§ 1 Gegenstand und Dauer des Auftrags

1. Der Gegenstand des Auftrags ergibt sich aus dem Vertrag zwischen Predium und dem Auftraggeber betreffend die Predium SaaS-Lösung (im Folgenden: „Hauptvertrag").
2. Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags.

§ 2 Konkretisierung des Auftragsinhalts

1. Die Daten des Auftraggebers werden von Predium zum Zweck der Durchführung des Hauptvertrags verarbeitet.
2. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet nur dann außerhalb der Europäischen Union und des Abkommens über den Europäischen Wirtschaftsraum statt, wenn die hierfür erforderlichen datenschutzrechtlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
3. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):
   3.1. Vor- und Nachname/Titel
   3.2. Abteilung/Rolle
   3.3. Geschäftliche Anschrift
   3.4. Nationalität/Sprache
   3.5. Telefon/Handy/Fax (geschäftlich)
   3.6. E-Mail-Adresse (geschäftlich)
   3.7. Korrespondenz/Schriftverkehr
   3.8. Termindaten
   3.9. Login / Passwörter
   3.10. Protokolldaten (Log-in/Log-off)
   3.11. Systemdaten (Konfigurationsinformationen, Alarmmeldungen, Nutzungsverhalten)
4. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
   4.1. Kunden
   4.2. Mitarbeiter
   4.3. Ansprechpartner
   4.4. Dienstleister
   4.5. Partner

§ 3 Technisch-organisatorische Maßnahmen

1. Predium hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit
   Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen.
2. Predium hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung in Anhang 1 dokumentiert. Der Auftraggeber ist mit den in Anhang 1 aufgeführten Maßnahmen einverstanden und hat diese als angemessen akzeptiert. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es Predium gestattet, alternative, adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 4 Berichtigung, Einschränkung und Löschung von Daten

1. Predium darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an Predium wendet, wird Predium dieses Ersuchen an den Auftraggeber weiterleiten.

§ 5 Qualitätssicherung und sonstige Pflichten von Predium

1. Predium hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet Predium insbesondere die Einhaltung folgender Vorgaben:
2. Predium setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Predium und jede Predium unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
3. Der Auftraggeber und Predium arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
4. Es erfolgt eine unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung bei Predium ermittelt.
5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei Predium ausgesetzt ist, wird ihn Predium nach besten Kräften unterstützen.
6. Predium kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung im Verantwortungsbereich von Predium im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
7. Predium unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
   7.1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und
   organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die
   prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch
   Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten
   Verletzungsereignissen ermöglichen;
   7.2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den
   Auftraggeber zu melden;
   7.3. die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber
   dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante
   Informationen unverzüglich zur Verfügung zu stellen;
   7.4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;
   7.5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der
   Aufsichtsbehörde.
8. Für Unterstützungsleistungen, die nicht im Hauptvertrag vereinbart sind oder nicht auf ein Fehlverhalten von Predium zurückzuführen sind, kann Predium eine angemessene Vergütung beanspruchen.

§ 6 Unterauftragsverhältnisse

1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die Predium z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung, Benutzerservice und oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Predium ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
2. Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). Eine aktuelle Liste der Unterauftragnehmer ist auf https://www.predium.de/unterauftragnehmer zu finden.
3. Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel des bestehenden
   Unterauftragnehmers sind zulässig, soweit:
   3.1. Predium eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine
   angemessene Zeit vorab schriftlich oder in Textform anzeigt und
   3.2. der Auftraggeber nicht schriftlich Einspruch erhebt und
   3.3. eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde
   gelegt wird.
4. Der Einspruch gemäß Abschnitt 6.3.2 muss innerhalb einer Frist von einem Monat nach erteilter Information erfolgen. Im Falle eines Einspruchs hat der Auftraggeber die Folgen (z.B. subjektive Unmöglichkeit der Leistungserbringung) und die ggf. resultierenden Mehrkosten zu tragen, die sich daraus ergeben, dass der Unterauftragnehmer nicht hinzugezogen werden kann. Wenn Predium die im Hauptvertrag geschuldete Leistung aufgrund des Einspruchs nicht oder nur noch mit wirtschaftlich unzumutbarem Aufwand erbringen kann, steht Predium ein außerordentliches Kündigungsrecht zu.
5. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
6. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt Predium die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abschnitt 6.1 eingesetzt werden sollen.
7. Eine weitere Auslagerung durch den Unterauftragnehmer ist nur im Rahmen der gesetzlichen Bestimmungen zulässig.

§ 7 Kontrollrechte des Auftraggebers

1. Der Auftraggeber hat das Recht, im Benehmen mit Predium Überprüfungen durchzuführen oder von im Einzelfall zu benennenden Prüfern durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die mindestens vier Wochen zuvor anzumelden sind, von der Einhaltung dieses Vertrags durch Predium im Geschäftsbetrieb von Predium zu überzeugen.
2. Predium stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten von Predium nach Art. 28 DSGVO überzeugen kann. Predium verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen nachzuweisen.
3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen
   durch
   3.1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
   3.2. die Zertifizierung nach genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
   3.3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B.
   Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung,
   Datenschutzauditoren, Qualitätsauditoren);
   3.4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach
   BSI-Grundschutz).
4. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann Predium nach vorheriger Absprache mit dem Auftraggeber eine angemessene Vergütung geltend machen.

§ 8 Weisungsbefugnis des Auftraggebers

1. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich (mind. Textform). Aus Weisungen, welche nicht rechtzeitig schriftlich bestätigt worden sind, kann der Auftraggeber keinen Anspruch ableiten.
2. Predium hat den Auftraggeber zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen Datenschutzvorschriften. Predium ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 9 Löschung und Rückgabe von personenbezogenen Daten

1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat Predium sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch Predium entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Predium kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 10 Haftung

1. Werden im Zusammenhang mit den unter diesen Vertrag fallenden Verarbeitungsvorgängen gegenüber einer Partei Schadenersatzansprüche i.S.v. Art. 82 DSGVO, Geldbußen i.S.v. Art. 83 DSGVO und/oder andere Sanktionen i.S.v. Art. 84 DSGVO angedroht oder geltend gemacht, so informiert diese Partei die andere Partei hierüber unverzüglich in Textform. Auftraggeber und Predium sind verpflichtet, sich bei der Abwehr solcher Ansprüche gegenseitig zu unterstützen.
2. Der Auftraggeber und Predium haften für die Datenverarbeitung im Außenverhältnis gemäß den einschlägigen Datenschutzgesetzen. Im Innenverhältnis richtet sich die Haftung nach den Bestimmungen aus dem Hauptvertrag.

§ 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle
‍
Erläuterung:
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.

Technische Maßnahmen
☐Alarmanlage
x Automatisches Zugangskontrollsystem
☐Biometrische Zugangssperren
x Chipkarten / Transpondersysteme
☐Manuelles Schließsystem
☐Sicherheitsschlösser
☐Schließsystem mit Codesperre
x Absicherung der Gebäudeschächte
x Türen mit Knauf Außenseite
☐Klingelanlage mit Kamera
x Videoüberwachung der Eingänge

Organisatorische Maßnahmen
x Schlüsselregelung / Liste
☐Empfang / Rezeption / Pförtner
x Besucherbuch/Protokoll der Besucher
☐Mitarbeiter/Besucherausweise
x Besucher in Begleitung durch Mitarbeiter
x Sorgfalt bei Auswahl des Wachpersonals
x Sorgfalt bei Auswahl Reinigungsdienste
x ISO27001:2022 Konformität


1.2 Zugangskontrolle
‍
Erläuterung:
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Technische Maßnahmen
x Login mit Benutzername + Passwort
☐Login mit biometrischen Daten
x Anti-Viren-Software Server
x Anti-Virus-Software Clients
x Anti-Virus-Software mobile Geräte
x Firewall
x Intrusion Detection Systeme
x Mobile Device Management
☐Einsatz VPN bei Remote-Zugriffen
x Verschlüsselung Smartphones
☐Gehäuseverriegelung
x BIOS Schutz (separates Passwort)
☐Sperre externer Schnittstellen (USB)
x Automatische Desktopsperre
x Verschlüsselung von Notebooks / Tablets

Organisatorische Maßnahmen
x Verwalten von Benutzerberechtigungen
x Erstellen von Benutzerprofilen
x Zentrale Passwortvergabe (je nach Anwendung)
x Richtlinie „Sicheres Passwort“
x Richtlinie „Löschen / Vernichten“
x Richtlinie „Clean Desk“
x Allg. Richtlinie Datenschutz und / oder Sicherheit
x Mobile Device Policy
x Anleitung „Manuelle Desktopsperre“
x ISO27001:2022 Konformität

