Common use of Vertraulichkeit und Integrität Clause in Contracts

Vertraulichkeit und Integrität. 1. Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: • Verschlüsselung 2. Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle): • Alarmanlage • Automatisches Zugangskontrollsystem • Chipkarten-/Transponder-Schließsystem • Videoüberwachung der Zugänge • Sicherheitsschlösser • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal 3. Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle): • Zuordnung von Benutzerrechten • Erstellen von Benutzerprofilen • Passwortvergabe • Passwort-Richtlinien • Authentifikation mit Benutzername / Passwort • Zuordnung von Benutzerprofilen zu IT-Systemen • Verschlüsselung der Datensicherungssysteme • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal • Einsatz von Anti-Viren-Software • Verschlüsselung von Datenträgern in Laptops / Notebooks • Einsatz einer Software-Firewall 4. Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.) • Anzahl der Administratoren ist das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • Sichere Aufbewahrung von Datenträgern • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) • Einsatz von Aktenvernichtern bzw. Dienstleistern • Verschlüsselung von Datenträgern 5. Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). • Protokollierung der Eingabe, Änderung und Löschung von Daten • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 6. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die von Unterauftragnehmern / Subunternehmern des Auftragnehmers verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und des Auftragnehmers verarbeitet werden können (Auftragskontrolle). • Auswahl des Subunternehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) • vorherige Prüfung der und Dokumentation der beim Subunternehmer getroffenen Sicherheitsmaßnahmen • schriftliche Weisungen an den Subunterehmer (z.B. durch Auftragsverarbeitungsvertrag) • Verpflichtung der Mitarbeiter des Subunternehmers auf das Datengeheimnis • Subunternehmer hat Datenschutzbeauftragten bestellt 7. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle): • Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des E-Mail- Verkehrs) • Verschlüsselung physischer Datenträger bei Transport

Vertraulichkeit und Integrität. 1. Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: • Verschlüsselung 2. Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle): • Alarmanlage • Automatisches Zugangskontrollsystem • Chipkarten-/Transponder-Schließsystem • Videoüberwachung der Zugänge Xxxxxxxxx Xxxxxxxxxxxxx • Sicherheitsschlösser • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von WachpersonalZutrittskonzept / Besucherregelung 32. Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle): • Zuordnung von Benutzerrechten • Erstellen von Benutzerprofilen • Passwortvergabe • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.) • Authentifikation mit Benutzername / Passwort • Zuordnung von Benutzerprofilen zu IT-Systemen • Verschlüsselung der Datensicherungssysteme • Schlüsselregelung (Schlüsselausgabe etc.) Personenkontrolle beim Pförtner / Empfang • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal • Einsatz von Anti-Viren-Software • Verschlüsselung von Datenträgern in Laptops / Notebooks Einsatz einer Hardware-Firewall • Einsatz einer Software-Firewall 43. Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.) • Anzahl der Administratoren ist das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge • Protokollierung von Zugriffen auf AnwendungenPasswortlänge, insbesondere bei der Eingabe, Änderung und Löschung von Daten • Sichere Aufbewahrung von Datenträgern • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) • Einsatz von Aktenvernichtern bzw. Dienstleistern • Verschlüsselung von Datenträgern 5. Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). • Protokollierung der Eingabe, Änderung und Löschung von Daten • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 6. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die von Unterauftragnehmern / Subunternehmern des Auftragnehmers verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und des Auftragnehmers verarbeitet werden können (Auftragskontrolle). • Auswahl des Subunternehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) • vorherige Prüfung der und Dokumentation der beim Subunternehmer getroffenen Sicherheitsmaßnahmen • schriftliche Weisungen an den Subunterehmer (z.B. durch Auftragsverarbeitungsvertrag) • Verpflichtung der Mitarbeiter des Subunternehmers auf das Datengeheimnis • Subunternehmer hat Datenschutzbeauftragten bestellt 7. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle): • Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des E-Mail- Verkehrs) • Verschlüsselung physischer Datenträger bei TransportPasswortwechsel

Vertraulichkeit und Integrität. 1. Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: (1) Verschlüsselung: • VerschlüsselungGrundsätzlich findet eine Übertragung der personenbezogenen Daten über das Internet nur in verschlüsselter Form statt. Dazu werden gesonderte SFTP-Server bei Direktzugriff und Secure-Socket-Layer, also eine SSL-Verschlüsselung bei Webzugriffen verwendet. (2) Pseudonymisierung: Bei bestimmten Verarbeitungsszenarien werden personenbezogene Daten wie bspw. IP- Adressen verkürzt und damit nicht mehr nachvollziehbar verarbeitet und gespeichert. Die Pseudonymisierung erfolgt mit marktüblichen Skript-Techniken. (3) Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle): • Alarmanlage • Automatisches Zugangskontrollsystem • Chipkarten-/Transponder-Schließsystem • Videoüberwachung der Zugänge Xxxxxxxxx Xxxxxxxxxxxxx • Sicherheitsschlösser • Schlüsselregelung (Schlüsselausgabe etc.Schlüsselausgabe) (4) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal 3. Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle): • Zuordnung von Benutzerrechten • Erstellen von Benutzerprofilen • Passwortvergabe • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität o.ä.) • Authentifikation mit Benutzername / Passwort • Zuordnung von Benutzerprofilen zu IT-Systemen • Verschlüsselung mobiler Datenträger • Verschlüsselung der Datensicherungssysteme • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal • Einsatz von Anti-Viren-Software • Verschlüsselung von Datenträgern in Laptops / Notebooks • Einsatz einer Software-Firewall 4. (5) Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.MA o.ä.) • Anzahl der Administratoren ist auf das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge Passwortlänge, Passwortwechsel • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • Sichere Aufbewahrung von Datenträgern • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) • Einsatz von Aktenvernichtern bzw. Dienstleistern • Verschlüsselung von DatenträgernDatenträgern • Tägliche Datensicherung aller Kundendaten, verschlüsselt auf Backup-Server untergebracht • Regelmäßige Sicherheitsupdates und Security-Überprüfung der Datenbestände 5. (6) Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). ): • Protokollierung der Eingabe, Änderung und Löschung von Daten • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 6. (7) Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die von Unterauftragnehmern / Subunternehmern des Auftragnehmers im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und des Auftragnehmers verarbeitet werden können (Auftragskontrolle). ): • Auswahl des Subunternehmers Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) • vorherige Prüfung der und Dokumentation der beim Subunternehmer getroffenen Sicherheitsmaßnahmen • schriftliche Weisungen an den Subunterehmer Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag) • Verpflichtung der Mitarbeiter des Subunternehmers Auftragsverarbeiters auf das Datengeheimnis • Subunternehmer hat Datenschutzbeauftragten bestelltDatengeheimnis 7. (8) Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle): • Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des EE- Mail-Mail- Verkehrs) • Verschlüsselung physischer Datenträger bei Transport

Vertraulichkeit und Integrität. 1. Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: (1) Verschlüsselung: • VerschlüsselungGrundsätzlich findet eine Übertragung der personenbezogenen Daten über das Internet nur in verschlüsselter Form statt. Dazu werden gesonderte SFTP-Server bei Direktzugriff und Secure-Socket-Layer, also eine SSL-Verschlüsselung bei Webzugriffen verwendet. (2) Pseudonymisierung: Bei bestimmten Verarbeitungsszenarien werden personenbezogene Daten wie bspw. IP- Adressen verkürzt und damit nicht mehr nachvollziehbar verarbeitet und gespeichert. Die Pseudonymisierung erfolgt mit marktüblichen Skript-Techniken. (3) Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle): • Alarmanlage • Automatisches Zugangskontrollsystem • Chipkarten-/Transponder-Schließsystem • Videoüberwachung der Zugänge Xxxxxxxxx Xxxxxxxxxxxxx • Sicherheitsschlösser • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von WachpersonalProtokollierung der Besucher 3. (4) Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle): • Zuordnung von Benutzerrechten • Erstellen von Benutzerprofilen • Passwortvergabe • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.) • Authentifikation mit Benutzername / Passwort • Zuordnung von Benutzerprofilen zu IT-Systemen • Verschlüsselung mobiler IT-Systeme • Verschlüsselung mobiler Datenträger • Verschlüsselung der Datensicherungssysteme • Schlüsselregelung (Schlüsselausgabe etc.) • Sorgfältige Auswahl von Reinigungspersonal • Sorgfältige Auswahl von Wachpersonal • Einsatz von Anti-Viren-Software • Verschlüsselung von Datenträgern in Laptops / Notebooks • Einsatz einer Software-Firewall 4. (5) Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.MA o.ä.) • Anzahl der Administratoren ist auf das „Notwendigste“ reduziert • Passwortrichtlinie inkl. Passwortlänge Passwortlänge, Passwortwechsel • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • Sichere sichere Aufbewahrung von Datenträgern • physische Löschung von Datenträgern vor Wiederverwendung • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) • Einsatz von Aktenvernichtern bzw. Dienstleistern • Protokollierung der Vernichtung • Verschlüsselung von DatenträgernDatenträgern • Tägliche Datensicherung aller Kundendaten, verschlüsselt auf Backup-Server untergebracht • Regelmäßige Sicherheitsupdates und Security-Überprüfung der Datenbestände 5. (6) Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). ): • Protokollierung der Eingabe, Änderung und Löschung von Daten • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 6. (7) Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die von Unterauftragnehmern / Subunternehmern des Auftragnehmers im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und des Auftragnehmers verarbeitet werden können (Auftragskontrolle). ): • Auswahl des Subunternehmers Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) • vorherige Prüfung der und Dokumentation der beim Subunternehmer getroffenen Sicherheitsmaßnahmen • schriftliche Weisungen an den Subunterehmer (z.B. durch Auftragsverarbeitungsvertrag) • Verpflichtung der Mitarbeiter des Subunternehmers auf das Datengeheimnis • Subunternehmer hat Datenschutzbeauftragten bestelltSicherstellung der Vernichtung von Daten nach Beendigung des Auftrags • laufende Überprüfung des Subunternehmers und seiner Tätigkeiten • Vertragsstrafen bei Verstößen 7. (8) Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle): • Einsatz von VPN-Tunneln • Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des EE- Mail-Mail- Verkehrs) • Verschlüsselung physischer Datenträger bei Transport