TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

1. Einleitung 

1.1. Verantwortlicher 

Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist hejcare&naturals GmbH, Aschauer Straße 21, 81549 München, Germany, E-Mail: hello@hejcare.de. Gesetzlich vertreten werden wir durch Julian Engels, Hans Günter Nickel. 

1.2. Datenschutzbeauftragter 

Unser Datenschutzbeauftragter ist die heyData UG (haftungsbeschränkt), Gormannstr. 14, 10119 Berlin, www.heydata.eu, E-Mail: info@heydata.de. 

1.3. Gegenstand des Dokuments  

Dieses Dokument fasst die vom Verantwortlichen getroffenen technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO zusammen. Das sind Maßnahmen, mit denen der Verantwortliche personenbezogene Daten schützt. Das Dokument hat den Zweck, den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu unterstützen. 

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) 

2.1. Zutrittskontrolle 

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben: 

  • Manuelles Schließsystem (z.B. Schlüssel) 
  • Protokollierung der Besucher (z.B. Besucherbuch) 
  • Schlüsselregelung / Schlüsselbuch 
  • Sorgfältige Auswahl des Reinigungspersonals 

2.2. Zugangskontrolle 

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben: 

  • Authentifikation mit Benutzer und Passwort 
  • Einsatz von Firewalls 
  • Verwaltung von Benutzerberechtigungen 
  • Erstellen von Benutzerprofilen 
  • Schlüsselregelung / Schlüsselbuch 
  • Unternehmens-Richtlinie für sichere Passwörter 
  • Unternehmens-Richtlinie Löschen/Vernichten 
  • Unternehmens-Richtlinie Cleandesk 
  • Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren 

2.3. Zugriffskontrolle 

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben: 

  • Einsatz von Aktenvernichtern (mit cross cut-Funktion) 
  • Einsatz eines Berechtigungskonzepts 
  • Anzahl der Administratoren ist so klein wie möglich gehalten 

2.4. Trennungskontrolle 

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden: 

  • Logische Mandantentrennung (softwareseitig) 
  • Erstellung eines Berechtigungskonzepts 

3. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) 

3.1. Weitergabekontrolle 

Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert: 

  • Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS 
  • Sorgfältige Auswahl von Transportpersonal und -fahrzeugen 

3.2. Eingabekontrolle 

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat: 

  • Klare Zuständigkeiten für Löschungen 

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) 

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind: 

  • Feuer- und Rauchmeldeanlagen 

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) 

5.1. Datenschutz-Management 

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist: 

Verwendung der heyData-Plattform zum Datenschutz-Management 

  • Bestellung des Datenschutzbeauftragten heyData 
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis 
  • Regelmäßige Schulungen der Mitarbeiter im Datenschutz 
  • Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO) 
  • Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO) 

5.2. Incident-Response-Management 

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden: 

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO) 
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO) 
  • Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen 

5.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) 

Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien “Privacy by design” und “Privacy by default” Rechnung: 

  • Schulung der Mitarbeiter im “Privacy by design” und “Privacy by default” 
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. 

5.4. Auftragskontrolle 

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können: 

  • Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag) 
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen 
  • Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag) 
  • Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit) 
  • Laufende Überprüfung von Auftragnehmern und ihren Tätigkeiten 
Nach oben

hejcare

Beratungstermin vereinbaren