Sicherheitsmaßnahmen

Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO

Marketing im Blick GmbH setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.

1. Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)

Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert:

  • Manuelles Schließsystem / Türschlösser
  • Schlüsselregelung (Protokollierung der Schlüsselausgabe)
  • Sorgfältige Auswahl von Reinigungspersonal

2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)

Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:

  • Passwortvergabe
  • Passwort-Verwaltungsprogramm Bitwarden mit zugewiesenen Nutzungsrechten je nach Position (Mindestlänge, Komplexität etc.)
  • Erstellen von Benutzerprofilen in den IT-Systemen
  • Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
  • Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
  • Verwaltung der Berechtigungen durch Systemadministratoren
  • Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
  • regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)


  • Einsatz von Anti-Viren-Software
  • Einsatz einer Hardware-Firewall
  • Einsatz von Intrusion-Detection-Systemen


  • Festplattenverschlüsselung
  • Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
  • Verschlüsselung externer Datenträger (externe Festplatten, USB-Sticks etc.)
  • Verschlüsselung der Datensicherungssysteme

3. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)

Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):

  • Protokollierung von Zugriffen auf die IT-Systeme des Auftragsverarbeiter (Log-Protokolle)
  • Protokollierung von Eingaben, Änderungen und Löschungen (Log-Protokolle)
  • Protokollierung der Aktionen einzelner Nutzer
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind

4. Sichere Löschung von Daten

Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:

  • Löschkonzept
  • Beauftragung von spezialisierten Unternehmen für die Vernichtung von Akten und Datenträgern
  • ordnungsgemäße Vernichtung von ausgemusterten Datenträgern (DIN 66399)
  • Einsatz von Aktenvernichtern (mindestens Stufe P-4)
  • ordnungsgemäße Bereinigung von Datenträgern vor Wiederverwendung

5. Datenschutz bei den Subunternehmern des Auftragsverarbeiters

Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:

  • Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit)
  • Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer
  • laufende und anlassbezogene Prüfung des Subunternehmers
  • Sicherstellung der Vernichtung der Daten beim Subunternehmer nach Beendigung des Auftrags

6. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:

  • Einsatz von VPN-Tunneln
  • Verschlüsselung der sonstigen Kommunikationswege
  • Sonstige: Transferserver ausschließlich mittels SSL gesicherten Kommunikationsweg

7. Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)

Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind:

  • Backup- & Wiederherstellungskonzept
  • Testen der Datenwiederherstellung
  • Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort
  • Unterbrechungsfreie Stromversorgung (USV)

8. Sonstige Datenschutzmaßnahmen

Folgende weitere Datenschutzmaßnahmen wurden implementiert:

  • Logische Mandantentrennung (softwareseitig)
  • Verschlüsselung von Datensätzen, die zu dem selben Zweck verarbeitet werden
  • Versehen der Datensätze mit Zweckattributen / Datenfeldern / Signaturen
  • Trennung von Produktiv- und Testsystem
  • interne Verhaltensregeln
  • Risikoanalysen
  • Datenschutz-Folgenabschätzung
  • Datensicherheitskonzept
  • Wiederanlaufkonzept
  • Pseudonymisierung

9. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen

Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen prüfen, evaluieren und bei Bedarf anpassen.