Auftragsbearbeitungsvertrag

Version Oktober 2023

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Regelungen zu Datenschutz und Datensicherheit in Auftragsverhältnissen

nach Art. 28 DSGVO

Shiftmove GmbH

Warschauer Straße 57

10243 Berlin

- nachfolgend Auftragsverarbeiter” genannt -

und Ihnen

- nachfolgend „Verantwortlicher” genannt -

- gemeinsam nachfolgend gemeinsam „Vertragsparteien“ genannt -

Präambel

Diese Vereinbarung zur Datenverarbeitung (" DPA Dieser Auftragsverarbeitungsvertrag ("AVV") gem. Art. 28 DSGVO ist Teil unserer Allgemeinen Geschäftsbedingungen ("Hauptvertrag"), die zwischen unseren Nutzer*innen und der Shiftmove GmbH geschlossen wurden und hier aufrufbar sind: https://www.shiftmove.com/legal/agb.  Gemäß dieser Vereinbarung findet dieser AVV Anwendung auf die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Bereitstellung unseres Produkts

Die Vereinbarung orientiert sich an den Regelungen der DSGVO und dem BDSG.

§ 1 Gegenstand des Auftrags; Art und Zweck der Verarbeitung; Art der personenbezogenen Daten, Kategorien betroffener Personen

(1) Der Gegenstand des Auftrags ist die Bereitstellung von Software-as-a-Service-Dienstleistungen aus dem Angebot der Shiftmove Gruppe („Services“). Art und Zweck der Verarbeitung werden in Anlage 1a definiert.

(2) Die Kategorien betroffener Personen sind in Anlage 1b definiert.

(3) Die Art der verarbeiteten personenbezogenen Daten sind in Anlage 1c definiert.

(4)  Anhang 1 ist Bestandteil dieser Vereinbarung.

(5) Der Verantwortliche weist den Auftragsverarbeiter zur Verarbeitung dieser Daten zu diesen Zwecken an.

§ 2 Dauer des Auftrages

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

§ 3 Verantwortlichkeit und Weisungsbefugnis

(1) Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke als in dieser Auftragsverarbeitungsvereinbarung und in dem Hauptvertrag festgelegt und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Etwas Anderes gilt nur in dem in Absatz 2 genannten Umfang.

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn es besteht eine anderweitige Verpflichtung durch Unionsrecht oder dem Recht des Mitgliedsstaates, dem der Auftragsverarbeiter unterliegt. Im Falle einer anderweitigen Verpflichtung teilt der Auftragsverarbeiter dem Verantwortlichen vor der Verarbeitung unverzüglich die entsprechenden rechtlichen Anforderungen mit.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Verantwortlichen. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragsverarbeiter berechtigt, die Durchführung der Weisung auszusetzen.

(4) Änderungen des Verarbeitungsgegenstands mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO auf die Vertraulichkeit verpflichtet worden sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Auftragsverarbeitungsvertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

§ 5 Datensicherheit

(1) Die Vertragsparteien vereinbaren die in dem Anhang 2 „Technische und organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten Datensicherheitsmaßnahmen gemäß Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO, um die Sicherheit der Verarbeitung im Auftrag zu gewährleisten. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(2) Anhang 2 ist Bestandteil dieser Vereinbarung.

(3) Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen schriftlich mitzuteilen.

§ 6 Einbeziehung weiterer Auftragsverarbeiter (Subunternehmer)

(1) Als Subunternehmer im Sinne dieser Regelung sind weitere Auftragsverarbeiter zu verstehen, deren Dienstleistungen sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen und Reinigung in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Einsatz von Subunternehmer oder der Wechsel des bestehenden Subunternehmers sind zulässig, soweit:

  • der Auftragsverarbeiter eine solche Auslagerung auf Subunternehmer dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  • der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt.

(3) Mit dem Subunternehmer ist eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 3 und 4 DSGVO abzuschließen.

(4) Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller gesetzlichen Voraussetzungen für eine Unterbeauftragung gestattet. Die durch den Verantwortlichen zum Zeitpunkt des Vertragsschlusses genehmigten Subunternehmer sind unter https://vimcar.de/datenschutz/subunternehmer und https://www.avrios.com/de/legal/sub-processors  abrufbar und kann vom Auftragsverarbeiter aktualisiert werden.

(5) Verbundene Unternehmen der Shiftmove Gruppe sind als Subunternehmer beauftragt.

(6) Jede Verlagerung der Datenverarbeitung in ein Drittland bedarf der vorherigen dokumentierten Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO) und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-49 DSGVO erfüllt sind.

§ 7 Betroffenenrechte

(1) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, den Pflichten zur Beantwortung von Anträgen auf Wahrung der in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen nachzukommen (Art. 28 Abs. 3 S. 2 lit. e DSGVO).

(2) Soweit die betroffene Person gegenüber dem Verantwortlichen ein Recht auf Datenübertragbarkeit besitzt, stellt der Auftragsverarbeiter sicher, dass der Verantwortliche die im Verantwortungsbereich des Auftragsverarbeiters verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann.

(3) Der Auftragsverarbeiter darf personenbezogene Daten nur nach dokumentierter Weisung des Verantwortlichen herausgeben, berichtigen, löschen oder deren Verarbeitung einschränken (Art. 28 Abs. 3 S. 2 lit. g DSGVO).

(4) Soweit eine betroffene Person sich unmittelbar an den Auftragsverarbeiter wendet, um ihre Rechte gemäß Art. 12 bis 22 DSGVO geltend zu machen, wird der Auftragsverarbeiter das Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

(5) Auskünfte an Dritte oder den betroffenen Personen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.

(6) Der Verantwortliche ist dafür verantwortlich, Betroffene im Rahmen der Art. 12 und 13 DSGVO zu informieren. Erforderliche Informationen, die im Zusammenhang mit dieser Pflicht stehen und über die nur der Auftragsverarbeiter verfügt, wird dieser dem Verantwortlichen auf Anfrage zur Verfügung stellen.

§ 8 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags die gesetzlichen Pflichten gemäß Art. 28 bis 36 DSGVO zu beachten. Insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Ist der Auftragsverarbeiter nach Art. 37 DSGVO, § 38 BDSG gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten schriftlich zu benennen, so teilt der Auftragsverarbeiter dem Verantwortlichen die Kontaktdaten des Datenschutzbeauftragten zum Zwecke der direkten Kontaktaufnahme mit. Ein Wechsel des Datenschutzbeauftragten ist bei dem Verantwortlichen unverzüglich anzuzeigen.
  1. Als externe Datenschutzbeauftragte ist beim Auftragsverarbeiter

Herr Dr. Niels-Christian Haag

c/o intersoft consulting services GmbH

Schöneberger Ufer 47 

D-10785 Berlin

Telefon: +49 40 790 235 - 402
E-Mail: dsb-vimcar@intersoft-consulting.de

bestellt.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 - 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören insbesondere

  • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
  • die Verpflichtung, den Verantwortlichen unverzüglich zu informieren, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO);
  • die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
  • die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung;
  • die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

§ 9 Kontrollrechte des Verantwortlichen, Art. 28 Abs. 3 S. 2 lit. h DSGVO

(1) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle im schriftlichen Verfahren erforderlich sind.

(2) Der Verantwortliche überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Dies soll primär durch

  • Einholung von Auskünften des Auftragsverarbeiters oder
  • unabhängige Prüfberichte und Zertifizierungen

erfolgen.

Sofern der Verantwortliche aufgrund tatsächlicher Anhaltspunkte berechtigte Zweifel an der Richtigkeit der Prüfberichte bzw. Zertifizierungen geltend machen kann, oder Vorfälle i. S. d. Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Datenverarbeitung vorliegen, kann er Vor-Ort-Kontrollen durchführen. Diese haben grundsätzlich als Stichprobenkontrollen in den für die Durchführung der Auftragsverarbeitung relevanten Bereiche zu erfolgen. Diese sind dem Auftragsverarbeiter zuvor rechtzeitig, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb des Auftragsverarbeiters nicht über Gebühr stören oder missbräuchlich sein. Die durch die Kontrolle beim Auftragsverarbeiter verursachten Kosten trägt der Verantwortliche.

(3) Über die Kontrolle und deren Ergebnisse ist vom Verantwortlichen ein Protokoll anzufertigen.

§ 10 Haftung

(1) Für den Ersatz von Schäden, die eine betroffene Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen des Auftragsverhältnisses erleidet, ist der Verantwortliche verantwortlich. Der Auftragsverarbeiter wird den Verantwortlichen bei der Abwehr von Ansprüchen betroffener Personen oder bei aufsichtsbehördlichen Maßnahmen nach besten Kräften unterstützen.

(2) Soweit der Verantwortliche zum Schadensersatz gegenüber der betroffenen Person verpflichtet ist, bleibt ihm der Rückgriff beim Auftragsverarbeiter vorbehalten, wenn der Auftragsverarbeiter gegen die Pflichten aus diesem Vertrag oder aus dem BDSG, der DSGVO und sonstigen Vorschriften über Datenschutz schuldhaft verstoßen hat oder gegen die ausdrückliche Weisung des Verantwortlichen gehandelt hat (Art. 82 Abs. 2 DSGVO).

§ 11 Beendigung des Auftrages (Art. 28 Abs. 3 S. 2 lit. g DSGVO)

(1) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern nicht nach einer gesetzlichen Norm eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Der Auftragsverarbeiter bestätigt dem Verantwortlichen in diesem Falle mit Datumsangabe in Textform ohne weitergehende Aufforderung, dass er sämtliche ihm gegebenenfalls überlassenen Datenträger sowie sonstigen Unterlagen an den Verantwortlichen herausgegeben oder vernichtet bzw. sicher gelöscht und somit keine Daten des Verantwortlichen zurückbehalten hat.

(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 12 Schlussbestimmungen

(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.

(2) Sollten einzelne oder mehrere Regelungen dieser Vereinbarung unwirksam sein, so wird die Wirksamkeit der übrigen Vereinbarung hiervon nicht berührt. Für den Fall der Unwirksamkeit einzelner oder mehrere Regelungen werden die Vertragsparteien die unwirksame Regelung unverzüglich durch eine solche Regelung ersetzen, die der unwirksamen Regelung wirtschaftlich und datenschutzrechtlich am ehesten entspricht.

(3) Soweit andere Vereinbarungen zum Zeitpunkt des Abschlusses dieses Vertrages anderslautende oder diesem Vertrag widersprechende Angaben enthalten, so gehen die Inhalte dieses Vertrages vor.

(4) Die folgenden Anhänge sind Bestandteil dieser Vereinbarung:

Anlage 1

Informationen zur Verarbeitung

a. Gegenstand und Zweck der Verarbeitung

Der Gegenstand des Auftrages ist die Bereitstellung einer oder mehrerer der folgenden Services als Software-as-a-Service:

  • Software für Flottenmanagement (Avrios),
  • Live-Ortung und Routendokumentation (Vimcar Fleet Geo),
  • elektronisches Fahrtenbuch (Fahrtenbuch).

Die Einzelheiten des Auftrags ergeben sich aus dem Vertrag zwischen den Vertragsparteien über einen oder mehrere dieser Services, auf den hier verwiesen wird (im Folgenden „Hauptvertrag“ genannt).

b. Kategorien der Betroffenen und personenbezogener Daten

Bei der Bereitstellung der Services können regelmäßig personenbezogene Daten folgender Kategorien von Betroffenen verarbeitet werden:

  1. Fahrer (ehemalige und aktuelle Mitarbeiter und deren Ehepartner und Angehörige, aktuelle Auftragnehmer sowie Bewerber, Bewerber und zukünftige Mitarbeiter);
  2. Benutzer (autorisierte Benutzer des Kunden (die keine Fahrer sind), die zur Nutzung der Dienstleistungen berechtigt sind);
  3. Dritte (Kunden, Geschäftspartner, Lieferanten, Berater, Vertreter, Freiberufler und/oder Subunternehmer des Kunden (natürliche Personen)).
c. Art der verarbeiteten Daten
Flottenmanagement Avrios:
  • Vorname, Nachname, Adresse, Geschlecht
  • interne ID, Kostenstelle, Organisation, Abteilung, Standort, Branche und Teilbranche, Berichtsstruktur
  • gegebenenfalls andere Adressinformationen, wie z. B. vorübergehender Aufenthalt
  • Geburtsdatum und -ort, Sprache, Nationalität, Aufenthaltsberechtigung, Zivilstand, Angaben zu Angehörigen, nationale Identifikationsnummer
  • Eintrittsdatum und ggf. Austrittsdatum
  • Informationen zur Lohnplanung (Nebenleistungen rund um Firmenwagen), Leistungsverzeichnisse und zugehörige Informationen (Anspruch auf Firmenwagen und Klasse des Firmenwagens)
  • Telefonnummer, Faxnummer, Mobiltelefonnummer, E-Mail-Adresse
  • Führerscheinbild
  • Nummernschild, Fahrgestellnummer
Vimcar Flotte Geo / Logbuch:
  • Vorname, Nachname
  • E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
  • Fahrtenbuchdaten (nur bei Verwendung des elektronischen Fahrtenbuchs);
  • Fahrtdaten während der Fahrt (nur bei Verwendung des elektronischen Fahrtenbuchs, Live-Ortung und Routendokumentation, Hardware-bezogen);
  • VIN (Vehicle Identification Number; nur bei Verwendung des elektronischen Fahrtenbuchs, Live-Ortung und Routendokumentation);
  • Prüfparameter für die Durchführung der automatisierten Führerscheinkontrolle (optional bei Nutzung der Führerscheinkontrolle)
  • Technische Fahrzeugdaten (z.B. Reparaturstatus), Fotos von Fahrzeugen (optional bei der Nutzung des Schadensmanagements

Anlage 2

Technische und organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
a. Zutrittskontrolle (Ein unbefugter Zutritt ist zu verhindern (räumlich))
  • Berechtigungsausweise
  • Zutrittskontrolle (Ein unbefugter Zutritt ist zu verhindern (räumlich))
  • Berechtigungsausweise
  • Elektronische Zutrittscodekarten/ Zutrittstransponder
  • Schlüsselregelung, Anweisung zur Ausgabe von Schlüssel
  • Begleitung von Besucherzutritten durch eigene Mitarbeiter
  • Sicherung auch außerhalb der Arbeitszeit durch Werkschutz
  • Gesondert gesicherter Zutritt zum Rechenzentrum
  • Aufbewahrung der Server in verschlossenen Räumen
b. Zugangskontrolle (Verhindern des Eindringens Unbefugter in die DV-Systeme oder deren unbefugte Nutzung)
  • Verschlüsselung von Netzwerken: Verwendete Verschlüsselungsalgorithmen: SSH, HTTPS, TLS 1.2
  • Verwendung von individuellen Passwörtern
  • Verwendung von individuellen Passwörtern
  • Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern
  • Passwort policy mit Mindestvorgaben zur Passwortkomplexität:

    • Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl    (davon mind. 3 Kriterien) 
    • Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)
    • Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)
  • Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern
  • Prozess zum Rechteentzug bei Abteilungswechseln von Mitarbeitern
  • Prozess zum Rechteentzug bei Austritt von Mitarbeitern
  • Verpflichtung zur Vertraulichkeit
  • Protokollierung und Auswertung der Systemnutzung
c. Zugriffskontrolle (Verhinderung von unerlaubten Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen)
  • Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)
  • Beschränkung der freien und unkontrollierten Abfragemöglichkeit von Datenbanken
  • Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)
  • Protokollierung von Dateizugriffen
  • Protokollierung von Dateilöschungen
  • Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?
    • Firewalls
    • SPAM-Filter
  • Verschlüsselte Speicherung der Daten
    • verwendete Verschlüsselungsalgorithmen: AES 256 AWS at rest Verschlüsselung
d. Trennungskontrolle (Getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten)
  • Trennung von Kunden (Mandantenfähigkeit des verwendeten Systems)
  • Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)
  • Trennung von Entwicklungs-, Test- und Produktivsystem

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO
a. Weitergabekontrolle (Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln)^
  • Trennung von Entwicklungs-, Test- und Produktivsystem
  • Datenaustausch über https-Verbindung
    • verwendete Verschlüsselungsalgorithmen: SSL-basiert: Free-BSD, SSH, HTTPS)
    • verwendete Hash-Funktion: bcrypt
    • Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)
  • Verschlüsselung vertraulicher Datenträger
  • Verschlüsselung von Laptopfestplatten
b. Eingabekontrolle (Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege)
  • Festlegung von Benutzerberechtigungen (Profile)
  • Differenzierte Benutzerberechtigungen (Lesen, Ändern, Löschen)
  • Teilzugriff auf Daten bzw. Funktionen
  • Verpflichtung auf das Datengeheimnis
  • Über OS-Standard hinausgehendes Log-Konzept
  • Dezidierter Logserver
  • Regelung der Zugriffsberechtigungen für Logserver (LogAdmin)

3. Verfügbarkeit und Belastbarkeit Art. 32 Abs. 1 lit. b DS-GVO (Schutz gegen zufällige Zerstörung oder Verlust)
a. Verfügbarkeitskontrolle
  • Datensicherungs- und Backupkonzepte
  • Durchführung der Datensicherungs- und Backupkonzepte
  • Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges Personal
  • Brandmeldeanlagen in Serverräumlichkeiten
  • Rauchmelder in Serverräumlichkeiten
  • Klimatisierte Serverräumlichkeiten
  • Blitz-/ Überspannungsschutz
  • Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die Zukunft
  • Katastrophen- oder Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben)
  • USV-Anlage (Unterbrechungsfreie Stromversorgung)
  • Stromgenerator
b. Widerstandsfähigkeit- und Ausfallsicherheitskontrolle (Fähigkeit des Umgangs mit risikobedingten Veränderungen, Toleranz und Ausgleichsfähigkeit gegenüber Störungen)
  • Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold-Stand-by?): Hot
  • Redundante Stromversorgung
  • Redundante USV-Anlage
  • Redundante Stromgeneratoren
  • Festplattenspiegelung
  • Loadbalancer
  • Datenspeicherung auf RAID-Systemen (RAID 1 und höher)
  • Datenspeicherung auf RAID-Systemen (RAID 1 und höher)
  • Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)
  • Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und Firmwareupdates:
    • Verwendung redundanter Systeme, um den Betrieb aufrecht zu erhalten, während die Hauptgeräte aktualisiert werden.
    • Progressive Bereitstellung von Updates / Patches, um Probleme frühzeitig zu erkennen, ohne mehrere Geräte zu beeinträchtigen.
    • Festlegung einer Testperiode, um die korrekte Implementierung des Updates zu überprüfen und sicherzustellen, dass die Operationen mit den neuen Updates weiterhin reibungslos ablaufen.
  • Sicherheit wird während der Entwurfsphase der Systeme als Hauptbetrachtung mit umfasst:
    • Definition von Sicherheitsmaßnahmen zum Schutz und zur Validierung der Kommunikation zwischen Systemkomponenten
    • Begrenzung von Berechtigungen auf Bedarfsnotwendigkeit.
    • xExterne Auftragsverarbeiter und Wartungspersonal erhalten einen spezifischen Zugang, der nur während des Eingriffs aktiv und den Rest der Zeit deaktiviert ist.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

a. Kontrollverfahren (Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen)

  • Interne Verfahrensverzeichnisse werden mind. jährlich aktualisiert
  • Meldung neuer/veränderter Datenverarbeitungsverfahren an den Datenschutzbeauftragten
  • Meldung neuer/veränderter Datenverarbeitungsverfahren an den IT-Sicherheitsbeauftragten
  • Prozesse zur Meldung neuer/veränderter Verfahren sind dokumentiert
  • Es werden datenschutzfreundliche Voreinstellungen gewählt
  • Getroffene Sicherheitsmaßnahmen werden einer regelmäßigen internen Kontrolle unterzogen
  • Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmaßnahmen risikobezogen angepasst, erneuert und umgesetzt
b. Auftragskontrolle (Sicherstellung der weisungsgemäßen Datenverarbeitung durch Dienstleister)
  • Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)
  • Zentrale Erfassung vorhandener Dienstleister (einheitliches Vertragsmanagement)
  • Regelmäßige Kontrollen beim Auftragsverarbeiter nach Vertragsbeginn (während Vertragsdauer)
  • Überprüfung des Datensicherheitskonzepts beim Auftragsverarbeiter
  • Sichtung vorhandener IT-Sicherheitszertifikate der Auftragsverarbeiter