...
1. Vertraulichkeit (Art. 32 Abs. 1b DS-GVODSGVO)
Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
...
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1a DS-GVODSGVO; Art. 25 Abs. 1 DS-GVODSGVO)
Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
...
2. Integrität (Art. 32 Abs. 1 b DS-GVODSGVO)
Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle
...
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1b DS-GVODSGVO)
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
...
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1d DS-GVODSGVO; Art. 25 Abs. 1 DS-GVODSGVO)
Datenschutz-Management;
- Der vertragsgegenständliche Service wurde bereits im Design auf Datenschutzprinzipen ausgerichtet und ist soweit wie möglich aus Sicht des Endkunden anonym.
- Alle Funktionserweiterungen durchlaufen einen strengen Prozeß zur Implementierung der auch die DSGVO beachtet
- Alle Serverlogdateien werden regelmäßig gesichtet ob und welche Informationen bei Systemfehlern protokolliert werden
...
Incident-Response-Management (Art.33 Abs. 1 DS-GVODSGVO);
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragnehmer unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Art. 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, fügt der Auftragnehmer eine Begründung für die Verzögerung bei.
...
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVODSGVO);
- Alle Services erheben nur die Daten die für den Betrieb der Services notwendig sind.
- Fragen haben keine Voreinstellung und müssen beantwortet werden unabhängig ob sie positiv oder negativ beantwortet werden
...
▪ Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, Nennung des Dienstleisters, Vorabüberzeugungspflicht.
▪ Verpflichtung der Mitarbeiter zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVODSGVO)
▪ Beim Einsatz von Subunternehmern werden schriftliche Vereinbarungen zur Auftragsdatenverarbeitung geschlossen, die eingesetzten Subunternehmer sind dem Auftraggeber abschließend benannt.
...