Datenschutzerklärung
Eigentlich wollen wir Ihre Daten überhaupt nicht haben!
Zweck der Verarbeitung:
Wir verarbeiten die Daten unserer Klienten , Kunden und Interessenten und anderer Auftraggeber oder Vertragspartner (einheitlich bezeichnet als „Klienten“) entsprechend Art. 6 Abs. 1 lit. b) DSGVO, um unserer gerichtlichen, vertraglichen oder vorvertraglichen Leistungen zu erbringen. Die hierbei verarbeiteten Daten, die Art, der Umfang und der Zweck und die Erforderlichkeit ihrer Verarbeitung, bestimmen sich nach dem zugrundeliegenden Vertragsverhältnis. Zu den verarbeiteten Daten gehören grundsätzlich Bestands- und Stammdaten der Klienten (z.B., Name, Adresse, etc.), als auch die Kontaktdaten (z.B., E-Mailadresse, Telefon, etc.), die Vertragsdaten (z.B., in Anspruch genommene Leistungen, erworbene Produkte, Kosten, Namen von Kontaktpersonen) und Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie, etc.).
In Rahmen unserer Leistungen, können wir ferner besondere Kategorien von Daten gem. Art. 9 Abs. 1 DSGVO, hier insbesondere Angaben zur Gesundheit der Klienten und Kunden, ggf. mit Bezug zu deren Sexualleben oder der sexuellen Orientierung, verarbeiten. Hierzu holen wir, sofern erforderlich, gem. Art. 6 Abs. 1 lit. a., Art. 7, Art. 9 Abs. 2 lit. a. DSGVO eine ausdrückliche Einwilligung der Klienten ein, soweit diese Berechtigung NICHT über die Aufagbenkreise der gerichtlichen Bestellung besteht und verarbeiten die besonderen Kategorien von Daten ansonsten zu Zwecken der Gesundheitsvorsorge auf Grundlage des Art. 9 Abs. 2 lit h. DSGVO, § 22 Abs. 1 Nr. 1 b. BDSG.
Sofern für die Vertragserfüllung oder gesetzlich erforderlich, offenbaren oder übermitteln wir die Daten der Klienten im Rahmen der Kommunikation mit medizinischen Fachkräften, an der Vertragserfüllung erforderlicherweise oder typischerweise beteiligten Dritten, wie z.B. Labore, Abrechnungsstellen oder vergleichbare Dienstleister, sofern dies der Erbringung unserer Leistungen gem. Art. 6 Abs. 1 lit b. DSGVO dient, gesetzlich gem. Art. 6 Abs. 1 lit c. DSGVO vorgeschrieben ist, unseren Interessen oder denen der Klienten an einer effizienten und kostengünstigen Gesundheitsversorgung und finanzieller Sorge als berechtigtes Interesse gem. Art. 6 Abs. 1 lit f. DSGVO dient oder gem. Art. 6 Abs. 1 lit d. DSGVO notwendig ist. um lebenswichtige Interessen der Klienten oder einer anderen natürlichen Person zu schützen oder im Rahmen einer Einwilligung gem. Art. 6 Abs. 1 lit. a., Art. 7 DSGVO.
Empfänger der Daten
Wir geben die Daten an Dritte weiter soweit dies zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder im Rahmen der Bearbeitung und Umsetzung unseres berechtigten Interesses benötigen. Eine Weitergabe Ihrer Daten an externe Stellen erfolgt ausschließlich
im Zusammenhang mit der Vertragsabwicklung der Betreuungssoftware Butler 21/ Firma prosozial oder zum Zwecke der Erfüllung gesetzlicher Vorgaben, nach denen wir zur Auskunft, Meldung oder Weitergabe von Daten verpflichtet sind oder die Datenweitergabe im öffentlichen Interesse liegt (vgl. Ziffer 2.4) soweit externe Dienstleistungsunternehmen Daten in unserem Auftrag als Auftragsverarbeiter oder Funktionsübernehmer verarbeiten aufgrund unseres berechtigten Interesses oder des berechtigten Interesses des Dritten für im Rahmen genannten Zwecke (z. B. an Behörden, Auskunfteien, Inkasso, Rechtsanwälte, Gerichte, Gutachter) wenn Sie uns eine Einwilligung zur Übermittlung an Dritte gegeben haben.
Wir werden Ihre Daten darüber hinaus nicht an Dritte weitergeben. Soweit wir Dienstleister im Rahmen einer Auftragsverarbeitung beauftragen, unterliegen Ihre Daten dort den gleichen Sicherheitsstandards wie bei uns. In den übrigen Fällen dürfen die Empfänger die Daten nur für die Zwecke nutzen, für die sie ihnen übermittelt wurden.
Dauer der Speicherung Ihrer Daten
Wir verarbeiten und speichern Ihre Daten für die Dauer unserer Geschäftsbeziehung. Das schließt auch die Anbahnung eines Vertrages (vorvertragliches Rechtsverhältnis) und die Abwicklung eines Vertrages mit ein.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich u. a. aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zehn Jahre über das Ende der Geschäftsbeziehung bzw. des vorvertraglichen Rechtsverhältnisses hinaus.
Ferner können spezielle gesetzliche Vorschriften eine längere Aufbewahrungsdauer erfordern, wie z.B. die Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) beträgt die regelmäßige Verjährungsfrist zwar drei Jahre; es können aber auch Verjährungsfristen von bis zu 30 Jahren anwendbar sein.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten und Rechte nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist zur Erfüllung aus einem überwiegenden berechtigten Interesse erforderlich. Ein solches überwiegendes berechtigtes Interesse liegt z.B. auch dann vor, wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
Löschung der Daten
Die Löschung der Daten erfolgt, wenn die Daten zur Erfüllung vertraglicher oder gesetzlicher Fürsorgepflichten sowie Umgang mit etwaigen Gewährleistungs- und vergleichbaren Pflichten nicht mehr erforderlich ist, wobei die Erforderlichkeit der Aufbewahrung der Daten alle drei Jahre überprüft wird; im Übrigen gelten die gesetzlichen Aufbewahrungspflichten.
Bei der rechtlichen Betreuung werden die Daten mindestens 5 Jahre gespeichert, in der Regle richte ich mich aber an den Aufbewahrungsfristen der Ärzte , hier in der Regel 10 Jahre. Röntgenbilder werden nicht gespeichert. Bei lufenden Fällen gibt es keine Löschung und die Daten werden über die gesamte Betreuungszeit gespeichert. Nach 10 Jahren erfolgt aber eine Bewertung der Notwendigkeit der weiteren Speicherung.
Ihre Datenschutzrechte !!
Unter bestimmten Voraussetzungen können Sie uns gegenüber Ihre Datenschutzrechte geltend machen
So haben Sie das Recht, von uns Auskunft über Ihre bei uns gespeicherten Daten nach den Regeln von Art. 15 DSGVO zu erhalten.Auf Ihren Antrag hin werden wir die über Sie gespeicherten Daten nach Art. 16 DSGVO berichtigen, wenn diese unzutreffend oder fehlerhaft sind. Wenn Sie es wünschen, werden wir Ihre Daten nach den Grundsätzen von Art. 17 DSGVO löschen, sofern andere gesetzliche Regelungen (z.B. gesetzliche Aufbewahrungspflichten oder die Einschränkungen nach § 35 BDSG) oder ein überwiegendes Interesse unsererseits (z. B. zur Verteidigung unserer Rechte und Ansprüche) dem nicht entgegenstehen.Unter Berücksichtigung der Voraussetzungen des Art. 18 DSGVO können Sie von uns verlangen, die Verarbeitung Ihrer Daten einzuschränken.Ferner können Sie gegen die Verarbeitung Ihrer Daten Widerspruch nach Art. 21 DSGVO einlegen, aufgrund dessen wir die Verarbeitung Ihrer Daten beenden müssen. Dieses Widerspruchsrecht gilt allerdings nur bei Vorliegen ganz besonderer Umstände Ihrer persönlichen Situation, wobei Rechte unseres Hauses Ihrem Widerspruchsrecht ggf. entgegenstehen können. Auch haben Sie das Recht, Ihre Daten unter den Voraussetzungen von Art. 20 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder sie einem Dritten zu übermitteln. Darüber hinaus haben Sie das Recht, eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit uns gegenüber mit Wirkung für die Zukunft zu widerrufen (vgl. Ziffer 2.3). Ferner steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu (Art. 77 DSGVO). Wir empfehlen allerdings, eine Beschwerde zunächst immer an uns zu richten.
Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
1. Wer ist der Verantwortlich? (Art. 30 Abs. 1 S. 2 lit. a DSGVO)
Frau Marion Dörr
1.1 Wer sind die gesetzlichen Vertreter ?
Berufsbetreuerin Marion Dörr
1.2 Wer ist der Datenschutzbeauftragte?
Nicht erforderlich, da Betreuungsbüro mit weniger als 10 Mitarbeitern, die ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind
2. Zu welchen Zwecken verarbeitet das Betreuungsbüro
personenbezogene Daten? (Art. 30 Abs. 1 S. 2, lit. b DSGVO)
2.1 Die Verantwortlichen verarbeitet im Rahmen ihrer beruflichen Tätigkeiten
· als Berufsbetreuer gemäß § 1896 BGB,
· als Verfahrenspfleger gemäß § 276 FamFG,
personenbezogene Daten in folgenden Systemen:
· Fachsoftware zur Verwaltung von elektronischen Akten
butler21 der Firma prosozial, Koblenz
· Aktenordner/Handakten
· Onlinebanking über Schutzsoftware bitdfender
· E-Mail-Programm integriert in butler21
· Telefon-/Faxsoftware über unitymedia business und butler21
· Office-Programme
· Elektronische Ordner oder Festplatten
2.2 Die Verantwortlichen beschäftigen Mitarbeiter und verarbeitet Beschäftigtendaten
· Marion Dörr hat aktuell keine MitarbeiterInnen beschäftigt
Sollten zukünftig MitarbeiterInnen beschäftigt werden, dann auf Grundlage des § 26 BDSG neu
3. Welche Kategorien personenbezogener Daten werden verarbeitet?
(Art. 30 Abs. 1 S 2 lit. c DSGVO)
3.1 Zu welchen Kategorien von betroffenen Personen werden Daten verarbeitet?
Verwandtschaft, Nachbarschaft, soziales Netzwerk,
Ansprechpartner von Institutionen; Gerichte, Betreuungsbehörden, Sozialleistungsträger, Sozial- und Gesundheitseinrichtungen Versicherungen, Inkassounternehmen, Ärzte,
Wohnungsgesellschaften, Vermieter, Banken, etc.
3.1.1 Welche Datenarten und -kategorien werden erhoben im Rahmen der
Betreuungstätigkeit
Name, Vorname, Kontaktdaten, biografische Daten, Daten bezüglich Sozialleistungen
nach den Sozialgesetzbüchern (SGB I, II, III, IV, V, VI, VII, VIII, IX, X, XI, XII), Daten zu
Privatversicherungen (Haftpflicht-, Hausrat-, Gebäude-, Unfall-, Lebensversicherungen
etc.), Kontodaten, Daten zum Vermögen und Einkommen, Daten zu Beziehungen,
Verwandtschaft, Nachbarn, Freunde, Ärzte, Daten zu Unterbringung in Heimen,
Krankenhäuser, Einrichtungen, Gesundheitsdaten zu Erkrankungen, Dokumentation von
Besuchen.
Die Datenarten und -kategorien sind abhängig von dem beauftragten Aufgabenkreis und
der Erforderlichkeit, das Wohl und den Willen des Betreuten zu ermitteln und zu
dokumentieren (§1901 Satz 1 BGB)
3.1.2 Welche Datenarten und -kategorien werden erhoben (für Beschäftigte)
Name, Vorname, Kontaktdaten, Qualifikationsdaten, Daten zur Sozialversicherung,
Steuernummer, Arbeitszeiten, Krank- und Urlaubstage, Lohndaten.
4. Welchen Kategorien von Empfängern werden Daten offengelegt?
4.1 Dem Gericht die erforderlichen Daten zur Erfüllung der rechtlichen Aufgaben,
Vermögensverzeichnis, Jahresbericht; Anträge auf Grund eines Einwilligungsvorbehaltes;
Anträge bei betreuungsrechtlich genehmigungspflichtigen Angelegenheiten
4.2 den Sozialleistungsträgern die erforderlichen Daten zur Erlangung der Sozialleistung,
Institutionen die erforderlichen Daten zur Erfüllung des Rechtsgeschäftes,
Gesundheitseinrichtungen, -diensten die erforderlichen Daten für Behandlung
4.3 Empfängern von Daten zur Durchführung des Beschäftigungsverhältnisses, d.h.
Steuerberater, Berufsgenossenschaft, Krankenversicherung, Rentenversicherung,
Finanzamt
5. Gibt es Empfänger in einem Drittland oder eine internationale Organisation?
Hinsichtlich der räumlichen Nähe kommen am Ehesten Frankreich und die Schweiz im
Rahmen der Zusammenarbeit zur Übermittlung von Daten auch an Drittländer in Frage.
Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.
Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von
personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der
Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die
Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere
personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die
Erlaubnistatbestände des Art. 9 DSGVO.
Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten
Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen
sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche,
denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes
Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz
von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum
Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren
Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer,
Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der
Empfänger dem Privacy Shield angehört). In diese ist die Datenübermittlung daher
ausdrücklich gestattet. Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies
eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter
auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger
ausreichend geschützt werden.
6. Gibt es für verschiedene Datenkategorien Fristen zur Löschung bzw. Fristen zur Aufbewahrung?
a. Daten der Betreuten
Zur Wahrung der Betroffenenrechte und der Nachweispflicht gilt allgemein eine
Aufbewahrungsfrist solange die Bestellung zum Betreuer besteht, die Originaldaten werden
digitalisiert und an den Betreuten übergeben.
Es gelten unterschiedliche Aufbewahrungsfristen für unterschiedliche Dokumentenarten.
Es gilt eine allgemeine Verjährungsfrist von drei Jahren.
Es gelten Aufbewahrungsfristen von 6 Jahren oder 10 Jahren für Unterlagen, die unter §147 AO
und §257 HGB fallen.
b. Daten der Beschäftigten
Bis zum Verjährungseintritt aller absehbaren geltend zu machenden Ansprüche (§ 195 BGB),
also drei Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das
Beschäftigungsverhältnis beendet wurde.
7. Beschreiben Sie allgemein die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO:
a. Wie wird die Vertraulichkeit, die Integrität, die Belastbarkeit sichergestellt?
siehe Anlage 1 und 2 technische und organisatorische Maßnahmen
b. Wie oft werden die o.g. Sicherheitsmaßnahmen überprüft?
Einmal jährlich.
c. Beschreiben Sie das Risiko, das den Schutz der Person gefährdet (ggfs. erforderlich für die Verarbeitung der Kundendaten im Rechenzentrum, da diese besonders sensible
Informationen enthalten, sowie auch für Personaldaten)
Eine Risikofolgeabschätzung ist nicht erforderlich. Es werden zwar Gesundheitsdaten erhoben,
aber nicht ausschließlich und nicht überwiegend.
d. Beschreiben Sie die Maßnahmen/Schritte zur Aufklärung, Schulung, Sensibilisierung der
natürlichen Personen, welche die personenbezogenen Daten verarbeiten
Aufklärung jeden Mitarbeiters bei Einstellung,
Abschluss einer Datenschutzerklärung jeden Mitarbeiters, verwaltet in der Personalakte.
regelmäßige Datenschutzschulung
1. Anlage:
technische und organisatorische Maßnahmen des Betreuungsbüros
in der Karl-Hergt-Str. 11 in 77855 Achern
1.1 Zutrittskontrolle
Das Bereuungsbüro befindet sich im Südost Flügel des Rathauses der Stadt Achern und wurde von der Stadt Achern langfristig angemietet.
Im Mietvertrag wurde der Reinigungs- und Hausmeisterdienst des städtischen Gebäudes herausgenommen, damit der Zutritt Dritter in den Büroraum ausgeschlossen ist.
Der äußere Zutritt zu den städtischen Gebäuden ist mit einem WILKA Chipschließsystem gesichert.
1.2.Datensicherung von Papierakten
Im Büroraum im 2. Obergeschoss des Südostflügels werden Papierakten in abschließbaren Aktenschränken verwahrt
2. Anlage:
technische und organisatorische Maßnahmen/ Maßnahmen der prosozial GmbH butler21 Betreuungssoftware
2.1 Zutrittskontrolle
Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, oder Aktenordnern, in denen personenbezogene Daten verarbeitet (gesammelt, geordnet oder genutzt) werden, verwehrt wird:
• Alarmanlage
• Chipkarten-/Transponder-Schließsystem
• Abschließbare Serverschränke, Serverräume
• Sorgfältige Auswahl Reinigungspersonal
• Sicherheitsschlösser
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Das Gebäude ist durch ein Schließsystem gesichert. Nur autorisierte Personen haben durch eine Chipkarte Zutritt. Besucher und Lieferanten müssen sich per Sprechanlage anmelden und werden persönlich empfangen und begleitet. Außerhalb der ordentlichen Geschäftszeiten ist der Zutritt zum Gebäude und dem Serverraum videoüberwacht.
Der Zutritt zu den Technikräumen und dem Serverraum ist ebenfalls durch ein Chipsystem gesichert. Zutritt haben lediglich autorisierte Personen der IT-Abteilung Intern. Die Schlüsselgewalt hat der IT-Leiter inne. Die Zutritte zum Raum werden protokolliert.
2.2 Zugangskontrolle
Maßnahmen, um die Nutzung von Datenverarbeitungssystemen durch Unbefugte zu verhindern:
• Festlegung von Berechtigungen in den IT-Systemen
• Differenzierte Berechtigungen für Lesen, Löschen und Ändern
• Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
• Verwaltung der Rechte durch Systemadministratoren
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
• Protokollierung von Zugriffen auf Anwendungen
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Die Daten der Kundendatenbanken sind technisch und logisch getrennt von den Daten der prosozial GmbH.
Der Zugang zu den Datenbanksystemen ist technisch durch Einrichtung von Benutzernamen und Kennworten gewährleistet.
Der Zugang zu den Systemen ist nur auf autorisierte Mitarbeiter begrenzt.
Der Zugang von außen ist durch entsprechende Firewall-Systeme geschützt.
Die Passwörter der Kundendatenbanken werden in einem eigenem Passwortverfahren mit Passwortrichtlinie erstellt und aufbewahrt. Die Kundenbetreuer erhalten keine Klarsicht auf die Passwörter
2.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können.
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Der Zugriff auf die Kundensysteme ist zweistufig durch eine Anmeldung am
Rechenzentrum (1) und eine Anmeldung in der Anwendung (2) .
Der Zugriff ist jeweils personalisiert.
Der Zugriff besteht aus Benutzername und Kennwort mit einer Passwortrichtlinie.
Alle Mitarbeiter der prosozial GmbH haben nur für Ihre Zwecke eingerichtete Benutzerberechtigungen, die von den verantwortlichen Abteilungsleitern oder Geschäftsführern festgelegt und freigegeben werden müssen.
Der Zugriff auf das Rechenzentrum unterliegt ausschließlich autorisierten Mitarbeitern.
Zugriff auf die Datenbank des Auftraggebers haben ausschließlich:
Autorisierte Mitarbeiter der IT-Abteilung zum Zwecke der Wartung und Fehlerbehebung.
Zugriff auf die Anwendung:
Die Kundenberater haben mit personalisierten Zugangsdaten Zugriff für vom Auftraggeber autorisierte Dienstleistungen (z.B. Second Level Support, Postservice, Fehlerbehebungen, Konfiguration).
2.4 Weitergabekontrolle/Transportkontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft bzw. festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
• Einrichtung von Standleitungen beziehungsweise Verschlüsselungs-Technologien
• Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
• Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung
beziehungsweise vereinbarter Löschfristen
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Die Transportwege sind grundsätzlich verschlüsselt (https, RDP).
Die Zutritte und Zugänge an den Anwendungen/Applikationen auf dem Rechenzentrum werden nachvollziehbar mitgeloggt.
Zu Testzwecken bei Fehlerbehebungsaufträgen werden die Daten ausschließlich in den EDV-Systemen von prosozial zurückgesichert, die wiederum dem oben beschriebenen Zutrittskontroll-, Zugangskontroll- und Zugriffskontrollsystem unterliegen.
Eine Weitergabe auf andere Datenträger wie USB-Stick; CD-Rom, etc. ist verboten, es sei denn der Auftraggeber verlangt die Ausgabe per Datenträger oder per verschlüsseltem Datentransport an eine von Ihm benannte autorisierte Person.
2.5 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:
• Festlegung von Berechtigungen in den IT-Systemen
• Differenzierte Berechtigungen für Lesen, Löschen und Ändern
• Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
• Verwaltung der Rechte durch Systemadministratoren
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
• Protokollierung von Zugriffen auf Anwendungen
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Änderungen an Daten bzw. Zugriffe auf Daten werden mitgeloggt (Transparenzprinzip, Änderungslogs, Dokumenten-Versionierung)
Die Logdateien sind gesichert und nicht durch den Anwender löschbar.
2.6 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Der Gegenstand des Auftrages wird in einer Vereinbarung festgehalten.
Der Auftrag erstreckt sich auf das Verarbeiten der Daten und hier insbesondere auf das Speichern und das Zur-Verfügung-Stellen über eine verschlüsselte Verbindung.
Insbesondere das Löschen der Daten erfolgt ausschließlich auf Weisung des Auftraggebers. Und soweit es technisch möglich ist bzw. der Aufwand im Verhältnis zum angestrebten Schutzzweck steht.
Die Löschung der Daten nach Herausgabe an den Kunden erfolgt entsprechend der im Vertrag vereinbarten Löschfrist.
2.7 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte in Serverräumen
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
- Erstellen eines Notfallplans
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Daten werden systemisch in der Anwendung gesichert.
Ein Ausfall der Techniksysteme wird durch ein zentrales USV geschützt.
Es liegt ein Disaster Recovery-Plan vor.
Der Eintritt eines Brandes, der Ausfall der Raumklimatisierung, der Ausfall von Strom werden durch entsprechende Systeme überwacht.
Die Verfügbarkeit der Daten wird durch Maßnahmen entsprechend der aktuell vorhandenen technischen Möglichkeiten sichergestellt (siehe Systembeschreibung).
2.8 Trennungskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten nur Ihrem Zweck entsprechend von autorisierten Nutzern verarbeitet werden
Maßnahmen im Rechenzentrum Koblenz für butler 21 Services
Die Kundendatenbanken im Rechenzentrum sind physikalisch voneinander getrennte Datenbanken.
Die Vergabe von Rechten kann sehr detailliert innerhalb der Anwendung geregelt werden.
Veränderungen werden mit Datum und Nutzerangaben mitprotokolliert.
2.9 AllgemeineSchutzmaßnahmen:
Wiederherstellbarkeit, Zuverlässigkeit Datenintegrität
- Unabhängig voneinader funktionierende Systeme
- Automatisierte Meldung von Fehlfunktionen
- Anti-Viren-Schutz
Allgemeine Schutzmaßnahmen im Rechenzentrum Koblenz für butler 21 Services
Eingehende E-Mails werden durch Spamfilter beim Provider gefiltert, es werden nur E-Mails aus dem Posteingang des Providers abgeholt. (Anm: Die prosozial GmbH empfiehlt die Verwendung von Office 365, da Microsoft einen Vereinbarung zur Auftragsverarbeitung mittels von der EU anerkannten Standardklauseln anbietet.)
Beim Abholen der Mails über eine verschlüsselte Verbindung werden die E-Mails in Textfiles umgewandelt und auf Viren geprüft.
Es gibt einen Virenschutzverantwortlichen. Viren werden eliminiert.
Verlust durch Löschen ist technisch nicht möglich.
Verlust durch Ausfall wird durch ein Sicherheitskonzept bzw. Disaster Recovery-Konzept verhindert. Es gibt einen Stand der Daten, der außerhalb des Rechenzentrums sicher aufbewahrt wird.