Common use of Kontakt Clause in Contracts

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN | 219152h Gerichtsstand | Graz IBAN | XX00 0000 0000 0000 0000 BIC | XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen Secure Technologies GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN HRB | 219152h Gerichtsstand 00000 Xxxxxxxxxxxxx | Graz Xxxxxxxxxx IBAN | XX00 0000 0000 0000 0000 00 BIC | XXXXXXXX XXXXXXXXXXX UID | ATU53880402 DE295158299 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Secure Technologies GmbH Rexxxxxxxxxxxxxxx Deutschland Xx Xxxxxxxx 0 0000 Xxxx Xxxxxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN CH-ID | 219152h Gerichtsstand CH-300-3020266-6 MWSt.-Nr. | Graz CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | XXXXXXXX UID | ATU53880402 UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Secure Technologies GmbH Rexxxxxxxxxxxxxxx AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx Xxxxxx Xxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN | 219152h Gerichtsstand | Graz IBAN | XX00 0000 0000 0000 0000 BIC | XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle 34/38 Anlage 2 zu Anhang C – Technische und Organisatorische Maßnahmen‌ Für die Nutzung der MOXIS Cloud Services werden von XiTrust und seinen Sub-Auftragsverarbeitern die folgenden Technischen und Organisatorischen Maßnahmen getroffen: Zutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass Personen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch folgende Maßnahmen die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich entsprechender Policy) • Benutzer-Authentifizierung • Automatische Sperrmechanismen • Trennung von Firmen- und Gäste-WLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sinderöffnet wird, die der Mitarbeiter zur Erledigung der ihm übertragenen Aufgaben benötigt. • BackupStandard-Strategie (online/offline; onBerechtigungsprofile auf „need-site/offto-site) know“- Basis • Unterbrechungsfreie Stromversorgung (USVStandardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der vergebenen Berechtigungen, Dieselaggregat) insb. von administrativen Benutzerkonten • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN HRB | 219152h Gerichtsstand 00000 Xxxxxxxxxxxxx | Graz Xxxxxxxxxx IBAN | XX00 0000 0000 0000 0000 00 BIC | XXXXXXXX XXXXXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle DE295158299 34/38 Anlage 2 zu Anhang C – Technische und Organisatorische Maßnahmen‌ Zutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass Personen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch folgende Maßnahmen die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich entsprechender Policy) • Benutzer-Authentifizierung • Automatische Sperrmechanismen • Trennung von Firmen- und Gäste-WLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sinderöffnet wird, die der Mitarbeiter zur Erledigung der ihm übertragenen Aufgaben benötigt. • BackupStandard-Strategie (online/offline; onBerechtigungsprofile auf „need-site/offto-site) know“- Basis • Unterbrechungsfreie Stromversorgung (USVStandardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der vergebenen Berechtigungen, Dieselaggregat) insb. von administrativen Benutzerkonten • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies GmbH Rexxxxxxxxxxxxxxx Deutschland Xx Xxxxxxxx 0 0000 Xxxx Xxxxxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN CH-ID | 219152h Gerichtsstand CH-300-3020266-6 MWSt.-Nr. | Graz CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird sichergestelltgewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sindgetrennt verarbeitet werden können. • BackupMandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Strategie (online/offline; on-site/off-site) Shielding • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks Kein gezieltes Auslesen Personenbezogener Daten auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit Dokumenten Integrität (Art 32 Abs 1 lit c b DSGVO) Verfahren Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur regelmäßigen ÜberprüfungDatenübertragung vorgesehen ist. • Kein unbefugtes Lesen, Bewertung Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und Evaluierung zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs 1 lit d b DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen Secure Technologies GmbH Rexxxxxxxxxxxxxxx AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx Xxxxxx Xxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN HRB | 219152h Gerichtsstand 00000 Xxxxxxxxxxxxx | Graz Xxxxxxxxxx IBAN | XX00 0000 0000 0000 0000 00 BIC | XXXXXXXX XXXXXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen DE295158299 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird sichergestelltgewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sindgetrennt verarbeitet werden können. • Backup-Strategie (online/offline; on-site/off-site) Mandantentrennung • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) Trennung von Produktiv- und Testsystem • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenDaten erfolgt so, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung die Daten ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleistenunterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Überprüfungsmöglichkeit der Richtigkeit Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten werden in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen in Zusammenwirken mit dem Verantwortlichen Secure Technologies GmbH Rexxxxxxxxxxxxxxx Deutschland Xx Xxxxxxxx 0 0000 Xxxx Xxxxxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN | 219152h Gerichtsstand | Graz IBAN | XX00 0000 0000 0000 0000 BIC | XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird sichergestelltgewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sindgetrennt verarbeitet werden können. • Backup-Strategie (online/offline; on-site/off-site) Mandantentrennung • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) Trennung von Produktiv- und Testsystem • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenDaten erfolgt so, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung die Daten ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleistenunterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Überprüfungsmöglichkeit der Richtigkeit Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten werden in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen in Zusammenwirken mit dem Verantwortlichen Secure Technologies GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx FN CH-ID | 219152h Gerichtsstand CH-300-3020266-6 MWSt.-Nr. | Graz CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt UBSWCHZH80 A 34/38 Anlage 2 zu Anhang C – Technische und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit Organisatorische Maßnahmen‌ Vertraulichkeit (Art 32 Abs 1 lit c b DSGVO) Verfahren zur regelmäßigen ÜberprüfungZutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenmit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden istPersonen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Datenschutzmanagement Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich regelmäßiger Mitarbeiterentsprechender Policy) • Benutzer-Schulung Authentifizierung • IncidentAutomatische Sperrmechanismen • Trennung von Firmen- und Gäste-ResponseWLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten eröffnet wird, die der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung zur Erledigung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden istihm übertragenen Aufgaben benötigt. • Überprüfungsmöglichkeit Standard-Berechtigungsprofile auf „need-to-know“- Basis • Standardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der Richtigkeit vergebenen Berechtigungen, insb. von Personenbezogenen Daten administrativen Benutzerkonten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies GmbH Rexxxxxxxxxxxxxxx AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxx Xxxxxxxxxx Xxxxxx Xxxxxxx EUROPE