Informationssicherheit

Die Stadt Karlsruhe hat gemäß Artikel 37 Absatz 1 lit. a DSGVO eine(n) Datenschutzbeauftragte(n) benannt; ebenfalls wurden zwei Verhinderungsvertreter*innen benannt.

Die Aufgaben des/der Datenschutzbeauftragten ergeben sich aus Artikel 39 DSGVO. Darüber hinaus wurden ihm/ihr weitere Aufgaben übertragen, um durch eine zentrale Aufgabenwahrnehmung einen einheitlichen stadtweiten Sicherheitsstandard gewährleisten zu können. Die Artikel 39 DSGVO übersteigenden Aufgaben sind im Benennungsschreiben der Behördenleitung aufgeführt.

Der/die Datenschutzbeauftragte ist zuständig für den Gemeinderat, die Dezernate, Ämter, die Personalvertretung und Eigenbetriebe sowie die Dienst- und Stabsstellen der Stadt Karlsruhe sowie deren Beschäftigte, die Verarbeitungen im Sinne der DSGVO durchführen.

Die Stadt Karlsruhe hat eine(n) Informationssicherheitsbeauftragte(n) benannt, der/die die Leitung des Informationssicherheitsteams innehat. Es wurde ein(e) Vertreter*in benannt.

Die Aufgaben des/der Informationssicherheitsbeauftragten ergeben sich aus dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der/die Informationssicherheitsbeauftragte (ISB) ist verantwortlich für die Planung, Umsetzung, Prüfung und Verbesserung der Informationssicherheit und zuständig für den Gemeinderat, die Dezernate, Ämter und Eigenbetriebe sowie die Dienst- und Stabsstellen der Stadt Karlsruhe sowie deren Beschäftigte.

Jedes Amt und jeder Eigenbetrieb verfügt über mindestens eine Datenschutzsachbearbeitung (Dezernate, Dienststellen und Stabsstellen werden über Datenschutzsachbearbeitungen zugeordneter Ämter vertreten).

Für die örtlichen Datenschutzsachbearbeitungen gibt es eine Mustertätigkeitsbeschreibung, auf die in der Arbeitsplatzbeschreibung der örtlichen Datenschutzsachbearbeitung Bezug genommen wird.

Die örtlichen Datenschutzsachbearbeitungen sind primäre Ansprechpersonen bei allen datenschutzrechtlichen Fragestellungen entsprechend ihres Zuständigkeitsbereiches und bearbeiten diese Fragestellungen möglichst eigenständig. Bei allen Fragestellungen, die nicht eigenständig geklärt werden können, erfolgt die Zusammenarbeit mit der Stabsstelle Datenschutz.

Zur Sicherstellung des Datenschutzes und der Informationssicherheit bei der Kämmereiverwaltung der Stadt Karlsruhe erfolgt bei grundsätzlichen Themen stets eine Abstimmung zwischen der Stabsstelle Datenschutz und dem/der Informationssicherheitsbeauftragten, die örtlichen Datenschutzsachbearbeitungen werden im Bedarfsfall eingebunden.

Da der Datenschutz und die Informationssicherheit untrennbar miteinander verbunden sind, erfolgen teils auch Abstimmungen im laufenden Betrieb.

Der Gesamtpersonalrat und die örtlichen Personalvertretungen werden stets nach dem Landespersonalvertretungsgesetz und darüber hinaus bei sonstigen die Beschäftigten betreffenden Fragestellungen zum Datenschutz eingebunden. Die Stabsstelle Datenschutz und die Personalvertretung arbeiten vertrauensvoll zum Wohle der Beschäftigten und zur Erfüllung der der Dienststelle obliegenden Aufgaben zusammen.

4.5.1. Datengeheimnis

Allen Beschäftigten ist es gemäß § 3 Absatz 2 Landesdatenschutzgesetz BW (LDSG) untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das Datengeheimnis besteht nach Beendigung ihrer Tätigkeit fort.
 

4.5.2. Verpflichtung auf das Verpflichtungsgesetz

Alle nichtbeamteten Beschäftigten werden bei Einstellung entsprechend dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) auf die gewissenhafte Erfüllung ihrer Obliegenheiten verpflichtet und so gesondert auf datenschutzrechtliche Anforderungen hingewiesen.
 

4.5.3. Verschwiegenheitspflicht (Beamte)

Beamtinnen und Beamte haben gemäß § 37 Absatz 1 Beamtenstatusgesetz (BeamtStG) über die ihnen bei oder bei Gelegenheit ihrer amtlichen Tätigkeit bekannt gewordenen dienstlichen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt auch über den Bereich eines Dienstherrn hinaus sowie nach Beendigung des Dienstverhältnisses.

Auf die Verschwiegenheitspflicht werden beamtete Personen im Rahmen der Einstellung hingewiesen.
 

4.5.4. Sozialgeheimnis / Steuergeheimnis

Alle Beschäftigten, die Sozialdaten verarbeiten, haben das Sozialgeheimnis entsprechend § 35 Sozialgesetzbuch I (SGB I) zu wahren. Das Sozialgeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Verstöße gegen das Sozialgeheimnis können mit Bußgeld oder strafrechtlich entsprechend der §§ 85 und 85 a SGB X in Verbindung mit den §§ 41 bis 43 Bundesdatenschutzgesetz (BDSG) geahndet werden.

Alle Beschäftigten, die personenbezogene Daten verarbeiten, die dem Steuergeheimnis nach § 30 Abgabenordnung (AO) unterliegen, haben dafür Sorge zu tragen, dass diese personenbezogenen Daten nicht unbefugt offenbart oder verwertet werden.

Verstöße gegen das Steuergeheimnis können mit Bußgeld oder strafrechtlich entsprechend § 355 StGB in Verbindung mit den §§ 41 bis 43 Bundesdatenschutzgesetz (BDSG) geahndet werden.
 

4.5.5. Vertraulichkeitsvereinbarung

Werden zum Beispiel Leiharbeiter, AFB-Maßnahmen oder Praktikanten bei der Stadt Karlsruhe mit der Verarbeitung personenbezogener Daten betraut oder werden diese Personen in Bereichen eingesetzt, wo eine Kenntnisnahme personenbezogener Daten wahrscheinlich ist, so werden diese Personen dem Direktionsrecht der jeweiligen Amtsleitung unterstellt und eine Vertraulichkeitsvereinbarung abgeschlossen; die Informationssicherheitsleitlinie der Stadt Karlsruhe wird bekannt gegeben.
 

4.5.6. Verschwiegenheitsverpflichtung

Dienstleister, bei denen Gegenstand des Vertrages nicht die Verarbeitung personenbezogener Daten ist (zum Beispiel Handwerker, die Arbeiten innerhalb von Ämtern ausführen), eine Kenntnisnahme solcher aber nicht ausgeschlossen werden kann und zum Beispiel Leiharbeitern, AFB-Maßnahmen oder Praktikanten, die in Bereichen eingesetzt werden, bei denen eine Kenntnisnahme von personenbezogenen Daten zwar unwahrscheinlich ist aber nicht gänzlich ausgeschlossen werden kann, sind auf die Verschwiegenheit zu verpflichten.

Beim Einsatz von externen Reinigungskräften, die über das Amt für Hochbau- und Gebäudewirtschaft beauftragt wurden, ergibt sich eine Verschwiegenheitsverpflichtung aus dem mit dem externen Dienstleister geschlossenen Auftragsverarbeitungsvertrag.

Werden Auftragsverarbeiter im Sinne von Artikel 28 DSGVO für die Stadt Karlsruhe tätig, so werden diese Auftragsverarbeiter sorgfältig entsprechend Artikel 28 Absatz 1 DSGVO ausgewählt.

Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter erfolgt ausschließlich auf der Grundlage eines Vertrages gemäß Artikel 28 Absatz 3 DSGVO.

Es existieren Musterverträge angepasst auf eine Verarbeitung mit und ohne Fernadministration beziehungsweise ausschließlich für Fernadministration.

Vor Abschluss des Auftragsverarbeitungsvertrages wird das Datenschutzkonzept des Auftragnehmers (Technische und organisatorische Maßnahmen gemäß Artikel 32 (EU) Datenschutz-Grundverordnung (DSGVO) von der Stabsstelle IT-Compliance und Informationssicherheit überprüft.

Das Gesamtverzeichnis der Verarbeitungstätigkeiten entsprechend Artikel 30 DSGVO wird zentral bei der Stabsstelle Datenschutz geführt.

Die einzelnen Dezernate, Ämter, Stabs- und Dienststellen, das Gremium der Personalvertretung sowie Eigenbetriebe der Stadt Karlsruhe sind verpflichtet, bei der Planung neuer Verfahren, über die personenbezogene Daten verarbeitet werden sollen, sowohl die Stabsstelle Datenschutz als auch das Amt für Informationstechnik und Digitalisierung miteinzubinden.

Kommt es zu einer Beschaffung, muss das neue Verfahren der Stabsstelle Datenschutz zur Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten mitgeteilt werden.

Es existiert ein Muster für die Mitteilung zum Verzeichnis der Verarbeitungstätigkeiten.

Im 2 bis 3-jährigen Rhythmus erfolgt – initiiert durch die Stabsstelle Datenschutz – eine generelle Überprüfung bzw. Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten.

Liegen nach Beurteilung der Stabsstelle Datenschutz die Voraussetzungen von Artikel 35 DSGVO vor, so initiiert und begleitet die Stabsstelle Datenschutz die notwendige Datenschutz-Folgenabschätzung.

Das zwingende Vorgehen bei einer Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Artikel 33 DSGVO und bei der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffener Personen gemäß Artikel 34 DSGVO ist über die Dienstanweisung Datenpannen verbindlich geregelt.

Die Dienstanweisung Vernichtung von Datenträgern regelt verbindlich die Entsorgung und Vernichtung konventioneller wie auch elektronischer Datenträger. Vertragsmuster für die Vernichtung konventioneller Datenträger (Papier) durch externe Auftragsverarbeiter liegen vor.

Die Dienstanweisung Internet und E-Mail regelt die ausschließlich dienstliche Nutzung dieser Medien und legt verbindlich die Anforderungen an eine interne und externe E-Mailkommunikation fest.

Die örtlichen Datenschutzsachbearbeitungen sind über die sich aus den Artikeln 12 bis 22 DSGVO ergebenden Rechte Betroffener und die sich jeweils daran anbindenden Verfahrensweisen informiert.

Insbesondere sind die Dezernate, Ämter, Stabs- und Dienststellen sowie Eigenbetriebe zur selbständigen Umsetzung der Artikel 13 und 14 DSGVO verpflichtet (sowohl bei konventionellen als auch bei digitaler Datenerhebung).

Es gibt Muster zur Erfüllung der Informationspflichten gemäß Artikel 13 DSGVO.

Bei Auskunfts- und Löschersuchen, bei der Geltendmachung der Rechte auf Einschränkung der Verarbeitung und auf Datenübertragbarkeit sowie beim Gebrauch des Widerspruchsrechts wenden sich die örtlichen Datenschutzsachbearbeitungen an die Stabsstelle Datenschutz.

Die Sensibilisierung, Unterrichtung und Schulung der Beschäftigten erfolgen zentral über die Stabsstelle Datenschutz. Schulungsmaterialien werden seitens der Stabsstelle Datenschutz erstellt, die Dokumentationen der Schulungen verwaltet.

Die Stabsstelle Datenschutz ist dabei in vielfältiger Hinsicht tätig:

• Halbjährliche Workshops mit den örtlichen Datenschutzsachbearbeitungen
• Fortbildung der örtlichen Datenschutzsachbearbeitungen bei gegebenem Bedarf (zum Beispiel mehrfache Schulungen im Zuge des Inkrafttretens der DSGVO)
• Seminarangebote im Fortbildungsprogramm der Stadt Karlsruhe
• Schulung aller Auszubildenden
• Kurzvortrag mit Hinweis auf Schulungsmöglichkeiten bei Neueinstellungen und Wiederkehrern
• Intervallmäßige Vorträge beim Gesamtpersonalrat
• Vorträge auf Anfrage bei örtlichen Personalversammlungen
• Vorträge in Ämtern und Dienststellen auf Anfrage

Bei datenschutzrechtlichen Fragestellungen sollen sich die Beschäftigten zunächst an die örtlichen Datenschutzsachbearbeitungen wenden. Die örtlichen Datenschutzsachbearbeitungen nehmen bei Unterstützungsbedarf Kontakt mit der Stabsstelle Datenschutz auf. Wenden sich Beschäftigte direkt an die Stabsstelle Datenschutz, bindet diese die örtlichen Datenschutzsachbearbeitungen mit ein.

Kann eine Frage nicht abschließend geklärt werden, ergeben sich für die Stabsstelle Datenschutz alternativ folgende Optionen.

• Abstimmung mit anderen Datenschutzbeauftragten anderer Kommunen über „kleines Netzwerk“
• Anfrage beim Landesbeauftragen für Datenschutz und Informationssicherheit (LfDI) auf Arbeitsebene
• Offizielle Anfrage beim LfDI
• Anfrage beim LfDI über den Arbeitskreis des Städte-/ Gemeinde- und Landkreistages BW

4.15.1. Datenschutz und Informationssicherheit bei der Stadtverwaltung Karlsruhe – Informationsblatt für Beschäftigte

Das Informationsblatt wird allen Neueinstellungen ausgehändigt. Darin werden die wesentlichen Elemente des Datenschutzes dargestellt, Einzelfälle der täglichen Routine aufgezeigt, Verhaltensweisen der Beschäftigten eingefordert und die Kontaktdaten von Datenschutz und Informationssicherheit angegeben.
 

4.15.2. Einwilligung in Foto-, Film- und Tonaufnahmen (Erwachsene und Kinder)

Veröffentlichungen von Foto-, Film- und Tonaufnahmen, die Personen oder personenbezogene Daten enthalten, bedürfen einer Rechtsgrundlage (gesetzliche oder vertragliche Regelung bzw. Einwilligung) sofern keine Ausnahme nach den §§ 22 und 23 Kunsturhebergesetz (KunstUrhG) vorliegt. Zur Einholung der Einwilligungserklärung sind die im Intranet zur Verfügung stehenden Mustereinwilligungserklärungen zu verwenden. Bei Jugendlichen unter 16 Jahren sind grundsätzlich Einwilligungen von den Personensorgeberechtigten einzuholen.

4.16.1 Datenschutz und Informationssicherheit unter karlsruhe.de

Unter karlsruhe.de/datenschutz werden Hinweise zum Datenschutz gegeben. Einerseits wird über die Funktionalitäten beim Aufruf der Webseite der Stadt Karlsruhe informiert (welche Daten werden gespeichert, zu welchen Zwecken werden Cookies eingesetzt, Angaben zu Social Plugins, …) andererseits finden sich hier auch die allgemeinen Angaben bezüglich der Informationspflichten gemäß Artikel 13 DSGVO.

Des Weiteren wird für bestimmte verwaltungstypische Erhebungszwecke (zum Beispiel Stellenausschreibungen, SEPA-Lastschriftmandat) unter karlsruhe.de/datenschutz auch auf die individuellen Angaben gemäß Artikel 13 DSGVO hingewiesen.

4.16.2 Weitere Datenschutzhinweise

Für Verarbeitungen personenbezogener Daten, auf die nicht unter karlsruhe.de/datenschutz hingewiesen wird, werden die Informationspflichten nach Art. 13 DSGVO durch Aushändigung, Aushang oder Veröffentlichung auf den Serviceseiten von karlsruhe.de bei den betreffenden Leistungen erfüllt.

Mit Planung einer Videoüberwachungsmaßnahme informiert die verantwortliche Stelle die Stabsstelle Datenschutz. Diese prüft, ob im Rahmen der Erfüllung von öffentlichen Aufgaben oder des Hausrechts zum Zwecke des Personen- oder Objektschutzes in zulässiger Weise Video überwacht werden darf.

Dazu wird auf Basis von § 18 LDSG eine „Vorabkontrolle“ durchgeführt. Die Stabsstelle Datenschutz entscheidet darüber hinaus über die Notwendigkeit eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchführen zu müssen.

Videoüberwachungsmaßnahmen werden in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgenommen.

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu IT-Systemen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Maßnahmen    

• Automatisches Zugangskontrollsystem
• Chipkarten / Transpondersysteme
• Manuelles Schließsystem
• Sicherheitsschlösser
• Absicherung der Gebäudeschächte
• Türen mit Knauf Außenseite    
   

Organisatorische Maßnahmen

• Schlüsselregelung / Liste
• Empfang / Rezeption / Pförtner
• Besucher in Begleitung durch Mitarbeiter
• Sorgfalt bei Auswahl des Wachpersonals
• Sorgfalt bei Auswahl der Reinigungsdienste

Maßnahmen, die geeignet sind zu verhindern, dass IT-Systeme von Unbefugten genutzt werden können

Technische Maßnahmen

• Login mit Benutzername + Passwort
• Anti-Viren-Software Server
• Anti-Viren-Software Clients
• Anti-Viren-Software mobile Geräte
• Firewall
• Mobile Device Management
• Einsatz VPN bei Remote-Zugriffen
• Verschlüsselung von Datenträgern
• Verschlüsselung Smartphones
• Sperre externe Schnittstellen (USB)

Organisatorische Maßnahmen

• Verwalten von Benutzerberechtigungen
• Erstellen von Benutzerprofilen
• Zentrale Passwortvergabe
• Richtlinie „Sicheres Passwort“
• Richtlinie „Löschen / Vernichten“
• Allg. Richtlinie Datenschutz und / oder Sicherheit

Maßnahmen, die gewährleisten, dass die zur Benutzung eines IT-Systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen

• Aktenschredder (mindestens Stufe 3, cross cut)
• Externer Aktenvernichter (DIN 32757)
• Physische Löschung von Datenträgern
• Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten

Organisatorische Maßnahmen

• Einsatz Berechtigungskonzepte
• Minimale Anzahl an Administratoren
• Datenschutztresor
• Verwaltung Benutzerrechte durch Administratoren

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Technische Maßnahmen

• Physikalische Trennung (Systeme / Datenbanken / Datenträger)
• Mandatenfähigkeiten relevanter Anwendungen

Organisatorische Maßnahmen

• Steuerung über Berechtigungskonzept
• Festlegung von Datenbankrechten

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen

• Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (möglich verschlüsselt)

Organisatorische Maßnahmen

• Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen

• Email-Verschlüsselung
• Einsatz von VPN
• Protokollierung der Zugriffe und Abrufe
• Sichere Transportbehälter
• Bereitstellung über verschlüsselte Verbindungen wie sftp, https

Organisatorische Maßnahmen

• Übersicht regelmäßiger Abruf- und Übermittlungsvorgänge
• Weitergabe in anonymisierter oder pseudonymisierter Form
• Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (zum Beispiel Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Technische Maßnahmen

• Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
• Manuelle oder automatisierte Kontrolle der Protokolle

Organisatorische Maßnahmen

• Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
• Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
• Klare Zuständigkeiten für Löschungen

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen und Ähnliches.

Technische Maßnahmen

• Feuer- und Rauchmeldeanlagen
• Feuerlöscher Serverraum
• Serverraumüberwachung Temperatur und Feuchtigkeit
• Serverraum klimatisiert
• USV
• Schutzsteckdosenleisten Serverraum
• RAID System / Festplattenspiegelung
• Alarmmeldung bei unberechtigtem Zutritt zu Serverraum
• Penetrationstest

Organisatorische Maßnahmen

• Backup & Recovery-Konzept (ausformuliert)
• Kontrolle des Sicherungsvorgangs
• Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
• Keine sanitären Anschlüsse im oder oberhalb des Serverraums
• Existenz eines Notfallplans (zum Beispiel BSI IT-Grundschutz 200-4)
• Getrennte Partitionen für Betriebssysteme und Daten

Maßnahmen, die die Belastbarkeit von IT-Systemen gegenüber äußeren Einflüssen stärken. Hierunter wird die systemische Widerstandsfähigkeit gegenüber Störungen und Veränderungen verstanden.

Technische Maßnahmen

• Redundante IT-Systeme vorhanden
• Einsatz fehlertoleranter Software
• Schutz vor Überlast und Denial of Service-Angriffen

Organisatorische Maßnahmen

• Ausfallsicherheits-/Hochverfügbarkeitskonzept

Das Datenschutzmanagement oder kurz DSM legt fest, wie mit personenbezogenen Daten umzugehen ist. Ein DSM stellt einen internen Leitfaden dar, der sich nach der DSGVO richtet und hilft, den unternehmensinternen Datenschutz zu regeln, zu planen, zu steuern, umzusetzen und zu kontrollieren.

Technische Maßnahmen

• Software-Lösungen für Datenschutz-Management im Einsatz
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeiten für Mitarbeiter nach Bedarf / Berechtigung (zum Beispiel Wiki, Intranet…)

Organisatorische Maßnahmen

• Interner Datenschutzbeauftragter
• Mitarbeiter geschult und auf die Vertraulichkeit / Datengeheimnis verpflichtet
• Regelmäßige Sensibilisierung der Mitarbeiter
• Mindestens jährlich
• Interner Informationssicherheitsbeauftragter
• Die Datenschutz-Folgeabschätzung (DSFA) wird bei Bedarf durchgeführt
• Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
• Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen

• Einsatz von Firewall und regelmäßige Aktualisierung
• Einsatz von Spamfilter und regelmäßige Aktualisierung
• Einsatz von Virenscanner und regelmäßige Aktualisierung

Organisatorische Maßnahmen

• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
• Dokumentierte Vorgehensweise zu Umgang mit Sicherheitsvorfällen
• Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen
• Dokumentation von Sicherheitsvorfällen und Datenpannen zum Beispiel via Ticketsystem
• Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

Privacy by design / Privacy by default -> Art. 25 Abs. 1 und 2 DSGVO

Technische Maßnahmen

• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
• Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

Organisatorische Maßnahmen

• Informationssicherheitsleitlinie

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Technische Maßnahmen

• Bereitstellung eines Fernwartungssystems

Organisatorische Maßnahmen

• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
• Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung beziehungsweise EU Standard-Vertragsklauseln
• Schriftliche Weisungen an den Auftragnehmer
• Verpflichtungen des Mitarbeiters des Auftragnehmers auf Datengeheimnis
• Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
• Regelung zum Einsatz weiterer Subunternehmer
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus