Technische und organisatorische Maßnahmen (TOM)
Die folgenden technischen und organisatorischen Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten und sind verbindlicher Bestandteil des Auftragsverarbeitungsvertrags zwischen Visionary Data GmbH (AV) und dem Verantwortlichen (V).
Übersicht über die implementierten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. Diese Maßnahmen gewährleisten ein angemessenes Schutzniveau entsprechend dem Risiko der Verarbeitung.
Die hier dargestellten TOM betreffen die Betriebsstätten, sonstigen Räumlichkeiten und die eigenen Betriebsmitteln des Auftragsverarbeiters. Sofern Verarbeitungstätigkeiten in den Betriebsstätten, sonstigen Räumlichkeiten oder Betriebsmitteln eines Unterauftragsverarbeiters stattfinden, übernimmt der Auftragsverarbeiter die dort umgesetzten TOM als seine eigenen.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Implementierte Maßnahmen:
- Alle Gebäude und Büroräume sind durch elektronische Zutrittskontrollsysteme gesichert
- Zugänge werden individuell vergeben und dokumentiert
- Nicht genutzte Zugänge werden unverzüglich deaktiviert
- Zutrittsbereiche sind klar definiert und dokumentiert
- Zutritt zu Serverräumen und Rechenzentren ist zusätzlich videoüberwacht
- Nur berechtigte IT-Mitarbeiter haben Zutritt zu Serverräumen
- Besucher erhalten nur in Begleitung von Mitarbeitern Zutritt
Implementierte Maßnahmen:
- Systemzugänge erfolgen ausschließlich mittels Multi-Faktor-Authentifizierung (MFA)
- Rollenbasiertes Rechtekonzept ist implementiert
- Kennwortrichtlinien regeln Länge, Komplexität und Wechselintervalle verbindlich
- Arbeitsplätze und mobile Endgeräte sind automatisch nach kurzer Inaktivität gesperrt
- Jegliche Zugänge und Aktivitäten werden protokolliert und regelmäßig überprüft
Implementierte Maßnahmen:
- Zugriff auf Daten erfolgt ausschließlich nach einem dokumentierten Rollen- und Berechtigungskonzept
- Administratorzugänge sind personalisiert und auf ein Minimum reduziert
- Externe Zugriffe sind nur über verschlüsselte VPN-Verbindungen möglich
- Jede Zugriffsänderung wird protokolliert und regelmäßig überprüft
Implementierte Maßnahmen:
- Mandantenfähige Systeme gewährleisten strikte logische Trennung der Daten unterschiedlicher Kunden
- Separate virtuelle Umgebungen für verschiedene Mandanten
- Separate Datenbanken für verschiedene Kunden
- Separate Kubernetes-Namespaces für unterschiedliche Zwecke
- Daten verschiedener Zwecke werden getrennt verarbeitet und gespeichert
Implementierte Maßnahmen:
- Pseudonymisierungstechniken werden in Test- und Entwicklungssystemen konsequent angewendet
- Vollständige Pseudonymisierung ist systemisch verankert
- Pseudonymisierung erfolgt automatisch
Implementierte Maßnahmen:
- Langfristig gespeicherte Daten werden mittels automatisierter Anonymisierungsverfahren verarbeitet
- Anonymisierungsprozess wird kontinuierlich überprüft und optimiert
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Implementierte Maßnahmen:
- Alle Datenübertragungen erfolgen mittels aktueller Verschlüsselungsverfahren (TLS 1.3)
- Sämtliche Kommunikationswege sind mindestens transportverschlüsselt
- E-Mail und Dateiübertragungen sind verschlüsselt
- Nutzung privater Endgeräte für dienstliche Zwecke (BYOD) ist untersagt
- Ausdrucke personenbezogener Daten erfolgen ausschließlich auf besonders gesicherten Druckern
Implementierte Maßnahmen:
- Eingaben, Änderungen und Zugriffe werden in unveränderlichen Audit-Logs protokolliert
- Administrative Tätigkeiten sind eindeutig personenbeziehbar
- Vier-Augen-Prinzip bei sensiblen Aktionen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Implementierte Maßnahmen:
- IT-Infrastruktur ist hochverfügbar aufgebaut
- Verschiedene europäische Rechenzentrumsstandorte für die Verteilung der Services
- Redundante Stromversorgung (USV) in allen Rechenzentren
- Zuverlässige Speicherlösungen mit automatisierten Backup-Mechanismen
- Backup-Daten werden verschlüsselt und sicher gelagert
- Umfassende Antiviren- und Firewall-Lösungen
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Implementierte Maßnahmen:
- Containerbasierte Infrastruktur nutzt integrierte Wiederherstellungsfunktionen des Cloud-Providers
- Eigene Backup-Prozesse für persistente Daten
- Wiederherstellungszeiten (RTO) sind auf maximal 6 Stunden begrenzt
- Datenverluste (RPO) sind auf maximal 24 Stunden begrenzt
- Verantwortlichkeiten und Wiederherstellungsprozesse sind dokumentiert
Datenschutz-Management
Implementierte Maßnahmen:
- Verarbeitung erfolgt ausschließlich auf Weisung des Verantwortlichen
- Vertragsvereinbarungen regeln Zugriffsberechtigung
- Unterweisungen stellen sicher, dass nur zugangsberechtigte Personen auf Daten zugreifen
- Unterauftragnehmer sind an dieselben Datenschutzstandards gebunden
Verantwortliche Ansprechpartner
Ein externer Datenschutzbeauftragter ist benannt und erreichbar. Ein interner Datenschutzkoordinator sorgt für regelmäßige Kontrollen und Compliance im Datenschutz.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Regelmäßige interne und externe Audits sowie kontinuierliche Überprüfungen durch den Datenschutzbeauftragten stellen die Wirksamkeit und Aktualität der TOMs sicher.
Incident-Response-Management
Im Falle einer Datenschutzverletzung erfolgt umgehend eine Meldung an den internen Datenschutzkoordinator, der den externen Datenschutzbeauftragten einbindet und weitere Schritte koordiniert.
Datenschutzfreundliche Voreinstellungen
Alle Mitarbeiter sind geschult und verpflichtet auf Datensparsamkeit. Speicherfristen werden strikt eingehalten und überprüft. Daten werden unverzüglich gelöscht, sobald deren Speicherung nicht mehr erforderlich ist.
Die Verarbeitung personenbezogener Daten findet ausschließlich in ISO-zertifizierten Rechenzentren statt.
Mitarbeiter erhalten regelmäßige Datenschutzschulungen und verpflichten sich vertraglich zur Geheimhaltung und Vertraulichkeit personenbezogener Daten.