Zertifizierte Auftragsdatenverarbeitung



Ähnliche Dokumente
Zertifizierte Auftragsdatenverarbeitung

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Auftragsdatenverarbeitung

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Technische und organisatorische Maßnahmen

Leitlinie zur Informationssicherheit

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Technische und organisatorische Maÿnahmen

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)


Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

MUSTER 4 Technische und organisatorische Maßnahmen

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische und organisatorische Maßnahmen

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Auftragsdatenverarbeitung. vom

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Checkliste Prüfung des Auftragnehmers zur Auftragsdatenverarbeitung gemäß 11 BDSG

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Vertrag Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Verfahrensbeschreibung

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Auftragsverarbeitungsvertrag. zwischen. -Auftraggeber- und. EXONN UG (haftungsbeschränkt) Bahnhofstr. 1b Lörrach.

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Vertrag über die Auftragsdatenverarbeitung (ADV)

TENA Check. Vertrag über die Datenverarbeitung im Auftrag. zwischen. (Auftraggeber) und. SCA Hygiene Products Vertriebs GmbH

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Technische und organisatorische Maßnahmen der KONTENT GmbH

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Zertifizierte Datenträgervernichtung. Anforderungskatalog

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen

Bestimmungen zur Datenverarbeitung im Auftrag

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Checkliste: Technische und organisatorische Maßnahmen

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Vereinbarung zur Auftragsverarbeitung

Vereinbarung für den Remote-Zugriff auf die Software OpTra Dent

DATEN SCHUTZ MASS NAHMEN

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz (BDSG) der Infraserv GmbH & Co. Höchst KG (nachfolgend Auftragnehmer )

Auftragsverarbeitervereinbarung

Vereinbarung zur Auftragsdatenverarbeitung - ADV weclapp/kunde -

Den Datenschutz nicht vergessen

Datenschutz und Systemsicherheit

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28/29 Datenschutzgrundverordnung (DSGVO)

Vertragsanlage zur Auftragsdatenverarbeitung

Anlage 3 zur Dienstanweisung über den Datenschutz und die Datensicherheit bei der Kreisverwaltung Recklinghausen

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Auftragsverarbeitung personenbezogener Daten gemäß 11 BDSG (Stand )

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Vereinbarung zur Auftragsdatenverarbeitung. wird die folgende Vereinbarung zur Auftragsdatenverarbeitung geschlossen:

Erklärung zur Datensicherheit

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Grasenhiller GmbH Sachsenstraße Neumarkt

1 Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung

Vertrag zur Auftragsdatenverarbeitung

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Vereinbarung über die Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen Anlage 2

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Transkript:

Anforderungskatalog zur Bewertung und Zertifizierung von Auftragsdatenverarbeitungen von Auftragnehmern für die Zertifizierung Zertifizierte Auftragsdatenverarbeitung Version 6.6 15.03.2016 Sitz: München Amtsgericht München HRB 197 698 USt-IdNr. DE282283450 Informationen gemäß 2 Abs. 1 DL-InfoV unter www.tuev-sued.de/impressum Geschäftsführer: Herbert Huß Telefon: +49 89 500 84 868 Telefax: +49 89 5155 1097 www.tuev-sued.de TÜV SÜD Sec-IT GmbH Ridlerstraße 65 80339 München Deutschland 2016 TÜV SÜD Sec-IT GmbH

Inhalte 1 Einführung... 3 2 Durchführung der Prüfung und Bewertung... 3 3 Prüfungsinhalte... 4 3.1 Leistungs- und auftragsbezogene Dokumentation... 4 3.2 Allgemeine Maßnahmen zum Datenschutz... 5 3.3 Technische und organisatorische Maßnahmen zum Datenschutz... 6 3.3.1 Zutrittskontrolle... 6 3.3.2 Zugangskontrolle... 7 3.3.3 Zugriffskontrolle... 8 3.3.4 Weitergabekontrolle... 8 3.3.5 Eingabekontrolle... 9 3.3.6 Auftragskontrolle... 9 3.3.7 Verfügbarkeitskontrolle... 10 3.3.8 Trennungskontrolle... 11 4 Geltungsbereich, Zertifikatsvergabe, Gültigkeit der Zertifikate... 12 5 Ausschlüsse, abschließende Bemerkungen... 12 2016 TÜV SÜD Sec-IT GmbH Seite 2

1 Einführung Werden personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung des Bundesdatenschutzgesetzes und weiterer Vorschriften über den Datenschutz verantwortlich (Auftragsdatenverarbeitung). Der Auftragnehmer ist vom Auftraggeber unter Berücksichtigung der Eignung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz auszuwählen und sodann regelmäßig hinsichtlich der getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz zu prüfen. 1 Der Auftraggeber kann selbst diesen Prüfpflichten beim Auftragnehmer nachkommen, sachverständige Dritte mit der Wahrnehmung dieser Prüfpflichten beauftragen oder den Auftragnehmer zur Vorlage geeigneter Zertifikate zum Datenschutz auffordern. Die Zertifizierung Zertifizierte Auftragsdatenverarbeitung richtet sich in diesem Zusammenhang an Auftragnehmer von Auftragsdatenverarbeitungen und bietet diesen die Möglichkeit, die im Rahmen von Auftragsdatenverarbeitungen eingesetzten Verfahren durch einen sachverständigen und unabhängigen Prüfer (TÜV SÜD Sec-IT GmbH) prüfen und bewerten zu lassen. Durch Vorlage des Zertifikates Zertifizierte Auftragsdatenverarbeitung kann die Eignung und Angemessenheit der vom Auftragnehmer erstellten leistungs- und auftragsbezogenen Dokumentationen sowie der angewendeten allgemeinen, technischen und organisatorischen Maßnahmen zum Datenschutz hinsichtlich der geprüften und bewerteten Verfahren gegenüber dem Auftraggeber nachgewiesen werden. Dieser Nachweis (Zertifikat) gegenüber dem Auftraggeber kann, wie vom Bundesdatenschutzgesetz für Auftragsdatenverarbeitungen gefordert, bereits bei der Anbahnung von Auftragsvergaben sowie nach Auftragsvergabe fortlaufend erfolgen. 2 Durchführung der Prüfung und Bewertung Die beim Auftragnehmer zu prüfenden und bewertenden Verfahren sind vor Beginn der Prüfungen und Bewertungen im Einzelnen zu spezifizieren. Obligatorisch für die Prüfung und Bewertung der im Rahmen von Auftragsdatenverarbeitungen eingesetzten Verfahren ist die Durchführung einer Dokumentenprüfung und eines Audits beim Auftragnehmer vor Ort durch einen sachverständigen und unabhängigen Prüfer (TÜV SÜD Sec-IT GmbH). Werden im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten durch Unterauftragnehmer oder Dienstleister des Auftragnehmers erhoben, verarbeitet oder genutzt, ist darüber hinausgehend die Durchführung einer Dokumentenprüfung und / oder eines Audits vor Ort bei den Unterauftragnehmern oder Dienstleistern des Auftragnehmers nach Maßgabe des sachverständigen und unabhängigen Prüfers (TÜV SÜD Sec- IT GmbH) erforderlich. Werden im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten elektronisch übermittelt oder anderweitig elektronisch bereit gestellt, kann darüber hinausgehend die Durchführung eines Schwachstellen-Scans nach Maßgabe des sachverständigen und unabhängigen Prüfers (TÜV SÜD Sec-IT GmbH) erforderlich sein. Die Prüfungen und Bewertungen werden jährlich wiederholt. 1 vgl. 11 Bundesdatenschutzgesetz 2016 TÜV SÜD Sec-IT GmbH Seite 3

3 Prüfungsinhalte Die vom Auftragnehmer im Rahmen von Auftragsdatenverarbeitungen anzuwendenden Leistungs- und auftragsbezogenen Dokumentationen Allgemeinen Maßnahmen zum Datenschutz Technischen und organisatorischen Maßnahmen zum Datenschutz werden anhand unten stehender Einzelanforderungen durch einen sachverständigen und unabhängigen Prüfer (TÜV SÜD Sec-IT GmbH) geprüft und bewertet. 3.1 Leistungs- und auftragsbezogene Dokumentation Zur geregelten und nachvollziehbaren Durchführung von Auftragsdatenverarbeitungen hat der Auftragnehmer in angemessenem und geeignetem Maße eingesetzte Infrastrukturen, Ressourcen und Prozesse schriftlich oder in elektronischer Form allgemein und sofern erforderlich auftragsbezogen zu dokumentieren. Dies beinhaltet unter anderem: 3.1.1 Ein standardisierter Rahmenvertrag zur Auftragsdatenverarbeitung, der die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag festlegt und formal den Anforderungen des 11 Bundesdatenschutzgesetz genügt, ist erstellt. 3.1.2 Der Abschluss des Vertrags zur Auftragsdatenverarbeitung mit dem Auftraggeber erfolgt schriftlich, der mit dem Auftraggeber geschlossene Vertrag zur Auftragsdatenverarbeitung ist dokumentiert. 3.1.3 Nachfolgende vertragliche inhaltliche Veränderungen hinsichtlich der Bestimmungen des Vertrags zur Auftragsdatenverarbeitung oder nachfolgende Einzelanweisungen des Auftraggebers hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag sind dokumentiert. 3.1.4 Die Art und Weise der Dienstleistungserbringung, dies ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, ist dokumentiert (Verfahrensbeschreibung). 3.1.5 Die Art und Weise der Datenübermittlungen oder -übergaben im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten zwischen Auftraggeber und Auftragnehmer sowie zwischen Auftragnehmer und den weiteren im Rahmen der Auftragsdatenverarbeitung tätigen Unterauftragnehmern oder Dienstleistern des Auftragnehmers ist dokumentiert (Verfahrensbeschreibung). 3.1.6 Unterauftragnehmer oder Dienstleister des Auftragnehmers, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erhalten oder Zugriff auf diese personenbezogenen Daten erhalten oder im Zuge von Wartungstätigkeiten beim Auftragnehmer Einsicht in diese personenbezogenen Daten nehmen könnten, sind dokumentiert (Verfahrensbeschreibung). 3.1.7 Weisungsberechtigte Stellen oder Beschäftigte des Auftraggebers und entsprechend zum Empfang von Weisungen berechtigte Stellen oder Beschäftigte des Auftragnehmers sind benannt. 2016 TÜV SÜD Sec-IT GmbH Seite 4

3.1.8 Die mit den im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten befassten Beschäftigten des Auftragnehmers sind benannt. 3.1.9 Erforderliche Unterstützungsleistungen des Auftragnehmers zur Wahrung der Rechte von Betroffenen (Auskunft, Berichtigung, Sperrung oder Löschung) sind beschrieben. 3.1.10 Erforderliche Handlungsschritte zur Information des Auftraggebers bei erfolgten Zuwiderhandlungen gegen Weisungen des Auftraggebers sowie bei erfolgtem Datendiebstahl, -verlust oder -zerstörung, insbesondere sofern hiervon 42a Bundesdatenschutzgesetz betroffen ist, sind beschrieben. 3.2 Allgemeine Maßnahmen zum Datenschutz Der Auftragnehmer hat allgemeine Maßnahmen zum Schutz im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten zu treffen. Diese allgemeinen Maßnahmen zum Datenschutz des Auftragnehmers orientieren sich an grundlegenden Anforderungen des Bundesdatenschutzgesetzes an Daten verarbeitende Stellen und beinhalten unter anderem: 3.2.1 Die Erhebungen, Verarbeitungen und Nutzungen im Auftrag erhobener, verarbeiteter oder genutzter personenbezogenen Daten erfolgen vollumfänglich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. 3.2.2 Sofern mehr als neun Beschäftigte im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist ein Datenschutzbeauftragter schriftlich bestellt. Das Gleiche gilt, wenn im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit mehr als 19 Beschäftigte befasst sind. 3.2.3 Beschäftigte, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erheben, verarbeiten oder nutzen, sind schriftlich auf das Datengeheimnis gemäß 5 Bundesdatenschutzgesetz verpflichtet. 3.2.4 Beschäftigte, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten, die dem Fernmeldegeheimnis unterliegen, erheben, verarbeiten oder nutzen, sind schriftlich auf das Fernmeldegeheimnis gemäß 88 Telekommunikationsgesetz verpflichtet. 3.2.5 Schulungen der Beschäftigten zum Datenschutz sind regelmäßig durchgeführt. 3.2.6 Schulungen der mit der Datenerhebung, -verarbeitung oder -nutzung befassten Beschäftigten hinsichtlich der besonderen Bedingungen und Umstände der erfolgenden Auftragsdatenverarbeitungen oder Einzelanweisungen des Auftraggebers hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag sind durchgeführt. 2016 TÜV SÜD Sec-IT GmbH Seite 5

3.2.7 Nimmt der Auftragnehmer an eingesetzten Infrastrukturen, Datenverarbeitungsanlagen, -systemen, -applikationen oder -prozessen grundlegende Veränderungen mit besonders hoher Sicherheitsrelevanz vor, dies sind Veränderungen, welche die Verfügbarkeit, Vertraulichkeit oder Integrität der im Auftrag erhobenen, verarbeiteten oder genutzte personenbezogenen Daten in hohem Maße betreffen oder ist eine Übermittlung im Auftrag erhobener oder zu verarbeitender personenbezogener Daten an Unterauftragnehmer oder Dienstleister des Auftraggebers geplant, sind diese Veränderungen TÜV SÜD Sec-IT GmbH unterjährig zwischen den regulär angesetzten Wiederholungsprüfungen unverzüglich anzuzeigen, um die Gültigkeit der Zertifizierung weiterhin gewährleisten zu können. Ein erfolgter Datendiebstahl, -verlust oder eine -zerstörung von im Auftrag erhobenen, verarbeiteten oder genutzte personenbezogenen Daten, insbesondere sofern hiervon 42a Bundesdatenschutzgesetz betroffen ist, ist TÜV SÜD Sec-IT GmbH gleichermaßen unterjährig zwischen den regulär angesetzten Wiederholungsprüfungen unverzüglich anzuzeigen. Hierfür ist ein entsprechendes Verfahren beschrieben. 3.3 Technische und organisatorische Maßnahmen zum Datenschutz Die zu prüfenden und zu bewertenden technischen und organisatorischen Maßnahmen zum Datenschutz des Auftragnehmers orientieren sich an den Anforderungen der Anlage zu 9 Satz 1 Bundesdatenschutzgesetz und umfassen somit technische und organisatorische Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und zur Trennungskontrolle. 3.3.1 Zutrittskontrolle treffen, die geeignet sind zu verhindern, dass Unbefugte Zutritt erlangen können zum Betriebsgelände, zu Betriebsräumen und weiteren Infrastrukturen oder Datenverarbeitungsanlagen, -systemen oder -applikationen, in oder mit denen personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt werden. Dies beinhaltet unter anderem: 3.3.1.1 Zum Schutz der im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten sind geeignete bauliche und strukturelle Voraussetzungen das Betriebsgelände, die Betriebsgebäude und -räume sowie insbesondere ausgewiesene Sicherheitsbereiche betreffend, geschaffen. 3.3.1.2 Ein Berechtigungskonzept ist erstellt, das festlegt, welche Zutrittsmöglichkeiten zum Betriebsgelände, den Betriebsräumen und insbesondere zu ausgewiesenen Sicherheitsbereichen generell vorhanden sind, welche Zutrittsberechtigungen einzelne Beschäftigte bzw. Beschäftigtengruppen oder zutrittsberechtigte Dritte innehaben und mit welchen Zutrittsmitteln die Zutritte jeweils erfolgen können. 3.3.1.3 Das Berechtigungskonzept wird an zentraler Stelle aktuell vorgehalten und ausschließlich von dieser Stelle administriert. 3.3.1.4 Der Verlust von Zutrittsmitteln ist meldepflichtig, der Verlust von Zutrittsmitteln ist dokumentiert. 2016 TÜV SÜD Sec-IT GmbH Seite 6

3.3.1.5 Verwendete Zutrittsmittel sind kennzeichnungsfrei. 3.3.1.6 Regelungen zum Zutritt von Unterauftragnehmern, Dienstleistern oder Besuchern sind eingeführt und angewendet. 3.3.1.7 Technische Sicherungsanlagen (dies kann z. B. beinhalten: Einbruchmeldeanlagen, Alarmanlagen, Videoüberwachungsanlagen, Einbruchssicherungen) sind installiert und in Betrieb. 3.3.1.8 Außerhalb der Betriebszeiten sind geeignete technische oder organisatorische Maßnahmen zur Sicherung und Überwachung des Betriebsgeländes und der Betriebsräume etabliert. 3.3.2 Zugangskontrolle treffen, die geeignet sind zu verhindern, dass Unbefugte Zugang erlangen können zu Datenverarbeitungsanlagen, -systemen oder -applikationen, mit denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Dies beinhaltet unter anderem: 3.3.2.1 Ein Konzept zur IT-Sicherheit ist erstellt (dies kann z. B. beinhalten: Definition des allgemeinen Schutzbedarfs, Darstellung der zu schützenden personenbezogenen Daten und eingesetzten Datenverarbeitungsanlagen, Dokumentation und Bewertung der bestehenden Sicherheitsmaßnahmen, Risikoanalyse, Festlegung von Verantwortlichkeiten, Befugnissen und Sicherheitszielen, Festlegung von weiterführenden Sicherheitsmaßnahmen und Wartungszyklen). 3.3.2.2 Ein Berechtigungskonzept ist erstellt, das festlegt, welche Zugangsmöglichkeiten zu den Datenverarbeitungsanlagen, -systemen oder -applikationen eingerichtet sind und welche Zugangsberechtigungen einzelne Beschäftigte bzw. Beschäftigtengruppen oder zugangsberechtigte Unterauftragnehmer oder Dienstleister innehaben. 3.3.2.3 Das Berechtigungskonzept wird an zentraler Stelle aktuell vorgehalten und ausschließlich von dieser Stelle administriert. 3.3.2.4 Grundsätzliche technische Sicherungsanlagen sind installiert und in Betrieb (dies kann z. B. beinhalten: Firewall, Intrusion-Detection-System, Virenschutz). 3.3.2.5 Technische Maßnahmen zur Sicherung interner Zugänge zu Datenverarbeitungsanlagen, -systemen oder -applikationen vor unbefugtem Zugang sind anhand des Berechtigungskonzeptes installiert und in Betrieb (dies kann z. B. beinhalten: Sicherung von USB-Schnittstellen, DVD-/CD- Laufwerken). 3.3.2.6 Technische Maßnahmen zur Sicherung externer Zugänge (z. B. WWW, VPN, FTP) zu Datenverarbeitungsanlagen, -systemen oder -applikationen vor unbefugtem Zugang sind anhand des Berechtigungskonzeptes installiert und in Betrieb. 2016 TÜV SÜD Sec-IT GmbH Seite 7

3.3.3 Zugriffskontrolle treffen, die geeignet sind zu verhindern, dass die zur Verwendung von Datenverarbeitungsanlagen, -systemen oder -applikationen Berechtigten Zugriff erlangen können auf personenbezogene Daten, die nicht ihren Zugriffsberechtigungen unterliegen und dass im Auftrag erhobene, verarbeitete genutzte personenbezogene Daten durch Unbefugte eingesehen, kopiert, verändert oder gelöscht werden können. Dies beinhaltet unter anderem: 3.3.3.1 Ein Berechtigungskonzept ist erstellt, das festlegt, welche Zugriffsberechtigungen einzelne Beschäftigte bzw. Beschäftigtengruppen oder zugriffsberechtigte Dritte innerhalb der generell bestehenden Zugangsberechtigungen innehaben. 3.3.3.2 Das Berechtigungskonzept wird an zentraler Stelle aktuell vorgehalten und ausschließlich von dieser Stelle administriert. 3.3.3.3 Die Anwendung von angemessenen Authentifizierungs- und Passwortrichtlinien für den Zugriff auf Datenverarbeitungsanlagen ist anhand des Berechtigungskonzeptes festgelegt, dokumentiert und überwacht. 3.3.3.4 Richtlinien zur Arbeitsplatzsicherung sind etabliert (dies kann z. B. beinhalten: Bildschirmsperrung, Logout). 3.3.3.5 Zugriffsmittel sind sicher verwahrt bzw. gespeichert. 3.3.3.6 Die Rückgabe, Sperrung oder Löschung von im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten erfolgt nach Weisung des Auftraggebers. 3.3.3.7 Die Vernichtung von im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten erfolgt nach Weisung des Auftraggebers oder entsprechend der Schutzklassen gemäß DIN 66399. 3.3.4 Weitergabekontrolle treffen, die geeignet sind zu verhindern, dass im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten bei der elektronischen Übermittlung oder während ihres Transports oder ihrer Speicherung auf Datenträgern durch Unbefugte eingesehen, kopiert, verändert oder gelöscht werden können und die es ermöglichen festzustellen, an welche Stellen eine Übermittlung im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten vorgesehen ist. Dies beinhaltet unter anderem: 3.3.4.1 Die elektronische Übermittlung im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten ist dem aktuellen technischen Stand entsprechend verschlüsselt. 3.3.4.2 Bei Transport im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten mittels elektronischer oder optischer Datenträger oder mobiler Endgeräte (z. B. Festplatten, USB, DVD, CD, Notebooks) sind diese personenbezogenen Daten bzw. Datenträger verschlüsselt. 2016 TÜV SÜD Sec-IT GmbH Seite 8

3.3.4.3 Bei Transport im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten mittels physischer Datenträger (Papier) sind diese personenbezogenen Daten bzw. Datenträger durch geeignete Maßnahmen geschützt. 3.3.4.4 Die Verfahren der regelmäßigen Übermittlungen im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten, die eingesetzten Abruf- und Übermittlungsprogramme sowie die Empfänger übermittelter personenbezogener Daten sind dokumentiert. 3.3.5 Eingabekontrolle treffen, die geeignet sind zu gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten in Datenverarbeitungsanlagen, -systeme oder -applikationen eingegeben, verändert oder gelöscht worden sind. Dies beinhaltet unter anderem: 3.3.5.1 Die Datenverarbeitungsanlagen, -systeme oder -applikationen, mit denen im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten eingegeben, geändert und gelöscht werden können, sind dokumentiert. 3.3.5.2 Eingaben, Veränderungen oder Löschungen im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten in Datenverarbeitungsanlagen, -systemen oder -applikationen sind protokolliert und können anlassbezogen ausgewertet werden. 3.3.5.3 Externe Zugriffe auf Datenverarbeitungsanlagen, -systeme oder -applikationen mit im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten sind protokolliert und können anlassbezogen ausgewertet werden. 3.3.6 Auftragskontrolle treffen, die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden, ausschließlich entsprechend den Weisungen des Auftraggebers verarbeitet werden. Dies beinhaltet unter anderem: 3.3.6.1 Vor Einsatz von Unterauftragnehmern oder Dienstleistern, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erhalten, ist geprüft, ob eine Übermittlung im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten an Unterauftragnehmer oder Dienstleister zulässig ist. 3.3.6.2 Sofern hinsichtlich des Einsatzes von Unterauftragnehmern oder Dienstleistern, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erhalten, eine Meldepflicht gegenüber dem Auftraggeber besteht, sind Unterauftragnehmer oder Dienstleister vor ihrem Einsatz an den Auftraggeber gemeldet. 2016 TÜV SÜD Sec-IT GmbH Seite 9

3.3.6.3 Die vertragliche Einbindung von Unterauftragnehmern oder Dienstleistern, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erhalten, folgt den vertraglichen Vorgaben des Auftragnehmers hinsichtlich der Auftragsdatenverarbeitung. 3.3.6.4 Die Prüfung und Bewertung getroffener technischer und organisatorischer Maßnahmen zum Datenschutz bei Unterauftragnehmern oder Dienstleistern, die im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten erhalten, folgt den vertraglichen Vorgaben des Auftragnehmers hinsichtlich der Auftragsdatenverarbeitung. 3.3.6.5 Werden Wartungen automatisierter Verfahren oder von Datenverarbeitungsanlagen durch Dienstleister oder Subunternehmer durchgeführt und kann dabei ein Zugriff auf im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten nicht ausgeschlossen werden, so sind die Anforderungen 3.3.6.1 bis 3.3.6.4 hinsichtlich entsprechender Dienstleister oder Subunternehmer gleichermaßen anzuwenden. 3.3.6.6 Bei erfolgten Zuwiderhandlungen gegen Weisungen des Auftraggebers sowie bei erfolgtem Datendiebstahl, -verlust oder -zerstörung, insbesondere sofern hiervon 42a Bundesdatenschutzgesetz betroffen ist, erfolgt eine Information des Auftraggebers. 3.3.7 Verfügbarkeitskontrolle treffen, die geeignet sind zu verhindern, dass im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten zufällig zerstört werden oder verloren gehen. Dies beinhaltet unter anderem: 3.3.7.1 Ein Konzept für den Umgang mit Betriebsstörungen und Notfällen ist erstellt (dies kann z. B. beinhalten: Notfallplan für Notfallszenarien, Festlegung von Verantwortlichkeiten und Befugnissen für beschriebene Notfälle, Beschreibung von Maßnahmen zur Notfallerkennung und von Benachrichtigungswegen). 3.3.7.2 Es sind wirksame und angemessene Maßnahmen zur allgemeinen Datensicherung eingeführt und umgesetzt (dies kann z. B. beinhalten: Planung und Durchführung von erforderlichen Wartungen, unterbrechungsfreie Stromversorgung, Klimatisierung, Feuerschutz, Brandmeldeeinrichtungen, Löscheinrichtungen, Wassereinbruchsschutz). 3.3.7.3 Es sind wirksame und angemessene Maßnahmen zur erweiterten Datensicherung eingeführt und umgesetzt (dies kann z. B. beinhalten: Aufbau von Redundanzen, Backup). 3.3.7.4 Die Wiederherstellung von gespeicherten im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten ist regelmäßig geprüft, die Ergebnisse der Prüfung sind dokumentiert. 3.3.7.5 Schadens- und Störfälle von Datenverarbeitungsanlagen, -systemen oder -applikationen sind dokumentiert. 2016 TÜV SÜD Sec-IT GmbH Seite 10

3.3.8 Trennungskontrolle treffen, die geeignet sind zu gewährleisten, dass zu verschiedenen Zwecken erhobene Daten getrennt verarbeitet oder genutzt werden können. Dies beinhaltet unter anderem: 3.3.8.1 Das Betriebsgelände, die Betriebsgebäude und -räume erlauben eine räumliche Trennung nach unterschiedlichen Funktionsbereichen und Sicherheitsbereichen entsprechend der Verarbeitungen im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten. 3.3.8.2 Die organisatorische und technische Trennung der Erhebung, Verarbeitung oder Nutzung im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten nach Mandanten ist gewährleistet. 3.3.8.3 Die Trennung von Produktiv-, Entwicklungs- und Testsystemen ist gewährleistet. Im Auftrag erhobene, verarbeitete oder genutzte personenbezogene Daten sind nicht zu Entwicklungs- oder Testzwecken verwendet. 3.3.8.4 Bei pseudonymisierten im Auftrag erhobener, verarbeiteter oder genutzter personenbezogener Daten erfolgt die Aufbewahrung der Zuordnungsinformationen von diesen getrennt. 2016 TÜV SÜD Sec-IT GmbH Seite 11

4 Geltungsbereich, Zertifikatsvergabe, Gültigkeit der Zertifikate Zertifizierbar sind ausschließlich Erhebungen oder Verarbeitungen personenbezogener Daten, die vollumfänglich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erfolgen. Der Geltungsbereich der Prüfung, Bewertung und Zertifizierung insgesamt ist beschränkt auf das beim Auftragnehmer jeweils geprüfte und bewertete Verfahren der Auftragsdatenverarbeitung und die in diesem Zusammenhang seitens des Auftragnehmers erstellten leistungs- und auftragsbezogenen Dokumentationen sowie die getroffenen allgemeinen, technischen und organisatorischen Maßnahmen zum Datenschutz und ist auf den jeweiligen Zertifikaten dargestellt. Das Zertifikat Zertifizierte Auftragsdatenverarbeitung erhalten Auftragnehmer von Auftragsdatenverarbeitungen erst nach einer sorgfältigen und erfolgreich abgeschlossenen Prüfung und Bewertung der im Rahmen von Auftragsdatenverarbeitungen erstellten leistungs- und auftragsbezogenen Dokumentationen sowie der getroffenen allgemeinen, technischen und organisatorischen Maßnahmen zum Datenschutz gegen oben dargestellte Anforderungen durch einen sachverständigen und unabhängigen Prüfer (TÜV SÜD Sec-IT GmbH) und Freigabe durch die Fachzertifizierungsstelle der TÜV SÜD Sec-IT GmbH. Das Zertifikat wird durch die Fachzertifizierungsstelle der TÜV SÜD Sec-IT GmbH erteilt. Die Gültigkeit der Zertifikate ist auf ein Jahr beschränkt, sofern auf den jeweiligen Zertifikaten nichts anderes vermerkt ist. 5 Ausschlüsse, abschließende Bemerkungen Die oben dargestellten Anforderungen haben sich im Wesentlichen an den gesetzlichen Regelungen und Vorgaben zum Datenschutz zu orientieren. Aus diesem Grunde enthält der Anforderungskatalog auch dem Gesetzeswortlaut entsprechende Formulierungen und Anforderungen. Die oben dargestellten Anforderungen übersteigen jedoch die Anforderungen von 11 Bundesdatenschutzgesetz und der Anlage zu 9 Satz 1 Bundesdatenschutzgesetz an Auftragnehmer von Auftragsdatenverarbeitungen. Das Zertifikat Zertifizierte Auftragsdatenverarbeitung erhalten Auftragnehmer von Auftragsdatenverarbeitungen erst nach einer sorgfältigen und erfolgreich abgeschlossenen Prüfung und Bewertung durch einen sachverständigen und unabhängigen Prüfer (TÜV SÜD Sec-IT GmbH). Dennoch kann TÜV SÜD Sec-IT GmbH keine Garantie übernehmen, dass alle dieser Zertifizierung zugrundeliegenden oben dargestellten Anforderungen von den geprüften und zertifizierten Auftragnehmern durchgängig eingehalten werden. Die Vergabe des Zertifikats Zertifizierte Auftragsdatenverarbeitung der TÜV SÜD Sec-IT GmbH an Auftragnehmer von Auftragsdatenverarbeitungen ersetzt nicht eine schriftliche Auftragserteilung an die Auftragnehmer gemäß 11 Bundesdatenschutzgesetz durch die jeweiligen Auftraggeber. Die Vergabe des Zertifikats Zertifizierte Auftragsdatenverarbeitung der TÜV SÜD Sec-IT GmbH an Auftragnehmer von Auftragsdatenverarbeitungen ersetzt ggf. nicht eine abschließende Beurteilung der Angemessenheit der seitens der Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz durch die jeweiligen Auftraggeber der Auftragsdatenverarbeitungen, da entsprechende Maßnahmen ggf. im Kontext der konkreten Beauftragungsfälle im Einzelnen zu bewerten und vom jeweiligen Schutzbedarf der im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten abhängig sind. 2016 TÜV SÜD Sec-IT GmbH Seite 12

Die Vergabe des Zertifikats Zertifizierte Auftragsdatenverarbeitung ersetzt nicht eine rechtliche, steuerrechtliche oder betriebswirtschaftliche Beratung. TÜV SÜD Sec-IT GmbH weist ferner ausdrücklich darauf hin, dass mit dem Auftrag zur Prüfung und Bewertung der eingesetzten Verfahren ein Auftrag im Sinne einer rechtlichen Beratung nicht einhergeht; individualisierte rechtliche Empfehlungen oder rechtliche Hinweise werden nicht gegeben. Die Prüfung und Bewertung der eingesetzten Verfahren der Auftragnehmer beinhaltet keine rechtliche Prüfung im Sinne des Rechtsberatungsgesetzes, insbesondere findet keine Prüfung und Bewertung der eingesetzten Verfahren auf deren datenschutzrechtliche Zulässigkeit statt. 2016 TÜV SÜD Sec-IT GmbH Seite 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback