WoodpeckerTest/content/konto/datenschutz/tom.md

3 KiB

title date
Technische und organisatorische Maßnahmen 2022-11-11T09:25:00+01:00

Nachfolgend dokumentieren wir die technischen und organisatorischen Maßnahmen, gemäß Artikel 32 DSGVO, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

{{< toc >}}

Vertraulichkeit

Zutrittskontrolle

Gemeint sind Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die Maßnahmen umfassen:

  • Beschränkung des Zutrittes der Serverstandorte auf einen begrenzten Personenkreis
  • Dokumentation von Schlüssellisten

Zugangskontrolle

Alle Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Maßnahmen umfassen:

  • Erzwingen von starken Passworten
  • Verschlüsselung aller Verbindungen
  • Fernzugriff auf interne Systeme durch Schlüsselauthentifizierung
  • Verschlüsselung von Datenträgern

Zugriffskontrolle

Maßnahmen, die gewährleisten, das personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:

  • Festlegung von Zugriffsrechten
  • Verwaltung von Benutzer:innenrechten durch Administrator:innen
  • Beschränkung der Zugriffsberechtigten

Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Wir arbeiten nach dem Grundsatz der Datensparksamkeit, so dass wir auf eine Pseudonymisierung verzichten.

Sicherung der Integrität

Umfasst Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:

  • Einsatz von E-Mailverschlüsselung
  • Einsatz von VPN
  • Protokollierung von Zugriffen über einen begrenzten Zeitraum
  • Erzwingen von verschlüsselten Transportwegen, wo es technisch möglich ist

Verfügbarkeit und Belastbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Maßnahmen umfassen:

  • Nutzung von Raid-Systemen
  • Aktive Überwachung aller Server und Dienste
  • Automatisierte Benachrichtigung bei Problemen
  • Bereitstellung einer Statusseite für Nutzer:innen
  • Überwachung der Auslastung der Systeme
  • Tägliche Backups aller gespeicherten Daten
  • Interne Dokumentation zur Wiederherstellung der Daten aus einem Backup

Evaluierung der Wirksamkeit der getroffenen Maßnahmen

Die Maßnahmen umfassen:

  • Monatliche Evaluation der Zugangsberechtigungen zu technischen Systemen
  • Halbjährliche Evaluation aller Maßnahmen anhand einer Checkliste
  • Ggf. Anpassung der Maßnahmen