Sicherheitsangaben – Technisch-organisatorische Maßnahmen
Stand: 27. April 2025
1. Vorbemerkung
Diese Sicherheitsangaben beschreiben die Maßnahmen, die wir ergriffen haben, um den Schutz Ihrer personenbezogenen Daten sicherzustellen. Unsere Vorkehrungen orientieren sich am aktuellen Stand der Technik sowie an den gesetzlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung (DSGVO).
2. Schutzbedarfsfeststellung
Für die Verarbeitung der Daten haben wir folgenden Schutzbedarf definiert:
Verfügbarkeit: Niedrig
Vertraulichkeit: Vertraulich
Integrität: Prüfbar
3. Zutrittskontrolle
Sicherheitsanlagen: Unsere Betriebsräume sind mit einer modernen Alarmanlage gesichert.
Videoüberwachung: Der Eingangsbereich wird videoüberwacht, um unbefugte Zutritte frühzeitig zu erkennen.
Zutrittssystem: Der Zugang zu den Räumlichkeiten erfolgt über elektronische Zutrittssysteme (z. B. Chip- oder Schlüsselkarten).
4. Zugangskontrolle
Benutzerkonten: Jeder Mitarbeiter erhält einen individuellen Account, der mit einem sicheren Passwort geschützt ist.
2-Faktor-Authentifizierung: Für den Zugang zu sensiblen Bereichen wird eine Zwei-Faktor-Authentifizierung eingesetzt, auch im Remote-Zugriff (VPN).
Automatische Sperre: Systeme werden bei Inaktivität (z. B. nach 10 Minuten) automatisch gesperrt, und es gibt eine Begrenzung der Fehlanmeldeversuche.
5. Virenschutz und Sicherheitsupdates
Anti-Viren-Software & ATP: Auf allen Systemen ist eine regelmäßig aktualisierte Antiviren-Software sowie ein System zur Erkennung von Bedrohungen (Advanced Threat Protection) im Einsatz.
Zentrale Sicherheitsgateways: Wir setzen Firewalls sowie Web Application Firewalls ein, um den Datenverkehr zu schützen.
Softwareaktualisierung: Sicherheitsupdates werden unverzüglich installiert, um bekannte Schwachstellen zu schließen.
6. Verschlüsselung
Server und Arbeitsplatz: Alle Datenträger auf unseren Servern und Arbeitsplatzsystemen werden gemäß dem aktuellen Stand der Technik verschlüsselt.
Mobile Geräte: Auch mobile Geräte, Laptops und externe Datenträger unterliegen einer Verschlüsselung, um Datenverluste zu verhindern.
7. Mobile Device Management (MDM)
Geräteverwaltung: Der Zugriff auf dienstliche Daten erfolgt ausschließlich über zentral verwaltete und gesicherte Endgeräte.
Trennung von Privat und Geschäft: Private mobile Geräte werden für geschäftliche Zwecke nicht verwendet.
8. Protokollierung und Berechtigungskonzepte
Zugriffsprotokollierung: Alle relevanten Zugriffe und administrativen Änderungen werden protokolliert, um Sicherheitsvorfälle nachvollziehen zu können.
Minimalprinzip: Berechtigungen werden nach dem Minimalprinzip vergeben, sodass nur notwendige Zugriffe möglich sind.
9. Datensicherung und Notfallmanagement
Backup-Strategie: Regelmäßige Datensicherungen minimieren den möglichen Datenverlust.
Cloud-Backup: Wir setzen auf ein Cloud-Backup in Deutschland, das zusätzliche Sicherheitsstandards erfüllt.
Incident-Response: Ein etabliertes Incident-Response-Management sorgt dafür, dass Sicherheitsvorfälle schnell erkannt und behoben werden.
10. Datenschutzkonforme Maßnahmen
Eingabekontrolle: Alle eingegebenen Daten werden validiert, um Fehler und Manipulationen zu verhindern.
Datenminimierung: Es werden nur die zur Erreichung des jeweiligen Zwecks erforderlichen Daten verarbeitet.
Löschung: Nicht mehr benötigte Daten werden regelmäßig und gemäß den gesetzlichen Vorgaben gelöscht.
Sichere Vernichtung: Nicht benötigte Papierunterlagen und elektronische Datenträger werden sicher vernichtet oder gelöscht.
11. Auftragskontrolle
Vertragliche Regelungen: Bei der Zusammenarbeit mit Sub-Dienstleistern stellen wir vertragisch sicher, dass auch diese alle vereinbarten Sicherheitsmaßnahmen einhalten.
Abschluss
Mit diesen Maßnahmen gewährleisten wir den Schutz Ihrer Daten und tragen der Bedeutung von Datenschutz und IT-Sicherheit in vollem Umfang Rechnung. Für Fragen zu unseren Sicherheitsvorkehrungen stehen wir Ihnen jederzeit zur Verfügung.