Sofern Comtravo selbst Ihre über die Website und unser Produkt erhobenen personenbezogenen Daten verarbeitet, müssen gewisse technische und organisatorische Maßnahmen (TOMs) getroffen werden.

Diese finden Sie nachstehend aufgelistet.

Maßnahmen zur Sicherung der Vertraulichkeit 

Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren. 

Beschreibung des Zutrittskontrollsystems:

  • Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte
  • Türsicherung (elektronischer Türöffner etc.)
  • Überwachungseinrichtung (Alarmanlagen, Video)
  • zentraler, tagsüber besetzter Empfang

Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können. 

Beschreibung des Zugangskontrollsystems:

  • Kennwortverfahren (mind. 6-stellige Passwörter, Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
  • Automatische Sperrung (nach 5 Minuten Inaktivität)
  • Begrenzung der Zahl der berechtigten Mitarbeiter
  • Verschlüsselung von Datenträgern
  • Access-Listen
  • Verschlüsselung von Datenträgern, sofern benutzt

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, sodass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

  • Berechtigungskonzepte (Profile, Rollen etc.) und deren Dokumentation
  •  Auswertung/Protokollierungen

Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

Beschreibung des Trennungskontrollvorgangs:

  • Berechtigungskonzepte
  • Softwareseitige Kundentrennung
  • Trennung von Test- und Produktivsystemen

Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren. 

Beschreibung des Pseudonymisierungsverfahrens:

  • nicht möglich/im Kundeninteresse, da Buchungsanfragen buchenden-/personenindividuell beantwortet werden 
  • Für allgemeine Analysen anonymisieren wir alle Daten. Bei der Auswertung personenbezogener Anfragen/Angebote arbeiten wir mit Pseudonymisierung, wobei hier außer dem Geschlecht keine weiteren personenbezogenen Daten genutzt werden.

Maßnahmen zur Sicherung der Integrität 

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.

Beschreibung der Weitergabekontrolle:

  • Elektronische Signatur
  • Protokollierung 
  • Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung des Eingabekontrollvorgangs:

  • Protokollierung sämtlicher Systemaktivitäten
  • Protokollauswertungssysteme

Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit 

Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

  • Datensicherungsverfahren
  • regelmäßige Tests der Datenwiederherstellung

Rasche Widerherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen:

  • Datensicherungsverfahren

Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung 

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

Beschreibung der Überprüfungsverfahren:

  • Datenschutzmanagement
  • Formalisierte Prozesse für Datenschutzvorfälle

Auftragsdatenverarbeitungsvereinbarung 

Sämtliche Informationen halten wir auch vertraglich in unserer Vereinbarung zur Auftragsdatenverarbeitung (AVV) fest. Sprechen Sie Ihren Sales Consultant (Neukunde) oder Account Manager (Bestandskunde) darauf an. 

War diese Antwort hilfreich für dich?