1. Einleitung
1.1 Verantwortlicher
Verantwortlicher gem. Art. 4 Nr. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist Dealcode GmbH, Ludwig-Erhard-Straße 18, 20459 Hamburg, Deutschland, E-Mail: datenschutz@dealcode.ai. Gesetzlich vertreten werden wir durch Alexander Weltzsch (CEO) + Dennis Hilger (COO).
1.2 Datenschutzbeauftragter
Unser Datenschutzbeauftragter ist die heyData GmbH, Schützenstraße 5, 10117 Berlin, www.heydata.eu, E-Mail: datenschutz@heydata.eu.
1.3 Gegenstand des Dokuments
Dieses Dokument fasst die vom Verantwortlichen getroffenen technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO zusammen. Das sind Maßnahmen, mit denen der Verantwortliche personenbezogene Daten schützt. Das Dokument hat den Zweck, den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu unterstützen.
2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Zutrittskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
- Automatisches Zugangskontrollsystem
- Chipkarten-/ Transponder-Schließsystem
- Manuelles Schließsystem (z.B. Schlüssel)
- Sicherheitsschlösser
- Videoüberwachung der Zugänge
- Klingelanlage mit Kamera
- Personenkontrolle beim Pförtner oder am Empfang
- Schlüsselregelung / Schlüsselbuch
- Besucher nur in Begleitung durch Mitarbeitern
- Sorgfältige Auswahl des Reinigungspersonals
- Anweisung an Mitarbeiter, nicht in öffentlich zugänglichen Räumen (z. B. Cafés) zu arbeiten
- Arbeit im Home Office: Unbefugte haben keinen Zutritt zur Wohnstätte der Mitarbeiter
- Arbeit im Home Office: Anweisung an Mitarbeiter, wenn möglich, in von Wohnräumen abgetrennten Arbeitszimmer zu arbeiten
2.2 Zugangskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:
- Authentifikation mit Benutzer und Passwort
- Einsatz von Anti-Viren-Software
- Einsatz von Firewalls
- Verschlüsselung von Datenträgern
- Automatische Desktopsperre
- Verwaltung von Benutzerberechtigungen
- Erstellen von Benutzerprofilen
- Nutzung con 2-Faktor-Authentifizierung
- Personenkontrolle beim Pförtner oder am Empfang
- Allgemeine Unternehmens-Richtlinie zum Datenschutz oder zur Sicherheit
- Unternehmensrichtlinien für sichere Passwörter
- Unternehmens-Richtlinie "Löschen/Vernichten
- Unternehms-Richtlinie "Cleandesk"
- Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren
2.3 Zugriffskontrolle
Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:
- Einsatz eines Berechtigungskonzepts
- Anzahl der Administratoren ist so klein wie möglich gehalten
- Anweisung an Mitarbeiter, dass nur unbedingt erforderliche Daten ausgedruckt werden
- Anweisung an Mitarbeiter, dass Daten nur nach Rücksprache gelöscht werden
2.4 Trennungskontrolle
Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:
- Trennung von Produktiv- und Testsystem
- Logische Mandantentrennung (softwareseitig)
- Erstellung eines Berechtigungskonzepts
- Festlegung von Datenbankrechten
3. Integrität (Art. 32 Abs. 1 lit.b DSGVO)
3.1 Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
- Protokollierung von Zugriffen und Abrufen
- Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
- Home Office: Fernlöschungsrecht des Arbeitgebers
3.2 Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Klare Zuständigkeiten für Löschungen
- Anweisung an Mitarbeiter, nur nach Rücksprache Daten zu löschen
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit.b DSGVO)
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
- Regelmäßige Backups
- Erstellung eines Backup- & Recoverykonzepts
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Hosting (jedenfalls der wichtigsten Daten) mit einem professionellen Hoster
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
5.1 Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
- Verwendung der heyData-Plattform zum Datenschutz-Management
- Bestellung des Datenschutzbeauftragten heyData
- Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Regelmäßige Schulungen der Mitarbeiter im Datenschutz
- Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
5.2 Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
- Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
- Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
- Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
- Einsatz von Anti-Viren-Software
- Einsatz von Firewalls
5.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien "Privacy by design" und "Privacy by default" Rechnung:
- Schulung der Mitarbeiter im "Privacy by design" und "Privacy by default"
- Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
5.4 Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:
- Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
- Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)
- Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)
