62 lines
3 KiB
Markdown
62 lines
3 KiB
Markdown
---
|
|
title: "Technische und organisatorische Maßnahmen"
|
|
date: 2022-11-11T09:25:00+01:00
|
|
---
|
|
|
|
Nachfolgend dokumentieren wir die technischen und organisatorischen Maßnahmen, gemäß Artikel 32 [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504), um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
|
|
|
|
{{< toc >}}
|
|
|
|
## Vertraulichkeit
|
|
|
|
### Zutrittskontrolle
|
|
|
|
Gemeint sind Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die Maßnahmen umfassen:
|
|
- Beschränkung des Zutrittes der Serverstandorte auf einen begrenzten Personenkreis
|
|
- Dokumentation von Schlüssellisten
|
|
|
|
### Zugangskontrolle
|
|
|
|
Alle Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Maßnahmen umfassen:
|
|
- Erzwingen von starken [Passworten](/konto/passworte)
|
|
- Verschlüsselung aller Verbindungen
|
|
- Fernzugriff auf interne Systeme durch Schlüsselauthentifizierung
|
|
- Verschlüsselung von Datenträgern
|
|
|
|
### Zugriffskontrolle
|
|
|
|
Maßnahmen, die gewährleisten, das personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:
|
|
- Festlegung von Zugriffsrechten
|
|
- Verwaltung von Benutzer:innenrechten durch Administrator:innen
|
|
- Beschränkung der Zugriffsberechtigten
|
|
|
|
### Pseudonymisierung
|
|
|
|
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Wir arbeiten nach dem Grundsatz der Datensparksamkeit, so dass wir auf eine Pseudonymisierung verzichten.
|
|
|
|
## Sicherung der Integrität
|
|
|
|
Umfasst Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:
|
|
- Einsatz von E-Mailverschlüsselung
|
|
- Einsatz von VPN
|
|
- Protokollierung von Zugriffen über einen begrenzten Zeitraum
|
|
- Erzwingen von verschlüsselten Transportwegen, wo es technisch möglich ist
|
|
|
|
## Verfügbarkeit und Belastbarkeit
|
|
|
|
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Maßnahmen umfassen:
|
|
- Nutzung von Raid-Systemen
|
|
- Aktive Überwachung aller Server und Dienste
|
|
- Automatisierte Benachrichtigung bei Problemen
|
|
- Bereitstellung einer [Statusseite](https://status.systemausfall.org) für Nutzer:innen
|
|
- Überwachung der Auslastung der Systeme
|
|
- Tägliche Backups aller gespeicherten Daten
|
|
- Interne Dokumentation zur Wiederherstellung der Daten aus einem Backup
|
|
|
|
## Evaluierung der Wirksamkeit der getroffenen Maßnahmen
|
|
|
|
Die Maßnahmen umfassen:
|
|
- Monatliche Evaluation der Zugangsberechtigungen zu technischen Systemen
|
|
- Halbjährliche Evaluation aller Maßnahmen anhand einer Checkliste
|
|
- Ggf. Anpassung der Maßnahmen
|