| Zutrittskontrolle |
| Alarmanlage |
C |
Alarmanlage |
| Automatisches Zugangskontrollsystem |
C |
|
| Besucherbuch / Protokoll der Besucher |
C |
|
| Besucherkontrolle |
C |
Identifikation und Dokumentation der Besucher am Empfang sowie Begleitung zum Ansprechpartner und zurück zum Empfang |
| Bewegungsmelder |
C |
Bewegungsmelder |
| Chipkarten / Transpondersysteme |
C |
|
| Empfang / Rezeption / Pförtner |
C |
|
| Manuelles Schließsystem |
C |
Manuelles Schließsystem mit Schließzylinder |
| Schlüsselverwaltung |
C |
Dokumentation von ausgegebenen und zurückgegebenen Schlüsseln an Mitarbeiter. Schlüsselregelung / Liste |
| Sorgfalt bei Auswahl Reinigungsdienste |
C |
|
| Türen mit Knauf Außenseite |
C |
|
| Verschluss des Arbeitslaptops im Homeoffice |
C |
|
| Videoüberwachung der Eingänge |
C |
|
| Zugangskontrolle |
| Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) |
C |
|
| Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk |
C |
|
| Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) |
C |
|
| Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren. |
C |
|
| Zugriffskontrolle |
| Differenzierte Berechtigungen |
C |
|
| Dokumentation von Berechtigungen |
C |
|
| Profile- und Rollenkonzept |
C |
|
| Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren. |
C |
|
| Verwaltung von Berechtigungen |
C |
|
| Weitergabekontrolle |
| Getunnelte Datenfernverbindungen (VPN=Virtual Private Network) |
C |
|
| Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) oder SSH Verbindung |
C |
|
| Eingabekontrolle |
| Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Login Daten |
I |
|
| Systemseitige Protokollierungen |
I |
|
| Zugriffsrechte |
I |
|
| Auftragskontrolle |
| Bestellung eines Datenschutzbeauftragten |
C, I, A |
|
| Regelmäßige Datenschutzaudits des betrieblichen Datenschutzbeauftragten |
C, I, A |
|
| Schriftlicher Vertrag zur Auftragsverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers |
C, I, A |
|
| Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. |
C, I, A |
|
| Verpflichtung auf die Vertraulichkeit gem. Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO |
C, I, A |
|
| Verfügbarkeitskontrolle |
| (USV) Unterbrechungsfreie Stromversorgung |
A |
|
| Aufbewahrung von Datensicherung auf einem ausgelagerten Server im Rechenzentrum |
A |
|
| Backup-Verfahren |
A |
|
| Klimaanlage in Serverräumen |
A |
|
| Spiegeln von Festplatten |
A |
|
| Trennungsgebot |
| Getrennte Systeme (logische Mandantentrennung) |
C |
|
| Trennung von Test- und Entwicklungssystemen |
C |
|
| Zugriffsberechtigungen |
C |
|
| Pseudonymisierung |
| Trennung Kontaktdaten |
C |
Trennung von Kontaktdaten und anderen Daten |
| Trennung Stammdaten |
C |
Trennung von Kundenstammdaten und Auftragsdaten |
| Verwendung von Kennziffern für Kunden oder Personal anstatt Namen |
C |
|
| Verschlüsselung |
| Die Backups der privaten Cloudserver werden vor der Übertragung verschlüsselt und per SSH/SCP auf getrennte Backupserver übertragen und dort gespeichert. |
C |
|
| Ggf. zusätzliche Absicherung durch einen VPN-Tunnel |
C |
|
| Sollte der Auftragsnehmer auf Wunsch des Auftraggebers Exporte oder andere Daten vom Server ziehen, so findet die Übertragung und lokale Speicherung ausschließlich verschlüsselt statt. |
C |
|
| SSH mit personalisierten SSH-Keys für die Wartung der Server |
C |
|
| Wiederherstellbarkeit |
| IT-Notfallpläne und Wiederanlaufpläne |
A |
|
| Regelmäßige und dokumentierte Datenwiederherstellungen |
A |
|
| Managementsystem |
| Audits |
C, I, A |
Durchführung regelmäßiger interner Audits |
| Softwaregestützte Tools |
C, I, A |
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen (audatis MANAGER) |