Common use of Kontakt Clause in Contracts

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID | CH-300-3020266-6 MWSt.-Nr. | CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen XXXXXXXXXXX UID | DE295158299 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird sichergestelltgewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sindgetrennt verarbeitet werden können. • Backup-Strategie (online/offline; on-site/off-site) Mandantentrennung • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) Trennung von Produktiv- und Testsystem • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenDaten erfolgt so, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung die Daten ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleistenunterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Überprüfungsmöglichkeit der Richtigkeit Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten werden in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten in Zusammenwirken mit dem Verantwortlichen Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A XXXXXXXXXXX UID | DE295158299 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID FN | CH-300-3020266-6 MWSt.-Nr. 219152h Gerichtsstand | CHE-159.106.021 MWSt. Graz IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen XXXXXXXX UID | ATU53880402 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird sichergestelltgewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sindgetrennt verarbeitet werden können. • Backup-Strategie (online/offline; on-site/off-site) Mandantentrennung • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) Trennung von Produktiv- und Testsystem • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenDaten erfolgt so, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung die Daten ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleistenunterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Überprüfungsmöglichkeit der Richtigkeit Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten werden in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten in Zusammenwirken mit dem Verantwortlichen Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle XXXXXXXXXXX UID | DE295158299 34/38 Anlage 2 zu Anhang C – Technische und Organisatorische Maßnahmen‌ Zutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass Personen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch folgende Maßnahmen die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich entsprechender Policy) • Benutzer-Authentifizierung • Automatische Sperrmechanismen • Trennung von Firmen- und Gäste-WLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sinderöffnet wird, die der Mitarbeiter zur Erledigung der ihm übertragenen Aufgaben benötigt. • BackupStandard-Strategie (online/offline; onBerechtigungsprofile auf „need-site/offto-site) know“- Basis • Unterbrechungsfreie Stromversorgung (USVStandardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der vergebenen Berechtigungen, Dieselaggregat) insb. von administrativen Benutzerkonten • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID FN | CH-300-3020266-6 MWSt.-Nr. 219152h Gerichtsstand | CHE-159.106.021 MWSt. Graz IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A XXXXXXXX UID | ATU53880402 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID FN | CH-300-3020266-6 MWSt.-Nr. 219152h Gerichtsstand | CHE-159.106.021 MWSt. Graz IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle XXXXXXXX UID | ATU53880402 34/38 Anlage 2 zu Anhang C – Technische und Organisatorische Maßnahmen‌ Für die Nutzung der MOXIS Cloud Services werden von XiTrust und seinen Sub-Auftragsverarbeitern die folgenden Technischen und Organisatorischen Maßnahmen getroffen: Zutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass Personen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch folgende Maßnahmen die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich entsprechender Policy) • Benutzer-Authentifizierung • Automatische Sperrmechanismen • Trennung von Firmen- und Gäste-WLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sinderöffnet wird, die der Mitarbeiter zur Erledigung der ihm übertragenen Aufgaben benötigt. • BackupStandard-Strategie (online/offline; onBerechtigungsprofile auf „need-site/offto-site) know“- Basis • Unterbrechungsfreie Stromversorgung (USVStandardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der vergebenen Berechtigungen, Dieselaggregat) insb. von administrativen Benutzerkonten • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit (Art 32 Abs 1 lit c DSGVO) Verfahren Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Datenschutzmanagement einschließlich regelmäßiger Mitarbeiter-Schulung • Incident-Response-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist. • Überprüfungsmöglichkeit der Richtigkeit von Personenbezogenen Daten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Rexxxxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx Xxxx Xxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID | CH-300-3020266-6 MWSt.-Nr. | CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 36/38 Verfügbarkeitskontrolle Durch folgende Maßnahmen wird sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt 34/38 Anlage 2 zu Anhang C – Technische und für den Auftraggeber stets verfügbar sind. • Backup-Strategie (online/offline; on-site/off-site) • Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) • Virenschutz • Firewall • Meldewege und Notfallpläne • Security Checks auf Infrastruktur- und Applikationsebene • Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum • Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern • Rasche Wiederherstellbarkeit Organisatorische Maßnahmen‌ Vertraulichkeit (Art 32 Abs 1 lit c b DSGVO) Verfahren zur regelmäßigen ÜberprüfungZutrittskontrolle Im Rahmen der Zutrittskontrolle wird Unbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, Bewertung und Evaluierung (Art 32 Abs 1 lit d DSGVO) Datenschutzmanagement Folgende Maßnahmen gewährleistenmit denen Personenbezogene Daten verarbeitet werden, verwehrt. Es wird verhindert, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden istPersonen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Datenschutzmanagement Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich regelmäßiger Mitarbeiterentsprechender Policy) • Benutzer-Schulung Authentifizierung • IncidentAutomatische Sperrmechanismen • Trennung von Firmen- und Gäste-ResponseWLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Prozesse • Auftragskontrolle: keine Auftragsdatenverarbeitung ohne entsprechende Weisung durch: • eindeutige Vertragsgestaltung • formalisiertes Auftragsmanagement • strenge Auswahl des Dienstleisters • Vorabüberzeugungspflicht • Nachkontrollen • Verpflichtung Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass der Zugriff nur zu solchen Daten eröffnet wird, die der Mitarbeiter auf Vertraulichkeit • Bestellung eines Datenschutzbeauftragten • Regelmäßige Auditierung zur Erledigung der Technischen und Organisatorischen Maßnahmen zum Datenschutz Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art 25 Abs 1 und 2 DSGVO) Datenschutz durch Technikgestaltung Folgende Maßnahmen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden istihm übertragenen Aufgaben benötigt. • Überprüfungsmöglichkeit Standard-Berechtigungsprofile auf „need-to-know“- Basis • Standardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der Richtigkeit vergebenen Berechtigungen, insb. von Personenbezogenen Daten administrativen Benutzerkonten • Personenbezogene Daten werden nur solange gespeichert, wie es für den verfolgten Zweck erforderlich ist (automatisches Löschkonzept) • Gewährleistung von Integrität und Vertraulichkeit Personenbezogener Daten durch technische Maßnahmen und Konzepte z.B. durch Berechtigungskonzept, Verschlüsselung, Nachvollziehbarkeit von Änderungen, Manipulationsschutz, Zonensegmentierung • Prozesse für Betroffenenanfragen • Möglichkeit der Berichtigung, Löschung und Einschränkung der Verarbeitung Personenbezogener Daten Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPE