Politik der Datenverarbeitung

Diese Datenverarbeitungsrichtlinie ("DPP") gelten zwischen den Parteien und gelten als automatisch in das Abkommen aufgenommen. Alle in dieser EPP verwendeten Begriffe in Großbuchstaben haben die gleiche Bedeutung wie in der Vereinbarung, sofern sie nicht nachstehend definiert sind. Die nachstehend definierten Begriffe gelten nur für die EPP.

Definitionen

"Angemessenes Land"ist ein Land oder Gebiet, das nach den geltenden Datenschutzgesetzen einen angemessenen Schutz personenbezogener Daten bietet.

"Autorisiertes Mitglied"(a) direkt oder indirekt vom Kunden kontrolliert wird, (b) den Datenschutzgesetzen unterliegt und (c) die Dienste gemäß dem Vertrag nutzen darf, aber den Vertrag nicht unterzeichnet hat.

"CCPA"bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2018, einschließlich aller dazugehörigen Änderungen. 

"Datenschutzgesetze"bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union (einschließlich GDPR), des Europäischen Wirtschaftsraums, ihrer Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs und/oder der Bundes-, Landes- oder Kommunalbehörden der Vereinigten Staaten von Amerika, die für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gelten.

"GDPR" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

"Persönliche DatenDer Begriff "personenbezogene Daten" bezeichnet alle Daten, die von CybelAngel im Rahmen der Dienste verarbeitet werden und die ebenfalls als "personenbezogene Daten" im Sinne der GDPR und/oder als "personenbezogene Informationen" im Sinne des CCPA definiert sind.

"Verletzung des Schutzes personenbezogener DatenDer Begriff "Sicherheitsverletzung" bezeichnet jede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten im Besitz oder unter der Kontrolle von CybelAngel führt, wobei eine solche Verletzung nachweislich nur von CybelAngels eigenen Systemen ausgeht und in keinem Zusammenhang mit einer Verletzung steht, die möglicherweise im Zusammenhang mit den Diensten oder den täglichen Geschäftsaktivitäten von CybelAngel festgestellt wurde. 

"Standardvertragsklauseln"("SCC") sind die von der Europäischen Kommission (4. Juni 2021) genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

"Verarbeitung", "Datenverantwortlicher", "Datensubjekt", "Aufsichtsbehörde" und "Datenverarbeiter"haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung zugewiesen wird.

  1. Status der Parteien

Die Parteien erkennen an und vereinbaren, dass der Kunde der Datenverantwortliche und CybelAngel der Datenverarbeiter in Bezug auf personenbezogene Daten ist. Jede Partei verpflichtet sich, die in Bezug auf personenbezogene Daten geltenden Datenschutzgesetze einzuhalten, und stellt sicher, dass jedes ihrer verbundenen Unternehmen diese einhält. Im Verhältnis zwischen den Parteien ist der Kunde allein dafür verantwortlich, alle erforderlichen Zustimmungen, Lizenzen und Genehmigungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Dienste einzuholen, und hat diese eingeholt oder wird sie einholen.

  1. Beschreibung der Verarbeitung

2.1. CybelAngel wird personenbezogene Daten nur verarbeiten, um die Dienste zu erbringen oder für Geschäftszwecke, die mit den Diensten in Verbindung stehen, wie in der Vereinbarung definiert (z. B. Erstellung von Anmeldeinformationen für neue autorisierte Benutzer). Wenn die Datenschutzgesetze CybelAngel dazu verpflichten, personenbezogene Daten anders als im Vertrag erlaubt zu verarbeiten, wird CybelAngel den Kunden vor der Verarbeitung benachrichtigen, es sei denn, dies ist durch geltendes Recht untersagt.

2.2. Die Art der im Rahmen des Abkommens verarbeiteten personenbezogenen Daten, der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sowie die Kategorien der betroffenen Personen sind wie folgt:

2.2.2. Art der Verarbeitung

Erheben, Erfassen, Ordnen, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an den für die Verarbeitung Verantwortlichen, Verbreiten oder sonstiges Zugänglichmachen für den für die Verarbeitung Verantwortlichen, Abgleich oder Kombination, Einschränkung, Löschen oder Vernichten.

2.2.3. Zweck(e) der Datenverarbeitung

Der Zweck der Verarbeitung besteht darin, die IT des für die Verarbeitung Verantwortlichen und der mit ihm verbundenen Unternehmen zu gewährleisten, indem sie daran arbeiten, Datenlecks im Internet zu verhindern und aufzudecken. 

2.2.4. Dauer der Datenverarbeitung

Die Datenverarbeitung erfolgt während der Laufzeit des Abkommens. 

2.2.5. Aufbewahrungsfrist für Daten

Personenbezogene Daten werden vom Datenverarbeiter für eine Dauer von höchstens sechs (6) Monaten nach Beendigung aller Verträge über die vom Datenverarbeiter für den für die Verarbeitung Verantwortlichen erbrachten Dienstleistungen aufbewahrt. 

2.2.6. Kategorien von betroffenen Personen

Mitarbeiter des für die Verarbeitung Verantwortlichen, Kunden und Interessenten, Dienstleister sowie alle Personen, die mit dem Unternehmen des für die Verarbeitung Verantwortlichen oder dessen Tätigkeit in Verbindung stehen.

  1. Rechte und Pflichten des Auftragsverarbeiters

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, dazu verpflichtet. In diesem Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren. 

Für die Zwecke des vorstehenden Absatzes sind die Vereinbarung, diese DPP und die Nutzung der Dienste durch den Kunden die schriftlichen Anweisungen des Kunden an CybelAngel in Bezug auf die Verarbeitung von personenbezogenen Daten.

3.2. Unter Berücksichtigung der Art der Verarbeitung und der CybelAngel zur Verfügung stehenden Informationen unterstützt CybelAngel den Kunden, wenn dies vernünftigerweise angefordert wird, in Bezug auf die Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf (i) Datenschutz-Folgenabschätzungen (wie dieser Begriff in der DSGVO definiert ist), (ii) Meldungen an die Aufsichtsbehörde gemäß den Datenschutzgesetzen und (iii) vorherige Konsultationen mit den Aufsichtsbehörden.

3.3. CybelAngel wird wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen, die ihre Rechte nach dem Datenschutzgesetz ausüben wollen und deren personenbezogene Daten sich im Besitz oder unter der Kontrolle von CybelAngel befinden. CybelAngel wird den Kunden über Anfragen von Betroffenen, die für den Kunden relevant sind, innerhalb von fünf (5) Werktagen nach deren Eingang bei CybelAngel informieren, es sei denn, das geltende Recht schreibt etwas anderes vor. 

  1. Technische und organisatorische Maßnahmen

Unter Berücksichtigung (i) der branchenüblichen Praxis, (ii) der Implementierungskosten und (iii) der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung setzt CybelAngel geeignete technische und organisatorische Maßnahmen gemäß Anhang 1 um, um ein Sicherheitsniveau zu gewährleisten, das den Risiken angemessen ist, die mit der Verarbeitung personenbezogener Daten verbunden sind, auch in Bezug auf die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung, die unbefugte Weitergabe oder den Zugriff auf personenbezogene Daten, die sich im Besitz von CybelAngel oder unter seiner Kontrolle befinden. 

  1. Verstöße gegen personenbezogene Daten

CybelAngel benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten spätestens zweiundsiebzig (72) Stunden, nachdem es davon Kenntnis erlangt hat. CybelAngel wird dem Kunden in wirtschaftlich angemessenem Umfang Kooperation, Unterstützung und Informationen im Zusammenhang mit einer solchen Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, einschließlich, soweit CybelAngel bekannt ist, (i) der Art der Verletzung des Schutzes personenbezogener Daten, (ii) der Kategorien und der ungefähren Anzahl der betroffenen Personen, (iii) der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze und (iv) der Maßnahmen, die CybelAngel bereits ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich, soweit angemessen, Maßnahmen zur Milderung möglicher negativer Auswirkungen. Sofern CybelAngel nicht durch geltendes Recht zur Offenlegung von Informationen über eine Verletzung des Schutzes personenbezogener Daten verpflichtet ist, wird CybelAngel keine Informationen über eine Verletzung des Schutzes personenbezogener Daten offenlegen und alle diese Informationen als vertrauliche Informationen behandeln. 

  1. Weiterverarbeitung

6.1 Der Kunde erklärt sich damit einverstanden, dass CybelAngel die in der Liste der Unterauftragsverarbeiter (die dem für die Verarbeitung Verantwortlichen auf Anfrage zur Verfügung gestellt wird) aufgeführten Unterauftragsverarbeiter für die Erbringung der Dienste einsetzt und dass CybelAngel diesen Unterauftragsverarbeitern personenbezogene Daten offenlegt und zur Verfügung stellt. Die Liste der Unterauftragsverarbeiter zum Zeitpunkt der Unterzeichnung des Vertrags wird hiermit vom Kunden genehmigt. Die Hauptansprechpartner des Kunden werden von CybelAngel schriftlich benachrichtigt, bevor neue Unterauftragsverarbeiter durch Änderungen in der Liste der Unterauftragsverarbeiter ernannt werden. In jedem Fall gilt die aktualisierte Liste der Unterauftragsverarbeiter als vom Kunden genehmigt, es sei denn, er legt innerhalb von dreißig (30) Geschäftstagen nach der Mitteilung der Änderung der Liste der Unterauftragsverarbeiter einen schriftlichen, angemessenen Einspruch an [email protected] aus Gründen der DSGVO ein. Wenn die Parteien in diesem Fall keine Lösung in gutem Glauben für das fragliche Problem finden, kann der Kunde als einziges Rechtsmittel die geltende Vereinbarung nur in Bezug auf diejenigen Dienste kündigen, die von CybelAngel nicht ohne den Einsatz des beanstandeten Unterauftragsverarbeiters erbracht werden können, indem er CybelAngel schriftlich darüber informiert, vorausgesetzt, dass alle Beträge, die im Rahmen der Vereinbarung vor dem Kündigungsdatum in Bezug auf die fragliche Verarbeitung fällig sind, ordnungsgemäß an CybelAngel gezahlt werden. Der Kunde hat keine weiteren Ansprüche gegen CybelAngel aufgrund (i) der früheren Nutzung von genehmigten Unterverarbeitern vor dem Datum des Widerspruchs oder (ii) der Beendigung des Vertrags (einschließlich, ohne Einschränkung, der Forderung nach Rückerstattung) in der in diesem Absatz beschriebenen Situation.

6.2 CybelAngel wird von seinen Unterauftragsverarbeitern verlangen, dass sie Bedingungen einhalten, die den Schutz personenbezogener Daten im Wesentlichen nicht weniger gewährleisten als die, die CybelAngel in dieser Vereinbarung auferlegt werden, soweit dies für die von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen angemessen ist. CybelAngel haftet für jeden Verstoß gegen seine Verpflichtungen im Rahmen dieser Datenschutzvereinbarung, der durch eine Handlung oder Unterlassung eines Unterauftragsverarbeiters verursacht wird. 

  1. Prüfungen

Der Kunde kann sein Recht auf Prüfung gemäß den Datenschutzgesetzen ausüben; unter der Voraussetzung, dass (i) der Kunde nur ein (1) Audit pro Jahr in seinem eigenen Namen und auf seine eigenen Kosten durchführen kann, (ii) der Kunde CybelAngel fünfzehn (15) Werktage im Voraus schriftlich über ein Audit informiert, (iii) die maximale Dauer eines Audits fünf (5) Werktage (wie in Frankreich definiert) beträgt, (iv) jedes Audit nur während der Geschäftszeiten von CybelAngel durchgeführt wird und (v) CybelAngel die Wahl eines vom Kunden ernannten Drittprüfers genehmigt, falls der Kunde das Audit nicht selbst durchführt. Kein Audit darf den Betrieb der Tools oder der Infrastruktur von CybelAngel beeinträchtigen.  

  1. Datenübertragungen

Dieser Abschnitt 8 gilt für jede Verarbeitung personenbezogener Daten, die der DSGVO unterliegen, durch CybelAngel oder seine Unterauftragsverarbeiter.

8.1 CybelAngel wird personenbezogene Daten nicht an Dritte weitergeben oder übertragen, (i) ohne die vorherige schriftliche Zustimmung des Kunden, (ii) wenn dies durch den Vertrag gestattet ist, (iii) wenn eine solche Weitergabe oder Übertragung durch ein anwendbares Gesetz, eine Verordnung oder eine Behörde erforderlich ist oder (iv) gemäß Abschnitt 6.1.

8.2 Der Kunde erkennt an, dass die Erbringung der vertragsgegenständlichen Dienstleistungen die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter in Ländern außerhalb des EWR erfordern kann. Wenn CybelAngel personenbezogene Daten an einen Unterauftragsverarbeiter (einschließlich eines verbundenen Unternehmens von CybelAngel, das als Unterauftragsverarbeiter fungiert) überträgt und dieser Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR (nicht ausschließlich in einem angemessenen Land) verarbeitet, stellt CybelAngel sicher, dass ein Mechanismus zur Erreichung der Angemessenheit in Bezug auf diese Verarbeitung vorhanden ist, wie z.B. (i) die Unterzeichnung von Standardvertragsklauseln (basierend auf Modul 2 - Übertragung des Verantwortlichen an den Auftragsverarbeiter) zwischen CybelAngel und einem Unterauftragsverarbeiter oder (ii) jede andere genehmigte Schutzmaßnahme für Datenübertragungen (wie in den Datenschutzgesetzen anerkannt).

8.3 CybelAngel wird personenbezogene Daten nicht an Dritte weitergeben oder übertragen, (i) ohne die vorherige schriftliche Zustimmung des Kunden, (ii) wenn dies durch den Vertrag gestattet ist, (iii) wenn eine solche Weitergabe oder Übertragung durch ein anwendbares Gesetz, eine Verordnung oder eine Behörde erforderlich ist oder (iv) gemäß Abschnitt 6.1.

  1. Autorisierte Tochtergesellschaften

9.1 Mit der Unterzeichnung der Vereinbarung stimmt der Kunde der DPA im eigenen Namen und im Namen und im Auftrag seiner autorisierten Tochtergesellschaften zu. Jedes bevollmächtigte Tochterunternehmen stimmt zu, an die Verpflichtungen des Kunden im Rahmen dieser DPP und, soweit zutreffend, an die Vereinbarung gebunden zu sein. 

9.2 Der Kunde, der Vertragspartner ist, bleibt verantwortlich für die Koordinierung aller Kommunikation in Bezug auf persönliche Daten mit CybelAngel und ist berechtigt, jegliche Kommunikation in Bezug auf persönliche Daten im Namen seiner autorisierten Partner zu machen und zu empfangen.

9.3 Wenn ein autorisiertes Tochterunternehmen Vertragspartner von CybelAngel wird, ist es in dem Umfang, der nach den geltenden Datenschutzgesetzen und den Bestimmungen dieses Vertrages erforderlich ist, berechtigt, die Rechte auszuüben und Rechtsmittel einzulegen, die im Folgenden aufgeführt sind:

9.3.1 Außer in den Fällen, in denen die anwendbaren Datenschutzgesetze vorschreiben, dass der autorisierte Partner ein Recht ausüben oder einen Rechtsbehelf gegen CybelAngel direkt selbst einlegen muss, vereinbaren die Parteien, dass (i) ausschließlich der Kunde, der Vertragspartner ist, ein solches Recht ausüben oder einen solchen Rechtsbehelf im Namen des autorisierten Partners einlegen wird, und (ii) der Kunde, der Vertragspartner ist, solche Rechte gemäß den Bestimmungen dieses Vertrages nicht separat für jeden autorisierten Partner einzeln, sondern in kombinierter Weise für sich selbst und alle seine autorisierten Partner zusammen ausüben wird.

9.3.2 Der Kunde, der Vertragspartner ist, wird bei der Durchführung von Audits der Verfahren, die für den Schutz personenbezogener Daten relevant sind, alle angemessenen Maßnahmen ergreifen, um die Auswirkungen auf CybelAngel und seine Unterauftragsverarbeiter zu begrenzen, indem er, soweit möglich, alle Audit-Anforderungen an sich selbst und alle seine autorisierten Tochtergesellschaften in einem einzigen Audit zusammenfasst.

  1. Beschränkung der Haftung

Die Gesamthaftung jeder Partei und aller ihrer Verbundenen Unternehmen, die sich aus den Bestimmungen dieses Vertrages ergeben oder damit in Zusammenhang stehen, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt Abschnitt 10 (Haftungsbeschränkung) des Vertrages, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer Verbundenen Unternehmen im Rahmen dieses Vertrages. Um Zweifel auszuschließen, wird die Gesamthaftung von CybelAngel und seinen verbundenen Unternehmen für alle Ansprüche des Kunden und aller autorisierten verbundenen Unternehmen nicht so verstanden, dass sie individuell und einzeln für den Kunden und/oder für jedes autorisierte verbundene Unternehmen gilt, das eine Vertragspartei eines solchen DPP ist.

  1. Vorrangige Reihenfolge

Diese Datenschutzvereinbarung berührt nicht die Rechte und Pflichten der Parteien im Rahmen der Vereinbarung, die weiterhin in vollem Umfang in Kraft bleibt. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser Datenschutzvereinbarung Vorrang, soweit es um die Verarbeitung personenbezogener Daten geht.

  1. Sonstiges

Der für die Verarbeitung Verantwortliche übermittelt alle Mitteilungen und Bekanntmachungen, die sich aus den Bestimmungen dieser Verordnung ergeben, an den Datenschutzbeauftragten des Auftragsverarbeiters unter der Anschrift : 

Name: CybelAngel

Adresse: 51 rue Le Peletier, 75009 Paris, Frankreich

Name, Position und Kontaktdaten der Kontaktperson:

Heather Kuch

Datenschutzbeauftragter

[email protected]

ANHANG I

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

A. Physische Zugangskontrolle 

Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur physischen Zugangskontrolle, sofern personenbezogene Daten in den Räumlichkeiten/Gebäuden des Auftragsverarbeiters verarbeitet werden. Der Zugang zu solchen personenbezogenen Daten außerhalb dieser Räumlichkeiten/Gebäude ist nicht gestattet:

  1. Beschränkung der Zugangsrechte zu Bürogebäuden, Rechenzentren und Serverräumen auf das erforderliche Minimum.
  2. Wirksame Kontrolle der Zugangsrechte durch ein angemessenes Schließsystem (z. B. Sicherheitsschlüssel mit dokumentierter Schlüsselverwaltung, elektronische Schließsysteme mit dokumentierter Verwaltung der Berechtigungen). 
  3. Es müssen umfassende und vollständig dokumentierte Verfahren für die Erlangung, Änderung und den Entzug der Zugangsberechtigung vorhanden sein.
  4. Regelmäßige und dokumentierte Überprüfung der bisher erteilten Zugangsberechtigungen.
  5. Angemessene Maßnahmen zur Verhinderung und Aufdeckung von unbefugtem Zutritt und Zutrittsversuchen (z.B. regelmäßige Überprüfung des Einbruchschutzes der Türen, Tore und Fenster, Alarmanlagen, Videoüberwachung, Wachpersonal, Sicherheitsstreifen). 
  6. Schriftliche Regelungen für Mitarbeiter und Besucher zum Umgang mit technischen Zugangssicherungsmaßnahmen.

B. Logische Zugangskontrolle zu Systemen

Die Nutzung der Systeme zur Verarbeitung personenbezogener Daten durch Unbefugte muss verhindert werden.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen, um den Zugang zu Systemen und Netzen zu kontrollieren, in denen personenbezogene Daten verarbeitet werden oder über die der Zugang zu personenbezogenen Daten möglich ist:

  1. Beschränkung der Zugangsrechte zu IT-Systemen und nicht-öffentlichen Netzen auf das notwendige Minimum.
  2. Effektive Kontrolle von Authentifizierung, Autorisierung und Abrechnung durch personalisierte und eindeutige Benutzerkennungen und sichere Authentifizierungsverfahren.
  3. Bei der Verwendung von Passwörtern zur Authentifizierung sind Regeln festzulegen, die die Qualität der Passwörter in Bezug auf Länge, Komplexität und Änderungshäufigkeit gewährleisten. Um die Qualität der Passwörter zu gewährleisten, sind technische Prüfverfahren anzuwenden.
  4. Bei der Verwendung von asymmetrischen Schlüsselverfahren (z.B. Zertifikate, Private-Public-Key-Verfahren) zur Authentisierung ist darauf zu achten, dass geheime (private) Schlüssel immer mit einem Passwort (Passphrase) geschützt werden. Die Anforderungen gemäß obigem Absatz 3 sind zu beachten.
  5. Alle Konten müssen regelmäßig vollständig überprüft werden, und der Zugang muss entfernt werden, wenn er nicht regelmäßig benötigt wird.
  6. Regelmäßige und dokumentierte Überprüfung der bisher erteilten logischen Zugriffsberechtigungen.
  7. Es müssen geeignete Maßnahmen zur Sicherung der Netzinfrastruktur ergriffen werden (z. B. Sicherheit der Netzanschlüsse nach IEEE 802.1X, Intrusion Detection Systems, Verwendung der Zwei-Faktor-Authentifizierung für den Fernzugriff, Trennung der Netze, Inhaltsfilterung, verschlüsselte Netzprotokolle usw.).
  8. Schriftliche Regelungen für Mitarbeiter im Umgang mit den oben genannten Sicherheitsmaßnahmen und der sicheren Verwendung von Passwörtern.
  9. Sicherstellung der sofortigen Installation von kritischen/oder wichtigen Sicherheitsupdates/Patches:
    1. in den Betriebssystemen der Kontrolleure, 
    2. in Server-Betriebssystemen, die über öffentliche Netze zugänglich sind (z. B. Webserver); 
    3. in Anwendungsprogrammen (einschließlich Browser, Plugins, PDF-Reader usw.); und
    4. in der Sicherheitsinfrastruktur (Virenscanner, Firewalls, IDS-Systeme, Content-Filter, Router usw.) innerhalb von 48 Stunden nach Veröffentlichung durch den Hersteller sowie in den Server-Betriebssystemen der internen Server innerhalb von 1 Woche nach Veröffentlichung durch den Hersteller.

C. Zugangskontrolle zu personenbezogenen Daten

Nur Personen, die zur Nutzung eines Systems zur Verarbeitung personenbezogener Daten befugt sind, können auf die personenbezogenen Daten zugreifen, vorbehaltlich ihrer Zugriffsberechtigung, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können.

Ist der Auftragsverarbeiter für die Zugangsberechtigung zu den personenbezogenen Daten verantwortlich, so trifft er folgende Maßnahmen zur Zugangskontrolle:

  1. Beschränkung der Zugriffsberechtigung auf personenbezogene Daten auf das erforderliche Minimum.
  2. Effektive Kontrolle der Zugriffsberechtigung durch ein angemessenes Rechte- und Rollenkonzept.
  3. Es muss ein umfassendes und vollständig dokumentiertes Verfahren für die Genehmigung des Zugangs, der Änderung, des Kopierens und des Widerrufs personenbezogener Daten vorhanden sein.
  4. Regelmäßige und dokumentierte Überprüfung der bisher vergebenen Zugangsberechtigungen.
  5. Angemessene Maßnahmen zum Schutz von Endgeräten, Servern und anderen Infrastrukturelementen vor unbefugtem Zugriff (z.B. mehrstufiges Virenschutzkonzept, Content Filtering, Application Firewall, Intrusion Detection Systeme, Desktop Firewalls, Systemhärtung, Content Encryption) sind zu ergreifen.
  6. Verschlüsselung von Datenträgern - angepasst an den aktuellen Stand der Technik - Algorithmen zum Schutz von mobilen Geräten (Laptops, Tablet-PCs, Smartphones usw.) und Datenträgern (externe Festplatten, USB-Sticks, Speicherkarten usw.) durchzusetzen.
  7. Protokollierung des Zugriffs auf personenbezogene Daten durch alle Benutzer einschließlich der Administratoren.
  8. Technische Sicherheitsmaßnahmen für Export- und Importschnittstellen (hardware- und anwendungsbezogen).

Ist der Auftragsverarbeiter nicht für die Zugriffsberechtigung auf personenbezogene Daten verantwortlich, so hat er folgende Mitwirkungspflichten bei der Zugriffskontrolle:

  1. Ein umfassendes und vollständig dokumentiertes Verfahren für die Beantragung, Änderung und den Entzug von Zugangsberechtigungen in ihrem Zuständigkeitsbereich.
  2. Regelmäßige und dokumentierte Überprüfung der bisher vergebenen Zugangsberechtigungen, soweit dies möglich ist.
  3. Sofortige Benachrichtigung des für die Verarbeitung Verantwortlichen, wenn die bestehenden Zugangsberechtigungen nicht mehr erforderlich sind.

D. Übertragungskontrolle 

Der Auftragsverarbeiter stellt die zu verarbeitenden personenbezogenen Daten in einem Übermittlungsverfahren zur Verfügung, das in einem Vertrag/Auftrag festgelegt wird. Die Ergebnisse der Verarbeitung werden ebenfalls in einem festgelegten Übermittlungsverfahren an den Verantwortlichen zurückübermittelt. Das Übermittlungsverfahren sowie die Sicherheitsmaßnahmen der Übermittlung (Übermittlungskontrolle) sind anforderungsgerecht festzulegen; insbesondere ist der Einsatz modernster Verschlüsselungstechnik vorzusehen.

Es muss gewährleistet sein, dass personenbezogene Daten während der elektronischen Übermittlung oder während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden und dass überprüft und festgestellt werden kann, an welchen Orten eine Übermittlung personenbezogener Daten mittels Geräten zur Datenübertragung vorgesehen ist.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur Übermittlungskontrolle, sofern personenbezogene Daten von ihm empfangen, übermittelt oder transportiert werden:

  1. Geeignete Maßnahmen zur Sicherung der Netzinfrastruktur (z. B. Sicherheit der Netzanschlüsse nach IEEE 802.1X, Intrusion Detection Systems, Verwendung der 2-Faktor-Authentifizierung für den Fernzugriff, Trennung der Netze, Inhaltsfilterung, verschlüsselte Netzprotokolle usw.) müssen angewendet werden.
  2. Personal Data Medienverschlüsselung mit - nach dem aktuellen Stand der Technik - als sicher einzustufenden Algorithmen zum Schutz von mobilen Geräten (Laptops, Tablet-PCs, Smartphones, etc.) und Datenträgern (externe Festplatten, USB-Sticks, Speicherkarten, etc.).
  3. Verwendung von verschlüsselten Kommunikationsprotokollen (z. B. TLS-basierten Protokollen).
  4. Inspektionsmechanismen zur Identifizierung von Gegenstellen bei Übertragungen.
  5. Abgleich der Prüfsummen mit den empfangenen personenbezogenen Daten.
  6. Schriftliche Regelungen für Mitarbeiter zum Umgang und zur Sicherheit von mobilen Geräten und Datenträgern.

E. Kontrolle der Dateneingabe

Es muss sichergestellt sein, dass nachträglich kontrolliert und überprüft werden kann, ob und von wem auf personenbezogene Daten zugegriffen werden kann, ob sie in Datenverarbeitungssystemen verändert oder aus ihnen entfernt werden können.

Der Auftragsverarbeiter trifft folgende Maßnahmen, um den Zugang zu seinen Systemen, die der Datenverarbeitung dienen, zu kontrollieren bzw. den Zugang zu diesen Systemen zu ermöglichen oder zu gewähren:

  1. Erstellung und revisionssichere Speicherung von Prozessprotokollen.
  2. Sicherung der Backup-Protokolldateien gegen Manipulationen.
  3. Protokollierung und Analyse von fehlgeschlagenen Anmeldeversuchen.
  4. Sicherstellen, dass keine Gruppenkonten (auch Administratoren oder root) verwendet werden können.

F. Kontrolle der Datenverarbeitung

Es muss sichergestellt werden, dass alle personenbezogenen Daten, die verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden können.

Der Auftragsverarbeiter muss Prozesse und Dokumentationen für die Datenverarbeitung einführen:

  1. die Auswahl von (Unter-)Verarbeitern im Rahmen der Datenschutzgesetzgebung und technische Aspekte;
  2. Sicherstellung der gesetzlich vorgeschriebenen Vorabkontrolle der (Unter-)Verarbeiter gemäß der Datenschutzgesetzgebung;
  3. Gewährleistung der rechtzeitigen Unterweisung der betrieblichen Datenschutzbeauftragten bei der Einführung neuer oder der Änderung bestehender Verfahren zur Verarbeitung personenbezogener Daten;
  4. die Verpflichtung aller für die Verarbeitung personenbezogener Daten verantwortlichen Personen zur Wahrung des Datengeheimnisses gemäß der Datenschutzgesetzgebung;
  5. regelmäßige Überprüfung der Korrektheit der Anwendung von Datenverarbeitungsprogrammen, mit denen personenbezogene Daten verarbeitet werden;
  6. Sicherstellung, dass die mit der Datenverarbeitung betrauten Personen mit der einschlägigen Datenschutzgesetzgebung vertraut gemacht werden;
  7. Aufrechterhaltung der Qualifikation des betrieblichen Datenschutzbeauftragten (falls ernannt);
  8. Sicherstellung der unverzüglichen Benachrichtigung des für die Verarbeitung Verantwortlichen im Falle einer unrechtmäßigen Kenntniserlangung von personenbezogenen Daten; und
  9. Gewährleistung der unverzüglichen Berichtigung, Sperrung und Löschung personenbezogener Daten auf Anweisung des für die Verarbeitung Verantwortlichen.

G. Verfügbarkeitskontrolle

Es ist sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

Der Verarbeiter führt folgende Maßnahmen zur Kontrolle der Verfügbarkeit durch:

  1. Betrieb und regelmäßige Wartung von Brandmeldeanlagen in Serverräumen, Rechenzentren und kritischen Infrastrukturbereichen.
  2. Erstellung täglicher Sicherungskopien und Gewährleistung einer robusten und widerstandsfähigen Notfallwiederherstellungsfunktion
  3. Sicherstellung der Lagerung in einem separaten Brandabschnitt. 
  4. Regelmäßige Überprüfung und Tests der Integrität von Sicherungskopien.
  5. Verfahren und Dokumentation für die Wiederherstellung von Systemen und personenbezogenen Daten.

H. Kontrolle der Mittelverwendung 

Es ist sicherzustellen, dass die für unterschiedliche Zwecke erhobenen personenbezogenen Daten getrennt verarbeitet werden können.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur Trennung der personenbezogenen Daten, sofern sie in seinem Verantwortungsbereich liegen:

  1. Logische und/oder physische Trennung von Test-, Entwicklungs- und Produktionssystemen.
  2. Trennung der Controller innerhalb der Verarbeitungssysteme und an den Schnittstellen.
  3. Sicherstellung der kontinuierlichen Identifizierbarkeit der personenbezogenen Daten.

I. Aufbewahrung und Löschung von personenbezogenen Daten 

Personenbezogene Daten werden nur so lange aufbewahrt, wie dies erforderlich ist, und gelöscht, wenn die Verarbeitung abgeschlossen ist. 

Der Auftragsverarbeiter ergreift folgende Maßnahmen, um die Löschung personenbezogener Daten sicherzustellen, sofern diese in seinem Verantwortungsbereich liegen:

  1. Gewährleistung der kontinuierlichen Löschbarkeit von Daten auf Ersuchen des für die Verarbeitung Verantwortlichen.
  2. Verfahren, Werkzeuge und Dokumentation zur sicheren Löschung in einer Weise, dass eine Wiederherstellung der Daten nach dem heutigen Stand der Technik nicht möglich ist. 

 3. Richtlinien für Mitarbeiter, wie und wann welche Daten gelöscht werden sollen.

G. Bescheinigungen

CybelAngel ist im Besitz einer SOC 2 TYPE I Zertifizierung. Der Nachweis einer solchen Zertifizierung kann dem für die Verarbeitung Verantwortlichen auf Anfrage vorgelegt werden.