| (2) |
Soweit es zum Schutz besonderer Kategorien personenbezogener Daten erforderlich ist, haben die Verantwortlichen und die Auftragsverarbeiter ergänzend zu Absatz 1 weitere angemessene und spezifische Maßnahmen zu treffen. Als Maßnahmen kommen insbesondere in Betracht:
| 1. |
Sicherstellung, dass die personenbezogenen Daten zur Verarbeitung nur im Vier-Augen-Prinzip freigegeben werden, |
| 2. |
Sicherstellung, dass auf die personenbezogenen Daten nur nach einer Zwei-Faktor-Authentisierung zugegriffen wird, |
| 3. |
Sicherstellung, dass die elektronische Übermittlung von personenbezogenen Daten nur mit einer Ende-zu-Ende- Verschlüsselung erfolgt, |
| 4. |
Sicherstellung, dass in einem vernetzten IT-System die personenbezogenen Daten nur mit einer Verschlüsselung gespeichert werden, |
| 5. |
Sicherstellung, dass durch eine redundante Auslegung der Systeme, der Energieversorgung und der Datenübertragungseinrichtungen ein Datenverlust vermieden wird, |
| 6. |
Sicherstellung, dass Daten nicht unbefugt verändert werden und ihre Integrität gewahrt ist, etwa durch den Einsatz einer elektronischen Signatur, |
| 7. |
Schulung der Personen, die Zugang zu personenbezogenen Daten haben. |
|
