nordpass logo

Datenverarbeitungsvereinbarung (Business)

Zuletzt aktualisiert: 27/09/21

Versionsnummer: 2.0

Vorherige Version (1.0)

Indessen

Der Kunde („Datenverantwortlicher“) und NordPass („Datenverarbeiter“);

Datenverantwortlicher und Datenverarbeiter werden im Folgenden gemeinsam als „Parteien“ bezeichnet;

  1. Der Datenverarbeiter erbringt für den Datenverantwortlichen Dienstleistungen im Rahmen des NordPass Nutzungsbedingungen (Business) („Bedingungen“), verfügbar auf der Website des Datenverarbeiters;
  2. Bei der Erbringung der Dienstleistungen verarbeitet der Datenverarbeiter die personenbezogenen Daten im Namen und auf Anweisung des Datenverantwortlichen;
  3. Die Parteien beabsichtigen, ihre Rechte und Pflichten in Bezug auf die oben beschriebene Verarbeitung personenbezogener Daten festzulegen;

Die vorliegende Datenverarbeitungsvereinbarung (die „Vereinbarung“) wurde abgeschlossen.

Definitionen

Sofern in dieser Vereinbarung nicht ausdrücklich etwas anderes vorgesehen ist, haben die in dieser Vereinbarung verwendeten Definitionen die Bedeutung, die in den Bedingungen oder wie unten angegeben definiert ist:

Anwendbare Datenschutzgesetze bezeichnet alle anwendbaren Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes überall auf der Welt, einschließlich, wo anwendbar, die DSGVO;

EEA bezeichnet den Europäischen Wirtschaftsraum (alle EU-Mitgliedstaaten, Großbritannien und Island, Norwegen und Liechtenstein);

DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

Verarbeitung bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die unter Verwendung personenbezogener Daten oder personenbezogener Datensätze durchgeführt werden, unabhängig davon, ob sie mit automatisierten Mitteln erfolgen, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung und den Zugang, die Koordinierung, die Einschränkung, die Löschung oder die Vernichtung;

Person bezeichnet eine natürliche Person, deren persönliche Daten verarbeitet werden;

Personal Data bezeichnet jegliche Informationen, die sich auf eine identifizierbare Person beziehen;

Standardvertragsklauseln (SCC)

bezeichnet eine vom Datenverarbeiter beauftragte Stelle, die zustimmt, personenbezogene Daten vom Datenverarbeiter zu erhalten, die ausschließlich für die im Rahmen der Dienstleistungen durchzuführenden Verarbeitungstätigkeiten bestimmt sind.

Anwendung dieser Vereinbarung

  1. Diese Vereinbarung gilt, wenn die Verarbeitung personenbezogener Daten durch die DSGVO geregelt ist. Wenn die Vereinbarung gilt, ist sie zwischen den Parteien rechtsverbindlich und stellt einen integralen Bestandteil der Bedingungen dar.
  2. Sofern in dieser Vereinbarung (einschließlich der SCC, falls zutreffend) nichts anderes vereinbart ist, gelten die Bedingungen zwischen den Parteien in ihrer Gesamtheit.

Allgemeine Bestimmungen und Verpflichtungen

  1. Der Datenverarbeiter verpflichtet sich, personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen zu verarbeiten, die von Zeit zu Zeit vom Datenverantwortlichen mitgeteilt werden. Die ursprünglichen Anweisungen des Datenverantwortlichen an den Datenverarbeiter bezüglich des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Personenkategorien sind in dieser Vereinbarung festgelegt.
  2. Bei der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung beachtet der Datenverantwortliche alle anwendbaren Datenschutzgesetze und Empfehlungen der zuständigen Aufsichtsbehörden.
  3. Der Datenverantwortliche wird keine Maßnahmen ergreifen, die den Datenverarbeiter dazu veranlassen würden, gegen die geltenden Datenschutzgesetze zu verstoßen.
  4. Mit der Unterzeichnung der Vereinbarung bestätigt der Datenverantwortliche, dass:
    • Alle im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten rechtmäßig erhoben werden;
    • Alle Bedingungen für die Übermittlung personenbezogener Daten an den Datenverarbeiter außerhalb des EWR erfüllt sind;
    • Alle Personen ordnungsgemäß über die Nutzung der Dienste des Datenverarbeiters informiert wurden und dass der Datenverantwortliche den Personen alle gemäß den geltenden Datenschutzgesetzen erforderlichen Informationen übermittelt hat.
  5. Alle in dieser Vereinbarung aufgeführten Anweisungen umfassend sind und den Willen des Datenverantwortlichen widerspiegeln. Zusätzliche oder abweichende Anweisungen des Datenverantwortlichen müssen von den Parteien gesondert schriftlich vereinbart werden.
  6. Der Datenverarbeiter:
    • Darf keine Anweisungen des Datenverantwortlichen bewerten, der dafür verantwortlich und haftbar ist, dass die erteilten Anweisungen in vollem Umfang rechtmäßig und mit den geltenden Datenschutzgesetzen konform sind. Wenn eine Anweisung nach vernünftiger Einschätzung des Datenverarbeiters zweifellos gegen die geltenden Datenschutzgesetze verstößt, muss der Datenverarbeiter den Datenverantwortlichen informieren;
    • Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter den Datenverantwortlichen auf dessen Kosten dabei, die Einhaltung der Verpflichtungen des Datenverantwortlichen gemäß den geltenden Datenschutzgesetzen sicherzustellen, indem er die vom Datenverantwortlichen angeforderten Informationen bereitstellt;
    • Anweisungen zur Verarbeitung

