> Mitarbeiter -> ]). Methode: Manuelle Eingabe und Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 8 von 23

Verzeichnis Daten und Datenkategorien 5.2.1 Vorlage Daten oder Datenkategorie Abbildung 4: Vorlage Daten und Datenkategorie Erläuterung: Die Vorlage Daten oder Datenkategorie dient der Erfassung der für die Verfahren verwendeten Daten und Datenkategorien. Dokumentationsschritt: Die Daten werden in Schritt 2 erfasst. Verwendung: Die Dokumentation der Daten und Datenkategorien wird vom DSG M-V gefordert. Sie werden in der Vorlage Verfahrensbeschreibung nach 18 DSG M-V verwendet. Aktivität: Erfassen Sie alle für die Verfahren benötigten Daten und Datenkategorien. Die Erfassung kann auf zwei Arten erfolgen: Durch eine kurze Beschreibung der Daten und Datenkategorien gemäß des LDSG M-V als Text. (Bevorzugte Methode) Durch Verlinken der bereits in dem Modul IT-Dokumentation dokumentierten Daten (Pfad: [Modul: IT-Dokumentation -> Geschäftsanwendungen -> Daten -> ]). Methode: Manuelle Eingabe oder Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 9 von 23

Verzeichnis Öffentliches Verfahrensverzeichnis 5.3.1 Einführung Das Verzeichnis öffentliches Verfahrensverzeichnis sollte alle Verfahrensbeschreibungen nach 18 DSG M-V für das öffentliche Verfahrensverzeichnis enthalten. Dies bedeutet, dass die Verfahrensbeschreibungen aus Ihren ursprünglichen Verzeichnissen ( Verfahrensakte > Verfahrensübersicht Verfahren ) über Aktionen Verschieben nach in das Verzeichnis Öffentliches Verfahrensverzeichnis verschoben werden sollten. Abbildung 5: Verschieben von Dokumenten DocSetMinder - Dokumentversion 1.0 Seite 10 von 23

5.3.2 Verfahrensbeschreibung nach 18 DSG M-V Abbildung 6: Vorlage Öffentliches Verfahrensverzeichnis nach 18 DSG M-V Erläuterung: Die Vorlage Verfahrensbeschreibung nach 18 DSG M-V dient der Erfassung der Allgemeinen Angaben zum Verfahren Datenverarbeitenden Stelle Zweckbestimmung und Rechtsgrundlage Art der gespeicherten Daten und Kreis der Betroffenen Empfänger der Daten Löschfristen nach 13 DSG M-V Dokumentationsschritt: Die Verfahrensbeschreibung nach 18 DSG M-V wird in Schritt 3 erfasst. Verwendung: Die Erstellung der Verfahrensbeschreibung nach 18 DSG M-V ist gesetzlich vorgeschrieben. Sie wird in den Vorlagen Technische und Organisatorische Maßnahmen sowie Technik des Verfahrens verwendet. Aktivität: 2.: Tragen Sie eine Referenznummer und Bezeichnung ein. 2.1.1: Wählen Sie Ja oder Nein aus. 2.1.1.1: Wählen Sie das Datum der Vorabinformation aus. 2.1.2: Wählen Sie Ja oder Nein aus. 2.1.3: Wählen Sie Ja oder Nein aus. 2.1.4: Wählen Sie das Datum der Aufnahme und der Beendigung aus. DocSetMinder - Dokumentversion 1.0 Seite 11 von 23

