Hinweis: In dieser Anlage beschreibt der Auftragnehmer, durch welche Maßnahmen er für einen angemessenen Schutz der personenbezogenen Daten des Auftraggebers sorgen kann. Diese Muster-Anlage enthält eine beispielhafte Aufzählung von Maßnahmen, die individualisiert werden muss.
1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.: Zutrittsschutz durch Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen
Zugangskontrolle:
Keine unbefugte Systembenutzung, z. B.: Anmeldung nur über (sichere) Kennwörter möglich, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern
Zugriffskontrolle:
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen der personenbezogenen Daten innerhalb des Systems, z. B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen
Trennungskontrolle:
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B. Mandantenfähigkeit, Datenverarbeitung in einer Sandbox
- Pseudonymisierung (Art. 32 Abs. 1 Buchst. a und Art. 25 Abs. 1 DSGVO). Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z. B.: Verschlüsselung, Virtual Private Networks (VPN), Transportverschlüsselung per HTTPS, elektronische Signatur
Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z. B.: Protokollierung, Dokumenten-Management
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z. B.: Backup-Strategie (RAID-System, Online-Sicherung in der Cloud, jeweils mit Dokumentation), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne
- Rasche Wiederherstellbarkeit der Daten nach einem Vorfall (Art. 32 Abs. 1 Buchst. c DSGVO), z. B.: regelmäßige Überprüfung der Sicherungen und festgelegte Vorgehensweise zur Wiederherstellung.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management-System oder -Prinzipien
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Auftragskontrolle.
Keine Auftragsdatenverarbeitung im Sinn des Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z. B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Steuer Office Excellence. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen