Anlagen zum AVV der G&S IT Solutions GmbH
Auf dieser Seite finden Sie Anlagen zu einem Auftragsverarbeitungsvertrag (AVV) mit der G&S IT Solutions GmbH als Auftragnehmer.
Anlage 1: Technisch-organisatorische Maßnahmen (TOMs)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, sichergestellt durch u.a. - Alarmanlage
- Lichtschranken / Bewegungsmelder
- Schlüsselregelung
- Manuelles Schließsystem
- Zugangskontrolle
Keine unbefugte Systembenutzung, sichergestellt durch u.a. - Zuordnung von Benutzerrechten
- Passwortvergabe
- Authentifikation mit Benutzername / Passwort
- Sperren von externen Schnittstellen
- Schlüsselregelung
- Einsatz von Intrusion-Detection-Systemen
- Verschlüsselung von Smartphone-Inhalten
- Einsatz von Anti-Viren-Software
- Erstellen von Benutzerprofilen
- Einsatz von VPN-Technologie
- Verschlüsselung von Datenträgern in Laptops / Notebooks
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
- Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, sichergestellt durch u.a. - Ein umfangreiches Berechtigungskonzept
- Anzahl der Administratoren auf ein Minimum reduziert
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Physische Löschung von Datenträgern vor Wiederverwendung
- Einsatz von Aktenvernichtern und entsprechenden Dienstleistern
- Verschlüsselung von Datenträgern
- Verwaltung der Rechte durch Systemadministratoren
- Passwortrichtlinien
- Protokollierung der Vernichtung von Hardware
- Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, sichergestellt durch u.a. - Ein umfangreiches Berechtigungskonzept
- Festlegung von Datenbankrechten
- Logische Mandantentrennung
- Trennung von Produktiv- und Testsystem
- Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, sichergestellt durch u.a. - Einrichtung von Standleitungen bzw. VPN-Tunneln
- Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, sichergestellt durch u.a. - Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, sichergestellt durch u.a. - Unterbrechungsfreie Stromversorgung (USV)
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
- Testen von Datenwiederherstellung
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Schutzsteckdosenleisten in Serverräumen
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Datenschutz-Management;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Unterauftragnehmer
Die G&S IT Solutions GmbH nimmt die Leistungen der nachfolgenden Unterauftragnehmer in Anspruch. Mit diesen Unterauftragnehmern besteht eine vertragliche Vereinbarung nach Maßgabe des Ar. 28 Abs. 2-4 DS-GVO.
Firma Unterauftragnehmer | Anschrift/Land | Leistung |
STRATO AG | Pascalstraße 10, 10587 Berlin | Hosting |
1&1 IONOS SE | Eigendorfer Straße 57, 56410 Montabaur | Hosting |
Mittwald CM Service GmbH & Co. Kg | Königsberger Straße 4-6, 32339 Espelkamp | Hosting |
Hetzner Online GmbH | Industriestraße 25, 91710 Gunzenhausen | Hosting |
HEIKO BICK Aktenvernichtung GmbH & Co. KG | Hakenbusch 7, 49078 Osnabrück | Aktenvernichtung |
Microsoft Corporation | One Microsoft Way, Redmond, WA 98052, USA | Groupware |
Fragen an den Datenschutzbeauftragten
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person in unserer Organisation:
Stephan Beume
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Datenschutzbeauftragter (TÜV)
DSO Datenschutz Osnabrück GmbH
Brückenstr. 3
49090 Osnabrück
Telefon (0541) 60081631
Telefax (0541) 60081626