Technische und Organisatorische Massnahmen
TOM der UB Weiss GmbH
M.1 Maßnahmen zur Vertraulichkeit
M.1.1 Beschreibung der Zutrittskontrolle:
Besucherkontrolle am Empfang
Einsatz einer Schließanlage
M.1.2 Beschreibung der Zugangskontrolle:
Authentifikation mit Benutzer + Passwort, teilweise per Fingerabdruck
Benutzerberechtigungen verwalten (z.B. bei Eintritt, Änderung, Austritt)
Einsatz von Firewalls zum Schutz des Netzwerkes (HW/SW)
Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren
M.1.3 Beschreibung der Zugriffskontrolle:
Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren
Passwortrichtlinie inkl. Länge, Komplexität und Wechselhäufigkeit
Erstellen und Einsatz eines Berechtigungskonzepts
Sichere Aufbewahrung von Datenträgern
Einsatz von Aktenvernichtern (min. Sicherheitsstufe 3 und Schutzklasse 2)
M.1.4 Beschreibung der Weitergabekontrolle:
E-Mail-Verschlüsselung mit S/MIME oder PGP Verfahren (oder anderen, dem Stand der Technik entsprechenden Verfahren)
Einsatz von SSL-/TLS-Verschlüsselung bei der Datenübertragung im Internet
Einrichtungen von VPN-Tunneln zur Einwahl ins Netzwerk von außen
M.1.5 Beschreibung des Trennungsgebots:
Logische Mandantentrennung (softwareseitig)
M.1.6 Beschreibung der Pseudonymisierung:
Es werden keine Pseudonymisierungen eingesetzt.
M.1.7 Beschreibung der Verschlüsselung:
Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
M.2 Maßnahmen zur Integrität
M.2.1 Beschreibung der Eingabekontrolle:
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Personenbezogene Zugriffsrechte zur Nachvollziehbarkeit der Zugriffe.
Protokollierung der Eingabe, Änderung und Löschung von Daten im CRM System
M.3 Maßnahmen zur Verfügbarkeit und Belastbarkeit
M.3.1 Beschreibung der Verfügbarkeitskontrolle:
Einsatz von Antivirensoftware zum Schutz vor Malware
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Erstellen eines Backup- & Recoverykonzepts
Feuer- und Rauchmeldeanlagen
Redundante Datenhaltung (z.B. gespiegelte Festplatten, RAID 1 oder höher, gespiegelter Serverraum)
M.3.2 Beschreibung der raschen Wiederherstellbarkeit:
Regelmäßige und dokumentierte Datenwiederherstellungen
M.4 Weitere Maßnahmen zum Datenschutz
M.4.1 Beschreibung der Auftragskontrolle:
Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DS-GVO.
Benennung eines Datenschutzbeauftragten
Verpflichtung auf die Vertraulichkeit gem. Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen.
Verpflichtung auf die Vertraulichkeit gem. Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO
M.4.2 Beschreibung des Managementsystems zum Datenschutz:
Durchführung regelmäßiger interner Audits
Managementsystem zum Datenschutz (z.B. in Anlehnung an VdS 10010)
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO)
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen (z.B. audatis MANAGER, Privacy Guard)