wellkauf logo

TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN (“TOM”)

Inhalt

umgesetzt von WELLKAUF EURO LTD
um unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ein angemessenes Sicherheitsniveau zu gewährleisten.

  • Physische zugangskontrolle
    • 1.1. Physische und technische Maßnahmen zur Zugangskontrolle:
      • Dokumentation der durchgeführten Eingangskontrollmaßnahmen
        Der Zugang zu den Bereichen der Gebäude ist definiert und dokumentiert. Die Umsetzung der Eingangskontrollmaßnahmen wird anhand der Dokumentation überprüft.
        Eingangskontrollen erfüllen folgende Anforderungen:
        • Bereiche im Geltungsbereich des Zutrittskontrollregimes sind klar definiert und dokumentiert.
        • Die Zahl der Personen mit Zugang zu Sperrbereichen wird auf das notwendige Minimum reduziert.
        • Personen außerhalb des Unternehmens wird der Zugriff erst gewährt, wenn festgestellt wurde, dass der Zugriff erforderlich ist.
        • Die Dokumentation enthält eine Liste der Personen, die berechtigt sind, die verschiedenen Bereiche zu betreten.
      • Protokollierung von Ein- und/oder Ausgängen
        Jeder physische Ein- und Ausgang zur Einrichtung wird protokolliert.
      • Auswertung der von physischen Zutrittskontrollsystemen erfassten Protokolle
        Protokolldateien werden regelmäßig und nach Vorfällen überprüft.
      • Zweckbindung der gespeicherten Zugriffsereignisdaten
        Personenbezogene Daten über den Zutritt und das Verlassen eines Gebäudes durch eine betroffene Person werden nur zum Zwecke der Datenschutzkontrolle verarbeitet.
      • Sicherheitssystem für Lieferung und Postzustellung
        Personen, die Post oder Waren an die Organisation liefern, wird der physische Zugang verwehrt.
      • Geltungsbereich der Gebäudesicherheitspolitik
        Die physische Zugriffs- und Sicherheitsrichtlinie für die Räumlichkeiten befasst sich mit physischen Zugriffsbedrohungen.
      • Physische Sicherheit von Einrichtungsräumen
        Betriebsräume sind mit technischen und/oder sensiblen Infrastruktureinrichtungen (z. B. Kabelräume und Verteilerschränke) vor unbefugtem Zutritt geschützt.
      • Aufbewahrungszeit des physischen Zugriffs
        Protokolle der physischen Zugriffe werden nur so lange gespeichert, wie dies erforderlich ist, um die rechtmäßigen Zwecke zu erfüllen, für die die Informationen in diesen Protokollen erfasst wurden.
      • Prüfung der Protokolldateien der Eingangskontrolle
        Die Protokolldateien der Zugangskontrolle werden zeitnah, konsequent und konform ausgewertet
    • 1.2. Administrative/organisatorische Maßnahmen zur Umsetzung physischer Zugangskontrollen:
      • Verwaltungsrichtlinien für physische Schlüssel
        Implementierung der erforderlichen Schlüsselverwaltungsrichtlinien und -verfahren, a) Schlüssel zu Räumen, die sensible oder kritische Informationen enthalten, b) Schlüsselaustausch, c) Schlüsselverwendung und -freigabe und d) Schlüsselverfolgung/Prüfung ausstehender Schlüssel. Diese Maßnahme sollte auch die Implementierung neuer Schlösser beim Ersatz verlorener Schlüssel berücksichtigen.
      • Besucherprotokoll
        Wir verwalten die Verpflichtungen zu personenbezogenen Daten, die sich aus der Dokumentation eines Besucherprotokolls ergeben, gemäß den einschlägigen gesetzlichen Anforderungen. Wenn das Protokoll personenbezogene Daten enthält, stellen wir sicher, dass diese Informationen dokumentiert werden.
    • 1.3. Technikräume
      • Physische Zugänge zum Serverraum
        Der Zugang zum Serverraum und den Servern der Organisation ist auf autorisiertes Personal beschränkt, verschlossen, kontrolliert und gesichert.
        Die zum Zutritt zu den Serverräumen berechtigten Personen sind eindeutig gekennzeichnet.
      • Zugriffsgeschützte Netzwerkkomponenten
        Alle Netzwerkkomponenten, die sich außerhalb der verschlossenen Serverräume befinden, sind ansonsten gegebenenfalls durch ähnliche physische Kontrollen gesichert.
      • Zugriff durch Besucher/Dritte
        Es ist ein Prozess vorhanden, um den physischen Zugang zu Serverräumen durch Dritte zu verwalten (z. B. wenn dies für die Hardwarewartung erforderlich ist).
      • Regelmäßige Überprüfungen
        Alle anwendbaren Sicherheitsmaßnahmen werden regelmäßig überprüft.
  • Systemzugangskontrolle
    • 2.1. Netzwerkzugriffskontrolle
      • Netzwerkzugriffs- und Nutzungsrichtlinie
        Wir stellen sicher, dass registrierte Benutzer nur Zugriff auf autorisierte Informationen und Dienste haben. Dokumentieren Sie die Technologie und die administrativen Kontrollen, die sicherstellen, dass dieser Zugriff auf die angegebenen oder vorab genehmigten Dienste beschränkt ist.
      • Logischer Zugriff auf Netzwerkdienste
        Wir stellen sicher, dass nur autorisierte Benutzer logischen Zugriff auf das Netzwerk oder seine Teilbereiche haben.
        Zusätzlich und als minimale Kontrolle müssen voreingestellte Passwörter geändert werden, um zu verhindern, dass unbefugte Benutzer Konfigurationseinstellungen von Netzwerkkomponenten ändern.
      • Netzwerkzugriffskontrolle – Kabelgebundene Netzwerke
        Wir verwalten alle Netzwerkzugriffspunkte (entweder durch Entfernen oder anderweitiges Schließen der Netzwerkzugriffspunkte), sodass nur autorisierte Geräte logischen Zugriff auf das Netzwerk und seine Ressourcen haben.
      • Netzwerkzugriffskontrolle – Drahtloses Netzwerk
        Wir sorgen dafür, dass das drahtlose Netzwerk angemessen gesichert ist. Es werden hochmoderne Verschlüsselungsprotokolle verwendet.
      • Penetrations- und Sicherheitstests
        Systematischer, ganzheitlicher Prozess zur Prüfung aller Elemente unserer Umwelt. Diese Tests sollten Penetrationstests, Netzwerkscans, Social Engineering und Phishing-Übungen beinhalten.
    • 2.2. Zugriff durch Dritte
      • Passwortverwaltung
        Verfahren, das zufällige Passwörter für Wartungszugriffe an Dritte erstellt.
      • Fernwartungszugriff
        Wartungsnetzwerkverbindungen werden von bestimmten Mitarbeitern innerhalb des Unternehmens eingerichtet. Diese Verbindungen sind zustandsbehaftet, um den Datenfluss zu verwalten, es sei denn, Risikotoleranzen bestimmen etwas anderes.
