Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Transkript

1 Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12

2 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen BDSG Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 1.2 Anlage zu 9 BDSG Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die geeignet sind: 1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von personenbezogenen Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden, nur entsprechend den Weisungen des Auftraggebers erhoben, verarbeitet oder genutzt werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. (Trennungsgebot) Seite 2 von 12

3 2 Angaben zum Datenschutzbeauftragten des Auftragnehmers Name Firma Anschrift Kontaktdaten Ausbildung Weiterbildung im Bereich Datenschutz 3 Durch wen erfolgte die Prüfung des Auftragnehmers? Name Firma Anschrift Kontaktdaten Ausbildung Weiterbildung im Bereich Datenschutz und Technik Wichtig ist, dass der Prüfende für die Prüfung eine ausreichende Qualifikation mitbringt. Soweit diese nicht besteht, sollte über den Einsatz eines externen Dienstleisters nachgedacht werden. Seite 3 von 12

4 4 Wer wurde beim Auftragnehmer befragt? Name Firma Anschrift Kontaktdaten Ausbildung Weiterbildung im Bereich Datenschutz und Technik Funktion und Verantwortung im Unternehmen des Auftragnehmers? 5 Wie erfolgt die Erstkontrolle? Prüfung Wann? Vor Ort / telefonisch / schriftlich 6 Freigabe der Auftragsdatenverarbeitung Verantwortlicher Name / ggf Unterschrift Datenschutzbeauftragter Anderer Verantwortlicher: Freigabe erteilt? Ja / Nein Bemerkung Datum Nächste Prüfung? Seite 4 von 12

5 7 Erneute Kontrolle Prüfung Wann? Vor Ort / telefonisch / schriftlich Freigabe erteilt? Bemerkung Datum Nächste Prüfung? 8 Erneute Kontrolle Prüfung Wann? Vor Ort / telefonisch / schriftlich Freigabe erteilt? Bemerkung Datum Nächste Prüfung? Bei Bedarf Blatt kopieren. Seite 5 von 12

6 9 Zutrittskontrolle Zutrittskontrolle Ziel ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Hiermit ist der räumliche Zugang zu den Anlagen gemeint. Besteht eine Zutrittskontrolle des Gebäudes Tag/Nacht? z.b. Ausweise ohne/mit Foto, Codeschloss, Neutrale Karten / Schlüssel Dokumentation der Vergabe von Schlüsseln oder Karten? Erfolgt eine Besucherkontrolle? z.b. durch Besucherbuch, Besucherausweis Begleitung durch Mitarbeiter? Besteht eine Videoüberwachung? Zur Wahrung des Hausrechts oder darüber hinausgehend? Schutzmaßnahmen des Gebäudes Tag/Nacht? z.b. durch Wachpersonal (intern /extern), Alarmanlage Schutz von Außenfenstern und Außentüren? Sicherheitsschlösser? Besteht eine Zutrittskontrolle für den Serverraum? Erfolgt eine Protokollierung? Sonstiges Seite 6 von 12

7 10 Zugangskontrolle Maßnahmen, die sicherstellen, dass Unbefugte an der Benutzung der Datenverarbeitungsanlagen und -verfahren gehindert werden. Diese beziehen sich im Gegensatz zur Zutrittskontrolle auf das Eindringen unbefugter Personen in das EDV-System selbst. Bestehen schriftliche Regelungen für die Nutzung von Datenträgern und Notebooks? Wird die Einhaltung der Regelungen überprüft? Werden Daten des Auftraggebers auf mobilen Datenträgern verarbeitet? Erfolgt eine Verschlüsselung von Notebooks, USB Sticks und von sonstigen Datenträgern? Erfolgt eine zentrale Schlüsselverwaltung für verschlüsselte Systeme Erfolgt eine kontrollierte Vernichtung von Datenträgern und elektronischen Daten des Auftraggebers? Externer Dienstleister? Besteht datenschutzkonformer Vertrag? Sichere Löschprogramme? Welche? Wann erfolgt die Reinigung der Geschäftsräume durch den Reinigungsdienst? Ist der Dienstleister entsprechend verpflichtet? Werden die Daten des Auftraggebers weggesperrt bei Arbeitsende? Sonstiges: Seite 7 von 12

8 11 Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass die bei der Bearbeitung verwendeten personenbezogenen Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Existiert ein schriftliches Berechtigungskonzept? schriftliche Dokumentation der Berechtigungsvergabe? regelmäßige Prüfung bestehender Berechtigungen? Need-to-know Prinzip umgesetzt? Protokollierung Dateizugriff? Dokumentation der Änderungen? Kontrolle der Protokolle Protokollierung Datenbankzugriff? Dokumentation der Änderungen? Kontrolle der Protokolle Sonstiges 12 Weitergabekontrolle Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Welche Art der Übertragung von Daten des Auftraggebers wird verwendet? z.b. Wechseldatenträger verschlüsselt, Mail verschlüsselt, Kurierdienst Wurden schriftliche Regelungen getroffen? Erfolgt eine Protokollierung der Datenübertragung? Erfolgt eine automatische Eskalation bei Sicherheitsmeldungen? Seite 8 von 12

9 Wie werden physikalische Datenträger mit Daten des Auftraggebers aufbewahrt? Bestehen Regelungen? Wo erfolgt die Aufbewahrung Welche Regelungen bestehen zur Vernichtung / Rückgabe von Datenträgern des Auftraggebers Schriftliche in Auftrag Zusage durch Auftragnehmer? Wer darf auf Daten des Auftraggeber durch Fernzugriff zugreifen und wie erfolgt der Schutz? Administratoren? Externe Dienstleister? Schutz durch IP SEC VPN oder ähnliches Sonstiges 13 Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Veränderung / Erfassung von Daten des Auftraggebers Erfolgt eine nachvollziehbare Dokumentation? (wer, was, wann) Besteht eine schriftliche Dokumentation der Verfahren bei denen Daten des Auftraggebers verarbeitet werden? Wird die Einhaltung der Verfahren regelmäßig geprüft? Besteht eine regelmäßige Protokollkontrolle und auswertungen bei Änderungen an Daten des Auftraggebers? Erfolgt eine automatische Eskalation bei Sicherheitsmeldungen? Sonstiges: Seite 9 von 12

10 14 Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Existieren datenschutzgerechte Verträge nach 11 BDSG zwischen Auftraggeber und Auftragnehmer? Wurden diese Verträge auf den Vertragsgegenstand, Art der Daten und Datenkategorien angepasst? Wie erfolgt die Authentisierung bei Aufträgen des Auftraggebers? Nur schriftlich? Nur wenn persönlich bekannt? Werden Subunternehmer des Auftragnehmers eingesetzt? Sind die Regelungen mindestens so restriktiv, wie die des Auftraggebers? Bestehen Kontrollrechte des Auftraggebers beim Subunternehmer des Auftragnehmers? Sind diese Kontrollrechte in den Vertrag zwischen Auftragnehmer und dessen Subunternehme aufgenommen Sonstiges: Seite 10 von 12

11 15 Verfügbarkeitskontrolle Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Besteht ein ausreichender Virenschutz bei Auftragnehmer? Besteht ein Virenschutzkonzept? Besteht ausreichender Firewallschutz bei Auftragnehmer? Besteht ein schriftliches Firewallkonzept? Besteht eine detaillierte Dokumentation der Firewall? Besteht ein Datensicherungskonzept und eine Dokumentation der Datensicherung? Sind die Daten des Auftraggebers durch die Datensicherung erfasst? Wieviele Datensicherungsgenerationen werden in welchem zeitlichen Abstand erstellt? Sicherung per Band? Sicherung per Snapshot? Werden regelmäßig Rücksicherungen getestet? Wird dies dokumentiert? Besteht eine unterbrechungsfreie Stromversorgung? Erfolgen dokumentierte Tests? Wo werden die Datenträger der Datensicherung gelagert? Dokumentation Datenträger? Sichere Aufbewahrung in anderem Brandabschnitt? Sichere Entsorgung? Würde ein Feuer in Serverraum bemerkt werden und besteht hierfür eine Gegenmaßnahme? Erfolgen dokumentierte Tests? Werden die System des Auftragnehmers regelmäßig mit Sicherheitsupdates versehen? Eingesetztes Tool? Besteht ein Notfallplan? Erfolgen dokumentierte Notfalltests? Sonstiges Seite 11 von 12

12 16 Trennungsgebot Maßnahmen, die sicherstellen, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Erfolgt eine Trennung der Daten des Auftraggebers von eigenen Daten / anderen Auftragsdaten physikalische Trennung? Trennung im Rahmen des Berechtigungskonzepts? Besteht eine Trennung von Entwicklungs-, Testund Produktivsystem? Sind die Systeme in einem anderen Netzsegment? Sonstiges 17 Auftragsspezifische Bemerkungen Seite 12 von 12