Zum Hauptinhalt springen
PATHADVICE Ermöglicht die digitale Kommunikation von Mensch zu Mensch Register here

Auftragsdatenverarbeitung

PATHADVICE AG

Vereinbarung über die Auftragsdatenverarbeitung nach Art 28 DSGVO

zwischen dem Auftragsdatenverarbeiter

PATHADVICE AG
Industriering 3
9491 Ruggell, Liechtenstein
(nachfolgend „PA“ genannt)

und dem PARTNER nachfolgend „PARTNER“ genannt
und beide gemeinsam nachfolgend „PARTEIEN“ genannt

1. Gegenstand der Vereinbarung

Gegenstand, Art, Umfang sowie Zweck der Datenverarbeitung ergibt sich aus dem zwischen PA und dem PARTNER geschlossenen Lizenzvertrag.
Die Verarbeitung der Daten umfasst das Erheben, Erfassen, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Bereitstellen, Abgleichen, Einschränken, Löschen und Vernichten von Daten.
Die erhobenen Daten werden dem PARTNER im Rahmen einer cloud-basierten Softwarelösung zur Verfügung gestellt. Zur Wartung und Unterstützung des PARTNERS erhalten Mitarbeiter der PA Zugang zu diesen Daten.

Folgende Datenkategorien werden im Rahmen der Kooperation verarbeitet:
Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten, Website-Besucherdaten;

Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
Kunden, Interessenten, Lieferanten, Ansprechpartner, Beschäftigte, Website-Besucherdaten;

2. Dauer der Vereinbarung

Dieser Vertrag wird auf unbestimmte Zeit geschlossen und gilt bis zur Beendigung des PATHADVICE Lizenzvertrages.

3. Pflichten der PA

PA verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des PARTNERS zu verarbeiten. Erhält PA einen behördlichen Auftrag, Daten des PARTNER herauszugeben, so hat er – sofern gesetzlich zulässig – den PARTNER unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. PA wird die Daten für eigene Zwecke ausschließlich anonymisiert und auf statistischer Basis zur Durchführung sowie zur Verbesserung der PA-Services verarbeiten. PA erklärt rechtsverbindlich, dass alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim PA aufrecht. PA erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen). PA ergreift die technischen und organisatorischen Maßnahmen, damit der PARTNER die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem PARTNER alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an PA gerichtet und lässt dieser Antrag erkennen, dass der Antragsteller PA irrtümlich für den Verantwortlichen der von ihm betriebenen Datenverarbeitung hält, hat PA den Antrag unverzüglich an den PARTNER weiterzuleiten und dies dem Antragsteller mitzuteilen. PA unterstützt den PARTNER bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der PARTNER wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. Dem PARTNER wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. PA verpflichtet sich, dem PARTNER jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. PA ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten im Auftrag des PARTNERS zu vernichten. Wenn PA die Daten in einem speziellen technischen Format verarbeitet, ist PA verpflichtet, die Daten nach Beendigung dieser Vereinbarung in diesem Format oder in einem anderen, gängigen Format herauszugeben. PA hat den PARTNER unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des PARTNER verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Pflichten des PARTNERS

Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der PARTNER verantwortlich.

5. Technische und organisatorische Maßnahmen

Die Datensicherheitsmaßnahmen sind aus Anlage 1 ersichtlich. Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird.

6. Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.

7. Sub-Auftragsverarbeiter

PA arbeitet abhängig von den zur Verfügung gestellten Services und deren Ausprägung mit verschiedener Sub-Auftragsverarbeiter zusammen. Eine Liste der Sub-Auftragsverarbeiter wird auf Anfrage an support@pathadvice.ai zur Verfügung gestellt.

PA kann weitere Sub-Auftragsverarbeiter hinzuziehen. PA hat den PARTNER von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass der PARTNER dies allenfalls untersagen kann. PA schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die PA auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet PA gegenüber dem PARTNER für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

8. Beendigung

Bei Beendigung des Vertragsverhältnisses oder jederzeit auf Verlangen des PARTNERS hat PA die im Auftrag verarbeiteten Daten zu vernichten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

Davon unbeschränkt bleibt das Recht der PA, diese Daten auch nach der Beendigung in anonymisierter Form und auf statistischer Basis zur Verbesserung seiner Services zu nutzen.

9. Sonstiges

Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

Anlage ./1
Technische und organisatorische Maßnahmen i.S.d. Art. 32 DSGVO

Organisatorische Maßnahmen

Ist ein Datenschutzbeauftragter bestellt und wem ist er unterstellt?

Geprüft?ErgebnisMaßnahme
[X]IBS data protection services and consulting GmbH, Zirkusweg 1, 20359 Hamburg, Deutschland, nicht unterstelltDer Verantwortliche benennt auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht.

Werden die Mitarbeiter regelmäßig geschult/belehrt und/oder verpflichtet?

Geprüft?ErgebnisMaßnahme
[X]Arbeitsanweisungen, Richtlinien, Merkblätter liegen vorÄnderungen an der Erbringung von Dienstleistungen durch den Auftragnehmer, einschließlich der Pflege und Verbesserung bestehender Auftragsdatenverarbeitungsverfahren müssen unter Berücksichtigung der Betriebswichtigkeit der betroffenen geschäftlichen Informationen, Systeme und Prozesse sowie einer erneuten Risikobewertung verwaltet werden.

Existieren interne Kontrollmaßnahmen, um die Einhaltung von Vorschriften zu gewährleisten?

Geprüft?ErgebnisMaßnahme
[X]Einhaltung gewährleistetPrüfung Abteilungsleiter und DSB

Werden regelmäßige Sicherheitsüberprüfungen durchgeführt?

Geprüft?ErgebnisMaßnahme
[X]Ext. SicherheitsunternehmenDie Zertifizierung ist freiwillig und über ein transparentes Verfahren zugänglich (www.data-trust-center.com) sowie Sicherheitsunternehmen RadarServices Smart IT-Security GmbH (www.radarservices.com)

In welchen Staaten wird Datenverarbeitung durchgeführt?

Geprüft?ErgebnisMaßnahme
[X]EU und EWRInnerhalb der EU oder einem Drittland mit angemessenem Datenschutzniveau gem. Art. 45 DSGVO

I. Vertraulichkeit
1 Zutrittskontrolle
Sollvorgabe: Maßnahmen, um unbefugten Zutritt zu Datenverarbeitungsanlagen zu verhindern.

Existieren Ausweisleser, Magnetkarten oder Chipkarten als Zutrittskontrolle?

Geprüft?ErgebnisMaßnahme
[X]ChipkartenSicherheitsbereiche müssen durch angemessene Zutrittskontrolle geschützt werden, durch die sichergestellt ist, dass nur autorisierte Personen/Beschäftigte Zutritt haben.

Erfolgt der Zutritt über Schlüssel? Ist die Schlüsselvergabe über ein Schlüsselverzeichnis organisiert? Existiert eine elektronische Türsicherung?

Geprüft?ErgebnisMaßnahme
[X]Elektronische TürsicherungEs sind physische Schutzvorkehrungen und Richtlinien für die Arbeit in Sicherheitsbereichen zu konzipieren und anzuwenden.

Existiert ein Werkschutz oder ein Pförtner?

Geprüft?ErgebnisMaßnahme
[X]GebäudewachdienstZugangspunkte wie Anlieferungs- und Ladezonen sowie andere Punkte müssen kontrolliert werden, um unautorisierten Zutritt zu verhindern.

Existieren Überwachungseinrichtungen (Alarmanlage, Video- / Fernsehmonitor)?

Geprüft?ErgebnisMaßnahme
[X]Alarmanlage, KameraüberwachungEs sind physische Sicherungsvorkehrungen für Zentralen, Niederlassungen, Räume und Anlagen zu konzipieren und anzuwenden.

2 Zugangskontrolle
Sollvorgabe: Maßnahmen, um unbefugte Systemnutzung zu verhindern.

Ist der Passwortschutz der Systeme ausreichend?

Geprüft?ErgebnisMaßnahme
[X]Passwörter und ProtokollierungEs muss ein formales Verfahren für die An- und Abmeldung von Benutzern implementiert werden, mit dem alle Arten von Benutzern der Zugriffe auf Systeme und Dienste gewährt und wieder entzogen werden kann.

Werden die Systeme nach einer definierten Zeitspanne bei Inaktivität des Benutzers gesperrt oder wird der Benutzer automatisch abgemeldet?

Geprüft?ErgebnisMaßnahme
[X]Kennwortgeschützte automatische PC BildschirmsperrungEs ist zu gewährleisten, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Existieren angemessene Berechtigungsregelungen für Terminals und Benutzer?

Geprüft?ErgebnisMaßnahme
[X]Protokollierung und Möglichkeit der regelmäßige AuswertungEs ist zu gewährleisten, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Existieren eine funktionsfähige Firewall und ein funktionsfähiger Virenschutz?

Geprüft?ErgebnisMaßnahme
[X]Sonic wallNetzwerke müssen verwaltet und kontrolliert werden, um personenbezogene Daten in Systemen und Anwendungen zu schützen. Benutzer dürfen ausschließlich auf denjenigen Netzwerken und Netzwerkdiensten Zugriff erhalten, zu deren Nutzung sie ausdrücklich autorisiert wurden.

Werden Zugangsberechtigungen nach dem 4-Augen-Prinzip vergeben?

Geprüft?ErgebnisMaßnahme
[X]GF + DatenschutzbeauftragterPasswortmanagementsysteme müssen nach dem 4 –Augen-Prinzip vorhanden sein oder interaktiv sein und starke Kennwörter erfordern.

Gibt es getrennte Benutzerkonten für die Systemadministration und die regulären Be- nutzer?

Geprüft?ErgebnisMaßnahme
[X]Getrennte BenutzerkontenNetzwerke müssen verwaltet und kontrolliert werden, um personenbezogene Daten in Systemen und Anwendungen zu schützen. Benutzer dürfen ausschließlich auf denjenigen Netzwerken und Netzwerkdiensten Zugriff erhalten, zu deren Nutzung sie ausdrücklich autorisiert wurden.

Werden alle eingesetzten Systeme regelmäßig und zeitnah mit Sicherheitsupdates versorgt?

Geprüft?ErgebnisMaßnahme
[X]Regelmäßig und zeitnahAutomatisch und Überprüfung durch die Technikabteilung

3 Zugriffskontrolle
Sollvorgabe: Maßnahmen, um unbefugte Datenverarbeitung im IT-System zu verhindern.

Existiert ein detailliertes Berechtigungskonzept?

Geprüft?ErgebnisMaßnahme
[X]Dezidierte Rechte für die jeweilige AufgabeEine Zugriffskontrollleitlinie ist auf Grundlage der geschäftlichen und sicherheitsrelevanten Anforderungen zu erstellen, zu dokumentieren und zu prüfen.

Wurden die Passwortregelungen festgeschrieben und wird die Einhaltung kontrolliert?

Geprüft?ErgebnisMaßnahme
[X]Unregelmäßige StichprobenDer Zugriff auf Funktionen von Informations- und Anwendungsverfahren muss entsprechend der Passwortregelungen beschränkt werden.

Existiert eine Anmeldeprozedur für die Systeme (Benutzername / Passwort)?

Geprüft?ErgebnisMaßnahme
[X]ProtokolliertEs sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

Wird sichergestellt, dass nur sichere Passwörter eingesetzt werden können (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)?

Geprüft?ErgebnisMaßnahme
[X]A-Z; a-z; 0-9 + Sonderzeichen, mind. 10 Zeichen, monatl. WechselPasswortmanagementsysteme müssen nach dem 4 –Augen-Prinzip vorhanden sein oder interaktiv sein und starke Kennwörter erfordern.

Wird das Benutzerkonto nach einer definierten Anzahl von Kennwortfehleingaben gesperrt?

Geprüft?ErgebnisMaßnahme
[X]3 FehlversucheDer Zugriff auf Systeme und Anwendungen muss über ein sicheres Anmeldeverfahren kontrolliert werden.

Ist sichergestellt, dass keine nicht-personifizierte Benutzerkonten für den Zugriff auf die Systeme genutzt werden (ein Konto je Benutzer)?

Geprüft?ErgebnisMaßnahme
[X]Alle Benutzer erhalten personifizierte NutzerkontenDer Zugriff auf Funktionen von Informations- und Anwendungsverfahren muss entsprechend der Passwortregelungen beschränkt werden.

Erfolgt eine Verschlüsselung der Datenträger?

Geprüft?ErgebnisMaßnahme
[X]ErfolgtKryptographische Maßnahmen zum Schutz der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Maßnahmen ist zu entwickeln und zu implementieren.

Gibt es schriftliche Regelungen zur Nutzung mobiler Datenträger (CD, DVD, USB, etc.)

Geprüft?ErgebnisMaßnahme
[X]Ports gesperrtEs können keine mobilen Datenträger verwendet werden

4 Pseudonymisierung
Sollvorgabe: Maßnahmen, um unbefugte oder unrechtmäßige Datenverarbeitung zu verhindern, indem Identifikationsmerkmale bestimmter oder bestimmbarer Personen durch Kennzeichen ersetzt werden und die Zuordnung zur betroffenen Person nicht ohne zusätzliche Informationen möglich ist.

Ist eine Pseudonymisierung der Daten sichergestellt?

Geprüft?ErgebnisMaßnahme
[X]Sichergestellt durch Dienstleister, wird nicht intern verarbeitet.Identifikationsmerkmale bestimmter oder bestimmbarer Personen werden durch Kennzeichen ersetzt und die Zuordnung zur betroffenen Person ist nicht ohne zusätzliche Informationen möglich. Die Verarbeitung der ursprünglichen Identifikationsmerkmale erfolgt getrennt sind sonstige technische und organisatorische Maßnahmen sind gewährleistet.

5 Trennungsgebot
Sollvorgabe: Maßnahmen, um unrechtmäßige zweckfremde Datenverarbeitung zu verhindern.

Ist eine Zweckbindung der Daten sichergestellt?

Geprüft?ErgebnisMaßnahme
[X]Softwareseitiger Ausschluss, getrennte Datenbanken und Tabellen, Datentrennung durch ein differenziertes Benutzerkonzept. Sichergestellt durch Dienstleister, wird nicht intern verarbeitet.Die für verschiedene Zwecke erhobenen Daten müssen voneinander getrennt sein.

Sind die Produktions- und Testsysteme getrennt?

Geprüft?ErgebnisMaßnahme
[X]Wir selbst – getrennt und unabhängig, jaEs muss eine sichere Entwicklungsumgebung für Systementwicklung und Integrationsvorhaben, die den gesamten Zyklus der Systementwicklung abdeckt, hergestellt und angemessen geschützt werden. Prüfdaten müssen sogfältig ausgewählt, geschützt und kontrolliert werden.

II. Integrität
6 Weitergabekontrolle
Sollvorgabe: Maßnahmen, um unbefugte Datenverarbeitung während des Transports bzw. Transfers zu verhindern. Personenbezogene Daten sind nur in verschlüsselter Form zu übertragen.

Werden alle Kundendaten ausschließlich verschlüsselt übertragen (SFTP / Tunnelverbindung VPN = Virtual Private Network, Elektronische Signatur)?

Geprüft?ErgebnisMaßnahme
[X]Verschlüsselung nach dem aktuellen Stand der Technik (sftp, ssh, https)Die Verwendung von kryptographischen Schlüsseln ist zu entwickeln und über die gesamte Nutzungsdauer hinweg umzusetzen.

Wird die Weitergabe von Kundendaten protokolliert?

Geprüft?ErgebnisMaßnahme
[X]Automatisch ProtokollierungEs sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

Erfolgt eine Transportsicherung beim physikalischen Transport?

Geprüft?ErgebnisMaßnahme
[X]Kein physikalischer Transport 

Erfolgt mindestens eine Medienverschlüsselung bei persistenter Speicherung von Kundendaten?

Geprüft?ErgebnisMaßnahme
[X]DatenverschlüsselungKryptographische Maßnahmen zum Schutz der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Maßnahmen sind zu entwickeln und zu implementieren.

Gibt es eine schriftliche Regelung zu Telearbeitsplätzen?

Geprüft?ErgebnisMaßnahme
[X]geregeltAusschließlich gesicherte Datenverbindung in die Cloud

7 Eingabekontrolle
Sollvorgabe: Maßnahmen, um unbefugte Datenverarbeitung bei der Eingabe, Veränderung oder Entfernung in Systemen zu verhindern.

Existiert ein Loggingsystem zur Überwachung der Zugriffe?

Geprüft?ErgebnisMaßnahme
[X]Dediziertes Rechtekonzept im SystemEs sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

Existiert ein Auswertungssystem, welches regelmäßig die Loggingdaten auswertet?

Geprüft?ErgebnisMaßnahme
[X]Automatisch und manuellEs sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

Existieren Berechtigungsregelungen für Kundendatenänderungen?

Geprüft?ErgebnisMaßnahme
[X]Vergabe durch autorisierte PersonenVerfahren für den Umgang mit personenbezogenen Daten und Informationswerten sind entsprechend dem von der Organisation eingesetzten Plan zur Einstufung von Informationen zu entwickeln und zu implementieren.

III. Verfügbarkeit und Belastbarkeit
8 Verfügbarkeitskontrolle
Sollvorgabe: Maßnahmen, um unbeabsichtigten Verlust sowie unbeabsichtigte oder mutwillige Schädigung oder Zerstörung zu verhindern.

Existiert ein Backup-Verfahren?

Geprüft?ErgebnisMaßnahme
[X]Regelmäßig, getrennte Aufbewahrung von Produktivdaten und DatensicherungenEs sind Sicherungskopien von personenbezogenen Daten, Informationen und Software sowie System-Images anzufertigen und regelmäßig entsprechend der vereinbarten Sicherungsleitlinie zu prüfen.

Sind die Festplatten gespiegelt?

Geprüft?ErgebnisMaßnahme
[X]JaEs müssen redundante Informationen gezielt erzeugt werden, damit beim Ausfall einzelner Speichermedien das „RAID“ als Ganzes seine Integrität und Funktionalität behält und nach Ersetzen der ausgefallenen Komponente durch einen „Rebuild“ der ursprüngliche Zustand wiederhergestellt werden kann.

Existiert eine unterbrechungsfreie Stromversorgung?

Geprüft?ErgebnisMaßnahme
[X]JaBetriebsmittel müssen vor Stromausfällen und anderen Betriebsunterbrechungen durch Ausfälle von Versorgungseinrichtungen geschützt werden.

Existieren Virenscanner und Firewalls?

Geprüft?ErgebnisMaßnahme
[X]Ja, Virenscanner auf Arbeitsstationen und Servern, Firewalls zur Absicherung von Netzwerkübergängen und ArbeitsstationenDaten müssen gegen vorsätzliche Zerstörung oder Verlust geschützt werden.

Existiert ein Notfallplan?

Geprüft?ErgebnisMaßnahme
[X]JaBetriebsverfahren müssen dokumentiert und allen Benutzern zugänglich gemacht werden, die sie benötigen, auch zur Wiederherstellung der Arbeitsfähigkeit beim Eintreten von Schadensfällen

IV. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
9 Auftragskontrolle
Sollvorgabe: Maßnahmen, um die unbefugte und unrechtmäßige Datenverarbeitung durch Auftragsverarbeiter zu verhindern.

Existiert zwischen dem Auftraggeber und dem Auftragnehmer eine Vereinbarung zur Auftragsverarbeitung?

Geprüft?ErgebnisMaßnahme
[X]JaEs muss Vereinbarungen für die sichere Übertragung und Verarbeitung im Auftrag zwischen dem Auftraggeber und dem Auftragnehmer geben.

Werden beauftragte Unternehmen regelmäßig auf die weisungsgemäße Durchführung der Auftragsverarbeitung kontrolliert?

Geprüft?ErgebnisMaßnahme
[X]Wird kontrolliertUnrechtmäßige und unbefugte Datenverarbeitung durch den Auftragsverarbeiter muss verhindert werden.

10 Datenschutz-Management

Wie wird die Einhaltung der IT-Sicherheit überprüft?

Geprüft?ErgebnisMaßnahme
[X]Es existiert ein SicherheitskonzeptZuständigkeiten und Verfahren für das Management sind festzulegen, damit schnell, effektiv und koordiniert auf Informationssicherheitsvorfälle mit personenbezogene Daten reagiert werden kann.

Wird durch geeignete Maßnahmen (Prüfprogramme, regelmäßige Kontrollen etc.) überwacht, welche Geräte an den Computern angeschlossen werden? (z.B. Überwachung des USB-Ports)

Geprüft?ErgebnisMaßnahme
[X]IDSEs sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

Existiert ein WLAN? Wenn ja, welche Sicherheits¬einstellungen werden vorgenommen, um einen fremden Zugriff zu vermeiden?

Geprüft?ErgebnisMaßnahme
[X]vom internen Netzwerk getrenntes Gäste WLANNetzwerke müssen verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.

Wie stellen Sie sicher, dass keine Fremdgeräte (PDAs, Laptops etc.) an das Firmennetzwerk angeschlossen werden?

Geprüft?ErgebnisMaßnahme
[X]Network access controlNetzwerke müssen verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.

Sind die Daten auf mobilen Endgeräten vollständig verschlüsselt?

Geprüft?ErgebnisMaßnahme
[X]JaSicherheitsvorkehrungen werden unter Berücksichtigung der diversen Risiken bei der Arbeit außerhalb der Betriebsgebäude auch auf Werte außerhalb des Standorts angewandt. Medien, auf denen personenbezogene Daten und Informationen gespeichert sind, müssen vor unautorisiertem Zugriff, missbräuchlicher Verwendung oder Verfälschung während des Transports geschützt werden.

Ist sichergestellt, dass Anwender keine Rechte besitzen Software selbstständig zu installieren?

Geprüft?ErgebnisMaßnahme
[X]Kann nur der Administrator, PasswortgeschütztNetzwerke müssen verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen