DATA PROTECTION ADDENDUM

Gültig ab: 04. Juni 2019

Unsere vorherige Ergänzung zum Datenschutz ist hier einsehbar.

Diese Ergänzung zum Datenschutz wird referenziert in Abschnitt 7 der AdRoll Group-Nutzungsbedingungen und stellt einen integralen Teil derselben und aller geltenden Ergänzungen zu Produkten dar („Vereinbarung“). Sie gilt ab dem Zeitpunkt, an dem die Nutzungsbedingungen akzeptiert werden.

Dort, wo im Rahmen der Nutzungsbedingungen verarbeitete persönliche Daten dem maßgeblichen Datenschutzrecht unterliegen, können Kunden diese Ergänzung zum Datenschutz (welche die Standardvertragsklauseln der Europäischen Union enthält) abschließen: (i) um die persönlichen Daten in Übereinstimmung mit den Vorschriften des maßgeblichen Datenschutzrechts zu schützen und (ii) um angemessene Sicherheitsvorkehrungen in Bezug auf die persönlichen Daten zu treffen, die außerhalb des Europäischen Territoriums verarbeitet werden können.

Diese Ergänzung zum Datenschutz spiegelt die Übereinkunft der Parteien in Bezug auf die Bestimmungen wider, denen die Verarbeitung persönlicher Daten im Rahmen der Vereinbarung unterliegt.

1. BEGRIFFSBESTIMMUNGEN

  • Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ (und „verarbeiten“) und „besondere Kategorien personenbezogener Daten“ haben die ihnen im maßgeblichen Datenschutzrecht verliehenen Bedeutungen; und
  • „Maßgebliches Datenschutzrecht“ bezeichnet (i) die EU-Datenschutz-Grundverordnung (Verordnung 2016/679); (ii) die EU-ePrivacy-Richtlinie (Richtlinie 2002/58/EG); (IIi) alle gemäß (i) oder (ii) eingeführten nationalen Gesetze; und (iv) alle Gesetze, die (i), (ii) oder (iii) verändern oder ablösen.
  • Alle anderen großgeschriebenen, in dieser Ergänzung zum Datenschutz nicht definierten Begriffe haben die ihnen in der Vereinbarung verliehene Bedeutung.

2. BEZIEHUNG ZWISCHEN DEN PARTEIEN

2.1Der Kunde beauftragt AdRoll Group, Inc., tätig unter dem Namen AdRoll Group („AdRoll Group“) als einen Auftragsverarbeiter mit der Verarbeitung von "Kunden-CRM-Daten" für die Zwecke und die Dauer, welcher in der Vereinbarung (sowie deren Anhang A beschrieben) oder sonst schriftlich zwischen den Parteien vereinbart wird. (der "Zulässige Zweck"

2.2 In Bezug auf die zu diesem Zulässigen Zweck verarbeiteten Kunden-CRM-Daten soll der Kunde der Verantwortliche, und AdRoll Group der Verarbeiter sein.

2.3 Jede Partei hat die Pflichten zu erfüllen, welche ihr im Rahmen des maßgeblichen Datenschutzrechts obliegen. Dalls der Kunde davon erführt, dass die Verarbeitung zum Zulässigen Zweck gegen das maßgebliche Datenschutzrecht verstößt, wird er AdRoll Group unverzüglich informieren.

3. VERBOTENE DATEN

Der Kunde darf AdRoll Group für die Verarbeitung keine besonderen Kategorien personenbezogener Daten weitergeben (und darf betroffenen Personen die Weitergabe nicht gestatten).

4. INTERNATIONALE ÜBERMITTLUNG

AdRoll Group darf keine Kunden-CRM-Daten außerhalb des Europäischen Territoriums übermitteln, es sei denn, es hat solche Maßnahmen ergriffen, wie sie erforderlich sind, um zu gewährleisten, dass die Übermittlung in Einklang mit dem maßgeblichen Datenschutzrecht steht. Zu derartigen Maßnahmen können (unter anderem) folgende zählen: Transfer der Kunden-CRM-Daten an einen Empfänger in einem Land, das nach der Entscheidung der Europäischen Kommission ausreichenden Schutz für personenbezogene Daten gewährt, an einen Empfänger in den Vereinigten Staaten von Amerika, der über eine gültige und aktuelle EU-US und/oder Schweiz-US Privacy Shield -Zertifizierung verfügt (je nach Anwendbarkeit), an einen Empfänger, der die Genehmigung seiner verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) im Einklang mit dem maßgeblichen Datenschutzrecht erreicht hat, oder an einen Empfänger, der von der Europäischen Kommission verabschiedete oder genehmigte vertragliche Standardvertragsklauseln eingeführt hat.

