Allgemeine technische und organisatorische Massnahmen der Littlebit Technology nach Art. 32 Abs. 1 DS-GVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
- Zutrittskontrollsystem
Ausweisleser, Magnetkarte, Chipkarte - Schlüssel/Schlüsselvergabe
- Überwachungseinrichtung
Alarmanlage, Video-/Fernsehmonitor
Zugangskontrolle
Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Technische (Kennwort-/Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:
- Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
- Automatische Sperrung (z. B. Kennwort oder Pausenschaltung)
- Erstellen von Benutzerprofilen
Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
- Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
- Protokollierung von Zugriffen
- Löschung
Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
- Funktionstrennung/Produktion/Test)
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorischen Maßnahmen unterliegen.
- Nutzung von Identifikationsnummern (z. B. Personalnummer, Matrikelnummer, Mitgliedsnummer)
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle ...
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
- Verschlüsselung/Tunnelverbindung (VPN = Virtual Private Network)
Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
- Protokollierungs- und Protokollauswertungssysteme
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch):
- Backup-Verfahren
- Spiegeln von Festplatten, z. B. RAID-Verfahren
- Unterbrechungsfreie Stromversorgung (USV)
- Virenschutz/Firewall
- Feuerlöschgeräte in Serverräumen
- Klimaanlage in Serverräumen
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO))
Datenschutz-Management
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:
- Eindeutige Vertragsgestaltung
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.