Die folgende Checkliste ist Bestandteil des Dokuments Technische und organisatorische Maßnahmen (TOM), welches an Kunden und Interessenten herausgegeben wird. Aus diesem Grund dürfen in dieser Checkliste keine sensiblen Informationen hinterlegt werden. Nicht relevante Maßnahmen sollten nach der ersten Bewertung aus der Auflistung gestrichen werden. Die nachfolgende Aufzählung dient als Ausfüllhilfe und hat in keinem Fall Anspruch auf Vollständigkeit und impliziert auch bei Vorhandensein aller Maßnahmen nicht, dass ein ausreichender gem. Art 32 DS-GVO vorgeschriebener Stand der Technik erreicht ist.
[!info]
Die Trennungskontrolle soll sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben werden, auch getrennt voneinander verarbeitet werden. Ziel ist es, die Vermischung von Daten zu vermeiden, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT–System
umgesetztGreen / nicht relevant
Für pseudonymisierte Daten trennen wir die Zuordnungsdatei strikt von den eigentlichen Daten. Diese Zuordnungsdatei wird auf einem getrennten und abgesicherten IT-System aufbewahrt, um eine unbefugte Zusammenführung der Daten zu verhindern.
Anonymisierung von Datensätzen
umgesetztGreen / nicht relevant
Wir anonymisieren Datensätze, sodass diese dauerhaft keiner spezifischen Person mehr zugeordnet werden können. Dieser Prozess stellt sicher, dass selbst bei einem Datenleck keine Rückschlüsse auf individuelle Personen gezogen werden können.
Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
umgesetztGreen / nicht relevant
Unsere Daten werden physikalisch getrennt auf gesonderten Systemen oder Datenträgern gespeichert.
Trennung von Produktiv– und Testsystem
umgesetztGreen / nicht relevant
Wir trennen strikt zwischen Produktiv- und Testsystemen. Die Daten in den Testsystemen werden entweder anonymisiert oder durch fiktive Datensätze ersetzt, um sicherzustellen, dass keine realen personenbezogenen Daten in unsicheren Umgebungen verwendet werden.
Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
umgesetztGreen / nicht relevant
Datensätze, die zu demselben Zweck verarbeitet werden, verschlüsseln wir durchgängig. Diese Verschlüsselung schützt die Daten vor unbefugtem Zugriff und stellt sicher, dass nur autorisierte Benutzer die Daten lesen und verarbeiten können.
Erstellung eines Berechtigungskonzepts zwecks Mandantentrennung
umgesetztGreen / nicht relevant
Wir haben ein detailliertes Berechtigungskonzept entwickelt, das sicherstellt, dass die Daten verschiedener Mandanten strikt voneinander getrennt sind. Dieses Konzept legt fest, welche Benutzer auf welche Daten zugreifen dürfen und sorgt dafür, dass nur autorisierte Personen Zugang zu den jeweils relevanten Daten haben.
Festlegung von Datenbankrechten
umgesetztGreen / nicht relevant
Es wurden spezifische Datenbankrechte festgelegt, um den Zugriff auf Daten zu regulieren und zu kontrollieren. Diese Rechte bestimmen, welche Aktionen Benutzer auf welchen Datensätzen ausführen dürfen, und stellen sicher, dass die Daten nur von befugtem Personal bearbeitet werden können.
Logische Mandantentrennung (softwareseitig)
umgesetztGreen / nicht relevant
Unsere Systeme implementieren eine logische Mandantentrennung durch softwareseitige Maßnahmen. Diese Trennung stellt sicher, dass die Daten unterschiedlicher Mandanten isoliert und unabhängig voneinander verarbeitet werden, wodurch eine Vermischung der Daten verhindert wird.
Versehen der Datensätze mit Zweckattributen/Datenfeldern
umgesetztGreen / nicht relevant
Datensätze werden mit spezifischen Zweckattributen oder Datenfeldern versehen, die den Verarbeitungszweck klar definieren. Dies ermöglicht eine gezielte und zweckgebundene Datenverarbeitung und stellt sicher, dass die Daten nur für die festgelegten Zwecke verwendet werden.
Bitte beachten: Die folgenden Beschreibungen und Nachweise sind nur für interne Zwecke bestimmt und dürfen nicht an Kunden und Interessenten rausgegeben werden.