Ungeachtet etwaiger zusätzlicher vertraglich vereinbarter Maßnahmen stellt Safecall sicher, dass zumindest die folgenden technischen und organisatorischen Maßnahmen gewährleistet sind:
1. Vertraulichkeit
1.1 Physische Zugangskontrolle: Kein unbefugter Zugang zu Datenverarbeitungsanlagen, z. B.: Magnet- oder Chipkarten, Schlüssel, elektronische Türöffner, Sicherheitsdienste und/oder Sicherheitspersonal am Eingang, Alarmsysteme, Video/CCTV-Systeme.
1.2 Elektronische Zugangskontrolle: Keine unbefugte Nutzung der Datenverarbeitungs- und Datenspeichersysteme, z. B.: (sichere) Passwörter, automatische Sperr-/Verriegelungsmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern/Speichermedien.
1.3 Interne Zugriffskontrolle (Berechtigungen für den Zugriff auf und die Änderung von Daten durch Benutzer): Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten innerhalb des Systems, z.B. Berechtigungskonzept, bedarfsgerechte Zugriffsrechte, Protokollierung von Systemzugriffsereignissen.
1.4 Pseudonymisierung (Artikel 32 Absatz 1 Buchstabe a GDPR; Artikel 25 Absatz 1 GDPR): Die Verarbeitung personenbezogener Daten in einer Art und Weise, dass die Daten ohne Hilfe zusätzlicher Informationen nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, vorausgesetzt, diese zusätzlichen Informationen werden getrennt gespeichert und unterliegen geeigneten technischen und organisatorischen Maßnahmen.
2. Integrität
2.1 Kontrolle der Datenübertragung: Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Daten bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, virtuelle private Netzwerke (VPN), elektronische Signatur.
2.2 Kontrolle der Dateneingabe: Überprüfung, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden, z.B. Protokollierung, Dokumentenmanagement.
3. Verfügbarkeit und Ausfallsicherheit
3.1 Verfügbarkeitskontrolle: Vorbeugung gegen versehentliche oder vorsätzliche Zerstörung oder Verlust, z. B.: Backup-Strategie (online/offline; vor Ort/außer Haus), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldeverfahren und Notfallplanung.
3.2 Rasche Wiederherstellung (Artikel 32 Absatz 1 Buchstabe c GDPR) und (Artikel 32 Absatz 1 Buchstabe c GDPR).
4. Verarbeitung durch Dritte
4.1 Keine Datenverarbeitung durch Dritte ohne entsprechende Weisungen von Safecall, z.B.: klare und eindeutige vertragliche Vereinbarungen, formalisiertes Auftragsmanagement, strenge Kontrollen bei der Auswahl des Dienstleisters, Pflicht zur Vorabbewertung, aufsichtliche Nachkontrollen.