Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVO

(Ergänzung zu: Vereinbarung zur Auftragsverarbeitung)

 

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

(1.1) Zutrittskontrolle

Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind.

      • Realisierung eines wirksamen Zutrittsschutzes
      • Festlegung Zutrittsberechtigter Personen
      • Verwaltung von personengebundenen Zutrittsberechtigungen
      • Begleitung von Fremdpersonal

 

 (1.2.) Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

      • Zugangsschutz
      • Umsetzung sicherer Zugangsverfahren, starke Authentisierung
      • Umsetzung einfacher Authentisierung per Username und Passwort
      • Festlegung befugter Personen

 

 (1.3.) Zugriffskontrolle

Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

  • Umsetzung von Zugriffsbeschränkungen
  • Vergabe minimaler Berechtigungen
  • Vermeidung der Konzentration von Funktionen

 

(1.4.) Verwendungszweckkontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Datensparsamkeit im Umgang mit personenbezogenen Daten
  • Getrennte Verarbeitung verschiedener Datensätze
  • Regelmäßige Verwendungszweckkontrolle und Löschung

 

(1.5.) datenschutzfreundliche Voreinstellungen

Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

 

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

 (2.1.) Weitergabekontrolle

Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Sichere Ablage von Daten, inkl. Backups
  • Datenschutzgerechter Lösch- und Zerstörungsverfahren

(2.1.1.)  Eingabekontrolle

Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Dokumentation der Eingabeberechtigungen

 

 3. Verfügbarkeit, Belastbarkeit, Desaster Recovery

 (3.1.) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Identifizierung kritischer Systeme

 

4. Datenschutzorganisation

(4.1) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Festlegung von Verantwortlichkeiten
  • Verpflichtung auf Vertraulichkeit
  • Regelungen zur internen Aufgabenverteilung
  • Beachtung von Funktionstrennung und –zuordnung
  • Einführung einer geeigneten Vertreterregelung

 

5. Auftragskontrolle

(5.1.) Weitergabekontrolle

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Auswahl weiterer Auftragnehmer nach geeigneten Garantien
  • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern

 

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

(6.1) Weitergabekontrolle

  • Durchführung von technischen Überprüfungen

 

 

Anhang 

Weitere aktuell eingesetzte Auftragsverarbeiter

  • Hosting: Friegel Design  
  • Shop: Shopify 
  • Marktplatz: Multi Vendor Marketplace, webkul