1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Folgende Maßnahmen verhindern unbefugten Zutritt zu Datenverarbeitungsanlagen (Server):

• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Zugangsschutz durch Alarmanlagen

1.2 Zugangskontrolle

Folgende Maßnahmen verhindern unbefugte Systembenutzung (Server & Clients):

• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung (2FA)
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

1.3 Zugriffskontrolle

Folgende Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems:

• “Need to know”-Prinzip
• Vergabe minimaler Berechtigungen
• Protokollierung des Zugriffs

1.4 Trennungskontrolle

Folgende Möglichkeiten existieren, um Daten, die zu unterschiedlichen Zwecken erhoben wurden, unabhängig voneinander zu verarbeiten:

• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung

---

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Diese Maßnahmen verhindern unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

• Sichere Datenübertragung zwischen Server und Client (VPN)
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung

2.2 Eingabekontrolle

So lässt sich feststellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

• Protokollierung der Eingabe innerhalb der Software

---

3. Verfügbarkeit, Belastbarkeit, Disaster Recovery

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Redundanz der Kommunikationsverbindungen
• Monitoring
• Ressourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch (Firewall, Antivirus)
• Datensicherungskonzepte und Umsetzung

3.2 Disaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

• Notfallpläne
• Datensicherungskonzepte und Umsetzung

---

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Datenschutz-Management
• Prozess Incident-Response-Management
• Durchführung von technischen Überprüfungen