Technische und organisatorische Maßnahmen
Nachfolgend dokumentieren wir die technischen und organisatorischen Maßnahmen, gemäß Artikel 32 DSGVO, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
Gemeint sind Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die Maßnahmen umfassen:
- Beschränkung des Zutrittes der Serverstandorte auf einen begrenzten Personenkreis
- Dokumentation von Schlüssellisten
Alle Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Maßnahmen umfassen:
- Erzwingen von starken Passworten
- Verschlüsselung aller Verbindungen
- Fernzugriff auf interne Systeme durch Schlüsselauthentifizierung
- Verschlüsselung von Datenträgern
Maßnahmen, die gewährleisten, das personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:
- Festlegung von Zugriffsrechten
- Verwaltung von Benutzer:innenrechten durch Administrator:innen
- Beschränkung der Zugriffsberechtigten
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Wir arbeiten nach dem Grundsatz der Datensparksamkeit, so dass wir auf eine Pseudonymisierung verzichten.
Umfasst Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Maßnahmen umfassen:
- Einsatz von E-Mailverschlüsselung
- Einsatz von VPN
- Protokollierung von Zugriffen über einen begrenzten Zeitraum
- Erzwingen von verschlüsselten Transportwegen, wo es technisch möglich ist
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Maßnahmen umfassen:
- Nutzung von Raid-Systemen
- Aktive Überwachung aller Server und Dienste
- Automatisierte Benachrichtigung bei Problemen
- Bereitstellung einer Statusseite für Nutzer:innen
- Überwachung der Auslastung der Systeme
- Tägliche Backups aller gespeicherten Daten
- Interne Dokumentation zur Wiederherstellung der Daten aus einem Backup
Die Maßnahmen umfassen:
- Monatliche Evaluation der Zugangsberechtigungen zu technischen Systemen
- Halbjährliche Evaluation aller Maßnahmen anhand einer Checkliste
- Ggf. Anpassung der Maßnahmen