Anlage: Technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO
1. Zutrittskontrolle
• Schlüsselsystem (Zugang zu Räumlichkeiten sowie physische Dokumente)
• Videokontrolle (24/7 Videokontrolle an Eingangstür)
2. Zugangskontrolle
• Benutzername/Passwort
• Zwei-Faktor-Authentifizierung
• automatische Sperrbildschirme
• Rechtevergabeprozesse
3. Zugriffskontrolle
• Berechtigungskonzepte (Rollenvergabe)
• Protokollierung von Zugriffen
• Trennung von Administrator- und Benutzerkonten
• Trennung von Benutzerdaten und öffentlichen Informationen (Socialhub)
4. Weitergabekontrolle / Übertragungskontrolle
• Ende-zu-Ende-Verschlüsselung (TLS, SSL)
5. Eingabekontrolle
• Protokollierung aller Eingaben/Änderungen
• Protokollierung aller Änderungsangaben durch Nutzer
• Angabe eines Supportcodes welcher nur über das Konto des jeweiligen Kunden abgerufen werden kann
• Zeitstempel
6. Auftragskontrolle
• Abschluss eines AV-Vertrags gem. Art. 28 DSGVO
• Auswahl geeigneter Dienstleister
• Verpflichtung des Personals auf Vertraulichkeit
7. Verfügbarkeitskontrolle (Bereitgestellt durch All-Inkl)
Getroffene Maßnahmen (lt. All-Inkl. TOMS)
– Die Stromversorgung der Rechenzentren erfolgt über eigene Trafostationen. Die Stromversorgung und Netzersatzanlagen garantieren höchste Ausfallsicherheit.
– Die unmittelbare Stromversorgung der Server ist typenabhängig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet ist.
– Der gesamte Energieverbrauch der Rechenzentren wird über unterbrechungsfreie Stromversorgungen (USV) sichergestellt. Im Falle eines Stromausfalls garantieren die USV-Anlagen eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtern die USV-Anlagen vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes.
– Leistungsstarke Netzersatzanlagen (Dieselaggregate) versorgen bei Stromausfall die Rechenzentren und die Kühlsysteme mit konstanter Energie.
– Es erfolgt eine gerätegestützte Überwachung der Temperatur und der Feuchtigkeit im Rechenzentrum.
– Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz.
8. Trennungsgebot / Trennbarkeit
• logische Trennung durch Systeme
• getrennte Datenbanken
• Rechte- und Rollenkonzepte
9. Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default)
• Pseudonymisierung und Anonymisierung
• Minimierung der erhobenen Daten
• voreingestellte Datensparsamkeit in Software
10. Maßnahmen zur Sicherstellung der Betroffenenrechte
• Prozesse zur Bearbeitung von Auskunfts-, Löschungs- oder Berichtigungsersuchen
• Identitätsprüfung bei Anfragen
• Dokumentation und Reaktionsfristen
11. Maßnahmen zur Sicherstellung der Rechenschaftspflicht und Kontrolle
• Dokumentation von Entscheidungen
• Regelmäßige interne Überprüfungen
• Transparente Prozesse