Wir, die EURO Kartensysteme GmbH, nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn Sie diese webbasierte Anwendung benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben, ausgenommen hiervon sind zur Abwicklung beauftragte Dienstleistungspartner. In diesen Fällen beschränkt sich der Umfang der übermittelten Daten auf das erforderliche Minimum.
Die verantwortliche Stelle für die Datenverarbeitung auf dieser webbasierten Anwendung ist:
EURO Kartensysteme GmbH
Geschäftsführung: Oliver Hommel (Vorsitzender), Susanne Raupbach
Solmsstraße 6
60486 Frankfurt a.M.
Telefon: +49 (0) 69 97945-0
E-Mail: support-eksnet@eurokartensysteme.de
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail- oder IP-Adressen o. Ä.) entscheidet.
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt.
RA Per Kristian Stöcker
c/o LLR Data Security and Consulting GmbH
Mevissenstraße 15
50668 Köln
E-Mail: eks-datenschutz@eurokartensysteme.de
Sie haben das Recht, eine erteilte Einwilligung zur Speicherung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft zu widerrufen, sofern nicht nach dem Recht der Europäischen Union oder dem Recht der Mitgliedsstaaten der Europäischen Union eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Nach Ablauf der gesetzlichen Aufbewahrungspflicht werden die Daten unverzüglich gelöscht.
Senden Sie eine E-Mail an unseren Datenschutzservice
E-Mail: support-eksnet@eurokartensysteme.de
mit Nennung Ihres Namens, des entsprechenden Nutzerprofils mit dem Betreff: Widerruf personenbezogener Daten.
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Sie haben ein Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten sowie ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Ausgenommen hiervon bleiben Daten, deren Berichtigung, Sperrung oder Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, außerdem Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung Ihres Vertragsverhältnisses mit uns erforderlich sind oder für Zwecke der Abrechnung gespeichert werden müssen.
Die Internetseiten verwenden teilweise so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.
Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Diese Cookies sind stets erforderlich, weil sie grundlegende Funktionen beinhalten und für den einwandfreien Betrieb dieser Website technisch notwendig sind. Daher werden “Session-Cookies” automatisch gesetzt (ohne Abfrage zur Einwilligung, gemäß § 25 TDDDG). Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Soweit andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
Für den Login zu EKS-Net benötigen wir personenbezogene Daten, da EKS-Net aufgrund des vertraulichen Inhalts nicht für die Öffentlichkeit bestimmt ist, sondern nur bestimmten Mitarbeitern der am System teilnehmenden Institute zugänglich sein soll. Um diesen Zugang nutzerfreundlich und jederzeit zu ermöglichen, ist eine Registrierung des Nutzers und somit die Speicherung personenbezogener Daten (Name, Telefon- und Faxnummer, E-Mail-Adresse, Institutszugehörigkeit und Institutsadresse) erforderlich. Diese Daten werden uns vom teilnehmenden Institut zu Verfügung gestellt.
Soweit Sie uns personenbezogene Daten zur Verfügung gestellt haben oder Ihre personenbezogenen Daten uns über das teilnehmende Institut übermittelt wurden, verwenden wir diese nur für die Bearbeitung Ihrer Zugangsberechtigung bzw. Ihrer Meldung sowie für die technische Administration.
Für wichtige Änderungen etwa beim Angebotsumfang oder bei technisch notwendigen Änderungen nutzen wir die bei der Anmeldung angegebene E-Mail-Adresse, um Sie auf diesem Wege zu informieren.
Die Verarbeitung der bei der Anmeldung eingegebenen User-Daten erfolgt auf Grundlage berechtigten Interesses (Art. 6 Abs. 1 lit. a DSGVO). Sie können eine von Ihnen erteilte Einwilligung jederzeit widerrufen. Dazu wenden Sie sich an den Administrator der Benutzerverwaltung Ihres Instituts. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Die bei der Anmeldung erfassten Daten werden von uns gespeichert bis die gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten erlischt.
Alle Vertreter der Verbände der Deutschen Kreditwirtschaft (DK) sowie die EKS teilen die Ansicht, dass keine IKT-Dienstleistung von der EKS,
durch den Betrieb des EKS-Net, erbracht wird. Als maßgebliche Argumente sind anzuführen, dass es sich (1) nicht um einen digitalen Dienst
und/oder Datendienst handelt und (2) dass die Dienstleistung nicht über IKT-Systeme bereitgestellt wird. Diese Einschätzung beruht überwiegend
auf dem Erwägungsgrund 35 DORA. Danach ist der Begriff der IKT-Dienstleistungen zwar weit auszulegen und nimmt faktisch nur analoge Telefondienste
davon aus. Da hier die Meldeplattform EKS-Net "nur" als ein Hilfsinstrument zur Erleichterung und Vereinfachung der Schadensmeldungen des
girocard-Systems herangezogen wird und die Meldungen ebenfalls per Fax von den Instituten an EKS gemeldet und an die Aufsichtsbehörden, nach
Konsolidierung durch EKS ebenfalls auf analogem Wege zur Verfügung gestellt werden könnten, liegt hier keine IKT-Dienstleistung vor. Es fehlt
hierfür an dem Vorhandensein eines digitalen Dienstes. Aufgrund des zuvor Dargestellten lässt sich folglich die Frage nach dem Vorliegen eines
digitalen Dienstes oder Datendienstes verneinen, denn nur allein die Tatsache, dass Daten über ein IKT-System zur Verfügung gestellt oder gemeldet
werden, hat keine "infizierende" Wirkung auf die Funktion dergestalt, dass diese automatisch auch ein digitaler Dienst oder Datendienst im Sinne
von DORA darstellt. In diesen Fällen spielt die vermeintliche IKT-Dienstleistung "nur" eine untergeordnete Rolle, weil sie als Hilfsmittel
(gegenüber der analogen Übermittlung) zur Dienstleistung dient.
Folglich handelt es sich bei EKS-Net nicht um einen digitalen Dienst und die Bereitstellung erfolgt nicht über ein IKT-System. Wir bitten daher von weiteren Anfragen und Auskunftsersuchen bezüglich DORA und EKS-Net als IKT-Dienstleistung abzusehen.
Herzlichen Dank!
der
Solmsstraße 6
60486 Frankfurt a. M.
Deutschland
Zwischen dem beauftragenden Institut ("Auftraggeber") und der Deutschen Kreditwirtschaft besteht die Vereinbarung über das "Deutsche Geldautomaten-System" (nachfolgend "GA-Vereinbarung") und die Vereinbarung über "ein institutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (girocard-System)" (nachfolgend "girocard-Vereinbarung"). Nach Ziff. 10 der girocard-Vereinbarung und Ziff. 14 der GA-Vereinbarung ist der Auftraggeber verpflichtet, gegenüber der von der Kreditwirtschaft beauftragten Stelle die Angaben zu machen, die erforderlich sind, um die Meldepflichten des girocard-Systems gegenüber dem Eurosystem zu erfüllen. Zur "beauftragten Stelle" wurde die EURO Kartensysteme GmbH (nachfolgend "EKS") ernannt. Auf Grundlage von Ziff. 13 der girocard-Vereinbarung und Ziff. 9 der GA-Vereinbarung wurde die EKS zudem mit der Erhebung, Abwicklung und Verwaltung von Schäden aus Verfügungen mit ge- oder verfälschten Debitkarten und diversen hiermit verbundenen Gemeinschaftsaufgaben für das girocard-System beauftragt (nachfolgend "Auftrag"). Zur Erfüllung der vorgenannten Aufgaben setzt die EKS das onlinegestützte System "EKS-Net" ein, über das die Institute die Schadenstransaktionen mit girocards und Co-Badges erfassen können. EKS erhebt, verarbeitet und nutzt in Erfüllung dieses Auftrages alle Daten im Zusammenhang mit den betroffenen Zahlungskarten, einschließlich Karteninhaberdaten, sowie die für die Erstattung von Schäden und die für die Identifikation der Schadensursache erforderlichen Daten.
Die nachstehenden Regelungen gelten für die Bereitstellung des Produktes "EKS-Net", in deren Rahmen die EKS personenbezogene Daten auf Weisung des Auftraggebers verarbeitet ("Auftragsverarbeitung"). Diese Reglungen konkretisieren die wechselseitigen datenschutzrechtlichen Verpflichtungen, die sich aus dem gem. Art. 28 DSGVO erforderlichen Mindestinhalt von Vereinbarungen über die Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auch auf sämtliche Tätigkeiten, bei denen durch EKS beauftragte und vom Auftraggeber genehmigte Unterauftragnehmer personenbezogene Daten des Auftraggebers verarbeiten oder mit diesen in Berührung kommen könnten.
Die nachfolgend in alphabetischer Reihenfolge gelisteten Begriffe gelten für die BAV EKS-Net:
Anwendbares Datenschutzrecht bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die auf den Verantwortlichen anwendbar sind, insbesondere die DSGVO;
Auftragsverarbeiter bezeichnet gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; im Rahmen der BAV EKS-Net ist EKS Auftragsverarbeiter;
Bestehende Hauptvereinbarungen meint die zwischen den Parteien anwendbaren Vereinbarungen der Deutschen Kreditwirtschaft wie die "GA-Vereinbarung" und "girocard-Vereinbarung", aus denen sich die Rechte und Pflichten zur Bereitstellung und Nutzung des Systems "EKS-Net" ergeben, in ihrer jeweils aktuellen und gültigen Fassung. Die EKS wird im Rahmen dieser Vereinbarungen durch die Deutsche Kreditwirtschaft beauftragt, das System "EKS-Net" für das Institut bereitzustellen;
Dritter bezeichnet gemäß Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
Drittland bezeichnet jedes Land, das nicht Teil der Europäischen Union oder des Europäischen Wirtschaftsraums ist;
DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;
Daten bezeichnet alle personenbezogenen Daten, die von dem Auftragsverarbeiter oder einem Unterauftragsverarbeiter im Auftrag und in Weisung des Auftraggebers gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden. Dies umfasst auch alle Daten von verbundenen Unternehmen von Kunden, die EKS auf Weisung des Auftraggebers verarbeitet;
Internationaler Datentransfer bezeichnet jede Übermittlung von Auftragsdaten in ein Drittland sowie jeden Zugriff auf Kundendaten aus einem Drittland;
Nebendienstleistungen sind Dienstleistungen, die unabhängig vom Gegenstand der Beauftragung erbracht werden, wie etwa Telekommunikationsdienste, die Entsorgung von Datenträgern oder anderweitige unterstützende IT-Dienstleistungen oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungsanlagen durch Dritte;
Personenbezogene Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Unterauftragsverarbeiter bezeichnet die Vertragspartner des Auftragsverarbeiters, die von diesem mit der Durchführung bestimmter Verarbeitungsaktivitäten für den Verantwortlichen beauftragt wird;
Verantwortlicher bezeichnet gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; im Rahmen dieser BAV EKS-Net ist der Auftraggeber der Verantwortliche;
Verarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Verbundene Unternehmen sind alle Unternehmen, die mit einer Partei gemäß §§ 15 ff. AktG verbunden sind.
EKS wird als Auftragsverarbeiterin keine Auskünfte über die Datenverarbeitung an Dritte oder eine betroffene Person erteilen, soweit EKS nicht selbst dazu rechtswirksam verpflichtet ist oder wird. Soweit eine betroffene Person sich diesbezüglich unmittelbar an EKS wendet, wird EKS dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Version: 1.1
Stand: 01.09.2024
Anlagen (nachfolgend):
Anlage Technisch-organisatorische Maßnahmen
Anlage Liste genehmigter Unterauftragsverarbeiter
Nach Artt.32, 24, 25 DSGVO
| Version | Status | Datum | Autor | Verantwortliche/r / Fachabteilung |
|---|---|---|---|---|
| 0.1 | Neu-Erstellung Vorlage. | 29.10.2021 | Per Kristian Stöcker | Ext. DSB |
| 0.2 | Ausarbeitung Fachseite. | 25.01.2022 | Sandra Königstein, EKS | |
| 1.0 | Finalisierung und Freigabe DSB | 17.03.2022 | Per Kristian Stöcker | Ext. DSB |
EKS-Net ist das onlinegestützte System zur Erfassung, Verwaltung, Auswertung und Prävention von Schäden mit Zahlungskarten. EKS-Net ist webbasiert und wird von der Bank-Verlag GmbH betrieben. Daher unterscheiden wir bei den Maßnahmen unternehmensseitig zwischen dem Bank-Verlag und der EURO Kartensysteme sowie anwendungsbezogen auf EKS-Net.
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. | |
| Sicherheitsanforderungen an EKS-Net entsprechen dem Stand der Technik. |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf/Berechtigung | |
| Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12 [Hinweis: Outsourcing] | |
| externer Datenschutzbeauftragter | |
| Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet | |
| Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich | |
| Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt | |
| Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach | |
| Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden |
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude-
und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder,
Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden.
Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren
Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch
organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei
Abwesenheit vorsieht) zu stützen:
| Alarmanlage | |
| Chipkarten Zugangskontrollsystem | |
| Manuelles Schließsystem | |
| Sicherheitsschlösser | |
| Absicherung der Gebäudeschächte | |
| Absicherung des Treppenhaus | |
| Schlüsselregelung | |
| Besucher in Begleitung durch Mitarbeiter | |
| Sorgfalt bei der Auswahl des Wachpersonals [Hinweis: Verantwortung des Eigentümers] | |
| Sorgfalt bei der Auswahl des Reinigungspersonal | |
| Klingelanlage (mit / ohne Kamera) | |
| Videoüberwachung der Gebäudezugänge / des Treppenhauses (an den Eingängen ausgewiesen) | |
| Besucherbuch /-protokoll |
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines "guten" Passworts):
| Login mit Nutzerkennung durch Eingabe von Nutzername und persönlichem Passwort in EKS-Net | |
| 2-Faktor-Authentifizierung außerhalb der Organisation | |
| Antiviren-Software-Clients / Server | |
| Firewall | |
| Mobile Device Management | |
| Verschlüsselung von Laptops | |
| Clean-Desk Policy | |
| BIOS Passwort | |
| Selektive Sperre externer Schnittstellen (USB) | |
| Automatische Desktopsperre | |
| Verwaltung von Benutzerrechten | |
| Erstellen von Benutzerprofilen | |
| Keine generische Benutzer | |
| Keine Sammelbenutzer | |
| Sichere und Komplexe Passwortrichtlinie | |
| Regelmäßige IT-Security-Schulungen | |
| Allg. Richtlinie zu Datenschutz und Sicherheit | |
| Incident-Response- Management [Hinweis: Outsourcing] | |
| Tier 3 Rechenzentrum nach ISO27001 [Hinweis: Outsourcing] |
| Unterhalten eines IT-Sicherheitskonzepts | |
| Monitoring von Datenzugriffen | |
| Einsatz von Firewall und regelmäßige Aktualisierung | |
| Einsatz von Spam Filtern und regelmäßige Aktualisierung | |
| IDS | |
| Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) | |
| Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen |
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln:
| Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation | |
| Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit | |
| Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln | |
| Schriftliche Weisungen an den Auftragnehmer | |
| Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis | |
| Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht | |
| Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer | |
| Regelung zum Einsatz weiterer Subunternehmer | |
| Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | |
| Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus |
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
| Administrationsprotokolle und Protokolle von Zugriffen | |
| Nutzer-Authentifizierung |
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten:
| Berechtigungskonzept / Mandantentrennung | |
| Keine administrativen Benutzer | |
| Verwaltung der Benutzerrechte durch externe Administratoren | |
| Datenschutztresor bzw. Aktenschrank, wenn papiergebunden Dokumente verarbeitet werden sollten (grds. nicht bei EKS-Net der Fall) |
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden:
| Trennung von Produktiv-, Test- & Entwicklungsumgebung | |
| Steuerung über Berechtigungskonzept | |
| Mandantenfähigkeit relevanter Anwendungen |
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.:
| Feuer- und Rauchmeldeanlagen | |
| Feuerlöscher im Serverraum [Hinweis: Outsourcing] | |
| Serverraum klimatisiert [Hinweis: Outsourcing] | |
| USV | |
| RAID Systeme | |
| Backup und Recovery Konzept | |
| Kontrolle des Sicherungsvorgangs | |
| Regelmäßige Tests zur Datenwiderherstellung und Protokollierung der Ergebnisse [Hinweis: Outsourcing] | |
| Aufbewahrung der Sicherheitsmedien an einem sicheren Ort außerhalb des Serverrraums [Hinweis: Outsourcing] | |
| TIER 3 Rechenzentrum nach ISO27001 [Hinweis: Outsourcing] |
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern:
| E-Mail-Verschlüsselung | |
| Einsatz von VPN | |
| Bereitstellen über verschlüsselte Verbindungen (sftp, https, scp) |
Version: 1.0
Stand: 17.03.2022
Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO:
| Unterauftragnehmer: innen | Aufgabe | Ansprechpartner: innen | Funktion | Kontakt (Anschrift, Telefon, E-Mail) |
|---|---|---|---|---|
| Atruvia AG |
|
Martin Stäble | Datenschutz- beauftragter |
Atruvia AG Fiduciastraße 20 76227 Karlsruhe +49(0)721400441451 datenschutz@atruvia.de |
| Bank-Verlag GmbH |
|
Frau Silvia C. Bauer Dr. Frank Simon |
Datenschutz- beauftragte Datenschutzko- ordinator |
c/o Luther Rechtsanwaltsgesellschaft mbH Anna-Schneider-Steig 22 50678 Köln +49(0)221 9973 25789 datenschutz@luther-lawfirm.com Bank-Verlag GmbH Vitalisstraße 67 50827 Köln +49(0)221 5490607 frank.simon@bank-verlag.de |
| Finanz Informatik GmbH & Co. KG |
|
Dirk Refflinghaus | Rechtsanwalt |
Finanz Informatik GmbH & Co. KG Laatzener Str. 5 30539 Hannover +49(0)511 51020 datenschutzbeauftragter@f-i.de |
| First Data Deutschland GmbH |
|
Antje Reinert |
Datenschutz- beauftragte Director Compliance |
First Data Deutschland GmbH Konrad-Adenauer-Alle 1 61118 Bad Vilbel +49(0)69 79331273 antje.reinert@firstdata.de |
| SRC Security Research & Consulting GmbH |
|
Florian Reichert | Datenschutz- beauftragter |
SRC Security Research & Consulting GmbH Adenauerallee 136 53113 Bonn +49(0)228 2272260 http://www.scheja-partner.de/kontakt/kontakt.html |
| VÖB-ZVD Processing GmbH |
|
Domenico Romanazzi | Datenschutz- beauftragter |
VÖB-ZVD Processing GmbH Postfach 26 01 32 53153 Bonn datenschutz@pagateq.com |
Version: 1.1
Stand: 06.08.2024