TOM DSGVO

• Zutrittskontrolle
  • Haupteingangstür mit Knauf auf der Außenseite
  • Eingangsbereiche und Fenster sind außerhalb der Geschäftszeiten verschlossen
  • Sicherheitsschloss an der Büro Eingangstür
  • Besucher Begleitung durch P&S-Personal
  • Außerhalb der Bürozeiten sind die Gebäude entsprechend gesichert
  • Sorgfalt bei der Auswahl des Reinigungsdienstes

• Zugangskontrolle
  • Rechner- Login mit Benutzername und Passwort mit Protokoll
  • Verwendung von Anti-Virus Software auf Servern und Clients
  • Verwendung von Firewall und Intrusion Detection System beim Zugriff auf das P&S Netzwerk
  • Computer Systeme werden ständig auf dem aktuellen Stand gehalten
  • Einsatz von VPN bei Zugriffen von außen auf das P&S Netzwerk

• Zugriffskontrolle

Technische Maßnahmen

• Verwendung von Aktenschreddern

Organisatorische Maßnahmen:
• Haupteingangstür mit Knauf auf der Außenseite
• Nutzerrechte und Zugänge werden durch Administratoren verwaltet
• Berechtigung auf Netzwerkverzeichnisse nutzerbezogen rollenbasierend
• Einsatz entsprechender Passwortregelungen
• Zugänge werden nach einer entsprechenden Anzahl von Fehlversuchen gesperrt
• Protokollierung von Zugriffen auf Anwendungen bei der Eingabe, Änderung und Löschung von Daten
• Regelmäßige Schulungen und Unterweisungen zum Datenschutz und zur Datensicherheit 

• Trennungskontrolle
  • Trennung von Produktiv- und Testumgebung
  • Physikalische Trennung von System und Datenbank
  • Für unterschiedliche Anwendungen werden getrennte Verzeichnisse/Datenbanken mit verschiedenen Rechten eingesetzt

• Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
  • In den Anwendungen der P&S GmbH & Co. KG (Personalzeiterfassung), stehen Personen bezogene Daten im Mittelpunkt. Viele Datenverarbeitungsvorgänge wären pseudonymisiert gar nicht möglich, deshalb erfolgt keine Pseudonymisierung

• Weitergabekontrolle
  • Einsatz von VPN zur Online-Datenübertragung
  • Daten, die über Datenträger weitergegeben werden, werden komprimiert und verschlüsselt gespeichert
  • Nutzung von 2FA (Zwei-Faktor-Authentisierung) bei allen Subunternehmern, sofern die Möglichkeit dazu besteht
  • Daten, die aufgrund von gesetzlichen Vorgaben an die entsprechenden Stellen zu übertragen sind, wie zum Beispiel Steuer- und Sozialversicherungsdaten werden auf den durch den Gesetzgeber vorgeschrieben Wegen und mit den dort vorgegeben Verschlüsselungen übertragen
  • Alle Mitarbeiter, die mit personenbezogenen Daten Umgang haben, sind schriftlich zur Verschwiegenheit verpflichtet

• Eingabekontrolle
  • In dem von der P&S eingesetzten Programme ist implementiert, dass jederzeit, insbesondere auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in dem System eingegeben, verändert oder gelöscht wurden.

Für Cloud Kunden durch Rechenzentrum gewährleistet:

• Die Sicherheit der Daten und deren Verfügbarkeit wird durch ein mehrstufiges Backup- und Recovery-Konzept gewährleistet, sowie die redundante Auslegung zentraler Systeme und ihrer Komponenten.
• Systeme und Datenbanken werden online gesichert, um eine größtmögliche Verfügbarkeit im Rahmen
  der vereinbarten Leistungserbringung zu gewährleisten
• Im gesamten Gebäude existiert eine Brandmeldeanlage. Der Serverraum ist durch eine automatische Feuerlöschanlage gesichert.
  Im gesamten Gebäude besteht Rauchverbot
• Das gesamte Gebäude ist durch eine Alarmanlage mit automatischer Benachrichtigung des
  Sicherheitsunternehmens geschützt. · Es erfolgen regelmäßige Datensicherungen sowie permanente
  Datenspiegelung
• Der Zugang zu den Servern ist durch mehrstufige Sicherheitskomponenten abgesichert
• Die Zugriffe auf die zentrale Anwendung im Rechenzentrumsbetrieb erfolgt über redundante Leitungen
• Systeme und Datenbanken werden gesichert, um eine größtmögliche Verfügbarkeit zu gewährleisten

Für alle internen Systeme ist eine Eskalationskette definiert, die vor gibt, wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

Für nicht Cloud Kunden obliegt die Verfügbarkeitskontrolle Auftraggeber.

• rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

• Datenschutz-Management
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf und Berechtigung durch Bereitstellung per Wiki im P&S Intranet
  • Interner Datenschutzbeauftragter
  • Die Mitarbeiter sind geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet

• Auftragskontrolle
  • Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement