1. Gegenstand und Dauer der Verarbeitung<\/strong> 2. Art und Zweck der Verarbeitung<\/strong> 3. Art der personenbezogenen Daten und Kategorien von Betroffenen<\/strong> 4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen<\/strong> 5. Rechte des Auftraggebers, Pflichten des Auftragnehmers<\/strong> 5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverz\u00fcglich, wenn ihm Verletzun 5.6. Nach Abschluss der Erbringung der Verarbeitungsleistungen l\u00f6scht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zur\u00fcck, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die L\u00f6schung als vereinbart. W\u00e4hlt der Auftraggeber die R\u00fcckgabe, kann der Auftragnehmer eine angemessene Verg\u00fctung verlangen. 6. Pflichten des Auftraggebers<\/strong> 7. Ma\u00dfnahmen zur Sicherheit der Verarbeitung gem\u00e4\u00df Art. 32 DSGVO<\/strong> 8. Nachweis und \u00dcberpr\u00fcfung<\/strong> 8.3. F\u00fcr Informationen und Unterst\u00fctzungshandlungen kann der Auftragnehmer eine angemessene Verg\u00fctung verlangen. Der Aufwand f\u00fcr den Auftragnehmer durch eine Inspek 8.4. Sollte eine Datenschutzaufsichtsbeh\u00f6rde oder eine sonstige staatliche oder kirchliche Aufsichtsbeh\u00f6rde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbeh\u00f6rde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Versto\u00df nach dem Strafgesetzbuch strafbewehrt ist.<\/p>\n 9. Subunternehmer (weitere Auftragsverarbeiter)<\/strong> 10. Haftung und Schadensersatz<\/strong> 11. Vertragslaufzeit, Sonstiges u. Kommunikation<\/strong> Anhang 1 zur Vereinbarung zur Auftragsverarbeitung – Technische und Organisatorische Sicherheitsma\u00dfnahmen gem\u00e4\u00df Art 32 DSGVO<\/strong><\/p>\n 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)<\/strong> 1.2 Zugangskontrolle<\/strong> 1.3 Zugriffskontrolle<\/strong> 1.4 Verwendungszweckkontrolle<\/strong> 1.5 datenschutzfreundliche Voreinstellungen<\/strong> 2. Integrit\u00e4t (Art. 32 Abs. 1 lit. b DSGVO)<\/strong> 2.2 Eingabekontrolle<\/strong> 3. Verf\u00fcgbarkeit, Belastbarkeit, Desaster Recovery<\/strong> 3.2 Desaster Recovery \u2013 Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO) 4. Datenschutzorganisation<\/strong> 5. Auftragskontrolle<\/strong> 6. Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)<\/strong>
\n1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gem\u00e4\u00df Auftrag, Leistungsbeschreibung und AGB (nachfolgend Servicevertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter f\u00fcr den Auftraggeber gem\u00e4\u00df Art. 28 DSGVO erfolgt. Dies umfasst alle T\u00e4tigkeiten, die der Auftragnehmer zur Erf\u00fcllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen z.B. auch Fernwartungsservice. Dies gilt auch, sofern der Auftrag nicht ausdr\u00fccklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
\n1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.<\/p>\n
\n2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erf\u00fcllung des Auftrags.
\n2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich Cloud-Dienstleistungen, Hosting jeglicher Art, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.<\/p>\n
\n3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Service-Produktwahl, die Konfiguration, die Nutzung der Dienste\/Service und die \u00dcbermittlung von Daten.
\n3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Service-Produktwahl, die Konfiguration, die Nutzung der Dienste\/Service und die \u00dcbermittlung von Daten.<\/p>\n
\n4.1. Der Auftraggeber ist im Rahmen dieses Vertrages f\u00fcr die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere f\u00fcr die Recht
\nm\u00e4\u00dfigkeit der Datenweitergabe an den Auftragnehmer sowie f\u00fcr die Rechtm\u00e4\u00dfigkeit der Datenverarbeitung allein verantwortlich (\u00bbVerantwortlicher\u00ab im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
\n4.2. Die Weisungen werden anf\u00e4nglich durch den Servicevertrag oder Serviceauftrag festgelegt und k\u00f6nnen vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format
\n(Textform) durch einzelne Weisungen ge\u00e4ndert werden (Einzelweisung). M\u00fcndliche Weisungen sind unverz\u00fcglich schriftlich oder in Textform zu best\u00e4tigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungs\u00e4nderung behandelt. Bei \u00c4nderungsvorschl\u00e4gen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die M\u00f6glichkeit der Leistungserbringung, Termine und ggf. Verg\u00fctung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern \/ Kunden des Auftragnehmers genutzt wird (Shared Services), und eine \u00c4nderung der Verarbeitung f\u00fcr einzelne Auftraggeber nicht m\u00f6glich oder nicht zumutbar ist.
\n4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschlie\u00dflich in einem Mitgliedsstaat der Europ\u00e4ischen Union oder in einem anderen Vertragsstaat des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. \u00fcber die Dienstleistung- Produktbeschreibung der beauftragten Leistung.
\n4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem Drittland haben (au\u00dferhalb der Europ\u00e4ischen Union und des Europ\u00e4ischen Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer personenbezogene Daten – unter Beachtung der zwingend anwendbaren Vorschriften \u2013 an diese Registrierungsstellen \u00fcbermittelt.
\n4.5. Die Parteien vereinbaren au\u00dferdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten – unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu \u00fcbermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der diesen Dienst ganz oder teilweise in einem Drittland erbringt.<\/p>\n
\n5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftra
\nges und der dokumentierten Weisungen des Auftraggebers verarbeiten au\u00dfer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europ\u00e4ischen Union oder eines Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverz\u00fcglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verst\u00f6\u00dft. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber best\u00e4tigt oder abge\u00e4ndert wurde.
\n5.2. Der Auftragnehmer unterst\u00fctzt angesichts der Art der Verarbeitung nach M\u00f6glichkeit den Auftraggeber mit geeigneten technischen und organisatorischen Ma\u00dfnahmen bei der Erf\u00fcllung der Anspr\u00fcche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist ggf. berechtigt, falls nicht im Servicevertrag enthalten, f\u00fcr diese Leistungen eine angemessene Verg\u00fctung vom Auftraggeber zu verlangen.
\n5.3. Der Auftragnehmer unterst\u00fctzt den Auftraggeber unter Ber\u00fccksichtigung der Art der Verarbeitung und der ihm zur Verf\u00fcgung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist ggf. berechtigt, falls nicht im Servicevertrag enthalten, f\u00fcr diese Leistungen eine angemessene Verg\u00fctung vom Auftraggeber zu verlangen.
\n5.4. Der Auftragnehmer gew\u00e4hrleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen f\u00fcr den Auftragnehmer t\u00e4tigen Personen untersagt ist, die Daten au\u00dferhalb der Weisung zu verarbeiten. Ferner gew\u00e4hrleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt f\u00fcr das Fernmeldegeheimnis nach \u00a7 88 TKG und \u2013 in Kenntnis der Strafbarkeit \u2013 f\u00fcr die Wahrung von Geheimnissen der Berufsgeheimnistr\u00e4ger nach \u00a7 203 StGB. Die Vertraulichkeits-\/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.<\/p>\n
\ngen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Ma\u00dfnahmen zur Sicherung der Daten und zur Minderung m\u00f6glicher nachteiliger Folgen f\u00fcr die betroffenen Personen.<\/p>\n
\n5.7. Machen betroffene Person Schadensersatzanspr\u00fcche nach Art. 82 DSGVO geltend, unterst\u00fctzt der Auftragnehmer den Auftraggeber bei der Abwehr der Anspr\u00fcche im Rahmen seiner M\u00f6glich
\nkeiten. Der Auftragnehmer kann hierf\u00fcr eine angemessene Verg\u00fctung verlangen.<\/p>\n
\n6.1. Der Auftraggeber hat den Auftragnehmer unverz\u00fcglich und vollst\u00e4ndig zu informieren, wenn er bei der Durchf\u00fchrung des Auftrags Fehler oder Unregelm\u00e4\u00dfigkeiten bzgl. daten
\nschutzrechtlicher Bestimmungen feststellt.
\n6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu l\u00f6schen, die er in den Diensten gespeichert hat.
\n6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.<\/p>\n
\n7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Ma\u00dfnahmen, um sicher zu stellen, dass die Verarbeitung gem\u00e4\u00df den Anforderungen der DSGVO erfolgt und den Schutz f\u00fcr die Rechte und Freiheiten der betroffenen Person gew\u00e4hrleistet. Der Auftragnehmer ergreift in seinem Verantwortungsbereich gem\u00e4\u00df Art. 32 DSGVO geeignete technische und organisatorische Ma\u00dfnahmen, um die Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbar
\nkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
\n7.2. Die aktuellen technischen und organisatorischen Ma\u00dfnahmen (TOMs) sind im Anhang 1 aufgef\u00fchrt.
\n7.3. Der Auftragnehmer betreibt ein Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen zur Gew\u00e4hrleistung der Sicherheit der Verarbeitung gem\u00e4\u00df Art. 32 Abs. 1 lit. d) DSGVO.
\n7.4. Der Auftragnehmer passt die getroffenen Ma\u00dfnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine \u00c4nderung der getroffenen technischen und organisatorischen Ma\u00dfnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.<\/p>\n
\n8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verf\u00fcgung und erm\u00f6glicht \u00dcberpr\u00fcfungen – einschlie\u00dflich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Pr\u00fcfer durchgef\u00fchrt werden, und tr\u00e4gt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserkl\u00e4rung vom Auftraggeber und von dessen beauftragten Pr\u00fcfer zu verlangen. Der Auftragnehmer stimmt der Benennung eines unabh\u00e4ngigen externen Pr\u00fcfers durch den Auftraggeber zu, sofern der Auftraggeber dem Auftragnehmer eine Kopie des Auditberichts zur Verf\u00fcgung stellt. Wettbewerber des Auftraggebers oder Personen, die f\u00fcr Wettbewerber des Auftraggebers t\u00e4tig sind, kann der Auftragnehmer als Pr\u00fcfer ablehnen.
\n8.2. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gem\u00e4\u00df der DSGVO und dieses Vertrages zu \u00fcberpr\u00fcfen.<\/p>\n
\ntion ist grunds\u00e4tzlich auf einen Tag pro Kalenderjahr begrenzt.<\/p>\n
\n9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserf\u00fcllung einzusetzen.
\n9.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter k\u00f6nnen kurzfristig nach Art der Leistung bestellt werden. Der Auftraggeber wird hierzu informiert und erkl\u00e4rt sich mit deren Einsatz einverstanden.
\n9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine \u00c4nderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Dies gilt jedoch im Hinblick auf die Regelung des 9.1. nur insoweit als ein Subunternehmer im Vergleich zum ausge\u00fcbten Gewerbe als \u201eatypischer Dienstleister\u201c angesehen w\u00fcrde.
\nDer Auftraggeber kann gegen derartige \u00c4nderungen Einspruch erheben.
\n9.4. Der Einspruch gegen die beabsichtigte \u00c4nderung kann nur aus einem wichtigen datenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang der Information \u00fcber die \u00c4nderung gegen\u00fcber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte \u00c4nderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte \u00c4nderung f\u00fcr den Auftragnehmer nicht zumutbar ist – die von der \u00c4nderung betroffene Leistung gegen\u00fcber dem Auftraggeber innerhalb einer angemessenen Frist nach Zugang des Einspruchs einstellen.
\n9.5. Erteilt der Auftragnehmer Auftr\u00e4ge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu \u00fcbertragen.
\n9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu geh\u00f6ren solche Nebenleistungen, die sich auf Telekommunikationsleistungen, Druck-\/Post-\/Transportdienstleistungen, Wartung und Pflege, Benutzerservice oder die Entsorgung von Datentr\u00e4gern sowie sonstige Ma\u00dfnahmen zur Sicherstellung der Vertraulichkeit, Verf\u00fcgbarkeit, Integrit\u00e4t und Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger IT-Systeme, beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gew\u00e4hrleistung des Datenschutzes und der Datensicherheit in Bezug auf die Daten des Auftraggebers auch bei solchen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollma\u00dfnahmen zu ergreifen.<\/p>\n
\n10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterst\u00fctzen und zur Aufkl\u00e4rung des zugrundeliegenden Sachverhalts beizutragen.
\n10.2. Die zwischen den Parteien im Servicevertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch f\u00fcr Anspr\u00fcche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverh\u00e4ltnis zwischen den Parteien f\u00fcr Anspr\u00fcche Dritter nach Art 82 DSGVO, au\u00dfer soweit ausdr\u00fccklich etwas anderes vereinbart ist.<\/p>\n
\n11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten Vertrages. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tats\u00e4chlichen Ende der Verarbeitung.
\n11.2. NetFile-Solution kann die Vereinbarung nach billigem Ermessen mit angemessener Ank\u00fcndigungsfrist \u00e4ndern. Es gilt Ziffer 1.4 AGB.
\n11.3. Erg\u00e4nzend gelten die AGB des Auftragnehmers, abrufbar unter: https:\/\/netfile-solution.eu:444\/netfile-solution-wp\/allgemeine-geschaeftsbedingungen-von-netfile-solution\/.Bei etwaigen Widerspr\u00fcchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so ber\u00fchrt dies die Wirksamkeit der Vereinbarungen im \u00dcbrigen nicht.
\n11.4. Ausschlie\u00dflicher Gerichtsstand f\u00fcr alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist 47495 Rheinberg. Dieser gilt vorbehaltlich eines etwaigen ausschlie\u00dflich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
\n11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pf\u00e4ndung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Ma\u00dfnahmen Dritter gef\u00e4hrdet werden, so hat der Auftragnehmer den Auftraggeber unverz\u00fcglich dar\u00fcber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverz\u00fcglich dar\u00fcber informieren, dass die Hoheit und das Eigentum an den Daten ausschlie\u00dflich beim Auftraggeber als \u00bbVerant
\nwortlicher \u00ab im Sinne der DSGVO liegen.
\n11.6 Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer jegliche Art der Kommunikationswege mit dem Auftragnehmer nutzen darf, um mit dem Auftraggeber in Kontakt zu treten, soweit der Kommunikationsweg bekannt und vom Auftraggeber die Kontaktinformationen daf\u00fcr bereitgestellt wurden, um mit dem Auftragnehmer im Rahmen der Datenverarbeitung u. Datenverwaltung in Kontakt zu treten. Dies gilt z.B. auch f\u00fcr E-Mail Newsletter, Messenger und\/oder andere Informationskan\u00e4le, wie z.B. Postweg. Der Auftraggeber hat das Recht jederzeit dieser Vereinbarung teilweise zu wiedersprechen bzw. einzugrenzen.<\/p>\n
\n1.1 Zutrittskontrolle
\nUnbefugten ist der Zutritt zu R\u00e4umen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind.
\nFestlegung von Sicherheitsbereichen
\n\u2022 Realisierung eines wirksamen Zutrittsschutzes
\n\u2022 Protokollierung des Zutritts
\n\u2022 Festlegung Zutrittsberechtigter Personen
\n\u2022 Verwaltung von personengebundenen Zutrittsberechtigungen
\n\u2022 Begleitung von Fremdpersonal
\n\u2022 \u00dcberwachung der R\u00e4ume<\/p>\n
\nEs ist zu verhindern, dass Datenverarbeitungssysteme von Unbe
\nfugten genutzt werden.
\n\u2022 Festlegung des Schutzbedarfs
\n\u2022 Zugangsschutz
\n\u2022 Umsetzung sicherer Zugangsverfahren
\n\u2022 Umsetzung einfacher Authentisierung per Username Passwort
\n\u2022 Protokollierung des Zugangs
\n\u2022 Monitoring bei kritischen IT-Systemen
\n\u2022 Gesicherte (verschl\u00fcsselte) \u00dcbertragung von Authentisierungsgeheimnissen
\n\u2022 Sperrung bei Fehlversuchen\/Inaktivit\u00e4t und Prozess zur R\u00fccksetzung gesperrter Zugangskennungen
\n\u2022 Verbot Speicherfunktion f\u00fcr Passw\u00f6rter und\/oder Formulareingaben (Server\/Clients)
\n\u2022 Festlegung befugter Personen
\n\u2022 Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
\n\u2022 Manuelle Zugangssperre<\/p>\n
\nEs kann nur auf die Daten zugegriffen, f\u00fcr die eine Zugriffsberechtigung besteht. Daten k\u00f6nnen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt ge
\nlesen, kopiert, ver\u00e4ndert oder entfernt werden.
\n\u2022 Erstellen eines Berechtigungskonzepts
\n\u2022 Umsetzung von Zugriffsbeschr\u00e4nkungen
\n\u2022 Vergabe minimaler Berechtigungen
\n\u2022 Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen<\/p>\n
\nEs ist zu gew\u00e4hrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden k\u00f6nnen.
