Technisch organisatorische Maßnahmen
gem. Art. 32 Abs 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art. 30 Abs. 2 lit. d)

1. Vertraulichkeit

Wir treffen Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Die Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Der Datenzugriff erfolgt durch eine zwei Faktor Authentifizierung und wird protokolliert, auf die Protokolle hat nur Personal mit der entsprechenden Berechtigungsstufe Zugriff.

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert
aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Dies erfolgt durch die Trennung der Zuordnungsdaten und verschlüsselte Aufbewahrung in getrenntem und abgesicherten Systemen. Personenbezogene Daten werden im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist anonymisieret bzw. pseudonymisiert.

2. Integrität

Wir treffen Maßnahmen , die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Dies erfolgt durch die Datenverschlüsselung und Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen, den Einsatz von VPN Datenverbindungen mit regelmäßigem Abruf- und Übermittlungsvorgängen, der  Protokollierung der Zugriffe und Abrufe, der Weitergabe in anonymisierter oder pseudonymisierter Form, komplexe Passwortrichtlinien, Sorgfalt bei der Auswahl der Lieferanten sowie des Personal.

3. Verfügbarkeit und Belastbarkeit

Wir treffen Maßnahmen , die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen,
sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.

Diese Maßnahmen beinhalten Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
Den Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
Den Einsatz von Festplattenspiegelung bei allen relevanten Servern. Das Monitoring aller relevanten Server.
Den Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage. Einen Dauerhaft aktiven DDoS-Schutz. Die Datensicherung.
Die Festplattenspiegelung. Eine Softwarefirewall und eine Portreglementierungen. Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

4. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Es werden laufend und regelmäßig die technischen und organisatorischen Maßnahmen evaluiert und auf Datenschutz überprüft. Ein Incident-Response-Management ist vorhanden. Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2 DS-GVO).

Wir gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung.