Nutzungs­bes­tim­mungen FÜR NUTZUNG DER Insid­ers CLOUD ZU TESTZWECKEN

Insid­ers tech­nolo­gies

Nutzungsbestimmungen
für die Nutzung der Insiders Cloud
zu Testzwecken

(nach­fol­gend „Ver­trag“ genan­nt); Stand 01.02.2024

Die Insid­ers Tech­nolo­gies GmbH (nach­fol­gend „Insid­ers“ genan­nt) ermöglicht die Nutzung aller ver­trags­ge­gen­ständlichen cloud­basierten Ser­vices zu Testzweck­en auss­chließlich auf Grund­lage dieses Ver­trages. Die nach­fol­gen­den Bedin­gun­gen gel­ten auss­chließlich für den Geschäftsverkehr mit Unternehmern, juris­tis­chen Per­so­n­en des öffentlichen Rechts oder öffentlich-rechtlichem Son­derver­mö­gen; Insid­ers bietet die ver­trags­ge­gen­ständlichen Leis­tun­gen gegenüber Ver­brauch­ern nicht an. Abwe­ichende Geschäfts­be­din­gun­gen des Auf­tragge­bers wer­den nicht Ver­trags­be­standteil, auch wenn Insid­ers ihrer Gel­tung nicht wider­spricht, es sei denn, sie wer­den von Insid­ers aus­drück­lich schriftlich anerkan­nt. Die Aus­führung von Leis­tun­gen durch Insid­ers bedeutet keine Anerken­nung von Ver­trags­be­din­gun­gen des Auf­tragge­bers.

Die gegebe­nen­falls beste­hende Leis­tungs­beschrei­bung des / der zu Testzweck­en zugänglich gemacht­en Ser­vices sowie die Vere­in­barung über Auf­tragsver­ar­beitung wer­den gemein­sam mit dem vor­liegen­den Ver­trag abgeschlossen. Sie bilden einen wesentlichen Bestandteil des Ver­trages und gel­ten im Fall von Wider­sprüchen oder Unklarheit­en vor­rangig.

  1. Def­i­n­i­tio­nen
    1. „Autorisierte Nutzer“ sind die Nutzer, die die Cloud-Lösung für den Auf­tragge­ber zu Testzweck­en nutzen. Als autorisierte Nutzer kom­men auss­chließlich Arbeit­nehmer, Lei­har­beit­nehmer sowie zur Berufs­bil­dung Beschäftigte des Auf­tragge­bers in Betra­cht. Andere Dritte gel­ten nicht als autorisierte Nutzer.
    1. „Cloud-Lösung“ beze­ich­net die von Insid­ers bere­it­gestellte Cloud-Com­put­ing-Plat­tform Insid­ers Cloud, über die Insid­ers die in der jew­eili­gen Leis­tungs­beschrei­bung näher definierten cloud­basierten Ser­vices erbringt. Die Cloud-Lösung wird dem Auf­tragge­ber mit­tels SaaS zur Ver­fü­gung gestellt. Die Cloud-Lösung umfasst nicht die App­lika­tio­nen (Apps), über die der Auf­tragge­ber bzw. die von ihm autorisierten Nutzer über mobile oder sta­tionäre Endgeräte auf die Cloud-Lösung zugreifen.
    1. „Insid­ers“ meint die Insid­ers Tech­nolo­gies GmbH, Brüs­sel­er Straße 1, 67657 Kaiser­slautern, Deutsch­land.
    1. “Kun­den­dat­en” sind alle Dat­en und Infor­ma­tio­nen, gle­ich welch­er Art, die durch den Auf­tragge­ber bzw. die von ihm autorisierten Nutzer bei der Nutzung der Ser­vices der Cloud-Lösung zu Testzweck­en in die Cloud-Lösung einge­spielt und dort ver­ar­beit­et und genutzt wer­den. Die Kun­den­dat­en kön­nen auch per­so­n­en­be­zo­gene Dat­en im Klar­text oder pseu­do­nymisiert enthal­ten.
    1. „SaaS“ ist die Abkürzung für Soft­ware-as-a-Ser­vice und bedeutet, dass dem Auf­tragge­ber die Funk­tio­nen der Cloud-Lösung mit der ihr zugrunde liegen­den Soft­ware als rein­er Ser­vice über das Inter­net zur Nutzung zur Ver­fü­gung gestellt wer­den, ohne dass die Soft­ware dem Auf­tragge­ber oder Nutzern über­lassen wird. Wed­er der Auf­tragge­ber noch die von ihm autorisierten Nutzer erhal­ten also eine Kopie der Soft­ware und kön­nen sie daher auch nicht auf eige­nen Sys­te­men instal­lieren und betreiben.
    1. „Ver­ar­beitungsergeb­nis“ ist das durch die Nutzung der Ser­vices der Cloud-Lösung erzeugte Ergeb­nis, das die Cloud-Lösung dem Auf­tragge­ber bzw. den von ihm autorisierten Nutzern zu Testzweck­en anzeigt. Der Inhalt des Ver­ar­beitungsergeb­niss­es (z.B. Darstel­lung eines Datenex­trak­tes) ergibt sich aus der jew­eili­gen Leis­tungs­beschrei­bung.
  2. Ver­trags­ge­gen­stand und Nutzungsrechte
    1. Insid­ers gewährt dem Auf­tragge­ber während der Laufzeit dieses Ver­trages und nach Maß­gabe der darin getrof­fe­nen Vere­in­barun­gen das beschränk­te, nicht-auss­chließliche und kosten­freie Recht, die Ser­vices der Cloud-Lösung mit dem in der ein­schlägi­gen Leis­tungs­beschrei­bung vere­in­barten Funk­tion­sum­fang auss­chließlich zu Testzweck­en zu nutzen bzw. durch seine autorisierten Nutzer nutzen zu lassen. Eine Nutzung für den pro­duk­tiv­en Ein­satz und ins­beson­dere die Ver­ar­beitung von Kun­den­dat­en für den reg­ulären Geschäfts­be­trieb ist aus­drück­lich nicht ges­tat­tet.
    1. Der Auf­tragge­ber ist nicht berechtigt, die Cloud-Lösung oder einzelne Ser­vices der Cloud-Lösung an Dritte weit­er zu ver­lei­hen, zu ver­mi­eten oder sie anderen Nutzern als den zuläs­si­gen autorisierten Nutzern zugänglich zu machen.
    1. Der Zugriff des Auf­tragge­bers bzw. sein­er autorisierten Nutzer erfol­gt über eine Inter­netverbindung. Diese Net­zan­bindung sowie die für den Zugriff notwendi­gen Geräte und App­lika­tio­nen sind nicht Bestandteil der Cloud-Lösung und obliegen der Ver­ant­wor­tung des Auf­tragge­bers.
    1. Die tech­nis­che Umge­bung des Test­sys­tems für die vere­in­barten Ser­vices wird als vir­tu­al­isierte Infra­struk­tur von Insid­ers betrieben und in einem in der EU, dem EWR oder der Schweiz gele­ge­nen Rechen­zen­trum gehostet.
  3. Änderun­gen der Cloud-Lösung

Insid­ers betreibt die Cloud-Lösung und ist berechtigt, ihre Funk­tio­nen und ihre Schnittstellen jed­erzeit nach eigen­em Ermessen zu aktu­al­isieren, um die Cloud-Lösung zu verbessern, weit­er zu entwick­eln oder an neue oder geän­derte Anforderun­gen anzu­passen.

Wenn der Auf­tragge­ber oder irgen­dein Drit­ter (ins­beson­dere ein autorisiert­er Nutzer), der die Infra­struk­tur oder Zugangs­dat­en (Cre­den­tials) des Auf­tragge­bers nutzt, die Cloud-Lösung für (Dis­trib­uted) Denial-of-Ser­vice-Angriffe, Spam­ming oder son­stige rechts- oder ver­tragswidrige Aktiv­itäten (nach­fol­gend zusam­men­fassend „schädi­gende Aktiv­itäten“ genan­nt) ver­wen­det oder sie darüber ver­an­lasst, darf Insid­ers den Zugang des Auf­tragge­bers oder von ihm autorisiert­er Nutzer zur Cloud-Lösung sper­ren, bis der Auf­tragge­ber Maß­nah­men zur Unterbindung der fort­ge­set­zten schädi­gen­den Aktiv­itäten ergrif­f­en und damit für die Beendi­gung der schädi­gen­den Aktiv­itäten gesorgt hat. Der Auf­tragge­ber verpflichtet sich gegenüber Insid­ers in Bezug auf von ihm und seinen autorisierten Nutzern zu vertre­tende schädi­gende Aktiv­itäten zum Schadenser­satz und zur Schad­loshal­tung.

  • Ver­tragslaufzeit und Kündi­gung
    • Der Ver­trag wird für einen bes­timmten Zeitraum, welch­er in der Leis­tungs­beschrei­bung definiert wird, abgeschlossen und endet danach automa­tisch.
    • Das Recht auf außeror­dentliche frist­lose Kündi­gung aus wichtigem Grund bleibt unberührt.
  • Geheimhal­tung
    • Mit der Cloud-Lösung ver­ar­beit­ete Kun­den­dat­en und Ver­ar­beitungsergeb­nisse gel­ten als ver­trauliche Infor­ma­tio­nen, mit Aus­nahme von Infor­ma­tio­nen, (i) die ohne Geheimhal­tungspflicht und ohne Ver­schulden von Insid­ers, ihrer Erfül­lungs- oder Ver­rich­tungs­ge­hil­fen oder Vertreter all­ge­mein für die Öffentlichkeit zugänglich sind, (ii) die unab­hängig von Insid­ers, ihren Erfül­lungs- oder Ver­rich­tungs­ge­hil­fen oder Vertretern ohne Nutzung der Kun­den­dat­en entwick­elt wur­den, (iii) die ohne Geheimhal­tungspflicht recht­mäßig aus anderen Quellen stam­men, (iv) die auf­grund ein­er geset­zlichen Regelung oder gerichtlichen bzw. behördlichen Anord­nung bekan­nt gegeben wer­den müssen oder (v) deren Bekan­nt­gabe vom Auf­tragge­ber ges­tat­tet wurde. Insid­ers wird ver­trauliche Infor­ma­tio­nen nicht an Dritte weit­ergeben, angemessene Sicher­heits­maß­nah­men zum Schutz ver­traulich­er Infor­ma­tio­nen ergreifen und deren unberechtigte Bekan­nt­gabe ver­hin­dern.
    • Der Auf­tragge­ber verpflichtet sich, alle ver­traulichen Infor­ma­tio­nen, die ihm Insid­ers im Zusam­men­hang mit dem Ver­trag zugänglich macht (z.B. Zugangs­dat­en, Doku­men­ta­tio­nen, Reports, Beschrei­bun­gen tech­nisch-organ­isatorisch­er Maß­nah­men, Sicher­heit­skonzepte), ver­traulich zu behan­deln und auss­chließlich zur Erfül­lung des Ver­trages zu ver­wen­den. Für den Miss­brauch der dem Auf­tragge­ber über­lasse­nen Zugangs­dat­en trägt der Auf­tragge­ber gegenüber Insid­ers die Ver­ant­wor­tung.
    • Die Geheimhal­tungspflicht­en gel­ten auch über das Ende dieses Ver­trages hin­aus.
  • Son­stige Bes­tim­mungen
    • Dieser Ver­trag, ein­schließlich sein­er Leis­tungs­beschrei­bun­gen für die zu Testzweck­en bere­it­gestell­ten Ser­vices und der Vere­in­barung über Auf­tragsver­ar­beitung, die zusam­men einen inte­gralen Bestandteil des Ver­trages bilden, deck­en in Bezug auf den Ver­trags­ge­gen­stand sämtliche ver­traglichen Vere­in­barun­gen zwis­chen den Ver­tragspart­nern voll­ständig ab.
    • Soll­ten einzelne Bes­tim­mungen dieses Ver­trages, der Leis­tungs­beschrei­bun­gen oder der Vere­in­barung über Auf­tragsver­ar­beitung unwirk­sam sein oder wer­den, so wird die Wirk­samkeit der übri­gen Bes­tim­mungen hier­von nicht berührt. Die unwirk­same Bes­tim­mung ist durch eine wirk­same zu erset­zen, die den mit der unwirk­samen Bes­tim­mung ver­fol­gten Zweck am ehesten erre­icht. Wenn bei Ver­trags­durch­führung eine regelungs­bedürftige bzw. ergänzungs­bedürftige Lücke offen­bar wird, ist diese durch Vere­in­barung ein­er Bes­tim­mung zu schließen, die den ver­fol­gten Zweck am ehesten erre­icht.
    • Dieser Ver­trag unter­liegt dem Recht der Bun­desre­pub­lik Deutsch­land unter Auss­chluss des UN-Kaufrechts (Con­ven­tion on Con­tracts for the Inter­na­tion­al Sale of Goods vom 11.4.1980, UNCI­TRAL-Kaufrecht).
    • Auss­chließlich­er Gerichts­stand für sämtliche Stre­it­igkeit­en aus und im Zusam­men­hang mit diesem Ver­trag ist Kaiser­slautern.


Leis­tungs­beschrei­bung

Funk­tion­sum­fang:

Der autorisierte Nutzer erhält nach dem Login-Prozess auf dem Mar­ket­place [HT3] die Möglichkeit ver­schieden­ste Ser­vices zu testen. Der Funk­tion­sum­fang bein­hal­tet das Hochladen eines Doku­mentes in einen bes­timmten Ser­vice und die Ver­ar­beitungsergeb­nisse als Anzeige/visuelle Darstel­lung zur ein­ma­li­gen Ansicht[HT4] .

Ver­ar­beitungsergeb­nis:

Die angezeigten Ver­ar­beitungsergeb­nisse dif­feren­zieren sich je nach gewählten Ser­vice und sind auf der jew­eili­gen Ser­vicebeschrei­bungs-Seite auf dem Mar­ket­place mit allen aus­ge­le­se­nen Feldern beschrieben.

Leis­tungszeitraum:

Solange der autorisierte Nutzer eine offene Login-Ses­sion im Mar­ket­place aktiv hat. Es erfol­gt nach ein­er Stunde die automa­tis­che Abmel­dung aus dem Mar­ket­place. Somit endet nach diesem Zeitraum die Gel­tung der Nutzungs­bes­tim­mungen.

Vere­in­barung über Auf­tragsver­ar­beitung

Diese Vere­in­barung über Auf­tragsver­ar­beitung konkretisiert die Verpflich­tun­gen der Ver­tragspart­ner zum Daten­schutz, die sich aus der Nutzung der Cloud-Lösung durch den Auf­tragge­ber im Hin­blick auf die damit ver­bun­dene Auf­tragsver­ar­beitung ergeben. Sie find­et Anwen­dung auf alle Tätigkeit­en, die mit der test­weisen Nutzung der Cloud-Lösung durch den Auf­tragge­ber in Zusam­men­hang ste­hen und bei denen Beschäftigte von Insid­ers oder durch von Insid­ers Beauf­tragte mit per­so­n­en­be­zo­ge­nen Dat­en aus der Sphäre des Auf­tragge­bers und der von ihm autorisierten Nutzer in Berührung kom­men kön­nen.

  1. Def­i­n­i­tio­nen

Begriffs­de­f­i­n­i­tio­nen aus den Nutzungs­bes­tim­mungen Insid­ers Cloud und den Leis­tungs­beschrei­bun­gen des / der beauf­tragten Ser­vices (nach­fol­gend zusam­men­fassend „Hauptver­trag“ genan­nt) gel­ten auch für diese Vere­in­barung über Auf­tragsver­ar­beitung, soweit hierin nicht aus­drück­lich etwas anderes bes­timmt ist. Wenn in dieser Vere­in­barung über Auf­tragsver­ar­beitung der Begriff „Dat­en“ ver­wen­det wird, sind stets per­so­n­en­be­zo­gene Dat­en im Sinne von Art. 4 Nr. 1 DSGVO gemeint. Im Übri­gen sind die in dieser Vere­in­barung über Auf­tragsver­ar­beitung ver­wen­de­ten Begriffe so zu ver­ste­hen, wie sie in der DSGVO oder in anderen Geset­zen (z.B. § 2 BDSG, § 3 TTDSG) definiert sind.

Art und Zweck der Ver­ar­beitungDie in der jew­eili­gen Leis­tungs­beschrei­bung vere­in­barten Ser­vices der Cloud-Lösung ermöglichen dem Auf­tragge­ber bzw. den von ihm autorisierten Nutzern (z.B. Mitar­beit­er) zu Testzweck­en die Ver­ar­beitung der Kun­den­dat­en sowie die Betra­ch­tung der Ver­ar­beitungsergeb­nisse in der Cloud-Lösung. Art und Zweck der Ver­ar­beitung ergeben sich (i) aus dem Test­funk­tion­sum­fang der Cloud-Lösung, der in der jew­eili­gen Leis­tungs­beschrei­bung doku­men­tiert ist, (ii) den vom Auf­tragge­ber bzw. den autorisierten Nutzern in die Cloud-Lösung einge­spiel­ten Kun­den­dat­en und (iii) deren konkrete, vom Auf­tragge­ber bzw. den autorisierten Nutzern ver­an­lasste Ver­ar­beitung durch die Cloud-Lösung.
Art der Ver­ar­beitung☐  Erheben ☐  Erfassen ☒  Organ­i­sa­tion ☒  Ord­nen ☐  Spe­icherung ☐  Anpas­sung oder Verän­derung ☒  Ausle­sen ☐  Abfra­gen ☐  Ver­wen­dung ☐  Offen­le­gung durch Über­mit­tlung ☒  Ver­bre­itung oder eine andere Form der Bere­it­stel­lung ☒  Abgle­ich oder Verknüp­fung ☐  Ein­schränkung ☐  Löschen oder Ver­nich­tung ☐  Son­stige: ………………………..
Art der per­so­n­en­be­zo­ge­nen Dat­en☐  Per­so­n­en­stam­m­dat­en (Ver­trags­dat­en, Geburts­da­tum o. ä.) ☐  pri­vate Kon­tak­t­dat­en (Name, Rufnum­mer, Adresse, E‑Mail o. ä.) ☐  beru­fliche Kon­tak­t­dat­en (Name, Funk­tion, Rufnum­mer, Adresse, E‑Mail o. ä.) ☐  Kon­to­dat­en / Umsatz­dat­en / Kon­to­be­we­gungs­dat­en ☐  Abrech­nungs- und Zahlungs­dat­en ☐  Ver­sicherungs­dat­en ☐  Rech­nung­sein­gangs­dat­en ☒  Son­stige: siehe Leis­tungs­beschrei­bung
Beson­dere Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en☐ ras­sis­che oder eth­nis­che Herkun­ft ☐ poli­tis­che Mei­n­un­gen ☐ religiöse oder weltan­schauliche Überzeu­gun­gen ☐ Gew­erkschaft­szuge­hörigkeit ☐  Ver­ar­beitung genetis­ch­er Dat­en ☐ Ver­ar­beitung bio­metrisch­er Dat­en zur ein­deuti­gen Iden­ti­fizierung ein­er natür­lichen Per­son ☐ Gesund­heits­dat­en ☐ Dat­en zum Sex­u­alleben ☐ Dat­en zur sex­uellen Ori­en­tierung ein­er natür­lichen Per­son
Kat­e­gorien der betrof­fe­nen Per­so­n­en☒  Pri­vatkun­den ☒  Ver­sicherungsnehmer ☒  Geschäfts- / Unternehmen­skun­den ☒  Beschäftigte i. S. d. § 26 BDSG ☒  Liefer­an­ten ☒  Han­delsvertreter ☒  Ansprech­part­ner ☐ Son­stige: ………………………..

Nach Beendi­gung der ver­traglichen Arbeit­en hat Insid­ers sämtliche im Zusam­men­hang mit dem Auf­trag in ihren Besitz gelangten Unter­la­gen und erstell­ten Ver­ar­beitungsergeb­nisse, die per­so­n­en­be­zo­gene Dat­en enthal­ten, sowie alle im Rah­men der Cloud-Lösung vom bzw. für den Auf­tragge­ber ver­ar­beit­eten per­so­n­en­be­zo­ge­nen Dat­en daten­schutzgerecht zu löschen.

  1. Nach­weis der Ein­hal­tung der daten­schutzrechtlichen Pflicht­en
    1. Insid­ers stellt dem Auf­tragge­ber auf Anforderung alle erforder­lichen Infor­ma­tio­nen zum Nach­weis der Ein­hal­tung der in dieser Vere­in­barung niedergelegten Pflicht­en zur Ver­fü­gung.
    1. Außer­dem ermöglicht und unter­stützt Insid­ers Über­prü­fun­gen ein­schließlich Inspek­tio­nen und Unter­suchun­gen, die von dem Auf­tragge­ber oder einem anderen von diesem beauf­tragten Prüfer oder von Auf­sichts­be­hör­den durchge­führt wer­den. Insid­ers erk­lärt sich ins­beson­dere damit ein­ver­standen, dass der Auf­tragge­ber oder ein von diesem beauf­tragten Prüfer nach angemessen­er Vorankündi­gung berechtigt ist, während der üblichen Bürozeit­en von Insid­ers die Ein­hal­tung der Vorschriften über den Daten­schutz und der ver­traglichen Vere­in­barun­gen dieser Vere­in­barung über Auf­tragsver­ar­beitung im erforder­lichen Umfang und ohne Störung des Betrieb­sablaufs von Insid­ers vor Ort zu kon­trol­lieren.
    1. Sollte der durch den Auf­tragge­ber beauf­tragte Prüfer in einem Wet­tbe­werb­sver­hält­nis zu Insid­ers ste­hen, hat Insid­ers gegen diesen Prüfer ein Ein­spruch­srecht.
    1. Der Auf­tragge­ber hat Insid­ers alle Aufwen­dun­gen und Kosten zu erstat­ten, die Insid­ers im Rah­men der Durch­führung und Unter­stützung ein­er Über­prü­fung bzw. Inspek­tion entste­hen.
  2. Ver­fahrensverze­ich­nisse

Insid­ers führt das gemäß Art. 30 Abs. 2 DSGVO von ihr zu führende Verze­ich­nis und stellt dieses der Auf­sichts­be­hörde auf Anfrage zur Ver­fü­gung.

  1. Son­stige Pflicht­en von Insid­ers
    1. Insid­ers arbeit­et auf Anfrage mit der Auf­sichts­be­hörde bei der Erfül­lung ihrer Auf­gaben zusam­men.
    1. Insid­ers hat einen Daten­schutzbeauf­tragten benan­nt und teilt dem Auf­tragge­ber dessen Kon­tak­t­dat­en auf Anfrage mit. Dessen jew­eils aktuelle Kon­tak­t­dat­en sind auf der Home­page von Insid­ers leicht zugänglich hin­ter­legt.
    1. Ist für eine geplante Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en eine Daten­schutz-Fol­ge­ab­schätzung erforder­lich, unter­stützt Insid­ers den Auf­tragge­ber auf Anforderung und gegen Vergü­tung ihres damit ver­bun­de­nen Aufwan­des bei der Abschätzung und stellt ihm alle erforder­lichen Doku­men­ta­tio­nen und zweck­di­en­lichen Infor­ma­tio­nen zur Ver­fü­gung.
    1. Insid­ers wird den Auf­tragge­ber unverzüglich über Kon­troll­hand­lun­gen und Maß­nah­men der Auf­sichts­be­hörde nach Art. 58 DSGVO sowie über Ermit­tlun­gen, die eine zuständi­ge Behörde nach Art. 83 DSGVO und §§ 42, 43 BDSG bei Insid­ers durch­führt, informieren, soweit diese Kon­troll­hand­lun­gen, Maß­nah­men oder Ermit­tlun­gen Bezüge zur Auf­tragsver­ar­beitung aufweisen.
  2. Mitzuteilende Ver­stöße
    1. Insid­ers benachrichtigt den Auf­tragge­ber unverzüglich, wenn ihr eine Ver­let­zung des Schutzes von dem Auf­tragge­ber zugewiese­nen per­so­n­en­be­zo­ge­nen Dat­en bekan­nt wird. Mel­dun­gen erfol­gen in Textform und müssen min­destens die in Art. 33 Abs. 3 DSGVO aufgezählten Infor­ma­tio­nen umfassen.
    1. Insid­ers ist bekan­nt, dass nach Art. 33 und 34 DSGVO Melde- und Benachrich­ti­gungspflicht­en im Falle der Ver­let­zung des Schutzes per­so­n­en­be­zo­gen­er Dat­en gegenüber der Auf­sichts­be­hörde und den betrof­fe­nen Per­so­n­en beste­hen kön­nen. Deshalb sind solche Vor­fälle ohne Anse­hen der Verur­sachung unverzüglich dem Auf­tragge­ber mitzuteilen. Insid­ers hat in Abstim­mung mit dem Auf­tragge­ber angemessene Maß­nah­men zur Sicherung der Dat­en sowie zur Min­derung möglich­er nachteiliger Fol­gen für Betrof­fene zu ergreifen.
    1. Soweit den Auf­tragge­ber Pflicht­en nach Art. 33 und 34 DSGVO tre­f­fen, hat Insid­ers ihn hier­bei gegen Vergü­tung des für Insid­ers damit ver­bun­de­nen Aufwan­des zu unter­stützen. Ungeachtet dessen bleibt der Auf­tragge­ber für die Erfül­lung der ihn gemäß Art. 33 und 34 DSGVO tre­f­fend­en Melde- und Benachrich­ti­gungspflicht­en selb­st ver­ant­wortlich.
  1. Anla­gen

Die fol­gen­den Anla­gen bilden einen wesentlichen Bestandteil dieser Vere­in­barung über Auf­tragsver­ar­beitung und haben im Fall von Wider­sprüchen oder Unklarheit­en Vor­rang vor den Bes­tim­mungen der vor­liegen­den Vere­in­barung über Auf­tragsver­ar­beitung:

Anlage 1: Tech­nis­che und organ­isatorische Maß­nah­men — Insid­ers Tech­nolo­gies GmbH ein­schließlich Cloud-Betrieb

Anlage 1a: AWS Secu­ri­ty Stan­dards

Anlage 1b: Ergänzende Bedin­gun­gen Auf­tragsver­ar­beitung (ErgB-AV) für Open Telekom Cloud

Anlage 2: Weit­ere Auf­tragsver­ar­beit­er

Anlage 1: Tech­nis­che und organ­isatorische Maß­nah­men –
Insid­ers Tech­nolo­gies GmbH ein­schließlich Cloud-Betrieb

  1. Vorbe­merkung

Insid­ers set­zt unter Berück­sich­ti­gung der Art, des Umfangs, der Umstände und der Zwecke der Ver­ar­beitung sowie der unter­schiedlichen Ein­trittswahrschein­lichkeit­en und der Schwere des Risikos für die Rechte und Frei­heit­en der Betrof­fe­nen geeignete tech­nis­che und organ­isatorische Maß­nah­men um, um sicherzustellen und den Nach­weis dafür erbrin­gen zu kön­nen, dass die Ver­ar­beitung gemäß den getrof­fe­nen Vere­in­barun­gen erfol­gt.

AWS unter­hält ein Infor­ma­tion­ssicher­heit­spro­gramm (ein­schließlich der Ein­führung und Durch­set­zung intern­er Richtlin­ien und Ver­fahren), das dazu dient,

1. Insid­ers dabei zu unter­stützen, seine Dat­en vor verse­hentlichem oder unrecht­mäßigem Ver­lust, Zugriff oder Offen­le­gung zu schützen,

2. vernün­ftiger­weise vorherse­hbare und interne Risiken für die Sicher­heit und den unbefugten Zugriff auf das AWS-Net­zw­erk zu ermit­teln und

3. Sicher­heit­srisiken zu min­imieren, unter anderem durch Risikobe­w­er­tung und regelmäßige Tests.

Von AWS umge­set­zte tech­nis­che und organ­isatorische Maß­nah­men wer­den im Doku­ment AWS Secu­ri­ty Stan­dards beschrieben. Von der Telekom umge­set­zte tech­nis­che und organ­isatorische Maß­nah­men wer­den im Doku­ment Anlage zu Ergänzende Bedin­gun­gen Auf­trags­daten­ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en für Open Telekom Cloud beschrieben.

  • Spezielle Maß­nah­men für Rechen­zen­trums­be­trieb der Cloud-Lösun­gen
    • Insid­ers nutzt für den Betrieb der Cloud-Lösun­gen und die Erbringung der damit ver­bun­de­nen Ser­vices die Leis­tun­gen extern­er Rechen­zen­tren (siehe auch Anlage 2). Für diese Rechen­zen­tren hat Insid­ers Vere­in­barun­gen über Auf­tragsver­ar­beitung abgeschlossen, in der auf den Rechen­zen­trums­be­trieb aus­gerichtete tech­nis­che und organ­isatorische Maß­nah­men fest­gelegt sind.
    • Die für Ama­zon Web Ser­vices bei Abschluss der vor­liegen­den Vere­in­barung über Auf­tragsver­ar­beitung gel­tenden tech­nis­chen und organ­isatorischen Maß­nah­men sind im DPA (AWS GDPR Data Pro­tec­tion Adden­dum) von AWS unter https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf zu find­en (siehe auch Anlage 1a). Die für die Open­Telekom Cloud gel­tenden tech­nis­chen und organ­isatorischen Maß­nah­men sind in Anhang III der „Ergänzen­den Bedin­gun­gen Auf­tragsver­ar­beitung (ErgB-AV) für die Open Telekom Cloud“ zu find­en (siehe auch Anlage 1b).Auf die übrige Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch Insid­ers find­en die in den fol­gen­den Zif­fern 3 bis 8 beschriebe­nen tech­nis­chen und organ­isatorischen Maß­nah­men Anwen­dung.
    • Die tech­nis­chen und organ­isatorischen Maß­nah­men beziehen sich auf die Maß­nah­men bei Insid­ers, jew­eils erforder­lichen­falls ergänzt um umge­set­zte Maß­nah­men im exter­nen Rechen­zen­trum für Colocation/Housing und/oder um umge­set­zte Maß­nah­men in der Cloud-Umge­bung bei Insid­ers.
  • Kun­den­dat­en
    • Alle Insid­ers von Kun­den im Sinne von Zif­fer 3.1 über­lasse­nen Dat­en wer­den zen­tral im Sup­port ver­wal­tet. Daten­träger und Doku­mente in Papier­form wer­den zugriff­s­sich­er ver­schlossen gelagert. Elek­tro­n­is­che Doku­mente wer­den zen­tral und logisch getren­nt abgelegt. Für die Ablage von Kun­den­dat­en ste­hen dedi­zierte File­serv­er und Daten­bankserv­er in einem exter­nen Rechen­zen­trum zur Ver­fü­gung.
    • Die Ablage dieser Dat­en erfol­gt zu Sicher­heit­szweck­en in pseu­do­nymisiert­er Form. Die Zuord­nung von Dat­en zu Kun­den erfol­gt hier­bei über Sup­port­mi­tar­beit­er. Als weit­ere Sicher­heits­maß­nahme wer­den die Kun­den­dat­en File­serv­er-basiert auf einem hard­ware­ver­schlüs­sel­ten Plat­ten­sys­tem abgelegt.
    • Zugriff auf die Kun­den­dat­en erhal­ten nur autorisierte Mitar­beit­er und auch diese auss­chließlich für die jew­eils benötigten Kun­den­dat­en. Hierzu wer­den für elek­tro­n­is­che Doku­mente auf Dateiebene Rechte für die entsprechen­den Benutzer fest­gelegt. Papier­doku­mente wer­den nur gegen Unter­schrift her­aus­gegeben. Für Mitar­beit­er, die Zugriff auf Kun­den­dat­en benöti­gen, existiert ein dezi­diertes Berech­ti­gungskonzept, das im Falle sich ändern­der Anforderun­gen angepasst wird.
  • Betrieb­sstät­ten

Insid­ers ver­ar­beit­et Dat­en im Rah­men des mobilen Arbeit­ens auch außer­halb der Betrieb­sstät­ten Kaiser­slautern, München und Berlin. Dabei sind alle beschriebe­nen tech­nis­chen und organ­isatorischen Maß­nah­men angemessen zu beacht­en. Ins­beson­dere erfol­gt der Zugriff auf die Dat­en der Kun­den nur über eine gesicherte VPN-Verbindung, die Ver­ar­beitung der Dat­en nur auf gegen Fremdzu­griff gesicherten Endgeräten und die Mitar­beit­er haben sich­er zu stellen, dass Doku­mente in Papier­form, die Dat­en der Kun­den enthal­ten, wirk­sam vor dem Zugriff Unbefugter geschützt sind. Insid­ers ergreift geeignete Maß­nah­men, um die Ein­hal­tung dieser Vor­gaben durch seine Mitar­beit­er zu ermöglichen, zu fördern und zu überwachen.

  • Ver­traulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
    • Zutrittskon­trolle

Kein unbefugter Zutritt zu Daten­ver­ar­beitungsan­la­gen, z.B.: Mag­net- oder Chip­karten, Schlüs­sel, elek­trische Türöffn­er, Werkschutz bzw. Pfört­ner, Alar­man­la­gen, Videoan­la­gen.

Es existieren fol­gende Maß­nah­men zur Zutrittskon­trolle in den Gebäu­den bei Insid­ers:

  • Alar­man­lage
  • Bewe­gungsmelder
  • Schlüs­sel­regelung (Schlüs­se­laus­gabe etc.)
  • Pro­tokol­lierung der Besuch­er / Tra­gen von Besucher­ausweisen
  • Begleitung von Besuch­ern
  • Transpon­der-Schließsys­tem
  • Manuelles Schließsys­tem
  • Videoüberwachung der Zugänge
  • Sicher­heitss­chlöss­er
  • Per­so­n­enkon­trolle beim Emp­fang
  • Sorgfältige Auswahl von Dien­stleis­tern, ins­beson­dere von Reini­gungsper­son­al
  • Zutritts­beschränkung zu Sicher­heit­szo­nen

Zusät­zlich zu den vorste­hen­den Maß­nah­men im exter­nen Rechen­zen­trum für Colocation/Housing umge­set­zte Maß­nah­men:       

  • Mehrstu­figes Zugangskon­troll­sys­tem
  • Videoüberwachung im Ein­gangs­bere­ich zum und im Rechen­zen­trum
  • Ein­bruch­meldean­lage und Ein­satz eines Sicher­heits­di­en­stes
  • Überwacht­es Betrieb­s­gelände und Leit­stelle
  • Zugangskon­trolle

Keine unbefugte Sys­tem­be­nutzung, z.B.: (sichere) Ken­nwörter, automa­tis­che Sper­rmech­a­nis­men, Zwei-Fak­tor-Authen­tifizierung, Ver­schlüs­selung von Daten­trägern.

Es existieren fol­gende Maß­nah­men zur Zugangskon­trolle bei Insid­ers:

  • Zuord­nung von Benutzer­recht­en
  • Ver­wen­dung von Benutzer­rollen
  • Pass­wortver­gabe
  • Automa­tis­che Sper­rung von Accounts nach mehrfach­er Fehleingabe
  • Automa­tis­che Bild­schirmsperre
  • Ver­wen­dung von Pass­wort-Richtlin­ien
  • Authen­tifika­tion mit Benutzername/Passwort
  • Ein­satz von Intru­sion-Pre­ven­tion-Sys­te­men
  • Ein­satz von Anti-Viren-Soft­ware
  • Ein­satz eines Extend­ed Detec­tion and Response (XDR) Sys­tems
  • Ein­satz von Hard­ware-/Soft­ware-Fire­walls
  • Erstellen von Benutzer­pro­filen
  • Zuord­nung von Benutzer­pro­filen zu IT-Sys­te­men
  • Ein­satz von VPN-Tech­nolo­gie mit mehrstu­figer Authen­tifizierung
  • Pro­tokol­lierung von Benutzer­an­mel­dun­gen
  • Ver­wen­dung von Net­zw­erk­sicher­heit­szo­nen             

In den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers existieren die fol­gen­den Maß­nah­men:          

  • Rol­len­basiertes Berech­ti­gungskonzept
  • Ver­wen­dung von Pass­wort-Richtlin­ien
  • Mehrfak­tor-Authen­tifizierung
  • Ver­wen­dung von IP-Fil­tern
  • Automa­tis­ches Aus­loggen von Benutzern nach Inak­tiv­ität
  • Automa­tis­ches Aus­loggen von Benutzern nach Ablauf der max­i­malen Ses­sion­dauer
  • Mul­ti-Account-Architek­tur ermöglicht Iso­la­tion von Benutzern und Sys­te­men
  • Ver­schlüs­selung per­so­n­en­be­zo­gen­er Dat­en At-Rest (außer smart FLOW) und In-Tran­sit
  • Auf­be­wahrung der Mas­ter-Keys zur Ver­schlüs­selung der Dat­en in AWS in einem Schlüs­selver­wal­tungssys­tem der OTC
  • Ver­schlüs­selung von Laufw­erken, File­share und Object-Stor­age
  • App­lika­tion­s­seit­ige, kun­denin­di­vidu­elle Ver­schlüs­selung von daten­schutzrel­e­van­ten Dat­en (außer smart FLOW)
  • Ein­satz von Net­work Access Con­trol Lists und Secu­ri­ty Groups
  • Ein­satz von Next-Gen­er­a­tion Anti-Viren-Soft­ware
  • Ein­satz ein­er Next-Gen­er­a­tion Fire­wall
  • Ein­satz eines Extend­ed Detec­tion and Response Sys­tems (XDR)
  • Zugriff­skon­trolle

Kein unbefugtes Lesen, Kopieren, Verän­dern oder Ent­fer­nen inner­halb des Sys­tems, z.B.: Berech­ti­gungskonzepte und bedarf­s­gerechte Zugriff­s­rechte, Pro­tokol­lierung von Zugrif­f­en.

Es existieren fol­gende Maß­nah­men zur Zugriff­skon­trolle bei Insid­ers:

  • Pass­wor­trichtlin­ie inkl. Pass­wortlänge, Pass­wortwech­sel
  • Ein­satz eines Berech­ti­gungskonzepts
  • Ver­wal­tung der Rechte durch Sys­temad­min­is­tra­tor
  • Anzahl der Admin­is­tra­toren auf das „Notwendig­ste“ reduziert
  • Pro­tokol­lierung von An-/Ab­mel­dun­gen am Active Direc­to­ry
  • Ein­satz eines Intru­sion-Pre­ven­tion-Sys­tem (IPS)
  • Hard­ware-/soft­ware­ver­schlüs­selte Plat­ten bei allen PCs und Lap­tops außer­halb von Sicher­heit­szo­nen
  • Sichere Auf­be­wahrung von Daten­trägern
  • Ein­satz von Akten­ver­nichtern bzw. Dien­stleis­tern
  • Ord­nungs­gemäße Ver­nich­tung von Daten­trägern (DIN 66399, Schutzk­lasse 2, Sicher­heitsstufe H4)
  • Ord­nungs­gemäße Ver­nich­tung von Papierun­ter­la­gen (DIN 66399, Schutzk­lasse 3, Sicher­heitsstufe P4)
  • Pro­tokol­lierung der Ver­nich­tung

In den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers existieren die fol­gen­den Maß­nah­men:

  • Pass­wor­trichtlin­ie inkl. Pass­wortlänge, Pass­wortwech­sel
  • Rol­len­basiertes Berech­ti­gungskonzept
  • Mehrfak­tor-Authen­tifizierung
  • Ein­hal­tung des “Least-Privilege”-Prinzips bei der Ver­gabe von Recht­en
  • Kon­fig­u­ra­tion von Zugriff­s­richtlin­ien
  • Pro­tokol­lierung und Überwachung von An-/Ab­mel­dun­gen am Active Direc­to­ry
  • Mul­ti-Account-Architek­tur ermöglicht Iso­la­tion von Benutzern und Sys­te­men
  • Regelmäßige Reviews der Rollen und Berech­ti­gun­gen
  • Pro­tokol­lierung von Zugrif­f­en auf Anwen­dun­gen, ins­beson­dere bei der Eingabe, Änderung und Löschung von Dat­en
  • Regelmäßige Pen­e­tra­tionstests aller Insid­ers Cloud Anwen­dun­gen
  • Absicherung der Dat­en In-Use durch vir­tu­al­isierte Rechenin­stanzen mit geschütztem Hyper­vi­sor. Bei AWS kommt ein Nitro Hyper­vi­sor zum Ein­satz.
  • Tren­nungskon­trolle

Getren­nte Ver­ar­beitung von Dat­en, die zu unter­schiedlichen Zweck­en erhoben wur­den, z.B. Man­dan­ten­fähigkeit, Sand­box­ing.

Es existieren fol­gende Maß­nah­men zur Tren­nungskon­trolle bei Insid­ers:

  • Ein­satz eines Berech­ti­gungskonzepts
  • Fes­tle­gung von Daten­bankrecht­en
  • Ver­wen­dung dedi­ziert­er File- und Daten­bankserv­er
  • Ablage bere­it­gestell­ter Sup­port­dat­en in pseu­do­nymisiert­er Form     
  • Logis­che Man­dan­ten­tren­nung (soft­ware­seit­ig)

In den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers existieren die fol­gen­den Maß­nah­men:

  • Rol­len­basiertes Berech­ti­gungskonzept
  • Ablage bere­it­gestell­ter Sup­port­dat­en in pseu­do­nymisiert­er Form
  • Logis­che Man­dan­ten­tren­nung (soft­ware­seit­ig)
  • Mul­ti-Account Architek­tur zur voll­ständi­gen Tren­nung von Test- und Pro­duk­tivsys­te­men
  • Bere­it­stel­lung eines Sand­box-Accounts zu Testzweck­en
  • Kun­den­spez­i­fis­che Ver­schlüs­selung von Anwen­dungs­dat­en (außer smart FLOW)
  • Ver­wen­dung von Row-Lev­el-Secu­ri­ty auf Daten­bankebene
  • Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
    • Weit­er­gabekon­trolle

Kein unbefugtes Lesen, Kopieren, Verän­dern oder Ent­fer­nen bei elek­tro­n­is­ch­er Über­tra­gung oder Trans­port, z.B.: Ver­schlüs­selung, Vir­tu­al Pri­vate Net­works (VPN), elek­tro­n­is­che Sig­natur

Es existieren fol­gende Maß­nah­men zur Weit­er­gabekon­trolle bei Insid­ers:

  • Trans­portver­schlüs­selung beim E‑Mail-Ver­sand (TLS-Ver­schlüs­selung)
  • SMIME Sig­nierung und Ver­schlüs­selung von E‑Mails bei Bedarf
  • Absicherung der Online-Daten­trans­fers durch geschützte Über­tra­gungswege (HTTPS, VPN)
  • Regelun­gen (u.a. arbeit­srechtliche) für den Umgang mit Dat­en und IT-Struk­turen
  • Weit­er­gabe von Kun­den­dat­en auss­chließlich auf Weisung des Kun­den

Zusät­zlich zu den vorste­hen­den Maß­nah­men in den Cloud-Umge­bun­gen von AWS und OTC von Insid­ers umge­set­zte Maß­nah­men:

  • Ein­satz von VPN-Tun­neln
  • Ver­schlüs­selung In-Tran­sit aller per­so­n­en­be­zo­gen­er Dat­en gemäß Empfehlun­gen des BSI
  • Client­seit­ige Ver­schlüs­selung At-Rest aller per­so­n­en­be­zo­gen­er Dat­en gemäß Empfehlun­gen des BSI (außer smart FLOW)
  • Auf­be­wahrung der Schlüs­sel in einem von AWS getren­nten, exter­nen Key Man­age­ment Sys­tem
  • Eingabekon­trolle

Fest­stel­lung, ob und von wem per­so­n­en­be­zo­gene Dat­en in Daten­ver­ar­beitungssys­teme eingegeben, verän­dert oder ent­fer­nt wor­den sind, z.B.: Pro­tokol­lierung, Doku­menten­man­age­ment.

Es existieren fol­gende Maß­nah­men zur Eingabekon­trolle bei Insid­ers:            

  • Für Sup­port- und Entwick­lungszwecke für Kun­den find­et keine Eingabekon­trolle statt, weil hier­bei nur Test- und Entwick­lungssys­teme einge­set­zt wer­den.

Zusät­zlich zu den vorste­hen­den Maß­nah­men in den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers umge­set­zte Maß­nah­men:

  • Tren­nung von Produktiv‑, Entwick­lungs- und Test­sys­te­men
  • Pro­tokol­lierung der Eingabe, Änderung und Löschung von Dat­en im Pro­duk­tivsys­tem
  • Nachvol­lziehbarkeit von Eingabe, Änderung und Löschung von Dat­en durch indi­vidu­elle Benutzer­na­men (nicht Benutzer­grup­pen)
  • Ver­gabe von Recht­en zur Eingabe, Änderung und Löschung von Dat­en auf Basis eines Berech­ti­gungskonzepts
  • Nachvol­lziehbarkeit durch Schreiben und Überwachen von Audit Logs
  • Schutz der Log­dateien

  • Ver­füg­barkeit und Belast­barkeit (Art. 32 Abs. 1 lit. b DS-GVO)
    • Ver­füg­barkeit­skon­trolle

Schutz gegen zufäl­lige oder mutwillige Zer­störung bzw. Ver­lust, z.B.: Back­up-Strate­gie (online/offline; on-site/off-site), unter­brechungs­freie Stromver­sorgung (USV), Viren­schutz, Fire­wall, Meldewege und Not­fallpläne.

Es existieren fol­gende Maß­nah­men zur Ver­füg­barkeit­skon­trolle bei Insid­ers:

  • Testen von Daten­wieder­her­stel­lung
  • Auf­be­wahrung von Daten­sicherun­gen an einem sicheren, aus­ge­lagerten Ort
  • Erstellen eines Back­up- & Recov­erykonzepts
  • Erstellen eines Not­fallplans
  • Ver­wen­dung von Hard­war­ere­dun­danzen
  • Ver­wen­dung von Clus­tern (VMWare, Daten­banken etc.)
  • Regelmäßige Verteilung von Win­dows- und Soft­ware-Updates auf allen inter­nen PC, Servern und VMs über Patch Man­age­ment Tool
  • Ver­wen­dung von Viren­scan­nern
  • Ein­satz eines Extend­ed Detec­tion and Response (XDR) Sys­tems
  • Ver­wen­dung von Fire­walls
  • Asyn­chron gespiegelte Stor­age-Sys­teme
  • Rauch­melder      

Zusät­zlich zu den vorste­hen­den Maß­nah­men im exter­nen Rechen­zen­trum für Colocation/Housing umge­set­zte Maß­nah­men:

  • Unter­brechungs­freie Stromver­sorgung (USV)
  • Not­stromver­sorgung über Diesel­gen­er­a­tor
  • Geräte zur Überwachung von Tem­per­atur und Feuchtigkeit in Server­räu­men
  • Feuer- und Rauch­meldean­la­gen
  • Alar­m­mel­dung bei unberechtigten Zutrit­ten zu Server­räu­men
  • Redun­dante Kälte- und Kli­maver­sorgung
  • Brand­meldesys­teme mit Früherken­nung
  • Gaslöschan­lage
  • Schutzsteck­dosen­leis­ten in Server­räu­men
  • Anbindung über redun­dante, dedi­zierte Glas­faser­streck­en

In den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers existieren die fol­gen­den Maß­nah­men:

  • Regelmäßige, automa­tisierte Back­ups aller pro­duk­tiv­en Daten­spe­ich­er
  • Ablage von Back­ups in einem gesicherten, hochver­füg­baren Back­up­tre­sor
  • Durch­führen von Wieder­her­stel­lung­stests
  • Durch­führen von Aus­fall­tests
  • Ein­satz von Next-Gen­er­a­tion Anti-Viren-Soft­ware
  • Ein­satz ein­er Next-Gen­er­a­tion Fire­wall
  • Ein­satz eines Extend­ed Detec­tion and Response Sys­tems (XDR)
  • Ein­satz eines Secu­ri­ty Oper­a­tion Cen­ter (SOC) zur 24/7 Überwachung
  • Syn­chron gespiegelte Dateis­pe­ich­er
  • Hochver­füg­bare Pro­duk­tivumge­bung
  • Dreifache Redun­danz und Aufteilung der Pro­duk­tivumge­bung auf drei getren­nte Rechen­zen­tren bei AWS, zweifache Redun­danz bei OTC
  • Rasche Wieder­her­stel­lung (Art. 32 Abs. 1 lit. c) DS-GVO)

Es existieren fol­gende Maß­nah­men zur raschen Wieder­her­stel­lung:

  • Tägliche automa­tis­che Snap­shot­er­stel­lung
  • Bei Changes: geson­derte, manuelle Snap­shot­er­stel­lung
  • Automa­tis­che Erstel­lung von Daten­bankdumps

Zusät­zlich zu allen vorste­hen­den Maß­nah­men in den Cloud-Umge­bun­gen von AWS und OTC bei Insid­ers umge­set­zte Maß­nah­men:

  • Regelmäßige, automa­tisierte Back­ups aller pro­duk­tiv­en Daten­spe­ich­er
  • Bei Changes: geson­derte, manuelle Back­ups
  • Automa­tisiertes Ein­richt­en der Infra­struk­tur durch Infra­struc­ture-As-Code
  • Ver­fahren zur regelmäßi­gen Über­prü­fung, Bew­er­tung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Insid­ers trifft fol­gende Maß­nah­men zur regelmäßi­gen Über­prü­fung, Bew­er­tung und Evaluierung bei Insid­ers:

  • Daten­schutz-Man­age­ment
    • Prü­fung der ver­traglichen Regelun­gen mit Mitar­beit­ern und ggf. Mitar­beit­ern extern­er Dien­stleis­ter
      • Ver­traulichkeitsvere­in­barung;
      • Belehrung und Verpflich­tung auf das Datenge­heim­nis sowie das Sozial­ge­heim­nis gemäß Sozialge­set­zbuch (§ 35 SGB I und § 80 SGB X);
      • Vere­in­barung über die Nutzung der IT- und TK-Infra­struk­tur;
      • Sicherung der Urhe­ber­rechte bei Insid­ers bzw. beim Kun­den, sofern dies vere­in­bart ist;
      • Belehrung und Verpflich­tung auf weit­ere daten­schutzrel­e­vante Vorschriften und Geset­ze, ins­beson­dere das Post­ge­heim­nis gemäß Post­ge­setz (§§ 39, 41 PostG), das Fer­n­meldege­heim­nis gemäß Telekom­mu­nika­tion-Teleme­di­en-Daten­schutz-Gesetz (§ 3 TTDSG) sowie § 203 StGB.
    • Regelmäßige Daten­schutzschu­lun­gen
    • Ver­fahren zur regelmäßi­gen Über­prü­fung der Wirk­samkeit der getrof­fe­nen Maß­nah­men
  • Inci­dent-Response-Man­age­ment
  • Daten­schutzfre­undliche Vor­e­in­stel­lun­gen (Art. 25 Abs. 2 DS-GVO)
  • Auf­tragskon­trolle

Keine Auf­tragsver­ar­beitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auf­tragge­bers, z.B.: Ein­deutige Ver­trags­gestal­tung, for­mal­isiertes Auf­trags­man­age­ment, strenge Auswahl des Dien­stleis­ters, Vor­abüberzeu­gungspflicht, Nachkon­trollen.

  • Auswahl des Auf­trag­nehmers unter Sorgfalts­gesicht­spunk­ten (ins­beson­dere hin­sichtlich Daten­sicher­heit)
  • doku­men­tierte Weisun­gen an den Auf­trag­nehmer (z.B. durch Auf­tragsver­ar­beitungsver­trag)
  • Auf­trag­nehmer hat Daten­schutzbeauf­tragten bestellt
  • Wirk­same Kon­troll­rechte gegenüber dem Auf­trag­nehmer vere­in­bart
  • vorherige Prü­fung und Doku­men­ta­tion der beim Auf­trag­nehmer getrof­fe­nen Sicher­heits­maß­nah­men
  • Verpflich­tung der Mitar­beit­er des Auf­trag­nehmers auf das Datenge­heim­nis
  • Sich­er­stel­lung der Ver­nich­tung von Dat­en nach Beendi­gung des Auf­trags
  • Über­prü­fung des Auf­trag­nehmers und sein­er Tätigkeit­en
  • Verän­derun­gen der Sicher­heitsstruk­tur

Insid­ers passt seine Sicher­heitsstruk­tur regelmäßig dem tech­nis­chen Fortschritt sowie den rechtlichen und ver­traglichen Erfordernissen an. Das Daten­sicher­heit­skonzept mit den hier ref­eren­zierten Inhal­ten wird min­destens jährlich aktu­al­isiert. Bei wesentlichen Änderun­gen der Sys­teme und/oder der angewen­de­ten Maß­nah­men erfol­gt die Aktu­al­isierung zum Zeit­punkt der erfol­gten Änderun­gen. 

AWS führt regelmäßige Über­prü­fun­gen der Sicher­heit seines AWS-Net­zw­erks und der Angemessen­heit seines Infor­ma­tion­ssicher­heit­spro­gramms durch, gemessen an den Sicher­heits­stan­dards der Branche und seinen Richtlin­ien und Ver­fahren. AWS wird die Sicher­heit seines AWS-Net­zes und der zuge­höri­gen Dien­ste fort­laufend bew­erten, um festzustellen, ob zusät­zliche oder andere Sicher­heits­maß­nah­men erforder­lich sind, um auf neue Sicher­heit­srisiken oder Erken­nt­nisse aus den regelmäßi­gen Über­prü­fun­gen zu reagieren.

  1. Zer­ti­fizierun­gen

Zum Zeit­punkt der Erstel­lung dieses Doku­mentes kön­nen die fol­gen­den Zer­ti­fizierun­gen nachgewiesen wer­den:

  • ISO/IEC 27001:2017, Zer­ti­fikat-Reg­istri­er-Nr. 73 121 6688 (Insid­ers Tech­nolo­gies GmbH)
  • ISO/IEC 27001:2017, Zer­ti­fikat-Reg­istri­er-Nr. 2209/Z3407 (Externes Rechen­zen­trum für Colocation/Housing)
  • ISO/IEC 27001:2013, Zer­ti­fikat-Nr. 2013-009 (Ama­zon Web Ser­vices, Inc.)
  • ISO/IEC 27017:2015, Zer­ti­fikat-Nr. 2015-015 (Ama­zon Web Ser­vices, Inc.)
  • ISO/IEC 27018:2019, Zer­ti­fikat-Nr. 2015-016 (Ama­zon Web Ser­vices, Inc.)
  • ISO/IEC 27701:2019, Zer­ti­fikat-Nr. 2021-035 (Ama­zon Web Ser­vices, Inc.)
  • ISO/IEC 27001:2017, Zer­ti­fikat-Nr. DS-1215044/2 (Deutsche Telekom AG)
  • ISO/IEC 22301:2020, Zer­ti­fikat-Nr. DS1215046/2 (Deutsche Telekom AG)
  • Trust­ed Cloud-Daten­schutzpro­fil für Cloud-Dien­ste (TCDP) (T‑Systems Inter­na­tion­al GmbH für den Dienst Open Telekom Cloud, Zer­ti­fikats Reg­istri­er-Nr.: DS-0817020/1–4


Anlage 1a: AWS Secu­ri­ty Stan­dards

Cap­i­talised terms not oth­er­wise defined in this doc­u­ment have the mean­ings assigned to them in the Agree­ment [https://aws.amazon.com/agreement/].

  1. Infor­ma­tion Secu­ri­ty Pro­gram.

AWS will main­tain an infor­ma­tion secu­ri­ty pro­gram designed to (a) enable Cus­tomer to secure Cus­tomer Data against acci­den­tal or unlaw­ful loss, access, or dis­clo­sure, (b) iden­ti­fy rea­son­ably fore­see­able risks to the secu­ri­ty and avail­abil­i­ty of the AWS Net­work, and © min­i­mize phys­i­cal and log­i­cal secu­ri­ty risks to the AWS Net­work, includ­ing through reg­u­lar risk assess­ment and test­ing. AWS will des­ig­nate one or more employ­ees to coor­di­nate and be account­able for the infor­ma­tion secu­ri­ty pro­gram. AWS’s infor­ma­tion secu­ri­ty pro­gram will include the fol­low­ing mea­sures:

  1. Log­i­cal Secu­ri­ty.
  2. Access Con­trols. AWS will make the AWS Net­work acces­si­ble only to autho­rized per­son­nel, and only as nec­es­sary to main­tain and pro­vide the Ser­vices. AWS will main­tain access con­trols and poli­cies to man­age autho­riza­tions for access to the AWS Net­work from each net­work con­nec­tion and user, includ­ing through the use of fire­walls or func­tion­al­ly equiv­a­lent tech­nol­o­gy and authen­ti­ca­tion con­trols. AWS will main­tain access con­trols designed to (i) restrict unau­tho­rized access to data, and (ii) seg­re­gate each customer’s data from oth­er cus­tomers’ data.
  3. Restrict­ed User Access. AWS will (i) pro­vi­sion and restrict user access to the AWS Net­work in accor­dance with least priv­i­lege prin­ci­ples based on per­son­nel job func­tions, (ii) require review and approval pri­or to pro­vi­sion­ing access to the AWS Net­work above least priv­i­leged prin­ci­ples, includ­ing admin­is­tra­tor accounts; (iii) require at least quar­ter­ly review of AWS Net­work access priv­i­leges and, where nec­es­sary, revoke AWS Net­work access priv­i­leges in a time­ly man­ner, and (iv) require twofac­tor authen­ti­ca­tion for access to the AWS Net­work from remote loca­tions.
  4. Vul­ner­a­bil­i­ty Assess­ments. AWS will per­form reg­u­lar exter­nal vul­ner­a­bil­i­ty assess­ments and pen­e­tra­tion test­ing of the AWS Net­work, and will inves­ti­gate iden­ti­fied issues and track them to res­o­lu­tion in a time­ly man­ner.
  5. Appli­ca­tion Secu­ri­ty. Before pub­licly launch­ing new Ser­vices or sig­nif­i­cant new fea­tures of Ser­vices, AWS will per­form appli­ca­tion secu­ri­ty reviews designed to iden­ti­fy, mit­i­gate and reme­di­ate secu­ri­ty risks.
  6. Change Man­age­ment. AWS will main­tain con­trols designed to log, autho­rize, test, approve and doc­u­ment changes to exist­ing AWS Net­work resources, and will doc­u­ment change details with­in its change man­age­ment or deploy­ment tools. AWS will test changes accord­ing to its change man­age­ment stan­dards pri­or to migra­tion to pro­duc­tion. AWS will main­tain process­es designed to detect unau­tho­rized changes to the AWS Net­work and track iden­ti­fied issues to a res­o­lu­tion.
  7. Data Integri­ty. AWS will main­tain con­trols designed to pro­vide data integri­ty dur­ing trans­mis­sion, stor­age and pro­cess­ing with­in the AWS Net­work. AWS will pro­vide Cus­tomer the abil­i­ty to delete Cus­tomer Data from the AWS Net­work.
  8. Busi­ness Con­ti­nu­ity and Dis­as­ter Recov­ery. AWS will main­tain a for­mal risk man­age­ment pro­gram designed to sup­port the con­ti­nu­ity of its crit­i­cal busi­ness func­tions (“Busi­ness Con­ti­nu­ity Pro­gram”). The Busi­ness Con­ti­nu­ity Pro­gram includes process­es and pro­ce­dures for iden­ti­fi­ca­tion of, response to, and recov­ery from, events that could pre­vent or mate­ri­al­ly impair AWS’s pro­vi­sion of the Ser­vices (a “BCP Event”). The Busi­ness Con­ti­nu­ity Pro­gram includes a three-phased approach that AWS will fol­low to man­age BCP Events:

(i) Acti­va­tion & Noti­fi­ca­tion Phase. As AWS iden­ti­fies issues like­ly to result in a BCP Event, AWS will esca­late, val­i­date and inves­ti­gate those issues. Dur­ing this phase, AWS will ana­lyze the root cause of the BCP Event.

(ii) Recov­ery Phase. AWS assigns respon­si­bil­i­ty to the appro­pri­ate teams to take steps to restore nor­mal sys­tem func­tion­al­i­ty or sta­bi­lize the affect­ed Ser­vices.

(iii) Recon­sti­tu­tion Phase. AWS lead­er­ship reviews actions tak­en and con­firms that the recov­ery effort is com­plete and the affect­ed por­tions of the Ser­vices and AWS Net­work have been restored. Fol­low­ing such con­fir­ma­tion, AWS con­ducts a post-mortem analy­sis of the BCP Event.

  • Inci­dent Man­age­ment. AWS will main­tain cor­rec­tive action plans and inci­dent response plans to respond to poten­tial secu­ri­ty threats to the AWS Net­work. AWS inci­dent response plans will have defined process­es to detect, mit­i­gate, inves­ti­gate, and report secu­ri­ty inci­dents. The AWS inci­dent response plans include inci­dent ver­i­fi­ca­tion, attack analy­sis, con­tain­ment, data col­lec­tion, and prob­lem reme­di­a­tion. AWS will main­tain an AWS Secu­ri­ty Bul­letin (as of the Effec­tive Date, http://aws.amazon.com/security/security-bulletins/) which pub­lish­es and com­mu­ni­cates secu­ri­ty relat­ed infor­ma­tion that may affect the Ser­vices and pro­vides guid­ance to mit­i­gate the risks iden­ti­fied.
  • Stor­age Media Decom­mis­sion­ing. AWS will main­tain a media decom­mis­sion­ing process that is con­duct­ed pri­or to final dis­pos­al of stor­age media used to store Cus­tomer Data. Pri­or to final dis­pos­al, stor­age media that was used to store Cus­tomer Data will be degaussed, erased, purged, phys­i­cal­ly destroyed, or oth­er­wise san­i­tized in accor­dance with indus­try stan­dard prac­tices designed to ensure that the Cus­tomer Data can­not be retrieved from the applic­a­ble type of stor­age media.
  1. Phys­i­cal Secu­ri­ty.
  2. Access Con­trols. AWS will (i) imple­ment and main­tain phys­i­cal safe­guards designed to pre­vent unau­tho­rized phys­i­cal access, dam­age, or inter­fer­ence to the AWS Net­work, (ii) use appro­pri­ate con­trol devices to restrict phys­i­cal access to the AWS Net­work to only autho­rized per­son­nel who have a legit­i­mate busi­ness need for such access, (iii) mon­i­tor phys­i­cal access to the AWS Net­work using intru­sion detec­tion sys­tems designed to mon­i­tor, detect, and alert appro­pri­ate per­son­nel of secu­ri­ty inci­dents, (iv) log and reg­u­lar­ly audit phys­i­cal access to the AWS Net­work, and (v) per­form peri­od­ic reviews to val­i­date adher­ence with these stan­dards.
  3. Avail­abil­i­ty. AWS will (i) imple­ment redun­dant sys­tems for the AWS Net­work designed to min­i­mize the effect of a mal­func­tion on the AWS Net­work, (ii) design the AWS Net­work to antic­i­pate and tol­er­ate hard­ware fail­ures, and (iii) imple­ment auto­mat­ed process­es designed to move cus­tomer data traf­fic away from the affect­ed area in the case of hard­ware fail­ure.
    1. AWS Employ­ees.
  1. Employ­ee Secu­ri­ty Train­ing. AWS will imple­ment and main­tain employ­ee secu­ri­ty train­ing pro­grams regard­ing AWS infor­ma­tion secu­ri­ty require­ments. The secu­ri­ty aware­ness train­ing pro­grams will be reviewed and updat­ed at least annu­al­ly.
  2. Back­ground Checks. Where per­mit­ted by law, and to the extent avail­able from applic­a­ble gov­ern­men­tal author­i­ties, AWS will require that each employ­ee under­go a back­ground inves­ti­ga­tion that is rea­son­able and appro­pri­ate for that employee’s posi­tion and lev­el of access to the AWS Net­work.
  3. Con­tin­ued Eval­u­a­tion.

AWS will con­duct peri­od­ic reviews of the infor­ma­tion secu­ri­ty pro­gram for the AWS Net­work. AWS will update or alter its infor­ma­tion secu­ri­ty pro­gram as nec­es­sary to respond to new secu­ri­ty risks and to take advan­tage of new tech­nolo­gies.

Anlage 1b: Ergänzende Bedin­gun­gen Auf­tragsver­ar­beitung (ErgB-AV) für Open Telekom Cloud

Anhang III aus Ergänzende Bedin­gun­gen Auf­tragsver­ar­beitung OTC. Ist unter dem Link

https://www.open-telekom-cloud.com/_Resources/Persistent/4/e/e/8/4ee848dc4ead2a3992eeb85035677d55e1b53936/open-telekom-cloud-ergaenzende-bedingungen-auftragsverarbeitung.pdf

zugänglich.

Anlage 2: Weit­ere Auf­tragsver­ar­beit­er

 Nutzungs­bes­tim­mungen Insid­ers Cloud der Insid­ers Tech­nolo­gies GmbH (Doku­mentver­sion: 01.02.2024, Doku­ment­name: Nutzungsbestimmungen_Insiders_Cloud)© Insid­ers Tech­nolo­gies GmbH, Kaiser­slautern 2024Alle Rechte vor­be­hal­ten. Nach­druck und son­stige Ver­w­er­tung, auch auszugsweise, sind nur zuläs­sig mit schriftlich­er Genehmi­gung der Insid­ers Tech­nolo­gies GmbH.Ein Teil der ver­wen­de­ten Namen sind geschützte Han­del­sna­men und/oder Marken der jew­eili­gen Her­steller.
Name / Fir­ma, Anschrift des Ver­tragspart­nersAuf­tragsin­haltStan­dorte der Rechen­zen­trenUmfang der Auf­tragsver­ar­beitung
Ama­zon Web Ser­vices EMEA SARL 38 avenue John F. Kennedy, L‑1855, Lux­em­burgRechen­zen­trum CLOUD-BetriebLocal Zone eu-cen­tral‑1 mit Stan­dorten in Frank­furt am MainAWS-Ser­vices zum Betrieb der Cloud-Lösung, ins­beson­dere Cloud Com­put­ing, File Sys­tem, Back­up, Stor­age, Sys­tem Man­age­ment, Load Bal­anc­ing
Telekom Deutsch­land GmbH Land­graben­weg 151, 53227 Bonn, Deutsch­landRechen­zen­trum CLOUD-BetriebRaum Magde­burg und Biere (D)Enve­lope Encryp­tion mit dem KMS Ser­vice der OTC Infra­struk­tur zum Betrieb der Microsoft OCR Instanz

Warenkorb
preloader