2.1.5: Wählen Sie das Datum der Wiedervorlage des Verfahrens aus. 2.1.6: Geben Sie den Namen des Verfahrens ein. 2.1.7: Geben Sie eine Kurzbeschreibung des Verfahrens als Text ein ODER verlinken Sie diese (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> prozesse -> ]). 2.1.8: Wählen Sie Ja oder Nein aus. 2.1.9 Geben Sie den Namen und die Version der eingesetzten Software ein. 2.1.10 Wählen Sie aus der Liste aus. 2.2.1 Geben Sie den Bereich, in dem des Verfahren geführt wird, als Text ein ODER verlinken Sie diesen (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> Organisatorische Einheiten -> ]). 2.2.2 Geben Sie den Vornamen, Namen und die Position des/der Fachverantwortlichen als Text ein ODER verlinken Sie diese (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> Mitarbeiter -> Leitende Mitarbeiter ]). 2.2.5 Wählen Sie Ja oder Nein aus. 2.2.5 Geben Sie den Namen und die Anschrift des Auftragsdatenverarbeiters als Text ein ODER verlinken Sie diese (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> Fremde Dritte - > ]). 2.2.5.1: Wählen Sie Ja oder Nein aus. 2.3.1: Geben Sie die Zweckbestimmung als Text ein. 2.3.2: Geben Sie die Rechtsgrundlage als Text ein. 2.4.1: Geben Sie die Art der gespeicherten Daten als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> Geschäftsanwendungen -> Daten -> ] UND/ODER [LDSG M-V -> Daten und Datenkategorien]). 2.4.2: Geben Sie den Kreis der Betroffenen als Text ein ODER verlinken Sie die Information (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> ]). 2.4.3: Wählen Sie Ja oder Nein aus. 2.4.3.1: Geben Sie ggf. die Zulässigkeitsvoraussetzung nach 7 als Text ein. 2.5.1: Geben Sie den Kreis der Empfänger als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> Organisatorische Einheiten/Behörden/Fremde Dritte -> ]). 2.5.2: Wählen Sie Ja oder Nein aus und geben Sie ggf. den Namen des Drittlandes ein. 2.5.2.1: Geben Sie ggf. das Datum der Mitteilung an. Löschung nach 13 DSG M-V: Geben Sie die Datenarten, Fristen für Sperrung und Löschung sowie wodurch die Dauer der Speicherung geregelt ist an. Methode: Manuelle Eingabe, Auswahl und Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 12 von 23

Verzeichnis Verfahrensakte 5.4.1 Kopieren von Verzeichnissen für Verfahrensübersichten In dem Verzeichnis Verfahrensakte befinden sich weitere Verzeichnisse für unterschiedliche Verfahren. Zum Zeitpunkt der Auslieferung sind insgesamt 5 Verfahrensakten vorhanden (1-4 und n). Sollten Sie mehr Verfahren dokumentieren müssen, kopieren Sie ein noch nicht bearbeitetes Verzeichnis, indem Sie diese im Modulbaum auswählen, auf die Schaltfläche Aktionen und anschließend Kopieren nach klicken. Abbildung 7: Kopieren eines Verzeichnisses Schritt 1 Anschließend öffnet sich ein Fenster, in dem Sie das Zielverzeichnis auswählen können, in welches das Ursprungsverzeichnis kopiert werden soll. Abbildung 8: Kopieren eines Verzeichnisses Schritt 2 DocSetMinder - Dokumentversion 1.0 Seite 13 von 23

Bestätigen Sie Ihre Auswahl mit OK und wählen Sie anschließend Einchecken aus. Wiederholen Sie diese Schritte so oft, bis Sie die gewünschte Anzahl an Verzeichnisses erreicht haben. Hinweis: Die Bearbeitung der nachfolgenden Vorlagen (Kapitel 1.3.2 1.3.5) muss für jedes Verfahren/jede Verfahrensakte durchgeführt werden. Die Schritte 4, 5, 6 und 8 wiederholen sich demnach für jedes Verfahren. DocSetMinder - Dokumentversion 1.0 Seite 14 von 23

5.4.2 Verzeichnis Maßnahmen 5.4.2.1 Vorlage Maßnahme Abbildung 9: Vorlage Maßnahme Erläuterung: Die Vorlage Maßnahmen dient der Dokumentation von unterschiedlichen Maßnahmen, die für die Umsetzung eines Verfahrens notwendig sind, wie z.b. Verschlüsselung. Angegeben werden Zweck der Maßnahme, eine aussagekräftige Beschreibung sowie verantwortliche und durchführende Person(en). Im Bereich Status werden Informationen über die Dringlichkeit, Kosten und Durchführungsdauer erwartet. Dokumentationsschritt: Die Maßnahmen werden in Schritt 4 erfasst Verwendung: Die Dokumentation der Maßnahmen ist gesetzlich vorgeschrieben. Sie werden in der Vorlage Sicherheitskonzept ToM zum Verfahren verwendet. Aktivität: Geben Sie den Zweck der Maßnahme und die Beschreibung als Text ein. Verlinken Sie die Verantwortliche und durchführende Personen (Pfad: [Modul: Organisation -> Unternehmensstruktur -> Rollen/Mitarbeiter/Beauftragte -> ]). Geben Sie den Status der Maßnahme durch Auswahl, Eingabe und Angabe von Zeitpunkten an. Methode: Manuelle Eingabe und Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 15 von 23

5.4.3 Vorlage Sicherheitskonzept TOM zum Verfahren Abbildung 10: Sicherheitskonzept - TOM zum Verfahren Erläuterung: Die Vorlage Sicherheitskonzept ToM zum Verfahren dient der Erfassung der Informationen über zugriffsberechtigte Personengruppen sowie detaillierte Angaben über die eingesetzten Maßnahmen bezüglich der Gewährleistung der Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz. Dokumentationsschritt: Die Sicherheitskonzepte werden in Schritt 5 erfasst. Verwendung: Die Dokumentation der Technischen und organisatorischen Maßnahmen zum Verfahren ist im DSG M-V vorgeschrieben. Sie werden von den Vorlagen Maßnahmen und Verfahrensbeschreibung nach 18 DSG M-V genutzt. Aktivität: 4.: Tragen Sie die Referenznummer ein und verlinken Sie die betroffenen Verfahren (Pfad: [Modul: LDSG M-V -> Öffentliches Verfahrensverzeichnis]). 4.1.1: Geben Sie die Beschreibung der zugriffsberechtigten Personengruppen als Text ein oder verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Unternehmensstruktur -> ] UND/ODER [Modul: IT-Dokumentation -> Geschäftsanwendungen -> Benutzerrechte -> ] UND/ODER [Modul: IT-Dokumentation -> IT-Infrastruktur -> Netzwerkdienste -> Verzeichnisdienste -> Benutzergruppen -> ]). 4.1.2: Geben Sie die Information bezüglich der Datei bzw. des Verzeichnisses als Text ein. 4.2.1: Geben Sie den Hinweis auf gesonderte Dokumente als Text ein. 4.2.2: Geben Sie die vorhandenen Maßnahmen beim Landkreis V-G als Text ein. DocSetMinder - Dokumentversion 1.0 Seite 16 von 23

4.2.3: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Vertraulichkeit als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). 4.2.4: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Integrität als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). 4.2.5: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Verfügbarkeit als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). 4.2.6: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Authentizität als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). 4.2.7: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Revisionsfähigkeit als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). 4.2.8: Geben Sie die Maßnahmen bezüglich der Gewährleistung der Transparenz als Text ein ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> Maßnahmen -> ]). Methode: Manuelle Eingabe und Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 17 von 23

5.4.4 Vorlage Technik des Verfahrens Abbildung 11: Technik des Verfahrens Erläuterung: Die Vorlage Technik des Verfahrens dient der Erfassung der an einem Verfahren beteiligten Hard- und Software sowie des internen bzw. externen Leitungen. Dokumentationsschritt: Die Technik des Verfahrens wird in Schritt 6 erfasst. Verwendung: Die Dokumentation der technischen und organisatorischen Maßnahmen zum Verfahren ist im DSG M-V vorgeschrieben. Aktivität: Geben Sie die Referenznummer ein und verlinken Sie die betroffenen Verfahren. Verlinken Sie die getroffenen TOMs (Pfad: [Modul: LDSG M-V -> Verfahrensübersicht -> ] UND/ODER [Modul: LDSG M-V -> Technische und organisatorische Maßnahmen (TOM) -> ]). Beschreiben Sie die betroffenen Anwendungen und Schnittstellen ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> Geschäftsanwendungen -> Anwendungen und Module -> ] UND/ODER [Modul: IT-Dokumentation -> Schnittstellen -> ]). Erfassen Sie die Systemsoftware und Betriebssysteme als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> IT-Infrastruktur -> Serversoftware -> Betriebssysteme/Anwendungen] UND/ODER [Modul: IT-Dokumentation -> Arbeitsplatzsoftware -> Betriebssysteme/Anwendungen]). DocSetMinder - Dokumentversion 1.0 Seite 18 von 23

Erfassen Sie die Serversysteme als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> IT-Infrastruktur -> Systeme -> Server -> Cluster/Physikalische Server/Virtuelle Server -> ] UND/ODER [Modul: IT-Dokumentation -> IT-Infrastruktur -> Systeme -> DMS -> ]). Erfassen Sie die Speichersysteme und Datensicherung als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> IT-Infrastruktur -> Systeme -> Massenspeicher/Datensicherung -> ]). Erfassen Sie die Arbeitsplätze, Drucker und mobile Geräte als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> IT-Infrastruktur -> Systeme -> Kommunikation -> Mobile Geräte -> ] UND/ODER [Modul: IT-Dokumentation -> IT-Infrastruktur -> Systeme -> Arbeitsplätze/Drucker -> ]). Erfassen Sie LAN und WAN als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: IT-Dokumentation -> IT-Infrastruktur -> Netzwerk -> Aktive Netzwerkkomponenten -> ] UND/ODER [Modul: IT-Dokumentation -> Gebäude -> Gebäude Standort -> Infrastruktur -> WAN -> ]). Methode: Manuelle Erfassung oder Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 19 von 23

5.4.5 Verzeichnis Vorabkontrolle Abbildung 12: Vorabkontrolle als externe Datei Hinweis: Die Beschreibung der Vorabkontrolle wurde vorgezogen, um die Verzeichnisstruktur in der dargestellten Reihenfolge abzubilden. Vor der Vorabkontrolle (Schritt 8) sollten die Technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers (Schritt 7), sofern vorhanden, dokumentiert werden. Erläuterung: Im Verzeichnis Vorabkontrolle können entsprechende externe Dateien z.b. im Wordformat oder als PDF verlinkt werden. Dokumentationsschritt: Die Vorabkontrolle sollte im Schritt 8 durchgeführt werden. Verwendung: Die Durchführung einer Vorabkontrolle vor Freigabe des Verfahrens ist im DSG M-V vorgeschrieben. Aktivität: Fügen Sie das Dokument per Drag&Drop oder Auswahl hinzu und benennen Sie es mit einer aussagekräftigen Bezeichnung. Methode: Hinzufügen per Drag&Drop oder Auswahl. DocSetMinder - Dokumentversion 1.0 Seite 20 von 23

Verzeichnis Technische und organisatorische Sicherheitsmaßnahmen (TOM) 5.5.1 Vorlage Technische und organisatorische Sicherheitsmaßnahmen des Auftragnehmers Abbildung 13: TOM des Auftragnehmers Erläuterung: Die Vorlage Technische und organisatorische Sicherheitsmaßnahme des Auftragsnehmers dient der Erfassung der vom Auftragsdatenverarbeiter getroffenen Maßnahmen zu diversen Kontrollen (Zutritt, Zugang, Zugriff usw.). Dokumentationsschritt: Die Technischen und organisatorischen Maßnahmen des Auftragnehmers werden in Schritt 7 erfasst. Verwendung: Die Dokumentation der Technischen und organisatorischen Maßnahmen des Auftragnehmers im Falle einer Auftragsdatenverarbeitung sind im DSG M-V vorgeschrieben. Aktivität: Geben Sie die Referenznummer ein und verlinken Sie die betroffenen Verfahren. Verlinken Sie ggf. die Technik des Verfahrens (Pfad: [Modul: LDSG M-V -> Verfahrensakte -> Verfahrensübersicht -> ]). 1. Zutrittskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). DocSetMinder - Dokumentversion 1.0 Seite 21 von 23

2. Zugangskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). 3. Zugriffskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). 4. Weitergabekontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). 5. Eingabekontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). 6. Auftragskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). 7. Verfügbarkeitskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). DocSetMinder - Dokumentversion 1.0 Seite 22 von 23

8. Trennungskontrolle: Wählen Sie aus (Ja/Nein), ob Sicherheitsmaßnahmen getroffen wurden. Wenn ja, beschreiben Sie diese als Text ODER verlinken Sie sie (bevorzugt, Pfad: [Modul: Organisation -> Prozesskatalog -> Managementprozesse/Kernprozesse/Unterstützungsprozesse -> ] UND/ODER [Modul: Organisation -> Organisationsanweisungen und Verträge -> Richtlinien/Corporate Governance -> Notfallmanagement/ Datenschutz/Datensicherheit ]). Methode: Manuelle Erfassung oder Verlinkung. DocSetMinder - Dokumentversion 1.0 Seite 23 von 23