Dr. Bauer Consulting erstellt Datenbanken, welche die Massgaben Datenschutzgrundverordnung (DS-GVO) erfüllen können

Dr. Bauer Consulting erstellt Datenbanken, welche die Massgaben der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DS-GVO) erfüllen können.

Hierfür hat Dr. Bauer Consulting die folgenden Normen in Bezug auf die geforderten Technischen und Organisatorischen Massnahmen berücksichtigt, die im Rahmen eines allfälligen Audits geprüft werden könnten:

1)  Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

Schutz vor physischem Zutritt

Forderung der Norm: wie wird sichergestellt, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verar­beitet oder genutzt werden, verwehrt wird?

Antwort: in der Regel wird die Datenbank-Lösung im Rechenzentrum des Kunden auf einem eigenen Server gehostet. Der Kunde hat somit die volle Kontrolle über seine Daten.

Alle Datenbanken, die darin gespeicherten Daten und deren Backups können mit einer 2-Wege-AES-256-Verschlüsselung vor physischem Zugriff geschützt werden. Es werden alle Informationen verschlüsselt, die in einer Datei gespeichert sind (auch als Encryption at Rest bezeichnet).

Die Datenübermittlung zwischen FileMaker Server und FileMaker Clients kann mittels Secure-Socket-Layer- (SSL-) Verschlüsselung abgesichert werden.

Zugangskontrolle

Forderung der Norm: wie wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können?

Antwort: Authentifizierung mithilfe von Konten: FileMaker verschlüsselt die in Lösungen gespeicherten Anmeldedaten, so dass diese Anmeldedaten ge­schützt sind. Benutzer können sich zudem per Active Directory, Open Directory oder OAuth-Identitätsdienstleister authentifizieren.

Zugriffskontrolle

Forderung der Norm: wie wird gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können?

Antwort: Die Zugriffskontrolle erfolgt über Berechtigungen: Nach den Kundenbe­dür­fnissen eingerichtete Berechtigungen regeln die Ausgestaltung der Zu­griffsebenen der jeweiligen Lösung. Sie können so viele Berechtigungen defi­nieren, wie benötigt werden (Erstellen/Lesen/Ändern/Löschen). Falls gefor­dert, kann sogar das Kopieren von Daten gesperrt werden (Copy&Paste Situation).

Trennungskontrolle

Forderung der Norm: wie wird sichergestellt, dass Daten, die unter das DS-GVO fallen, von sonstigen Datenbeständen getrennt werden?

Antwort: FileMaker ist eine eigene Plattform. Die Trennung von den dort gespei­cherten Informationen zu anderen Information ist somit stets gegeben. Im Regelfall verarbeitet Dr. Bauer Consulting keine personenbezogenen Daten seiner Endkunden in der eigenen EDV Umgebung. In Situationen, wo Support geleistet wird, greift Dr. Bauer Consulting mit Zustimmung und Kontrolle des Kunden auf die Datenbank beim Kunden zu. Eine Vertraulichkeitsvereinbarung wird vorab unterzeichnet.

Pseudonymisierung

Forderung der Norm: die Verarbeitung personenbezogener Daten hat in der Weise zu erfolgen, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer betroffenen Person zugeordnet werden können, voraus­gesetzt, die zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maß­nahmen.

Antwort: auf Kundenwunsch können die Adressdaten von den restlichen Bereichen der Datenbank getrennt werden. Eine Verknüpfung zwischen den personenbe­zo­gen­en Daten und den restlichen Ebenen der Datenbank erfolgt dann über eine eindeutige, zufällig generierte, 39 stellige Zahl.

2)  Integrität (Art. 32 Abs. 1 lit. b) DS-GVO)

Weitergabekontrolle

Forderung der Norm: Wie wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und fest­gestellt werden kann, an welche Stellen eine Übermittlung personen­bezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist?

Antwort: die Daten werde SSL verschlüsselt zwischen dem Server und den Nutzern übertragen. Der Zugriff auf die Adressen durch die Nutzer wird über die Zugriffskontrolle gesteuert. Der Export von Adressdatensätzen auf dritte Daten­träger ist gesperrt, kann jedoch auf ausdrücklichen Wunsch für gewisse Nutzerkreise individuell freigegeben werden.

Eingabekontrolle

Forderung der Norm: Wie wird gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenver­arbeitungssysteme eingegeben, verändert oder entfernt worden sind?

Antwort: Unsere Lösungen können mit einem Logbuch-System aufgeliefert werden, das festhält, welcher Nutzer sich wann und für wie lange in die Datenbank ein­ge­loggt hat. Auf Datensatzebene kann ein Logbuchsystem festhalten, welcher Nutzer wann welchen Datensatz auf Feldebene manipuliert hat (erstellen, ändern, löschen).

3)  Betriebskontinuität und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

Betriebskontinuitätsmanagement

Forderung der Norm: Wie wird gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind?

Antwort: Die Daten werden in regelmässigen Abständen durch den FileMaker Server gesichert. Die Frequenz und Aufbewahrungsdauer kann durch den Kunden festgelegt werden. Die Wiederherstellung von Daten auf Grundlage eines Backups ist rasch möglich.

4)  Auftragskontrolle (Art. 28 Abs. 3 lit. a), lit b), 32 Abs. 4 DS-GVO)

Auftragskontrolle

Forderung der Norm: Externe Dienstleister – hier Dr. Bauer Consulting- stellen sicher, dass allen von ihr eingesetzten Beschäftigten vor Aufnahme ihrer Tätigkeit alle für sie relevanten Datenschutzvorgaben bekannt sind.

Antwort: Dr. Bauer Consulting verfügt über einen eigenen, externen Datenschutzbeauftragten, der in regelmässigen Abständen die Einhaltung der Massgaben des DS-GVO auditiert.

5)  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO, Art. 25 Abs. 1 DS-GVO)

Auditierung

Forderung der Norm: Beschreibung der internen/externen Audits und Managementbewertung

Antwort: Der Datenschutzbeauftragte auditiert jährlich Dr. Bauer Consulting: Ziel hierbei ist, die internen Abläufe gegen die Norm des DS-GVO zu prüfen, zu dokumentieren und kontinuierlich zu verbessern.

Das Audit umfasst die folgenden 3 Bereiche

I Fragen zum Prozessumfeld
II Fragen zur Strategie zur Erreichung der Normerfüllung
III Fragen zur Ermittlung der Normkonformität.

 Im Fall einer Normabweichung schlägt der Datenschutzbeauftragte geeignete Audit Folgemassnahmen vor, welche sicherstellen, dass die Massgaben des DS-GVO eingehalten werden und überprüft die erfolgreiche Umsetzung.

 6)  Verfahren die sicher stellen und den Nachweis erbringen, dass die Verarbeitung gemäss der Verordnung erfolgt (Art. 24 Abs. 1 DS-GVO)

Verantwortung des Verantwortlichen

Forderung der Norm: welche geeignete Verfahren gibt es, die sicherstellen, dass der für die Verarbeitung Verantwortliche seine Verantwortung erfüllen kann.

Antwort: Unsere Lösungen beinhalten geeignete technische Massnahmen, die sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbei­tung gemäß dieser Verordnung erfolgt.

7)  Verfahren die sicher stellen, dass nicht mehr benötigte personenbezogene Daten gelöscht werden (Art. 17 Abs. 1 DS-GVO)

Recht auf Löschung („Recht auf Vergessenwerden“)

Forderung der Norm: Geeignete Verfahren, die sicherstellen, dass Daten gelöscht werden, sofern der Zweck entfällt , für die sie erhoben oder auf sonstige Weise verarbeitet wurden.

Antwort: Unsere Lösungen beinhalten geeignete technische Massnahmen, die sicherzustellen und den Nachweis dafür erbringen, dass die persönlichen Angaben zu einer Person gemäß dieser Verordnung gelöscht wurden.

8)  Verfahren die sicher stellen, dass die Rechtmässigkeit der Verarbeitung gewähr­leistet ist (Art. 6 und Art. 7 DS-GVO)

Einwilligung der betroffenen Person

Forderung der Norm: Wie wird sichergestellt, dass die Verarbeitung rechtmäßig ist, da die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Wie werden diese Einwilligungen schriftlich dokumentiert.

Antwort: Unsere Lösungen beinhalten geeignete technische Massnahmen, die sicherzustellen und den Nachweis dafür erbringen, dass die betroffenen Personen darüber in Kenntnis gesetzt werden könne, dass ihre persönlichen Angaben verarbeitet werden. Des weiteren ist es möglich, die Zustimmung automatisiert einzuholen und zu dokumentieren

Quellen:

1)    https://fmhelp.filemaker.com/docs/16/de/security

2)    https://dsgvo-gesetz.de/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.