Muster Auftragsdatenverarbeitung Anlage TOM: Unterschied zwischen den Versionen
K (Prüfung Bearbeitungsmöglichkeit) |
(Verlinkung der Checklisten, +Organisationskontrolle, +BfDI Vorlage) |
||
| Zeile 1: | Zeile 1: | ||
Beschreibung der technischen und organisatorischen Maßnahmen | Anlage zur [[Mustervereinbarung_Auftragsdatenverarbeitung|§ 4 Mustervereinbarung der Auftragsdatenverarbeitung]]: Beschreibung der technischen und organisatorischen Maßnahmen | ||
==Organisationskontrolle== | |||
Organisatorische Maßnahmen zur Sicherstellung der besonderen Anforderungen des Datenschutzes: | |||
(Ordentliche Bestellung Datenschutzbeauftragter, Dienstanweisungen oder Betriebsvereinbarungen, Schulungen, Verpflichtungen, Dokumentationen etc. Siehe [[Checkliste TOM Organisationskontrolle]] | |||
==Datensicherungsmaßnahmen== | ==Datensicherungsmaßnahmen== | ||
| Zeile 7: | Zeile 12: | ||
Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: | Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: | ||
(Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüsselvergabe, etc.) | (Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüsselvergabe, etc. Siehe [[Checkliste TOM Zutrittskontrolle]]) | ||
===2. Zugangskontrolle=== | ===2. Zugangskontrolle=== | ||
| Zeile 14: | Zeile 19: | ||
-verfahren benutzen: | -verfahren benutzen: | ||
(Verschlüsselungsverfahren entsprechend dem Stand der Technik.) | (Verschlüsselungsverfahren entsprechend dem Stand der Technik. Siehe [[Checkliste TOM Zugangskontrolle]]) | ||
===3. Zugriffskontrolle=== | ===3. Zugriffskontrolle=== | ||
| Zeile 20: | Zeile 25: | ||
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: | Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: | ||
(Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.) | (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist. Siehe [[Checkliste TOM Zugriffskontrolle]]) | ||
===4. Weitergabekontrolle=== | ===4. Weitergabekontrolle=== | ||
| Zeile 26: | Zeile 31: | ||
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. | Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. | ||
(Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.) | (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a. Siehe [[Checkliste TOM Weitergabekontrolle]]) | ||
===5. Eingabekontrolle=== | ===5. Eingabekontrolle=== | ||
| Zeile 32: | Zeile 37: | ||
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. | Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. | ||
(Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens 3 Jahre lang durch den Auftragnehmer aufbewahrt.) | (Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens 3 Jahre lang durch den Auftragnehmer aufbewahrt. Siehe [[Checkliste TOM Eingabekontrolle]]) | ||
===6. Verfügbarkeitskontrolle=== | ===6. Verfügbarkeitskontrolle=== | ||
| Zeile 38: | Zeile 43: | ||
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | ||
(Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: hier Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Backup-Kopien.) | (Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: hier Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Backup-Kopien. Siehe [[Checkliste TOM Verfügbarkeitskontrolle]]) | ||
===7. Trennungskontrolle=== | ===7. Trennungskontrolle=== | ||
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. | Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Siehe [[Checkliste TOM Trennungskontrolle]]. | ||
==Weitere Informationen== | ==Weitere Informationen== | ||
[[Mustervereinbarung Auftragsdatenverarbeitung]] | * [[Mustervereinbarung Auftragsdatenverarbeitung]] | ||
* [[Auftragsdatenverarbeitung]] | |||
[[Kategorie:Muster]] | [[Kategorie:Muster]]<noinclude> | ||
{{BfDI-Content}}</noinclude> | |||
Aktuelle Version vom 28. April 2016, 21:12 Uhr
Anlage zur § 4 Mustervereinbarung der Auftragsdatenverarbeitung: Beschreibung der technischen und organisatorischen Maßnahmen
Organisationskontrolle
Organisatorische Maßnahmen zur Sicherstellung der besonderen Anforderungen des Datenschutzes:
(Ordentliche Bestellung Datenschutzbeauftragter, Dienstanweisungen oder Betriebsvereinbarungen, Schulungen, Verpflichtungen, Dokumentationen etc. Siehe Checkliste TOM Organisationskontrolle
Datensicherungsmaßnahmen
1. Zutrittskontrolle
Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:
(Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüsselvergabe, etc. Siehe Checkliste TOM Zutrittskontrolle)
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:
(Verschlüsselungsverfahren entsprechend dem Stand der Technik. Siehe Checkliste TOM Zugangskontrolle)
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:
(Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist. Siehe Checkliste TOM Zugriffskontrolle)
4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
(Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a. Siehe Checkliste TOM Weitergabekontrolle)
5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
(Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens 3 Jahre lang durch den Auftragnehmer aufbewahrt. Siehe Checkliste TOM Eingabekontrolle)
6. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
(Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: hier Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Backup-Kopien. Siehe Checkliste TOM Verfügbarkeitskontrolle)
7. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Siehe Checkliste TOM Trennungskontrolle.
Weitere Informationen
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.