TOM – Technische und organisatorische Maßnahmen

Die Datensicherheit ist zentraler Bestandteil all unserer Prozesse.

 
Datensicherheit

TOM - Technische und organisatorische Maßnahmen

Daten sind das Herzstück all unserer Tätigkeiten – in allen Bereichen. Aus dem Grund setzen wir folgende technisch-organisatorischen Maßnahmen (TOM) kompromisslos und bewusst um:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)


Datensicherheit

Zutrittskontrolle

Datenverarbeitungs-Anlagen mit personenbezogenen Daten stehen in Serverräumen, die durch Verfahren gesichert sind, die dem Stand der Technik entsprechen. Unter anderem z. B. elektronische Zugangskontrolle.
Datensicherheit

Zugangskontrolle

Für die Adressverarbeitung haben wir eigene Organisationseinheiten in der Domain erstellt, in der nur die berechtigten Mitarbeiter arbeiten können. Besucher werden über das Besuchersystem registriert und kontrolliert.
Datensicherheit

Zugriffskontrolle

Alle Daten werden in speziellen SQL-Datenbanken (je Auftrag separat) abgelegt. Diese dokumentiert alle Zugriffe auf die Daten. Daten werden nur über gesicherte, verschlüsselte Medien transportiert.
Datensicherheit

Trennungskontrolle

Daten werden nur in auftragsbezogenen Verzeichnissen abgelegt. Ebenso befinden sich die Datenbanken je Auftrag in separaten Dateien.
Datensicherheit

Pseudonymisierung
(Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Eine Pseudonymisierung der personenbezogenen Daten bei der Auftragsverarbeitung wird nicht benötigt, da die Daten nach erfolgreicher Postauflieferung gesperrt bzw. nach Frist gelöscht werden.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)


Datensicherheit

Weitergabekontrolle

Eine Weitergabe erfolgt standardmäßig nicht. Sollen Daten weitergegeben werden müssen, erstellen wir hierzu mit den Kunden einen Prozessplan mit entsprechenden Dokumentationschecklisten.
Datensicherheit

Eingabekontrolle

Originaldaten der Kunden werden niemals geändert. Zu jedem Auftrag können wir ein Änderungsprotokoll erstellen, das Auskunft darüber gibt, welche Datenänderungen (insbesondere Anschriftenkorrektur) vorgenommen wurden. Diese Dokumentation wird zusätzlich im Infopostmanager der Deutschen Post vorgehalten.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)


Datensicherheit

Verfügbarkeitskontrolle

Die Daten werden für die Laufzeit des Auftrags auf einem System verschlüsselt aufbewahrt und mit dem Stand der Technik entsprechenden Verfahren in einer Generation gesichert. Die Daten in der Sicherung werden bei der Löschung am Ende des Prozesses mitgelöscht.
Datensicherheit

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

Rasche Wiederherstellbarkeit ist durch eine 1 : 1-Spiegelsicherung gewährleistet.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)


Datensicherheit

Datenschutzmanagement

Die O/D hat ein Datenschutzkonzept mit Zielsetzung, Verantwortlichkeiten, Richtlinien zur Dokumentation und zur Schulung der Mitarbeiter. Alle Mitarbeiter der O/D sind auf das Datengeheimnis verpflichtet. Das Handling der Passwörter wird vom zentralen Verzeichnisdienst erzwungen. Die Nutzer haben anhand ihrer Gruppenzugehörigkeit Zugriff auf Daten. Auf Adressen bei der Auftragsverarbeitung haben nur die Mitglieder der Gruppe Adressmanager Zugriff.
Datensicherheit

Incident-Response-Management

Das Incident-Response-Management läuft direkt über den Datenschutzbeauftragten. Dieser kann bei Verdachtsfällen direkt von jedem Mitarbeiter informiert werden. Als Vertreter wird unmittelbar der Geschäftsführer aktiv. Die Vorgehensweise bei Vorfällen ist in einem eigenen Prozess definiert.
Datensicherheit

Datenschutzfreundliche Voreinstellungen
(Art. 25 Abs. 2 DS-GVO)

Bei der Einrichtung von Systemen sind grundsätzlich keine Rechte vorhanden. Diese werden explizit auf Anwenderebene erteilt. Bei neuen Komponenten werden Werkskennwörter bei der Inbetriebnahme geändert.
Datensicherheit

Auftragskontrolle

Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers. Eine eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht und Nachkontrollen werden regelmäßig durchgeführt.