5. STANDARDVERTRAGSKLAUSELN

Um zu gewährleisten, dass angemessene Sicherheitsvorkehrungen auf die vom Kunden an AdRoll Group übertragenen personenbezogenen Daten angewandt werden, nehmen die Parteien hiermit die von der Europäischen Kommission im Beschluss 2010/87/EU verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Verantwortlichen an Auftragsverarbeiter in ihrer Gesamtheit in diesen Vertrag auf, vorbehaltlich der folgenden Voraussetzungen: (a) Die Anhänge 1 und 2 der Standardvertragsklauseln werden als Anhang A zu dieser Ergänzung zum Datenschutz dargelegt; (b) es wird davon ausgegangen, dass AdRoll Group die Vorschriften für die Unterauftragsverarbeitung in Abschnitt 11 der Standardvertragsklauseln vollständig erfüllt, wenn es die Vorschriften der Ziffer 8 dieser Ergänzung zum Datenschutz erfüllt; und (c) es wird davon ausgegangen, dass AdRoll Group die Rechte auf die Überprüfung, die der Kunde gemäß Abschnitt 5(f) und 12(b) der Standardvertragsklauseln haben könnte, vollständig erfüllt, wenn es die Vorschriften der Ziffer 13 dieser Ergänzung zum Datenschutz erfüllt.

6. VERTRAULICHKEIT DER VERARBEITUNG

AdRoll Group wird sicherstellen, dass jede Person, die es zur Verarbeitung der Kunden-CRM-Daten autorisiert, die Daten in Übereinstimmung mit den Vertraulichkeitsverpflichtungen des Kunden im Rahmen dieser Ergänzung und der Vereinbarung schützt.

7. SICHERHEIT

AdRoll Group wird technische und organisatorische Maßnahmen, in Anhang C dargelegt, treffen, um die Kunden-CRM-Daten vor (i) versehentlicher oder rechtswidriger Vernichtung und (ii) Verlust, Veränderung, unbefugter Weitergabe der Daten oder unbefugtem Zugriff auf die Kunden-CRM-Daten (ein „Sicherheitsvorfall“) zu schützen.

8. UNTERAUFTRAGSVERGABE

Der Kunde willigt ein, dass AdRoll Group Dritte als Auftragsverarbeiter im Unterauftragsverhältnis damit beauftragt, die Kunden-CRM-Daten für den Zulässigen Zweck zu verarbeiten, vorausgesetzt: (i) AdRoll Group pflegt eine aktuelle Liste seiner Auftragsverarbeiter im Unterauftragsverhältnis, die dem Verantwortlichen auf Anfrage hin übergeben wird und die AdRoll Group eine angemessene Zeit im Voraus mit den Details jedes vorgeschlagenen Wechsels aktualisieren wird, bei dem ein Auftragsverarbeiter im Unterauftragsverhältnis ernannt oder ersetzt wird; (ii) AdRoll Group erlegt jedem von ihm ernannten Auftragsverarbeiter im Unterauftragsverhältnis Datenschutzbestimmungen auf, die ihn dazu verpflichten, die Kunden-CRM-Daten nach dem vom maßgeblichen Datenschutzrecht und dieser Ergänzung zur Datenverarbeitung vorgeschriebenen Standard zu schützen; und (iii) AdRoll Group bleibt haftbar für jeden Verstoß gegen diese Ergänzung zum Datenschutz, der durch eine Handlung, einen Fehler oder eine Unterlassung seines Auftragsverarbeiters im Unterauftragsverhältnis verursacht wird. Eine Liste der genehmigten Auftragsverarbeiter im Unterauftragsverhältnis ist in Anhang B angehängt. Der Kunde kann gegen die Ernennung oder Ersetzung eines Auftragsverarbeiters im Unterauftragsverhältnis durch AdRoll Group Einspruch einlegen, bevor dieser ernannt oder ersetzt wird, vorausgesetzt, dass ein solcher Einspruch sich auf berechtigte Gründe des Datenschutzes stützt. In einem solchen Fall wird AdRoll Group entweder den Auftragsverarbeiter im Unterauftragsverhältnis nicht ernennen oder ersetzen oder, falls dies nicht möglich ist, kann der Kunde die Vereinbarung aussetzen oder kündigen (unbeschadet irgendwelcher Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind).

9. KOOPERATION UND RECHTE BETROFFENER PERSONEN

AdRoll wird dem Verantwortlichen (auf Kosten des Verantwortlichen) angemessene und zeitnahe Unterstützung gewähren, um dem Verantwortlichen eine Antwort auf die folgenden Anliegen zu ermöglichen: (i) eine Anfrage von einer betroffenen Person zur Ausübung ihrer Rechte unter dem maßgeblichen Datenschutzrecht (einschließlich ihrer Rechte auf Zugriff, Korrektur, Einspruch, Löschung, Beschränkung und Datenportabilität, je nachdem, was zutrifft); und (ii) jede sonstige Korrespondenz, Anfrage oder Beschwerde, die von einer betroffenen Person, einer Aufsichtsbehörde oder einem Dritten in Zusammenhang mit der Verarbeitung von Daten erhalten wird. Falls eine solche Anfrage, Korrespondenz oder Beschwerde direkt an AdRoll gerichtet wird, so wird AdRoll den Verantwortlichen unverzüglich und einschließlich der Übergabe sämtlicher Details derselben informieren.

10. DATENSCHUTZFOLGEABSCHÄTZUNG

AdRoll Group wird angemessen mit dem Kunden (auf Kosten des Kunden) in Zusammenhang mit jeder Datenschutzfolgeabschätzungen kooperieren, zu deren Durchführung der Kunde in Bezug auf die Verarbeitung von Kunden-CRM-Daten in Zusammenhang mit dieser Ergänzung zum Datenschutz gemäß dem maßgeblichen Datenschutzrecht verpflichtet ist.

11. SICHERHEITSVORFÄLLE

Falls AdRoll Group von einem bestätigten Sicherheitsvorfall Kenntnis erlangt, wird es den Kunden ohne unangemessene Verzögerung informieren und dem Kunden geeignete Informationen zukommen lassen und Kooperation zusichern, so dass der Kunde alle Verpflichtungen zur Berichterstattung über die Verletzung des Schutzes personenbezogener Daten erfüllen kann, denen er gegebenenfalls gemäß dem (und in Übereinstimmung mit den vorgeschriebenen Fristen des) maßgeblichen Datenschutzrecht unterliegt. AdRoll Group wird des Weiteren alle angemessenen erforderlichen Maßnahmen und Handlungen unternehmen, um die Auswirkung des Sicherheitsvorfalls zu beheben oder zu mindern, und wird den Kunden über alle wesentlichen Entwicklungen in Zusammenhang mit dem Sicherheitsvorfall informieren.

12. LÖSCHUNG ODER RÜCKGABE VON DATEN

Bei Kündigung oder Ablauf der Vereinbarung wird AdRoll (nach Wahl des Kunden) alle Kunden-CRM-Daten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, vernichten oder an den Kunden zurückgeben. Diese Vorschrift findet keine Anwendung in den Fällen und in dem Ausmaß, in dem es AdRoll Group nach geltendem Recht vorgeschrieben ist, einige oder alle der Kunden-CRM-Daten aufzubewahren, oder auf die Kunden-CRM-Daten, die es in Backup-Systemen archiviert hat, in welchem Fall AdRoll Group diese auf sichere Art und Weise isolieren und bis zu deren Löschung vor jeder weiteren Verarbeitung schützen muss, soweit es von einem solchen Gesetz vorgeschrieben ist.

13. AUDIT

AdRoll Group wird dem Kunden alle notwendigen Informationen zur Verfügung stellen, damit dieser die Einhaltung der in dieser Ergänzung zum Datenschutz niedergelegten Pflichten in Bezug auf Kunden-CRM-Daten nachweisen kann.

Der Kunde stimmt zu, dass er das Auditrecht gemäß dem maßgeblichen Datenschutzrecht (oder den durch Erwähnung in Abschnitt 5 aufgenommenen Standardvertragsklauseln) ausüben wird, indem er AdRoll Group schriftliche Auditfragen überreicht. AdRoll Group wird auf solche ihm vom Kunden überreichten schriftlichen Auditfragen antworten, vorausgesetzt, der Kunde übt dieses Recht nicht mehr als einmal pro Jahr aus.

14. Andere Daten

Im Rahmen der Erbringung der Dienste ist AdRoll Advertising Limited auch dazu berechtigt, Servicedaten und Leistungsdaten zu verarbeiten. AdRoll Advertising Limited legt hierfür Zweck und Mittel der Verarbeitung von Servicedaten und Leistungsdaten fest (davon ausgenommen sind alle Leistungsdaten, die Kunden-CRM-Daten enthalten können), was auch die Verbesserung der gezielten Onlinewerbung sowie die Verbesserung der Produkte und Dienste für alle AdRoll Group Kunden umfasst.

Dahingehend erkennt der Kunde an, dass AdRoll Advertising Limited der für solche Servicedaten und Leistungsdaten Verantwortliche ist, und solche Daten nur in Einklang mit (i) dem maßgeblichen Datenschutzrecht sowie (ii) der jeweils aktuellen, unter www.adrollgroup.com öffentlichen zugänglichen, Datenschutzregeln nutzen wird, und es den Datensubjekten ermöglichen wird, ihre datenbezogenen Rechte wahrzunehmen.

Anhang A

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln.

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):

  • Der Kunde ist der Datenexporteur, gegenüber dem Dienstleistungen gemäß der Vereinbarung erbracht werden.

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):

  • AdRoll Group erbringt Dienstleistungen für den Datenexporteur gemäß der Vereinbarung.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte spezifizieren):

  • Interessenten und existierende Kunden des Datenexporteurs

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien (bitte spezifizieren):

  • Kontaktdaten einschließlich E-Mail-Adressen und alle anderen verbundenen Kontaktdaten, die der Datenexporteur dem Datenimporteur zur Durchführung der Dienstleistungen zur Verfügung stellt (z. B. Name, Adresse, E-Mail-Adresse, Telefonnummer, Name des Unternehmens, Arbeitstitel).

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen folgende besondere Datenkategorien (bitte spezifizieren):

  • Keine

Verarbeitungsverfahren

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsaktivitäten unterzogen (bitte spezifizieren):

  • Übertragung und Speicherung persönlicher Daten mit dem Unterauftragnehmer der Datenimporteurs für die Speicherung und Verarbeitung von Daten, Amazon Web Services.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) eingeführt hat (oder dem angehängten Dokument/Rechtsvorschrift):

Siehe Anhang C.

ANHANG B

Liste der genehmigten Auftragsverarbeiter im Unterauftragsverhältnis

Bezeichnung der Organisation Verarbeitungsaktivität Standort
Amazon Web Services Speicherung USA and Europa
Mailgun Versenden von E-Mails USA
Nylas Verarbeitung eingehender E-Mails sowie Versand von E-Mails USA
LiveRamp CRM Eingliederung USA

Anhang C

AdRoll-Sicherheitsanlage

AdRoll Group wird mindestens die folgenden Sicherheitsmaßnahmen ergreifen und kann auch andere Sicherheitsmaßnahmen einführen, um ein angemessenes Schutzniveau (einschließlich Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit) zu gewährleisten, unter Berücksichtigung des Stands der Technik und der Kosten der Implementierung im Verhältnis zu den Risiken und der Art der Daten, die geschützt werden müssen:

  • Risikomanagement. Ein Risikomanagementprogramm einschließlich:
    • Risikoregister mit Informationen zur unternehmerischen Lage sowie Geschäftsrisiken, welches von der Verwaltung überprüft wird;
    • Kontrollen gegen Risiken; und
    • ein Plan, wie noch bestehende Risiken vermindert werden.
  • Richtlinien. Absichtserklärungen zu wichtigen Bereichen der Risikoprävention:
    • Richtlinien, Standards und Abläufe werden regelmäßig überprüft und überarbeitet;
    • Richtlinien, Standards und Abläufe werden den Mitarbeitern öffentlich zugänglich gemacht; und
    • Mitarbeiter werden in den für sie relevanten Bereichen geschult.
  • Betriebsabläufe. Einschließlich:
    • Änderungskontrolle;
    • Vorfallsreaktion; und
    • Benachrichtigung über Sicherheitsverstöße.
  • Sicherheitsprotokolle. Zentrale Protokollierung von Sicherheitsereignissen zur Ermöglichung der Erkennung von und Reaktion auf Sicherheitsereignisse:
    • Sicherheitsprotokolle und andere Protokolle werden in zentral gesteuerten Systemen gesammelt und gelagert;
    • Sicherheitsprotokolle und andere Protokolle werden vor Änderungen geschützt; und
    • Sicherheitsprotokolle und andere Protokolle haben festgelegte Aufbewahrungsfristen.
  • Personalmanagement. Verwaltung von Personalkräften, einschließlich:
    • Hintergrundüberprüfungen, auch in Bezug auf Vorstrafen für in den USA ansässige Mitarbeiter. In anderen Ländern wird dies im Rahmen des durch das jeweilige Recht erlaubte durchgeführt.
    • On- und Offboarding, in dessen Rahmen dem Einzelnen Konten und Genehmigungen erteilt und entzogen werden.
  • Lieferantenmanagement. Ein Programm zur Minimierung der durch den Einsatz von Dritten bei der Verwaltung von Systemen und Daten entstehenden Risiken. Die Lieferanten werden jährlich überprüft.
  • Zugangskontrolle zu Verarbeitungsbereichen. Prozesse, um zu verhindern, dass unbefugte Personen Zugang zu Datenverarbeitungsanlagen erhalten, an denen Daten verarbeitet oder genutzt werden, unter anderem:
    • Herstellung sicherer Bereiche;
    • Sicherung und Beschränkung von Zugriffspfaden;
    • Ausrüstung zur Datenverarbeitung sowie persönliche Computer;
    • Jeder Zugang zu den Datencentern, in welchen Daten gehostet werden, wird protokolliert, überwacht und rückverfolgt;
    • Die Datencenter, in welchen Daten gehostet werden, werden durch ein sicheres Alarmsystem sowie andere angemessen Sicherheitsmaßnahmen gesichert;
    • Die Einrichtung wird so eingerichtet, dass sie widrigen Wetterbedingungen sowie anderen vernünftigerweise vorhersehbaren Naturbedingungen widerstehen kann, wird (je nach Risikolevel) durch ganztägig anwesende Sicherheitsleute, Schlüsselkarten, biometrische Zugangskontrollen oder nur in Begleitung möglichen Zugang geschützt, und auch durch vor Ort befindliche Notstromgeneratoren für den Fall eines Stromausfalles abgesichert.
  • Zugriffskontrolle auf Datenverarbeitungssysteme. Prozesse, um zu verhindern, dass Datenverarbeitungssysteme von unbefugten Personen genutzt werden, unter anderem:
    • Identifikation von Nutzern;
    • Ausstellung und Sicherung von Authentifizierungsreferenzen;
    • Protokollierung von erfolgreichen und fehlgeschlagenen Authentifizierungsversuchen; und
    • Schutz gegen externen Zugang durch auf dem Industriestandard befindliche Firewalls.
  • Zugriff mit den geringsten Rechten. Maßnahmen, die gewährleisten, dass Personen, die zur Nutzung der Datenverarbeitungssysteme berechtigt sind, nur auf die Daten innerhalb des Umfangs und in dem Ausmaß zugreifen können, wie es in ihrer entsprechenden Zugriffserlaubnis (Autorisierung) enthalten ist, und dass Daten nicht ohne Autorisierung gelesen, kopiert, verändert oder entfernt werden können, unter anderem:
    • Die Einführung verpflichtender Arbeitsrichtlinien sowie die Durchführung von Weiterbildungen für den Umgang mit Daten;
    • Effektive und angemessene disziplinarische Maßnahmen gegen Einzelne, welche ohne entsprechende Genehmigung auf Daten zugreifen;
    • Freigabe von Daten ausschließlich an autorisierte Personen;
    • Einführung von Prinzipien des Zugriffs mit geringsten Rechten auf Daten;
    • Nutzung eines Produktionsnetzwerkes und Datenzugang, welche Netzwerksicherheit, Zwei-Faktor-Authentifizierung sowie rollenabhängige Zugangskontrollen enthalten;
    • Anwendungs- und Infrastruktursysteme, welche Informationen protokollieren und an eine zentrale Protokollstelle schicken, um diese dort zu analysieren, Fehlersuche zu betrieben, und bezüglich der Sicherheit zu überprüfen; und
    • Richtlinien, welche die Aufbewahrung von Sicherheitskopien unter Einbeziehung des jeweiligen Rechts und in Hinblick auf die Art der Daten sowie der jeweiligen Risiken kontrollieren.
  • Übermittlungskontrolle. Verfahren, die verhindern, dass Daten während ihrer Übermittlung oder während des Transports der Datenmedien von unbefugten Parteien gelesen, kopiert, verändert oder gelöscht werden, und gewährleisten, dass es möglich ist, zu prüfen und festzustellen, an welche Einrichtungen die Übermittlung von Daten über Datenübermittlungseinrichtungen vorgesehen ist, unter anderem:
    • Nutzung von Firewalls und Verschlüsselungstechnologien, um die Gateways und Pipelines, über welche die Daten fließen, zu schützen;
    • Implementierung von VPN-Verbindungen oder anderen Sicherungsmaßnahmen des Netzwerkes, um dessen Verbindung zu dem internen Firmennetzwerk zu schützen;
    • Sicherstellung der Integrität der übermittelten Daten; und
    • Überwachung der Netzwerkinfrastruktur in Hinblick auf die mögliche Verletzung der Sicherheit.
  • Speicherkontrolle. Kontrollen bei der Speicherung von sensiblen Daten:
    • Speicherung aller Backupdaten als Teil eines designierten Backup- und Wiederherstellungssystems in verschlüsselter Form durch Nutzung von Verschlüsselungssystemen, wobei Daten, die auf tragbaren Computern, Laptops oder anderen tragbaren Speichermedien gelagert wird, verschlüsselt wird;
    • Verschlüsselungssysteme werden unter Nutzung wirtschaftlich vernünftiger und allgemein anerkannten kryptographischen Algorithmen und Protokollen, unter anderem Pseudonymisierung und Verschlüsselung von Daten, eingesetzt.
  • Eingabekontrolle. Maßnahmen, die gewährleisten, dass es möglich ist, zu prüfen und festzustellen, ob und von wem Daten in Datenverarbeitungssysteme eingegeben oder aus diesen entfernt wurden, unter anderem:
    • Authentifizierung des autorisierten Personals; und
    • Schutzmaßnahmen in Bezug auf die Integrität der eingegebenen Daten.
  • Verfügbarkeitskontrolle. Maßnahmen, um zu gewährleisten, dass Daten vor zufälliger Vernichtung oder zufälligem Verlust geschützt sind, unter anderem:
    • Redundante Infrastruktur;
    • Regelmäßige Erstellung von Backups auf den Servern der Datenbank; und
    • Regelmäßige Kontrolle des Wiederherstellungsprozesses.
  • Trennung der Verarbeitung. Prozeduren, die gewährleisten, dass für verschiedene Zwecke erhobene Daten getrennt verarbeitet werden können, unter anderem:
    • Trennung von Daten durch Sicherheitsanwendungen für den jeweiligen Benutzer;
    • Logistische Trennung von Daten; und
    • Gestaltung von Systemen, die sicherstellt, dass nur für bestimmte Zwecke gewonnene Daten separat verarbeitet werden.
  • Schwachstellenmanagement. Systeme werden regelmäßig auf Schwachstellen überprüft und alle entdeckten Schwachstellen werden unverzüglich behoben, unter anderem:
    • Bedarfsabhängiger Durchführung von Tests, um neue Schwachstellen aufzudecken; und Überwachung der Systeme in Bezug auf Schwachstellen, wobei entdeckte Schwachstellen in nach Risiko priorisierter Reihenfolge geschlossen werden.
  • Vorfallsmanagement. Etablierung eines angemessenen und geeigneten Vorfallsmanagements, unter anderem:
    • Etablierte Richtlinien und Prozesse, um mit Sicherheitsvorfällen umzugehen;
    • Die Fähigkeit, Sicherheitsintrusionen zu identifizieren und einzudämmen, sowie sich davon zu erholen, und wiederherzustellen;
    • Angemessene Dokumentation von Vorfällen, unter anderem die daraus gewonnenen Erkenntnisse; und
    • Regelmäßige Tests der Prozesse.
  • Planung zur Aufrechterhaltung des Betriebes. Die Fähigkeit, die Verfügbarkeit von und den Zugang zu Daten im Falle eines physischen oder technischen Vorfalles in angemessener Zeit wiederherzustellen.
  • Revision. Prozesse, welche regelmäßig die Effektivität der technischen und organisatorischen Maßnahmen zur Sicherstellung der Datenverarbeitung testen, feststellen und evaluieren:
    • Halbjährlicher Eindringtest durch einen externen Anbieter;
    • Laufendes Bug Bounty Programm; und
    • Verwundbarkeitsscans der dem Internet ausgesetzten Hosts.