Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

a) Zutrittskontrolle/Gebäudeabsicherung

  • Es haben ausschließlich befugte Personen Zutritt den Geschäftsräumen. Die Eingangstüren sind durch manuelle Schließsysteme mit Sicherheitsschlössern ausgestattet. Die Schlüsselausgabe wird zentral protokolliert.
  • Besucher können die Räumlichkeiten nur betreten, indem sie durch einen Mitarbeiter eingelassen werden. Besucher werden während ihres Aufenthalts durch einen Mitarbeiter beaufsichtigt.
  • Externe Dienstleister wie Reinigungskräfte o.ä. werden sorgfältig ausgewählt und auf Verschwiegenheit verpflichtet.

b) Zugangskontrolle/Absicherung Systemzugang

  • Zur Systembenutzung sind Benutzerrechte individuell zugeordnet und es erfolgt eine Authentifikation der Benutzer mittels individuellem Benutzername und Passwort.
  • Der Zugriff auf Kundensysteme ist nur über verschlüsselte Internetverbindungen möglich.
  • Unternehmenseigene Smartphones werden grundsätzlich verschlüsselt.

c) Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen

  • Die Verwaltung aller Benutzerrechte erfolgt lediglich durch Systemadministratoren. Die Anzahl der Administratoren ist dabei auf ein Minimum reduziert.
  • Zum weiteren Schutz der Systeme wird eine zentrale Hardware-Firewall eingesetzt.

d) Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten

  • Daten unterschiedlicher Kunden werden durch eine softwareseitige Mandantenverwaltung getrennt gespeichert. Außerdem gibt es eine Trennung von Produktiv- und Test-System.

2. Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)

a) Weitergabekontrolle/Sicherheit beim Datentransfer

  • Der Zugriff auf die unternehmenseigene Infrastruktur von außen ist lediglich berechtigten Benutzern mit einer zweistufigen Authentifizierung möglich. Beim Zugriff auf Kundensysteme werden ausschließlich verschlüsselte Internetverbindungen verwendet.

b) Eingabekontrolle

  • Die Nachvollziehbarkeit von Eingaben, Änderungen und Löschung von Daten ist durch den Einsatz von individuellen Benutzernamen gewährleistet.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

a) Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust

  • Zur Datenspeicherung wird der Cloud-Speicher eines externen Dienstleisters verwendet. Dieser erstellt regelmäßige Backups und sorgt für übliche Maßnahmen zur Serversicherheit: Notstromversorgung, Klimaanlage, Feuerlöschanlagen etc.

b) Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c EU-DSGVO)

  • Die schnelle Wiederherstellung von Daten ist in einem Backup- und Recovery-Konzept dokumentiert. Datenwiederherstellungen werden regelmäßig testweise durchgeführt.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)

a) Datenschutz-Management

  • Die Mitarbeiter sind geschult und auf das Daten- und Fernmeldegeheimnis verpflichtet. Es existiert eine interne Verarbeitungsübersicht der Verarbeitungsprozesse. Mittels eines Datenschutz-Management-Systems wird eine wiederkehrende Kontrolle aller datenschutzrelevanten Vorgänge gewährleistet.

b) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 EU-DSGVO)

  • Die Prinzipien Privacy-by-design und Privacy-by-default werden datenschutzfreundlich umgesetzt.

c) Auftragskontrolle/Einbindung von Unter-Auftragsverarbeiter

  • Die (Unter-)Auftragsverarbeiter werden hinsichtlich Datensicherheit sorgfältig ausgewählt. Hierzu wird, sofern notwendig, eine Vereinbarung zur Auftragsverarbeitung abgeschlossen. Darüber werden sowohl die notwendigen Kontrollrechte definiert als auch und die Datenlöschung bei Auftragsende sichergestellt. Die Verarbeitung von Daten erfolgt auf Basis schriftlicher Anweisungen.

 

Wir freuen uns auf Sie

mail@roberts.de | +49 561 93893-0