Fortra-Datenverarbeitungsvereinbarung („DPA“)

1. Geltungsbereich dieser Datenschutzvereinbarung

  1. Diese Datenverarbeitungsvereinbarung (DPA) ist durch Bezugnahme Bestandteil des Fortra-Rahmenvertrags für Lösungen und der Allgemeinen Geschäftsbedingungen für professionelle Dienstleistungen unter https://www.fortra.com/legal. oder einer anderen anwendbaren, abgeschlossenen Dienstleistungsvereinbarung (jeweils als „Dienstleistungsvereinbarung“ bezeichnet). Bei der Erbringung der Dienstleistungen kann Fortra personenbezogene Daten im Auftrag des Kunden verarbeiten, und die Parteien vereinbaren, die Bestimmungen dieser Datenverarbeitungsvereinbarung einzuhalten.
  2. Im Falle eines Widerspruchs zwischen dieser Datenschutzvereinbarung und dem zugrunde liegenden Dienstleistungsvertrag hat diese Datenschutzvereinbarung Vorrang. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und dieser Datenverarbeitungsvereinbarung haben die Standardvertragsklauseln Vorrang. 

2. Definitionen

In dieser Datenschutzvereinbarung haben die folgenden Begriffe die folgende Bedeutung:

  1. Angemessenheitsbeschluss“ bezeichnet gegebenenfalls einen Beschluss der Europäischen Kommission, der britischen Regierung und/oder des Schweizer Bundesrats, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet.
  2. CCPA“ bezeichnet den California Consumer Privacy Act von 2018 in der Fassung des California Privacy Rights Act vom 1. Januar 2023 sowie alle nachfolgenden Änderungen und Durchführungsbestimmungen.
  3. Kundenbezogene personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die Fortra im Auftrag des Kunden gemäß der Dienstleistungsvereinbarung verarbeitet.
  4. Verantwortlicher“ bezeichnet eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, einschließlich aller gleichwertigen Begriffe im Datenschutzrecht.
  5. Datenschutzrecht“ bezeichnet, soweit anwendbar, alle Datenschutzgesetze und -vorschriften, einschließlich: (i) der DSGVO und der Gesetze der Mitgliedstaaten zur Umsetzung der DSGVO; (ii) der britischen DSGVO und des Data Protection Act 2018; (iii) des schweizerischen Bundesgesetzes über den Datenschutz („ DSG“); (iv) und des CCPA, jeweils in der jeweils gültigen Fassung.
  6. Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person.
  7. DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Regelung des freien Datenverkehrs.
  8. Persönliche Daten“ bezeichnet alle Informationen, die sich auf eine betroffene Person beziehen, einschließlich aller gleichwertigen Begriffe im Datenschutzrecht.
  9. Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
  10. Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, den Abgleich oder die Verknüpfung, die Sperrung, das Löschen oder die Vernichtung.
  11. Auftragsverarbeiter“ bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, einschließlich aller gleichwertigen Begriffe gemäß dem Datenschutzrecht.
  12. Standardvertragsklauseln“ bezeichnet gegebenenfalls (i) den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO („ EU-SCCs“); und (ii) den vom Information Commissioner’s Office gemäß § 119A(1) des Data Protection Act 2018 erlassenen International Data Transfer Addendum zu den EU-SCCs („ UK Addendum“).
  13. Unterauftragnehmer“ bezeichnet jeden Dritten, der von Fortra mit der Verarbeitung der personenbezogenen Daten des Kunden im Auftrag des Kunden beauftragt wird.
  14. Der Begriff „ Aufsichtsbehörde“ hat die im Datenschutzgesetz festgelegte Bedeutung oder eine gleichwertige Bedeutung.
  15. UK GDPR“ bezeichnet die DSGVO in ihrer Fassung, die durch den Data Protection Act 2018 in das britische Recht übernommen und durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 geändert wurde.
  16. Großgeschriebene Begriffe, die in dieser DPA nicht definiert sind, haben die Bedeutung, die ihnen im Dienstleistungsvertrag beigemessen wird. 

3. Umfang der Verarbeitung

  1. Die Parteien vereinbaren, dass im Hinblick auf die Verarbeitung der personenbezogenen Daten des Kunden der Kunde der Verantwortliche und Fortra der Auftragsverarbeiter ist. Ist der Auftraggeber ein Auftragsverarbeiter der personenbezogenen Daten des Auftraggebers, so ist Fortra ein Unterauftragsverarbeiter der personenbezogenen Daten des Auftraggebers. Die Bestimmungen dieser Datenschutzvereinbarung gelten für jedes Szenario. Falls Fortra als Unterauftragnehmer eingestuft wird, wird der Kunde als Ansprechpartner für den/die jeweiligen Verantwortlichen benannt, und die Mitteilung von Fortra an den Kunden gilt als Erfüllung der Mitteilungspflichten von Fortra gemäß dem anwendbaren Datenschutzrecht als Mitteilung an den/die jeweiligen Verantwortlichen. Der Kunde ist verpflichtet, im Namen von Fortra die zuständigen Verantwortlichen zu benachrichtigen. Soweit Fortra den Kunden benachrichtigt hat und der Kunde es versäumt, im Namen von Fortra den/die jeweiligen Verantwortlichen ausreichend zu benachrichtigen, und eine Aufsichtsbehörde feststellt, dass Fortra seinen Benachrichtigungspflichten gegenüber dem/den Verantwortlichen nicht nachgekommen ist, dann (x) gilt diese Nichterfüllung nicht als wesentliche Verletzung dieser DPA oder des Dienstleistungsvertrags durch Fortra und (y) der Kunde verpflichtet sich, Fortra für alle Mängel im Zusammenhang mit der Benachrichtigung des/der Verantwortlichen gemäß geltendem Datenschutzrecht durch Fortra als Unterauftragsverarbeiter zu verteidigen und schadlos zu halten.
  2. Jede Partei ist verpflichtet, ihre jeweiligen Verpflichtungen gemäß dem Datenschutzgesetz einzuhalten.
  3. Fortra verarbeitet die personenbezogenen Daten des Kunden nur gemäß den schriftlichen Anweisungen des Kunden, es sei denn, Fortra ist gesetzlich zu etwas anderem verpflichtet. Im letzteren Fall wird Fortra den Kunden vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
  4. Fortra darf: (a) die personenbezogenen Daten des Kunden nur im Rahmen der Erbringung der Dienstleistungen im Auftrag des Kunden erheben, speichern, verwenden oder offenlegen; (b) die personenbezogenen Daten des Kunden nur im Rahmen der Erbringung der Dienstleistungen im Auftrag des Kunden erheben, speichern, verwenden oder offenlegen; (c) die personenbezogenen Daten des Kunden außerhalb der direkten Geschäftsbeziehung zwischen Fortra und dem Kunden erheben, speichern, verwenden oder offenlegen; (d) die personenbezogenen Daten des Kunden nur in den gesetzlich zulässigen Fällen mit anderen personenbezogenen Daten zusammenführen (ausgenommen die Verbesserung der Dienstleistungen); oder (e) die personenbezogenen Daten des Kunden im Sinne des CCPA „verkaufen“ oder „weitergeben“. Fortra kann jedoch auch anonymisierte personenbezogene Daten des Kunden oder, im Falle von spezifischen Bedrohungsinformationen, nicht anonymisierte Daten erheben, speichern, verwenden, offenlegen und kombinieren (sofern der Kunde nicht als Quelle dieser Daten identifiziert wird).
  5. Die Verarbeitung der personenbezogenen Daten des Kunden durch Fortra umfasst Gegenstand, Art, Zweck und Dauer, die im entsprechenden Abschnitt von Anhang 1 festgelegt sind. zu dieser Datenschutzbehörde. Die Verarbeitung bezieht sich auf die darin genannten Arten personenbezogener Daten und Kategorien betroffener Personen.
  6. Fortra wird den Kunden unverzüglich informieren, wenn Fortra der Ansicht ist, dass eine Anweisung gegen das Datenschutzgesetz verstößt. 

4. Personalbedarf

  1. Fortra stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten des Kunden befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.

5. Sicherheit der Verarbeitung

  1. Fortra wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung der personenbezogenen Daten des Kunden sowie der jeweiligen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko der personenbezogenen Daten des Kunden angemessenes Maß an Datensicherheit zu gewährleisten.
  2. Fortra verpflichtet sich, die in Anhang 2 dieser Datenverarbeitungsvereinbarung festgelegten technischen und organisatorischen Maßnahmen einzuhalten.  Fortra kann solche Maßnahmen von Zeit zu Zeit aktualisieren, vorausgesetzt, dass durch diese Aktualisierungen das in Anhang 2 dieser Datenverarbeitungsvereinbarung vorgesehene Sicherheitsniveau nicht beeinträchtigt wird. 

6. Einbindung von Unterauftragnehmern

  1. Der Kunde ermächtigt hiermit Fortra, Unterauftragnehmer in allgemeiner Weise mit der Verarbeitung der personenbezogenen Daten des Kunden zu beauftragen. Auf schriftliche Anfrage des Kunden stellt Fortra eine vollständige Liste der von ihr eingesetzten Unterauftragnehmer zur Verfügung.
  2. Der Auftraggeber ist verpflichtet, etwaige Einwände gegen Unterauftragnehmer innerhalb von 10 Tagen nach Erhalt der Liste mitzuteilen. Wird die Beanstandung nicht innerhalb von 30 Tagen nach Eingang der Beanstandung des Abonnenten zur beiderseitigen Zufriedenheit der Parteien beigelegt, kann jede Partei den Dienstleistungsvertrag kündigen (ganz oder teilweise, jedoch nur insoweit, als dies erforderlich ist, um den Zugang zu den von der Hinzufügung des vorgeschlagenen Unterauftragnehmers betroffenen Diensten zu beenden). Dies ist das einzige und ausschließliche Rechtsmittel des Abonnenten.
  3. Fortra verpflichtet sich vertraglich zur Einhaltung der geltenden Datenschutzgesetze.
  4. Fortra bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen jedes Unterauftragnehmers in Bezug auf die Dienstleistungen vollumfänglich haftbar. 

7. Unterhaltsverpflichtungen

  1. Unter Berücksichtigung der Art der Verarbeitung wird Fortra den Kunden, soweit dies möglich ist, mit technischen und organisatorischen Maßnahmen unterstützen, um die Verpflichtungen des Kunden zur Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen in Bezug auf die personenbezogenen Daten des Kunden zu erfüllen. Fortra darf auf solche Anfragen direkt an die betroffene Person nur dann antworten, wenn der Auftraggeber dies zuvor schriftlich genehmigt hat. Wenn eine betroffene Person direkt mit Fortra Kontakt aufnimmt, um ihre Rechte als betroffene Person auszuüben, leitet Fortra diese Anfrage unverzüglich an den Kunden weiter.
  2. Fortra wird den Kunden unverzüglich über eine tatsächliche Verletzung des Schutzes personenbezogener Daten des Kunden informieren. Die Benachrichtigung muss eine Beschreibung des/der folgenden Punkte enthalten:
    1. Art der Verletzung des Schutzes personenbezogener Daten einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze;
    2. Name und Kontaktdaten der Fortra-Ansprechperson, bei der weitere Informationen erhältlich sind;
    3. wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten; und
    4. Maßnahmen, die Fortra zur Behebung der Datenschutzverletzung ergriffen hat oder zu ergreifen vorschlägt, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen.
  • Sofern es nicht möglich ist, diese Informationen gleichzeitig bereitzustellen, kann Fortra die Informationen in Phasen ohne weitere unangemessene Verzögerung übermitteln.
  1. Soweit dies nach dem Datenschutzrecht erforderlich ist, wird Fortra unter Berücksichtigung der Art der Verarbeitung und der Fortra zur Verfügung stehenden Informationen den Kunden in angemessener Weise dabei unterstützen, die Einhaltung der Sicherheitsbestimmungen für die Verarbeitung, die Meldung von Datenschutzverletzungen, die Durchführung von Datenschutz-Folgenabschätzungen und die vorherige Konsultation der Aufsichtsbehörden auf Kosten des Kunden sicherzustellen.

8. Löschung und Rückgabe personenbezogener Daten des Kunden

  1. Diese Datenverarbeitungsvereinbarung bleibt so lange in Kraft, wie Fortra die personenbezogenen Daten des Kunden im Auftrag des Kunden verarbeitet. Auf schriftliche Anfrage löscht oder gibt Fortra die personenbezogenen Daten des Kunden spätestens 90 Tage nach Beendigung einer Dienstleistung, die die Verarbeitung dieser Daten beinhaltet, zurück. Ist Fortra gesetzlich zur Aufbewahrung der personenbezogenen Daten des Kunden verpflichtet, wird Fortra den Kunden über diese Verpflichtung informieren.

9. Prüfung

  1. Fortra stellt dem Kunden auf dessen Kosten alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in dieser Datenverarbeitungsvereinbarung festgelegten Verpflichtungen nachzuweisen, und ermöglicht und unterstützt, soweit dies nach dem Datenschutzrecht erforderlich ist, vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführte Audits. Der Auftraggeber darf sein Recht auf eine Prüfung nur einmal pro Kalenderjahr ausüben; diese Prüfung umfasst keinen Zugang zu Räumlichkeiten oder Systemen. Fortra und der Kunde werden den angemessenen Starttermin, den Umfang und die Dauer sowie die für ein Audit geltenden Sicherheits- und Vertraulichkeitsmaßnahmen schriftlich vereinbaren, und der Kunde wird alle notwendigen Schritte unternehmen, um die Beeinträchtigung des Geschäftsbetriebs von Fortra zu minimieren. Der Auftraggeber oder der zuständige Wirtschaftsprüfer hat kein Recht auf Zugriff auf andere personenbezogene Daten von Fortra-Kunden oder auf Systeme, die nicht an der Verarbeitung der personenbezogenen Daten des Auftraggebers beteiligt sind. Alle im Rahmen einer Prüfung erlangten Informationen gelten als vertrauliche Informationen von Fortra.  

10. Internationale Überweisungen

  1. Fortra stellt gegebenenfalls sicher, dass jede Übermittlung der personenbezogenen Daten des Kunden, die der DSGVO, der britischen DSGVO und/oder dem FADP unterliegen, außerhalb des EWR, Großbritanniens und/oder der Schweiz in ein Drittland ohne Angemessenheitsbeschluss den geltenden Datenschutzgesetzen entspricht.
  2. Falls der Kunde personenbezogene Daten des Kunden, die der DSGVO, der britischen DSGVO und/oder dem FADP unterliegen, außerhalb des EWR, des Vereinigten Königreichs und/oder der Schweiz, soweit anwendbar, an Fortra in einem Drittland ohne Angemessenheitsbeschluss übermittelt, vereinbaren die Parteien, die Module 2 und/oder 3 der Standardvertragsklauseln, soweit anwendbar, einzuhalten, die durch Bezugnahme in diese DPA aufgenommen werden, als wären sie vollständig aufgeführt, und in dieser Klausel 10 ausgefüllt sind. Die Parteien vereinbaren, dass im Sinne der Standardvertragsklauseln der Auftraggeber der Datenexporteur und Fortra der Datenimporteur ist.
  3. Die Parteien vereinbaren, dass die Unterzeichnung oder Annahme des Dienstleistungsvertrags die Unterzeichnung der Standardvertragsklauseln im gesetzlich vorgeschriebenen Umfang darstellt.
  4. Die Parteien vereinbaren, die EU-Standardvertragsklauseln (EU SCCs) in Bezug auf die der DSGVO unterliegenden personenbezogenen Daten des Kunden wie folgt zu vervollständigen: (i) Optionale Klauseln werden ausgeschlossen; (ii) die Angaben zu den Parteien entsprechen den Angaben im Dienstleistungsvertrag und dieser Auftragsverarbeitungsvereinbarung (AVV); (iii) die Beschreibung der Übermittlung entspricht den Angaben im entsprechenden Abschnitt von Anhang 1 dieser AVV; (iv) die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU SCCs bestimmt; (v) die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs entsprechen Klausel 5 dieser AVV; und (vi) der Datenimporteur verfügt über eine allgemeine schriftliche Ermächtigung zur Beauftragung von Unterauftragnehmern gemäß Klausel 6 dieser AVV.
  5. Die Parteien vereinbaren, den britischen Nachtrag in Bezug auf die dem britischen Datenschutzgesetz (DSGVO) unterliegenden personenbezogenen Daten des Kunden wie folgt auszufüllen: (i) Die dem britischen Nachtrag beigefügte Fassung der EU-Standardvertragsklauseln (SCCs) entspricht der in dieser Datenverarbeitungsvereinbarung (DPA) unter Ziffer 10.4 festgelegten Fassung; (ii) der Beginn der Geltungsdauer ist das Datum des Dienstleistungsvertrags; (iii) die Angaben zu den Parteien und im Anhang entsprechen Ziffer 10.4; (iv) die zuständige Aufsichtsbehörde ist der Information Commissioner; und (v) der Datenimporteur hat das Recht, den britischen Nachtrag zu kündigen.
  6. Die Parteien vereinbaren, die in Ziffer 10.4 dieser Datenverarbeitungsvereinbarung (DPA) enthaltenen EU-Standardvertragsklauseln (SCCs) in Bezug auf die dem Datenschutzgesetz unterliegenden personenbezogenen Daten des Kunden einzuhalten, und zwar in der folgenden geänderten Fassung: (i) Die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; (ii) der Begriff „Mitgliedstaat“ ist nicht so auszulegen, dass er betroffene Personen in der Schweiz von der Einleitung eines Gerichtsverfahrens in der Schweiz ausschließt; und (iii) Verweise auf die „DSGVO“ sind als Verweise auf das Datenschutzgesetz (DSGVO) zu verstehen.
  7. Die folgenden zusätzlichen Schutzmaßnahmen sollen die Anwendung der Standardvertragsklauseln durch die Parteien weiter unterstützen: (a) Fortra versichert, dass sie zum Zeitpunkt des Inkrafttretens dieser Datenverarbeitungsvereinbarung keine Anfragen gemäß Abschnitt 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) bezüglich personenbezogener Daten von Einwohnern des EWR, Großbritanniens, der Schweiz oder eines anderen solchen Landes erhalten hat; (b) Fortra wird den Kunden benachrichtigen, falls sie nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten; und (c) falls Fortra eine Anfrage nach personenbezogenen Daten des Kunden von einem Dritten, einschließlich einer Regierungs- oder Strafverfolgungsbehörde oder gemäß Abschnitt 702 FISA, erhält, wird Fortra wirtschaftlich angemessene Anstrengungen unternehmen, um verfügbare Einreden gegen die Offenlegung geltend zu machen und den Umfang einer rechtlich vorgeschriebenen Offenlegung auf das unbedingt Notwendige zur Erfüllung der Offenlegungspflicht zu beschränken.

11. Haftungsbeschränkung

Diese Datenschutzvereinbarung unterliegt den Bestimmungen und Bedingungen des Dienstleistungsvertrags, und die im Dienstleistungsvertrag festgelegten Haftungsbeschränkungen gelten auch für diese Datenschutzvereinbarung, insbesondere im Falle eines Verstoßes einer der Parteien gegen diese Datenschutzvereinbarung. Zur Klarstellung: Diese Haftungsbeschränkungen stellen eine Gesamthaftungsbeschränkung dar, und alle Ansprüche aus diesem Datenschutzvertrag werden mit allen Ansprüchen aus dem Dienstleistungsvertrag zusammengefasst. 

Anlage 1

Datenverarbeitungsanleitung

Art der VerarbeitungDie Art der Verarbeitung umfasst unter anderem das Erheben, Verwenden, Speichern und Übermitteln personenbezogener Daten des Kunden.
Zwecke der VerarbeitungZum Zwecke der Erbringung der Dienstleistungen gemäß dem Dienstleistungsvertrag.
Arten von personenbezogenen Daten einschließlich besonderer Kategorien personenbezogener Daten

Der Datenexporteur kann Kundendaten übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem folgende Kategorien von Kundendaten umfassen können: 

Wie im Dienstleistungsvertrag dargelegt.

Kategorien von betroffenen Personen

Der Datenexporteur kann Kundendaten an die Lösung(en) übermitteln, wobei der Umfang der Daten vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird. Dies kann unter anderem Kundendaten umfassen, die sich auf die folgenden Kategorien von betroffenen Personen beziehen: 

Wie im Dienstleistungsvertrag dargelegt.

Häufigkeit und Dauer der VerarbeitungKontinuierlich während der gesamten Laufzeit des Dienstleistungsvertrags.

Anlage 2

Anhang 2

Technische und organisatorische Maßnahmen

Je nach Art der erbrachten Dienstleistung können folgende Maßnahmen anwendbar sein:

  1. Organisationskontrolle
    • Interne Datenverarbeitungsrichtlinien und -verfahren, Leitlinien, Arbeitsanweisungen, Prozessbeschreibungen und Vorschriften für die Programmierung, das Testen und die Freigabe von Daten
    • Regelmäßige Schulung der Mitarbeiter in Datenschutzfragen
    • Ernennung eines Datenschutzbeauftragten
    • Vier-Augen-Prinzip
  2. Zugangskontrolle von Personen
    • Einrichtung von Zugriffsberechtigungen für Mitarbeiter und Dritte, einschließlich der jeweiligen Dokumentation
    • Personalausweise, Codekarten oder biometrische Ausweise
    • Sicherheitsschlösser oder elektronische Schlösser
    • Beschränkungen für Schlüssel / Schlüsselcodes
    • Sicherheitsalarmanlage
    • Bauliche Maßnahmen (Zäune, verschlossene Türen, verschlossene Fenster)
    • Spezielle Sicherheitsbereiche mit eigener Zugangskontrolle („geschlossene Läden“)
  3. Zugriffskontrolle auf Daten
    • Zugriffsberechtigungssystem mit spezifischen Berechtigungsstufen für Mitarbeiter und Dritte
    • Pseudonymisierung und Verschlüsselung von Daten
    • Funktionale und/oder zeitlich begrenzte Nutzung von Endgeräten und/oder Endgerätebenutzern sowie Identifikationsmerkmale
    • Richtlinien für die Erstellung sicherer Passwörter
    • Automatische Bildschirmsperre nach einer bestimmten Zeit
    • Protokollierung von Ereignissen (Überwachung von Einbruchsversuchen)
    • Protokollierung und Analyse der Nutzung der Dateien
    • Schutz interner Netzwerke vor unberechtigtem Zugriff (z. B. durch Firewalls)
  4. Getriebesteuerung
    • Authentifizierung des autorisierten Personals sowohl für die Freigabe als auch für den Empfang von Daten
    • Protokollierung von Releases und Protokollanalyse
    • Verschlüsselung der Daten bei der Übertragung oder beim Transport
    • Elektronische Signatur
    • Kontrolle der Vollständigkeit und Korrektheit
    • Umsetzung eines Fernwartungskonzepts
  5. Eingangssteuerung
    • Protokollierung und Protokollanalyse der Datenverarbeitung
    • Elektronische Signatur
  6. Verfügbarkeitskontrolle
    • Durchführung einer Risiko- und Schwachstellenanalyse
    • Funktionstrennung zwischen IT-Abteilung und anderen Abteilungen
    • Die gesamte verwendete Software stets auf dem neuesten Stand halten (z. B. durch Updates, Patches, Fehlerbehebungen usw.).
    • Vorhandensein eines Notfallplans (Alternativplan)
    • Regelmäßige Erstellung von Sicherungskopien und separate, sichere Speicherung
    • Einrichtung des Servers in einem separat gesicherten Serverraum oder Rechenzentrum
    • Brandschutzmaßnahmen
    • Notstromaggregat
    • Datenspiegelung
  7. Trennungskontrolle
    • Speicherung der Daten in getrennten Datensammlern (physische Trennung)
    • Autorisierungsrichtlinie (logische Trennung)
    • Multi-Client-Fähigkeit
    • Trennung von Testdaten und Produktivdaten