Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

 

Verantwortlicher:      BSAG Bueroservice24 AG, Pappelallee 78/79, 10437 Berlin

Stand:                         17.01.2020

 

1. Zutrittskontrolle

Verpflichtung des Auftragnehmers, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die Vertragsdaten verarbeitet werden, zu verwehren (Zutrittskontrolle).

Umsetzung durch: Alarmanlage, Beauftragung eines externen Sicherheitsdienstes, Transponder-Schließsystem, Videoüberwachung der Zugänge, Gegensprechanlagen an Eingängen, Bewegungsmelder, sorgfältige Auswahl von Reinigungs- und Wachpersonal, grundsätzlich „No-Visitors-Policy“, für Ausnahmen Einsatz von Besucherausweisen

2. Zugangskontrolle

Verpflichtung des Auftragnehmers, zu verhindern, insbesondere durch den Einsatz von Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). 

Umsetzung durch: sichere Kennwörter (nach festgelegten Regeln zu erstellen) für Nutzer-Accounts; automatische Sperrmechanismen; Zwei-Faktor-Authentifizierung; Verschlüsselung von Datenbanken und Datenträgern, VPN- oder TLS-Verbindungen mit Angabe von Benutzername und Passwort

3. Zugriffskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, insbesondere durch den Einsatz von Authentifizierungs- und Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Vertragsdaten zugreifen können, diese nur auf Anweisung des Auftragnehmers verarbeiten und dass Vertragsdaten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).

Umsetzung durch: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte; Protokollierung von Zugriffen; Authentifizierungs- und Verschlüsselungsverfahren; sichere Kennwörter; automatische Sperrmechanismen

4. Weitergabekontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, insbesondere durch den Einsatz von Authentifizierungs- und Verschlüsselungsverfahren, die dem jeweils aktuellen Stand der Technik entsprechen, dass Vertragsdaten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Vertragsdaten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weiter-gabekontrolle).

Umsetzung durch: Verschlüsselung; Virtual Private Networks (VPN); elektronische Signatur

5. Eingabekontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem Vertragsdaten in Datenverarbeitungssysteme eingegeben, verändert, übertragen oder entfernt worden sind (Eingabekontrolle) und Ver-tragsdaten jederzeit ihrem Ursprung zugeordnet werden können (Authentizitätskontrolle).

Umsetzung durch: Protokollierung; Dokumentenmanagement; Dokumentation von Ein- und Ausgang

6. Verfügbarkeitskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass Vertragsdaten gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt sind (Verfügbarkeitskontrolle). Dies umfasst insbesondere die Gewährleistung der Belastbarkeit der Systeme und Dienste, die Verwahrung der Vertragsdaten nach den Grundsätzen einer ordnungsgemäßen Datensicherung sowie regelmäßige Datensicherungen, einschließlich regelmäßiger Backups, im erforderlichen Umfang.

Umsetzung durch: Schreibschutz/Versionskontrolle; Backup-Strategie, unterbrechungsfreie Stromversorgung (USV); Virenschutz; Firewall; Systemwartung/Belastungstests; Updates; Meldewege und Notfallpläne

7. Trennungskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Vertragsdaten getrennt verarbeitet werden können (Trennungskontrolle).

Umsetzung durch: getrennte Zugriffsrechte

8. Umsetzungskontrolle

Verpflichtung des Auftragnehmers, dafür Sorge zu tragen, dass die Datenschutzgrundsätze wirksam umgesetzt und die notwendigen Garantien in die Verarbeitung aufgenommen werden, um den datenschutzrechtlichen Anforderungen zu genügen und die Rechte von Betroffenen zu schützen.

Umsetzung durch: Unterweisung und Schulung der Mitarbeiter; Kontrollen/Stichproben

9. Wirksamkeitskontrolle

Verpflichtung des Auftragnehmers, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren.

Umsetzung durch: vollständige, aktuelle und transparente Dokumentation der Datenverarbeitungsvorgänge; Datenschutzmanagement; Incident-Response-Management; Belastungstests/Stichproben/simulierte Angriffe „von außen“; Anpassungen an den Stand der Technik (Updates, Schulungen)

10. Auftragskontrolle

Verpflichtung des Auftragnehmers, sicher zu stellen, dass die personenbezogenen Daten nur unter Einhaltung der Weisungen des Auftraggebers bearbeitet werden und erhaltene Weisungen unverzüglich umgesetzt werden.

Umsetzung durch: Eindeutige Vertragsgestaltung; Unterweisung der Mitarbeiter; formalisiertes Auftragsmanagement; strenge Auswahl des Dienstleisters; Vorabüberzeugungspflicht; Nachkontrollen