Anhang II zu den Standardvertragsklauseln - Technische und organisatorische Maßnahmen

Zuletzt aktualisiert: 22. Februar 2023

• MODUL EINS: Übertragung von Controller zu Controller
• MODUL ZWEI: Übertragung des Controllers auf den Prozessor
• MODUL DREI: Übertragung von Prozessoren auf Prozessoren

Die technischen und organisatorischen Maßnahmen müssen spezifisch (und nicht allgemein) beschrieben werden. Siehe auch die allgemeine Bemerkung auf der ersten Seite des Anhangs, insbesondere zur Notwendigkeit, klar anzugeben, welche Maßnahmen für jeden Transfer/jede Gruppe von Transfers gelten.

Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Eine Beschreibung der technischen und organisatorischen Maßnahmen, die Keyfactor in seiner Eigenschaft als Verarbeiter personenbezogener Daten von EU-Personen ergreift, findet sich weiter unten:

Der Begriff "Zugang" bezeichnet den physischen Zugang von Personen zu Gebäuden und Räumlichkeiten, in denen IT-Systeme betrieben und genutzt werden. Dies können Rechenzentren sein, in denen Kryptomaterialien, Webserver, Anwendungsserver, Datenbanken, Großrechner und Speichersysteme betrieben werden, sowie Arbeitsräume, in denen Mitarbeiter Arbeitsplatzrechner nutzen. Auch die Räumlichkeiten, in denen Netzinfrastrukturkomponenten untergebracht sind, fallen in den Geltungsbereich.

Allgemeine Anforderungen 

Spezifikationen der gesicherten Bereiche

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Die Bereiche werden je nach Sensibilität der Daten in verschiedene Sicherheitsstufen eingeteilt.

(b) Die zu schützenden Gebiete wurden festgelegt.

(c) Es wurden Gebiete mit besonders hohem Schutzbedarf ermittelt.

Implementierung des Zugangsschutzes

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Alle möglichen Zugangspunkte sind gegen unbefugten Zugriff gesichert.

(b) Es gibt einen Zugangsberechtigungsnachweis, der für alle Personen verbindlich ist (zugewiesene Zugangskarten, Schlosskombinationen/PIN-Codes, physische Schlossschlüssel).

(c) Es wurden Zugangskontrollsysteme eingerichtet.

Spezifikation der Personen mit Zugangsberechtigung

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt eine rollenbasierte Zugangskontrolle entsprechend den Aufgaben und Zuständigkeiten.

(b) Die Rollen werden schriftlich und elektronisch an bestimmte Personen vergeben.

(c) Eine Person oder Organisation, die für das rollenbasierte Zugangskontrollverfahren verantwortlich ist, wurde benannt.

Verwaltung und Dokumentation der persönlichen Zugangsrechte

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Organisatorische Regeln für die Zugangsrechte zu den Geschäftsbereichen.

(b) Dokumentation der Zuweisung von Zugangskarten, Schließkombinationen/PIN-Codes und Schlüsseln für physische Schlösser.

(c) Festgelegte Verfahren für den Verlust, die Kompromittierung und den Ersatz von Zugangsberechtigungen.

(d) Die Informationssicherheitsrichtlinien wurden veröffentlicht, kommuniziert und allen Mitarbeitern zur Verfügung gestellt.

Begleitung von Besuchern und externen Mitarbeitern

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt eine Zugangskontrollpolitik, die die Zugangsanforderungen für Besucher und andere Dritte (Nicht-Mitarbeiter) regelt.

(b) Überwachung der Besucher (Begleitung, Besucherkarten, Protokollierung).

(c) Zugangsprofile für Wartungs-, Hausmeister- und Notdienstpersonal (Begleitung, vorübergehende Registrierung, Überprüfung der Identität).

Zugang protokollieren

Diese Anforderung wird durch elektronische Zugangskontrollsysteme erfüllt. Für Besucher werden ausgedruckte Anmeldeformulare verwendet.

Im Gegensatz zur Zugangskontrolle (Räumlichkeiten/Geräte) soll die Zugangskontrolle (Nutzung von Systemen) verhindern, dass IT-Systeme, die personenbezogene Daten speichern, verarbeiten oder nutzen, von Unbefugten betreten oder genutzt werden können.

2.1 Allgemeine Anforderungen

2.1.1 Zugriffsschutz (Authentifizierung)

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Zugriffsschutz auf alle Datenverarbeitungssysteme durch Benutzerauthentifizierung.

(b) Richtlinien zur Komplexität der Passwörter werden durchgesetzt. Für sensiblere Daten ist eine Multi-Faktor-Authentifizierung erforderlich.

2.1.2 Starke Authentifizierung bei maximalem Schutzniveau

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Verwendung von Mechanismen, die den Besitz und das Wissen für die Authentifizierung erfordern (z. B. mehrteilige Smartcard und Passphrase-Authentifizierung).

(b) Netzauthentifizierung, die Verschlüsselung erfordert (z. B. Kerberos).

2.1.3 Einfache Authentifizierung (Benutzername/Passwort) auf hohem Schutzniveau

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt Vorgaben für die Passwortlänge für Kunden und Endnutzer von Keyfactor(mindestens 8 Zeichen).

(b) Es gibt Vorgaben für die Komplexität des Passworts (Groß- und Kleinschreibung, Zahlen und Sonderzeichen).

(c) Für den Zugriff auf interne Ressourcen gibt es Vorgaben für eine Multi-Faktor-Authentifizierung.

2.1.4 Sichere Übertragung von Authentifizierungsgeheimnissen (Credentials) im Netz

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Die Authentifizierungsdaten werden nur verschlüsselt über das Netz übertragen.

2.1.5 Sperre bei erfolglosen Versuchen/Aktivitäten und Verfahren zum Zurücksetzen gesperrter Konten

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Keyfactor Der Benutzerzugang wird nach mehreren Fehlversuchen gesperrt. Der Zugang für Endbenutzer und Kunden wird nach mehreren Fehlversuchen vorübergehend gesperrt.

(b) Für die Mitarbeiter von Keyfactor gibt es ein sicheres Verfahren zum Zurücksetzen (z. B. Zurücksetzen des Passworts durch autorisierte Administratoren).

2.1.6 Spezifikation der autorisierten Personen

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt ein Rollenkonzept (vordefinierte Benutzerprofile).

(b) Zugangsrechte werden bei Bedarf individuell (personenbezogen) vergeben und dokumentiert.

(c) Der Kreis der zugelassenen Personen wurde auf das betrieblich notwendige Minimum beschränkt.

(d) Es gibt keine gemeinsamen oder wiederverwendbaren Konten (z. B. intern1, consultant1 usw.).

2.1.7 Verwaltung und Dokumentation von persönlichen Authentifizierungsmedien und Zugangsrechten

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Ein Verfahren zur Beantragung, Genehmigung, Zuweisung und zum Abruf von Authentifizierungsmedien und Zugriffsrechten ist eingerichtet, dokumentiert und angewandt worden.

(b) Es wurde eine zuständige Organisation für die Vergabe von Zugangsrechten benannt.

2.1.8 Zugriff protokollieren

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Alle erfolgreichen und erfolglosen Netzzugangsversuche werden protokolliert (verwendete ID, Computer, IP-Adresse) und zu Prüfzwecken mindestens 180 Tage lang gespeichert.

(b) Zur Missbrauchserkennung müssen regelmäßige Stichprobenauswertungen von Authentifizierungsprotokollen durchgeführt werden.

2.2 Maßnahmen am Arbeitsplatz des Nutzers

2.2.1 Automatische Zugangssperre

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Bei einer Inaktivität des Arbeitsplatzes oder Terminals von mehr als 15 Minuten wird durch die Sicherheitsrichtlinien des Betriebssystems automatisch ein passwortgeschützter Bildschirmschoner aktiviert.

2.2.2 Manuelle Zugangssperre

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt eine Regelung, nach der die Arbeitsplätze beim vorübergehenden Verlassen des Arbeitsplatzes gegen unbefugte Benutzung geschützt werden (z. B. durch manuelle Aktivierung des passwortgeschützten Bildschirmschoners).

(b) Das Personal von Keyfactor wurde im Hinblick auf die Notwendigkeit der Durchführung von Maßnahme a) geschult.

Die Anforderungen an die Zugriffskontrolle auf bestimmte Datenklassifikationen müssen sicherstellen, dass nur befugte Personen Zugang zu den Daten haben, für die sie einen legitimen Geschäftszweck verfolgen, und dass die Daten nicht von Unbefugten manipuliert oder gelesen werden können.

3.1 Allgemeine Anforderungen

3.1.1 Erstellung eines Berechtigungskonzepts

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt Regeln und Verfahren zum Erstellen, Ändern und Löschen von Berechtigungsprofilen oder Benutzerrollen.

(b) Die Zuständigkeitsbereiche der Verwaltung sind festgelegt.

3.1.2 Implementierung von Zugangsbeschränkungen

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Alle zugriffsberechtigten Mitarbeiter von Keyfactor können nur auf die Daten zugreifen, die sie gemäß ihren Aufgaben mit entsprechend zugeordneten Berechtigungsprofilen benötigen.

(b) Werden Datenbestände mehrerer Verantwortlicher in Datenspeichern gespeichert oder mit einem Datenverarbeitungssystem verarbeitet, sind logische Zugriffsbeschränkungen implementiert, die sich ausschließlich an der Datenverarbeitung für den jeweiligen Verantwortlichen orientieren (Mehrmandantenfähigkeit).

3.1.3 Erteilung von Mindestberechtigungen

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Der Umfang der Befugnisse muß auf die Mindestanforderungen für die Durchführung der jeweiligen Aufgaben oder Funktionen beschränkt sein.

3.1.4 Verwaltung und Dokumentation der persönlichen Zugangsrechte

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es wurde ein Verfahren zur Beantragung, Genehmigung, Zuweisung und zum Widerruf von Zugangsrechten sowie zur Überprüfung dieser Rechte eingeführt.

(b) Berechtigungen sind an eindeutige, personenspezifische Konten gebunden.

Die Anforderungen, die sicherstellen sollen, dass personenbezogene Daten bei der elektronischen Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, sowie die damit verbundenen Mittel zur Kontrolle werden umgesetzt.

4.1 Transport über Netze

4.1.1 Sichere Datenübertragung zwischen Servern und Clients

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Wenn drahtlose Netzwerke innerhalb der Netzinfrastruktur von Keyfactor eingerichtet werden, verwenden Sie das WPA2-Protokoll oder ein stärkeres Protokoll mit AES-Verschlüsselung. Die drahtlosen Gastnetzwerke werden durch Netzwerkzugangskontrollen (z. B. virtuelle LANs) von den Unternehmensnetzwerksystemen von Keyfactorgetrennt.

4.2 Logischer Zugang zu Systemen

4.2.1 Risikominimierung durch Netzwerktrennung

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es wird eine Netzsegmentierung vorgenommen, die darauf abzielt, dass die Datenübertragung über ein Minimum an Netzelementen erfolgt.

(b) Die betreffenden Systeme sind über Netzzugangskontrollen nach Datenklassifizierungen getrennt.

4.2.2 Sicherheitsgateways an den Netzübergabepunkten

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt Netzwerk- undhardware Firewalls.

(b) Es gibt persönliche/Desktop-Firewalls.

(c) Die Firewalls sind immer aktiv.

(d) Die Firewalls können von den Endnutzern nicht deaktiviert werden.

4.2.3 Schutz der Systeme

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Alle Sicherheitspatches werden innerhalb von 30 Tagen nach ihrer Veröffentlichung implementiert.

(b) Kritische Sicherheitspatches werden getestet und je nach Schweregrad in Notfällen implementiert.

4.3 Sicheres Versenden von Daten

4.3.1 Versandvorschriften

Wenn Daten versandt werden, wird die Anforderung mit den folgenden Maßnahmen erfüllt:

(a) Für den Transport personenbezogener Daten durch Datenträger gibt es Verpackungs- und Versandvorschriften.

(b) Für personenbezogene Daten ist eine Verschlüsselung der personenbezogenen Daten vor der Übermittlung vorgeschrieben.

(c) Das Transportunternehmen muss vor dem Versand eine Genehmigung erteilen.

4.4 Sichere Löschung, Beseitigung und Vernichtung

4.4.1 Verfahren für die Sammlung und Beseitigung

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Es gibt Regeln für die datenschutzgerechte Vernichtung von Dokumenten und Datenträgern.

4.4.2 Verfahren zur Löschung/Vernichtung von Daten aus Datenschutzgründen

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Endgeräte werden vor der Wiederverwendung durch andere Nutzer von allen Daten befreit, so dass eine Wiederherstellung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

(b) Hardware Komponenten oder Dokumente werden von personenbezogenen Daten befreit, so dass eine Wiederherstellung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

Anforderungen, die sicherstellen, dass überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden (Eingabekontrolle).

5.1 Allgemeine Anforderungen

5.1.1 Dokumentation der Eingaberechte

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Es ist dokumentiert, welche Personen aufgrund ihrer Aufgabenstellung berechtigt sind, Eingaben in das Datenverarbeitungssystem vorzunehmen.

Anforderungen, die sicherstellen, dass im Falle einer Auftragsverarbeitung personenbezogener Daten die Daten streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden.

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Die Auftragskontrolle wird durch den Datenverarbeitungsvertrag sowie durch die Organisationskontrolle in Abschnitt 9 der Anlage 2 umgesetzt.

Anforderungen, die sicherstellen, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

7.1 Sicherungskonzept

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es ist ein System-Backup-Programm implementiert.

(b) Es gibt regelmäßige Sicherungen entsprechend den Zielen für die Wiederherstellung des Betriebs ("RTO") und des Wiederherstellungspunkts ("RPO").

(c) Es werden eine für den Backup-Betrieb zuständige Organisation und ein Vertreter benannt.

7.2 Wiederherstellung im Katastrophenfall

7.2.1 Notfallplan

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Es gibt einen Notfallplan, in dem die einzuleitenden Schritte aufgeführt sind und festgelegt ist, welche Personen über den Vorfall zu informieren sind. Der für die Verarbeitung Verantwortliche hat die entsprechenden Kontakte in der Datenverarbeitungsvereinbarung angegeben.

7.2.2 Aufbewahren der Sicherung

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Datensicherungen, sowohl elektronisch als auch in Papierform, werden in sicheren, dem Industriestandard entsprechenden Lagereinrichtungen aufbewahrt.

Anforderungen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.

8.1 Allgemeine Anforderungen

8.1.1 Getrennte Verarbeitung

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Es bestehen technische und organisatorische Regelungen und Maßnahmen, die eine getrennte Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung usw.) und/oder Speicherung von Daten und/oder Datenträgern mit unterschiedlichen Vertragszwecken sicherstellen.

9.1 Ausbildung/Verpflichtung

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Grundsätze des Datenschutzes, einschließlich der technischen und organisatorischen Maßnahmen.

(b) Verpflichtung zur Geheimhaltung von Betriebs- und Geschäftsgeheimnissen, einschließlich der Verfahren des für die Verarbeitung Verantwortlichen.

(c) Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Akten, Datenträgern und sonstigen Unterlagen.

(d) Gegebenenfalls besondere weitere Geheimhaltungspflichten.

(e) Die Schulung wurde dokumentiert und ihre Durchführung wird verfolgt.

(f) Die Schulung wird regelmäßig, mindestens jährlich, wiederholt. Kürzere Intervalle, wenn dies durch die geltenden Gesetze in bestimmten Gebieten vorgeschrieben ist.

9.2 Schulung/Verpflichtung von externen Personen

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Es gibt Regeln für den Zugang externer Personen (Gäste, Lieferanten usw.) zu den Datenverarbeitungsanlagen.

(b) Diese Vorschriften enthalten zumindest, dass externe Personen nur dann Zugang zu Datenverarbeitungssystemen erhalten dürfen, wenn sie auf das Datengeheimnis und gegebenenfalls das Fernmeldegeheimnis oder andere Geheimhaltungspflichten verpflichtet und geschult worden sind, bevor sie Datenverarbeitungssysteme in Betrieb nehmen und nutzen dürfen.

9.3 Repräsentative Regel

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Für alle betriebsnotwendigen Funktionen wurde ein Vertreter bestimmt.

(b) Der Vertreter muss nur dann die erforderlichen Zugangs- und Zutrittsrechte erhalten, wenn er als Vertreter handelt.

10.1 Verwaltung von Wartungsaktivitäten

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Für die Fernunterstützung auf Client-Arbeitsplätzen muss das Fernverwaltungsprogramm so konfiguriert sein, dass die Zustimmung des Benutzers eingeholt wird, bevor ein Eingriff an seinem Arbeitsplatz erfolgt. Der Benutzer muss sehen können, dass die Fernunterstützung im Gange ist.

10.2 Verwaltung der Unterverarbeitungen

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Ausarbeitung einer speziellen Klausel, die in Vereinbarungen mit Datenverarbeitern/Unterauftragnehmern aufgenommen werden soll.

(b) Bedingungen für die Vernichtung der Daten bei Ablauf und Beendigung des Abkommens vorsehen.

10.3 Software Entwicklung

Diese Anforderung wird mit der folgenden Maßnahme erfüllt:

(a) Führen Sie die Entwicklung von software in einer von der Produktion getrennten Computerumgebung durch (z. B. auf entsprechend definierten Netzwerksegmenten).

10.4 Verschlüsselung

Diese Anforderung wird mit den folgenden Maßnahmen erfüllt:

(a) Bezüglich der symmetrischen Verschlüsselung:

1. Verwendung modernster Algorithmen (AES, triple DES).
2. Schlüssellängen von mindestens 256 Bit.

(b) Zur asymmetrischen Verschlüsselung:

1. Verwendung modernster Algorithmen (RSA, ECC).
2. Die Schlüssellängen sollten den Empfehlungen in Anhang B1 des französischen allgemeinen Sicherheitsreferenzrahmenshttp://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdffolgen, d. h. 2048-Bit-Schlüssellängen

 

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen und - bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter - den Datenexporteur unterstützen zu können

Microsoft Corporation - Technische und organisatorische Maßnahmen - Microsoft unterhält Kopien seiner Professional Services Data Protection unter folgendem Link: https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA. Das Dokument enthält einen Überblick über die technischen und organisatorischen Maßnahmen des Unternehmens.

Salesforce.com, Inc. - Technische und organisatorische Maßnahmen - Salesforce unterhält hier einen Online-Zusatz zur Datenverarbeitung, der einen kurzen Überblick über seine technischen und organisatorischen Maßnahmen enthält: https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf. Salesforce erklärt: "Der Datenimporteur unterhält administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der in die SCC-Services hochgeladenen personenbezogenen Daten, wie in der Sicherheits-, Datenschutz- und Architekturdokumentation beschrieben, die für die spezifischen SCC-Services gilt, die der Datenexporteur erworben hat, und die über http://help.salesforce.com zugänglich sind oder anderweitig vom Datenimporteur in angemessener Weise zugänglich gemacht werden. Der Datenimporteur wird die Gesamtsicherheit der SCC-Dienste während der Laufzeit eines Abonnements nicht wesentlich verringern."

Rapid7 - Rapid7 stellt eine Kopie seines Datenverarbeitungszusatzes, der einen Überblick über die technischen und organisatorischen Maßnahmen des Unternehmens enthält, hier zur Verfügung: https://www.rapid7.com/legal/dpa/.

Mailgun / Sinch Email - Mailgun stellt eine Kopie seines Datenverarbeitungszusatzes, der einen Überblick über die technischen und organisatorischen Maßnahmen enthält, die es ergänzt, hier zur Verfügung: https://www.mailgun.com/legal/dpa/.