Technische und organisatorische Maßnahmen
(TOM) der dico Personal GmbH – Stand 09.2024
1.
Vertraulichkeit (Art. 32
Abs. 1 lit. b DSGVO)
a. Zutrittskontrolle
Kein unbefugter Zutritt zu
Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten,
Schlüssel, elektrische Türöffner, Werkschutz
bzw. Pförtner, Alarmanlagen, Videoanlagen.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Manuelles Schließsystem
_ Schlüsselregelung
_ Regelungen für Firmenfremde
_ Sorgfältige Auswahl von Reinigungspersonal
b. Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.:
(sichere) Kennwörter, automatische
Sperrmechanismen,
Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Zuordnung von Benutzerrechten
_ Einsatz von individuellen Benutzernamen
_ Authentifikation mit Benutzername/Passwort
_ Passwortrichtlinie / Vorgaben für sichere Passwörter /
Passworterstellungsregeln
_ Einsatz einer Hardware-Firewall
_ Einsatz einer Software-Firewall
_ Einsatz von VPN-Technologie
_ Zwei-Faktor-Authentifizierung
_ Einsatz von Intrusion-Detection-Systemen
_ Einsatz von Intrusion-Prevention-Systemen
c. Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder
Entfernen innerhalb des Systems,
z.B.: Berechtigungskonzepte und bedarfsgerechte
Zugriffsrechte, Protokollierung von
Zugriffen.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Erstellen eines Berechtigungskonzepts
_ Verwaltung der Rechte durch Systemadministratoren
_ Passwortrichtlinie
_ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der
Eingabe, Änderung und Löschung von Daten
_ Physische Löschung von Datenträgern vor Wiederverwendung
_ Ordnungsgemäße Vernichtung von Datenträgern
_ Datenschutzkonforme Vernichtung von Papier
_ Protokollierung der Vernichtung
_ Einsatz von Anti-Viren-Software
d. Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder
Entfernen bei elektronischer
Übertragung oder Transport, z.B.:
Verschlüsselung, Virtual Private Networks (VPN),
elektronische Signatur.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Einrichtung von VPN-Tunneln
_ Verwendung eines datenschutzkonformen Mandantenportals
_ Verschlüsselung externer Datenträger bei Weitergabe (Festplatten,
USB-Sticks
etc.)
_ Gesicherte Aufbewahrung des Schlüssels mit regelmäßiger Überprüfung
und
besonderem Zugriffsschutz
_ Plausibilitätsprüfungen, Vollständigkeitsprüfungen,
Richtigkeitsprüfungen (Ein- und
Ausgang der Daten)
_ Festlegung befugter Personenkreise (Gruppen- und Rollenkonzept)
e. Trennungskontrolle / Verwendungskontrolle
Getrennte Verarbeitung von Daten, die zu
unterschiedlichen Zwecken erhoben wurden,
z.B. Mandantenfähigkeit, Sandboxing.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Logisch getrennte Speicherung auf denselben Systemen /
Mandantentrennung
_ Trennung von Produktiv- und Testsystem
_ Keine Produktivdaten in Testsystemen
f. Pseudonymisierung und Verschlüsselung (Art.
32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1
DSGVO)
Die Verarbeitung personenbezogener Daten in
einer Weise, dass die Daten ohne
Hinzuziehung zusätzlicher Informationen nicht
mehr einer spezifischen betroffenen
Person zugeordnet werden können, sofern diese
zusätzlichen Informationen gesondert
aufbewahrt werden und entsprechende technischen
und organisatorischen Maßnahmen
unterliegen.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Nutzung des datenschutzkonformen Mandanten-Portals
_ Sperrung von Altdaten
Weitere Angaben zur Verschlüsselung für den
(elektronischen) Transport siehe
Weitergabekontrolle (1.b).
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
a. Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder
Entfernen bei elektronischer
Übertragung oder Transport, z.B.:
Verschlüsselung, Virtual Private Networks (VPN),
elektronische Signatur.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
Siehe 1.b
b. Eingabekontrolle
Feststellung, ob und von wem personenbezogene
Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden
sind, z.B.: Protokollierung, Dokumenten-
Management.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Systeminterne Protokollierung der Eingabe, Änderung und Löschung von
Daten
_ Festgelegte Zuständigkeiten in einem Berechtigungskonzept, inklusive
Prozessdokumentation zur Vergabe von Rechten zur Eingabe, Änderung und Löschung
von Daten
_ Nachvollziehbarkeit durch individuelle Benutzernamen/Passwörter
3.
Verfügbarkeit und Belastbarkeit (Art.
32 Abs. 1 lit. b DSGVO)
a. Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige
Zerstörung bzw. Verlust, z.B.: Backup-Strategie
(online/offline; on-site/off-site),
unterbrechungsfreie Stromversorgung (USV), Virenschutz,
Firewall, Meldewege und Notfallpläne.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Erstellung eines Backup- und Recovery-Konzepts
_ Regelmäßige Sicherung von Systemzuständen
_ Regelmäßige Sicherung von Dateibeständen
_ Regelmäßige Sicherung von Datenbanken
_ Aufbewahrung von Datensicherungen in einem anderen Brandabschnitt
_ Regelmäßige Aktualisierung von Softwareständen
_ Unterbrechungsfreie Stromversorgung (USV), Notstromversorgung und
Überspannungsschutz
_ Klimaanlage in Serverräumen
_ Geräte zur Überwachung von Temperatur und Feuchtigkeit in
Serverräumen
_ Schutzsteckdosenleisten in Serverräumen
_ Feuer- und Rauchmeldeanlagen
_ Feuerlöschgeräte in Serverräumen
_ Alarmmeldungen bei unberechtigten Zutritten oder Zutrittsversuchen
zu
Serverräumen
_ Serverräume nicht unter sanitären Anlagen oder Wasser- oder
Abflussleitungen
_ Serverräume über der Wassergrenze
b. Belastbarkeit der Systeme
Das Risiko durch Vernichtung, Verlust,
Veränderung, unbefugter Offenlegung oder des
unbefugten Zugangs aufgrund von
Systemüberlastungen oder -abstürzen ist zu
reduzieren.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Laufende Überwachung der Betriebsparameter im Rechenzentrum sowie
der Nutzung
der Dienste und der Auslastung der Systeme
_ Vorhalten von Notstromgeneratoren
_ Nutzung redundant ausgelegter Systeme/Komponenten (Hardware)
_ Maßnahmen zur Abwehr von Angriffen (Virenscanner, Firewall)
_ Regelmäßige Prognose der zukünftigen Nutzung und rechtzeitige
Anpassung der
Kapazitäten der Systeme
_ Auslegung der Speicher-, Zugriffs- und Leistungskapazitäten der
Systeme und
Dienste bei geplanten oder prognostizierten
Spitzenbelastungen
c. Rasche Wiederherstellbarkeit (Art.
32 Abs. 1 lit. c DS-GVO)
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Wiederherstellung nach Backup- und Recovery-Konzept
_ Testen von Datenwiederherstellung
4. Verfahren
zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32 Abs. 1
lit. d DS-GVO)
a. Datenschutz-Management
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Unternehmensinterne Datenschutz-Leitlinie
_ Verzeichnis von Verarbeitungstätigkeiten ist vorhanden und auf dem
aktuellen Stand
_ Datenschutzrechtliche Schulung von Mitarbeitern inkl. Verpflichtung
der Mitarbeiter
auf Vertraulichkeit beim Umgang mit
personenbezogenen Daten
_ Datenschutzkonforme Verpflichtung der Mitarbeiter
b. Incident-Response-Management /
Störungsfall-Management
Prozess, wie auf erkannte oder vermutete
Sicherheitsvorfälle bzw. Störungen in IT-Bereichen reagiert wird sowie hierzu
vorbeugende Maßnahmen und Prozesse
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Definition eines Prozesses zum Umgang bei Störfällen
c. Auftragskontrolle / Einbindung von Unter-Unternehmenn
Keine Auftragsdatenverarbeitung im Sinne von
Art. 28 DS-GVO ohne entsprechende
Weisung des Auftraggebers, z.B.: Eindeutige
Vertragsgestaltung, formalisiertes
Auftragsmanagement, strenge Auswahl des
Dienstleisters, Vorabüberzeugungspflicht,
Nachkontrollen.
Vom Unternehmen wurden folgende technischen und
organisatorischen
Maßnahmen umgesetzt:
_ Sorgfältige Auswahl der (Unter-)Unternehmen hinsichtlich umgesetzter
technischer und organisatorischer Maßnahmen
(TOMs) und Gewährleistung
geeigneter Garantien
_ Formale Auftragserteilung inkl. Vertragliche Vereinbarung zur
Auftragsverarbeitung
_ Dokumentation der Leistungen und Pflichten von Auftragnehmer/Unternehmen
und Auftraggeber/Verantwortlicher
_ Wirksame Kontrollrechte sind vereinbart
_ Alle Weisungen sind schriftlich dokumentiert
_ Verpflichtung der Mitarbeiter des Unternehmens auf Vertraulichkeit
bzw.
Datengeheimnis
_ Sicherstellung der Rückgabe und/oder Vernichtung von Daten nach
Beendigung des
Auftrags
Unterauftragsverhältnisse
_ aktuell bestehen keine Unterauftragsverhältnisse
