Anlage 7 - Technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1. Zutrittskontrolle
Folgende Maßnahmen verhindern unbefugten Zutritt zu Datenverarbeitungsanlagen (Server):

  • Festlegung zutrittsberechtigter Personen

  • Verwaltung von personengebundenen Zutrittsberechtigungen

  • Begleitung von Fremdpersonal

  • Zugangsschutz durch Alarmanlagen

1.2. Zugangskontrolle
Folgende Maßnahmen verhindern unbefugte Systembenutzung (Server & Clients):

  • Zugangsschutz

  • Umsetzung sicherer Zugangsverfahren, starke Authentisierung (2FA)

  • Umsetzung einfacher Authentisierung per Username Passwort

  • Protokollierung des Zugangs

  • Monitoring bei kritischen IT-Systemen

  • Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

1.3. Zugriffskontrolle
Folgende Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems:

  • “Need to know”-Prinzip

  • Vergabe minimaler Berechtigungen

  • Protokollierung des Zugriffs

1.4. Trennungskontrolle
Folgende Möglichkeiten existieren, um Daten, die zu unterschiedlichen Zwecken erhoben wurden, unabhängig voneinander zu verarbeiten:

  • Datensparsamkeit im Umgang mit personenbezogenen Daten

  • Getrennte Verarbeitung verschiedener Datensätze

  • Regelmäßige Verwendungszweckkontrolle und Löschung

  • Trennung von Test- und Entwicklungsumgebung

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1. Weitergabekontrolle
Diese Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

  • Sichere Datenübertragung zwischen Server und Client (VPN)

  • Sichere Übertragung zu externen Systemen

  • Risikominimierung durch Netzseparierung

2.2. Eingabekontrolle So lässt sich feststellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierung der Eingabe innerhalb der Software

3. Verfügbarkeit, Belastbarkeit, Disaster Recovery

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

3.1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Redundanz der Kommunikationsverbindungen

  • Monitoring

  • Ressourcenplanung und Bereitstellung

  • Abwehr von systembelastendem Missbrauch (Firewall, Antivirus)

  • Datensicherungskonzepte und Umsetzung

3.2 Disaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

  • Notfallpläne

  • Datensicherungskonzepte und Umsetzung

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen

  • Prozess Datenschutz-Management

  • Prozess Incident-Response-Management

  • Durchführung von technischen Überprüfungen