Da die Weidev GmbH personenbezogene Daten selbst oder im Auftrag verarbeitet, nutzt oder erhebt, veranlasst sie folgende technische und organisatorische Maßnahmen, um einen datenschutzkonformen Verarbeitungsvorgang sicherzustellen.

Wir unterscheiden zwischen eigenen Maßnahmen, die wir für unseren Standort getroffen haben, und Maßnahmen von uns in Anspruch genommenen Partnern / Rechenzentren, welche wir im Anschluss verlinken.

I) Eigene Maßnahmen am Standort Eggenfelden

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Logische Mandantentrennung (softwareseitig)
  • Berechtigungskonzept
  • Aufbewahrung auf einem getrennten und abgesicherten IT-System
  • Trennung von Produktiv- und Testsystem

Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:

  • Verschlüsselung

Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:

  • Automatisches Zugangskontrollsystem
  • Biometrisches Schließsystem
  • Schlüsselregelung
  • Zutrittskonzept / Besucherregelung

Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen (AD)
  • Passwortvergabe und -richtlinien
  • Authentifikation via Benutzername / Passwort
  • Einsatz eines VPN bei der Übertragung von Daten
  • Verschlüsselung der Datensicherungssysteme
  • Einsatz von Anti-Viren Software
  • Einsatz einer Hardware Firewall

Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und
dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Berechtigungskonzept
  • Verwaltung der Rechte durch unseren Systemadministrator
  • Überprüfung und Aktualisierung der Zugriffsrechts, insbesondere beim Ausscheiden von Mitarbeitern
  • Anzahl der Administratoren auf das nötigste Maß reduziert
  • Passwortrichtlinie inkl. Passwortlänge und Passwortwechsel
  • Protokollierung von Zugriffen auf das Hauptsystem (AD)
  • physische Löschung der Datenträger vor Wiederverwendung
  • Einsatz von Aktenvernichtern mit DSGVO-Zertifizierung
  • Verschlüsselung von Datenträgern

Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Internes Revisionssystem (Git) mit Zuganskontrolle auf Mitarbeiterbasis

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die von Unterauftragnehmern / Subunternehmern des Auftragnehmers verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und des Auftragnehmers verarbeitet werden können:

  • Auswahl des Subunternehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • vorherige Prüfung der und Dokumentation der beim Subunternehmer getroffenen Sicherheitsmaßnahmen
  • schriftliche Weisungen an den Subunterehmer (z.B. durch
    Auftragsverarbeitungsvertrag)
  • Verpflichtung der Mitarbeiter des Subunternehmers auf das
    Datengeheimnis
  • Sicherstellung der Vernichtung von Daten von den Systemen des Subunternehmers nach Beendigung des Auftrags
  • laufende Überprüfung des Subunternehmers und seiner Tätigkeiten

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:

  • Einsatz von VPN-Tunneln
  • Verschlüsselung physischer Datenträger bei Transport
  • Verschlüsselung des E-Mail-Verkehrs (Server- und Clientseitig)

Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und
personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Unterbrechungsfreie Stromversorgung (USV)
  • Feuer- und Rauchmeldeanlagen
  • Erstellen eines Backup- & Recoverykonzepts
  • Testen von Datenwiederherstellung
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

Es liegen schriftlich vor:

  • Interne Verhaltensregeln
  • Datenschutzverträge mit sämtlichen Mitarbeitern
  • Datensicherheitskonzept
  • Wiederanlaufkonzept

II) Maßnahmen von eingebundenen Partnerfirmen

Die folgenden technischen und organisatorischen Maßnahmen wurden von unseren Auftragsverarbeitern getroffen:

PartnerbetriebLink zur Liste mit Maßnahmen
Hetzner Online GmbHhttps://www.hetzner.com/AV/TOM.pdf

Stand: Rev. 1.04 vom 05.09.2022