Sicherheitskonzept

Vertraulichkeit gem. Art. 32 §1 lit. DSGVO einfügen

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Maßnahmen	Organisatorische Maßnahmen
Manuelles Schließsystem	Schlüsselregelung / Liste
Elektronisches Zugangssystem mit Protokollierung	Besucher in Begleitung durch Mitarbeiter
Sicherheitsschlösser	Besucherregistrierung und Karte
Türen mit Knauf Außenseite

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Technische Maßnahmen	Organisatorische Maßnahmen
Login mit Benutzername + Passwort	Verwalten von Benutzerberechtigungen
Login mit biometrischen Daten	Erstellen von Benutzerprofilen
Anti-Viren-Software Server	Richtlinie „Sicheres Passwort“
Anti-Viren-Software Clients	Richtlinie „Löschen / Vernichten“
Firewall	Allg. Richtlinie Datenschutz und / oder Sicherheit
Verschlüsselung von Datenträgern	Mobile Device Policy
Verschlüsselung Smartphones	Anleitung „Manuelle Desktopsperre“
Automatische Desktopsperre
Verschlüsselung von Notebooks / Tablets

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen	Organisatorische Maßnahmen
Physische Löschung von Datenträgern	Einsatz Berechtigungskonzepte
Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten	Minimale Anzahl an Administratoren
Verschlüsselung von Datenträgern	Verwaltung Benutzerrechte durch Administratoren
Verschlüsselung von Smartphones

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen	Organisatorische Maßnahmen
Trennung von Produktiv- und Testumgebung	Steuerung über Berechtigungs¬konzept
Physikalische Trennung (Systeme / Datenbanken / Datenträger)	Festlegung von Datenbankrechten
Multi-Client-Fähigkeit relevanter Anwendungen

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

Technische Maßnahmen	Organisatorische Maßnahmen
Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt)	Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren /pseudonymisieren

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen	Organisatorische Maßnahmen
Einsatz von VPN	Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
Protokollierung der Zugriffe und Abrufe
Sichere Transportbehälter
Bereitstellung über verschlüsselte Verbindungen wie sftp, https

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen	Organisatorische Maßnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten	Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Manuelle oder automatisierte Kontrolle der Protokolle	Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
	Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
	Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
	Klare Zuständigkeiten für Löschungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Maßnahmen	Organisatorische Maßnahmen
	Backup & Recovery-Konzept
	Kontrolle des Sicherungsvorgangs
	Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Technische Maßnahmen	Organisatorische Maßnahmen
	Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
	Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
	Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Technische Maßnahmen	Organisatorische Maßnahmen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

SCRIBOS 360 – Systemarchitektur

Redundante Web- und Datenbankserver
Firewalls und sichere SSL-Verbindung
Lastverteilung, Sicherung und Zugriffsbeschränkung
Nur verschlüsselte ID-Codes gespeichert, Entschlüsselung nicht möglich
Intrusion Prevention & Detection System, Notstromaggregate
24/7 Überwachung & Betriebszeit / Funktionskontrolle
Schneller und zuverlässiger Hochgeschwindigkeits-Internet-Hub
Zertifizierte Hochsicherheit: ISO 27001-Zertifizierung für Daten- und IT-Sicherheit

Name	Purpose	Lifetime	Type	Provider
CookieConsent	Cookie, der die Entscheidung des Nutzers über das Cookie-Banner speichert.	1 Jahr	HTML	Website-Besitzer
fe_typo_user	Cookie, der vom Typo3 Web Content System benötigt wird. Das Cookie wird während der Sitzung gespeichert. Es wird benötigt, um bestimmte Website-Einstellungen während des Websitebesuchs (Session) zu speichern.	Sitzung	HTTP	Website-Besitzer

Name	Purpose	Lifetime	Type	Provider
_gcl_au	Used by Google AdSense to experiment with advertisement efficiency.	3 Monate	HTML	Google
AMP_TOKEN	Contains a token that can be used to retrieve a Client ID from AMP Client ID service. Other possible values indicate opt-out, request in progress or an error retrieving a Client ID from AMP Client ID service.	1 Jahr	HTML	Google
_dc_gtm_--property-id--	Used by DoubleClick (Google Tag Manager) to help identify the visitors by either age, gender or interests.	2 Jahre	HTML	Google
_ga	Used to distinguish users.	2 Jahre	HTML	Google
_gat	Used to throttle request rate.	1 Tag	HTML	Google
_gid	Used to distinguish users.	1 Tag	HTML	Google
_ga_--container-id--	Persists session state.	2 Jahre	HTML	Google
_gac_--property-id--	Contains campaign related information for the user. If you have linked your Google Analytics and Google Ads accounts, Google Ads website conversion tags will read this cookie unless you opt-out.	3 Monate	HTML	Google

Name	Purpose	Lifetime	Type	Provider
__cf_bm	Dieses Cookie wird verwendet, um zu bestätigen, dass der Besucher von einem bekannten Computer stammt. So können Sicherheitsschranken überwunden und Ladezeiten beschleunigt werden.	30 Minuten	Security	Hubspot
__hssc	Dieses Cookie speichert die Domain, die Anzahl Besucher und den Zeitpunkt des Beginns der Besuche. Es bestimmt so, ob die Anzahl der Sessions erhöht werden muss.	31 Minuten	Analytics	Hubspot
__hssrc	Dieses Cookie mißt, ob der Besucher seinen Browser neu gestartet hat und bestimmt somit ob ein neuer Website-Besuch vorliegt.	31 Minuten	Konfiguration	Hubspot
__hstc	Dieses Cookie speichert die Domain, das Benutzertoken, den Zeitpunkt des ersten, letzten und aktuellen Besuchs, sowie die Anzahl der Sessions auf der Seite.	6 Monate	Analytics	Hubspot
hubspotutk	Dieses Cookie verwendet HubSpot um die Besucher der Website zu verfolgen bzw. zu tracken.	6 Monate	Analytics	Hubspot
__gcl_au	Dieses Cookie wird von Google AdSense verwendet um die Effizienz der Werbung zu erhöhen.	3 Monate	Marketing	Google Ads
test_cookie	Dieses Cookie wird gesetzt, um festzustellen, ob der Browser des Website-Besuchers Cookies unterstützt.	15 Minuten	Konfiguration	Doubleclick
AnalyticsSyncHistory	Das verwendete Cookie weist dem Seitenbesucher eine ID zu und ermittelt statistische Daten zu den Website-Besuchen des Seitenbesuchers. Dies dient der Individualisierung der Werbung, die dem Nutzer angezeigt wird.	30 Tage	Marketing	LinkedIn
UserMatchHistory	Dieses Cookie weist dem Seitenbesucher eine ID zu. Unter dieser ID werden Daten zum Besucherverhalten auf mehreren Webseiten gesammelt, um dem Seitenbesucher individuelle Werbung anzuzeigen.	30 Tage	Marketing	LinkedIn
bcookie		24 Monate	Marketing	LinkedIn
bscookie	Das verwendete Cookie weist dem Seitenbesucher eine ID zu und ermittelt statistische Daten zu den Website-Besuchen des Seitenbesuchers. Dies dient der Individualisierung der Werbung, die dem Nutzer angezeigt wird.	24 Monate	missing translation: type.Marketing	LinkedIn
lang	Speichert die vom Benutzer ausgewählte Sprachversion einer Webseite	Sitzung	Konfiguration	LinkedIn
li_gc	Mit diesem Cookie wird die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.	24 Monate	Cookie-Banner	LinkedIn
lidc	Dieses Cookie weist dem Seitenbesucher eine ID zu. Unter dieser ID werden Daten zum Besucherverhalten auf mehreren Webseiten gesammelt, um dem Seitenbesucher individuelle Werbung anzuzeigen.	24 Stunden	Marketing	LinkedIn