Datenschutzerklärung
DATENSICHERHEITSRICHTLINIE FÜR PERSONENBEZOGENE DATEN
ECOMPORATE Maksymilian Polkowski
Szlak 77/222, 31-153 Kraków
NIP: 6821812937 | REGON: 543921159
E-Mail: alkogames.contact@gmail.com
Web: alkogames.de / alkogames.at
Datum der Erstellung:
17.02.2026
Datum der Einführung:
17.02.2026
Dokument genehmigt und eingeführt durch:
Maksymilian Polkowski
Zweck, Anwendungsbereich und im Dokument verwendete Begriffe
Zweck der Richtlinie
Zweck der Ausarbeitung und Einführung dieser Datensicherheitsrichtlinie (im Folgenden „Richtlinie“) ist die Beschreibung der bei ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków (im Folgenden „Verantwortlicher“) eingesetzten technischen und organisatorischen Maßnahmen, die einen dem Risiko angemessenen Schutz der verarbeiteten personenbezogenen Daten gewährleisten, einschließlich des Risikos einer Verletzung der Rechte und Freiheiten natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten.
Die Richtlinie soll die ordnungsgemäße Erfüllung der Pflichten des Verantwortlichen – ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków – ermöglichen. Sie wurde gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung, „DSGVO“) erstellt.
Dieses Dokument wird durch seine Veröffentlichung innerhalb der Organisation sowie durch die Unterweisung der zur Verarbeitung personenbezogener Daten befugten Personen und anderer Personen mit Zugriff auf personenbezogene Daten eingeführt.
Anwendungsbereich und Ausnahmen
Die Richtlinie umfasst alle personenbezogenen Daten, die vom Verantwortlichen verarbeitet werden.
Bestimmungen und Anforderungen dieser Richtlinie dürfen nur dann ausgenommen werden, wenn geltende Rechtsvorschriften eine solche Ausnahme vorsehen.
Begriffsbestimmungen
|
Nr. |
Begriff |
Definition |
|
1. |
Verantwortlicher |
ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków in Bezug auf Daten, über deren Zwecke und Mittel der Verarbeitung er entscheidet. |
|
2. |
Personenbezogene Daten |
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einem Identifikator wie Name, Kennnummer, Standortdaten, Online‑Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; |
|
3. |
Besondere Kategorien personenbezogener Daten |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung sowie Daten über strafrechtliche Verurteilungen, Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen; |
|
4. |
Präsident der Behörde |
Präsident der Datenschutzaufsichtsbehörde (in Polen: Präsident des Amtes für den Schutz personenbezogener Daten); |
|
5. |
Integrität der Daten |
Eigenschaft, die sicherstellt, dass personenbezogene Daten nicht unbefugt verändert oder zerstört wurden; |
|
6. |
Verletzung des Schutzes personenbezogener Daten |
eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu übermittelten, gespeicherten oder auf sonstige Weise verarbeiteten personenbezogenen Daten führt; |
|
7. |
Befugte Person |
eine Person, die eine Befugnis zur Verarbeitung personenbezogener Daten im Namen des Verantwortlichen besitzt; |
|
8. |
Betroffene Person (Dateninhaber) |
jede natürliche Person, deren personenbezogene Daten vom Verantwortlichen oder in dessen Auftrag im Zusammenhang mit der ausgeübten Tätigkeit verarbeitet werden; |
|
9. |
Vertraulichkeit der Daten |
Eigenschaft, die sicherstellt, dass Daten unbefugten Stellen nicht zugänglich gemacht werden; |
|
10. |
Mitarbeiter |
eine Person mit Zugriff auf personenbezogene Daten, die aufgrund eines Arbeitsverhältnisses Arbeit für den Verantwortlichen leistet; |
|
11. |
Dritte |
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle als die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten; |
|
12. |
Auftragsverarbeiter |
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und über Zwecke und Mittel nicht entscheidet; die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO; |
|
13. |
Verarbeitung personenbezogener Daten |
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; |
|
14. |
Richtlinie |
dieses Dokument, d. h. Datensicherheitsrichtlinie für personenbezogene Daten; |
|
15. |
Rechenschaftspflicht |
Eigenschaft, die es ermöglicht, die Einhaltung der DSGVO durch den Verantwortlichen nachzuweisen; |
|
16. |
DSGVO / Verordnung |
Verordnung (EU) 2016/679 (DSGVO) vom 27. April 2016; |
|
17. |
Pseudonymisierung |
die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; |
|
18. |
Verzeichnis von Verarbeitungstätigkeiten |
vom Verantwortlichen geführtes Verzeichnis mit mindestens: a) Name und Kontaktdaten des Verantwortlichen und etwaiger gemeinsam Verantwortlicher sowie ggf. des Vertreters und des Datenschutzbeauftragten; b) Zwecke der Verarbeitung; c) Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) Kategorien von Empfängern einschließlich Empfängern in Drittländern/internationalen Organisationen; e) ggf. Übermittlungen in Drittländer/IO inkl. geeigneter Garantien; f) soweit möglich geplante Fristen für die Löschung; g) soweit möglich allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO; |
|
19. |
Beschwerde |
jedes Schreiben (in Papier- oder elektronischer Form), das von der betroffenen Person oder der Aufsichtsbehörde übermittelt wird und aus dessen Inhalt Unzufriedenheit oder ein Verlangen nach Erläuterungen/Informationen zur Verarbeitung personenbezogener Daten durch den Verantwortlichen hervorgeht; |
|
20. |
IT‑System |
eine Menge zusammenwirkender Geräte, Programme, Informationsverarbeitungsverfahren und Software‑Werkzeuge zur Datenverarbeitung; |
|
21. |
Gesetz |
polnisches Gesetz vom 10. Mai 2018 über den Schutz personenbezogener Daten (soweit anwendbar); |
|
22. |
Befugnis |
eine der folgenden: schriftliche Befugnis gemäß Art. 29 DSGVO oder ein schriftlicher Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO; |
|
23. |
Mitarbeitender (Kooperationspartner) |
eine Person mit Zugriff auf personenbezogene Daten, die Aufgaben/Dienstleistungen für den Verantwortlichen auf anderer Rechtsgrundlage als einem Arbeitsverhältnis ausführt – unabhängig von Bezeichnung oder Art des Vertrags; |
|
24. |
Datensicherung |
Einführung und Betrieb geeigneter technischer und organisatorischer Maßnahmen, die den Schutz vor unbefugter Verarbeitung gewährleisten; |
|
25. |
Einwilligung der betroffenen Person |
freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung sie betreffender personenbezogener Daten erklärt; |
Pflichten von ECOMPORATE Maksymilian Polkowski als Verantwortlicher
Pflicht zur Sicherstellung einer Rechtsgrundlage für die Verarbeitung
Jeder Mitarbeiter sowie jeder Kooperationspartner ist vor der Entscheidung, einen neuen Zweck der Verarbeitung einzuführen oder den Umfang der erhobenen personenbezogenen Daten für einen bestehenden Zweck zu erweitern, verpflichtet, eine Rechtsgrundlage gemäß DSGVO zu bestimmen und anzuwenden, die die Verarbeitung legitimiert.
Informationspflicht gegenüber der betroffenen Person gemäß Art. 13 und Art. 14 DSGVO
Jeder Mitarbeiter/Kooperationspartner, der personenbezogene Daten erhebt, ist verpflichtet, die betroffene Person zum Zeitpunkt der Erhebung (bei direkter Erhebung) entsprechend den vorbereiteten Informationsklauseln nach Art. 13 DSGVO zu informieren.
Bei Erhebung von Daten von Dritten (nicht direkt von der betroffenen Person) ist die betroffene Person unverzüglich nach der Erfassung gemäß den Informationsklauseln nach Art. 14 DSGVO über die Umstände der Verarbeitung zu informieren.
Werden IT‑Systeme genutzt, die personenbezogene Daten automatisch erheben, ist sicherzustellen, dass diese Systeme die oben genannten Informationen bereitstellen.
Werden Dritte eingesetzt (z. B. Marketing‑ oder Recruiting‑Agenturen), ist vertraglich sicherzustellen, dass diese Dritten die Informationspflicht im Namen des Verantwortlichen erfüllen.
Pflicht zur Einhaltung der Grundsätze der Verarbeitung gemäß Art. 5 DSGVO
Während der Verarbeitung personenbezogener Daten ist besondere Sorgfalt zum Schutz der Interessen der betroffenen Personen anzuwenden, insbesondere die Einhaltung der in den Punkten „Grundsätze der Verarbeitung“ beschriebenen Regeln. Dies gilt für Mitarbeiter, Kooperationspartner und Auftragsverarbeiter.
Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO)
Wenn der Verantwortliche die Dienste eines Dritten in Anspruch nimmt und dieser Dritte im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag oder im Namen des Verantwortlichen verarbeitet, ist vor der Datenübermittlung ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.
Pflicht zur Bearbeitung von Anfragen der betroffenen Person
Stellt die betroffene Person einen mündlichen oder schriftlichen Antrag (Papier oder elektronisch) auf Zugang/Kopie/Übertragbarkeit/Löschung/Berichtigung/Einschränkung/Aktualisierung, ist dieser – sofern berechtigt – unverzüglich, spätestens innerhalb von 30 Tagen, zu bearbeiten.
Die Bearbeitung erfolgt durch den Verantwortlichen; dieser kann einen Mitarbeiter/Kooperationspartner oder eine andere Stelle zur Unterstützung benennen.
Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte nach Art. 15–22 DSGVO. Kann der Verantwortliche die Person nicht identifizieren, informiert er – soweit möglich – und fordert zusätzliche Angaben zur Identitätsprüfung an.
Der Verantwortliche bearbeitet Anträge gemäß dem internen Verfahren zur Bearbeitung von Betroffenenanfragen.
Pflicht zur Datensicherung
Jeder Mitarbeiter/Kooperationspartner ist verpflichtet, organisatorische Sicherungen (z. B. Richtlinien, Regelwerke, Verfahren) sowie technische Sicherungen (z. B. Zugangspasswörter, verschlüsselte Datenträger, Verschlüsselung von Computern und mobilen Geräten) anzuwenden. Das Umgehen von Sicherungen kann eine Datenschutzverletzung darstellen.
Diese Pflicht gilt auch für Auftragsverarbeiter; detaillierte Anforderungen werden im Auftragsverarbeitungsvertrag festgelegt.
Pflicht zur Meldung eines neuen Verarbeitungszwecks
Wenn ein Mitarbeiter/Kooperationspartner die Erhebung personenbezogener Daten für einen neuen Zweck beabsichtigt, informiert er den Verantwortlichen vor Beginn der Erhebung über den in der Organisation üblichen Kommunikationsweg.
Auf Grundlage dieser Information entscheidet der Verantwortliche, ob der Zweck in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen ist.
Mitarbeiter/Kooperationspartner melden alle Änderungen zu Verarbeitungstätigkeiten im Verzeichnis vor deren Einführung.
Pflichten bei Übermittlungen in Drittländer
Vor der Auswahl eines Dienstleisters außerhalb des EWR oder einer Übermittlung in ein Drittland sollte der Verantwortliche eine zusätzliche Analyse durchführen oder externe Informationen zur Sicherheit solcher Übermittlungen einholen.
Pflichten und Verantwortlichkeiten
Jeder Mitarbeiter und Kooperationspartner ist unabhängig von Position/Aufgaben verpflichtet und verantwortlich für: Wahrung der Vertraulichkeit personenbezogener Daten und der Sicherungsmethoden; Kenntnis und Einhaltung dieser Richtlinie sowie interner Dokumente; schriftliche Bestätigung der Kenntnisnahme; Einhaltung der Datenschutzvorschriften, insbesondere des anwendbaren Rechts; Nichtweitergabe von Passwörtern; Nichtgewährung unbefugten Zugriffs; Meldung jedes Vorfalls/Verdachts einer Datenschutzverletzung gemäß Verfahren.
Pflichten der Führungskräfte
Führungskräfte sind insbesondere verantwortlich für: Überwachung der Einhaltung der Regeln durch unterstellte Personen; Ermittlung von Informations-/Schulungsbedarf; Genehmigung von Änderungen der Verarbeitungszwecke vor Einführung; Überwachung der zugewiesenen Zwecke und des Umfangs gemäß Verzeichnis; Prüfung neuer IT‑Lösungen mit Datenübermittlungen an Dritte; Sicherstellung des Abschlusses von Auftragsverarbeitungsverträgen mit jedem Empfänger, dem die Verarbeitung anvertraut wird.
Pflichten eines IT‑Dienstleisters (sofern vorhanden)
Jeder Mitarbeiter des IT‑Dienstleisters, der zur Zusammenarbeit mit dem Verantwortlichen eingesetzt ist, ist verpflichtet und verantwortlich für: Überwachung der Wirksamkeit eingeführter/unterhaltener Sicherungen (physisch, logisch, systemseitig); Überwachung der Zugriffsbeschränkungen; Berücksichtigung der DSGVO und dieser Richtlinie bei der Planung/Einführung neuer Sicherheitslösungen; auf Anfrage Erstellung von Stellungnahmen/Informationen zu eingesetzten Sicherungsmaßnahmen.
Vorgehensweise bei Beschwerden über die Verarbeitung personenbezogener Daten
Beschwerden/Anträge der betroffenen Person
Eine schriftliche Beschwerde/ein Antrag (unabhängig von Zustellform oder Bezeichnung), der/die vom Dateninhaber an den Verantwortlichen gerichtet ist, ist unverzüglich, spätestens innerhalb von 30 Tagen ab Eingang, zu prüfen.
Die Antwort erfolgt schriftlich (registrierte Sendung), wenn eine Zustelladresse angegeben wurde; andernfalls über denselben Kanal, über den die Beschwerde/der Antrag eingereicht wurde, sofern keine andere Form verlangt wurde. Bei Antwort per E‑Mail ist eine Kopie zur Erfüllung der Rechenschaftspflicht zu archivieren.
Anträge auf Änderung/Aktualisierung sind unverzüglich nach Eingang umzusetzen.
Anträge auf Löschung/Beendigung der Verarbeitung sind unverzüglich umzusetzen, wenn die Daten ausschließlich auf Grundlage der Einwilligung erhoben wurden.
Daten, die auf Grundlage eines Vertrags verarbeitet werden, dürfen nach Widerruf von Einwilligungen weiterhin für andere Zwecke (z. B. Vertragserfüllung, Steuern) verarbeitet werden, sofern dies aus dem Verzeichnis von Verarbeitungstätigkeiten hervorgeht.
Anträge auf Zugang oder Kopie sind unverzüglich, spätestens innerhalb von 30 Tagen zu beantworten.
Die betroffene Person kann eine erste Kopie der auf Grundlage eines Vertrags oder einer Einwilligung verarbeiteten Daten unentgeltlich erhalten. Für weitere Kopien kann der Verantwortliche ein angemessenes Verwaltungsentgelt verlangen.
Beschwerden übermittelt durch die Aufsichtsbehörde
Bei einer Beschwerde, die von der betroffenen Person bei der Aufsichtsbehörde eingereicht und an den Verantwortlichen weitergeleitet wurde, ist sie unverzüglich an die zuständige Person beim Verantwortlichen weiterzugeben.
Die Frist zur Antwort auf eine von der Aufsichtsbehörde zugestellte Beschwerde beträgt 7 Tage (sofern die Behörde keine andere Frist setzt).
Die Antwort wird von einer vom Verantwortlichen benannten Person vorbereitet; die endgültige Antwort an die Behörde versendet der Verantwortliche.
Grundsätze der Verarbeitung personenbezogener Daten durch den Verantwortlichen
Grundsatz der Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden. Eine Verarbeitung ohne Rechtsgrundlage ist unzulässig. Vor Verarbeitung einer neuen Datenkategorie oder zu einem neuen Zweck ist die Rechtsgrundlage festzulegen.
Grundsatz der Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Die betroffene Person ist über den Zweck zu informieren.
Grundsatz der Datenminimierung
Es dürfen nur solche Daten erhoben werden, die für den Zweck erforderlich und angemessen sind. Eine Erhebung „auf Vorrat“ ist unzulässig.
Grundsatz der Richtigkeit
Befugte Personen und Auftragsverarbeiter sind für die sachliche Richtigkeit verantwortlich. Daten müssen richtig und erforderlichenfalls auf dem neuesten Stand sein; unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Grundsatz der Speicherbegrenzung
Daten dürfen nur so lange verarbeitet werden, wie der Zweck besteht oder Rechtsvorschriften es verlangen. Sie sind nur so lange aufzubewahren, wie es für die Zwecke notwendig ist.
Grundsatz der Integrität und Vertraulichkeit
Daten sind durch geeignete technische und organisatorische Maßnahmen vor unbefugter/unrechtmäßiger Verarbeitung sowie vor zufälligem Verlust, Zerstörung oder Schädigung zu schützen.
Grundsatz der Kenntnis interner und externer Vorschriften
Jede befugte Person ist verpflichtet, sich laufend mit internen und externen Datenschutzvorschriften vertraut zu machen und dies schriftlich zu bestätigen.
Grundsatz des eingeschränkten Zugriffs
Zugriff auf personenbezogene Daten darf nur befugten Personen gewährt werden. Zugriffsbeschränkungen können organisatorisch, physisch oder IT‑seitig sein.
Grundsatz der doppelten Zugriffsbeschränkung
Der Zugriff auf personenbezogene Daten muss mindestens durch zwei beliebige Zugriffsbeschränkungen abgesichert sein.
Clean‑Desk‑Prinzip
Nach Arbeitsende dürfen keine Dokumente oder Datenträger mit personenbezogenen Daten offen zugänglich bleiben; diese sind in verschlossenen Schränken/Abstellräumen aufzubewahren.
Grundsatz der sicheren Vernichtung von Dokumenten und Datenträgern
Die Löschung/Vernichtung erfolgt gemäß dem Verfahren zur sicheren Datenlöschung.
Grundsatz der Rechenschaftspflicht
Handlungen in IT‑Systemen müssen eindeutig einer einzelnen Person zuordenbar sein. Ein Login darf nur einer Person zugeordnet sein; das Teilen von Logins ist untersagt.
Grundsatz der Geheimhaltung und Passwortqualität
Passwörter dürfen unter keinen Umständen weitergegeben werden. Nach Erhalt ist das Passwort am selben Tag zu ändern. Passwörter sollen mindestens 8 Zeichen umfassen und Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen enthalten.
Grundsätze der Übertragung der Verarbeitung an Dritte
Verwendung von Auftragsverarbeitungsverträgen
Bei Verträgen über Dienstleistungen, die eine Auftragsverarbeitung beinhalten, ist ein schriftlicher Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.
Pflichten und Verantwortlichkeiten von Auftragsverarbeitern
Im Auftragsverarbeitungsvertrag sind insbesondere festzulegen: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten und Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen und des Auftragsverarbeiters; Verarbeitung nur auf dokumentierte Weisung; Vertraulichkeit; Maßnahmen nach Art. 32 DSGVO; Regelungen zu Unterauftragsverarbeitern; Unterstützung bei Betroffenenrechten; Unterstützung bei Pflichten nach Art. 32–36; Löschung/Rückgabe nach Ende; Bereitstellung von Informationen und Ermöglichung von Audits gemäß Art. 28 DSGVO.
Pflichten der Personen, die Auftragsverarbeiter überwachen
Der Verantwortliche überwacht persönlich oder durch einen benannten Mitarbeiter, ob der Auftragsverarbeiter die vertraglichen Anforderungen erfüllt.
Kontrolle (Audit) von Auftragsverarbeitern
In jedem Auftragsverarbeitungsvertrag ist eine Regelung zur Möglichkeit von Kontrollen (Audits) der Vertrags- und Rechtskonformität verpflichtend. Kontrollen dürfen von einer schriftlich beauftragten Person durchgeführt werden.
Überprüfung des Auftragsverarbeiters
Jeder Auftragsverarbeiter ist vor Vertragsunterzeichnung gemäß dem Verfahren zur Lieferantenprüfung zu verifizieren.
Festlegung technischer und organisatorischer Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Rechenschaftspflicht
Organisatorische Maßnahmen
Zur Stärkung der Aufsicht über Verarbeitungsvorgänge wurden organisatorische Sicherheitsmaßnahmen eingeführt, wie in diesem Abschnitt beschrieben.
Interne Schulungen
Jede befugte Person ist verpflichtet, mindestens einmal jährlich eine Präsenz- oder E‑Learning‑Schulung zu Datenschutzvorschriften zu absolvieren.
Einführung von Regeln und Verfahren
Diese Richtlinie bildet die Grundlage für die Ausarbeitung und Einführung weiterer Datenschutzverfahren.
Planung von Backups
In IT‑Systemen verarbeitete personenbezogene Daten werden durch Backup‑Systeme geschützt, die von der Geschäftsführung oder dem IT‑Dienstleister überwacht werden. Backups werden gemäß einem festgelegten Zeitplan erstellt.
Minimale technische Maßnahmen
Die hier beschriebenen technischen Maßnahmen gelten für Datenbestände, jedoch nicht zwingend für alle Bestände gleichermaßen. Je nach Kategorie, Art, Charakter und Zweck der Verarbeitung werden angemessene Sicherheitsmaßnahmen angewandt.
Physische Schutzmaßnahmen
Der Zugang zu Räumen, in denen personenbezogene Daten verarbeitet werden, ist durch abschließbare Türen gesichert.
Der Raum ist gegen Brandfolgen durch Brandschutzsysteme und/oder Feuerlöscher gesichert.
Schutz der IT- und Telekommunikationsinfrastruktur
Der Zugriff auf das Betriebssystem des Computers, auf dem personenbezogene Daten verarbeitet werden, ist durch Benutzerkennung und Passwort geschützt.
Systemmechanismen erzwingen eine regelmäßige Passwortänderung.
Für personenbezogene Daten, die über Datenübertragung übermittelt werden, werden kryptografische Schutzmaßnahmen eingesetzt.
Schutz vor Schadsoftware (z. B. Würmer, Viren, Trojaner, Rootkits) ist implementiert.
Zum Schutz des Zugriffs auf das Computernetzwerk wird eine Firewall eingesetzt.
Schutzmaßnahmen in der vom Verantwortlichen genutzten IT‑Software
Es werden Maßnahmen eingesetzt, die die Festlegung von Zugriffsrechten auf einen definierten Datenumfang ermöglichen;
Der Zugriff auf personenbezogene Daten erfordert Authentifizierung mittels Benutzerkennung und Passwort.
Kryptografische Schutzmaßnahmen für personenbezogene Daten werden eingesetzt.
Auf Arbeitsplätzen, an denen personenbezogene Daten verarbeitet werden, sind Bildschirmschoner installiert.
Bei längerer Inaktivität wird der Zugriff auf das Verarbeitungssystem automatisch gesperrt.