Akademie | Maßnahmen der Datensicherheit


Technische und organisatorische Maßnahmen der Datensicherheit TherDog (Stand 01.05.2018)

1. Zugangskontrolle

Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird.

Die organisatorische und konzeptionelle Bearbeitung der einzelnen Kurse findet in meinem Büroraum statt. Der Zugang zu dem Büroraum ist mit hochwertigem Sicherheitsschloss gesichert. Des Nachts ist die Außentür zudem mit massiven Sicherheitsschloss gesichert. Das Fenster im Büroraum verfügt zudem über eine Fenstersicherung.

Es wird kein Reinigungspersonal beschäftigt. Ich reinige selbst.

2. Datenträgerkontrolle

Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können.

Datenträger mit Datensicherungen werden in einem verschlossenen Behältnis im Büroraum gelagert. Der Büroraum wird während der Zeiten meiner Ortsabwesenheit verschlossen. Den einzigen Schlüssel verwahre ich stets bei mir. Als mobile Datenträger werden USB-Sticks und SD-Karten eingesetzt. Die darauf zum Datentransport zwischen den einzelnen Datenerhebungsmodulen (Smartphone, Kamera, etc.) gesicherten Daten und dem Bürorechner bzw. Laptop werden möglichst unmittelbar nach dem Transport, spätestens aber nach Ablauf einer Woche wieder von den mobilen Datenträgern gelöscht. Einzige Ausnahme bilden die reinen Kommunikationsdaten (Name, Telefon- Mobilfunknummern, E-Mail Adressen) die für die Dauer der einzelnen Aufträge/Kurse auf meinem Mobiltelefon gespeichert sind.

3. Datenvernichtung

Nicht mehr benötigte oder defekte Datenträger werden von mir durch massive Hitzeeinwirkung irreparabel zerstört.

Papierakten werden bei Auftrags/Kursende vernichtet, soweit nicht aus rechtlichen/steuerlichen Gründen eine Aufbewahrung zu erfolgen hat, im Übrigen innerhalb von 6 Monaten nach Ablauf der jeweiligen Aufbewahrungsfristen. Die Vernichtung erfolgt durch Verbringung der Akten zu einem örtlichen Entsorger und persönliche Überwachung der maschinellen Vernichtung durch mich.

4. Speicherkontrolle

Die Speicherkontrolle soll verhindern, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen, sowie diese eingeben, verändern und löschen können.

Der Zugangscode für den Büro-Laptop, sowie dem Bürorechner ist ausschließlich mir bekannt. Nur auf diesen Rechnern werden personenbezogene Daten gespeichert. Diese Rechner sind in kein Netzwerk eingebunden und nur dann mit dem Internet verbunden, wenn ich diesen Zugriff ausdrücklich zulasse. Ansonsten wird offline gearbeitet. Die Verbindung mit dem Internet wird vornehmlich zur Aktualisierung der Antivirensoftware (AVIRA Antivir), des Betriebssystems und der Bearbeitungssoftware hergestellt. Je nach Art der Software wird der Internetzugang monatlich, vierteljährlich oder jährlich für die Dauer des notwendigen Datentransfers zugelassen. Während der Internetverbindung wird der Rechner von mir persönlich überwacht.

Eingehende E-Mails werden auf meinem Laptop empfangen, auf einen mobilen Datenträger kopiert und auf den Bürorechner übertragen, anschließend vom mobilen Datenträger, sowie von dem Laptop gelöscht.

Systemadministrator und Passwortgenerator bin ausschließlich ich selber.

5. Benutzerkontrolle

Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können.

Zugangsberechtigte Mitarbeiter sind nicht vorhanden. Ich nutze die EDV Hardware ausschließlich selber.

Zur Erfüllung meiner Buchhaltungspflichten habe ich ein externes Unternehmen mit diesen Tätigkeiten beauftragt. Diesem Unternehmen werden die Daten zur Erfüllung dieses Auftrages übermittelt. Hierzu gehören auch die Daten der jeweiligen Ausgangsrechnungen. Auf Grundlage der, mit diesem Unternehmen abgeschlossenen Datenschutzvereinbarung, ist gewährleistet, dass kein unbefugter Dritter auf diese Daten zugreifen kann. Sowohl organisatorisch, als auch technisch werden alle Voraussetzungen des Datenschutzrechtes von diesem Unternehmen eingehalten.

6. Übertragungs- und Transportkontrolle

Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Personenbezogene Daten können nur übermittelt/ zur Verfügung gestellt werden, indem sie zuvor auf einen mobilen Datenträger kopiert, dann auf das für den E-Mail-Verkehr eingerichtete Laptop übertragen und von dort per E-Mail verschickt werden. Nach jeder Versendung werden die Daten auf dem mobilen Datenträger und auch dem Laptop wieder gelöscht.

Die ausgehenden E-Mails werden verschlüsselt übertragen. Der jeweilige Schlüssel wird dem Empfänger gesondert mitgeteilt.

7. Wiederherstellbarkeit

Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

2 x wöchentlich werden die Daten auf eine interne Festplatte gespiegelt. 1 x monatlich werden die Daten im Wechsel auf 2 externe Festplatten kopiert. Das erfolgreiche Sichern wird anlässlich jeder Sicherung stichpunktartig getestet.

Alle Datensicherungen werden spätestens nach einem Jahr wieder gelöscht.

8. Verfügbarkeitskontrolle

Der Büroraum ist nur von mir zu öffnen. Den einzigen Schlüssel bewahre ich stets bei mir auf. Eine Nutzung des Raumes, sowie der dort befindlichen Einrichtung, erfolgt ausschließlich durch mich selbst.

Die Datensicherungen auf externer Festplatte werden in einem verschlossenen Raum in einem dort befindlichen, verschlossenen Behältnis aufbewahrt.