Allgemeine technische und organisatorische Massnahmen der Littlebit Technology nach Art. 32 Abs. 1 DS-GVO


1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

  • Zutrittskontrollsystem
    Ausweisleser, Magnetkarte, Chipkarte
  • Schlüssel/Schlüsselvergabe
  • Überwachungseinrichtung
    Alarmanlage, Video-/Fernsehmonitor

Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Technische (Kennwort-/Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

  • Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
  • Automatische Sperrung (z. B. Kennwort oder Pausenschaltung)
  • Erstellen von Benutzerprofilen

Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
  • Protokollierung von Zugriffen
  • Löschung
  • Trennungskontrolle

    Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

    • Funktionstrennung/Produktion/Test)

    Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorischen Maßnahmen unterliegen.

    • Nutzung von Identifikationsnummern (z. B. Personalnummer, Matrikelnummer, Mitgliedsnummer)

    2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

    Weitergabekontrolle

    Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle ...
    Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

    • Verschlüsselung/Tunnelverbindung (VPN = Virtual Private Network)

    Eingabekontrolle

    Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

    • Protokollierungs- und Protokollauswertungssysteme

    3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

    Verfügbarkeitskontrolle

    Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch):

    • Backup-Verfahren
    • Spiegeln von Festplatten, z. B. RAID-Verfahren
    • Unterbrechungsfreie Stromversorgung (USV)
    • Virenschutz/Firewall
    • Feuerlöschgeräte in Serverräumen
    • Klimaanlage in Serverräumen
    • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

    4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO))

    Datenschutz-Management

    Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

    Auftragskontrolle


    Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.
    Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:

    • Eindeutige Vertragsgestaltung

    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.