Die folgende Checkliste ist Bestandteil des Dokuments Technische und organisatorische Maßnahmen (TOM), welches an Kunden und Interessenten herausgegeben wird. Aus diesem Grund dürfen in dieser Checkliste keine sensiblen Informationen hinterlegt werden. Nicht relevante Maßnahmen sollten nach der ersten Bewertung aus der Auflistung gestrichen werden. Die nachfolgende Aufzählung dient als Ausfüllhilfe und hat in keinem Fall Anspruch auf Vollständigkeit und impliziert auch bei Vorhandensein aller Maßnahmen nicht, dass ein ausreichender gem. Art 32 DS-GVO vorgeschriebener Stand der Technik erreicht ist.
[!info]
Pseudonymisierung ist eine Methode, die dazu dient, personenbezogene Daten so zu verarbeiten, dass diese ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Dies wird erreicht, indem identifizierende Merkmale durch ein Pseudonym ersetzt werden. Die zusätzlichen Informationen, die zur Re-Identifizierung nötig wären, müssen separat aufbewahrt werden
Kürzung von Datensätzen um identifizierende Merkmale (z.B. der IP–Adresse)
umgesetztGreen / nicht relevant
Unsere Systeme kürzen Datensätze durch das Entfernen spezifischer identifizierender Merkmale, wie beispielsweise Teile der IP-Adresse. Dadurch wird sichergestellt, dass diese Daten ohne zusätzliche Informationen keiner spezifischen Person zugeordnet werden können.
Verfremdung von identifizierenden Merkmalen durch Eigen- oder Fremdsoftware
umgesetztGreen / nicht relevant
Wir setzen sowohl Eigen- als auch Fremdsoftware ein, um identifizierende Merkmale zu verfremden. Durch den Einsatz von Hashing-Algorithmen und anderen Verschlüsselungstechniken werden personenbezogene Daten so verändert, dass eine direkte Zuordnung zu einer Person nicht mehr möglich ist.
Löschung von identifizierenden Merkmalen vor Übermittlung
umgesetztGreen / nicht relevant
Vor der Weitergabe von Daten an externe Parteien löschen wir alle identifizierenden Merkmale vollständig. Dadurch stellen wir sicher, dass die empfangende Partei keine Möglichkeit hat, die Daten auf eine spezifische Person zurückzuführen.
Ausschluss der (Re–)Identifizierung von Merkmalen durch eingeschränkte Berechtigungen
umgesetztGreen / nicht relevant
Durch die Implementierung eingeschränkter Berechtigungen stellen wir sicher, dass nur autorisierte Personen Zugang zu bestimmten personenbezogenen Daten und deren Identifikationsmerkmalen haben. Diese Maßnahme verhindert die (Re-)Identifizierung von Personen durch eine strikte Kontrolle und Beschränkung der Zugriffsrechte, wodurch die Vertraulichkeit und Sicherheit der Daten gewahrt bleiben.
Anweisungen / Regelungen zur möglichst frühzeitigen Verfremdung von Datensätzen
umgesetztGreen / nicht relevant
Unsere internen Richtlinien enthalten klare Anweisungen und Regelungen, die sicherstellen, dass Datensätze so früh wie möglich verfremdet werden. Dies minimiert das Risiko, dass personenbezogene Daten ungeschützt bleiben und erhöht die Sicherheit bei der Datenverarbeitung.
Erstellung von Verfremdungskonzepten
umgesetztGreen / nicht relevant
Wir haben umfassende Verfremdungskonzepte entwickelt, die die spezifischen Methoden und Verfahren zur Pseudonymisierung von Daten detailliert beschreiben. Diese Konzepte werden regelmäßig überprüft und aktualisiert, um sicherzustellen, dass sie den aktuellen Datenschutzanforderungen entsprechen.
Festlegung von Verfremdungsregeln
umgesetztGreen / nicht relevant
Es wurden spezifische Verfremdungsregeln festgelegt, die genau definieren, welche Daten auf welche Weise verfremdet werden müssen. Diese Regeln werden in allen relevanten Prozessen konsequent angewendet, um eine konsistente und effektive Pseudonymisierung zu gewährleisten.
Dokumentation von Einsatzbereichen der Verfremdungsregeln / –konzepte
umgesetztGreen / nicht relevant
Die Einsatzbereiche unserer Verfremdungsregeln und -konzepte sind umfassend dokumentiert. Diese Dokumentation gibt detailliert Auskunft darüber, in welchen Bereichen und bei welchen Daten die Verfremdungsmaßnahmen zur Anwendung kommen, um Transparenz und Nachvollziehbarkeit sicherzustellen.
Bitte beachten: Die folgenden Beschreibungen und Nachweise sind nur für interne Zwecke bestimmt und dürfen nicht an Kunden und Interessenten rausgegeben werden.