Startseite

Technische und organisatorische Maßnahmen

Stand: 08.04.2025 

In diesem Dokument werden die technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO, die die byte bei der Verarbeitung personenbezogener Daten anwendet, dokumentiert. 

Management und Organisation 

Allgemeine Organisation 

Technische Maßnahmen 

  • Papierakten werden mit Hilfe eines Schredders vernichtet. 

Organisatorische Maßnahmen 

  • Eine geeignete Organisationsstruktur für Informationssicherheit ist vorhanden. 

  • Es besteht eine Sicherheitsleitlinie und Sicherheitsrichtlinien, die den Beschäftigten bekannt sind. 

  • Die Rollen der einzelnen Beschäftigten im Sicherheitsprozess sind eindeutig festgelegt. 

  • Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Dies umfasst auch die Konzepte und Dokumentationen im Sicherheitsumfeld. 

  • Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt. 

  • Enger und regelmäßiger Austausch zwischen den verantwortlichen Beschäftigten für Datenschutz und IT-Sicherheit. 

  • Es wird ein qualifizierter externer Datenschutzbeauftragter eingesetzt, der durch einen internen Datenschutzkoordinator unterstützt wird. 

  • Die zuständige Datenschutzaufsichtsbehörde (BayLDA) ist bekannt. 

  • Sicherheitsvorkommnisse werden dokumentiert. 

  • Die Unternehmensleitung unterstützt die Zusammenarbeit der für Datenschutz und IT-Sicherheit verantwortlichen Beschäftigten. 

  • Erkenntnisse über digitale Bedrohungen werden im laufenden Betrieb gesammelt und erforderliche Maßnahmen abgeleitet. 

  • Es ist ein Eskalationsprozess für den Fall von Sicherheitsverletzungen etabliert. Insbesondere werden die Meldeverpflichtungen nach Art. 33 und 34 DSGVO eingehalten. 

Auftragskontrolle 

Organisatorische Maßnahmen 

  • Mit allen Dienstleistern, die einen Teilbereich der Verarbeitung personenbezogener Daten auf Weisung übernehmen, werden Auftragsverarbeitungsverträge und Vertraulichkeitsvereinbarungen abgeschlossen. 

  • Mit allen Dienstleistern, die einen Teilbereich der Verarbeitung personenbezogener Daten auf Weisung übernehmen, werden Auftragsverarbeitungsverträge und Vertraulichkeitsvereinbarungen abgeschlossen. 

  • TOMs der Auftragsverarbeiter werden vom Datenschutzbeauftragten auf Vollständigkeit geprüft. 

  • Die Tätigkeiten von externen Dienstleistern werden durch interne Beschäftigte überwacht. 

Entwicklung und Auswahl von Software 

Technische Maßnahmen 

  • Produktiv-, Entwicklungs- und Testsysteme werden voneinander getrennt. 

  • Software wird regelmäßig aktualisiert und etwaige Schwachstellen geschlossen. 

Organisatorische Maßnahmen 

  • Der Zugang zum Source-Code bei der Entwicklung von Software ist beschränkt. Ein entsprechendes individuelles Berechtigungskonzept erfolgt zu Beginn eines jeden Projekts und wird bei personellen Veränderungen aktuell gehalten. 

  • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen. 

  • Ein Berechtigungskonzept in den Test- und Entwicklungsumgebungen ist umgesetzt. 

  • Es werden Sicherheitstests (z. B. Penetrationstests) durchgeführt. 

Physische Sicherheit der Infrastruktur 

Physische Sicherheit beschreibt Maßnahmen zur Verhinderung eines unbefugten Zutrittes, einer Beschädigung oder Beeinträchtigung von Informationswerten, personenbezogenen Daten und informationsverarbeitenden Einrichtungen. 

Technische Maßnahmen 

  • Die Unternehmensräumlichkeiten sind vom öffentlichen Bereich durch abschließbare Türen abgegrenzt. 

  • Es wird ein Zutrittskontrollsystem (Türöffnung durch elektronischen Schlüssel [Chip]) eingesetzt. Die Schlüsselverwaltung ist dokumentiert. 

Organisatorische Maßnahmen 

  • Es besteht ein umfassendes Gesamtkonzept zur Gebäudeabsicherung im Allgemeinen. 

  • Das Gebäude und die Infrastruktur werden regelmäßig geprüft und gewartet. 

  • Es besteht ein Konzept zu Zutrittsregelungen und zur physischen Zugangskontrolle, einschließlich des Umgangs mit Besuchern und externen Dienstleistern. Klassischer Publikumsverkehr (unangemeldete Besuche) finden nicht statt. 

  • Es besteht ein Brandschutzkonzept einschließlich der Verwendung von Feuermeldeanlagen. 

  • Die Räumlichkeiten werden außerhalb der Geschäftszeiten durch einen Sicherheitsdienst bewacht. 

Netzwerkstruktur 

Netzwerkstruktur beschreibt den Aufbau und Zusammenschluss von informationsverarbeitenden Einrichtungen im Unternehmen, sowie die Maßnahmen zum Schutz von Informationen in Netzwerken. 

Netzwerkarchitektur und Netzwerkfernzugriff 

Technische Maßnahmen 

  • Am zentralen Internetübergang wird eine Firewall eingesetzt. 

  • Eingehende E-Mails werden mittels Anti-Malwareschutz geprüft. 

  • Unternehmenseigene Fernwartungssoftware wird aktuell gehalten (Sicherheitsupdates). 

Business Continuity 

Business Continuity beschreibt die organisatorischen, technischen und personellen Maßnahmen, die zur Absicherung und Fortführung des Kerngeschäfts nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls notwendig sind. 

Wiederherstellbarkeit und Notfallvorsorge 

Technische Maßnahmen 

  • Es werden regelmäßig Datensicherungen der zentralen Dateiablage durch die byte durchgeführt. 

  • Datensicherungen werden verschlüsselt gespeichert. 

  • Das Backup-System der zentralen Dateiablage ist durch Schadcode nicht verschlüsselbar, da es nach Abschluss des Backup-Prozesses vom Internet getrennt wird (Air-Gap-Verfahren). 

  • Der Zugriff auf die genutzten Systeme im Falle eines Stromausfalls seitens des Verantwortlichen ist durch die Verwendung von Akkubetriebenen Endgeräten sichergestellt. 

Organisatorische Maßnahmen 

  • Die von der byte eingesetzten Cloud-Systeme werden durch die jeweiligen Anbieter auf Basis der abgeschlossenen Verträge gesichert (insb. TOMs und SLA). Die Durchführung der Sicherung wird regelmäßig durch die interne IT-Abteilung überprüft. 

  • Verantwortliche Personen werden definiert und sensibilisiert. 

Endgeräte 

Endgeräte umfassen die für die tägliche Arbeit genutzten Clients und Datenträger. Bei der Handhabung dieser Endgeräte soll die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Informationen und personenbezogenen Daten verhindert werden. 

Clientstruktur und -management 

Technische Maßnahmen 

  • Geräte werden automatisch nach einer festgelegten Zeitspanne der Inaktivität gesperrt. 

  • Bildschirme werden bei Bedarf, insbesondere bei Nutzung im öffentlichen Raum, mit Blickschutzfolien gegen unbefugte Einsichtnahme geschützt. 

  • Es besteht ein Anti-Viren-Schutz mit regelmäßigen Signatur-Updates. 

  • Sicherheitsupdates des Betriebssystems und installierter Software werden automatisch eingespielt, soweit möglich. 

  • Die Fernwartung zu IT-Administrationszwecken erfolgt ausschließlich über verschlüsselte Verbindungen nach Authentifizierung durch den Administrator und Freigabe durch den Nutzer. 

  • Es wird ein Mobile-Device-Management-System zur Verwaltung mobiler Endgeräte verwendet. 

  • Auf mobile Endgeräte kann ausschließlich nach Authentifizierung per Kennwort, PIN oder biometrischer Prüfung zugegriffen werden. 

Organisatorische Maßnahmen 

  • Es ist eine zentrale Geräteverwaltung vorhanden. 

  • Es existiert eine den Beschäftigten bekannte Regelung zur Privatnutzung von mobilen Endgeräten. Diese schließt das Verhalten beim Verlust mobiler Endgeräte mit ein. 

  • Personenbezogene Daten werden in Cloud-Systemen gespeichert, in denen Backups vorgenommen werden. 

  • Es werden nur Betriebssysteme und Software eingesetzt, für die Sicherheitsupdates zeitnah zur Verfügung gestellt werden. 

  • Anwendungen werden in der Regel ohne Administratorrechte ausgeführt. 

  • Es wird ein Bestandsverzeichnis der verwendeten Endgeräte geführt. 

  • Schadcode-Alarmmeldungen werden durch die IT-Administration zentral erfasst. 

  • Geräte sind beim Entfernen vom Arbeitsplatz manuell zu sperren. 

  • Es existiert ein dokumentierter Prozess zur Ausgabe von unternehmenseigenen Gegenständen an Beschäftigten. 

  • Sämtliche unternehmenseigenen Gegenstände mit Bezug zu personenbezogenen Daten und solchen Daten, die dem Informationsschutz im Übrigen unterliegen, werden von ausscheidenden Personen zurückgefordert. 

Datenträgermanagement 

Technische Maßnahmen 

  • In IT-Systeme, einschließlich mobiler Endgeräte, verbaute Datenträger werden verschlüsselt. 

  • Es besteht die Möglichkeit zur Fernlöschung von Daten auf mobilen Endgeräten. 

  • Endgeräte verfügen über Zugriffssperren. 

  • Mobile Endgeräte verfügen über komplexe Zugriffssperren. 

Organisatorische Maßnahmen 

  • Bereits verwendete Datenträger werden nur neu an Beschäftigte ausgegeben, wenn sie bereinigt wurden, also der Inhalt unwiederbringlich gelöscht wurde. 

  • Private Endgeräte der Beschäftigten dürfen nicht für geschäftliche Zwecke verwendet werden. 

Webseiten 

Wir betreiben Webseiten, die mit folgenden Maßnahmen abgesichert werden.  

Technische Maßnahmen 

  • Wir verwenden das HTTPS Protokoll nach dem Stand der Technik. 

  • Datenbanken auf Webservern werden mittels Firewalls abgesichert. 

Organisatorische Maßnahmen 

  • Nur qualifizierte Personen dürfen Administrationstätigkeiten auf den Servern durchführen. 

  • Es existiert ein Prozess zur Information über Sicherheitsupdates und deren zeitnahes Einspielen. 

Datentransfers 

Dieses Verfahren bezieht sich auf Datenübermittlungen innerhalb und außerhalb des Unternehmens. Dies ist insbesondere im Zusammenhang mit der Übermittlung personenbezogener Daten relevant. 

Technische Maßnahmen 

  • Der Zugriff auf Cloud-Speicher und Cloud-Anwendungen findet HTTPS verschlüsselt statt. 

  • Bei geschlossenen Nutzerkreisen werden Client-Zertifikate zum Nachweis der Authentizität eingesetzt. 

Personal 

Personal umfasst die Sensibilisierung der Beschäftigten zu Informationssicherheits- und Datenschutzrelevanten Themen, sowie die Berechtigungen und Maßnahmen zur Authentifizierung der Beschäftigten beim Zugriff auf unternehmensintern IT-Systeme und Dienste. 

Mitarbeiter-Awareness und Sensibilisierung 

Organisatorische Maßnahmen 

  • Beschäftigte werden regelmäßig zu Informationssicherheit und Datenschutz geschult und sensibilisiert. Dies umfasst sowohl eine Schulung zu Beginn des Arbeitsverhältnisses als auch jährliche Auffrischungsschulungen und Informationen zu aktuellen Themen. 

  • Die Schulungen umfassen unter anderem 

  • Informationen zu Cyberangriffen mittels Social-Engineerings, 

  • Gefahren der E-Mail-Kommunikation (Ransomware, gefälschte E-Mails) 

  • Beschäftigte sind verpflichtet, personenbezogene Daten und solche Daten, die dem Informationsschutz im Übrigen unterliegen, beim Verlassen des Arbeitsplatzes vor unbefugtem Zugriff zu schützen (sog. Clean-Desk-Policy). 

Berechtigungsmanagement 

Technische Maßnahmen 

  • Ein zentraler Verzeichnisdienst für die Benutzerverwaltung wird eingesetzt. 

Organisatorische Maßnahmen 

  • Die Vergabe sowie der Entzug von Zugangs- und Zugriffsberechtigungen für IT-Systeme werden dokumentiert. 

  • Administratorkennungen werden ausschließlich an Nutzer vergeben, die administrative Tätigkeiten ausführen. Diese Nutzer haben für nicht-administrative Tätigkeiten eine normale Nutzerkennung. 

  • Nur geschulte bzw. kompetente Personen dürfen Administrationstätigkeiten auf den Servern (Cloud) durchführen. 

  • Es existiert ein geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z. B. neuer Beschäftigter), Änderung (z. B. Namenswechsel nach Heirat) und Löschung (z. B. Ausscheiden Beschäftigter). 

  • Es wird sichergestellt, dass sämtliche Zugangsberechtigungen und Zugriffsberechtigungen einer ausscheidenden Person zeitnah gesperrt und ggf. gelöscht werden. 

Authentifizierungsverfahren 

Technische Maßnahmen 

  • Es wird eine Multi-Faktor-Authentifizierung (zum Teil mit biometrischen Merkmalen) und ein Single-Sign-On Verfahren eingesetzt. 

  • Die Sicherstellung der Umsetzung der Passwortrichtlinie erfolgt durch eine entsprechende Systemkonfiguration und wird technisch erzwungen. 

  • Passwörter werden nur verschlüsselt gespeichert. 

  • Benutzerkonten werden nach einer definierten Anzahl von Falschanmeldungen gesperrt. 

  • Bei wiederholt falscher Passworteingabe muss ein zusätzlicher Code eingegeben werden. 

Organisatorische Maßnahmen 

  • Beschäftigte werden in den Umgang mit Authentifizierungsverfahren und -mechanismen eingewiesen. 

  • Es existiert ein Prozess zur zentralen Verwaltung von Benutzeridentitäten. Insbesondere hinsichtlich der Anlage, Änderung und Löschung von Beschäftigten. 

  • Benutzerkonten der IT-Systeme, auf denen personenbezogene Daten verarbeitet werden, werden durch Passwörter geschützt. 

  • Nutzer erhalten eindeutige individuelle Kennungen. Gruppenkennungen werden vermieden. 

  • Die Anforderungen an die Festlegung von starken Passwörtern sind per Richtlinie geregelt. Es gibt eine Vorgabe für die Passwortzusammensetzung (Komplexität, Passwortlänge). 

  • Passwörter werden nach einem Sicherheitsvorfall (auch bei Verdacht) gesperrt und müssen neu vergeben werden. 

  • Initialpasswörter müssen bei der ersten Anmeldung geändert werden. 

  • Passwörter dürfen nicht weitergegeben oder unverschlüsselt bzw. analog (z. B. auf Zetteln) aufgezeichnet werden. 

  • Soweit vorhanden, werden lokale Administrator-Konten durch ein komplexes Passwort geschützt.