Public Cloud. Personenbezogene Daten werden, soweit möglich und vom Auftraggeber angewiesen, für Verarbeitungen pseudonymi- siert. Es besteht eine Festlegung der Rollen, welche zur Ver- waltung der Pseudonymisierungsverfahren, zur Durchführung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind.
Public Cloud. Im Sinne der Auftragsverarbeitung entscheidet allein der Auf- traggeber, wann welche Verschlüsselung eingesetzt werden kann. Die Schlüssel sind vor dem nicht autorisierten Zugriff zu schützen. Ein Zugriff oder die Nutzung von Inhalten erfolgt nicht, es sei denn, es ist notwendig, um die Serviceangebote zu warten o- der anzubieten, oder erforderlich, um die Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen.
Public Cloud. Die Gebäude werden bei einigen Cloudanbietern von Wach- schutzpersonal betreut und überwacht und bei sensiblen Be- reichen zusätzlich mit Video überwacht. Es existiert ein Zutrittsberechtigungskonzept, dem sowohl ein Schließsystem, zum Teil mit einer ordnungsgemäßen Schlüs- selverwaltung, als auch ein elektronisches Zutrittskontrollsys- tem zu Grunde liegt. Der Zugang zu einzelnen Produktionsbereichen und dem Ge- schäftsbereich wird über ein elektronisches Zutrittskontrollsys- tem unter Einsatz z.B. von Magnetkarten beschränkt. Besuchern ist der Zugang zu sensiblen Bereichen nur nach vorheriger Anmeldung gestattet. Im Zuge der Akkreditierung erhält der Besucher eine Kennzeichnung, z.B. einen Besuche- rausweis, welche ihn als Xxxx ausweist und die er während des Aufenthaltes am Standort bei sich tragen muss. An einigen Standorten ist über eine Richtlinie der Umgang mit Gästen de- finiert. Der Zugang zu den einzelnen Produktionsbereichen ist nur in Begleitung von autorisiertem Personal gestattet.
Public Cloud. Es bestehen Regelungen für den Zugriff auf EDV Systeme. Diese Regelungen (z.B. die Kennwortkonvention) fordert u.a. eine Mindestlänge und Anforderungen für Passwörter (z.B. Groß- und Kleinschreibung, Zahlen und Sonderzeichen, maxi- male Gültigkeitsdauer, Trivialkennwortprüfung). Die An- und Abmeldungen der Benutzer an den DV-Anlagen werden protokolliert. Beim Verlassen des Arbeitsplatzes ist dieser zu sperren oder herunterzufahren. Wird dies vergessen, sperrt sich der Arbeits- platz automatisch. Zudem existiert ein Zugangsberechtigungskonzept. Generell sind alle Berechtigungen entzogen und müssen freigeschaltet werden. Das Zugangsberechtigungskonzept basiert auf dem Prinzip von Benutzerrollen und -profilen. Die Vergabe der per- sonalisierten Berechtigungen erfolgt durch die zuständige Ab- teilung. Auf Anfrage können Auszüge und Zusammenfassungen aus entsprechenden Regelungen zur Verfügung gestellt werden.
Public Cloud. Es besteht ein Berechtigungskonzept für den Zugriff auf die DV-Systeme. Ziel ist es, eine sichere, übersichtliche und einheitliche Frei- gabe– und Berechtigungsstrategie auf allen DV-Systemen be- reitzustellen. Zugriffe erfolgen nach dem „Least-Privilege“- Konzept. Es sind nur autorisierte Speichermedien zu verwenden. Mitar- beiter des Cloudanbieters unterliegen weitergehenden Restrik- tionen und Zustimmungserfordernissen, um personenbezo- gene Daten des Auftraggebers auf mobilen Datenträgern zu speichern oder außerhalb der Betriebsstätten des Cloudanbie- ters zu verarbeiten bzw. von dort auf dies zuzugreifen. Der Zugriff auf die einzelnen Systeme wird über spezielle Netz- werkberechtigungen und ein mandantenbasiertes Rollenkon- zept gesteuert (z.B. Administrator, IT etc.). Zugriffsrechte wer- den entsprechend dokumentiert. Zugriffsberechtigungen wer- den entzogen bzw. gelöscht. Der Cloudanbieter informiert sein Personal über alle relevan- ten Prozesse und Rollenkonzepte und beschreibt Folgen der Verletzung entsprechender Vorgaben. Auf Anfrage können Auszüge und Zusammenfassungen aus entsprechenden Konzepten zur Verfügung gestellt werden.
Public Cloud. Datenübertragungen erfolgen innerhalb des gesicherten Netz- werkes (z.B. mit entsprechender Verschlüsselung). Die elekt- ronische Übertragung von Daten auf öffentlichen Wegen bzw. über öffentliche Netze findet ausschließlich auf verschlüsselten Wegen statt. Dabei finden in Abstimmung mit den Empfängern unterschiedliche Verfahren Anwendung. Der Einsatz portabler Devices (z.B. deren Verbindung mit ei- nem System) unterliegt besonderen Regelungen. Nicht mehr benötigte Geräte werden unter Beachtung des Schutzes per- sonenbezogener Daten sachgerecht entsorgt (z.B. physische Vernichtung). Es kommen zudem verschiedene Schutzmecha- nismen zum Schutz der Datenbestände zum Einsatz (z.B. Fire- walls, Regelungen zu konkreten Verfahren bei Zwischenfäl- len). Auf Anfrage können Auszüge und Zusammenfassungen aus entsprechenden Konzepten zu entsprechenden Verfahren zur Verfügung gestellt werden.
Public Cloud. In Anlehnung an das Berechtigungskonzept werden auf den Systemen Maßnahmen wie z.B. Verzeichnisse eingerichtet, die eine stringente Trennung von Daten und Dateien gegen- über weiteren Mandanten gewährleistet. Der Zugriff von Kun- den auf Instanzen, die nicht den Zugriffsberechtigungen ent- sprechen, wird wirkungsvoll unterbunden. Test-, Produktiv- sowie Integrationssysteme werden voneinan- der getrennt betrieben.
Public Cloud. Sofern die Eingabe, Veränderung sowie Löschung der Daten auf IT Systemen erfolgen, werden mittels entsprechender Pro- tokollierungs- und Protokollauswertungssysteme die Verände- rungen an diesen Daten protokolliert (z.B. Zugriffs-ID, Zugriffs- zeit, Autorisierung und entsprechende Aktivität). Auf Anfrage können Auszüge und Zusammenfassungen aus entsprechenden Konzepten zu entsprechenden Verfahren zur Verfügung gestellt werden. Weiterführende Ausführungen zur Absicherung von Berechti- gungen sind im Kapitel Zugangs- und Zugriffskontrolle ausführ- lich dokumentiert. Protokollauswertungen sind im Rahmen der Weisung zu beantragen und werden in diesem Umfang durch- geführt. Eine Konkretisierung ist im jeweiligen Leistungsschein aufzunehmen.
Public Cloud. Es besteht ein Backup-Konzept. In diesen Dokumenten wer- den die Maßnahmen zur Sicherung von personenbezogenen und unternehmenskritischen Daten beschrieben. Hierzu gehört eine regelmäßige vollständige Sicherung. Zu- dem werden in regelmäßigen Abständen und ggf. nach dem Aufsetzen neuer Datenverarbeitungsanlagen und nach tief- greifenden Änderungen am Aufsatz einer Anlage, elektroni- sche Abbilder von der jeweiligen Anlage erstellt. Die Datensicherungen werden je nach Prozess oder Relevanz in weiteren Gebäuden oder extern ausgelagert. Eine unterbre- chungsfreie Stromversorgung wird eingerichtet. Im Übrigen bestehen entsprechende Notfall- und Business- Continuity-Pläne für Facilities des Cloudanbieters. Auf Anfrage können Auszüge und Zusammenfassungen aus entsprechenden Konzepten zu entsprechenden Verfahren zur Verfügung gestellt werden.
Public Cloud. Der Dienstleister hat einen betrieblichen Datenschutzbeauf- tragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die rele- vanten betrieblichen Prozesse. Mitarbeiter werden über ihre Rollen und Verantwortlichkeiten z.B. im Wege vorbereitender Schulungen instruiert. Der Auf- traggeber hat einen oder mehrere Verantwortliche für die Kon- trolle und das Monitoring der Datensicherheitsvorgaben be- nannt. Es werden Dokumente zu Datenschutz- und Datensicherheit, Verantwortlichkeiten und relevanten Verfahren geführt und überprüft. Die Konzernrevision (IT und kaufmännische Revision) führt in- nerhalb der verbundenen Unternehmen (gemäß Definition der §§15ff AktG) in regelmäßigen Abständen umfassende Kontrol- len durch. Das Compliance Management führt innerhalb der verbundenen Unternehmen (gemäß Definition der §§15ff AktG) in regelmäßigen Abständen umfassende Kontrollen durch. Mit externen Dienstleistern werden entsprechende Verträge abgeschlossen. Die Vertragsdurchführung wird durch entspre- chende Kontrollen nachverfolgt und kontrolliert.