Vereinbarung über die gemeinsame Verantwortlichkeit

zwischen

dem Nutzer des PRO-Bereichs

(nachfolgend "Verantwortlicher zu 1." genannt)

und der

markilux GmbH + Co. KG

Hansestraße 53

48282 Emsdetten

(nachfolgend "Verantwortlicher zu 2." genannt)

Präambel

Die Geschäftsbeziehung zwischen dem Verantwortlichen zu 1. und dem Verantwortlichen zu 2. macht es erforderlich, dass die Parteien personenbezogene Daten verarbeiten und bei der Verarbeitung gemeinsam als Verantwortliche gelten. Vorliegende Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (nachfolgend „Vereinbarung“ genannt) legt die Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Parteien fest, soweit die Parteien die Zwecke und Mittel gemeinsam festlegen. Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen der Nutzungsbedingungen des PRO-Bereichs (nachfolgend „Hauptvertrag“ genannt) vor.

§1 Gegenstand, Art, Zweck und Dauer der Datenverarbeitung

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten zwischen den Parteien, die durch die Bestimmungen dieser Vereinbarung und die nachfolgende Beschreibung der Datenverarbeitungsvorgänge geregelt wird:

Gegenstand der Verarbeitung: Erhebung, Übermittlung und Verwaltung von Leads.

Art der Verarbeitung: Erhebung, Speicherung, Organisation, Übermittlung und Verwendung.

Zweck der Verarbeitung: Effiziente Bearbeitung eingehender Kundenanfragen.

Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrages.

Arten der personenbezogenen Daten: Adressdaten (Straße, Hausnummer, Postleitzahl, Ort etc.), Auftragsdaten (Bestelldaten, Konfigurationen etc.), Beschäftigtendaten (Personalnummer, Ein- & Austrittsdatum etc.), Kontaktdaten (Telefonnummer, Mailadresse etc.) und Namen (Nachname, Vorname etc.).

Kategorien betroffener Personen: Interessenten.

Rechtsgrundlage der Verarbeitungsvorgänge: Art. 6 Abs. 1 lit. a) DS-GVO und Art. 6 Abs. 1 lit. b) DS-GVO.

Prozesse/Verfahren, auf die der Verantwortliche zu 1. Einfluss hat bzw. deren Verarbeitung nur durch ihn durchgeführt werden soll: Verwaltung und Bearbeitung der Leads.

Prozesse/Verfahren, auf die der Verantwortliche zu 2. Einfluss hat bzw. deren Verarbeitung nur durch ihn durchgeführt werden soll: Erhebung, Speicherung, Übermittlung und Verwaltung der Leads.

Jede Partei verarbeitet im Rahmen dieser Vereinbarung genutzte personenbezogene Daten nur unter den Bestimmungen dieser Vereinbarung und für die dokumentierten Zwecke. Dies gilt insoweit nicht, als das Unionsrecht oder das Recht der Mitgliedstaaten die Parteien zu einer Datenverarbeitung verpflichtet. In solchen Fällen ist die Partei verpflichtet, die andere Partei über die Datenverarbeitung zu informieren, soweit ihr dies nicht gesetzliche untersagt ist.

§2 Formale Verpflichtungen der Parteien

Die Parteien gewährleisten die Einhaltung der anwendbaren Datenschutzvorschriften, insbesondere die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten auf Basis der nachfolgenden Bestimmungen.

Anweisungen oder Benachrichtigungen bezüglich der Datenverarbeitung im Rahmen dieser Vereinbarung können während der Laufzeit der Vereinbarung gegenüber der anderen Partei einzeln erteilt werden, soweit es erforderlich ist, um sicherzustellen, dass die Datenverarbeitung nur in einer mit dieser Vereinbarung zu vereinbarenden Weise erfolgt. Auf Ersuchen übermittelt die empfangende Partei der anderen Partei eine Kopie der in ihrem Besitz befindlichen personenbezogenen Daten, die Teil dieser Vereinbarung sind.

Für den Fall, dass während der Datenverarbeitung personenbezogene Daten von einer Partei an Mitgliedstaaten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt werden, sehen die Parteien angemessene Garantien gem. Art. 44–50 DS-GVO vor.

Sofern ein Verzeichnis von Verarbeitungstätigkeiten der gemeinsamen Datenverarbeitung zu erstellen ist, führt jede Partei ein solches eigenständig. Jede Partei stellt der anderen Partei auf Ersuchen und kostenlos ihr Verzeichnis oder den Teil des Verzeichnisses, der sich auf die gemeinsame Datenverarbeitung bezieht, zur Verfügung.

Soweit eine Datenschutz-Folgenabschätzung für die von dieser Vereinbarung erfasste Datenverarbeitung durchzuführen ist, führen die Parteien diese gemeinsam durch. Jede Partei stellt der anderen Partei auf Ersuchen die erforderlichen Informationen zur Verfügung und dokumentiert die Ergebnisse und festgestellten Folgen.

Die Parteien verpflichten sich, die Dokumentationspflichten nach Art. 24 Abs. 1, 5 Abs. 2 DS-GVO einzuhalten und sich auf Anfrage gegenseitig die relevanten Dokumentationen zur Verfügung zu stellen.

§3 Vertraulichkeit der Mitarbeiter

Die Parteien garantieren, dass kein Mitarbeiter, der an der Verarbeitung der personenbezogenen Daten beteiligt ist, personenbezogene Daten außerhalb des Geltungsbereichs dieser Vereinbarung verarbeiten darf, es sei denn, die Verarbeitung ist nach dem Recht der Union oder eines Mitgliedstaats erforderlich. Die Parteien werden ihre Mitarbeiter über die entsprechenden Pflichten informieren.

Die Parteien ergreifen Maßnahmen, um sicherzustellen, dass alle Mitarbeiter die gesetzlichen Bestimmungen zum Schutz personenbezogener Daten einhalten. Darüber hinaus garantieren die Parteien, dass jede Person, die bei der Partei berechtigt ist, die von der vorliegenden Vereinbarung erfassten personenbezogenen Daten zu verarbeiten, eine Verpflichtung auf vertrauliche Behandlung unter Berücksichtigung der Datenschutzvorgaben eingegangen ist.

§4 Ernennung eines Datenschutzbeauftragten und EU-Vertreter

Die Parteien benennen, soweit sie durch die DS-GVO dazu verpflichtet sind, jeweils einen Datenschutzbeauftragten. Name und Kontaktdaten des Datenschutzbeauftragten – und eventuelle Änderungen – werden der anderen Partei mitgeteilt.

Hat eine Partei ihren Sitz nicht in der EU, so benennt sie, wie von Art. 27 Abs. 1 DS-GVO vorgeschrieben, einen Vertreter in der EU. Name und Kontaktdaten des Vertreters – und eventuelle Änderungen – werden der anderen Partei mitgeteilt.

§5 Aufsichtsbehörden und gerichtliche Verfahren

Die Parteien arbeiten im Falle von Ersuchen der Aufsichtsbehörden zu einer Datenverarbeitung auf Basis dieser Vereinbarung oder der Nichteinhaltung dieser Vereinbarung zusammen. Die Parteien informieren sich gegenseitig über sonstige Ersuchen, Vorschläge oder Entscheidungen und helfen bei der Beantwortung von Anfragen ohne unangemessene Verzögerung. Die Parteien sind verpflichtet, die Anregungen und Entscheidungen der zuständigen Aufsichtsbehörden gebührend zu berücksichtigen.

Die Parteien informieren einander unverzüglich über Kontrolltätigkeiten der Aufsichtsbehörden, um eine gemeinsam ausgearbeitete Antwort an die Aufsichtsbehörde zu gewährleisten. Gleiches gilt bei Gerichtsverfahren in Bezug auf den Gegenstand dieser Vereinbarung.

§6 Informationspflichten

Die Parteien erfüllen vollumfänglich alle Informationspflichten in Bezug auf die unter diese Vereinbarung fallende Verarbeitung, insbesondere durch die Bereitstellung einer Datenschutzerklärung nach Art. 13 DS-GVO gegenüber den Betroffenen. Die Parteien informieren die andere Partei über alle relevanten Vorgänge, die notwendig sind, um eine faire und transparente Datenverarbeitung zu gewährleisten.

Plant eine Partei die Verarbeitung der personenbezogenen Daten für einen anderen Zweck als den in dieser Vereinbarung beschriebenen und den betroffenen Personen bei Erhebung mitgeteilten Zwecken und ist die geplante Verarbeitung zu einem anderen Zweck als demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, nach Art. 6 Abs. 4 DS-GVO zulässig, so informiert sie die betroffene Person vor der Durchführung der weiteren Verarbeitung über die neuen Zwecke und erteilt alle erforderlichen Informationen.

Die Parteien stellen den Inhalt der vorliegenden Vereinbarung den betroffenen Personen auf Wunsch zur Verfügung.

§7 Anfragen und Rechte der betroffenen Personen

Jede Partei ist dafür verantwortlich, die Rechte der betroffenen Personen nach Art. 12 – 23 DS-GVO zu gewährleisten. Jede Partei trifft geeignete Maßnahmen, um der jeweils anderen Partei alle Informationen für die Erfüllung der Rechte der betroffenen Personen, wie sie in Art. 12 – 23 DS-GVO vorgesehen sind, zur Verfügung zu stellen.

Erhält eine Partei eine Anfrage oder ein Ersuchen direkt von einer betroffenen Person, so unterrichtet diese Partei die andere Partei unverzüglich schriftlich oder in Textform. Wenn nichts anderes vereinbart wird, beantwortet die Partei, bei der das Ersuchen einging, dieses innerhalb eines Monats. Falls die Beantwortung unter Berücksichtigung der Komplexität und der Anzahl von Anträgen eine längere Zeit in Anspruch nimmt, informiert die jeweils verantwortliche Partei den Betroffenen und die andere Partei über diesen Umstand und beantwortet das Ersuchen binnen eines angemessenen Zeitrahmens.

§8 Weitere Auftragsverarbeiter

Bei der Verarbeitung personenbezogener Daten sind die Parteien jeweils berechtigt, weitere Auftragsverarbeiter i. S. d. Art. 28 DS-GVO zu beauftragen, vorausgesetzt, dass die jeweils andere Partei zuvor über diese weiteren Auftragsverarbeiter mit Namen, Kontaktdaten und Zweck der Verarbeitung informiert wird. Eine Liste der zum Zeitpunkt der Unterzeichnung der Vereinbarung autorisierten weiteren Auftragsverarbeiter ist in Anlage 1 beigefügt. Die beauftragende Partei informiert die andere Partei auch über beabsichtigte Ergänzungen oder Austausch von weiteren Auftragsverarbeitern. In diesen Fällen erhält die andere Partei die Möglichkeit, gegen solche Änderungen innerhalb von 14 Tagen nach Erhalt der Information Einspruch zu erheben.

Im Falle einer weiteren Auftragsverarbeitung wählt die beauftragende Partei den weiteren Auftragsverarbeiter mit der gebührenden Sorgfalt aus. Sie gestaltet die vertraglichen Vereinbarungen so, dass sichergestellt ist, dass sie die Anforderungen an den Schutz personenbezogener Daten gem. Art. 28 DS-GVO einhalten. Jede Partei kann in begründeten Fällen eine Dokumentation verlangen, aus der hervorgeht, dass der geplante weitere Auftragsverarbeiter ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen gem. Art. 28 DS-GVO bietet. Soweit der von der Partei beauftragte weitere Auftragsverarbeiter außerhalb der EU/EWR ansässig ist, darf die Partei diesen weiteren Auftragsverarbeiter nur beauftragen, wenn dieser an die geltenden EU-Standardvertragsklauseln gebunden ist oder andere angemessene Garantien gem. Art. 44 – 50 DS-GVO getroffen wurden. In solchen Fällen sind die Parteien beide Datenexporteur und der weitere Auftragsverarbeiter ist Datenimporteur. Die Parteien bevollmächtigen sich hiermit, solche Klauseln im Namen des jeweils anderen abzuschließen.

Unterauftragsverhältnisse mit weiteren Auftragsverarbeitern im Sinne dieser Bestimmungen liegen nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsarbeiten, Telekommunikationsleistungen und Bewachungsdienste ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt.

§9 Benachrichtigung bei Datenschutzvorfällen

Im Falle einer tatsächlichen oder vermuteten Verletzung des Schutzes personenbezogener Daten, wie z. B. Veränderung, unbefugte Offenlegung von bzw. unbefugter Zugang zu personenbezogenen Daten („Datenschutzvorfall“), wird die betroffene Partei die andere Partei unverzüglich über den Datenschutzvorfall in Kenntnis setzen. Die Benachrichtigung beschreibt in klarer und deutlicher Sprache die Art der (vermuteten) Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer voraussichtlichen Folgen.

Im Falle einer solchen Verletzung personenbezogener Daten arbeiten die Parteien zusammen, um die Umsetzung ihrer datenschutzrechtlichen Verpflichtungen zu erreichen, und stellen sicher, dass die Meldung an die Aufsichtsbehörde oder die betroffene Person innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung personenbezogener Daten erfolgt.

Die Parteien dokumentieren alle Verstöße gegen die Verarbeitung der von dieser Vereinbarung erfassten personenbezogenen Daten und stellen die Verfügbarkeit der Dokumentation auf Anforderung der anderen Partei oder der Aufsichtsbehörde sicher.

§10 Technische und organisatorische Maßnahmen

Die Parteien gewährleisten die Umsetzung angemessener technischer und organisatorischer Maßnahmen, um die Einhaltung der anwendbaren Vorschriften zum Schutz personenbezogener Daten (insbesondere des Art. 32 DS-GVO) sicherzustellen. Die Parteien setzen zumindest die technischen und organisatorischen Maßnahmen gemäß Anlage 2 um.

Jede Partei überprüft regelmäßig die Wirksamkeit und Angemessenheit der durchgeführten technischen und organisatorischen Maßnahmen. Nach jeder Prüfung berichtet die Partei der anderen Partei erforderlichenfalls über die vorgeschlagenen und ergriffenen Anpassungen zur Verbesserung der technischen und organisatorischen Maßnahmen.

§11 Laufzeit und Beendigung der Vereinbarung

Die Laufzeit dieser Vereinbarung richtet sich nach der Dauer der Verarbeitung.

Bei Beendigung dieser Vereinbarung stellen die Parteien die Verarbeitung personenbezogener Daten, die sie von der jeweils anderen Partei erhalten haben, unverzüglich ein und löschen die Daten. Dies gilt nicht, wenn die Parteien auf anderer rechtlicher Grundlage zur weiteren Verarbeitung der Daten berechtigt oder verpflichtet sind. Die Löschung oder die Gründe für eine ausbleibende Löschung sind zu protokollieren und der jeweils anderen Partei auf Anfrage zur Verfügung zu stellen.

Die Archivierung der personenbezogenen Daten zum Zweck der Erfüllung gesetzlicher Aufbewahrungsvorschriften oder zur Erfüllung der in § 1 beschriebenen Zwecke bleibt zulässig.

§12 Haftung

Die Parteien haften gegenüber den betroffenen Personen gemäß Art. 82 DS-GVO.

Im Innenverhältnis haften die Parteien nur für ihren jeweiligen Anteil an der haftungsbegründenden Ursache. Dies gilt auch für Bußgelder, die rechtskräftig sind und gegen die der Rechtsweg ausgeschöpft ist. Übersteigt ein Bußgeld den haftungsbegründenden Anteil, so ist die andere Partei verpflichtet, den übersteigenden Anteil zu ersetzen.

Anlage 1: Von den Parteien eingesetzte weitere Auftragsverarbeiter

Google Ireland Limited. Gordon House, Barrow Street,Dublin 4, Irland, Leistungen: Rechenzentrumsdienstleistungen, E-Mail-Postfächer, Analyse & Marketing

SAP Deutschland SE & Co. KG, Hasso-Plattner-Ring 7, 69190 Walldorf, Leistung: Kunden-/Anfragenmanagement

Dynamic Yield Ltd., New York, 150 5th Ave, Vereinigte Staaten von Amerika, Leistung: Analyse & Marketing

Müller & Sohn Digitalmanufaktur GmbH, Petersburger Straße 49, 10249 Berlin, Leistung: Support der Server

Jastech Gmbh, Lippstädter Straße 54 48155 Münster, Leistung: Entwicklung und Wartung/Instandhaltung 

Schmitz Werke GmbH + Co. KG, Hansestraße 103, 48282 Emsdetten, Leistung: Administrative Zugriffe

Anlage: Technische und organisatorische Maßnahmen

Organisationskontrolle

  • Datenschutz-Management (Richtlinien, Betriebsvereinbarungen, Verfahrensanweisungen, etc.)
  • Verpflichtung der Beschäftigten zur Vertraulichkeit
  • Verpflichtung der Beschäftigten auf das Fernmeldegeheimnis
  • Verpflichtung von externen Dienstleistern auf das Datengeheimnis, sofern es sich nicht um Auftragsverarbeiter handelt
  • Benennung eines Datenschutzbeauftragten/Ansprechpartners für den Datenschutz
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
  • Regelmäßige Auditierung der technischen und organisatorischen Maßnahmen zum Datenschutz (durch unabhängige Instanzen) (Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren, etc.)

Zutrittskontrolle

Sicherungsmaßnahmen des Gebäudes

  • Einfriedung/Einzäunung des Grundstücks
  • Toranlage
  • Vereinzelungsanlage/Drehtür
  • Bewegungsmelder (Beleuchtung)
  • Videoüberwachung
  • Einbruchmeldeanlage/Alarmanlage
  • Zu- und Ausgänge des Gebäudes sind von außen nicht zu öffnen
  • Besondere Sicherung der Türen
  • Dokumentiertes Zutrittskontrollkonzept mit einer Festlegung und Dokumentation der berechtigten Personen
  • Elektronisches Zutrittskontrollsystem für das Gebäude(Magnetstreifen/Speicherchip, RFID-Chip, Codeschloss, biometrisches Verfahren etc.)

    Die Zutrittskontrolle erfolgt mit RFID-Chips, die speziell für das Schließsystem vom Hersteller programmiert sind.

  • Kartendokumentation
  • Sichere Verwahrung von Ersatzkarten/Ersatzschlüsseln
  • Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechte

Sicherungsmaßnahmen innerhalb des Gebäudes / Geschäftsräume

  • Bewegungsmelder (Beleuchtung)
  • Tragepflicht von Berechtigungsausweisen
  • Zu- und Ausgänge der Geschäftsräume sind von außen nicht zu öffnen
  • Besondere Sicherung der Türen
  • Zentraler Empfangsbereich mit Personenkontrolle
  • Besucherüberwachung (Elektronisches Besuchermanagementsystem, Besucherbuch, Begleitung durch Mitarbeiter etc.) 
  • Dokumentiertes Zutrittskontrollkonzept mit einer Festlegung und Dokumentation der berechtigten Personen
  • Elektronisches Zutrittskontrollsystem für das Gebäude (Magnetstreifen/Speicherchip, RFID-Chip, Codeschloss, biometrisches Verfahren etc.)  
  • Kartendokumentation
  • Sichere Verwahrung von Ersatzkarten/Ersatzschlüsseln
  • Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechte

Sicherungsmaßnahmen der besonders sensiblen Räume (Geschäftsleitung, Personalabteilung, IT, Archive, RZ-/Serverraum, TK-Anlage, Verteilerräume, Archive, etc.):

  • Bewegungsmelder (Beleuchtung)
  • Tragepflicht von Berechtigungsausweisen
  • Zu- und Ausgänge der Geschäftsräume sind von außen nicht zu öffnen
  • Besondere Sicherung der Türen
  • Dokumentiertes Zutrittskontrollkonzept mit einer Festlegung und Dokumentation der berechtigten Personen
  • Elektronisches Zutrittskontrollsystem für das Gebäude (Magnetstreifen/Speicherchip, RFID-Chip, Codeschloss, biometrisches Verfahren etc.)
  • Kartendokumentation
  • Sichere Verwahrung von Ersatzkarten/Ersatzschlüsseln
  • Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechte

Zugangskontrolle (Datenverarbeitungsanlagen auf Netz- und Serverebene)

  • (Verschlüsselte) Identifikation und Authentifikation von Benutzern (User-ID und Passwort, Zweistufenauthentifizierung mit Magnet-/Chipkarte oder Token, biometrisches Verfahren etc.)
  • Passwortregeln vorhanden (Mindestlänge, Zeichensatz, Gültigkeitsdauer, Ausschluss von Trivialkennworten etc.)
  • Automatisierte Kontrolle der Passwortregeln
  • Vorläufig vergebene Passwörter werden unverzüglich durch sichere Individualpasswörter ersetzt
  • Automatische Kontrolle der unverzüglichen Vergabe von Individualpasswörtern
  • Sperrung bei wiederholter Fehleingabe von Passwörtern
  • Freigabe nur durch Administrator/Freigabe nach Zeitablauf/Freigabe gestaffelt nach Versuchen
  • Sperre von Endgeräten beim Verlassen (Bildschirmschoner mit Passwortschutz automatisch nach Zeitablauf/manuell etc.)
  • Hardware-Firewall/Software-Firewall vorhanden
  • Updates für Firewall werden regelmäßig automatisch/manuell installiert
  • Anti-Virus-Software vorhanden
  • Updates für Anti-Virus-Software werden regelmäßig automatisch/manuell installiert
  • Regelmäßiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei Browsern
  • Protokollierung von Internetnutzung
  • Trennung von Firmennetz und Gäste-WLAN (Getrenntes Netzsegment mit Router, Firewall, Beschränkung von Zugriffsrechten etc.)
  • Access Point zugriffs- und diebstahlsicher installiert
  • Sicherungsmaßnahmen bei Zugang von extern zum Firmennetz (Virtual Private Network (VPN), Protokollierung der externen Kommunikation, regelmäßige Sicherheitschecks von mobilen Endgeräten etc.) 
  • Einsatz von zentraler Administrations-Software zum externen Löschen von Daten auf mobilen Endgeräten (Mobile-Device-Management etc.)
  • Keine Speicherung von sensiblen Daten auf mobilen Endgeräten
  • Sichere Löschung von Datenträgern vor deren Wiederverwendung

Zugriffskontrolle (Datenverarbeitungsanlagen)

  • Aktive Netzkomponenten (Switches etc.) sind zugriffssicher untergebracht
  • Nicht benötigte Diskettenlaufwerke, CD-Brenner, externe Schnittstellen (USB etc.) sind gesperrt
  • Transparenter User-Help-Desk (Explizite Freigabe durch Nutzer, Beendigung der Help-Desk-Sitzung erkennbar etc.)
  • Dokumentation der Änderung von Rollen und Rechten
  • Kein Zugriff durch Benutzer auf Systemebene möglich
  • Installation und Ausführung neuer Programme durch Benutzer nicht möglich

Weitergabekontrolle

  • Sensible Daten/Dokumente werden verschlüsselt/anonymisiert/pseudonymisiert übertragen/weitergegeben
  • Identifizierung und Authentifizierung der Beteiligten bei der Datenübertragung (Benutzerkennung/Passwort etc.)
  • Regelmäßiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei E-Mail-Programmen
  • Sicherheitseinstellungen der E-Mail-Programme werden gezielt angewendet
  • Sicherheitseinstellungen der E-Mail-Programme sind für die Nutzer nicht veränderbar
  • Einsatz von E-Mail-Contentfiltern
  • Sichere und vertrauliche Sammlung von Datenträgern/Unterlagen vor der Vernichtung (verschlossene Sammelbehälter etc.)
  • Einsatz von Aktenvernichtern

Eingabekontrolle

  • Überwachung von Routern und Switches
  • Regelmäßige/Anlassbezogene automatische/manuelle Auswertung der Protokolle auf Normabweichungen, Sicherheitsverletzungen und Angriffe

Auftragskontrolle

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich des Datenschutzes)
  • Vorherige Prüfung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
  • Abschluss eines Vertrages oder eines anderen Rechtsinstruments nach Art. 28 DSGVO und Einhaltung dieser Regularien
  • Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
  • Vertraglich festgelegte Verantwortlichkeiten
  • Sofern Verantwortlicher auch Auftragsverarbeiter ist: Vertragliche Regelungen mit Subunternehmern, dass der Auftraggeber seine Rechte aus AV-Vertrag (insbesondere seine Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann
  • Einmal-Passwort
  • Virtual Private Network (VPN)

Verfügbarkeitskontrolle

  • Ausfallschutz durch gespiegelte Plattenlaufwerke, RAID-System etc.
  • Regelmäßige Bestandskontrollen
  • Backup-Konzept
  • Regelmäßige automatisierte/manuelle Datensicherungen
  • Überprüfung der Sicherungsdaten auf Vollständigkeit und Lesbarkeit
  • Recovery-Konzept
  • Sichere Lagerung von Datensicherungen (anderer Brandabschnitt/externe Lagerung, Tresor, Verschlüsselung der Datensicherungen etc.)
  • Unterbrechungsfreie Stromversorgung (mit Überwachung von Stromstabilität, Akkuzustand/-belastung und Stromkreisbelastung)
  • Regelmäßige Tests der unterbrechungsfreien Stromversorgung nach Herstellervorschrift auf Funktionsfähigkeit und Dokumentation der Tests
  • Klimaanlage mit Überwachung der Temperatur und des Filterzustands
  • Rauchmeldeanlage (mit Alarmierung der Feuerwehr, Wachdienst, interne Alarmierung etc.)
  • Brandmeldeanlage (mit Alarmierung der Feuerwehr, Wachdienst, interne Alarmierung etc.)
  • Brandschutzkonzept
  • Feuerlöschanlage/Feuerlöscher mit geeignetem Löschmittel vorhanden
  • Brandschutztüren
  • Feuerschutzwände
  • Brandschutzübungen
  • Regelmäßige Überprüfung des räumlichen Umfeldes des RZ/der Serverräume auf eventuelle Risiken (Wasser, erhöhte Brandlast angrenzender Räume etc.) und Dokumentation der Überprüfungen
  • Administratorenpasswort/Notfallpassworte sicher hinterlegt (Tresor,Bankschließfach etc.) 
  • Notfallhandbuch
  • Alarmierungsplan

Trennungskontrolle

  • Logische/physikalische Trennung von verschiedenen speichernden Stellen (Unternehmen)
  • Trennung unabhängiger Anwendungen innerhalb eines Unternehmens (durch Zugriffssteuerung/physikalisch eigenständige Datenträger/logische Datentrennung)
  • Trennung von Test- und Produktionsdaten (getrennte Programmbibliotheken etc.)
  • Trennung der DV-Anlagen und Datenträger für besonders sensible Daten (durch Zugriffssteuerung/physikalisch eigenständige Datenträger/logische Datentrennung)
  • Trennung nach Zwecken (durch Zugriffssteuerung/physikalisch eigenständige Datenträger/logische Datentrennung)