Kontrollen

Mitarbeiter unterzeichnen während des Onboardings eine Vertraulichkeitsvereinbarung.

Die Aufbewahrungsanforderungen sind dokumentiert, und personenbezogene Daten werden entsprechend geschäftlichen Erfordernissen und/oder geltenden gesetzlichen Vorgaben gespeichert.

Das Unternehmen verfügt über Business-Continuity- und Disaster-Recovery-Pläne, die Kommunikationsprozesse zur Aufrechterhaltung der Informationssicherheit bei Ausfall von Schlüsselpersonal festlegen.

Die Richtlinien und Verfahren zur Informationssicherheit des Unternehmens sind dokumentiert und werden mindestens jährlich überprüft.

Das Unternehmen verwendet sichere Übertragungsprotokolle zur Verschlüsselung vertraulicher Daten bei Übertragung über öffentliche Netzwerke.

Neue Zwecke der Verarbeitung bereits erhobener personenbezogener Daten werden dokumentiert, kommuniziert und gegebenenfalls genehmigt; die Nutzung erfolgt ausschließlich gemäß dem dokumentierten Zweck.

Das Unternehmen verfügt über eine formale SDLC-Methodik zur Steuerung von Entwicklung, Implementierung, Änderungen und Wartung von Informationssystemen.

Das Unternehmen verfügt über Prozesse zur Erfassung, Protokollierung und Überprüfung von Anträgen, Anfragen, Beschwerden oder Streitfällen im Zusammenhang mit den Datenschutzrechten betroffener Personen. Zugriffsanfragen werden zu historischen und Audit-Zwecken dokumentiert.

Wartungs- und Sicherheitsinspektionen der Umgebungssicherheit in Rechenzentren erfolgen mindestens jährlich.

Die Datenschutzrichtlinie steht Kunden, Mitarbeitenden und relevanten Drittparteien vor oder spätestens zum Zeitpunkt der Erhebung personenbezogener Daten zur Verfügung.

Das Unternehmen hat schriftliche Vereinbarungen mit Lieferanten und weiteren Drittparteien abgeschlossen, die Vertraulichkeits- und Datenschutzverpflichtungen enthalten.

Das Unternehmen führt mindestens jährlich Kontroll-Selbstbewertungen durch, um sicherzustellen, dass Kontrollen vorhanden sind und wirksam funktionieren. Korrekturmaßnahmen erfolgen gemäß SLA.

Das Unternehmen verfügt über eine Datenschutzrichtlinie, die den Umfang der erhobenen personenbezogenen Daten, die Pflichten des Unternehmens, die Rechte der betroffenen Personen sowie aktuelle Kontaktinformationen klar beschreibt.

Die Datenschutzrichtlinie wird regelmäßig überprüft und aktualisiert, um die Einhaltung geltender Gesetze, Vorschriften und Standards sicherzustellen.

Nach Beendigung des Dienstes entfernt das Unternehmen Kundendaten mit vertraulichen Informationen gemäß bewährten Verfahren aus der Anwendungsumgebung.

Das Management und/oder die Rechtsabteilung überprüfen und genehmigen Methoden zur Erhebung personenbezogener Daten vor deren Einführung, um eine rechtmäßige und faire Verarbeitung sicherzustellen.

Die Mitglieder des Verwaltungsrats verfügen über ausreichende Fachkenntnisse, um die Fähigkeit des Managements zur Planung, Implementierung und zum Betrieb von Informationssicherheitskontrollen zu überwachen. Bei Bedarf werden externe Informationssicherheitsexperten und Berater hinzugezogen.

Das Unternehmen überprüft die Datenschutzrichtlinie bei Bedarf oder bei eintretenden Änderungen und aktualisiert sie entsprechend, um die Einhaltung geltender Gesetze, Vorschriften und relevanter Standards sicherzustellen.

Das Unternehmen unterhält eine Cyberversicherung zur Minderung finanzieller Auswirkungen von Betriebsunterbrechungen.

Das Unternehmen führt Hintergrundüberprüfungen bei neuen Mitarbeitern durch.

Nach Identitätsprüfung stellt das Unternehmen angeforderte Informationen zeitnah und im Einklang mit geltendem Recht bereit.

Die Nutzung oder Speicherung vertraulicher Kundendaten in Nicht-Produktionsumgebungen ist untersagt.

Der Zugriff auf das „Produktionsnetzwerk“ erfordert eindeutige Benutzernamen und Passwörter oder autorisierte SSH-Schlüssel.

Die Authentifizierung für Produktionsdatenbanken wird durch genehmigte sichere Authentifizierungsmechanismen, z. B. eindeutige SSH-Schlüssel, durchgesetzt.

Der Zugang zu den Rechenzentren wird mindestens einmal jährlich überprüft.

Das Unternehmen nutzt eine Multi-Standort-Strategie, um den Betrieb bei Ausfall eines Rechenzentrums an anderer Stelle wieder aufzunehmen.

Das Unternehmen unterhält eine klar datierte und verständlich formulierte Datenschutzrichtlinie, die die Verfahren und Zwecke der Erhebung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten beschreibt.

Der Remote-Zugriff auf Produktionssysteme ist ausschließlich über genehmigte verschlüsselte Verbindungen möglich.

Das Unternehmen prüft Löschanträge und entfernt die angeforderten Informationen nach Bestätigung im Einklang mit geltenden Gesetzen und Vorschriften.

Das Unternehmen verfügt über formelle Verfahren zur sicheren Aufbewahrung und Löschung von Unternehmens- und Kundendaten.

Vor der Erhebung, Nutzung oder Weitergabe sensibler personenbezogener Daten holt das Unternehmen eine ausdrückliche Einwilligung ein, dokumentiert und speichert diese gemäß gesetzlichen Anforderungen.

Der Remote-Zugriff auf Produktionssysteme ist ausschließlich autorisierten Mitarbeitern mit gültiger Mehrfaktor-Authentifizierung (MFA) gestattet.

Das Unternehmen stellt Kunden Richtlinien und technische Support-Ressourcen zum Systembetrieb zur Verfügung.

Risikobewertungen werden mindestens einmal jährlich durchgeführt und berücksichtigen Bedrohungen, Veränderungen sowie Betrugsrisiken.

Das Unternehmen verfügt über dokumentierte Verfahren zur Bearbeitung und Dokumentation datenschutzbezogener Beschwerden und zur Kommunikation der Ergebnisse an betroffene Personen.

Das Unternehmen überprüft und aktualisiert seine Richtlinien und Verfahren zum Umgang mit personenbezogenen Daten regelmäßig, um sicherzustellen, dass erhobene Daten klar als erforderlich oder optional gekennzeichnet sind, nur mit der entsprechenden Einwilligung gemäß den geltenden gesetzlichen und regulatorischen Anforderungen verarbeitet werden und ausschließlich für die in der Datenschutzerklärung festgelegten Zwecke verwendet werden.

Das Unternehmen verfügt über ein implementiertes und dokumentiertes Risikomanagementprogramm, das die Identifikation von Bedrohungen, die Bewertung von Risiken sowie Maßnahmen zu deren Minderung umfasst.

Das Unternehmen hat eine Dokumentation über die Art, den Umfang und den Zweck der personenbezogenen Daten, die erhoben, verarbeitet, gespeichert und/oder an Dritte weitergegeben werden, eingerichtet, pflegt diese und überprüft sie mindestens einmal jährlich.

Rollen und Verantwortlichkeiten für Design, Entwicklung, Implementierung, Betrieb, Wartung und Überwachung von Informationssicherheitskontrollen sind formell in Stellenbeschreibungen und/oder in einer Rollen- und Verantwortlichkeitsrichtlinie festgelegt.

Vor Gewährung des Zugriffs auf personenbezogene Daten überprüft das Unternehmen die Identität der betroffenen Person oder ihres Bevollmächtigten und stellt sicher, dass der Zugriff rechtlich zulässig ist.

Das Unternehmen testet seinen Incident-Response-Plan mindestens einmal jährlich.

Das Unternehmen überprüft und genehmigt Quellen personenbezogener Daten von Drittparteien, um deren Zuverlässigkeit und rechtmäßige Erhebung sicherzustellen.

Der Verwaltungsrat des Unternehmens verfügt über eine dokumentierte Geschäftsordnung, die seine Aufsichtspflichten über das interne Kontrollsystem festlegt.

Das Unternehmen verfügt über dokumentierte und kommunizierte Richtlinien und Verfahren zur Reaktion auf Sicherheits- und Datenschutzvorfälle.

Der Verwaltungsrat des Unternehmens tagt mindestens einmal jährlich und führt formelle Sitzungsprotokolle. Der Verwaltungsrat umfasst auch unabhängige Mitglieder.

Das Management informiert den Vorstand mindestens jährlich über Cyber- und Datenschutzrisiken.

Mitarbeiter absolvieren Sicherheitsschulungen innerhalb von 30 Tagen nach Einstellung und anschließend mindestens jährlich.

Das Unternehmen stellt internen und externen Nutzern eine Beschreibung seiner Produkte und Dienstleistungen zur Verfügung.

Personenbezogene Daten werden gemäß dokumentierten Verfahren sicher anonymisiert, gelöscht und/oder vernichtet, sobald sie nicht mehr erforderlich sind.

Das Management des Unternehmens hat definierte Rollen und Verantwortlichkeiten zur Überwachung der Planung und Implementierung von Informationssicherheitskontrollen festgelegt.

Die Sicherheitsverpflichtungen des Unternehmens werden Kunden in Rahmenverträgen (MSA) oder Nutzungsbedingungen (TOS) mitgeteilt.

Das Netzwerk des Unternehmens ist segmentiert, um unbefugten Zugriff auf Kundendaten zu verhindern.

Das Unternehmen verfügt über Prozesse zur Gewährung, Änderung und Beendigung des physischen Zugangs zu Rechenzentren auf Basis einer Genehmigung durch Kontrollverantwortliche.

Das Unternehmen definiert Ziele, die die Identifikation und Bewertung von Risiken in Bezug auf diese Ziele ermöglichen.

Betroffene Personen können der Nutzung nicht wesentlicher Cookies zustimmen oder widersprechen; ohne gültige Einwilligung erfolgt keine Datenverarbeitung.

Das Unternehmen führt ein Organigramm, das die Organisationsstruktur und Berichtslinien beschreibt.

Das Unternehmen verschlüsselt tragbare und wechselbare Datenträger bei deren Verwendung.

Systembeschreibung für Abschnitt III des Prüfberichts erstellt.

Penetrationstests werden mindestens jährlich durchgeführt. Ein Maßnahmenplan wird erstellt und gemäß SLA umgesetzt.

Führungskräfte führen mindestens jährlich Leistungsbewertungen ihrer direkten Mitarbeiter durch.

Das Unternehmen verfügt über ein externes Support-System, das es Nutzern ermöglicht, Systemausfälle, Vorfälle, Bedenken und Beschwerden an zuständige Stellen zu melden.

Änderungen an Software und Infrastruktur müssen vor dem Produktiveinsatz autorisiert, dokumentiert, getestet, geprüft und genehmigt werden.

Betroffene Personen oder autorisierte Kontoinhaber können ihre personenbezogenen Daten über ein Kundenportal oder über die in der Datenschutzrichtlinie angegebenen Kontaktwege aktualisieren.

Das Unternehmen verfügt über eine Datenklassifizierungsrichtlinie, um vertrauliche Daten angemessen zu schützen und den Zugriff auf autorisierte Personen zu beschränken.

Das Unternehmen informiert autorisierte Nutzer sowie relevante Dritte, an die personenbezogene Daten weitergegeben oder übermittelt wurden, über Korrekturen oder Löschungen personenbezogener Daten einer betroffenen Person.

Das Unternehmen kommuniziert Systemänderungen an autorisierte interne Nutzer.

Mitarbeiter bestätigen den Verhaltenskodex bei Einstellung. Verstöße werden gemäß Disziplinarrichtlinie geahndet.

Auftragnehmer unterzeichnen bei Beginn der Zusammenarbeit eine Vertraulichkeitsvereinbarung.

Das Unternehmen informiert betroffene Personen bei oder vor der Erhebung personenbezogener Daten sowie bei deren Verwendung für neue, zuvor nicht definierte Zwecke.

Das Unternehmen informiert Kunden über kritische Systemänderungen, die deren Verarbeitung beeinflussen könnten.

Das Unternehmen holt Einwilligungen und Präferenzen spätestens zum Zeitpunkt der Datenerhebung ein, dokumentiert diese und setzt sie zeitnah um.

Besucher müssen sich registrieren, einen Besucherausweis tragen und von autorisiertem Personal begleitet werden.

Die formalen Richtlinien des Unternehmens definieren Anforderungen an Schwachstellenmanagement und Systemüberwachung.

Der Zugriff auf Systeme und Anwendungen erfordert eindeutige Zugangsdaten oder autorisierte SSH-Schlüssel.

Das Unternehmen verlangt, dass Verträge mit Auftragnehmern einen Verhaltenskodex oder einen Verweis auf den Verhaltenskodex des Unternehmens enthalten.