Technische und organisatorische Maßnahmen

Stand 22. September 2022

melzer.media hat die folgenden technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO getroffen, um Vertraulichkeit, Verschlüsselung und Pseudonymisierung, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Prüfverfahren zu gewährleisten.

1. Vertraulichkeit

1.1 Organisatorische Steuerung

Es soll sichergestellt werden, dass die interne Organisation die spezifischen Anforderungen des
Datenschutzes erfüllt.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Organisatorische Anweisungen

✅ Verpflichtung zur Vertraulichkeit und zum Datenschutz

✅ Datenschutzschulungen

✅ Einschränkungen der privaten und geschäftlichen Nutzung von Kommunikationsgeräten

✅ Zuverlässigkeit des Personals

1.2 Verschlüsselung und Pseudonymisierung von personenbezogenen Daten

✅ Schlüsselverwaltung

✅ Datenverschlüsselung

✅ Datenübertragung über verschlüsselte Datennetze oder Tunnelverbindungen

✅ kein Einsatz von mobilen Speichermedien

✅ Verschlüsselung von Speichergeräten auf Laptops

✅ Verschlüsselter Austausch von Informationen und Dateien

✅ E-Mail-Verschlüsselung (S/MIME)

1.3 Physische Zugangskontrolle

Der Zugang von Unbefugten zu IT-System- und Verarbeitungseinrichtungen, mit denen die
Verarbeitung durchgeführt wird, ist untersagt.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Kontrollierte und dokumentiere Schlüsselverteilung

✅ Beaufsichtigung und Begleitung von Fremden

✅ Absicherung von Räumen mit erhöhtem Schutzbedürfnis

✅ Geschlossene Türen und Fenster

✅ Physische und umgebungsbedingte Sicherheit von Serversystem in Rechenzentren

✅ Einsatz von Wachpersonal

✅ Einbruchmeldeanlage

✅ Videoüberwachung in sensiblen Bereichen

1.4 Berechtigungskontrolle

Die Nutzung und Verarbeitung datenschutzrechtlich geschützter Daten durch Unbefugte wird
verhindert.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Verwendung von Authentifizerungsverfahren

✅ Verwendung sicherer Passwörter (gem. Empfehlungen BSI, kritische Bereiche deutlich darüber)

✅ Automatische Sperrung bei Inaktivität

✅ Clean Desk Policy

✅ Berechtigungsbestimmung- und vergabe nach Freigabe durch die Administration

✅ Verbot der Weitergabe von Passwörtern und Nutzung von geteilten Zugängen

✅ Einsatz von Anti-Viren-Software

✅ VPN-Verbindung zur Verbindung zum Firmennetz

1.5 Zugriffskontrolle

Es wird gewährleistet, dass die zur Nutzung eines automatisierten Verarbeitungssystems befugten
Personen nur Zugang zu den personenbezogenen Daten erhalten, für die ihre Zugriffsberechtigung gilt.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Rollen- und Berechtigungskonzept

✅ Vergabe von Zugriffsrechten

✅ Netzsicherheit

✅ Kontrolle der Zugriffsberechtigung auf Kundensysteme durch Auftraggeber

✅ Protokollierung von An- und Abmeldevorgängen

1.6 Trennbarkeit

Es wird sichergestellt, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden,
getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt sind, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Trennung von Entwicklungs-, Test- und Betriebsumgebungen

✅ Trennung von Netzwerken

✅ Softwareseitige Mandantentrennung

2 Integrität

2.1 Übermittlungskontrolle

Es wird sichergestellt, dass die Vertraulichkeit und Integrität privater Daten bei der Übertragung und
beim Transport der Speichermedien geschützt sind.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Übermittlungsverschlüsselung

✅ Verbot der Weitergabe an unbefugte Dritte

2.2 Eingabekontrolle

Es soll sichergestellt werden, dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welchem Zeitpunkt und von wem in automatisierte Verarbeitungssysteme eingegeben oder geändert worden sind.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Protokollierung der Systemaktivitäten im Admin- und Kundensystem sowie Auswertung

3 Verfügbarkeit

3.1 Verfügbarkeitskontrolle

Sicherstellen, dass personenbezogene Daten gegen versehentliche Zerstörung oder Verlust geschützt sind.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Datensicherungsverfahren/Backups

✅ Kapazitätsmanagement

✅ IT-Störungsmanagement

✅ Unterbrechungsfreie Stromversorgung

✅ Brandmelde- und Brandbekämpfungssystem

🧑🏻‍💻 In Entwicklung

3.2 Wiederherstellbarkeit

Es wird sichergestellt, dass Systeme im Falle eines physischen oder technischen Ausfalls zuverlässig
wiederhergestellt werden können.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Notfallplan

4 Überprüfung und Evaluierung

Beschreibung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ regelmäßige Weiterbildung in Datenschutz und IT-Sicherheit

✅ Überprüfung der Einhaltung von Sicherheitsrichtlinien und Standards

✅ Verfahren zur kontinuierlichen Verbesserung des Datenschutz- und Informationssicherheitsmanagementsystems

✅ Risikomanagement

✅ Durchführung von internen Audits

✅ Überprüfung der Einhaltung technischer Spezifikationen

4.1 Vertragsüberwachung

Es wird gewährleistet, dass private Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können.

Wir haben die folgenden Anforderungen folgendermaßen umgesetzt:

✅ Auftragsverarbeitung gem. Art. 28 DSGVO

✅ Sorgfältige Auswahl von Lieferanten

✅ Durchführung regelmäßiger Kontrollen und Anforderung von Nachweisen