Weitere Maßnahmen
x Automatische Sperrmechanismen
x Zwei-Faktor-Authentifizierung
x Verschlüsselung von Datenträgern


1.3 Zugangskontrolle
‍
Erläuterung:
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

Technische Maßnahmen
x Aktenschredder (mind. Stufe 3, cross cut)
☐Externer Aktenvernichter (DIN 32757)
x Physische Löschung von Datenträgern
x Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten

Organisatorische Maßnahmen
x Einsatz Berechtigungskonzepte
x Minimale Anzahl an Administratoren
☐Datenschutztresor
x Verwaltung Benutzerrechte durch Administratoren

Weitere Maßnahmen
x Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems


1.4 Trennungskontrolle
‍
Erläuterung:
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen
x Trennung von Produktiv- und Testumgebung
x Physikalische Trennung (Systeme / Datenbanken / Datenträger)
x Mandantenfähigkeit relevanter Anwendungen

Organisatorische Maßnahmen
x Steuerung über Berechtigungskonzept
x Festlegung von Datenbankrechten
x Datensätze sind mit Zweckattributen versehen


1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
‍
Erläuterung:
‍Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen
☐ Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten System (mögl. verschlüsselt)

Organisatorische Maßnahmen
x Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
‍

§ 2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle
‍
Erläuterung:
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Technische Maßnahmen
x Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
x Manuelle oder automatisierte Kontrolle der Protokolle

Organisatorische Maßnahmen
x Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
x Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
x Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
x Aufbewahrung von Formularen, von denen Daten in anonymisierte Verarbeitungen übernommen wurden
x Klare Zuständigkeiten für Löschungen

‍

§ 3 Verfügbarkeit und Belastbarkeit
(Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle
‍
Erläuterung:
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen, etc.

Technische Maßnahmen
x Feuer- und Rauchmeldeanlagen
x Feuerlöscher Serverraum
x Serverraumüberwachung Temperatur und Feuchtigkeit
x Serverraum klimatisiert
x USV
x Schutzsteckdosenleisten Serverraum
☐Datenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quelldichtung etc.)
x RAID System / Festplattenspiegelung
x Videoüberwachung Serverraum
x Alarmmeldung bei unberechtigtem Zutritt zu Serverraum

Organisatorische Maßnahmen
x Backup & Recovery-Konzept 
x Kontrolle des Sicherungsvorgangs
x Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
x Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
x Keine sanitären Anschlüsse im oder oberhalb des Serverraums
x Existenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4)
x Getrennte Partitionen für Betriebssysteme und Daten

Weitere Maßnahmen
x Virenschutz
x Firewall
x Backupsystem implementiert
x die Erreichbarkeit der Administratoren ist geregelt, um eine schnellere Wiederherstellung zu gewähren

‍

§ 4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1 Datenschutz-Management
‍
Erläuterung:
keine

Technische Maßnahmen
x Software-Lösungen für Datenschutz-Management im Einsatz
x Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet…)
x Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12
☐ Anderweitiges dokumentiertes Sicherheitskonzept
x Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

Organisatorische Maßnahmen
x Interner / externer Informationssicherheitsbeauftragter (Lukas Bollinger, lukas.bollinger@predium.de)
x Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
x Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
x Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
x Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
x Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden


4.2 Incident-Response-Management
‍
Erläuterung:
Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen
x Einsatz von Firewall und regelmäßige Aktualisierung
x Einsatz von Spamfilter und regelmäßige Aktualisierung
x Einsatz von Virenscanner und regelmäßige Aktualisierung
x Intrusion Detection System (IDS)
x Intrusion Prevention System (IPS)

Organisatorische Maßnahmen
x Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörden)
x Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
x Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen
x Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
x Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen


4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
‍
Erläuterung:
Privacy by design / Privacy by default

Technische Maßnahmen
x Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
x Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen

Organisatorische Maßnahmen
x Richtlinie “PII”


4.4 Auftragskontrolle (Outsourcing an Dritte)
‍
Erläuterung:
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.


Organisatorische Maßnahmen
x Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
x Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
x Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
x Schriftliche Weisungen an den Auftragnehmer
x Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
x Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen einer Bestellpflicht
x Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
x Regelung zum Einsatz weiterer Subunternehmer
x Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
x Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus