DSBextern-Tool TOM

Online-Abfrage: TOM = Technisch Organisatorischen Maßnahmen

Frage: Was sind technische und organisatorische Maßnahmen?
Antwort: Klicken Sie oben auf den Menüpunkt ERKLÄRUNGEN.

Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind
Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Um diesem Anspruch gerecht zu werden, weist das Unternehmen bestimmte technische und organisatorische Maßnahmen nach, die auf den nächsten Seiten abgefragt werden.

Sie werden somit digital durch die nächsten Seiten geführt.

Die Fragen sind in sechs Blöcke eingeteilt. Sie können sich zwischen den einzelnen Abfrageblöcken hin- und herbewegen. Die meisten Abfragen sind keine Pflichtangaben, so dass Sie Seiten auch überspringen können, falls Sie die Antworten nicht wissen. Bitte beachten Sie, falls Sie die Abfrage verlassen, werden keine Daten gespeichert. Auf der letzten Seite haben Sie die Möglichkeit, alle Eingaben mit einem Klick zu speichern. Erst danach werden Ihnen und uns die Daten zugesendet. Wir legen die Ergebnisse dann mit einem Zeitstempel zur Dokumentation in der DSMS-Cloud ab. Beginnen Sie einfach mit den Fragen zu Ihren Technisch Organisatorischen Maßnahmen mit einem KLICK auf den orangen START-Button unten. Weitere Links und Abfragetools können Sie über den Menüpunkt TOOLS abrufen.

1
Kundendaten
2
Vertraulichkeit
3
Integrität
4
Verfügbarkeit und Belastbarkeit
5
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

1/5

Kundendaten

Ihr Name und Vorname

Ihre E-Mail-Adresse

Unternehmen/Behörde/Kanzlei/Praxis/Verein

Kundennummer (diese steht auf der Rechnung)

Ort und Datum Ihrer Eingabe

Wie würden Sie Ihren aktuellen datenschutzrechtlichen Zustand beschreiben? Schreiben Sie einfach, was Ihnen dazu einfällt.

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO - hier Zutrittskontrolle: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.

Welche technischen Maßnahmen sind bei Ihnen bereits getroffen? (1. Zutrittskontrolle)

AlarmanlageAutomatisches ZugangskontrollsystemBiometrische ZugangssperrenChipkarten/TranspondersystemeManuelles SchließsystemSicherheitsschlösserSchließsystem mit CodesperreAbsicherung der GebäudeschächteVideoüberwachung der Eingänge

Beschreiben Sie darüber hinaus noch weitere vorhandene technische Maßnahmen (1. Zutrittskontrolle)

Welche organisatorischen Maßnahmen sind bei Ihnen bereits getroffen? (1. Zutrittskontrolle)

Schlüsselregelung / ListeEmpfang / Rezeption / PförtnerBesucherbuch / Protokoll der BesucherMitarbeiter- / BesucherausweiseBesucher in Begleitung durch MitarbeiterSorgfalt bei der Auswahl des WachpersonalsSorgfalt bei der Auswahl der ReinigungsdiensteKeine freiliegenden Telefonlisten in den Besprechungsräumen

Beschreiben Sie darüber hinaus noch weitere vorhandene organisatorische Maßnahmen (1. Zutrittskontrolle)

2. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO - hier: Zugangskontrolle, Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von Callback-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Welche technischen Maßnahmen sind bei Ihnen bereits getroffen? (2. Zugangskontrolle)

Login mit Benutzername + PasswortLogin mit biometrischen DatenAnti-Viren-Software auf dem oder den Server(n)Anti-Viren-Software auf den Endgeräten - hier PC-SystemeAnti-Viren-Software auf den Endgeräten - hier mobile GeräteAnti-Viren-Software auf den Endgeräten - hier SmartphonesFirewallIntrusion Detection SystemeMDM - Mobile Device ManagementEinsatz VPN oder CITRIX bei Remote-ZugriffenVerschlüsselung von DatenträgernVerschlüsselung von mobilen GerätenVerschlüsselung von SmartphonesGehäuseverriegelungBIOS Schutz (separates Passwort)Sperre externer Schnittstellen (USB)Automatische Desktop sperreVerschlüsselung von Notebooks / Tablet

Beschreiben Sie darüber hinaus noch weitere vorhandene technische Maßnahmen (2. Zugangskontrolle)

Welche organisatorischen Maßnahmen sind bei Ihnen bereits getroffen? (2. Zugangskontrolle)

Verwalten von BenutzerberechtigungenErstellen von BenutzerprofilenZentrale PasswortvergabeRichtlinie „Sicheres Passwort“Richtlinie „Löschen / Vernichten“Richtlinie „Clean desk“Allgemeine Richtlinie DatenschutzAllgemeine Richtlinie SicherheitMobile Device PolicyAnleitung „Manuelle Desktop sperre“

Beschreiben Sie darüber hinaus noch weitere vorhandene organisatorische Maßnahmen (2. Zugangskontrolle)

3. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO - hier Zugriffskontrolle: Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

Welche technischen Maßnahmen sind bei Ihnen bereits getroffen? (3. Zugriffskontrolle)

Aktenschredder (mind. Stufe 3, cross cut)Externer Aktenvernichter (DIN 32757)Physische Löschung von DatenträgernProtokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von DatenAlle Unterlagen landen im PapierkorbDie Einstufung der Aktenvernichter ist mir unbekanntWir nutzen Druckerinseln (Drucker für mehrere Personen)Drucker an Druckerinseln können erst nach PIN-Eingabe drucken

Beschreiben Sie darüber hinaus noch weitere vorhandene technische Maßnahmen (3. Zugriffskontrolle)

Welche organisatorischen Maßnahmen sind bei Ihnen bereits getroffen? (3. Zugriffskontrolle)

Einsatz BerechtigungskonzepteMinimale Anzahl an AdministratorenDatenschutztresorVerwaltung Benutzerrechte durch Administratoren

Beschreiben Sie darüber hinaus noch weitere vorhandene organisatorische Maßnahmen (3. Zugriffskontrolle)

4. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO - hier Trennungskontrolle: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Welche technischen Maßnahmen sind bei Ihnen bereits getroffen? (4. Trennungskontrolle)

Trennung von Produktiv- und TestumgebungPhysikalische Trennung (Systeme / Datenbanken / Datenträger)Mandantenfähigkeit relevanter Anwendungen

Beschreiben Sie darüber hinaus noch weitere vorhandene technische Maßnahmen (4. Trennungskontrolle)

Welche organisatorischen Maßnahmen sind bei Ihnen bereits getroffen? (4. Trennungskontrolle)

Steuerung über BerechtigungskonzeptFestlegung von DatenbankrechtenDatensätze sind mit Zweckattributen versehen

Beschreiben Sie darüber hinaus noch weitere vorhandene organisatorische Maßnahmen (4. Trennungskontrolle)

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO): Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen. Der Verfahrensverantwortliche könnte zum Beispiel als einziger eine Liste haben, auf der die Klarnamen und dazugehörige Pseudonyme stehen. Würde nun zum Beispiel Tabellen alleine mit Pseudonymen verloren gehen und damit ein Missbrauch möglich sein, wäre dies datenschutzrechtlich nicht relevant, weil keine Zuordnung und damit Missbrauch durch Dritte erfolgen kann.

Technische Maßnahmen

Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. Verschlüsselt)

Organisatorische Maßnahmen

Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisierenKeine Anweisungen dazu

Können Sie weitere vorhandene Maßnahmen dazu beschreiben, die bereits vorhanden sind?

1. Integrität (Art. 32 Abs. 1 lit. b DSGVO) Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.

Welche technischen Maßnahmen sind bereits bei Ihnen im Einsatz? (1. Weitergabekontrolle)

E-Mail-VerschlüsselungEinsatz von VPNProtokollierung der Zugriffe und AbrufeSichere TransportbehälterBereitstellung über verschlüsselte Verbindungen wie sftp, httpsNutzung von Signaturverfahren

Welche organisatorischen Maßnahmen sind bereits bei Ihnen im Einsatz? (1. Weitergabekontrolle)

Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der LöschfristenÜbersicht regelmäßiger Abruf- und ÜbermittlungsvorgängenWeitergabe in anonymisierter oder pseudonymisierter FormSorgfalt bei Auswahl von Transportpersonal und FahrzeugenPersönliche Übergabe mit Protokoll

Gibt es sonst noch weitere erwähnenswerte Maßnahmen? (1. Weitergabekontrolle)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO) Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Welche technischen Maßnahmen sind bereits bei Ihnen im Einsatz? (2. Eingabekontrolle)

Technische Protokollierung der Eingabe, Änderung und Löschung von DatenManuelle oder automatisierte Kontrolle der Protokolle

Welche organisatorischen Maßnahmen sind bereits bei Ihnen im Einsatz? (2. Eingabekontrolle)

Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden könnenNachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines BerechtigungskonzeptsAufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurdenKlare Zuständigkeiten für Löschungen

Gibt es sonst noch weitere erwähnenswerte Maßnahmen? (2. Eingabekontrolle)

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raid Systeme, Plattenspiegelungen, zweiter Brandabschnitt etc. - Sollte hier etwas unklar sein, fragen Sie bei Ihrem EDV-Dienstleister oder bei uns nach.

Welche technischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Feuerlöscher ServerraumVideoüberwachung ServerraumServerraum klimatisiertUSV - Unterbrechungsfreie Stromversorgung bei StromnetzausfallDatenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quelldichtung etc.)RAID System / Festplattenspiegelung

Welche organisatorischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Backup & Recovery-Konzept (ausformuliert)Kontrolle des SicherungsvorgangsRegelmäßige Tests zur Datenwiederherstellung und Protokollierung der ErgebnisseAufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des ServerraumsKeine sanitären Anschlüsse im oder oberhalb des ServerraumsExistenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4)Getrennte Partitionen für Betriebssysteme und Daten

Gibt es sonst noch weitere erwähnenswerte Maßnahmen?

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) Datenschutz-Management

Welche technischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Software-Lösungen für Datenschutzmanagement im EinsatzZentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …)Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12Anderweitiges dokumentiertes SicherheitskonzeptEine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mindestens jährlich durchgeführt

Welche organisatorischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Externer Datenschutzbeauftragter Name / Firma / KontaktdatenMitarbeiter geschult und auf Vertraulichkeit/ Datengeheimnis verpflichtetRegelmäßige Sensibilisierung der Mitarbeiter mindestens jährlichInterner / externer Informationssicherheitsbeauftragter Name / Firma KontaktDie Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführtDie Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nachFormalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

Gibt es sonst noch weitere erwähnenswerte Maßnahmen?

Incident-Response-Management Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Welche technischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Einsatz von Firewall und regelmäßige AktualisierungEinsatz von Spamfilter und regelmäßige AktualisierungEinsatz von Virenscanner und regelmäßige AktualisierungIntrusion Prevention System (IPS)

Welche organisatorischen Maßnahmen sind bereits bei Ihnen im Einsatz?

Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)Dokumentierte Vorgehensweise zum Umgang mit SicherheitsvorfällenEinbindung des DSB in Sicherheitsvorfälle und DatenpannenEinbindung des ISB in Sicherheitsvorfälle und DatenpannenDokumentation von Sicherheitsvorfällen und Datenpannen z.B. via TicketsystemFormaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

Gibt es sonst noch weitere erwähnenswerte Maßnahmen?

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) - Erwägungsgrund 78 Privacy by design / Privacy by default Privacy by Design und Privacy by Default sind zwei Anforderungen, um Datenschutzgrundsätze (z.B. Datenminimierung) zu implementieren – sowohl für technische (z.B. Software) als auch organisatorische (z.B. Organisationsprozesse) Aspekte. Privacy by Design bedeutet, Datenschutzprobleme schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen und den Datenschutz von Vornherein in die Gesamtkonzeption einzubeziehen. Privacy by Default bedeutet, dass Produkte oder Dienstleistungen standardmäßig datenschutzfreundlich konfiguriert sind. Im Sinne der Rechenschaftspflicht müssen die Überlegungen und Entscheidungen dokumentiert werden.

Technische Maßnahmen

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sindEinfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

Organisatorische Maßnahmen

Dokumentation der Bewertung der Risiken für die BetroffenenDokumentation der gesetzten TOMs

Gibt es sonst noch weitere erwähnenswerte Maßnahmen?

Auftragskontrolle (Outsourcing an Dritte) Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Setzen Sie Subunternehmer im Sinne der Auftragsverarbeitung ein?

JaNein

Was ist Auftragsverarbeitung? Das Outsourcing oder Outtasking von Arbeitsprozessen und damit auch von Datenverarbeitungen prägt heute in weiten Teilen das Alltagsgeschehen in fast allen Unternehmen. Aus Kosten- oder Know-How-Gründen, um Raum oder Investitionen zu sparen oder um einfach flexibler zu sein – immer mehr einzelne Prozesse und teilweise auch ganze Aufgabenbereiche werden auf externe Dienstleister ausgelagert. Auftragsverarbeiter kann eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet sein, gemäß Art. 4 Nr. 8 DSGVO. Der Auftragsverarbeiter handelt dabei auf Weisung des Verantwortlichen, auch, wenn er durchaus noch gewisse Entscheidungsspielräume haben kann. Das Verhältnis, das zwischen externem Dienstleister und dem auftraggebenden Unternehmen besteht, nennt man aus datenschutzrechtlicher Sicht Auftragsverarbeitung. Die Auftragsverarbeitung ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) in Art. 28 und Art. 29 geregelt. Beispiele für Auftragsverarbeiter sind etwa: Einschaltung externer Wartungsdienstleister und sonstige EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten, externe Rechenzentren, E-Mail-Provider, Cloud-Anbieter wie Google Drive oder die Dropbox, ein externes Lohnbuchhaltungsbüro, Callcenter zur Kundenbetreuung, externe Agenturen zur Durchführung von Marketingaktionen. Schließlich ist sogar der Abfallentsorger als Auftragsverarbeiter anzusehen, wenn er Zugriff auf entsorgte Papiere hat, die personenbezogene Daten enthalten. Keine Auftragsverarbeiter, sondern eigenständig Verantwortliche sind aber eigenständig agierende Berufsgruppen, z.B. Berufsgeheimnisträger wie etwa Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, Bankinstitute für Überweisungen oder die Post für ihre Dienstleistungen. Auch gemeinsam für eine Verarbeitung Verantwortliche (Art. 26 DSGVO), die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen und etwa in ihren jeweiligen Teilbereichen Entscheidungen über die Verarbeitung treffen, fallen nicht unter den Begriff Auftragsverarbeiter. Die Grenzen sind leider noch etwas schwimmend. Ein noch einfacheres Beispiel: Ein Steuerberater, der für Sie die Steuer macht, ist kein Auftragsdatenverarbeiter. Hier spricht, mach von Funktionsübertragung. Ein Steuerberater, der aber für Ihre Kollegen oder Mitarbeiter die Lohnbuchhaltung erledigt, ist ein Auftragsdatenverarbeiter. Im Zweifel müssen wir die Zuordnung umfangreich bewerten und Ihnen eine Empfehlung aussprechen.

Falls obige Frage mit JA beantwortet -> Beschreiben Sie hier etwaige technische Maßnahmen

Falls obige Frage mit JA beantwortet -> Welche organisatorischen Maßnahmen wurden bereits umgesetzt?

Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren DokumentationAuswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-VertragsklauselnSchriftliche Weisungen an den AuftragnehmerVerpflichtung der Mitarbeiter des Auftragnehmers auf DatengeheimnisVerpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen BestellpflichtVereinbarung wirksamer Kontrollrechte gegenüber dem AuftragnehmerRegelung zum Einsatz weiterer SubunternehmerSicherstellung der Vernichtung von Daten nach Beendigung des AuftragsBei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus