Technisch-organisatorische Maßnahmen im Sinne des Art. 32 DSGVO

Die Unternehmen der Schneider-Gruppe in Deutschland: die Baier & Schneider GmbH & Co. KG, die Baier & Schneider Logistik und Dienstleistungs GmbH und die BRUNNEN & EILERS Promotion Service GmbH treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die erforderliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer zu gewährleisten.

Das erforderliche Schutzniveau wird durch diese Maßnahmen eingehalten:

1.    Vertraulichkeit

• Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.: Magnet- oder Chipkarten, Schlüssel, Alarmanlagen, Videoanlagen
• Keine unbefugte Systembenutzung, z. B.: (sichere) Kennwörter, automatische Sperrmechanismen, Verschlüsselung von Datenträgern
• Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z. B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
• Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B. Mandantenfähigkeit, Sandboxing
• Pseudonymisierung (die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.), z. B. werden keine Echtdaten in Testsystemen verwendet.
   

2.    Integrität

• Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z. B.: Verschlüsselung, Virtual Private Networks (VPN)
• Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z. B.: Protokollierung

3.    Verfügbarkeit und Belastbarkeit / Physischer oder technischer Zwischenfall

• Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z. B.: unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall und Meldewege
• Rasche Wiederherstellbarkeit
• Es bestehen Datensicherungs-Konzepte (online/offline; on-site/off-site)
• Für wesentliche Geschäftsprozesse existieren entsprechende Notfallkonzepte und Business-Impact-Analysen
• Es werden regelmäßig Notfalltests durchgeführt
• Es besteht ein Konzept zum Umgang mit Datenpannen
   

4.    Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management
• Datenschutzfreundliche Voreinstellungen
• Auftragskontrolle (Keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.)