Anweisungen zur Verarbeitung

  1. Die personenbezogenen Daten im Rahmen dieser Vereinbarung werden verarbeitet, um dem Datenverantwortlichen Dienstleistungen gemäß den Bedingungen zu erbringen. Die Art, der Zweck, der Gegenstand und andere Einzelheiten der im Rahmen der Dienstleistungen durchgeführten Verarbeitungstätigkeiten sind in Anhang I dieser Vereinbarung dargelegt.

Offenlegung personenbezogener Daten

  1. Der Datenverarbeiter verpflichtet sich, keine verarbeiteten personenbezogenen Daten an Dritte weiterzugeben, es sei denn, dies geschieht durch den Einsatz von Unterverarbeitern, wie in dieser Vereinbarung festgelegt, es sei denn, die personenbezogenen Daten werden aufgrund von Auskunftsersuchen Dritter in Übereinstimmung mit anwendbaren Rechtsakten oder aufgrund von berechtigten Anfragen von Strafverfolgungs- oder anderen zuständigen Behörden weitergegeben.
  2. Der Datenverantwortliche ermächtigt den Datenverarbeiter, Unterverarbeiter einzusetzen, um seine Verpflichtungen gemäß dieser Vereinbarung zu erfüllen (er erteilt eine allgemeine Ermächtigung), vorausgesetzt, der Datenverarbeiter führt eine Liste der Unterverarbeiter und stellt dem Datenverantwortlichen diese Liste auf schriftliche Anfrage des Datenverantwortlichen zur Verfügung. Im Falle eines neuen Unterverarbeiters wird der Datenverarbeiter den Datenverantwortlichen darüber informieren. Der Datenverarbeiter ermöglicht dem Datenverantwortlichen, durch einen begründeten, spezifischen und schriftlichen Einspruch gegen Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterverarbeitern auf der vorgenannten Liste Einspruch zu erheben.
  3. Der Datenverarbeiter ist verpflichtet, dafür zu sorgen, dass die Unterverarbeiter schriftlich ähnliche Verpflichtungen wie die in dieser Vereinbarung vereinbarten übernehmen. Der Datenverarbeiter bleibt gegenüber dem Datenverantwortlichen in vollem Umfang für die Erfüllung der Datenschutzverpflichtungen seiner Unterverarbeiter haftbar, wenn die Unterverarbeiter diese Verpflichtungen nicht erfüllen.

Übermittlung an Drittstaaten

  1. Der Datenverarbeiter ist berechtigt, die personenbezogenen Daten in ein Land außerhalb des EWR zu übermitteln, soweit dies für die Erbringung der Dienstleistungen erforderlich ist, vorausgesetzt, dass der Datenverarbeiter ein angemessenes Schutzniveau gewährleistet und andere Verpflichtungen einhält, denen er nach dieser Vereinbarung unterliegt.
  2. Sofern die Parteien nach den geltenden Datenschutzgesetzen verpflichtet sind, die SCC abzuschließen, wird die SCC hiermit durch diesen Verweis in diese Vereinbarung als rechtsverbindliche und ordnungsgemäß ausgeführte Vereinbarung zwischen den Parteien aufgenommen und:
    • Der Datenverantwortliche wird als „Datenexporteur“ und der Datenverarbeiter als „Datenimporteur“ betrachtet;
    • Die Parteien wählen „MODUL ZWEI: Übertragung des Verantwortlichen an den Verarbeiter“ als ein anwendbares Modul für die Beziehung gemäß den Bedingungen und der Vereinbarung;
    • Die Parteien nehmen die optionale Andockklausel in die SCC auf. Die Parteien, die personenbezogene Daten an die neue Partei übermitteln oder von ihr erhalten, übernehmen die Pflichten des Datenimporteurs bzw. Datenexporteurs gegenüber der neuen Partei;
    • Die Parteien wählen OPTION 2: ALLGEMEINE SCHRIFTLICHE ERMÄCHTIGUNG für den Einsatz von Unterverarbeitern in Klausel 9 der SCCs und formulieren diese wie folgt: „Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterverarbeitern mindestens 20 Tage im Voraus, so dass der Datenexporteur genügend Zeit hat, um vor der Beauftragung des/der Unterverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann“;
    • Die Parteien vereinbaren, dass die niederländische Datenschutzbehörde die zuständige Aufsichtsbehörde für Angelegenheiten im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer gemäß dieser Vereinbarung ist. In allen Fällen, in denen die SCCs die Angabe eines Landes oder eines Mitgliedstaates verlangen (insbesondere in den Klauseln 17 und 18), vereinbaren die Parteien, die Niederlande als erste Wahl zu treffen;
    • Anhang I dieser Vereinbarung gilt als Anhang I und II zu den SCCs.

Grundsätze zur Sicherheit personenbezogener Daten

  1. Um den Datenverantwortlichen bei der Einhaltung der gesetzlichen Verpflichtungen zu unterstützen, einschließlich, aber nicht beschränkt auf die Umsetzung angemessener Sicherheitsmaßnahmen für personenbezogene Daten, ergreift der Datenverarbeiter geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. Die Maßnahmen müssen ein angemessenes Maß an Sicherheit gewährleisten, wobei Folgendes zu berücksichtigen ist:
    • besondere Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten;
    • die Kosten der Maßnahmen;
    • bestehenden technischen Möglichkeiten.
  2. Der Datenverarbeiter setzt ausreichende technische und organisatorische Mittel ein, um ein den Risiken entsprechendes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich:
    • die Fähigkeit, die kontinuierliche Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Verarbeitung personenbezogener Daten zu gewährleisten;
    • die Möglichkeit, die Bedingungen und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen; und
    • regelmäßige Bewertung der Effizienz der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit, Überprüfung, Bewertung und Leistung der Verarbeitung personenbezogener Daten.
  3. Der Datenverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Unterverarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

Bearbeitung der Personenanfragen

  1. Der Datenverantwortliche bearbeitet und beantwortet alle Anfragen oder Anträge einer Person zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf den Zugang zu den über die Person gespeicherten Informationen und Anträge auf Löschung oder Berichtigung der personenbezogenen Daten oder Einschränkung der Verarbeitung in Bezug auf die Person.
  2. Jede Anfrage einer Person oder jeder Antrag auf Ausübung ihrer Rechte, die direkt an den Datenverarbeiter gerichtet sind, werden vom Datenverarbeiter an den Datenverantwortlichen weitergeleitet.
  3. Wenn der Datenverantwortliche nicht in der Lage ist, die Rechte der Person auszuüben, kann der Datenverantwortliche den Datenverarbeiter um Unterstützung bei der Bereitstellung von Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung bitten.

Recht auf Durchführung einer Prüfung

  1. Der Datenverantwortliche hat das Recht, Maßnahmen zu ergreifen, um die Einhaltung der Bedingungen dieser Vereinbarung durch den Datenverarbeiter zu überprüfen, wenn dies vernünftigerweise erforderlich ist. Der Datenverantwortliche hat das Recht, eine Prüfung durch ein unabhängiges, akkreditiertes und seriöses Drittunternehmen zu verlangen, auf das sich die beiden Parteien geeinigt haben.
  2. Diese Prüfung findet nur statt, wenn ein konkreter und begründeter Verdacht auf Missbrauch personenbezogener Daten besteht, und nur, nachdem der Datenverantwortliche ähnliche bestehende Berichte vom Datenverarbeiter angefordert und bewertet hat und angemessene Argumente vorgebracht hat, die eine Prüfung durch den Datenverantwortlichen rechtfertigen. Eine solche Prüfung ist gerechtfertigt, wenn die dem Datenverarbeiter zur Verfügung stehenden ähnlichen Berichte unzureichende oder nicht schlüssige Antworten hinsichtlich der Einhaltung dieser Vereinbarung durch den Datenverarbeiter liefern.
  3. Um Zweifel auszuschließen, dürfen weder der Datenverantwortliche noch der beauftragte Prüfer ein Konkurrent des Datenverarbeiters sein, und der Datenverantwortliche oder der ausgewählte Prüfer dürfen unter keinen Umständen Zugang zu vertraulichen Informationen des Datenverarbeiters, zu Informationen anderer Kunden des Datenverarbeiters oder zu Informationen Dritter haben, denen gegenüber der Datenverarbeiter eine Vertraulichkeitspflicht hat.
  4. Eine solche Prüfung durch den Datenverantwortlichen findet während der regulären Geschäftszeiten in einer Weise statt, die den Geschäftsbetrieb des Datenverarbeiters nicht beeinträchtigt, und zwar mit einer angemessenen Vorankündigung von mindestens 2 Monaten an den Datenverarbeiter und vorbehaltlich der maximalen Kapazität der Vertraulichkeitsverpflichtung, wie unten angegeben. Der Datenverantwortliche ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller Kosten und Gebühren für die Zeit, die der Datenverarbeiter für eine solche Prüfung aufwendet, zusätzlich zu den Sätzen für die vom Datenverarbeiter erbrachten Unterstützungsleistungen und allen dem Datenverarbeiter entstandenen Ausgaben. Vor Beginn einer solchen Prüfung einigen sich die Parteien einvernehmlich auf den Zeitpunkt, die Dauer und den Umfang der Prüfung, die keinen physischen Zugang zu den Servern, von denen aus die Datenverarbeitungsdienste erbracht werden, beinhalten darf. Der Datenverantwortliche benachrichtigt den Datenverarbeiter unverzüglich über alle Verstöße, die im Laufe einer Prüfung festgestellt werden. Der Datenverantwortliche darf den Datenverarbeiter nicht öfter als einmal pro Jahr überprüfen.
  5. Informationen, die im Laufe einer Prüfung entdeckt werden, werden als „vertrauliche Informationen“ behandelt und unterliegen dem Abschnitt „Vertraulichkeit“ der Bedingungen.

Bedingung

  1. Diese Vereinbarung gilt für die gesamte Dauer der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen.
  2. Nach Beendigung der Vereinbarung löscht der Datenverarbeiter die personenbezogenen Daten oder gibt sie an den Datenverantwortlichen zurück, wie in dieser Vereinbarung vorgesehen. Personenbezogene Daten sind zu löschen oder auf andere Weise unwiederbringlich zu machen und/oder zu anonymisieren, mit Ausnahme der Kopien, die gemäß den Bedingungen oder dieser Vereinbarung zulässig sind oder die gemäß den geltenden Gesetzen aufbewahrt werden müssen.

Rückerstattung

  1. Der Datenverarbeiter hat Anspruch auf Erstattung angemessener Auslagen, Kosten und Gebühren, die ihm infolge unrichtiger, unvollständiger oder rechtswidriger Weisungen des Datenverantwortlichen oder infolge fehlender Weisungen des Datenverantwortlichen entstanden sind.

Haftung

  1. Die Gesamthaftung des Datenverarbeiters, die sich aus dieser Vereinbarung ergibt oder damit zusammenhängt, unabhängig davon, ob es sich um eine vertragliche Haftung, eine Haftung aus unerlaubter Handlung oder eine sonstige Haftungstheorie handelt, unterliegt den in den Bedingungen dargelegten Beschränkungen und Ausschlüssen. Unter Haftung des Datenverarbeiters ist die Gesamthaftung des Datenverarbeiters gemäß den Bedingungen und dieser Vereinbarung zu verstehen.

Sonstige Bestimmungen

  1. Alle Mitteilungen zwischen den Vertragsparteien erfolgen gemäß den Bestimmungen der Bedingungen.
  2. Diese Vereinbarung und alle Streitigkeiten oder Ansprüche, die sich aus dieser Vereinbarung ergeben, werden gemäß den Bestimmungen der Bedingungen geregelt.
  3. Im Falle von Widersprüchen zwischen dieser Vereinbarung, den Bedingungen und anderen Verträgen, die Datenschutzfragen zwischen den Parteien regeln, haben die Bestimmungen dieser Vereinbarung Vorrang vor allen anderen vertraglichen Bestimmungen.

ANHANG I

Beschreibung und Hinweise zur Verarbeitung

Zwecke und Art der Verarbeitung
Erbringung von Dienstleistungen für den Datenverantwortlichen, wie in den Bedingungen vorgesehen oder wie vom Datenverantwortlichen angewiesen.
Kategorien betroffener Personen
Mitarbeiter des Datenverantwortlichen, Kunden und andere Personen (die natürliche Personen sind), die vom Datenverantwortlichen ermächtigt wurden.
Kategorien von personenbezogenen Daten
Der Datenverantwortliche verarbeitet Informationen im Zusammenhang mit der Nutzung des Dienstes, wie z. B. grundlegende Kontaktinformationen der Organisation, Kontoregistrierungs- und Anmeldeinformationen, Benutzer-E-Mails, Informationen über Benutzerrollen und -status, Einladungen, Empfehlungen, Passwortstatus und -zustand, Informationen über Datenschutzverletzungen, grundlegende Geräteinformationen (z. B. Gerätename, Geräte-ID, IP-Adresse, Betriebssystem, Plattform), Aktivitäts- und E-Mail-Protokolle, Authentifizierungsversuche, Metadaten über Objekte im Tresor (z. B. gelöscht am, zuletzt verwendet am, Typ, ausstehende Freigaben, Zugriffsrechte), Anwendungsdiagnosen und andere Informationen, die vom Datenverantwortlichen angefordert werden können.
Dauer und Häufigkeit der Verarbeitung
Die Verarbeitung erfolgt kontinuierlich für den Zeitraum der Erbringung der Dienstleistungen für den Datenverantwortlichen.
Gegenstand, Art und Dauer der Verarbeitung durch Unterverarbeiter
Die Unterverarbeiter sind ein integraler Bestandteil der für den Datenverantwortlichen erbrachten Dienstleistungen. Die Unterverarbeiter werden in allen Phasen der Erbringung der Dienstleistung eingesetzt und die personenbezogenen Daten werden so lange verarbeitet, wie es für die Erbringung der Dienstleistung erforderlich ist.
Beschreibung der vom Datenverarbeiter getroffenen technischen und organisatorischen Maßnahmen

Kontrolle der Vermögenswerte in der Server-Infrastruktur

  • Die Informationen des Unternehmens werden auf sicheren und physisch unzugänglichen, verschlüsselten Servern aufbewahrt.
  • Das Unternehmen führt eine Sicherheitsbewertung des Rechenzentrums durch, bevor es einen neuen Anbieter aufnimmt.
  • Die gesamte Infrastruktur ist durch Firewalls und andere Sicherheitsmaßnahmen geschützt.

Bewertung von Schwachstellen und deren Behebung

  • Die Sicherheit der Kundendaten wird durch ein internes Sicherheitsteam und externe Berater gewährleistet, die regelmäßig Penetrationstests für die Websites und Anwendungen des Unternehmens durchführen.
  • Es werden regelmäßig automatische Schwachstellenbewertungen durchgeführt und Abhilfemaßnahmen ergriffen.

Verwaltung des Zugangs

  • Der Zugang zu personenbezogenen Daten wird nur Personen gewährt, die diese Daten zur Erfüllung ihrer Aufgaben benötigen (auf Need-to-know-Basis).
  • ACL-Software wird zur Aufdeckung und Verhinderung von Betrug und zum Risikomanagement eingesetzt. Dadurch wird sichergestellt, dass nur die richtigen Personen Zugang zu sensiblen Informationen haben.
  • Das Unternehmen verwendet VPN und sichere Jumpboxen für den Zugriff auf die Netzinfrastruktur von entfernten Standorten aus.
  • Die Administratorrechte für die Infrastruktur des Unternehmens sind auf eine begrenzte Anzahl von Mitarbeitern beschränkt.
  • Das Unternehmen verwendet eine Konfigurationsmanagement-Software, die die Cloud-Bereitstellung, das Konfigurationsmanagement, die Anwendungsbereitstellung, die Orchestrierung innerhalb von Diensten und andere IT-Anforderungen automatisiert. Die Software verfügt über eine rollenbasierte Zugriffskontrolle, mit der das Unternehmen auf einfache Weise festlegen kann, wer welche Automatisierungen in welchen Umgebungen ausführen darf, um sicherzustellen, dass nur die richtigen Personen die Möglichkeit haben, auf Maschinen zuzugreifen und Konfigurationen anzuwenden.
  • Das Unternehmen überwacht die Konten seiner Mitarbeiter, um Konten zu entfernen, die irrelevant oder inaktiv sind.

Fähigkeit zur Datenwiederherstellung

  • Im Falle von Fehlern ist es möglich, personenbezogene Daten und wichtige Informationen aus Sicherungskopien wiederherzustellen. Die Sicherungskopien sind verschlüsselt, wobei die Daten regelmäßig in Dateien gespeichert werden, die sich an verschiedenen Orten außerhalb des Firmengeländes befinden.

Reaktion auf Zwischenfälle und Management

  • Das Unternehmen verfügt über definierte Prozesse und Verfahren zur Erkennung von Zwischenfällen, zur genauen Reaktion und zur Eindämmung von Zwischenfällen, um Datenschäden zu verhindern.
  • Das Unternehmen verfügt über ein spezielles Team, das rund um die Uhr für das Management von Zwischenfällen zuständig ist.

Kontrolle von Software- und Hardware-Assets

  • Das Unternehmen führt ein Inventar der Geräte seiner Mitarbeiter und ist in der Lage, abtrünnige Geräte zu erkennen und zu sperren.
  • Auf den Computern, die das Unternehmen seinen Mitarbeitern zur Verfügung stellt, sind Systeme zur Verwaltung mobiler Geräte installiert, die die Sicherheit der Geräte, die angemessene und rechtzeitige Aktualisierung der Software sowie die sichere Vernichtung der Daten im Falle eines Geräteverlusts gewährleisten.
  • Bevollmächtigte Mitarbeiter sind für die Sicherheit der Geräte des Unternehmens verantwortlich – sie installieren und aktualisieren Virenschutz, Firewall und andere Sicherheitsmaßnahmen.
  • Der Datenverarbeiter verlangt die Verwendung eindeutiger Benutzerkennungen, starker Passwörter, einer Zwei-Faktor-Authentifizierung in den meisten Anwendungen und sorgfältig überwachter Zugriffslisten, um das Potenzial für die unbefugte Nutzung von Konten zu minimieren. Die Mehrzahl der Systeme, die personenbezogene Daten enthalten, sind für die Mitarbeiter nur über IP-Adressen auf der Whitelist zugänglich.
  • Die Mitarbeiter greifen über verschlüsselte Tunnel (VPN) auf das Netzwerk zu. Das Unternehmen verwendet auch eine Client-Isolierung, die verhindert, dass ein über eine drahtlose Verbindung mit dem Netz verbundenes Gerät auf Ressourcen zugreift, die über eine kabelgebundene Verbindung mit dem Netz verbunden sind.
  • Software- und Firmware-Updates werden regelmäßig durchgeführt. Erkannte kritische Schwachstellen werden sofort behoben.

Physische Sicherheit

  • Die Räumlichkeiten des Unternehmens sind nur für Personen zugänglich, die vom Unternehmen autorisiert wurden. Gäste, Partner und Kunden werden beim Betreten der Hauptgeschäftsräume des Unternehmens registriert und müssen Geheimhaltungsvereinbarungen unterzeichnen. Alle Räumlichkeiten des Unternehmens werden von dritten Personen nur in Begleitung von Mitarbeitern des Unternehmens betreten.
  • Die Mitarbeiter des Unternehmens haben nur mit Schlüsselkarten Zutritt zu den Räumlichkeiten, auf denen Informationen über ihre Nutzung gespeichert sind. Alle Räumlichkeiten verfügen über funktionierende Alarmsysteme, die von Sicherheitsunternehmen überwacht werden.
  • Um sicherzustellen, dass die Räumlichkeiten des Unternehmens nur von autorisierten Personen betreten werden, führt das Unternehmen eine Videoüberwachung der Eingänge und Durchgänge durch.
  • Die Mitarbeiter des Unternehmens müssen Dokumente und Dateien ordnungsgemäß und sicher aufbewahren und dürfen keine unnötigen Kopien anfertigen. Sensible Papierdokumente werden in Schließfächern oder Tresoren aufbewahrt.
Die technischen und organisatorischen Maßnahmen, die von den Unterverarbeitern zu ergreifen sind
Der Datenverarbeiter ergreift organisatorische Maßnahmen, um sicherzustellen, dass die von seinen Unterverarbeitern angewandten Sicherheitspraktiken nicht weniger schützend sind als die in dieser Vereinbarung vorgesehenen Maßnahmen zum Schutz personenbezogener Daten (soweit dies je nach Art der von einem Unterverarbeiter erbrachten Dienstleistungen der Fall ist).