1. Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Serverstandort in zertifizierten deutschen Rechenzentren mit physischen Zugangskontrollen
- Zutrittskontrollsysteme mit individueller Authentifizierung
- Videoüberwachung der Serverräume
- Besucherprotokollierung und Begleitung
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:
- Individuelle Benutzerkonten mit sicheren Passwörtern
- Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge
- Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
- Regelmäßige Überprüfung und Aktualisierung der Zugriffsberechtigungen
- VPN-Zugang für Remote-Administrationsarbeiten
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass nur autorisierte Personen auf Daten zugreifen können:
- Rollenbasiertes Berechtigungskonzept (Need-to-know-Prinzip)
- Protokollierung aller Zugriffe auf personenbezogene Daten
- Verschlüsselung gespeicherter Daten (AES-256)
- Regelmäßige Überprüfung der Zugriffsrechte
4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass Daten bei der Übertragung nicht unbefugt gelesen oder kopiert werden:
- SSL/TLS-Verschlüsselung aller Datenübertragungen (HTTPS)
- Verschlüsselte E-Mail-Kommunikation bei sensiblen Daten
- Sichere Datenvernichtung von Datenträgern
- Dokumentation aller regelmäßigen Datenübermittlungen
5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem Daten eingegeben, verändert oder entfernt wurden:
- Protokollierung aller Datenverarbeitungsvorgänge
- Nachvollziehbare Versionierung von Änderungen
- Individuelle Benutzerkennungen (keine Sammelaccounts)
6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden:
- Schriftliche Auftragsverarbeitungsverträge (AVV) mit allen Unterauftragsverarbeitern
- Sorgfältige Auswahl von Dienstleistern
- Regelmäßige Kontrolle der Einhaltung vertraglicher Vereinbarungen
- Weisungsgebundene Datenverarbeitung
7. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Regelmäßige Backups mit verschlüsselter Speicherung
- Unterbrechungsfreie Stromversorgung (USV)
- Brandschutz- und Klimatisierungssysteme in Serverräumen
- Disaster-Recovery-Konzept
- Regelmäßige Tests der Wiederherstellbarkeit
8. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Logische Mandantentrennung in Datenbanken
- Getrennte Systemumgebungen (Entwicklung, Test, Produktion)
- Berechtigungskonzept zur Sicherstellung der Datentrennung
9. Organisatorische Maßnahmen
- Regelmäßige Schulung der Mitarbeiter zum Datenschutz
- Verpflichtung aller Mitarbeiter auf das Datengeheimnis
- Dokumentierte Datenschutz- und IT-Sicherheitsrichtlinien
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Incident-Response-Plan für Datenschutzvorfälle
- Regelmäßige Sicherheitsaudits und Penetrationstests
10. Aktualität
Diese technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.
Stand: März 2026
Verantwortlich: Enjyn® Gruppe, Ramon Dehner