Wie werden Ihre Daten bei uns durch technische und organisatorische Maßnahmen geschützt?
In unserer Dienststelle kommen zahlreiche technisch-organisatorischen Maßnahmen zum Einsatz. Einige davon gelten für alle Verarbeitungstätigkeiten (z. B. Maßnahmen zur Gebäudesicherheit), andere Maßnahmen werden spezifisch für einzelne Verarbeitungstätigkeiten umgesetzt.
Nachfolgend werden wichtige technisch-organisatorischen Maßnahmen aufgeführt, die gemäß den Vorgaben von Artikel 32 DSGVO sowie § 40 LDSG 2018 und verwandten Rechtsgrundlagen umgesetzt sind.
Vertraulichkeit
- Zutrittssicherung zu Gebäude und Räumlichkeiten der Dienststelle
- spezifische Zutrittssicherung von IT-Systemräumen
- Zutrittsschutz und Zugangsschutz gegen unbefugte Kenntnisnahme von Datenträgern in den Räumlichkeiten der Dienststelle
- erhöhte Sicherungsmechanismen für besonders vertrauliche Daten (bei papierbasierten und elektronischen Daten)
- Zugriffsschutz gegen unbefugte Kenntnisnahme von elektronischen Datenbeständen (insbesondere E-Mails, Dateien, Datenbestände in Datenbanken)
- regelmäßige Kontrolle von vergebenen Zugriffsberechtigungen
- Authentisierungskonzept
- Verschlüsselung
- verschlüsselte Mobilgeräte (Festplattenverschlüsselung)
- spezifische Verschlüsselung besonders zu sichernder Daten
- verschlüsselte Datenübertragung von und zu Webservern
- standardmäßige Transportverschlüsselung von E-Mails
- Angebot von Ende-zu-Ende-verschlüsselter E-Mail-Kommunikation
Integrität
- Zutrittsschutz und Zugangsschutz gegen unbefugte Manipulation von IT-Geräten
- Zugriffsschutz gegen unbefugte Manipulation von elektronischen Datenbeständen
- Schutz gegen Schadsoftware
- teilautomatisiertes Einspielen von Sicherheitsupdates
- automatisierte asynchrone Datensicherung
Verfügbarkeit
- Vorhalten von Ersatzhardware
- automatisierte synchrone Datenspiegelung
- Zutrittsschutz und Zugangsschutz gegen unbefugtes Löschen von Datenträgern
- Zugriffsschutz gegen unbefugtes Löschen von elektronischen Datenbeständen
Resilienz (Belastbarkeit) und Wiederherstellung bei technischem Zwischenfall
- redundante Hardware
- Dokumentation und Prozessbeschreibungen für die Wiederherstellung
- regelmäßige synchrone Datenspiegelung mit Wiederherstellungsautomatismen
- regelmäßige Tests der asynchronen Datensicherung inkl. Wiederherstellungsfunktionen
Datenminimierung
- Festlegung von kurzen Löschfristen zur Umsetzung der Speicherminimierung
- Automatisierung von Löschungsvorgängen
- Aggregation von Daten für statistische Auswertungen (Fallzahlen), so dass personenbezogene Daten für diesen Zweck nicht mehr benötigt werden
Nichtverkettung und Zweckbindung
- getrennte Datenhaltung mit zweckspezifischen Zugriffsrechten bei papierbasierten und elektronische Daten
- zweckspezifische Kennzeichnung von Daten, sofern diese nicht getrennt verarbeitet werden
Transparenz
- umfassende Information über Verarbeitungstätigkeiten der Dienststelle auf der Webseite
- Information bei der Erhebung mittels Webformularen
- Dokumentation
Intervenierbarkeit
- Mechanismen zur Änderung und Löschung in Dateisystemen und Datenbanken und E-Mailsystemen
- Prozesse zur Wahrnehmung von Betroffenenrechten
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- standardmäßige Beteiligung der bzw. des Datenschutzbeauftragten bei der Konzeption und Auswahl von IT-Systemen und Verarbeitungstätigkeiten
- Verzicht auf Protokollierungen von Datenverarbeitungsvorgängen, soweit dies nicht gesetzlich vorgeschrieben ist, dem Integritätsschutz dient oder aus Sicherheitsgründen erforderlich ist
Datenschutzmanagement
- standardmäßige Beteiligung der bzw. des Datenschutzbeauftragten an Prozessen zu Beschaffungen und Entwicklungen von IT-Systemen und Verarbeitungstätigkeiten
- interne Strategien zur regelmäßigen Evaluation der Wirksamkeit der technisch-organisatorischen Maßnahmen
