In den Räumen des Auftragnehmers. Bei einem Subunternehmer

Transkript

1 Fragen an den Nach Auftraggeber 9 BDSG zu treffenden technischen u. organisatorischen Maßnahmen 0.1 Name der Firma 0.2 Anschrift der Firma 0.3 Ansprechpartner 0.4 adresse Ansprechpartner 0.5 Erfüllungsort In den Räumen des Auftraggebers In den Räumen des Auftragnehmers Bei einem Subunternehmer 0.6 Welche Datenübertragungswege sollen genutzt werden? Datenträgeraustausch beleghaft/papierhaft Dateitransfer Fernwartung Keine, die Aufgabenerfüllung erfolgt ausschließlich in den Räumen und auf Systemen des Auftraggebers Fragen an den Auftragnehmer 1. Organisatorische Maßnahmen 1.1 Ist ein Datenschutzbeauftragter bestellt und liegt ein Bestellungsurkunde vor?

2 Nicht relevant (nachfolgend erläutern) 1.2 Unterliegt das Unternehmen der Meldepflicht nach 4d BDSG? Das Unternehmen unterliegt der Meldepflicht nach 4d BDSG Eine Meldung nach 4 BDSG wurde durchgeführt Das Unternehmen unterliegt der Meldepflicht nicht 1.3 Sind alle Mitarbeiter nachweislich auf das Datengeheimnis ( 5 BDSG) und auf die Wahrung von Geschäftsgeheimnissen verpflichtet? Nicht relevant (nachfolgend erläutern) 1.4 Sind alle Mitarbeiter nachweislich auf das Fernmeldegeheimnis ( 88 TKG i.v. mit 206 StGB) verpflichtet? Nicht relevant, weil das Unternehmen keine Telekommunikationsdienste anbietet 1.5 Sind die Mitarbeiter nachweislich auf das Bankgeheimnis verpflichtet? Nicht relevant (nachfolgend erläutern) 1.6 Werden die Mitarbeiter regelmäßig zu Datenschutz-Themen geschult? Nicht relevant (nachfolgend erläutern) 1.7 Werden regelmäßig unabhängige Sicherheitsüberprüfungen durch eine externe Stelle durchgeführt? Durch eine Zertifizierungsstelle

3 Durch ein externes Sicherheitsunternehmen Sonstiges (nachfolgend erläutern) Nicht relevant (nachfolgend erläutern) 1.8 Existieren interne Kontrollmaßnahmen um die Einhaltung interner und externer Vorschriften zu gewährleisten? Internes Kontroll System (IKS) Interne Revision Sonstiges (nachfolgend erläutern) Nicht relevant (nachfolgend erläutern) 1.9 In welchen Staaten wird die Datenverarbeitung (inkl. Fernwartung etc.) durchgeführt? In Deutschland Innerhalb des Europäischen Wirtschaftsraumes In einem von der EU als sicher anerkannten Drittstaat In einem Drittstaat unter Abschluss der "Standard-Klauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" In einem sonstigen Drittstaat Nicht relevant, weil Aufgabenerfüllung ausschließlich beim Auftraggeber stattfindet. Nicht relevant, sonstiges (bitte nachfolgend erläutern) 2. Zutrittskontrolle 2.1 Gibt es schriftliche Regelungen zum Gebäudezutritt, insbesondere für den Zutritt zu Räumen mit Datenverarbeitungsanlagen und Datenträgerarchiven? Nicht relevant, weil Aufgabenerfüllung nur beim Auftraggeber stattfindet. 2.2 Wie ist der Zutritt zum Gebäude gesichert? automatisiertes Zutrittskontrollsystem (z.b. Kartenleser, Zahlencode, Fingerprint) Werkschutz / Pförtner

4 Kameraüberwachung Sicherheitsschloss Vereinzelungsschleuse Einbruchmeldeanlage Nicht relevant, weil die Aufgabenerfüllung ausschließlich beim Auftraggeber stattfindet, es gelten die Richtlinien des Auftraggebers. Nicht relevant, sonstiges (bitte nachfolgend erläutern) 2.3 Wie ist der Zutritt zu den Datenverarbeitungsanlagen gesichert? Zutrittskontrollsystem mit Kartenleser Werkschutz / Pförtner Kameraüberwachung Sicherheitsschloss Vereinzelungsschleuse Nicht relevant, weil Aufgabenerfüllung ausschließlich beim Auftraggeber stattfindet. Nicht relevant, sonstiges (bitte nachfolgend erläutern) 2.4 Wie ist der Zutritt zu den Arbeitsplätzen gesichert? Zutrittskontrollsystem mit Kartenleser Werkschutz / Pförtner Kameraüberwachung Sicherheitsschloss Vereinzelungsschleuse Nicht relevant, weil Aufgabenerfüllung nur beim Auftraggeber stattfindet. Nicht relevant, sonstiges (bitte nachfolgend erläutern) 3. Zugangskontrolle 3.1 Gibt es schriftliche Regelungen zur Benutzung von Datenverarbeitungsanlagen?

5 3.2 Gibt es schriftliche Regelungen zur Kennwortnutzung (Mindestlänge, Verwendung von Sonderzeichen, etc.) 3.3 Gibt es schriftliche Regelungen zur Sperrung von Benutzerkonten (nach Anzahl von fehlgeschlagenen Anmeldeversuchen, bei Abwesenheit durch Bildschirmschoner, etc.) 3.4 Wie ist der logische Zugang zu den relevanten DV-Systemen gesichert? Passwortverfahren mit wenigstens 8 Zeichen, drei Zeichenklassen und erzwungenem Passwortwechsel nach spätestens drei Monaten Automatische Sperrung von Kennungen nach definierter Anzahl Fehlversuche Automatische Sperre bei nicht mehr zugangsberechtigten Personen Verschlüsselung von Datenträgern Public Key Infrastructure (PKI) 3.5 Gibt es getrennte Benutzerkonten für die Systemadministration und die regulären Benutzer? 3.6 Werden die Tätigkeiten der Systemadministration protokolliert?

6 3.7 Werden die Protokolldateien aus 3.6 regelmäßig ausgewertet? 3.8 Wie erfolgt der Zugang ins Internet? Über eine Sicherheitsinfrastruktur-Kette aus Proxy, Virenscanner und Firewall Über einen Stand-Alone-PC Über den Wechsel auf ein anderes Betriebssystem (Dual Boot) 3.9 Werden alle eingesetzten Systeme regelmäßig und zeitnah mit Sicherheits-Updates versorgt? 4. Zugriffskontrolle 4.1 Gibt es ein differenziertes, schriftliches Berechtigungskonzept um die Nutzung von Profilen bzw. Rollen und Transaktionen zu regeln?

7 4.2 Gibt es schriftliche Regelungen zur Nutzung mobiler Datenträger (CD, DVD, USB-Stick, etc.) Nicht relevant, weil ausschließlich Systeme und Datenträger des Auftraggebers genutzt werden. 4.3 Ist sichergestellt, dass personenbezogene Daten oder Betriebs- und Geschäftsunterlagen auf mobilen Datenträgern nur verschlüsselt abgelegt werden können? Nicht relevant, weil ausschließlich Systeme und Datenträger des Auftraggebers genutzt werden. 4.4 Gibt es schriftliche Regelungen zur Vernichtung/Entsorgung von Datenträgern? Nicht relevant, weil ausschließlich Systeme und Datenträger des Auftraggebers genutzt werden. 4.5 Gibt es schriftliche Regelungen zur Vernichtung/Entsorgung vertraulicher Dokumente? 4.6 Werden alle Zugriffe protokolliert?

8 4.7 Wie werden die Protokolle ausgewertet? Keine Auswertung Bei Bedarf durch eine manuelle oder automatisierte Protokollauswertung Regelmäßig durch eine manuelle oder automatisierte Protokollauswertung Nicht relevant, sonstiges (bitte nachfolgend erläutern) 5. Weitergabekontrolle 5.1 Gibt es schriftliche Regelungen zum Versand und zur Übertragung von Daten? Nicht relevant, weil ausschließlich Systeme und Prozesse des Auftraggebers genutzt werden. 5.2 Gibt es schriftliche Regelungen zur Fernwartung? Nicht relevant, weil keine Fernwartung durchgeführt wird. 5.3 Gibt es schriftliche Regelungen zur Nutzung von Telearbeitsplätzen? Nicht relevant, weil keine Telearbeitsplätze genutzt werden.

9 5.4 Gibt es schriftliche Regelungen, dass elektronische Datenträger beim Versand (physikalischer Transport) verschlüsselt sein müssen? Nicht relevant, weil ausschließlich Systeme und Prozesse des Auftraggebers genutzt werden. 5.5 Wie werden die Daten beim (physikalischen) Transport geschützt? Transport durch Spezialfirma Versand per Einschreiben/Wertpaket Verwendung gesicherter/verschlossener Transportbehältnisse Verschlüsselung Protokollierung/Dokumentation Nicht relevant, weil kein Transport von Datenträgern stattfindet. 5.6 Wie werden die Daten bei der Übertragung geschützt? Verschlüsselung Einsatz von VPN Einsatz von digitalen Signaturen Protokollierung Nicht relevant, weil keine Übertragung und kein Fernzugriff/Fernwartung stattfindet. 6. Eingabekontrolle 6.1 Gibt es schriftliche Regelungen zur Durchführung einer Eingabekontrolle? 6.2 Gibt es Protokollierungs- und Protokollauswertesysteme?

10 6.3 Werden die Erfassung, Veränderung und Löschung von personenbezogenen Daten protokolliert? 6.4 Wie werden die Protokolle aus 6.3 ausgewertet? Keine Auswertung Bei Bedarf durch eine manuelle oder automatisierte Protokollauswertung Regelmäßig durch eine manuelle oder automatisierte Protokollauswertung Nicht relevant, sonstiges (bitte nachfolgend erläutern) 7. Auftragskontrolle 7.1 Wird der Nachweis einer auftragsgemäßen Datenverarbeitung geführt? 7.2 Werden Teile der Auftragsdatenverarbeitung direkt (Unterbeauftragung) oder indirekt (z.b. Hardwarewartung) an Subunternehmer ausgelagert?, auf Basis eines eigenen Datenschutzvertrags., unter Weitergabe der datenschutzrechtlichen Weisungen in mindestens gleichem Maße wie im direkten Auftragsverhältnis zwischen Auftraggeber und Auftragnehmer vereinbart

11 7.3 Werden beauftragte Subunternehmer regelmäßig auf die weisungsgemäße Durchführung der Auftragsdatenverarbeitung hin kontrolliert?, durch eigene Datenschutzaudits Nicht relevant, weil keine Unterbeauftragung stattfindet. 8. Verfügbarkeitskontrolle 8.1 Existiert ein schriftliches Notfall-/BCM-Konzept zur Wiederherstellung der Arbeitsfähigkeit beim Eintreten von Schadensfällen? 8.2 Wie werden die Daten gegen zufällige Zerstörung oder Verlust geschützt? Tägliche Datensicherung Datensicherung in anderem Zyklus Spiegelung von Daten Einsatz von USV Einsatz einer Brandmeldeanlage Getrennte Aufbewahrung von Produktivdaten und Datensicherungen Stichprobenartige Prüfung von Datensicherungen Es werden regelmäßig Notfallübungen durchgeführt Nicht relevant, weil ausschließlich Systeme des Auftraggebers eingesetzt werden 8.3 Wie werden die Daten gegen vorsätzliche Zerstörung oder Verlust geschützt?

12 Einsatz von Virenscannern auf Arbeitstationen Einsatz von Virenscannern auf Servern Einsatz von Firewalls zur Absicherung von Netzwerkübergängen Einsatz von Personal Firewalls auf Arbeitsstationen Nicht relevant, weil ausschließlich Systeme des Auftraggebers eingesetzt werden 9. Trennungskontrolle 9.1 Existieren schriftliche Regelungen zur Funktionstrennung (z.b. Test/Produktion, Mandantentrennung)? 9.2 Wie wird sichergestellt, dass Daten nur zum vorgesehenen Zweck verarbeitet und genutzt werden? Die Daten werden nach Mandanten getrennt verarbeitet Es gibt eine Trennung zwischen Entwicklung, Test und Produktion Datentrennung durch ein differenziertes Benutzerkonzept Nicht relevant, weil ausschließlich Systeme des Auftraggebers eingesetzt werden Zwischenergebnis Votum nach Auswertung der Erläuterungen Nicht Relevant Gesamtergebnis Die Richtigkeit der vorstehenden Angaben bestätigen wir hiermit: Datum: Name(n): Unterschrift(en):

13 n