Technische und organisatorische Maßnahmen der Datensicherheit der doglove Erkelenz Hundeschule (Stand 22.05.2018)
1. Zugangskontrolle
Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird.
Die organisatorische und konzeptionelle Bearbeitung der einzelnen Kurse findet in meinem separaten Büroraum statt. Der Zugang zu dem Büroraum ist nur durch meine Wohnung möglich. Der Büroraum ist durch ein Sicherheitsschloss gesichert. Das Fenster ist mit abschließbaren und gegen aufhebeln geschütztem Beschlag gegen Eindringen von außen gesichert. Des Nachts ist die Hauseingangstür zudem mit massiven Sicherheitsschloss gesichert.
Es wird kein Reinigungspersonal beschäftigt. Ich reinige selbst.
2. Datenträgerkontrolle
Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können.
Datenträger mit Datensicherungen werden in einem verschlossenen Behältnis im Büroraum gelagert. Der Büroraum wird während der Zeiten meiner Ortsabwesenheit verschlossen. Den einzigen Schlüssel verwahre ich stets bei mir. Als mobile Datenträger werden USB-Sticks und SD-Karten eingesetzt. Die darauf zum Datentransport zwischen den einzelnen Datenerhebungsmodulen (Smartphone, Kamera, etc.) gesicherten Daten und dem Bürorechner bzw. Laptop werden möglichst unmittelbar nach dem Transport, spätestens aber nach Ablauf einer Woche wieder von den mobilen Datenträgern gelöscht. Einzige Ausnahme bilden die reinen Kommunikationsdaten (Name, Telefon- Mobilfunknummern, E-Mail Adressen) die für die Dauer der einzelnen Aufträge/Kurse auf meinem Mobiltelefon gespeichert sind.
3. Datenvernichtung
Nicht mehr benötigte oder defekte Datenträger werden von mir durch massive Hitzeeinwirkung irreparabel zerstört.
Papierakten werden bei Auftrags/Kursende vernichtet, soweit nicht aus rechtlichen bzw. steuerlichen Gründen eine Aufbewahrung zu erfolgen hat, im Übrigen innerhalb von 6 Monaten nach Ablauf der jeweiligen Aufbewahrungsfristen. Die Vernichtung erfolgt durch Verbringung der Akten zu einem örtlichen Entsorger und persönliche Überwachung der maschinellen Vernichtung durch mich.
4. Speicherkontrolle
Die Speicherkontrolle soll verhindern, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen, sowie diese eingeben, verändern und löschen können.
Der Zugangscode für den Büro-Laptop ist ausschließlich mir bekannt. Nur auf diesen Rechnern werden personenbezogene Daten gespeichert. Dieser Rechner ist in kein Netzwerk eingebunden und nur dann mit dem Internet verbunden, wenn ich diesen Zugriff ausdrücklich zulasse. Ansonsten wird offline gearbeitet. Die Verbindung mit dem Internet wird vornehmlich zum Empfang der eingehenden E-Mails (täglich), sowie zur Aktualisierung der Antivirensoftware (AVIRA Antivir), des Betriebssystems und der Bearbeitungssoftware hergestellt. Je nach Art der Software wird der Internetzugang monatlich, vierteljährlich oder jährlich für die Dauer des notwendigen Datentransfers zugelassen. Während der Internetverbindung wird der Rechner von mir persönlich überwacht.
Eingehende E-Mails werden auf meinem Laptop empfangen und den jeweiligen Kunden zugeordnet. Diese Ordner sind auf der Festplatte separat mit Passwort geschützt. Sodann werden die E-Mails auf dem Account wieder gelöscht. Die Löschung erfolgt, sofern nicht gesetzliche Hinderungsgründe bestehen, innerhalb von drei Monaten.
Systemadministrator und Passwortgenerator bin ausschließlich ich selber.
5. Benutzerkontrolle
Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können.
Zugangsberechtigte Mitarbeiter sind nicht vorhanden. Ich nutze die EDV Hardware ausschließlich selber.
Zur Erfüllung meiner Buchhaltungspflichten habe ich ein externes Unternehmen mit diesen Tätigkeiten beauftragt. Diesem Unternehmen werden die Daten zur Erfüllung dieses Auftrages übermittelt. Hierzu gehören auch die Daten der jeweiligen Ausgangsrechnungen. Auf Grundlage der, mit diesem Unternehmen abgeschlossenen Datenschutzvereinbarung, ist gewährleistet, dass kein unbefugter Dritter auf diese Daten zugreifen kann. Sowohl organisatorisch, als auch technisch werden alle Voraussetzungen des Datenschutzrechtes von diesem Unternehmen eingehalten.
6. Übertragungs- und Transportkontrolle
Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
Personenbezogene Daten können übermittelt bzw. zur Verfügung gestellt werden, indem sie von mir persönlich über den dann mit dem Internet verbundenen Laptop per E-Mail verschickt werden.
Die ausgehenden E-Mails werden verschlüsselt übertragen. Der jeweilige Schlüssel wird dem Empfänger gesondert mitgeteilt.
7. Wiederherstellbarkeit
Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
1 x monatlich werden die Daten im Wechsel auf 2 externe Festplatten kopiert. Das erfolgreiche Sichern wird anlässlich jeder Sicherung stichpunktartig getestet.
Alle Datensicherungen werden spätestens nach einem Jahr wieder gelöscht.
8. Verfügbarkeitskontrolle
Der Büroraum ist ausschließlich meinem Ehemann und mir zugänglich. Die EDV Geräte, die die personenbezogenen Daten enthalten, sind in diesem Raum in einem verschlossenem Behältnis aufbewahrt. Den Zugang zu dem Laptop ist ausschließlich mir möglich. Ich habe den einzigen Schlüssel dieses Behältnisses, den ich stets bei mir trage.
Die Datensicherungen auf externer Festplatte werden in einem verschlossenen Raum in einem verschlossenen Behältnis aufbewahrt.