<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1694149580751240&amp;ev=PageView&amp;noscript=1">
tutum GmbH

technisch-organistorische Maßnahmen

Stand: 01. Januar 2025

Ziel des Datenschutzkonzeptes

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber im Rahmen der Auftragsverarbeitung genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutzgrundverordnung nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden.

Präambel

Die tutum GmbH mit Sitz in Nürnberg bietet Lösungen für Dokumentenmanagement und Workflow. Die tutum GmbH verarbeitet dabei automatisiert die personenbezogenen Daten
der Mitarbeiter, Kunden und Lieferanten.

Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsführung der tutum GmbH. Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der
Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für die
tutum GmbH geltenden landesspezifischen Datenschutzbestimmungen.

Die tutum GmbH hat als für die Verarbeitung „Verantwortliche Stelle“ zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der
verarbeiteten personenbezogenen Daten sicherzustellen.

Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist:
tutum GmbH
Emilienstraße 9
90489 Nürnberg

Name und Anschrift des externen Datenschutzbeauftragten

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen ist:
Sabine Sobola
LiiDU GmbH
Neupfarrplatz 10
93047 Regensburg
Deutschland
Tel.: +49 (0) 156 79086134
E-Mail: sabine@liidu.de
Website: www.liidu.de

Datenschutzmanagement geregelt durch:

  • Datenschutzhandbuch/ Wiki
  • IT-Policy inkl. Regelungen zum Home Office

Datenschutzorganisation geregelt durch:

  • Datenschutzbeauftragter ist bestellt
  • Aufgaben und Rollen sind verteilt
  • Meldung an die zuständige Landesbehörde ist erfolgt

Datenschutzverletzungen nach Art. 33 DSGVO geregelt durch:

  • Richtlinie

Betroffenenrechte nach Art. 15 ff DSGVO geregelt durch:

  • Richtlinie

Auftragsverarbeitung nach Art. 28 DSGVO geregelt durch:

  • Auflistung der Auftragsverarbeiter
  • Abschluss von AV-Verträgen oder sonstiger geeigneter Garantien

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO geregelt durch:

  • Sammlung der Verfahren
  • Ausarbeitung der Einzelverfahren

Informationspflichten nach Art. 13 DSGVO geregelt durch:

  • Einbindung Mailsignatur
  • Einbindung Datenschutzerklärung

Mitarbeiterschulung geregelt durch:

  • Jährliche Mitarbeiterschulung

Verschwiegenheitsverpflichtung geregelt durch:

  • Verpflichtungserklärung zur Verschwiegenheit nach § 53 BDSG (neu)

Informationssicherheit geregelt durch:

  • IT-Zentraldokument/ IT-Richtlinie

Der Verantwortliche bestätigt die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO zur Einhaltung der Anforderungen an die Sicherheit der Datenverarbeitung ergriffen zu haben.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle zu Räumlichkeiten in denen sich DV-Anlagen befinden

Es existiert ein schriftlich dokumentiertes Zutrittsberechtigungskonzept (Schließplan), das den Zutritt zu Bereichen der tutum GmbH für Mitarbeiter, Kunden und Lieferanten definiert. Dieses Konzept regelt welcher Personenkreis (Funktion) zu welchem Zeitpunkt und zu welchen Bedingungen Zutritt zu welchen Geschäftsbereichen (räumlich) hat. Aktenschränke sind verschlossen. Eingangstüren sind verschlossen, Gäste werden persönlich in Empfang genommen und begleitet. Es existieren besonders zutrittsgesicherte Bereiche.

Zugangskontrolle zu DV-Anlagen

Es existiert ein verschlüsselter VPN-Zugang, Anti-Viren-Software und eine Firewall. Zentrale Schließsystem und ein Schließplan sind vorhanden. Es besteht eine 2-FaktorAuthentifizierung und besonders gesicherte Bereiche. Festplatten sind verschlüsselt. Es existiert eine Passwortregelung.

Zugriffskontrolle – Berechtigungen von Zugriffen

Benutzerberechtigungen sind vorhanden, differenziert und protokolliert. Ein Berechtigungskonzept ist vorhanden. Eine verbindliche Log-Out Funktion ist vorhanden.

Die Anzahl der Personen mit Administratortätigkeit ist auf Minimum beschränkt. Redundanz ist vorhanden.

Admin-Tätigkeiten werden protokolliert.

Es existieren Schutzmaßnahmen für die sichere Nutzung mobiler Datenträger, sowie ein Prozess zur sicheren Löschung/ Vernichtung von Datenträgern. Datenträger sind verschlüsselt, es existiert eine Passwortregelung.

Trennungskontrolle

Daten die zu unterschiedlichen Zwecken erhoben werden, werden von anderen Daten getrennt verarbeitet. Es existieren virtuelle Systeme.

Es existieren unterschiedliche Datenbanken und Nutzerkonten. Die Trennung erfolgt
über Berechtigungen und Zugriffsrechte (Logische Trennung).

Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

Datenträgerkontrolle

Es existieren Schutzmaßnahmen für die sichere Nutzung mobiler Datenträger durch Verschlüsselungstechnologien. Daten werden nicht lokal gespeichert. Datenträger werden bis zur Vernichtung im verschlossenen Bereich gelagert. Es existiert ein Berechtigungskonzept und eine Richtlinie zum Umgang mit Datenträgern.

Die Anzahl der Personen mit Administratortätigkeit ist auf ein Minimum beschränkt. Redundanz ist vorhanden.

Admin-Tätigkeiten werden protokolliert.

Es existiert ein schriftlicher Prozess zur sicheren Vernichtung und Löschung von ITAltgeräten und deren Speichermedien durch einen Dienstleister. Aktenvernichter
werden eingesetzt.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle

Einwahlvorgänge in EDV-System werden auf nachvollziehbar protokolliert und überwacht.

Die Anzahl der Personen mit Administratortätigkeit ist auf ein Minimum beschränkt. Redundanz ist vorhanden.

Admin-Tätigkeiten werden protokolliert.

Es existiert ein Berechtigungskonzept. Eine Protokollierung von Zugriffen auf Anwendungen erfolgt über Active-Directory.

Weitergabekontrolle

E-Mails werden verschlüsselt, Abruf- und Übermittlungsvorgänge werden regelmäßig überprüft. Es bestehen Verfahrensverzeichnisse. Es existieren sichere Verschlüsselungstechnologien.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Räume der IT-Systeme sind durch bauliche und technische Maßnahmen ausreichend sicher geschützt, dass eine Zerstörung und Verlust der Daten und Geräte weitgehend ausgeschlossen ist. Ein Backupkonzept ist vorhanden.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Wiederherstellbarkeit

Es existiert ein Backup-Konzept. Daten werden zentral gespeichert. Datensicherungen werden vorgenommen.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs.
1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

Es werden regelmäßig Audits durchgeführt und die Ergebnisse protokolliert. Es erfolgt ein Soll-Ist-Abgleich, Anweisungen und Leitlinien sind vorhanden. Datenschutzmaßnahmen werden regelmäßig geprüft und verbessert (Plan-Do-CheckAct).

Incident-Response-Plan

Systeme werden systemseitig über ein Monitoring überwacht, Protokolle zum Virenschutz sind vorhanden, Updates werden zentral und automatisiert durchgeführt.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Der Verantwortliche führt sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen ein, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Auftragskontrolle

Die Durchführung von Verarbeitungen im Auftrag werden in Form von Leistungsnachweisen überwacht und kontrolliert. Eine Gesamtübersicht ist vorhanden. Die Weisungsbefugnis ist eindeutig geregelt.

Es liegen AV-Verträge oder sonstige Garantien von Auftragnehmern nach Art. 28 DSGVO vor.