Technisch-organisatorische Maßnahmen

1) Maßnahmen zur Sicherstellung der Vertraulichkeit

a) Zutrittskontrolle
Ausschließlich autorisierte Personen haben physischen Zugang zu Gebäuden oder Räumen, in denen personenbezogene Daten verarbeitet werden. Die Einrichtungen von Wedding Phone sind durch Schlüsselsysteme und aktives Schlüsselmanagement geschützt. Zugangsrechte werden autorisierten Personen auf individueller Basis gewährt, einschließlich Besuchern, die von autorisiertem Personal begleitet werden müssen. 
 
b) Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
    • Zugangsschutz
    • Umsetzung sicherer Zugangsverfahren, starke Authentisierung
    • Umsetzung einfacher Authentisierung per Username Passwort
    • Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
    • Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
    • Festlegung befugter Personen

c) Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.
    • Umsetzung von Zugriffsbeschränkungen
    • Vergabe minimaler Berechtigungen
    • Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen

    d) Verwendungszweckkontrolle
    Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
      • Datensparsamkeit im Umgang mit personenbezogenen Daten
      • Getrennte Verarbeitung verschiedener Datensätze
      • Regelmäßige Verwendungszweckkontrolle und Löschung

    e) Datenzentren
    Wedding Phone besitzt, mietet oder betreibt keine Wedding Phone Server-Infrastruktur für seine Büros oder Produktionsumgebung. Die Wedding-Phone-Produktionsumgebung ist eine rein cloud-basierte Infrastruktur, die in Rechenzentren untergebracht ist, welche durch Drittanbieter betrieben werden.
     

    2) Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

    Wedding Phone setzt die Pseudonymisierung dort ein, wo sie ohne
    Beeinträchtigung der Effizienz der Prozesse angewendet werden
    kann und/oder wo sie zum Schutz der Daten im Falle einer
    notwendigen Offenlegung von Daten notwendig ist. Wo es im Rahmen
    des Offenlegungsprozesses möglich ist, wird die Anonymisierung
    eingesetzt. 

    3) Maßnahmen zur Herstellung der Integrität

    a) Weitergabekontrolle

    Bei Wedding Phone gibt es Weitergabekontrollen, die sicherstellen, dass die Daten während der Übertragung sicher sind und das Schutzlevel nicht unter einen Mindeststandard fällt, sobald sie den Perimeter verlassen.
    Zu diesen Sicherheitsmaßnahmen gehören die Sicherung von Übertragungen mit SSL/TLS. Wedding Phone unterhält Firewalls und andere Standardsicherheitssysteme, um den Betrieb und die Daten zu schützen.
    Firewall-Systeme sind vorhanden, um nicht autorisierten eingehenden Netzwerkverkehr aus dem Internet zu filtern und jede Art von Netzwerkverbindung zu verweigern, die nicht ausdrücklich autorisiert ist.

     

    b) Eingabekontrolle
    Wedding Phone hat Systeme im Einsatz, die protokollieren, wer auf
    personenbezogene Daten zugegriffen oder diese verändert hat.

     

    4) Datenverfügbarkeit und Belastbarkeit der Systeme

    Wedding Phone erstellt Backups von wichtigen Daten in Übereinstimmung mit gängiger Praxis und stellt sicher, dass diese Backups im Falle eines katastrophalen Ausfalls als zuverlässige Ausfallsicherung fungieren. 

    Es wird sichergestellt, dass in Räumlichkeiten von Wedding Phone die gesetzlichen Bestimmungen zum Brandschutz eingehalten werden.


    5) Datenschutzmanagement

    • Festlegung von Verantwortlichkeiten
    • Umsetzung und Kontrolle geeigneter Prozesse
    • Umsetzung von Schulungsmaßnahmen
    • Verpflichtung auf Vertraulichkeit
    • Regelungen zur internen Aufgabenverteilung
    • Beachtung von Funktionstrennung und –zuordnung
    • Eine Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen wird mindestens jährlich durchgeführt.
    • Datenschutz-Folgenabschätzungen werden dann durchgeführt, wenn es notwendig ist.
    • Es gibt eine formalisierte Richtlinie für die Bearbeitung von Anfragen von Betroffenen unter der DS-GVO.
    • Alle Mitarbeiter werden intern gem. Art. 32 Abs. 4 DS-GVO geschult und sind verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

    6) Auftragskontrolle

    Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

    • Auswahl weiterer Auftragnehmer nach geeigneten Garantien
    • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
    • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit Wedding Phone