Datenschutz

Was tun wir um Ihre Daten sicher zu verwalten?

Verantwortlicher für den Datenschutz:
André Bechtel & Dorothea Schirmacher
Prymstraße 1
97070 Würzburg
E-mail: a.bechtel-at-regenaphysiotherapie.de

Es findet keine Datenverarbeitung in der Praxis RegenaPhysioTherapie Bechtel & Schirmacher GbR mehr statt.
Mit unserem Webhosting Vertragpartner besteht ein Vertrag zur Auftragverarbeitung gemäß Art 28 DSGVO
Unsere Webseite ist nach dem SSL Protokoll verschlüsselt.

Erhebung von Zugriffsdaten und Logfiles

Unser Hostinganbieter 1und1, erhebt auf Grundlage und im Sinne des Art. 6 Abs. 1 Buchstabe f. DSGVO unseres berechtigten Interesses Daten über jeden Zugriff auf den Server(sogenannte Serverlogfiles). Sie enthalten:

• Zeitpunkt der Seitenaufrufe
• Anzahl der Seitenaufrufe
• Dauer der Sitzung
• IP-Adresse und Hostname der Nutzer
• Informationen über den anfragenden Client (in der Regel Browser)
• genutzte Suchmaschine inklusive Suchanfrage
• verwendetes Betriebssystem
  Speicherung ist für einen Zeitraum von bis zu sieben Tagen möglich. Die gesetzliche Grundlage hierfür ist das Telekommunikationsgesetz (§100 Abs.1 und § 109).
   
• Datenverarbeitung des Providers:
• Vereinbarung zur Auftragsverarbeitung - Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVO

• Version 1.0

  1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  1.1 Zutrittskontrolle

  Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind. Festlegung von Sicherheitsbereichen

  • ●  Realisierung eines wirksamen Zutrittsschutzes

  • ●  Protokollierung des Zutritts

  • ●  Festlegung Zutrittsberechtigter Personen

  • ●  Verwaltung von personengebundenen Zutrittsberechtigungen

  • ●  Begleitung von Fremdpersonal

  • ●  Überwachung der Räume
    1.2 Zugangskontrolle
    Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

  • ●  Festlegung des Schutzbedarfs

  • ●  Zugangsschutz

  • ●  Umsetzung sicherer Zugangsverfahren, starke Authentisierung

  • ●  Umsetzung einfacher Authentisierung per Username Passwort

  • ●  Protokollierung des Zugangs

  • ●  Monitoring bei kritischen IT-Systemen

  • ●  Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

  • ●  Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen

  • ●  Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)

  • ●  Festlegung befugter Personen

  • ●  Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen

  • ●  Automatische Zugangssperre und Manuelle Zugangssperre

    1.3 Zugriffskontrolle

    Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

  • ●  Erstellen eines Berechtigungskonzepts

  • ●  Umsetzung von Zugriffsbeschränkungen

  • ●  Vergabe minimaler Berechtigungen

  • ●  Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen

  • ●  Vermeidung der Konzentration von Funktionen

    1.4 Verwendungszweckkontrolle

    Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • ●  Datensparsamkeit im Umgang mit personenbezogenen Daten

  • ●  Getrennte Verarbeitung verschiedener Datensätze

  • ●  Regelmäßige Verwendungszweckkontrolle und Löschung

  • ●  Trennung von Test- und Entwicklungsumgebung

    1.5 datenschutzfreundliche Voreinstellungen

    Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

    2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

    2.1 Weitergabekontrolle

    Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

    Vereinbarung zur Auftragsverarbeitung Version 1.0 Seite 1 von 2

  https://regenaphysiotherapie.de/e0210f2a-0d6d-4cfb-bcc7-73a4a4fb67b5" alt="page1image755531200" width="69.000002" height="1.000000" /> https://regenaphysiotherapie.de/1c3d0099-9ab8-4197-9ae3-20d24758122f" alt="page1image755531504" width="75.000002" height="1.000000" /> https://regenaphysiotherapie.de/c2c9fe0f-762f-46af-bb42-b4ff32bbbc93" alt="page1image755531808" width="71.000000" height="1.000000" /> https://regenaphysiotherapie.de/fe016dd9-9a2b-4ec4-a559-60977802de6c" alt="page1image755532176" width="114.999998" height="1.000000" /> https://regenaphysiotherapie.de/3f06636e-3f48-4c13-ab10-ff59dbf2cc0d" alt="page1image755532480" width="158.000005" height="1.000000" /> https://regenaphysiotherapie.de/e25018c8-e720-494f-b180-e52075cabb6b" alt="page1image755532784" width="84.999998" height="1.000000" />

  • ●  Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen

  • ●  Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland

  • ●  Protokollierung von Übermittlungen gemäß Protokollierungskonzept

  • ●  Sichere Datenübertragung zwischen Server und Client

  • ●  Sicherung der Übertragung im Backend

  • ●  Sichere Übertragung zu externen Systemen

  • ●  Risikominimierung durch Netzseparierung

  • ●  Implementation von Sicherheitsgateways an den Netzübergabepunkten

  • ●  Härtung der Backendsysteme

  • ●  Beschreibung der Schnittstellen

  • ●  Umsetzung einer Maschine-Maschine-Authentisierung

  • ●  Sichere Ablage von Daten, inkl. Backups

  • ●  Gesicherte Speicherung auf mobilen Datenträgern

  • ●  Einführung eines Prozesses zur Datenträgerverwaltungen

  • ●  Prozess zur Sammlung und Entsorgung

  • ●  Datenschutzgerechter Lösch- und Zerstörungsverfahren

  • ●  Führung von Löschprotokollen

    2.2 Eingabekontrolle

    Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind.

  • ●  Protokollierung der Eingaben

  • ●  Dokumentation der Eingabeberechtigungen

    3. Verfügbarkeit, Belastbarkeit, Desaster Recovery

    3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • ●  Brandschutz

  • ●  Redundanz der Primärtechnik

  • ●  Redundanz der Stromversorgung

  • ●  Redundanz der Kommunikationsverbindungen

  • ●  Monitoring

  • ●  Resourcenplanung und Bereitstellung

  • ●  Abwehr von systembelastendem Missbrauch

  • ●  Datensicherungskonzepte und Umsetzung

  • ●  Regelmäßige Prüfung der Notfalleinrichtungen

    3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

    ● Notfallplan

  ● Datensicherungskonzepte und Umsetzung

  4. Datenschutzorganisation

  • ●  Festlegung von Verantwortlichkeiten

  • ●  Umsetzung und Kontrolle geeigneter Prozesse

  • ●  Melde- und Freigabeprozess

  • ●  Umsetzung von Schulungsmaßnahmen

  • ●  Verpflichtung auf Vertraulichkeit

  • ●  Regelungen zur internen Aufgabenverteilung

  • ●  Beachtung von Funktionstrennung und –zuordnung

  • ●  Einführung einer geeigneten Vertreterregelung

    5. Auftragskontrolle

    Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • ●  Auswahl weiterer Auftragnehmer nach geeigneten Garantien

  • ●  Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern

  • ●  Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO

    6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • ●  Informationssicherheitsmanagement nach ISO 27001

  • ●  Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen

  • ●  Prozess Sicherheitsvorfall-Management

  • ●  Durchführung von technischen Überprüfungen

    Vereinbarung zur Auftragsverarbeitung Version 1.0 Seite 2 von 2

  Google Maps
  Wir haben die Landkarten des Dienstes “Google Maps” des Anbieters, Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unsere Seiten eingebunden. Goodle verarbeitet insbesondere IP-Adressen und Standortdaten der Nutzer, die jedoch mit ihrer Einwilligung (im Regelfall durch die Erlaubnis und Einstellungen ihrer Mobilgeräte gegeben), erhoben werden. Die Daten können dadurch in den USA verarbeitet werden. Datenschutzerklärung: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated.
  

  Kontaktaufnahme

  Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 Buchstabe. b) DSGVO verarbeitet. Ihre Daten werden nicht über ein CRM System verarbeitet oder Dritten zur Verfügung gestellt. Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind. Wir überprüfen die Erforderlichkeit alle zwei Jahre; Ferner gelten die gesetzlichen Archivierungspflichten. Um uns vor Bots zu schützen, binden wir die Funktion bei Eingaben in unser Onlineformular zur Kontaktaufnahme "ReCaptcha" von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, ein. Datenschutzerklärung: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated

  Sollten Sie weitere Anregungen haben oder Fragen stehe ich gerne zur Verfügung.
  Email an André Bechtel

• Weiter