\n\u2022 Datensparsamkeit im Umgang mit personenbezogenen Daten
\n\u2022 Getrennte Verarbeitung verschiedener Datens\u00e4tze
\n\u2022 Trennung von Test- und Entwicklungsumgebung<\/p>\n
\n\u2022 Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder ver\u00f6ffentlicht werden.<\/p>\n
\n2.1 Weitergabekontrolle
\nZiel der Weitergabekontrolle ist es, zu gew\u00e4hrleisten, dass personenbezogene Daten bei der elektronischen \u00dcbertragung oder w\u00e4hrend ihres Transports oder ihrer Speicherung auf Daten
\ntr\u00e4ger nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden k\u00f6nnen, und dass \u00fcber
\npr\u00fcft und festgestellt werden kann, an welche Stellen eine \u00dcbermittlung personenbezogener Daten durch Einrichtungen zur Daten\u00fcbertragung vorgesehen ist.
\n\u2022 Festlegung empfangs- \/weitergabeberechtigter Instanzen\/Personen
\n\u2022 Pr\u00fcfung der Rechtm\u00e4\u00dfigkeit der \u00dcbermittlung ins Ausland
\n\u2022 Sichere Daten\u00fcbertragung zwischen Server und Client
\n\u2022 Sicherung der \u00dcbertragung im Backend
\n\u2022 Sichere \u00dcbertragung zu externen Systemen
\n\u2022 Risikominimierung durch Netzseparierung
\n\u2022 Implementation von Sicherheitsgateways an den Netz\u00fcbergabepunkten
\n\u2022 H\u00e4rtung der Backendsysteme
\n\u2022 Beschreibung der Schnittstellen
\n\u2022 Umsetzung einer Maschine-Maschine-Authentisierung
\n\u2022 Sichere Ablage von Daten, inkl. Backups
\n\u2022 Gesicherte Speicherung auf mobilen Datentr\u00e4gern
\n\u2022 Einf\u00fchrung eines Prozesses zur Datentr\u00e4gerverwaltungen
\n\u2022 Prozess zur Sammlung und Entsorgung
\n\u2022 Datenschutzgerechter L\u00f6sch- und Zerst\u00f6rungsverfahren
\n\u2022 F\u00fchrung von L\u00f6schprotokollen<\/p>\n
\nZweck der Eingabekontrolle ist es, zu gew\u00e4hrleisten, dass nachtr\u00e4glich \u00fcberpr\u00fcft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver\u00e4ndert oder entfernt worden sind.
\n\u2022 Dokumentation der Eingabeberechtigungen<\/p>\n
\n3.1 Verf\u00fcgbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
\n\u2022 Brandschutz
\n\u2022 Teilredundanz der Prim\u00e4rtechnik
\n\u2022 Redundanz der Stromversorgung
\n\u2022 Redundanz der Kommunikationsverbindungen
\n\u2022 Monitoring
\n\u2022 Resourcenplanung und Bereitstellung
\n\u2022 Abwehr von systembelastendem Missbrauch
\n\u2022 Datensicherungskonzepte und Umsetzung
\n\u2022 Regelm\u00e4\u00dfige Pr\u00fcfung der Notfalleinrichtungen<\/p>\n
\n\u2022 Notfallplan
\n\u2022 Datensicherungskonzepte und Umsetzung<\/p>\n
\n\u2022 Festlegung von Verantwortlichkeiten
\n\u2022 Umsetzung und Kontrolle geeigneter Prozesse
\n\u2022 Melde- und Freigabeprozess
\n\u2022 Verpflichtung auf Vertraulichkeit
\n\u2022 Regelungen zur internen Aufgabenverteilung
\n\u2022 Beachtung von Funktionstrennung und \u2013Zuordnung
\n\u2022 Einf\u00fchrung einer geeigneten Vertreterregelung<\/p>\n
\nZiel der Auftragskontrolle ist es, zu gew\u00e4hrleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden k\u00f6nnen.
\n\u2022 Auswahl weiterer Auftragnehmer nach geeigneten Garantien
\n\u2022 Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
\n\u2022 Abschluss einer Vereinbarung zur Auftragsverarbeitung mit NetFile-Solution<\/p>\n
\n\u2022 Prozess zur Evaluation der Technischen und Organisatorischen Ma\u00dfnahmen
\n\u2022 Prozess Sicherheitsvorfall-Management
\n\u2022 Durchf\u00fchrung von technischen \u00dcberpr\u00fcfungen<\/p>\n