Vereinbarung
zur Auftragsverarbeitung gemäß Art. 28 DS-GVO
Ihnen, unserem Kunden,
– Verantwortlicher –
nachstehend Auftraggeber genannt
und der
ACARiS GmbH
vertreten durch den Geschäftsführer Dr. Arne-Rasmus Dräger
Axel-Springer-Platz 3
20355 Hamburg
E-Mail: info@acaris.net
Tel.: +49 40 – 32597525
– Auftragsverarbeiter –
nachstehend Auftragnehmer genannt
1. Gegenstand und Dauer des Auftrags
(1) Gegenstand
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
Installation und Betreuung der so genannten Horse-Protector-Einheiten, die Videokameras enthalten.
Erhebung, Speicherung und Verarbeitung/Analyse dieser Filmaufnahmen (ohne Ton) aus dem Pferdestall durch eine künstliche Intelligenz.
In diesem Zuge kann es erforderlich sein, personenbezogene Daten, für die der Auftraggeber die verantwortliche Stelle im Sinne der EU – Datenschutzgrundverordnung [DSGVO] ist, vor und nach einem Vertragsabschluss zu nutzen und zu verarbeiten.
(2) Dauer
Die Dauer dieser Vereinbarung entspricht der Dauer der Geschäftsbeziehung zwischen den Parteien.
2. Konkretisierung des Auftragsinhalts
(1) Art und Zweck der vorgesehenen Verarbeitung von Daten
Der Auftraggeber erteilt dem Auftragnehmer den Auftrag, die Videoaufnahmen (ohne Ton) mit Hilfe einer Künstlichen Intelligenz zu erheben, zu speichern und zu analysieren. Durch die fortlaufenden Videoaufnahmen ist es der Künstlichen Intelligenz möglich, das Pferd bzw. die Pferde in dem Pferdestall zu überwachen, deren Verhalten zu erlernen, ihren Gesundheitszustand zu analysieren und die gewünschte Sicherheit zu gewährleisten.
Die künstliche Intelligenz ist darauf angewiesen, die unterschiedlichen Verhaltensparameter des Pferdes fortlaufend aufzuzeichnen und zu erlernen und zu analysieren. Ohne dies wäre es nicht möglich bei Erkrankungen, Geburten etc. die von Horse-Protector erwarteten Alarm auszulösen. Gleiches gilt für den Fall, dass aufgrund des Auftauchens fremder Personen ein Sicherheitsalarm ausgelöst wird.
Es ist daher möglich, dass die Videoaufnahmen (ohne Ton) Personen aufnehmen, die sich in dem Pferdestall aufhalten. Diese Daten sind zudem erforderlich, damit die Künstliche Intelligenz zwischen Menschen und Tieren zu unterscheiden lernt.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind
(2) Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)
Videoaufnahmen einer Person (ohne Ton)
(3) Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
Mitarbeiter des Auftraggebers
Kunden (Eigentümer und Besitzer der Pferde)
Lieferanten
Besucher
sowie alle sonstigen Personen, die sich im Pferdestall aufhalten
(4) Interessenabwägung für die Videoüberwachung und -aufnahme
Die Anfertigung der Videoaufnahmen über die Horse-Protector-Einheiten erfolgt, wie oben bereits dargestellt, zunächst zur Analyse des Verhaltens des Pferdes. Ohne die fortlaufende Videoüberwachung wäre es nicht möglich, die vom Auftragnehmer vertraglich zugesicherte Alarmmeldung bei Erkrankungen des Pferdes sowie bei sicherheitsrelevanten Vorfällen vorzunehmen.
Zusätzlich erfolgt die Datenerhebung und -verarbeitung zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Nach dieser Vorschrift ist eine Abwägung der betroffenen Interessen erforderlich.
Wahrung berechtigter Interessen
Die fortlaufende Überwachung des Pferdes im Pferdestall dient der Sicherheit und der Gesundheit des Pferdes. Zum einen wird es der künstlichen Intelligenz ermöglicht, das Verhalten des Pferdes zu erlernen und zu analysieren sowie den Gesundheitszustand des Pferdes zu beurteilen. Zum anderen dient die Überwachung zur Vandalismusprävention, zur Durchsetzung des Hausrechts; zum Schutz des Eigentums des Pferdebesitzers/-eigentümers, zur Aufklärung von Diebstählen und weiterer sicherheitsrelevanter Vorfälle. Die Aufzeichnungen könnten ggf. in gerichtlichen und außergerichtlichen Verfahren Verwendung finden.
Die künstliche Intelligenz ist darauf angewiesen, die unterschiedlichen Verhaltensparameter des Pferdes fortlaufend aufzuzeichnen und zu erlernen und zu analysieren. Ohne dies wäre es nicht möglich bei Erkrankungen, Geburten etc. die von Horse-Protector erwarteten Alarm auszulösen. Gleiches gilt für den Fall, dass aufgrund des Auftauchens fremder Personen ein Sicherheitsalarm ausgelöst wird. Es wird daher vorkommen, dass die Videokameras auch Aufnahmen (ohne Ton) von Personen machen, die sich in dem Pferdestall aufhalten. Mit Hilfe dieser Daten lernt die Künstliche Intelligenz zwischen Menschen und Tieren zu unterscheiden.
Erforderlichkeit
Im Folgenden ist zu prüfen, ob die konkrete Videoaufzeichnung zur Zweckerreichung geeignet ist und ob alternative Maßnahmen, die nicht oder weniger tief in das Recht auf Schutz personenbezogener Daten eingreifen, vorzugswürdig sind.
Aus den dargestellten Gründen ist eine fortlaufende Überwachung erforderlich. Andernfalls kann die Künstliche Intelligenz nicht das Verhalten des Pferdes erlernen und analysieren und nicht bei sicherheitsrelevanten Vorfällen (Erkrankung, Geburten, Betreten fremder Personen etc.) eine Alarmmeldung abgeben.
Ohne eine dauerhafte Speicherung der Daten wäre der Vertragszweck – die Überwachung und Bewahrung der Gesundheit des Pferdes – gefährdet. Ein milderes Mittel ist nicht ersichtlich.
Allerdings findet eine biometrische Analyse der aufgezeichneten Personen (z. B. über eine Gesichtserkennungssoftware) nicht statt. Es wird auch nicht automatisch erhoben, welche Person sich zu welchem Zeitpunkt in dem Pferdestall aufgehalten hat. Ein Schwenken der Kamera ist nicht möglich.
Interessenabwägung
Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen des Verantwortlichen (auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen), oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Es sind dabei im Rahmen einer Interessenabwägung die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen (vgl. Erwägungsgrund 47 zu Art. 6 Abs. 1 s. 1 lit. f DSGVO).
Durch die fortlaufende Überwachung des Pferdes durch Videokameras im Pferdestall sind die Rechte der Personen betroffen, die sich in diesen Stall begeben, namentlich deren Recht am eigenen Bild. Dem gegenüber stehen die Interessen des Verantwortlichen an der Überwachung und Erhalten der Gesundheit seines Pferdes.
Unter Abwägung dieser Interessen erscheinen die Rechte der aufgenommenen Personen als weniger schutzbedürftig. Dies folgt bereits aus der Eingriffsintensität: Zunächst werden durch deutliche Hinweisschilder vor dem Pferdestall – und damit vor dem überwachten Bereich – die Personen auf die Videoaufnahmen und über den Verantwortlichen informiert. Es liegt somit keine heimliche Überwachung vor.
Des Weiteren wird nur ein sehr begrenzter Bereich überwacht – der Pferdestall –, den berechtigter Weise nur eine überschaubare Anzahl an Personen betreten darf, nämlich nur diejenigen, die sich um die Pflege und Betreuung des Pferdes kümmern. In Frage kommen daher neben dem Besitzer bzw. Eigentümer des Pferdes nur noch Angestellte des Auftraggebers und ggf. Personen, die mit Einwilligung des Eigentümers das Pferd ausführen dürfen. Hinzu kommen ggf. Personen, die sich unbefugt in dem Pferdestall aufhalten und damit u. U. die Sicherheit des Pferdes gefährden.
Trotz des nicht unerheblichen Eingriffs in die persönlichen Rechte dieser Personen ist zu beachten, dass keine Tonaufnahme angefertigt wird und auch keine biometrische Analyse der Personen (etwa durch eine Gesichtserkennungssoftware) stattfindet. Die Daten werden nicht weitergegeben und verbleiben beim Auftragsnehmer und Auftraggeber. Lediglich bei Straftaten sowie zur Geltendmachung in zivil- und/oder strafrechtlichen Verfahren wäre eine Weitergabe an die Behörden bzw. Gerichte denkbar.
Nach alldem erscheinen die Interessen der betroffenen Personen als weniger schutzbedürftig als die des Auftraggebers.
3. Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
(1) Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
(2) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
(3) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
(4) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
(5) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
(6) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
(7) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
(8) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Aktuell besteht keine Unterbeauftragung
Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:
der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
(5) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht vorgesehen. Sie bedürfte in jedem Fall der ausdrücklichen vorherigen Zustimmung des Hauptauftraggebers (mind. Textform).
Sämtliche vertraglichen Regelungen in der Vertragskette sind im Fall einer weiteren Auslagerung auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
8. Mitteilung bei Verstößen des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
9. Weisungsbefugnis des Auftraggebers
(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10. Löschung und Rückgabe von personenbezogenen Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
Technische und organisatorische Maßnahmen der Datensicherheit
– ACARiS GmbH –
Zugangskontrolle
Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird.
• Die Mitarbeiter der ACARIS GmbH nehmen Zugriff auf die Daten von ihren Rechnern. Der Zugriff auf diese Rechner ist durch ein Passwort geschützt. Auf diesen Rechner befinden sich auch zeitweilig E-Mails von Kunden. Die Daten selbst sowie archivierte E-Mails sind in auf den Servern eines externen Auftragsverarbeiters (Cloud-Dienstleister) hinterlegt und gespeichert.
• Um Zugriff auf diesen externen Server nehmen zu können, ist zusätzlich die Eingabe eines individuellen Benutzernamens und eines individuellen Passworts erforderlich.
• Externe Personen haben keinen Zugriff auf die sich stets unter Verschluss befindlichen Rechner.
• Der Zugang zu den bei dem Cloud-Dienstleister gespeicherten Daten ist gesondert geschützt, insbes. durch:
Laufende Überwachung der Sicherheitsinfrastruktur.
Die Rechenzentren des Cloud-Dienstleisters unterhalten vor Ort einen Sicherheitsdienst, der für alle physischen Sicherheitsfunktionen des Rechenzentrums rund um die Uhr verantwortlich ist. Das Sicherheitspersonal überwacht CCTV-Kameras (Closed Circuit TV) und alle Alarmsysteme. Das Sicherheitspersonal vor Ort führt regelmäßig interne und externe Patrouillen im Rechenzentrum durch.
Der Cloud-Dienstleister unterhält formale Zugangsverfahren für den physischen Zugang zu seinen Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, für die ein elektronischer Kartenschlüssel erforderlich ist, mit Alarmen, die mit dem Sicherheitsdienst vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich ausweisen und dem Sicherheitspersonal vor Ort einen Identitätsnachweis vorlegen. Nur autorisierten Mitarbeitern, Auftragnehmern und Besuchern ist der Zutritt zu den Rechenzentren gestattet. Nur autorisierte Mitarbeiter und Auftragnehmer dürfen den Zugang zu diesen Einrichtungen mit elektronischen Kartenschlüsseln beantragen. Ansonsten erhält nur Zugang, wer im Vorfeld einen Antrag gestellt, sich angemeldet und sich ausgewiesen hat.
Sicherheitsrichtlinie und Sicherheitsschulungen für das eigne Personal.
Weitere Einzelheiten zu Zutritts- und Zugangskontrollen ergeben sich aus den TOMs des Auftragsverarbeiters.
Datenträgerkontrolle
Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können.
• Grundsätzlich keine Verwendung von Datenträgern bei der ACARiS GmbH, da der Großteil der Daten bei den externen Servern des Auftragsverarbeiters gespeichert sind.
• Bei dem Cloud-Dienstleister ist die Datenträgerkontrolle wie folgt vorgesehen:
Jeder stillgelegte Datenträger unterliegt einer Reihe von Datenvernichtungsprozessen, bevor er die Räumlichkeiten des Cloud-Dienstleisters zur Wiederverwendung oder Vernichtung verlässt. Stillgelegte Datenträger werden in einem mehrstufigen Prozess gelöscht und anschließend auf Vollständigkeit überprüft. Die Ergebnisse der Löschung werden protokolliert und nachverfolgt. Wenn die stillgelegte Diskette aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird sie sicher gelagert, bis sie zerstört werden kann.
Weitere Einzelheiten zu zur Datenträgerkontrolle ergeben sich aus den TOMs des Auftragsverarbeiters.
Speicherkontrolle
Die Speicherkontrolle soll verhindern, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können.
• Die Daten von ACARiS GmbH werden bei den externen Servern des Cloud-Dienstleisters gesichert.
• Auf die auf den ACARiS-Rechnern zeitweilig gespeicherten E-Mails von Kunden können nur die jeweiligen Mitarbeiter zugreifen. Der Zugriff auf diese Rechner ist durch ein Passwort geschützt.
• Um Zugriff auf die externen Server nehmen zu können, ist die Eingabe eines individuellen Benutzernamens und eines individuellen Passworts erforderlich.
• Bei dem Cloud-Dienstleister ist die Speicherkontrolle wie folgt vorgesehen:
Der Cloud-Dienstleister speichert Daten in einer Multi-Tenant-Umgebung auf seinen-eigenen Servern. Vorbehaltlich anders lautender Anweisungen des Kunden (z. B. in Form einer Auswahl des Datenstandorts) repliziert der Cloud-Dienstleister die Kundendaten zwischen mehreren geografisch verteilten Rechenzentren.
Der Cloud-Dienstleister ermöglicht seinem Kunden, die Protokollierungsfunktionen zu nutzen.
Weitere Einzelheiten zu den Speicher- und Eingabekontrollen ergeben sich aus den TOMs der Auftragsverarbeiter.
Benutzerkontrolle
Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzten können.
• Die Daten von ACARiS GmbH werden bei den externen Servern des Cloud-Dienstleisters gesichert.
• Auf die auf den ACARiS-Rechnern zeitweilig gespeicherten Daten von Kunden können nur die jeweiligen Mitarbeiter zugreifen. Der Zugriff auf diese Rechner ist durch ein Passwort geschützt.
• Die Benutzerkontrolle zu den Servern bei den Auftragsverarbeitern ist gesondert geschützt, insbes. durch:
Die Administratoren und Endnutzer der Kunden müssen sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Cloud-Services nutzen zu können.
Es erhalten nur autorisierte Personen Zugriff auf Daten, zu denen sie berechtigt sind. Es ist sichergestellt, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Systeme sind so ausgelegt, dass jeder unzulässige Zugriff erkannt wird.
Der Cloud-Dienstleister verwendet ein zentralisiertes Zugriffsverwaltungssystem, um den Zugriff des Personals auf die Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisiertem Personal Zugriff.
Der Zugriff auf Systeme wird protokolliert, um einen Prüfpfad zur Nachvollziehbarkeit zu erstellen. Wo Passwörter zur Authentifizierung verwendet werden (z. B. bei der Anmeldung an Workstations), werden Passwortrichtlinien implementiert, die mindestens dem Industriestandard entsprechen. Diese Standards beinhalten Einschränkungen für die Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke. Für den Zugriff auf extrem sensible Informationen (z. B. Kreditkartendaten) verwendet der Cloud-Dienstleister Hardware-Tokens.
Der Cloud-Dienstleister verwendet ein zentralisiertes Zugriffsverwaltungssystem, um den Zugriff des Personals auf die Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisiertem Personal Zugriff.
Weitere Einzelheiten zu den Zugriffskontrollen ergeben sich aus den TOMs der Auftragsverarbeiter.
Zugriffskontrolle
Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
• Die Daten von ACARiS GmbH werden bei den externen Servern des Cloud-Dienstleisters gesichert.
• Auf die auf den ACARiS-Rechnern zeitweilig gespeicherten Daten von Kunden können nur die jeweiligen Mitarbeiter zugreifen. Der Zugriff auf diese Rechner ist durch ein Passwort geschützt.
• Um Zugriff auf die externen Server nehmen zu können, ist zusätzlich die Eingabe eines individuellen Benutzernamens und eines individuellen Passworts erforderlich.
• Der Zugriff auf die Daten auf den Servern bei den Auftragsverarbeitern ist gesondert geschützt, insbes. durch:
Der Cloud-Dienstleister verwendet ein zentralisiertes Zugriffsverwaltungssystem, um den Zugriff des Personals auf die Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisiertem Personal Zugriff.
Es erhalten nur autorisierte Personen Zugriff auf Daten, zu denen sie berechtigt sind. Es ist sichergestellt, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Systeme sind so ausgelegt, dass jeder unzulässige Zugriff erkannt wird.
Die Administratoren und Endnutzer der Kunden müssen sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Cloud-Services nutzen zu können.
Es erhalten nur autorisierte Personen Zugriff auf Daten, zu denen sie berechtigt sind. Es ist sichergestellt, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Systeme sind so ausgelegt, dass jeder unzulässige Zugriff erkannt wird.
Der Cloud-Dienstleister verwendet ein zentralisiertes Zugriffsverwaltungssystem, um den Zugriff des Personals auf die Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisiertem Personal Zugriff.
Die Authentifizierungs- und Autorisierungssysteme des Cloud-Dienstes verwenden SSH-Zertifikate und Sicherheitsschlüssel und sind so konzipiert, dass sie dem Cloud-Dienstleister sichere und flexible Zugriffsmechanismen bieten. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte auf Website-Hosts, Protokolle, Daten und Konfigurationsinformationen gewährt werden.
Der Cloud-Dienstleister verlangt die Verwendung von eindeutigen Nutzer-IDs, starken Passwörtern, Zwei-Faktor-Authentifizierung und sorgfältig überwachten Zugriffslisten, um das Potenzial für die unberechtigte Nutzung von Konten zu minimieren.
Der Zugriff auf Systeme wird protokolliert, um einen Prüfpfad zur Nachvollziehbarkeit zu erstellen. Wo Passwörter zur Authentifizierung verwendet werden (z. B. bei der Anmeldung an Workstations), werden Passwortrichtlinien implementiert, die mindestens dem Industriestandard entsprechen. Diese Standards beinhalten Einschränkungen für die Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke. Für den Zugriff auf extrem sensible Informationen (z. B. Kreditkartendaten) verwendet der Cloud-Dienstleister Hardware-Tokens.
Weitere Einzelheiten zu den Zugriffskontrollen ergeben sich aus den TOMs der Auftragsverarbeiter.
Übertragungskontrolle
Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
• Personenbezogene Daten werden nur an berechtigte Empfänger (z. B. Kreditinstitute im Rahmen des allgemeinen Zahlungsverkehrs) elektronisch übertragen
• Über Logfiles kann belegt und nachvollzogen werden, inwieweit ein Zugriff von außerhalb erfolgt ist.
• Die auf den Servern des Auftragsverarbeiters gespeicherten Daten sind in diesem Zusammenhang zusätzlich gesondert geschützt, insbes. durch:
Der Cloud-Dienstleister stellt eine HTTPS-Verschlüsselung (auch als SSL- oder TLS-Verbindung bezeichnet) zur Verfügung und unterstützt den ephemeren elliptischen Kurven-Diffie-Hellman-Schlüsselaustausch, der mit RSA und ECDSA signiert ist. Diese Perfect Forward Secrecy (PFS)-Methoden helfen, den Datenverkehr zu schützen und die Auswirkungen eines geknackten Schlüssels oder eines kryptografischen Durchbruchs zu minimieren.
Die Rechenzentren des Cloud-Dienstleisters sind in der Regel über private Hochgeschwindigkeitsverbindungen verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren zu gewährleisten. Dadurch soll verhindert werden, dass Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenspeichermedien unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Datenübertragung erfolgt über Internet-Standardprotokolle.
Weitere Einzelheiten ergeben sich aus den TOMs der Auftragsverarbeiter.
Transportkontrolle
Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
• Da die Daten bei den externen Servern des Auftragsverarbeiters gespeichert sind und dort auch verarbeitet werden, ist ein Transport bzw. eine Übermittlung nur selten notwendig.
• Personenbezogene Daten werden nur an berechtigte Empfänger (z. B. Kreditinstitute im Rahmen des allgemeinen Zahlungsverkehrs) elektronisch übertragen.
• Die auf den Servern des Auftragsverarbeiters gespeicherten Daten sind in diesem Zusammenhang zusätzlich gesondert geschützt, insbes. durch:
Der Cloud-Dienstleister stellt eine HTTPS-Verschlüsselung (auch als SSL- oder TLS-Verbindung bezeichnet) zur Verfügung und unterstützt den ephemeren elliptischen Kurven-Diffie-Hellman-Schlüsselaustausch, der mit RSA und ECDSA signiert ist. Diese Perfect Forward Secrecy (PFS)-Methoden helfen, den Datenverkehr zu schützen und die Auswirkungen eines geknackten Schlüssels oder eines kryptografischen Durchbruchs zu minimieren.
Weitere Einzelheiten ergeben sich aus den TOMs der Auftragsverarbeiter.
Wiederherstellbarkeit
Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
• Alle geschäftsrelevanten Daten von ACARiS GmbH werden im Rahmen eines strukturierten Backup-Plans in regelmäßigen Abständen gesichert. Dies gilt auch und besonders für personenbezogene Daten, die sich auf diesen Rechnern befinden. Der ordnungsgemäße Durchlauf der Backup-Tasks wird regelmäßig kontrolliert
• Eine Wiederherstellung von Daten aus den Sicherheitsbackups ist kurzfristig möglich und von der ACARiS GmbH selbst durchführbar.
• Zusätzlich zur täglichen vor-Ort-Sicherung erfolgt eine regelmäßige georedundante Voll-Sicherung aller Daten auf physisch getrennte Backup-Systeme.
• Da die Daten von ACARiS GmbH auf den externen Servern des Auftragsverarbeiters gespeichert sind und dort auch verarbeitet werden, ist deren Konzept zur Wiederherstellbarkeit maßgeblich. Demnach ist die Wiederherstellbarkeit insbesondere gesichert durch:
Programme zur Aufrechterhaltung des Geschäftsbetriebes und zur Wiederherstellung im Katastrophenfall, die regelmäßig geplant und getestet werden.
Weitere Einzelheiten ergeben sich aus den TOMs der Auftragsverarbeiter.
Zuverlässigkeit
Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
• Anti-Viren-Schutz und Firewall
• Da die Daten von ACARiS GmbH im Wesentlichen bei den externen Servern des Auftragsverarbeiters gespeichert sind und dort auch verarbeitet werden, ist deren Konzept zur Zuverlässigkeit/Belastbarkeit maßgeblich. Demnach ist die Wiederherstellbarkeit insbesondere gesichert durch:
Der Cloud-Dienstleister verwendet mehrere Schichten von Netzwerkvorrichtungen und Angriffserkennung, um sich vor externen Angriffen zu schützen. Es wurden dazu spezielle Technologien entwickelt.
Es gibt spezielle Systeme zum Erkennen von Eindringlingen in die Systeme des Cloud-Dienstleisters. Dazu gehören präventive Maßnahmen mit einer strengen Kontrolle der möglichen Angriffspunkte des Cloud-Dienstleister, der Einsatz intelligenter Erkennungskontrollen an Dateneingangspunkten; und der Einsatz von Technologien, die bestimmte kritische Situationen automatisch beheben.
Es gibt doppelte Schaltkreise, Switches, Netzwerke oder andere notwendige Vorrichtungen, die dazu beitragen, die erforderliche Redundanz zu gewährleisten. Die Services sind so konzipiert, dass der Cloud-Dienstleister bestimmte Arten der vorbeugenden und korrigierenden Wartung ohne Unterbrechung durchführen kann. Für alle geschäftsrelevanten Geräte und Einrichtungen gibt es dokumentierte Verfahren zur vorbeugenden Wartung, in denen der Prozess und die Häufigkeit der Durchführung gemäß den Herstellerangaben oder internen Spezifikationen detailliert beschrieben sind. Vorbeugende und korrigierende Wartungsarbeiten an der Ausrüstung des Rechenzentrums werden durch einen Standardänderungsprozess gemäß den dokumentierten Verfahren geplant.
Die Stromversorgungssysteme des Rechenzentrums sind so ausgelegt, dass sie redundant sind und ohne Beeinträchtigung des kontinuierlichen Betriebs 24 Stunden am Tag, 7 Tage die Woche gewartet werden können. In den meisten Fällen werden für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Die Backup-Stromversorgung erfolgt über verschiedene Mechanismen, wie z. B. unterbrechungsfreie Stromversorgungen (USV), die bei Stromausfällen, Blackouts, Über- und Unterspannungen sowie Frequenzüberschreitungen einen gleichbleibend zuverlässigen Stromschutz bieten. Bei einer Unterbrechung der Stromversorgung ist die Notstromversorgung so ausgelegt, dass sie das Rechenzentrum übergangsweise bis zu 10 Minuten lang mit voller Leistung versorgt, bis die Dieselgeneratorsysteme übernehmen. Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch anzulaufen und genügend Notstrom zu liefern, um das Rechenzentrum typischerweise über einen Zeitraum von mehreren Tagen mit voller Leistung zu betreiben.
Weitere Einzelheiten zu der Belastbarkeit ergeben sich aus den TOMs der Auftragsverarbeiter.
Datenintegrität
Die Datenintegrität soll gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
• Durch die oben dargestellten Maßnahmen durch Zutritts-, Zugriffs- und Benutzerkontrolle ist gesichert, dass die Daten nicht durch Unbefugte geändert, beschädigt oder gelöscht werden können.
• Alle geschäftsrelevanten Daten von ACARiS GmbH werden im Rahmen eines strukturierten Backup-Plans in regelmäßigen Abständen gesichert. Dies gilt auch und besonders für personenbezogene Daten, die sich auf diesen Rechnern befinden. Der ordnungsgemäße Durchlauf der Backup-Tasks wird regelmäßig kontrolliert
• Eine Wiederherstellung von Daten aus den Sicherheitsbackups ist kurzfristig möglich und von der ACARiS GmbH selbst durchführbar.
• Zusätzlich zur täglichen vor-Ort-Sicherung erfolgt eine regelmäßige georedundante Voll-Sicherung aller Daten auf physisch getrennte Backup-Systeme.
• Da die wesentlichen Daten der ACARiS GmbH auf den externen Servern des Auftragsverarbeiters gespeichert sind und dort auch verarbeitet werden, ist deren Konzept zur Wiederherstellbarkeit maßgeblich. Demnach ist die Datenintegrität insbesondere gesichert
durch:
Der Cloud-Dienstleister verwendet mehrere Schichten von Netzwerkvorrichtungen und Angriffserkennung, um sich vor externen Angriffen zu schützen. Es wurden dazu spezielle Technologien entwickelt.
Es gibt spezielle Systeme zum Erkennen von Eindringlingen in die Systeme des Cloud-Dienstleisters. Dazu gehören präventive Maßnahmen mit einer strengen Kontrolle der möglichen Angriffspunkte des Cloud-Dienstleister, der Einsatz intelligenter Erkennungskontrollen an Dateneingangspunkten; und der Einsatz von Technologien, die bestimmte kritische Situationen automatisch beheben.
Weitere Einzelheiten zu der Datenintegrität ergeben sich aus den TOMs der Auftragsverarbeiter.
Verfügbarkeitskontrolle
Die Verfügbarkeitskontrolle soll gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
• Da die Daten von ACARiS GmbH bei den externen Servern des Auftragsverarbeiters gespeichert sind und dort auch verarbeitet werden, ist deren Konzept zur Verfügbarkeitskontrolle maßgeblich. Demnach ist die Verfügbarkeit insbesondere gesichert durch:
Programme zur Aufrechterhaltung des Geschäftsbetriebes und zur Wiederherstellung im Katastrophenfall, die regelmäßig geplant und getestet werden.
Es gibt doppelte Schaltkreise, Switches, Netzwerke oder andere notwendige Vorrichtungen, die dazu beitragen, die erforderliche Redundanz zu gewährleisten. Die Services sind so konzipiert, dass der Cloud-Dienstleister bestimmte Arten der vorbeugenden und korrigierenden Wartung ohne Unterbrechung durchführen kann. Für alle geschäftsrelevanten Geräte und Einrichtungen gibt es dokumentierte Verfahren zur vorbeugenden Wartung, in denen der Prozess und die Häufigkeit der Durchführung gemäß den Herstellerangaben oder internen Spezifikationen detailliert beschrieben sind. Vorbeugende und korrigierende Wartungsarbeiten an der Ausrüstung des Rechenzentrums werden durch einen Standardänderungsprozess gemäß den dokumentierten Verfahren geplant.
Weitere Einzelheiten zu der Verfügbarkeitskontrolle ergeben sich aus den TOMs der Auftragsverarbeiter.