top of page
Mehr Datenschutz für Ihre Verwaltung

Technisch-organisatorische Maßnahmen (Anlage 2)

Dieses Dokument erfüllt gesetzliche Vorgaben und stellt eine allgemeine Beschreibung dar, die eine erste Einschätzung darüber ermöglicht, ob die umgesetzten Datensicherheitsmaßnahmen im Hinblick auf die nachfolgend genannten Aspekte als angemessen anzusehen sind.

KOMvista (29).png

​Technisch-organisatorische Maßnahmen

Anlage 2 

 

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

 

1. Pseudonymisierung

Da die Verarbeitung der Daten im Auftrag aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann von einer Pseudonymisierung abgesehen werden. Die im Folgenden beschriebenen technischen und organisatorischen Maßnahmen bilden einen ausreichenden Schutz der vorhandenen Daten.

 

2. Vertraulichkeit

Vertraulichkeit der verwendeten Systeme und Dienste schützen. Sie sollen verhindern, dass es zu unbefugter oder unrechtmäßiger Verarbeitung kommt.

 

2.1 Zutrittskontrolle

Ziel ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Hiermit ist der räumliche Zugang zu dem Gebäude gemeint.

 

Maßnahmen:

  • Schlüssel - Es liegt eine Dokumentation der Vergabe der Schlüssel vor – jeder Mitarbeiter hat die Schlüsselübergabe unterzeichnet und wurde über die einhergehenden Rechte und Pflichten aufgeklärt – der letzte Mitarbeiter der das Gebäude verlässt verschließt die Tür

  • Zutrittskontrolle für Serverraum - Sicherheitstürgriff mit Zahlenschloss an der Eingangstür zum Serverraum vorhanden

  • Begleitung von Besuchern durch Mitarbeiter - Besucher werden durch die Mitarbeiter begleitet – alle Bereiche mit sensiblen Dokumenten/Daten sind durch Sicherheitstürgriffe mit Zahlenschloss gesichert. Computer sind bei Verlassen des Arbeitsplatzes zu sperren bzw. eine automatische Sperre des Bildschirmes ist bei jedem PC nach Ablauf eines Zeitlimits eingerichtet

  • Schutz von Außenfenstern durch automatische RollosDie Rollos sind programmiert und fahren am Abend automatisch nach unten sodass die Fenster über Nacht geschützt sind.

2.1 Zugangskontrolle

Maßnahmen, die sicherstellen, dass Unbefugte an der Benutzung der Datenverarbeitungsanlagen und -verfahren gehindert werden. Diese beziehen sich – im Gegensatz zur Zutrittskontrolle – auf das Eindringen unbefugter Personen in das EDV-System selbst.

Maßnahmen:

  • Sichere KennwörterKennwörter sollten mindestens acht Zeichen beinhalten. Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern sind zu kombinieren. Passwort ohne persönlichen Bezug.

  • Automatische Sperrmechanismen - Computer sind bei Verlassen des Arbeitsplatzes zu sperren bzw. eine automatische Sperre des Bildschirmes ist bei jedem PC nach Ablauf von 15 Minuten eingerichtet

  • Einsatz sicherer Löschprogramme Dies wird bei der Entsorgung von Altgeräten durch ein Fachunternehmen gewährleistet.

2.1 Zugriffskontrolle

Es muss gewährleistet werden, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und das personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

 

Maßnahmen:

  • Dateizugriff auf Basis einer Leseberechtigung

  • Benutzerkennung mit Passwort

  • gesicherte Schnittstellen - Schutz durch Firewall und Virenschutz

  • Protokollierung Dateizugriff          

3. Integrität

Integrität umfasst, dass die von Ihnen erhobenen Daten nicht unbeabsichtigt oder beabsichtigt geändert oder zerstört werden können (Fälschungssicherheit).

3.1 Weitergabekontrolle

 

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

 

Maßnahmen:

  • Art der Übertragung von Daten

  • Sicherung bei der elektronischen Übertragung

    • Zum Teilen von Daten mit personenbezogenen via Cloud/KOMvista

    • Virtual Private Networks (VPN)

    • Firewall

    • Fax-Protokoll

 

3.2 Trennungskontrolle

 

Es ist sicher zu stellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden getrennt verarbeitet werden können.

 

Maßnahmen:

  • Trennung der Daten

  • getrennte Ordnerstrukturen

  • getrennte Datenbanken

 

 

3.3 Eingabekontrolle

 

Es muss sichergestellt werden, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

 

Maßnahmen:

  • Protokollierung Dateizugriff                            

  • Benutzeridentifikation

  • Dateizugriff auf Basis einer Leseberechtigung

 

 

3.4 Auftragskontrolle

 

Es muss sichergestellt werden, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden.

 

Maßnahmen:

  • Weisungsbefugnisse festlegen

  • Vor-Ort Kontrollen/Stichprobenprüfung/Kontrollrechte        

4. Verfügbarkeit und Belastbarkeit

Daten und die zur Verarbeitung notwendigen Systeme sollen stets dann verfügbar sein, wenn sie benötigt werden.

 

  1. Verfügbarkeitskontrolle

 

Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

 

 

Maßnahmen:

  • Brandschutzmaßnahmen 

  • Überspannungsschutz      

  • RAID (Festplattenspiegelung)

  • Backupkonzept

  • Virenschutzkonzept          

  • Firewall

  • Schutz vor Diebstahl         

  • Sichere Entsorgung           

 

  1. Belastbarkeit

 

Datenverarbeitungssysteme und -dienste müssen auch belastbar sein. Die IT muss widerstandsfähig aufgestellt sein, um starke Beanspruchung überstehen zu können ohne gänzlich zusammenzubrechen. (Zum Beispiel können zu viele gleichzeitige Zugriffsanfragen auf den Webserver die Systeme belasten (Denial of Service) – Cyberangriff)

 

Maßnahmen:

  • Schutz gegen DDoS- Angriffe

  • RAID-Systeme

                     

5. Wiederherstellung der Verfügbarkeit bei Zwischenfall

Kommt es trotz der obigen TOMs DSGVO zu Systemstörungen oder einem IT-Ausfall, muss das Unternehmen in der Lage sein, die Daten schnellstmöglich wiederherzustellen und die Systeme alsbald wieder einsatzbereit zu haben.

 

Maßnahmen:

  • Backupkonzept   

  • IT-Notfallplan       

  • Überspannungsschutz (USV)

  • Virenscanner

  • Firewall

 

6. Verfahren zur Überprüfung, Bewertung und Evaluierung

Die Maßnahmen zu Datenschutz und Datensicherheit müssen regelmäßig dahingehend überprüft werden, ob sie ihren Zweck noch erfüllen und auf dem derzeitigen Stand der Technik sind. Einen bestimmten Turnus zur Überprüfung schreibt der Gesetzgeber nicht vor. Daher wird Kontrolle der technischen und organisatorischen Maßnahmen festgelegt vom Datenschutzbeauftragten festgelegt, die alle ein bis drei Jahre stattfindet. Mitarbeiter werden zum Umgang mit personenbezogenen Daten sensibilisiert.

 

Stand: Januar 2026

bottom of page