      • Softwareänderungen durch Wartungsaktivitäten
        Alle Softwareänderungen werden autorisiert und genehmigt, bevor sie in die Produktionsumgebung freigegeben werden. Der IT-Manager ist verantwortlich für die Genehmigung von Softwareänderungen und den Prozess zur Freigabe/Einführung der Änderungen in das Produktionssystem.
      • Entfernen von Computerhardware
        Die gesamte Hardware bleibt unter der physischen Kontrolle der Organisation. Die Wartung der Hardware erfolgt unter IT-Steuerung des Unternehmens.
  • Benutzerzugriffskontrolle
    • 3.1. Maßnahmen zum Schutz des Datenzugriffs
      • Unbeaufsichtigte Benutzerausrüstung
        Verfahren, die detailliert beschreiben, wann Benutzer ihre Geräte unbeaufsichtigt lassen dürfen und wie Benutzer ihre Geräte während dieser zulässigen Fälle vor unbefugtem Zugriff schützen sollten.
      • Verwendung von Verschlüsselung auf Datei-/Ordnerebene
        Verschlüsselungsprotokolle, um unbefugten logischen Zugriff sowohl auf Datei- als auch auf Ordnerebene zu verhindern.
      • Verwendung von Verschlüsselung auf mobilen Geräten
        Mobilgeräte werden verschlüsselt, um die Informationen auf diesen Geräten zu schützen.
      • Verwendung digitaler Signaturen
        Algorithmen für digitale Signaturen, um die Veränderung (Manipulation) von Dateien und/oder Informationen zu erkennen.
      • Verwendung sicherer Verschlüsselungsalgorithmen
        Um sicherzustellen, dass die verwendeten Verschlüsselungsalgorithmen immer noch gültig, sicher und in der Lage sind, die verschlüsselten Informationen und Dateien zu schützen.
    • 3.2. Wiederverwendung oder sicheres Löschen von Datenträgern/sichere Entsorgung von Dokumenten
      • Sichere Entsorgung von Papierdokumenten, Datenträgern und mit Speichermedien ausgestatteten Geräten
        Richtlinie zum Umgang mit Datenträgern und Geräten mit Speichermedien (und gespeicherten Daten), die nicht mehr verwendet werden (Festplatten, USB-Sticks, aber auch Papier).
      • Aufbewahrungsfrist für Geschäftsunterlagen
        Speichermedien und Dokumente werden nach Ablauf ihrer Aufbewahrungsfristen gelöscht bzw. (sicher) vernichtet.
  • Kontrolle der datenübertragung
    • 4.1. Verpflichtung der Mitarbeiter zum Datenschutz
    • Die Mitarbeiter der Organisation sind auf das Datengeheimnis verpflichtet.
      • Verpflichtung
        Wir stellen sicher, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, Vertraulichkeits- und Geheimhaltungsvereinbarungen unterschreiben, und ausreichend über Datensicherheit und Datenschutz informiert sind.
      • Informationsmaterial
        Wir informieren alle neuen Mitarbeiter über die datenschutzrechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten.
      • Beendigung des Arbeitsverhältnisses
        Wir definieren und dokumentieren die Kündigungsverfahren für Mitarbeiter klar. Pflichten und Verantwortlichkeiten sind klar definiert, um Fragen der Beendigung von Arbeitsverhältnissen aus datenschutzrechtlicher Sicht zu bewältigen.
    • 4.2. Physische Datenübertragung
      • Datenträgeraustauschverfahren
        Wir verfolgen alle Vorgänge der physischen Datenübertragung.
      • Wir gewährleisten die Informationssicherheit während des physischen Transports
      • Übergabe von Datenträgern zu Wartungs-/Störungsanalysezwecken
        Angemessene Maßnahmen zur Übergabe von Geräten oder Medien, die Daten verarbeiten oder speichern, zu Wartungs- oder Störungsanalysezwecken.
      • Bereitstellung von Datenträgern
        Unser Unternehmen gibt Datenträger zur Datenspeicherung/-verarbeitung (inkl. Papier) nur dann frei, wenn der Drittanbieter entsprechende Datenverarbeitungsverträge unterzeichnet.
        Wir stellen sicher, dass Datenträger nur an den richtigen Empfänger geliefert werden.
    • 4.3. Elektronische Datenübertragung
      • Überblick über automatisierte Datenaustauschverfahren
        Wir dokumentieren alle elektronischen Datenübertragungsschnittstellen, die eine automatisierte Übertragung personenbezogener Daten erfordern oder zur Folge haben können.
      • Datenverschlüsselung
        Wir verschlüsseln (mit 256-Bit-Verschlüsselung) personenbezogene Daten vor der Übertragung. Alternativ verwenden wir Transportverschlüsselungsprotokolle (Industriestandard-AES-256-Verschlüsselungsalgorithmus), die eine sichere Kommunikation gewährleisten.
        API- und Anwendungsendpunkte sind nur TLS/SSL und erzielen bei den Tests von SSL Labs die Bewertung „A“.
    • 4.4. Anonymisierung und Pseudonymisierung von Daten
      • Anonymisierung / Pseudonymisierung
        ANONYMISIERUNG: Änderung personenbezogener Daten in einer Weise, dass es entweder unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert, Informationen zu einer einzelnen Person zurückzuverfolgen.
        PSEUDONYMISIERUNG: Verstecken echter Identitäten hinter Decknamen. Die Identität einer Person kann durch eine Liste offengelegt werden, die die Beziehung zwischen echter Identität und Alias zeigt. Beispiel: Öffentliche Bekanntgabe von Prüfungsergebnissen an Universitäten durch Verwendung von Listen mit Matrikelnummern (anstelle der echten Namen der Studierenden).
        Gegebenenfalls anonymisieren oder pseudonymisieren wir die Datensätze vor der Übermittlung personenbezogener Daten.
      • Gewährleistung der Vertraulichkeit von Pseudonymisierungen
        Wir stellen sicher, dass bei der Übermittlung von pseudonymisierten personenbezogenen Daten der Empfänger die Daten nicht wiedererkennen kann.
    • 4.5. Datenspeicher
    • Die über unsere Website gesammelten oder generierten digitalen Daten werden in Clouds und Servern in Deutschland gespeichert, die von diesen Unternehmen kontrolliert und gewartet werden
      • OVHCloud (https://www.ovhcloud.com/en/): die Daten von unserer Website (z. B. Benutzerinhalte) mit Ausnahme von Fotos, Bildern und Abbildungen,
      • «Cloud flare» R2 storage (https://www.cloudflare.com): Fotos, Bilder (inkl. Profilbilder, Veröffentlichungen, Bilder in den Chats), Bilder von unserer Website.
        Diese Unternehmen sind WELLKAUF EURO LTDs Auftragsverarbeiter oder Unterauftragsverarbeiter.

      ie außerhalb der Website gesammelten oder erzeugten digitalen Daten (z. B. über E-Mail, Messenger, Digitalisierung von Dokumenten) werden auf unseren Computern in den britischen Büros und den angeschlossenen Clouds (z. B. OneDrive, Sharepoint) über Windows Active Directory-Konten gespeichert.

      Die physischen Daten (Ausdrucke) werden in den verschlossenen Schränken in den Büros auf Vereinigten Königreich aufbewahrt. Geheime und sensible Daten (Hardcopies) werden in den Tresoren in den britischen Büros aufbewahrt, zu denen nur die befugten Vertreter der Geschäftsleitung Zugang haben.

  • Eingangssteuerung
    • 5.1. Protokolldateien
      • Protokollierungsprozesse
        Wir dokumentieren die Protokollierung von Benutzeraktivitäten und relevanten Anwendungsaktivitäten.
      • Analyse von Protokolldateien
        Wir implementieren und dokumentieren dann alle Software- und Audit-Tools, um Protokolldateien zu überprüfen und zu analysieren.
      • Schutz von Protokollinformationen
        Wir stellen sicher, dass Protokollierungseinrichtungen und Protokolldateien vor Manipulation und unbefugtem Zugriff geschützt sind.
      • Speicherung von Logging-Informationen
        Wir definieren und dokumentieren Aufbewahrungsfristen für Protokolldateien und durch die Protokolldateien erfasste Daten.
      • Zweckbindung von Logging-Informationen
        Die in den Protokolldateien enthaltenen Informationen werden nur eingeschränkt zum Zwecke der Gewährleistung der Datensicherheit und des Datenschutzes verwendet.
  • Vertragskontrolle
    • 6.1. Vereinbarungen und Audittätigkeiten
      • Vertragliche Vereinbarungen mit Datenverarbeitern
        Mit allen Datenverarbeitern schließen wir entsprechende Verträge (mit Datenschutz- und Sicherheitsbestimmungen) ab.
      • Anforderungen zu § 28 Abs. 1 lit. 3 DSGVO.
        • Erläuterung:
          Gemäß § 28 Abs. 3 (a) bis (h) DSGVO sieht der Vertrag vor, dass der Datenverarbeiter:
          (a) verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Datenverarbeiter unterliegt, erforderlich; in einem solchen Fall muss der Datenverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
          (b) stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
        • TOS:
          Soweit erforderlich prüfen wir, ob vertragliche Regelungen gemäß § 28 Abs. 3 (a) bis (h) DSGVO in den Auftragsverarbeitungsverträgen enthalten sind.
    • 6.2. Auswahl von Datenverarbeitern
      • Verfügbare Informationen über den Datenverarbeiter
        Wir überprüfen die Kontaktdaten des Datenverarbeiters sowie dessen Datenschutzrichtlinie, und technische und organisatorische Maßnahmen.
      • Dokumentation des Auswahlverfahrens
        Wir dokumentieren den Prozess zur Auswahl des Datenverarbeiters, die Anforderungen für die Auswahl eines Datenverarbeiters und wie der Datenverarbeiter diese Anforderungen erfüllt.
    • 6.3. Anweisungen/Bestellungen
      • Weisungsberechtigte Personen (verantwortliche Seite)
        Wir erstellen eine Liste aller Mitarbeiter und Vertreter, die befugt sind, die Datenverarbeitungsvorgänge festzulegen.
      • Weisungsempfänger (Datenverarbeiter - Seite)
        Wir erhalten (und überprüfen gegebenenfalls) eine Liste der Mitarbeiter des Datenverarbeiters, die für die Entgegennahme von Datenverarbeitungsanweisungen des für die Datenverarbeitung Verantwortlichen verantwortlich sind.
      • Dokumentierte Anweisungen
        Wir dokumentieren alle Anweisungen zum Datenschutz und zur Datenverarbeitung.
  • Verfügbarkeitskontrolle

    • Die Verfügbarkeitskontrolle minimiert das Risiko einer ungewollten Löschung von Daten oder eines ungewollten "Verlustes" von Daten. Eine effektive Verfügbarkeitskontrolle stellt sicher, dass personenbezogene Daten, die verfügbar sein sollen, auch tatsächlich verfügbar sind.

    Die Verfügbarkeitskontrolle hat an Bedeutung gewonnen, da die Unternehmen dazu neigen, ihre Datenverarbeitungsprozesse an Dritte auszulagern (z. B. über Cloud-Dienste).

    • 7.1. Analyse der Risiken und Schwachstellen

      • Die Analyse der Risiken und Schwachstellen hilft dem Unternehmen, ein Sicherheitskonzept zu erstellen, um bekannte Schwachstellen zu beseitigen und bekannte Risiken zu minimieren.

      • Wurde eine Risikoanalyse (und Schwachstellenanalyse) durchgeführt?
        Wir identifizieren und dokumentieren alle potenziellen Risiken, die die betriebliche Verfügbarkeit der IT der Organisation beeinträchtigen könnten. Wir identifizieren und dokumentieren die in der Risikoanalyse ermittelten Schwachstellenanalysis.
      • Entsprechende Beseitigung von Schwachstellen
        Wir definieren und dokumentieren einen Plan zur Beseitigung der bei der Risikoanalyse festgestellten Risiken und Schwachstellen.
    • 7.2. Die Planung

      • Hat der für die Verarbeitung Verantwortliche bei der Planung Maßnahmen zur Verfügbarkeitskontrolle berücksichtigt?

      • Technische Infrastruktur
        Wir sorgen für eine ausreichende Infrastruktur (z.B. Kommunikationsleitungen, Stromleitungen, etc.).
      • Trennung der Stromkreise
        Wir setzen IT-Systeme, Klimaanlagen und andere stromverbrauchende Systeme nach Möglichkeit in getrennten Stromkreisen ein.
      • Verteilung von Netzkomponenten
        Wir setzen Netzwerkkomponenten in verschiedenen, geschützten Bereichen ein, um Risiken und Ausfälle zu minimieren.
      • Grösse und Ausstattung des Druckerraum(s)
        Wir organisieren Flächen/Räume, die ausreichend groß sind, um Drucker und Geräte unterzubringen.
        Wir organisieren ausreichende Geschäftsressourcen, um die Geschäftskontinuität zu gewährleisten.
    • 7.3. Technische Qualität und Ausstattung IT-Bereich
      • Grösse und Lage der IT-Räume
        Wir sorgen dafür, dass die Server- und zentralen IT-Räume ausreichend groß sind und sich im Inneren des Gebäudes befinden.
      • Serverraum als separater Brandabschnitt konzipiert
        Soweit möglich, konzipieren wir den Serverraum als einen separaten Brandabschnitt.
      • Wasserleitungen im IT-Bereich
        Wasserleitungen werden aus dem IT-Serverraum entfernt, falls vorhanden.
    • 7.4. USV, und Überspannungsschutz
      • Unterbrechungsfreie Stromversorgung (USV)
        Wir dokumentieren, wie lange jedes USV-gestützte Gerät im Falle eines Stromausfalls mit Strom versorgt wird.
      • Aktive Belüftung bei größeren USV-Anlagen
        Wir stellen sicher, dass der Raum, in dem sich die USV-Anlage befindet, ausreichend belüftet ist.
      • USV-Anlage nach VDE 0100, 0510
        • Erläuterung:
          Die Norm DIN VDE 0100 beschreibt die Anforderungen an den Betrieb von Niederspannungsanlagen. Die VDE 0510 enthält Vorschriften für Batterien und Batterieanlagen, die zum Betrieb von so genannten USVs (unterbrechungsfreie Stromversorgung) und anderen verwendet werden.
        • TOM:
          Wir installieren USV-Geräte nach den vorgegebenen Anforderungen.
      • Überwachung der USV-Ausgangsspannung(en)
        Wir überwachen die USV-Ausgangsspannung.
      • Interner Überspannungsschutz USV-Anlage
        Wir überprüfen, ob die USV-Anlage mit einem internen Überspannungsschutzmechanismus ausgestattet ist.
      • Überpannungsschutzgeräte
        Wir setzen Überspannungsschutzgeräte (oder andere Überspannungsmechanismen) ein, um zu verhindern, dass Überspannungen in der Stromversorgung die IT-Ausrüstung beschädigen.
    • 7.5. Katastrophenschutz und IT-Notfallkonzept
      • Prüfung von Katastrophenmöglichkeiten
        Wir bewerten alle möglichen Katastrophenmöglichkeiten (wie Streik, Personalausfall, Sachschäden, Brand, Explosion, Erdbeben, Überschwemmung usw.).
      • Alternative Räumlichkeitsverfügbarkeit
        • Erläuterung:
          Wir stellen die Geschäftskontinuität sicher, indem wir Ausweichräume bereithalten.
      • Vorhandensein eines Backup-Rechenzentrums
        Wir stellen sicher und überprüfen regelmäßig, dass Backup-Ressourcen im Rechenzentrum verfügbar sind.
      • Sichtbarkeit der Telefonnummern von Hilfsorganisationen
        Wir hängen Telefonnummern und Notrufnummern aus, damit alle Mitarbeiter im Notfall die Rettungsorganisationen informieren können.
      • IT-Neustart-Planung
        Wir dokumentieren das "Re-Boot"/"Re-Start"-Verfahren für die IT.
      • Veröffentlichung Notfallkonzept
        Wir kommunizieren die Notfall- und Wiederanlaufverfahren, und Verantwortlichkeiten an alle relevanten Parteien.
    • 7.6. Sicherungskonzept (Richtlinie)

      • Daten müssen vor Verlust geschützt werden und bei Verlust schnell wiederhergestellt werden können.

      • Dokumentation der Anforderungen
        Wir haben das Backup-Konzept (einschließlich aller möglichen Szenarien, Benennung des benötigten Platzes für die Backups). Wir definieren Rollen und Verantwortlichkeiten aller Mitarbeiter, die für die Backups zuständig sind.
      • Schutz vor Diebstahl oder Zerstörung
        Wir schützen Sicherungsmedien vor Beschädigung oder Diebstahl.
      • Prüfung der Funktionsfähigkeit
        Wir testen regelmäßig Backups auf Integrität und Wiederherstellung.
    • 7.7. Archivierung von Geschäftsunterlagen
      • Vorhandensein eines extern gelegenen Katastrophenarchivs
        Wir gewährleisten ein Sicherheitsarchiv (Katastrophenarchiv) in einem anderen Brandabschnitt.
      • Planung des Archivraums
        Wir planen die Einrichtung eines Archivraums; berücksichtigen alle notwendigen Materialien und Daten, die archiviert werden müssen, Vernichtungsprozesse usw.
        Wir stellen sicher, dass der physische Zugang zu den Archivräumen nur für autorisierte Personen möglich ist.
      • Aufbewahrung und Abruf von Datenträgern und Dokumenten
        Wir stellen sicher, dass die Aufbewahrung von und der Zugriff auf archivierte Dokumente nur durch autorisiertes Archivpersonal erfolgt.
      • Feuerfeste Tresore
        Wir lagern die wichtigen Dokumente und Speichermedien in feuer- und diebstahlsicheren Behältnissen.
      • Aufbewahrungsfrist
        Wir vernichten alle Dokumente, Speichermedien und Daten, wenn die geltenden Datenschutzbestimmungen und die Aufbewahrungsfrist abgelaufen sind.
  • Trennungsregel

    • Die Trennungsregel garantiert, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.

    • Sicherheitsmaßnahmen, die sicherstellen, dass in jedem Fall nur autorisierte Benutzer Zugang zu den Daten haben.
    • Module in der Datenbank des Prozessors unterscheiden, welche Daten für welchen Zweck verwendet werden, z. B. Unterscheidung nach Funktionalität.
    • Die Daten werden in der Datenbank in separaten, standardisierten Verzeichnissen gespeichert und nach den von ihnen unterstützten Modulen oder Funktionen organisiert; und
    • Schnittstellen, Stapelverarbeitung und Berichte sind jeweils nur für einen bestimmten Zweck und eine bestimmte Funktion konzipiert, so dass die für einen bestimmten Zweck erstellten Daten separat verarbeitet werden können.

    Kundendaten werden in mandantenfähigen Datenspeichern gespeichert; wir haben keine individuellen Datenspeicher für jeden Kunden. Es gibt jedoch strenge Datenschutzkontrollen in unserem Anwendungscode, die den Datenschutz gewährleisten und verhindern sollen, dass ein Kunde auf die Daten eines anderen Kunden zugreift (d. h. logische Trennung).

  • Garantie

    • Der Verarbeiter verpflichtet sich, die technischen und organisatorischen Maßnahmen aus dieser Anlage 3 (Technische und organisatorische Maßnahmen) zu beachten und umzusetzen.

  • Ort der datenverarbeitung

    • Personenbezogene Daten werden an den folgenden Stellen verarbeitet:

    Land: DEUTSCHLAND (Speicherdatenbank, Server und Cloud), Vereinigten Königreich (IT-Unterstützung), Vereinigten Königreich (Kontrolle der Speicherung und Wartung), Vereinigten Königreich (Kontrolle der Verarbeitung, Software und Wartungsdienste für Marketing und Kommunikation mit dem Kunden)