Anlagen zum AVV der G&S IT Solutions GmbH

Auf dieser Seite finden Sie Anlagen zu einem Auftragsverarbeitungsvertrag (AVV) mit der G&S IT Solutions GmbH als Auftragnehmer.

Anlage 1: Technisch-organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, sichergestellt durch u.a.
    • Alarmanlage
    • Lichtschranken / Bewegungsmelder
    • Schlüsselregelung
    • Manuelles Schließsystem
  • Zugangskontrolle
    Keine unbefugte Systembenutzung, sichergestellt durch u.a.
    • Zuordnung von Benutzerrechten
    • Passwortvergabe
    • Authentifikation mit Benutzername / Passwort
    • Sperren von externen Schnittstellen
    • Schlüsselregelung
    • Einsatz von Intrusion-Detection-Systemen
    • Verschlüsselung von Smartphone-Inhalten
    • Einsatz von Anti-Viren-Software
    • Erstellen von Benutzerprofilen
    • Einsatz von VPN-Technologie
    • Verschlüsselung von Datenträgern in Laptops / Notebooks
    • Einsatz einer Hardware-Firewall
    • Einsatz einer Software-Firewall
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, sichergestellt durch u.a.
    • Ein umfangreiches Berechtigungskonzept
    • Anzahl der Administratoren auf ein Minimum reduziert
    • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
    • Physische Löschung von Datenträgern vor Wiederverwendung
    • Einsatz von Aktenvernichtern und entsprechenden Dienstleistern
    • Verschlüsselung von Datenträgern
    • Verwaltung der Rechte durch Systemadministratoren
    • Passwortrichtlinien
    • Protokollierung der Vernichtung von Hardware
  • Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, sichergestellt durch u.a.
    • Ein umfangreiches Berechtigungskonzept
    • Festlegung von Datenbankrechten
    • Logische Mandantentrennung
    • Trennung von Produktiv- und Testsystem
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

 

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, sichergestellt durch u.a.
    • Einrichtung von Standleitungen bzw. VPN-Tunneln
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, sichergestellt durch u.a.
    • Protokollierung der Eingabe, Änderung und Löschung von Daten
    • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
    • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
    • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, sichergestellt durch u.a.
    • Unterbrechungsfreie Stromversorgung (USV)
    • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
    • Feuer- und Rauchmeldeanlagen
    • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
    • Testen von Datenwiederherstellung
    • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
    • Schutzsteckdosenleisten in Serverräumen
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • Datenschutz-Management;
  • Incident-Response-Management;
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Anlage 2: Unterauftragnehmer

Die G&S IT Solutions GmbH nimmt die Leistungen der nachfolgenden Unterauftragnehmer in Anspruch. Mit diesen Unterauftragnehmern besteht eine vertragliche Vereinbarung nach Maßgabe des Ar. 28 Abs. 2-4 DS-GVO.

Firma Unterauftragnehmer Anschrift/Land Leistung
STRATO AG Pascalstraße 10, 10587 Berlin Hosting
1&1 IONOS SE Eigendorfer Straße 57, 56410 Montabaur Hosting
Mittwald CM Service GmbH & Co. Kg Königsberger Straße 4-6, 32339 Espelkamp Hosting
Hetzner Online GmbH Industriestraße 25, 91710 Gunzenhausen Hosting
HEIKO BICK Aktenvernichtung GmbH & Co. KG Hakenbusch 7, 49078 Osnabrück Aktenvernichtung
Microsoft Corporation One Microsoft Way, Redmond, WA 98052, USA Groupware

 

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person in unserer Organisation:

Stephan Beume
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Datenschutzbeauftragter (TÜV)

DSO Datenschutz Osnabrück GmbH
Brückenstr. 3
49090 Osnabrück

Telefon (0541) 60081631
Telefax (0541) 60081626 

www.dso-datenschutz.de
info@dso-datenschutz.de