Gewährleistung der Vertraulichkeit. Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit sind unter anderem Maßnahmen zur Zutritts-, Zu- griffs- oder Zugangskontrolle. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtig - ter Zerstörung oder unbeabsichtigter Schädigung. Maßnahmen, die die Papoo Software & Media GmbH umgesetzt hat, die einen Zugang durch Unbefugte auf Datenverarbeitungssysteme verhindern: • Persönlicher und individueller User-Login bei Anmeldung im System • Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsinter - vall) • Zusätzlicher System-Login für bestimmte Anwendungen • Automatische Sperrung der Clients nach gewissen Zeitablauf ohne Useraktivität (auch passwortgeschütz- ter Bildschirmschoner oder automatische Pausenschaltung) • Elektronische Dokumentation sämtlicher Passwörter und Verschlüsselung dieser Dokumentation zum Schutz vor unbefugten Zugriff • Zwei-Faktor-Authentifizierung wenn technisch möglich • Regelmäßige Softwareaktualisierung • Regelmäßige Schwachstellenscans Die Server werden bei der OVH GmbH in Frankfurt, Deutschland gehostet. Dieser Hoster gewährleistet Ausfalls- icherheit und Schutz vor unberechtigtem Zugriff auf die physische Infrastruktur. Maßnahmen, die der Subunternehmer OVH umgesetzt hat, können hier eingesehen werden: xxxxx://xxx.xxx.xx/xxxxxxx/xxx/Xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xxx
Gewährleistung der Vertraulichkeit. (Art. 32 Abs. 1 lit. b EU-DSGVO) Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Die Berechtigungen werden über ein rollenbasiertes Rechtekonzept verwaltet. Jeder Mitarbeiter hat einen eigenen Zugang zu den DV-Sys- teme der mit Kennwortschutz abgesichert ist. Das Kennwort muss zwingend aus einer Mischung von Zahlen, Buchstaben und Sonderzeichen bestehen sowie eine Mindestlänge von acht Zeichen aufwei- sen. Die einzelnen DV-Systeme werden in Pausenzeiten gesperrt. Die Sperrung ist nur mit Kennwort wiederaufhebbar. Berechtigungen werden regelmäßig auf Aktualität überprüft. Es wird durch zahlreiche Maßnahmen sichergestellt, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (z.B. durch Mandantenfähigkeit und Berechtigungskonzept). Der Zutritt zu Räumen, in denen Datenverarbeitung stattfindet, wird kontrolliert und Unbefugten verwehrt. Die Büroräume sind durch ein Schließsystem gesichert, Besucher müssen sich mit Anwesenheitszeiten in eine Liste eintragen. Die Räume des Rechenzentrums werden durch ein elektronisches Zugangs- system mit dokumentierten Berechtigungen gesichert, ein Aufenthalt von nicht autorisierten Personen im Rechenzentrum ist nur für Fälle der Wartung und nur in Begleitung einer autorisierten Person zu- lässig. Die Anwesenheitszeiten im Rechenzentrum werden elektronisch protokolliert. Auftragsverarbei- ter werden nur dann mit der Verarbeitung von personenbezogenen Daten beauftragt, wenn gleichwer- tige technisch-organisatorische Maßnahmen gewährleistet sind. Personenbezogene Daten werden, soweit es sich nicht um Auftragsverarbeiter handelt, nur nach Weisung des Verantwortlichen oder auf gesetzlicher Grundlage weitergegeben.
Gewährleistung der Vertraulichkeit. (Art. 32 Abs. 1 lit b DSGVO)
Gewährleistung der Vertraulichkeit. Zutrittskontrolle: Zugriffskontrolle: Zugriffskontrolle beim Auftragsverarbeiter Benutzer-Passwort Art der Belehrung beim Auftragsverarbeiter Datenschutzbeauftragter Trennungskontrolle beim Auftragsverarbeiter Datenschutzbeauftragter
Gewährleistung der Vertraulichkeit. Zutrittskontrolle beim Auftragsverarbeiter: Das Firmengelände verfügt über einen zentralen Eingang, zu den Geschäftszeiten ist der Empfang ständig besetzt. Die Büroräume sind verschlossen. Zugriffskontrolle: Zugriff nur nach einem Berechtigungskonzept; Notebooks sind verschlüsselt. Eingabekontrolle: Protokollierung aller Eingaben
Gewährleistung der Vertraulichkeit. (Art. 32 Abs. 1 lit. b EU-DSGVO) Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Die Berechtigungen werden über ein rollenbasiertes Rechtekonzept verwaltet. Jeder Mitarbeiter hat einen eigenen Zugang zu den DV-Systemen der mit Kennwortschutz abgesichert ist. Das Kennwort muss zwingend aus einer Mischung von Zahlen, Buchstaben und Sonderzeichen bestehen sowie eine Mindestlänge von acht Zei- chen aufweisen. Der Zutritt zu Räumen, in denen Datenverarbeitung stattfindet, wird kontrolliert und Unbefugten verwehrt. Die ein- zelnen DV-Systeme werden in Pausenzeiten gesperrt. Die Sperrung ist nur mit Kennwort wiederaufhebbar. Berechtigungen werden regelmäßig auf Aktualität überprüft. Es wird sichergestellt, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.
Gewährleistung der Vertraulichkeit. Zutrittskontrolle: (Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.) ☒ Alarmanlage ☒ manuelles Schließsystem ☒ Schließsystem mit Sicherheitsschlössern ☒ Bewegungsmelder ☒ Schlüsselregelung Beschäftigte ☒ Verschließen der Türen bei Abwesenheit Zugangskontrolle: (Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.) ☒ Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen ☒ Pflicht zur Passwortnutzung ☒ Authentifikation durch Benutzername und Passwort ☒ Einsatz von sicherer Technologie bei Zugriff von außen auf die internen Systeme Zugriffskontrolle: (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach ☒ Nutzer-Berechtigungskonzept ☒ Verwaltung der Nutzerrechte durch Systemadministrator ☒ Anzahl der Administratoren auf das Notwendigste reduziert Version vom 16.05.2018 - Seite 9 von 11 der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.) ☒ Einsatz von Aktenvernichtern oder von Dienstleistern zur Aktenvernichtung (inkl. Protokollierung der Vernichtung) ☒ Aufbewahrung von Datenträgern in abschließbaren Schränken/Tresor ☒ Aufbewahrung von Aktenordnern in abschließbaren Schränken ☒ ordnungsgemäße Vernichtung von Datenträgern Trennungsgebot: (Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.) ☒ physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern ☒ logische Mandantentrennung ☒ Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept Auftragskontrolle: (Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.) ☒ schriftliche Vereinbarung mit dem Auftragnehmer ☒ Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit ☒ Datenschutzbeauftragter beim Auftragnehmer ☒ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Gewährleistung der Vertraulichkeit a) Zutrittskontrolle
Gewährleistung der Vertraulichkeit. Die Vertragsparteien erklären rechtsverbindlich, dass alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet wurden, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Falls etwaige durch § 203 StGB geschützte Berufsgeheimnisse von der Verarbeitung betroffen sind, erklären beide Parteien rechtsverbindlich, dass alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Verschwiegenheit nach § 203 StGB verpflichtet wurden. Alle mit der Verarbeitung beauftragten Personen wurden darüber informiert, dass die Verschwiegenheitsverpflichtung auch nach Beendigung ihrer Tätigkeit und Ausscheiden bestehen bleibt.
Gewährleistung der Vertraulichkeit. Wie wird gewährleistet, dass nur Berechtigte Zugang zu den verarbeiteten Daten haben, z.B. durch: Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; Zugangskontrolle Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;