Letzte Aktualisierung: 15.05.2025
emerse GmbH | Werneckstr. 8 | 80802 München
| Lfd.
Nr. | Beschreibung der Maßnahme | Umsetzung beim Auftragsverarbeiter
|
| --- | --- | --- |
| 1. | Maßnahmen der Pseudonymisierung und Verschlüsselung | |
| 1.1 | Verschlüsselung von beweglichen Datenträgern (Laptops / Notebooks, USB Sticks, Smartphones etc.) | Ja (FileVault). |
| 1.2 | Verschlüsselte Datenübertragung bzw. Konzept für die Weitergabe von Daten | Ja. |
| 1.3 | E-Mail Verschlüsselung | Ja:
- Microsoft Purview Message Encryption
- AWS SES (TLS) |
| 1.4 | Eingesetzte Verschlüsselungsprotokolle entsprechen dem aktuellen Stand der Technik | Ja. |
| 1.5 | Einsatz von Testverfahren, die gewährleisten, dass keine personenbezogenen Daten zu Testzwecken verwendet
werden (z.B. Anonymisierung von Testdaten) | Ja. |
| 1.6 | Pseudonymisierung der Daten bezüglich der Verarbeitung | Ja, außer bei den Identity Management-Diensten |
| 1.7 | Anonymisierung der Daten bezüglich der Verarbeitung | Ja, wo immer erforderlich. |
| 2. | Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit
der Verarbeitung | |
| 2.1 | Regelmäßige Wartung und Kontrolle der Technik | Ja |
| 2.2 | Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum gezielten Löschen von Daten bei verlorengegangenen Smartphones) | Nein. Keine Handys im Einsatz für
die Verarbeitung. |
| 2.3 | Sonstiges Mobile Device Management/Policy | Nein. |
| 2.4 | Einsatz einer Firewall (Hard- oder Software) | Ja. |
| 2.5 | Verwaltung von Berechtigungen / der Rechtevergabe in Datenverarbeitungssystemen durch System- bzw. IT-Administratoren nach dem 4-Augen-Prinzip (-> getrennte Verantwortlichkeiten, fachliche Eignung, Verhinderung von unbefugter oder unbeabsichtigter Änderung an Daten etc.) | Ja. |
| 2.6 | Detaillierte/ differenzierte Zugriffskonzepte (Need to Know bzw. Least Privilege) | Ja. |
| 2.7 | Bestandsverzeichnis und Bestandskontrolle der Datenträger sowie Verzeichnis/Kontrolle aller mobilen Datenträger | Ja. |
| 2.8 | Falls die Verarbeitung der Daten
In einem unsicheren Drittstaat stattfindet (z.B. durch eingesetzte Unterauftragsverarbeiter, Systemhosting, -wartung etc.), werden zusätzliche IT-sicherheits- und datenschutzrechtliche Schutzmaßnahmen entsprechend den Anforderungen des EuGH-Urteils Schrems II (Urteil vom 16.7.2020, C-311/18) und der EDSA Empfehlungen 01/2020 v. 18.6.2021 implementiert. | Ja. |
| 2.9 | Schriftliche Kriterien zur sorgfältigen Auswahl der Unterauftragsverarbeiter | Ja. |
| 2.10 | Klare vertragliche Regelungen (Aufgaben/ Verantwortung der Vertragspartner, DS-Vereinbarungen etc.) | Ja. |
| 2.11 | Abschluss von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO
mit schriftlicher Festlegung der Weisungsgebundenheit | Ja. |
| 2.12 | Überwachung / Kontrollen der Unterauftragsverarbeiter (v.a. der technisch organisatorischen Maßnahmen) | Ja |
| 2.13 | Sicherstellung, dass die Verarbeitung der Daten entsprechend der Weisungen des Verantwortlichen (z.B. durch Richtlinien, Arbeitsanweisungen, Zugriffssteuerung, Verpflichtung auf Verschwiegenheit,
etc.) ausschließlich durch die damit betrauten Mitarbeiter des Auftragsverarbeiters (Unterauftragsverarbeiters) durchgeführt wird. | Ja |
| 2.14 | physische oder logische Trennung von Produktiv- und Testsystemen | Ja. |
| 2.15 | Sicherstellung, dass eine physisch bzw. logisch getrennte Speicherung und Verarbeitung von Daten umgesetzt ist (Mandantenfähigkeit, Mandantentrennung, z.B. getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden) | Ja. |
| 2.16 | schriftliche Regelungen für Telearbeit / Home Office | Ja. |
| 2.17 | Einsatz von VPN oder anderen geeigneten Maßnahmen | Ja. |
| 3. | Maßnahmen zur Sicherstellung der Fähigkeit, der Verfügbarkeit der personenbezogenen Daten und des Zugangs zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen | |
| 3.1 | Regelmäßige Datensicherungen/Backup-Verfahren von IT-Systemen | Ja |
| 3.2 | Klimaanlage und Temperaturmessung in Serverräumen | Ja |
| 3.3 | Rauch- und Brandmelder, Sprinkleranlage, Brandschutztüren, Wasserschutzeinrichtungen etc. | Ja |
| 3.4 | Unterbrechungsfreie Stromversorgung (USV) | Ja |
| 3.5 | Notfallplan (Desaster Recovery Plan) | Ja |
| 3.6 | Klare Meldewege bei Brand, Feuer oder Notfällen | Ja |
| 3.7 | Maßnahmen gegen Schadsoftware (z.B. XDR bzw. EDR-Software/Security Operations Center/Anti-Spy-Software/Spam-Filter/IDS oder IPS-Systeme) | Ja. |
| 3.8 | Ein Patch-Management ist vorhanden | Ja. |
| 3.9 | Sonstige Verfahren zur Verhinderung der Benutzung veralteter Softwarestände (z.B. Betriebssysteme, Datenbanken, Anwendungssoftware) z.B. Vulnerability Scanner | Ja. |
| 4. | Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und Organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung | |
| 4.1 | Regelmäßige Kontrollen (z.B. durch Überprüfung der Zugriffe, Berechtigungsvergabe, usw.) | Ja. |
| 4.2 | Regelmäßige Prüfung und Bewertung von technisch organisatorischen Maßnahmen um die Sicherheit der Verarbeitung zu gewährleisten.
z. B. durch Penetrationstest (Pentests) | Ja. |
| 4.3 | Regelmäßige Überprüfung, Bewertung und Evaluierung der technisch organisatorischen Maßnahmen auf Wirksamkeit (Art. 32 Abs. 1 lit. d
der DS-GVO; Art. 25 Abs. 1 DS-GVO) | Ja. |
| 4.4 | Regelmäßige Prüfung der internen Prozesse im Hinblick auf Datenschutz (u.a. Sensibilisierung und Schulung der am Verarbeitungsprozess Beteiligten) | Ja. |
| 4.5 | Spezielle Verfahren und Regelungen zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit und der Aktualität der in dieser Tabelle festgelegten technischen und organisatorischen Maßnahmen. | Ja. |
| 4.6 | Regelungen und Systeme zur Ausfallsicherheit (z.B. RAID-Verfahren) | Ja. |
| 4.7 | Getrennte und abgesicherte Aufbewahrung von Sicherungsdatenträgern
(z.B. im Tresor, Bankschließfach, oder sonstigen Verfahren mit Airgap usw.) | Nein, nicht zutreffend. |
| 4.8 | Server außerhalb des Unternehmens (Hosting, Cloud)
Bitte Hoster incl. Sitz und Sicherheitsmaßnahmen / Garantien erläutern (ggf. in einem eigenständigen Dokument) | Ja. AWS, Auth0, MS Azure, für Sitz der Dienstleistern siehe AVV. |
| 4.9 | Gesicherte Serverräume (z.B. Serverräume befinden sich nicht unter sanitären Anlagen/Rohrleitungen, festes Mauerwerk, gesicherte Zugänge, Sicherheitsschlösser etc.) | Ja |
| 4.10 | Kontrolle der Vertragsausführung (Kontrolle der Umsetzung der vertraglich vereinbarten Inhalte) | Ja. |
| 5. | Maßnahmen zur Identifizierung und Autorisierung der Nutzer | |
| 5.1 | Sicherstellung, dass jede Person nur über sein eigenes Benutzerprofil arbeiten kann (Kein „Account-Sharing“). | Ja. |
| 5.2 | Mitarbeiter erhalten Administratorenrechte nur, sofern es für Ihre Tätigkeit unabdingbar ist (Restriktive Vergabe von Administrationsrechten) | Ja. |
| 5.3 | Login mittels Passwort, Token, Biometrie, zertifikatbasierte Authentifizierung (z.B. OCSP Stapling, strenges Certificate Pinning), etc. | Ja. |
| 5.4 | Einsatz v. Verfahren zur Zwei-Faktor-Authentifizierung bei administrativen Konten. Einsatz v. Verfahren zur Zwei-Faktor-Authentifizierung nebst PIN/Passwort (z.B. Hardwaretoken o. Softwarezertifikate) bei VPN-Verbindungen. | Ja. |
| 5.5 | Kennwortverfahren / Passwortregelungen (u.a. Sonderzeichen, Mindestlänge) | Ja. |
| 5.6 | Automatische Sperrung eines Benutzers, wenn er das Passwort mehrmals falsch eingibt sowie Regelungen für Folgemaßnahmen | Ja. |
| 5.7 | Automatische Bildschirmsperre beim Verlassen des Arbeitsplatzes (Timeout) | Ja. |
| 5.8 | Organisatorische Vorkehrungen zur Verhinderung unberechtigter Zugriffe auf personenbezogene Daten am Arbeitsplatz (z.B. Schulungen für Mitarbeiter) | Ja. |
| 6. | Maßnahmen zum Schutz der Daten während der Übermittlung | |
| 6.1 | Bei physischem Transport: sorgfältige Auswahl von Transportpersonal und -
fahrzeugen (z.B. Beauftragung von Kurieren und Dienstleistern, verschlossene Behälter) | Nein, nicht zutreffend. |
| 7. | Maßnahmen zum Schutz der Daten während der Speicherung | |
| 7.1 | Absicherung von Fernwartungszugängen, Servern und Endgeräten, externer Schnittstellen Fernwartung (Remote-Zugriffe) externer Dienstleister des Auftragsverarbeiters wird protokolliert und der Zugang wird nur auf das zu wartende/pflegende System begrenzt. Sofern möglich werden alle Fernzugriffe durch einen Mitarbeiter des Auftragsverarbeiters am Bildschirm des gewarteten/pflegenden Systems digital nachverfolgt. Regelmäßige Kontrolle der Protokolle durch den Auftragsverarbeiter. | Ja. |
| 8. | Maßnahmen zur Gewährleistung der physischen Sicherheit von
Orten, an denen personenbezogene Daten verarbeitet werden | |
| 8.1 | Manuelles Schließsystem | Ja. |
| 8.2 | Elektronisches Schließsystem (z.B: Chipkarten, Transponder,
Zutrittskarten, usw.) | Ja (Rechenzentren) |
| 8.3 | Schlüsselregelung und Protokollierung (Schlüsselausgabe etc.) | Ja. |
| 8.4 | Absicherung des unberechtigten Zutritts über exponierte Gebäudeeinrichtungen (z.B. über Lüftungs-/ Lichtschächte,
Feuerleitern, Balkone, Fenster, etc.) | Ja. |
| 8.5 | Einsatz von Wachpersonal und/oder Alarmanlage | Ja. |
| 8.6 | Lichtschranken / Bewegungsmelder | Ja. |
| 8.7 | Videoüberwachung der Zugänge | Ja (Rechenzentren) |
| 8.8 | Schriftliche Besucherregelung / Sicherstellung eines kontrollierten Aufenthalts externer Personen | Ja. |
| 8.9 | Personenkontrolle beim Pförtner / Empfang | Ja (Rechenzentren) |
| 8.10 | Tragepflicht von Berechtigungsausweisen (Sicherstellung, dass ein berechtigter bzw. unberechtigter Aufenthalt erkannt wird) | Ja (Rechenzentren) |
| 8.11 | Sorgfältige Auswahl von Reinigungspersonal | Ja. |
| 8.12 | Überwachung von Reinigungs- und Wartungspersonal in
Serverräumen | Ja. |
| 9. | Maßnahmen zur Gewährleistung der Protokollierung von
Ereignissen | |
| 9.1 | Protokollierung sämtlicher Anmeldevorgänge, Übermittlungsvorgänge, gescheiterter Zugriffsversuche, Datenzugriffe, aller Administratorenaktivitäten, Veränderung oder Korrektur von gespeicherten Daten. | Ja. |
| 9.2 | Protokollierung der Verarbeitungstätigkeiten, insbesondere der Datenzugriffe von Empfängern von Daten. | Ja. |
| 9.3 | Protokollierungs- und Protokollauswertungssysteme bzgl. sämtlicher Systemaktivitäten (z.B. Jobprotokolle, Windows Ereignisprotokolle, Nagios, usw.) | Ja. |
| 9.4 | Nutzung eines Protokolls zur Dokumentation, Erfüllung der Rechenschaftspflicht und möglicher Nachverfolgung von Sicherheitsvorfällen und Schadensgründen | Ja. |
| | Die Uhren der verwendeten Informationsverarbeitungssysteme
(PCs, Notebooks, etc.) werden mit geeigneten Zeitquellen synchronisiert, um eine gezielte Analyse bei Sicherheitsereignissen zu ermöglichen. | Ja. |
| 10. | Maßnahmen zur Gewährleistung der Systemkonfiguration,
einschließlich der Standardkonfiguration | |
| 10.1 | Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) | Ja. |
| 11. | Maßnahmen für die interne Governance und Verwaltung der IT
und der IT-Sicherheit | |
| 11.1 | Implementierung von Prozessen und Richtlinien, die sicherstellen,
dass der Datenschutzbeauftragte (falls vorhanden) sowie sonstige zuständigen internen Stelle rechtzeitig involviert werden und Zugang zu allen Informationen erhalten. | Ja. |
| 11.2 | Implementierung strenger interner Datenschutz- und Datensicherheitsrichtlinien, die auf einer EU-Zertifizierung, auf Codes of Conduct, auf anerkannten internationalen Standards (z. B. ISO) oder „best practices“ (z. B. ENISA) basieren. Hierbei sind der aktuelle Stand der Technik, das mit den betroffenen Datenkategorien verbundene Risiko sowie die Wahrscheinlichkeit von Zugriffsversuchen durch Behörden angemessen zu berücksichtigen). | Ja, basiert auf ISO 27001.
Zertifizierung geplant für 2025. |
| 12. | Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen
und Produktion | |
| 12.1 | Anweisungen- und Richtlinien beim Vertragsmanagement | Ja. |
| 12.2 | Regelmäßige Schulung der Mitarbeiter, Richtlinien/Handbücher bzw. Arbeitsanweisungen für die Mitarbeiter | Ja. |
| 12.3 | Datenschutzmaßnahmen und Datenschutzinformationen bei der Einstellung sowie Kündigung von Mitarbeitern | Ja. |
| 12.4 | Durchführung von Risikoabschätzungen inkl. Festlegung geeigneter, technisch organisatorischer Maßnahmen i.S.v. Art 32 DS-GVO | Ja. |
| 12.5 | Incident-Response-Management | Ja |
| 12.6 | ISO27001 Zertifikat | Nein. Laufende Vorbereitung und Zertifizierung. Voraussichtlich wird 2025 abgeschlossen. |
| 12.7 | ISMS | Ja |
| 12.8 | Binding Corporate Rules (BCR) | Nein, nicht anwendbar, da wir
kein multinationales
Unternehmen sind. |
| 12.9 | TISAX Zertifikat | Nein. Nicht zutreffend, da wir
nicht in der Automobilindustrie
sind. |
| 13. | Maßnahmen zur Gewährleistung der Datenminimierung | |
| 13.1 | Modale und temporale Begrenzung des Speicherumfangs
(Beachtung der Aufbewahrungsfristen) | Ja. |
| 14. | Maßnahmen zur Gewährleistung der Datenqualität | |
| 14.1 | Gewährleistung, dass Daten korrigiert/angepasst werden können | Ja. |
| 15. | Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung | |