Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Ähnliche Dokumente
Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technisch-organisatorische Maßnahmen

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Technische und organisatorische Maßnahmen

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN


Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Leitlinie zur Informationssicherheit

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Technische und organisatorische Maÿnahmen

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

MUSTER 4 Technische und organisatorische Maßnahmen

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Technische und organisatorische Maßnahmen

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung. vom

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Auftragsverarbeitervereinbarung

Datensicherheit. Vorlesung 6: Wintersemester 2018/2019 h_da. Heiko Weber, Lehrbeauftragter

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Datenschutz und Systemsicherheit

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG


Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Technische und organisatorische Maßnahmen der KONTENT GmbH

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Newsletter EU-Datenschutz- Grundverordnung Nr. 13 Datenschutz für Existenzgründer

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Grasenhiller GmbH Sachsenstraße Neumarkt

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Neues Datenschutzrecht umsetzen Stichtag

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Technische und organisatorische Maßnahmen Anlage 2

IBAN: DE BIC: BYLADEM1WEN

ADV nach Art. 28 DSGVO

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Die EU-DSGVO und die verschärften Regelungen Auftrags(daten)verarbeitung

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

DATEN SCHUTZ MASS NAHMEN

Newsletter EU-Datenschutz-Grundverordnung Nr. 12

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Datenschutz Management System

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

Bestellschein Vereins-ID: Aktionscode:

Transkript:

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter hmd-software ag Abt-Gregor-Danner-Straße 2-4 82346 Andechs Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) Zutrittskontrolle (Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.) Der Zutritt zu den Gebäuden bzw. Räumlichkeiten der hmd-software ag ist über ein mehrstufiges Sicherheitssystem je nach Bereich getrennt. Zutritt zu den unterschiedlichen Büroräumen, Serveranlagen, Archiven und Backupräumen können nur über bestimmte Sicherheitsfreigaben und Personen durchgeführt werden. An allen externen Standorten der hmd-software ag befinden sich keine Datenbestände auf den lokalen Datenverarbeitungsanlagen. Der Zugriff der externen Standorte erfolgt über eigene Direktanbindungen und eigens dafür verwendeter Hardware mit der entsprechenden Verschlüsselung. Die Zutrittskontrolle zu den Servern der hmd-software ag, die in den Rechenzentren der eurodata ag und der S.WERK AG untergebracht sind, sind nur durch ausgesuchte und autorisierte Mitarbeiter der hmd-software ag möglich. Die nötigen Sicherheitskontrollen beim Zugang zum Rechenzentrum werden von den Dienstleistern unter Berücksichtigung der derzeit höchst möglichen Sicherheitsstufen umgesetzt und ausgeführt. Zugangskontrolle (Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.) Der gesamte Bereich von technischen Geräten, die Zugang zu Datenbeständen in den Räumen der hmd-software ag ermöglichen, ist mit personifizierten Schlüsseln zur Autorisierung geschützt. Zugänge zu den verschiedenen Räumen sind über verschiedenen Sicherheitsstufen und unterschiedlichen Autorisierungen an den Geräten mehrfach geschützt. Seite 1 von 5

Externe digitale Zugänge von Mitarbeitern und Standorten werden über mehrstufige Zugangs- und Sicherheitskontrollen im Rahmen der technischen Möglichkeiten permanent durchgeführt. Externe Besucher, Kunden und Interessenten werden durch Personal am Empfang überprüft und eingetragen. Alle externen digitalen Zugänge, die durch Telekommunikationsanbieter, einen Zugang zum Internet darstellen oder Daten aus dem Internet abrufen oder senden, werden mit entsprechenden Sicherungssystemen permanent mehrstufig auf Schadsoftware oder Kompromitierung der Daten geprüft., bevor diese durch Mitarbeiter der hmd-software ag verarbeitet werden können. Alle mehrstufigen Sicherungssysteme werden permanent von Mitarbeiter der IT geprüft und mit den neuesten Informationen versehen. Zugriffskontrolle (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.) Alle internen Zugriffsbereiche der hmd-software ag, egal ob es sich um Datenbestände der Entwicklung, von Test, Produktiv oder der internen Organisation handelt, sind strikt getrennt und auf verschiedenen Servern und/oder durch getrennten Benutzerzugriff vor falschem oder versehentlichem Zugriff geschützt. Automatisierte Sicherheitsrichtlinien und netzwerktechnische Grenzsysteme verstärken diese Sicherheitsfunktionen zusätzlich in allen Bereichen. Der Zugriff auf externe Bereiche, wo Datenbestände in den Rechenzentren der hmdsoftware ag liegen, werden diese ebenso mit mehrstufigen Sicherheitsberechtigungen geschützt. Dabei werden wir durch technische Sicherheitsmaßnahmen der Rechenzentren unterstützt, um unsere Datenbestände zu schützen und Fremdzugriff zu unterbinden. Dies gilt sowohl für die Produktiv-, als auch für die Testsysteme der hmd-software ag. Trennungskontrolle (Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.) Sämtliche Datenbestände, die sowohl in den Räumen der hmd-software ag, als auch in beteiligten Rechenzentren verarbeitet werden, sind durch unterschiedliche mehrstufige systemtechnische Abgrenzungen voneinander getrennt. Bei diesen Abgrenzungen handelt es sich sowohl um hardwaretechnische Trennungen, als auch um softwaregesteuerte technische Trennungen der Datenbestände. Dies gilt sowohl für Datenbestände auf Laufwerken, als auch für Datenbestände in Datenbanken. Berechtigungskonzepte und Zutrittskontrollen zu den technischen Systemen und Datenbeständen, bzw. Lagerstätten, erhöhen die Sicherheit in diesem Bereich. Pseudonymisierung (Maßnahmen, die gewährleisten, dass Datenschutzgrundsätze, wie etwa Datenminimierung, wirksam umgesetzt und die notwendigen Garantien in die Verarbeitung aufgenommen werden, um den Anforderungen dieser Verordnung zu genügen.) Dies trifft für Datenbestände der hmd-software ag nicht zu. Seite 2 von 5

2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO) Weitergabekontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Außerdem, um überprüfen und feststellen zu können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.) Alle Datenbestände, die im Rahmen des Austausches von Daten zwischen den lokalen Servern und den angeschlossenen Rechenzentren transportiert werden, werden mit einer derzeit aktuellen Verschlüsselungsmethode unkenntlich gemacht. Diese Methoden werden permanent überprüft, auf Schwachstellen getestet und an die neuesten technischen Möglichkeiten angeglichen, soweit das im Rahmen der finanziellen und organisatorischen Möglichkeiten der hmd-software ag machbar ist. Werden Datenbestände von weiterführenden Organisationen (Finanzverwaltung, Banken und Sparkassen, Versicherungen, usw.) zur Pflichtweitergabe gefordert, werden diese durch die jeweils von den Organisationen bereitgestellten Schnittstellen und Softwaretechniken verschlüsselt transportiert. Eine Weitergabe der Daten an Drittstaaten findet nicht statt und ist auch nicht geplant. Eingabekontrolle (Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.) Für alle Datenbestände, die für die Verarbeitung und Speicherung von personenbezogenen Daten in Verbindung stehen, werden alle Maßnahmen, die der Eingabe, Kontrolle, Änderung und Löschung zur Verfügung stehen, umgesetzt. Daten die manuell oder automatisch aus Schnittstellen importiert werden, werden entweder markiert oder als Datei im System protokolliert. Alle Programme verfügen über die Verwaltung von Zugriffsrechten, die Funktionen für die Nutzung und Kontrolle der Zugriffsrechte übernehmen. Über die Datenbankverwaltung stehen geeignete Maßnahmen zur Protokollierung und Wiederherstellung zur Verfügung 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) Verfügbarkeitskontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.) An allen Standorten, sowohl am Standort der hmd-software ag, als auch in den benutzten Rechenzentren, stehen für die permanente Verfügbarkeit der Datenbestände die nötigen Maßnahmen gegenüber, die eine sehr hohe Verfügbarkeit gewährleisten. Dabei werden alle technischen Maßnahmen, die in angemessener und finanzieller Weise zur Verfügung stehen, umgesetzt. Seite 3 von 5

Technische Konzepte werden regelmäßig überprüft und auf den neuesten technischen Stand gebracht. Rasche Wiederherstellbarkeit (Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.) Sowohl die technische Basis, also auch die darin enthaltenen Datenbestände, werden nach Umfang und in angemessener finanzieller Weise umgesetzt. Alle nötigen Datenbestände werden regelmäßig gesichert. Dies wird durch ein Backup & Wiederherstellungskonzept sichergestellt. Wiederherstellungen von gelöschten Testdaten und ein Notfallplan für das Recovery - sowohl für die technische Basis, als auch für die Datenbestände - sichern die rasche Wiederherstellbarkeit ab. Dabei stellt die Virtualisierung von Produktivumgebungen einen großen Teil dar. 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO) Datenschutz-Management (Maßnahmen, die gewährleisten, dass die innerbetriebliche Organisation so gestaltet wird, dass sie den besonderen Anforderungen des Datenschützers gerecht wird.) Die gesamte betriebliche Organisation für alle Mitarbeiter, stellt den Datenschutz, als Bestandteil der Firmenpolitik bei der Verarbeitung und Weitergabe der Daten in den Vordergrund. Mit der Bestellung eines Datenschutzbeauftragten und regelmäßigen Schulungen, wird die Umsetzung des erstellten Datenschutzkonzeptes permanent in allen Bereichen sichergestellt. Basis ist in vielen technischen Bereichen der IT Grundschutz nach BSI, soweit dieser in Umfang und technischer Vorgabe umgesetzt, bzw. die Verhältnismäßigkeit dazu umgesetzt werden kann. Incident-Response-Management (Maßnahmen, die gewährleisten, dass im Falle einer Datenpanne eine unmittelbare Information an den Auftraggeber erfolgt.) Alle Mitarbeiter aus den beteiligten Abteilungen werden regelmäßig unter Einbeziehung von externen Beratern und Schulungen bzw. Weiterbildungen auf die Erkennung von Datenabflüssen geschult. Ein Szenario zur Erkennung und Bewertung von Datenpannen, inkl. eines Vorfallreaktionsplans (Incident Response Plan - IRP) stehen zur Verfügung. Datenschutzfreundliche Voreinstellungen (Maßnahmen, die gewährleisten, dass den Vorgaben des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge getan wird.) Die Maßnahmen sind aufgeteilt nach lokalen Softwarelösungen und dem Internetauftritt der hmd-software ag. Im Internetauftritt der hmd-software ag und deren Folgeseiten werden keine Daten ohne Zustimmung der ausführenden Personen gespeichert. Jede Eingabe dient ausschließlich der Nutzung der Softwarelösung und wird durch den Benutzer mit dem Speichern explizit bestätigt. Seite 4 von 5

In der lokalen Softwarelösung stehen alle Funktionen, die personenbezogene Daten speichern, in direktem Zusammenhang mit dem Mandantenverhältnis in der Steuerkanzlei, bzw. des Unternehmens, das die Software nutzt. Personenbezogene Daten werden nur für Fälle gespeichert, die zur Ausführung der übertragenen Aufgaben, sowohl im Mandantenverhältnis, als auch als Nutzer der Software, notwendig sind. Auftragskontrolle (Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.) In Zusammenhang mit der Erfüllung der laufenden Tätigkeiten zur permanenten Verfügbarkeit und Sicherheit der Datenbestände, sind alle Sorgfaltsgesichtspunkte bei der Zusammenarbeit mit Unternehmen umgesetzt worden. Schriftliche Anweisungen und die Überprüfung der technisch organisatorischen Maßnahmen gehören ebenfalls dazu. Die Einhaltung der Vertraulichkeit im Umgang mit laufenden Informationen, sowie deren Vernichtung oder Unkenntlichmachung nach Beendigung des Auftrages sind im Anforderungsprofil umgesetzt. In der Vereinbarung sind Kontrollrechte und die laufende Überprüfung des Auftragnehmers mit eingebunden. April 2018 Datum Christian Heidler Verantwortlicher für die Erstellung (in Druckbuchstaben) Digital signiert Unterschrift des Verantwortlichen Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback