Isaca Leitfaden Pruefungauftragsdatenverarbeitung

ISACA-Leitfaden
Eine Verffentlichung des ISACA Germany Chapter e.V.

dpunkt.verlag
Auftragsdatenverarbeitung unter
Bercksichtigung von Standards
2 Prfleitfaden Auftragsdatenverarbeitung
Die Autoren dieses Prfleitfadens sind:
Dr. Aleksandra Sowa, ITCM, Deutsche Telekom AG
Christian Funk, CISA, bDSB Schufa Holding AG
Michael Trinkle, CISA, GaVI mbH
Michael Morgenthaler, CISA, CISM, CIPP/IT, SAP AG
Claus Baumgarten, CISA, bDSB NORDMILCH
Knut Haufe, CISA, CISM, CGEIT, CRISC, CISSP, ISO 27001 Auditor
(TV und BSI) | PMP, IS-Revisor (BSI), Geprfter Datenschutz-
beauftragter (SGS TV), PERSICON Consultancy GmbH
Andreas H. Schmidt, CISA, zert. DSB TV SD,
Flughafen Kln/Bonn GmbH
Michael Neuy, CISA, CIA, CISM, CRISC, CP ONR 49003,
ISMS Auditor (IRCA), GEZ Gebhreneinzugszentrale
Der finale Entwurf des Prfleitfadens wurde rezensiert
(Review) durch:
Klaus-Dieter Krause, CMC, CISA, CISM, DSB, MBCI,
compliance-net GmbH
Dipl.-Ing./M.Sc. Markus Bittner, CISM, CGEIT, ITGM, ITIL Service
Manager, bDSB (GDD cert.), Straight Advisors Ltd. & Co. KG
Markus Gaulke, CISA, CISM, CGEIT, CRISC, PMP,
KPMG AG Wirtschaftsprfungsgesellschaft
Das Wort zum Geleit schrieb freundlicherweise
Peter Schaar, Bundesbeauftragter fr Datenschutz und
Informationsfreiheit
Lektorat: Vanessa Wittmer
Copy-Editing: Ursula Zimpfer, Herrenberg
Satz & Herstellung: Birgit Buerlein
Umschlaggestaltung: Helmut Kraus, www.exclam.de
Druck & Bindung: Wrmann PRODUCTION CONSULT, Heidelberg
Copyright 2011 ISACA Germany Chapter e.V.
Postfach 18 03 99
60084 Frankfurt
Die vorliegende Publikation ist urheberrechtlich geschtzt. Alle
Rechte vorbehalten. Die Verwendung der Texte und Abbildungen,
auch auszugsweise, ist ohne die schriftliche Zustimmung des ISACA
Germany Chapter e.V. urheberrechtswidrig und daher strafbar. Dies
gilt insbesondere fr die Vervielfltigung, bersetzung oder die Ver-
wendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die im Leitfaden verwendeten Soft-
und Hardware-Bezeichnungen sowie Markennamen und Produktbe-
zeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-,
marken- oder patentrechtlichem Schutz unterliegen.
Alle Angaben und Programme in diesem Leitfaden wurden mit
grter Sorgfalt kontrolliert. Weder Autor noch ISACA Germany
Chapter e.V. sowie der Verlag knnen jedoch fr Schden haftbar
gemacht werden, die in Zusammenhang mit der Verwendung dieses
Leitfadens stehen.
unter Bercksichtigung von Standards 1
ISACA-Prfleitfaden Auftragsdatenverarbeitung
unter Bercksichtigung von Standards
Inhaltsbersicht
Geleitwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1. Formale Aspekte 5
1.1 Auftragsdatenverarbeitung Ja/Nein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2 Vertragliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3 Organisatorische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2. Praxisteil 8
2.1 Dokumentenstudium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2 Zutrittskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Zugangskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4 Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5 Weitergabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.6 Eingabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.7 Verfgbarkeitskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8 Trennungskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.9 Auftragskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.10 Organisationskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.11 Sonstige Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3. Dokumentation/Bewertung 17
4. Mapping der Anforderungen des 11 BDSG zu bekannten Standards 17
4.1 BDSG und COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.2 BDSG und BSI IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.3 BDSG und ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Anhang
A Text des 11 BDSG in der Fassung vom 01.09.2009 35
2 ISACA-Prfleitfaden Auftragsdatenverarbeitung
Geleitwort
Liebe Leserinnen und Leser,
die Auslagerung und Vergabe von Leistungen an spezia-
lisierte Dritte gehrt mittlerweile zum Alltagsgeschft in
Unternehmen und ffentlichen Stellen. Dies gilt auch und
besonders im IT-Bereich. Bei dem IT-Outsourcing kann
es sich rechtlich gesehen um Auftragsdatenverarbei-
tung nach 11 BDSG oder um eine Funktionsbertra-
gung handeln.
In beiden Fallkonstellationen kommt es darauf an,
sowohl den Datenschutz als auch die IT-Datensicherheit
ohne Einschrnkungen zu gewhrleisten, denn der Auf-
traggeber kann sich auch beim Outsourcing seiner Ver-
antwortung fr den Umgang mit Daten nicht entledigen.
Auch wenn die Vorgaben von 11 BDSG formal nicht
fr die Funktionsbertragung gelten, sollten dessen
Anforderungen deshalb auch in diesem Fall beherzigt
werden.
11 BDSG hat im vergangenen Jahr umfangreiche nde-
rungen erfahren. Der Gesetzgeber hat hiermit auf die
Defizite bei der praktischen Umsetzung der gesetzlichen
Vorgaben reagiert. Die Vorschrift regelt nun explizit, wel-
chen Anforderungen die Ausgestaltung des Datenverar-
beitungsauftrags zwingend gengen muss. Daneben hat
der Gesetzgeber die Kontrollpflichten des Auftraggebers
dahingehend konkretisiert, dass der Auftraggeber die
Einhaltung der technischen und organisatorischen Ma-
nahmen schon vor Beginn und sodann regelmig ber-
prfen muss. Auftraggeber werden in Zukunft besonde-
res Augenmerk auf die Einhaltung dieser Vorgaben legen
mssen, da in 43 Absatz 1 Nummer 2b BDSG ein Bu-
geldtatbestand speziell fr Pflichtverletzungen bei der
Auftragsdatenverarbeitung geschaffen wurde.
Besondere Sorgfalt ist dann angebracht, wenn das Out-
sourcing in Drittlnder auerhalb des Europischen
Wirtschaftsraums erfolgen soll. Ein solches Vorhaben ist
nur zulssig, wenn beim Vertragspartner ein angemesse-
nes Datenschutzniveau im Sinne der EG-Datenschutz-
richtlinie gewhrleistet wird. Dies gilt in verstrkter
Weise bei verteilten Anwendungen, die unter dem Begriff
Cloud Computing subsumiert werden.
Liebe Leserinnen und Leser, mit dem Prfleitfaden gibt
Ihnen die ISACA ein hilfreiches Dokument an die Hand,
bei dessen Anwendung und praktischer Umsetzung ich
Ihnen viel Spa und Erfolg wnsche. Allerdings darf
dabei nicht vergessen werden, dass eine schematische
Abarbeitung der darin enthaltenen Prffragen nicht aus-
reicht und letztlich die konkrete Konstellation berck-
sichtigt werden muss.
Peter Schaar
Bundesbeauftragter fr Datenschutz
und Informationsfreiheit
Vorwort
Im Rahmen der nderung des Bundesdatenschutzgeset-
zes vom 14.08.2009 wurde 11 BDSG sowohl umfang-
reich um eine detaillierte Aufstellung der vertraglich fest-
zulegenden Fakten als auch um eine (wiederkehrende)
Prfpflicht fr den Auftraggeber/die verantwortliche
Stelle (Text des 11 BDSG siehe Anlage A) erweitert.
Ob und welche Prfungen im Detail durchzufhren sind,
hngt davon ab, ob es sich bei den durchgefhrten ausge-
lagerten Ttigkeiten um Auftragsdatenverarbeitung (ADV)
handelt.
Dieser Leitfaden wurde als Praxishilfe durch die Fach-
gruppe Datenschutz des ISACA Germany Chapter e.V.
(www.isaca.de) erstellt und soll Unternehmen, ffent-
lichen Stellen und Dienstleistern sowie speziell auch den
Mitarbeitern aus den Bereichen Interne Revision, IT-
Sicherheit und Datenschutz eine bersicht ber die rele-
vanten Themengebiete und die Abgrenzungen der daten-
schutzrechtlich erforderlichen Prfung geben. Die fall-
weise Ausgestaltung der Prfung dabei natrlich risiko-
orientiert anzulegen und richtet sich nach den jeweils
vorgefundenen Gegebenheiten in Bezug auf das Kontroll-
umfeld, die betroffenen Arten von Daten, Art und Orte
der Verarbeitung sowie die konkreten Vertragsbeziehun-
gen.
Neben der Darstellung der vom BDSG geforderten Prf-
kriterien wird auch ein Mapping auf etablierte Standards
zur Verfgung gestellt, das es dem Prfer erleichtert, red-
undante Prfungen zu minimieren, sofern er bereits un-
abhngig zum Datenschutz eine Prfung gegen COBIT,
BSI IT-Grundschutz oder ISO 27xxx durchfhrt.
Definitionen
Auftragsdatenverarbeitung
Wenn ein Unternehmen personenbezogene Daten, fr die
es selbst Verantwortliche Stelle (i.S.d.G.) ist, durch
eine andere Stelle auerhalb des Unternehmens (aber
gegebenenfalls auch innerhalb des Konzerns/Unterneh-
mensverbundes) unter bestimmten Rahmenbedingungen
erheben, verarbeiten oder nutzen lsst, so handelt es sich
dabei um Auftragsdatenverarbeitung (ADV). Bei der
ADV erfolgt keine Datenberlassung, d.h., der Auftrag-
geber bleibt Herr der Daten und somit verantwortlich fr
die korrekte Einhaltung der Regelungen. Es wird ledig-
lich eine (Teil-)Funktion des eigentlichen Verfahrens aus-
gelagert, nicht jedoch das Verfahren selbst. Der Auftrag-
nehmer erhlt keine Befugnis zur Verwendung der Daten
zu eigenen Zwecken, noch wird er verantwortliche Stelle
und er muss sich strikt an die schriftlichen Weisungen des
Auftraggebers halten, die aufgrund eines schriftlichen
Vertrages zu geben sind. Weitere Kriterien, die eine Auf-
tragsdatenverarbeitung charakterisieren:
Dem Auftragnehmer fehlt die Entscheidungsbefugnis
ber die Daten.
Es besteht ein ausdrckliches Nutzungsverbot fr die
personenbezogenen Daten ber die Beauftragung hin-
aus.
Die durch den Auftragnehmer durchgefhrte Verar-
beitung wird nur und ausschlielich durch die verant-
wortliche Stelle nach auen hin vertreten.
Darber hinaus sind die Regelungen des 11 (1)-(4) zur
Auftragsdatenverarbeitung auch anzuwenden, wenn im
Rahmen von Wartungsarbeiten, z.B. via Fernwartung,
der Zugriff auf personenbezogene Daten des Auftragge-
bers nicht ausgeschlossen werden kann.
Auftragnehmer/Auftraggeber: Der Auftragnehmer (AN)
erhebt, verarbeitet oder nutzt Daten nur im Rahmen
des Auftrages und der Weisungen des Auftraggebers
(AG).
Datentrger: sind Medien, die in der Lage sind, Informa-
tionen zu speichern. Gngige Datentrger sind pa-
piergebunden (Dokumente), chemisch-optisch (Film),
opto-elektronisch (CD, DVD), magnetisch (Festplat-
te, Band) oder halbleitergebunden (SD-Karte, USB-
Stick). Datentrger knnen einmal beschreibbar sein
(WORM, Write Once Read More), wie z.B. Papier,
Mikrofilm oder CD-R oder mehrfach beschreibbar/
lschbar, wie z.B. Festplatten, SD-Karten oder CD-
RW.
Dritter: ist jede Person oder Stelle auerhalb der verant-
wortlichen Stelle. Dritte sind nicht der Betroffene
sowie Personen und Stellen, die im Inland, in einem
anderen Mitgliedstaat der Europischen Union oder
in einem anderen Vertragsstaat des Abkommens ber
den Europischen Wirtschaftsraum personenbezo-
gene Daten im Auftrag erheben, verarbeiten oder
nutzen.
Drittlandtransfer: Sofern Daten auerhalb des Europi-
schen Wirtschaftsraums (EWR) transferiert werden
sollen, spricht man vom Drittlandtransfer. Hierzu
legt der Gesetzgeber Erlaubnistatbestnde fest, die es
einem Unternehmen erst ermglichen, personenbezo-
gene Daten zu transferieren (z.B. anerkannte Dritt-
staaten, Safe-Harbor-Vereinbarung oder Standard-
vertragsklauseln). Das Unternehmen bleibt aber auch
in diesem Fall Herr der Daten und muss die prinzipi-
elle Rechtmigkeit der Transfers sicherstellen.
Empfnger: ist jede Person oder Stelle, die Daten erhlt.
Funktionsbertragung: Fr den Begriff Funktionsber-
tragung gibt es keine gesetzliche Definition und 11
BDSG gilt hier nicht.
Eine Funktionsbertragung findet dann statt,
wenn nicht nur die Verarbeitung von Daten, sondern
auch die Aufgabe/das Verfahren, zu dessen Erfllung
die Datenverarbeitung notwendig ist, mit recht-
licher Zustndigkeit vollumfnglich und mit allen
Verantwortlichkeiten an eine dritte Stelle abgegeben
wird. Damit geht einher, dass die Daten dazu an den
Auftragnehmer bermittelt werden. Dabei gehen
auch alle Pflichten fr den Schutz der personenbezo-
genen Daten auf den Auftragnehmer ber, er wird
Herr der Daten.
Herr der Daten: ist derjenige, der die rechtliche Ver-
antwortung fr die Verarbeitung der Daten hat im
Gesetzestext des BDSG als die verantwortliche
Stelle bezeichnet. Sie erteilt schriftliche Anweisun-
gen zur Durchfhrung des Auftrages.
Personenbezogene Daten: Personenbezogene Daten sind
Einzelangaben ber persnliche oder sachliche Ver-
hltnisse einer bestimmten oder bestimmbaren natr-
lichen Person.
Sub-Auftragnehmer: Sofern der Auftragnehmer weitere
eigene Dienstleister zur Erbringung der Leistung ein-
schaltet, spricht man von Sub-Auftragnehmern
(Unterauftragsverhltnisse). Eine Beauftragung von
Sub-Auftragnehmern durch den AN ist im Vertrag zu
regeln. Im Einzelfall muss der AN beim AG hierzu
eine schriftliche Zustimmung einholen.
bergebene/berlassene Daten/-trger mit Daten: ber-
gebene/berlassene Daten/-trger sowie smtliche
hiervon gefertigte Kopien oder Reproduktionen ver-
bleiben im Eigentum des AG. Diese sind sorgfltig zu
verwahren, sodass sie Dritten nicht zugnglich sind.
Eine datenschutzkonforme Vernichtung von Daten-
trger, Test- und Ausschussmaterial wird ggf. im Ein-
zelfall beauftragt.
Verantwortliche Stelle: ist jede Person oder Stelle, die per-
sonenbezogene Daten fr sich selbst erhebt, verarbei-
tet oder nutzt oder dies durch andere im Auftrag vor-
nehmen lsst.
1. Formale Aspekte
1.1 Auftragsdatenverarbeitung Ja/Nein
Vor Beginn einer Prfung der Auftragsdatenverarbeitung
(ADV) ist zunchst zu klren, ob es sich bei der zu unter-
suchenden Abwicklung um eine Auftragsdatenverarbei-
tung oder um eine sog. Funktionsbertragung handelt.
Der Begriff der Funktionsbertragung ist nicht eindeutig
gesetzlich definiert, sondern resultiert aus der Auslegung
des BDSG. Bei einer Funktionsbertragung ist der
Dienstleister hinsichtlich des Umgangs mit den jeweiligen
Daten weisungsfrei. Er ist Herr der Daten, die Einhal-
tung der Vorschriften des BDSG obliegt ihm eigenverant-
wortlich. Eine Funktionsbertragung kann z.B. im Falle
des Outsourcings einer Personalstelle vorliegen, wobei
der Dienstleister fr das komplette Personalmanagement
verantwortlich ist.
Handelt es sich dagegen um eine Auftragsdatenverarbei-
tung behlt der Auftraggeber die Entscheidungsbefugnis
ber die Daten. Eine genaue Beurteilung muss immer
bezogen auf den Einzelfall vorgenommen werden. Im
Folgenden sind daher Fragestellungen aufgefhrt, die
eine Abgrenzung der Begrifflichkeiten ermglichen und
sofern die Fragen 1.1.1 1.1.3 mit Ja beantwortet
werden oder ein Sachverhalt nach 1.1.4 vorliegt auf
eine ADV hindeuten:
1.2 Vertragliche Grundlage
Die zentrale rechtliche Grundlage fr die Erhebung,
Verarbeitung oder Nutzung von personenbezogenen
Daten im Auftrag bildet 11 BDSG. Im Zuge der zum
01.09.2009 in Kraft getretenen Novelle des BDSG wurde
diese Bestimmung um eine Reihe von inhaltlichen Min-
destanforderungen erweitert. In der alten Fassung war
bereits eine sorgfltige (unter Bercksichtigung der von
ihm getroffenen technischen und organisatorischen Ma-
nahmen) Auswahl des Dienstleisters gefordert. Hin-
sichtlich der vertraglichen Ausgestaltung beschrnkte
sich das BDSG lediglich auf die allgemeine Forderung
nach einer schriftlichen Auftragserteilung. Nach neuer
Fassung sind u.a. Auftragsgegenstand, Dauer, Art der
Daten, technische und organisatorische Manahmen
sowie Unterauftragsverhltnisse des Auftragnehmers zu
beschreiben. Als formale Voraussetzung fr eine Prfung
durch den Auftraggeber ist hier 11, Abs. 2 Satz 7 zu
nennen, da dieser die Festlegung der Kontrollrechte des
Auftraggebers und die entsprechenden Duldungs- und
Mitwirkungspflichten des Auftragsnehmers fordert.
Eine eindeutige Regelung dieses Punktes ist somit im
Falle einer Prfung wesentlich zur Gewhrleistung des
Zugangs zu allen relevanten Informationen bzw. Doku-
menten des Auftragnehmers.
Zusammenfassend ist festzustellen, dass bei Abschluss
von Neuvertrgen (z.B. im Rahmen eines Auswahlpro-
zesses fr einen Dienstleister) gewhrleistet sein muss,
dass die Vertrge den formalen Anforderungen des 11
BDSG entsprechen. Soweit noch nicht erfolgt, sind Ver-
trge, die vor dem 01.09.2009 geschlossen wurden, ggf.
anzupassen (kein Schutz von Altvertrgen).
Nr. Frage
1.1.1 Verarbeitet der Auftragnehmer (im Folgenden AN genannt) personenbezogene Daten, fr die der Auftraggeber
(im Folgenden AG genannt) rechtlich verantwortlich ist?
1.1.2 Erfolgt die Verarbeitung der Daten durch den AN vollstndig weisungsgebunden?
1.1.3 Fehlt dem AN die Entscheidungsbefugnis ber die Verwendung der Daten?
1.1.4 Bestehen Wartungsvertrge, bei denen der Zugriff auf personenbezogene Daten des Auftraggebers nicht
ausgeschlossen werden kann?
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
1.2.1 Was ist der Gegenstand des Auftrags? 3 3 4
1.2.2 Was ist der Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung? 4 4 5
1.2.3 Welche Art von Daten werden verarbeitet? 4 4 5
1.2.4 Welcher Kreis von Betroffenen ist durch die Art der Daten bestimmt? 4 4 5
1.2.5 Wo fhrt der AN den Auftrag aus? D.h. an welchen Einsatzorten? (Anschrift, Etage, Raum-
nummer, wichtig: Wo ist der Sitz und der/die Orte der Auftragsausfhrung)
5 2, 5 2
1.2.6 Welcher Art ist der Einsatzort? (z.B. Rechenzentrum, Broraum) 2 2, 5 23
1.2.7 Wird der Auftrag im Ausland ausgefhrt (wenn ja: EWR oder auerhalb des EWR, wenn Daten
auerhalb EWR verarbeitet werden, sind besondere Hrden zu berwinden!)
2 1 1
1.2.8 Gibt es Unterauftragsverhltnisse? 2 8 9
1.2.9 Ist die Vertragsdauer geregelt? 8 3 8
1.2.10 Sind Sachverhalte wie z.B. Haftung, Vertragsstrafen, Vergtung etc. vertraglich geregelt? 3 2 8
1.2.11 In welcher Form hat der AG das Recht, Weisungen gegenber dem AN vorzunehmen und ist
dies vertraglich geregelt?
2 11, 14 12, 26
1.2.12 Ist vertraglich geregelt, dass der AN die zur Datenverarbeitung berlassenen Daten fr keine
anderen Zwecke kopiert oder Duplikate erstellt, ohne Wissen des AG?
11, 14 4, 5, 14 2, 24
1.2.13 Ist vertraglich geregelt, dass der AG den AN informiert, wenn Fehler oder Unregelmigkeiten
bei einer Prfung der Auftragsergebnisse festgestellt werden?
4 10 11
1.2.14 Ist vertraglich geregelt, dass alle Auftrge schriftlich erteilt werden? 10 5 2
1.2.15 Sind Vertraulichkeitsklauseln im Vertrag dokumentiert (z.B. Geschftsgeheimnisse und
Datensicherheitsmanahmen des AN)?
5 7, 14 1
1.2.16 Ist vertraglich geregelt, dass der AN den AG unverzglich auf ggf. nicht gesetzeskonforme
Weisungen durch den AG hinweisen muss?
7 14 11
1.2.17 Ist vertraglich geregelt, dass der AN damit einverstanden ist, dass der Auftraggeber oder
durch diesen beauftragte Dritte jederzeit die Einhaltung der Vorschriften ber den Daten-
schutz und der vertraglichen Vereinbarungen im erforderlichen Umfang kontrollieren kann,
insbesondere durch die Einholung von Ausknften und die Einsichtnahme in die gespeicherten
Daten und die Datenverarbeitungsprogramme?
10, 14 13, 9 10
1.2.18 Ist die Art und Weise der erlaubten Verarbeitung vertraglich geregelt (Stichwort Telearbeit,
Datenverarbeitung in Privatwohnungen)?
9 5, 4 2
1.2.19 Ist vertraglich geregelt, dass nach Abschluss der vertraglichen Arbeiten durch den AN
smtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder
Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhltnis stehen, dem AG
auszuhndigen sind?
4 12 13
1.2.20 Ist vertraglich geregelt, dass die Datentrger des AN nach Abschluss der vertraglichen Arbeiten
physisch zu lschen sind?
6, 12 12 13
1.2.21 Ist vertraglich geregelt, dass Test- und Ausschussmaterial nach Abschluss der vertraglichen
Arbeiten unverzglich zu vernichten oder dem AG auszuhndigen ist?
12 12 13
1.2.22 Ist vertraglich geregelt, dass die Lschung bzw. Vernichtung durch den AN dem AG schriftlich
zu besttigen ist?
12 12 13
1.2.23 Ist die Beauftragung von Subunternehmern durch den AN vertraglich geregelt? Der AN hat in
diesem Falle vertraglich sicherzustellen, dass die mit dem AG vereinbarten Regelungen auch
gegenber Subunternehmern gelten.
8 8 9
1.2.24 Sind die Mitarbeiter des AN auf das Datenschutzgeheimnis gem dem BDSG/relevanten
LDSG verpflichtet?
1, 5, 7 1, 7 1
1.2.25 Ist vertraglich geregelt, dass der AN Ausknfte an Dritte oder den Betroffenen nur nach
vorheriger schriftlicher Zustimmung durch den AG erteilen darf?
5 5 2
1.2.26 Ist die genaue, qualifizierte Bezeichnung des Speicherungs- und des Verarbeitungsortes im
Vertrag festgelegt?
5 5 2
1.2.27 Sind die Eigentumsverhltnisse an Soft- und Hardware geregelt? 5 5 6
1.2.28 Ist der Eigentumsvorbehalt des AN an gespeicherten Daten und maschinellen Ergebnissen
bei Nichterfllung des Vertrages durch den AG geregelt?
5 5 6
1.3 Organisatorische Grundlagen
Die Qualitt des Auswahl- bzw. Prfprozesses beim Auf-
traggeber sowie die Qualitt des Datenschutzkonzeptes
beim Auftragnehmer hngen wesentlich von der diesbe-
zglichen organisatorischen Ausgestaltung auf beiden
Seiten ab. Die Voraussetzungen, die eine formelle Bestel-
lung eines betrieblichen Datenschutzbeauftragten not-
wendig machen, sind eindeutig definiert (4f BDSG). Da
das BDSG das rechtliche Fundament fr die Auftragsda-
tenverarbeitung bildet, ist es folgerichtig, dass der Daten-
schutzbeauftragte in den Auswahlprozess fr einen
Dienstleister bzw. in eine Prfung eingebunden wird. Da-
neben gibt es in vielen Unternehmen IT-/Informations-
Sicherheitsbeauftragte bzw. IT-Revisionen, die als An-
sprechpartner zu einzelnen Themen herangezogen wer-
den sollten.
Nr.
Frage COBIT BSI ISO
1.2.29 Sind die Weisungsberechtigten bei AG und AN geregelt? 5, 8, 11 5, 8, 11 1
1.2.30 Sind die Verantwortung, Art, schriftliche Besttigung, Transportkontrolle sowie Protokollierung
fr den Datentrgertransport geregelt?
5 5 24
1.2.31 Ist die Prfung der Richtigkeit der Ergebnisse durch den AG geregelt? 5 5 25
1.2.32 Sind Eskalationswege sowie entsprechende Sanktionen (z.B. Vertragsstrafen) fr Vertrags-
verletzungen und -strungen vereinbart?
3, 5 5 2, 11, 12
Nr.
Frage COBIT BSI ISO
1.3.1 Gibt es in der eigenen Organisation einen wirksam ttigen Beauftragten fr die
IT-/Informationssicherheit?
5 5 1
1.3.2 Gibt es in der eigenen Organisation (AG) einen Datenschutzbeauftragten (im Folgenden
DSB genannt) im Sinne des BDSG?
5 20
1.3.3 Wurde beim AN ein DSB bestellt? Die Bestellung ist ein formeller Akt mit der Geschftsfhrung
und dem DSB.
5 5 1
1.3.4 Wurde der AN durch berprfung der von ihm getroffenen technischen und organisatorischen
Manahmen sorgfltig ausgewhlt (11 Abs. 2 Satz 1 BDSG/div. LDSG)?
5 2 1
1.3.5 War bei der Auswahlberprfung der auftragnehmende DSB aktiv eingebunden? 2 2 1
1.3.6 Gibt es beim AN einen Beauftragten fr die IT-/Informationssicherheit? 2 1
1.3.7 Existieren Vertretungsregelungen fr die DV-Verantwortlichen? 1 5 1
1.3.8 Ist eine IT-Revision bzw. interne Revision vorhanden? 1, 11 5 14, 30
1.3.9 Sind die Beauftragten fr IT-/Informationssicherheit und Datenschutz des AN angemessen
ausgebildet und verfgen sie ber angemessenes fachliches Know-how und eine
angemessene persnliche Eignung?
1, 5, 7, 10 5 1
1.3.10 Sind die Beauftragten fr IT-/Informationssicherheit und Datenschutz des AN angemessen in
die Organisationsstruktur eingebunden (als Stabsstelle zur Organisationsleitung)?
1, 5, 7, 10 5 1
1.3.11 Sind die Beauftragten fr IT-/Informationssicherheit und Datenschutz des AN frei von
Interessenkonflikten (bspw. Trennung von der Umsetzung von Manahmen)? Siehe auch
Kapitel 2.10.
1, 5, 7, 10 5 1
1.3.12 Verfgen die Beauftragten fr IT-/Informationssicherheit und Datenschutz des AN ber
angemessene Ressourcen zur Wahrnehmung ihrer Aufgabe?
1, 5, 7, 10 5 1
2. Praxisteil
Die Verarbeitung von personenbezogenen Daten im Auf-
trag erfordert, dass der Auftraggeber sich vor Beginn
der Datenverarbeitung und sodann regelmig von der
Einhaltung der beim Auftragnehmer getroffenen techni-
schen und organisatorischen Manahmen (11 (3)
BDSG) zu berzeugen hat. Diese Formulierung weist auf
eine Vor-Ort-Prfung hin; diese ist aber aufgrund des
Gesetzestextes und auch nach der entsprechenden Litera-
tur nicht zwingend erforderlich. Die nachfolgenden Pr-
fungsschritte sind weitestgehend sowohl bei einer Vor-
Ort-Prfung als auch bei einer reinen Dokumentenpr-
fung anwendbar. Zu beachten sind ggf. vorliegende Prf-
berichte Dritter (z.B. Wirtschaftsprfer, ISO 27001- oder
BSI-Auditoren, Datenschutz-Auditoren). Es sollte doku-
mentiert werden, warum im Einzelfall eine Vor-Ort-Pr-
fung unterlassen wurde.
2.1 Dokumentenstudium
Zentrale Grundlage fr eine Prfung sind alle Dokumen-
tationen des Auftragnehmers, die zur Beurteilung der
Wirksamkeit der getroffenen technischen und organisa-
torischen Manahmen dienen knnen. Dies gilt sowohl
fr eine Erstprfung als auch fr die in 11 (3) BDSG
geforderte regelmig wiederkehrende Kontrolle. Der
Umfang der vorliegenden Dokumentationen, ihre Aktua-
litt sowie eine erste grobe Beurteilung der inhaltlichen
Qualitt knnen als Indikatoren fr das weitere Pr-
fungsvorgehen dienen. Liegt z.B. eine differenzierte
Beschreibung des Berechtigungskonzeptes mit aktuellen
Benutzer- und Berechtigungszuordnungen vor, ist ein
Verzicht auf substanzielle Prfungshandlungen unter
Umstnden vertretbar, whrend ein offensichtlich veral-
tetes oder zu knapp gehaltenes Dokument zur Zutritts-
kontrolle eine Vor-Ort-Prfung eher erforderlich macht.
Ein Patentrezept kann an dieser Stelle nicht gegeben
werden, da 11 (3) BDSG hier einen relativ breiten
Ermessensspielraum bietet.
Nr.
Frage COBIT BSI ISO
2.1.1 Existiert ein Datensicherheitskonzept? 5 5
2.1.2 Existiert eine Dokumentation der umgesetzten technischen und organisatorischen
Manahmen?
5 5 20
2.1.3 Existiert ein/e Verfahrensverzeichnis/bersicht des AN? 5
2.1.4 Existiert eine Dokumentation, in der die Zutrittskontrolle und die dafr umgesetzten
Manahmen geregelt sind?
5 5 21
2.1.5 Existiert eine Dokumentation, in der die Zugangskontrolle und die dafr umgesetzten
5 5 22
2.1.6 Existiert eine Dokumentation, in der die Zugriffskontrolle und die dafr umgesetzten
5 5 23
2.1.7 Existiert eine Dokumentation, in der die Weitergabekontrolle und die dafr umgesetzten
5 5 24
2.1.8 Existiert eine Dokumentation, in der die Eingabekontrolle und die dafr umgesetzten
5 5 25
2.1.9 Existiert eine Dokumentation, in der die Verfgbarkeitskontrolle und die dafr umgesetzten
5 5 26
2.1.10 Existiert eine Dokumentation, in der die Trennungskontrolle und die dafr umgesetzten
5 5 27
2.1.11 Existiert fr diese Auftragsdatenverarbeitung ein Datenschutz- und Sicherheitskonzept,
in dem alle technischen und organisatorischen Manahmen dargestellt sind?
5 5 27
2.1.12 Gibt es in der Organisation etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz
und Datensicherheit (z.B. BSI Grundschutz/ISO 27001/Richtlinie Datenschutz)?
5 5 20
2.1.13 Gibt es eine Planung fr den Katastrophenfall? (BCM-Konzept) 5 5 27
2.1.14 Welche Einrichtungen (Hardware/Software) setzt der AN zur auftragsgemen Bearbeitung
der personenbezogenen Daten ein?
5 5
2.1.15 Existieren Verpflichtungen nach 5 BDSG/88 TKG? 5, 7 1
2.1.16 Liegen Ttigkeitsberichte des DSB vor? 1, 7 1
2.1.17 Existiert eine Risikoanalyse des Betriebs (ERM, ISMS)? 2, 5, 7, 10 1
2.2 Zutrittskontrolle
Der unbefugte Zutritt zu Gebuden, Rumen und Ein-
richtungen, in denen personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, ist zu verhindern. Dritte
sind whrend ihres Aufenthalts an solchen Orten zu
begleiten oder anderweitig geeignet zu berwachen. Die
Zutrittsbefugnis ist eng an die unmittelbaren Erforder-
nisse der Aufgabenerledigung fr den Auftraggeber
gebunden. Den gesicherten Zutritt zu den Betriebsgebu-
den und -rumen sowie die Legitimation der Berechtigten
gewhrleistet der Auftragnehmer durch persnliche Kon-
trolle und den Einsatz von angemessenen wirksamen
Zugangskontrollen wie z.B. elektronischen Chipkarten,
Trschliesystemen und technischen berwachungsein-
richtungen. Weiterhin sind geeignete und wirksame
berwachungseinrichtungen, wie Video- und Alarman-
lage, zu installieren. Der Zugang zu Anlagen, Schlsseln
und Ausweisen von Zugangskontrollsystemen ist beson-
ders zu schtzen. Auerhalb gesicherter Rechenzentren
sind personenbezogene Daten physisch (durch Geheim-
haltung, Zutrittskontrollen und Wegschlieen) sowie
logisch (durch Verschlsselung und Geheimhaltung der
Existenz) zu schtzen.
Nr.
Frage COBIT BSI ISO
2.2.1 Erfolgt eine Zutrittskontrolle fr den Zutritt zum Betriebsgelnde/Gebude? 5 5 21
2.2.2 Wenn ja welche?
Magnetkarte/Chipkarte
Schlssel
Werkschutz
berwachungseinrichtungen
Video
Alarmanlagen
andere
5 5 21
2.2.3 Existiert ein Zutrittskontrollsystem, in dem die zutrittsberechtigten Mitarbeiter festgelegt sind? 5 5 21
2.2.4 Pfrtnerdienst (7 u 24 Stunden)? 5 5 21
2.2.5 Bestehen Regelungen fr Fremdpersonal, Reinigungspersonal, Besucher? 5 5, 8 21
2.2.6 Ist die Begleitung von Gsten im Gebude in einer Richtlinie geregelt? 5 5 21
2.2.7 Sind differenzierte Sicherheitsbereiche/-zonen festgelegt (z.B. fr Server, Grorechner,
Archiv)?
5 5 21
2.2.8 Wie ist der (RZ-)Zutritt gesichert?
Vergitterte Fenster/Sicherheitsfenster, -schlsser, -tren mit einer definierten
Widerstandsklasse
Lichtschchte
Lftungsffnungen
Rollos gegen Hochschieben gesichert
Feuerleiter
5 5 21
2.2.9 Sind die Server in abschliebaren Serverschrnken? 5 5 22
2.2.10 Sind Datentrger Bestandteil eines Zutrittsschutzkonzepts? 5 5 22
2.2.11 Sind gelagerte Notebooks unter Verschluss in gesicherten Rumen? 5 5 22
2.2.12 Erfolgt die Aufbewahrung von Datensicherungen (z.B. Bnder, CDs) im zutrittsgeschtzten
Safe oder Rumen?
5 5 21
2.2.13 Liegt eine Anweisung zur Ausgabe von Schlsseln vor? 5 5 21
2.3 Zugangskontrolle
Im Gegensatz zur Zugriffskontrolle ist das Ziel der
Zugangskontrolle, das Eindringen unbefugter Personen in
die rumliche Umgebung der IT-Systeme zu verhindern.
Die Beeintrchtigung von Vertraulichkeit, Integritt und
Verfgbarkeit von Systemen und Anwendungen zur Ver-
arbeitung von personenbezogenen Daten durch unbe-
fugte Personen ist wirksam zu verhindern. Besonders sen-
sible Daten sind in jedem Fall verschlsselt zu speichern.
Um Zugang zu den technischen Systemen, Anwendungen
und Netzwerken des Auftragnehmers zu erhalten, muss
ein kennwortgeschtzter Benutzerstammsatz, das per-
snliche Benutzerkonto, technisch eingerichtet werden.
Mit diesem hat sich der berechtigte Nutzer gegenber
dem System oder der Anwendung zu authentifizieren.
Beim Verlassen von Computern mssen sich die Benutzer
entsprechend abmelden. Bei einer Passwortvergabe ms-
sen Benutzer ausreichend sicher authentifiziert werden.
Das Benutzerkonto muss formell beantragt, vom jewei-
ligen Vorgesetzten genehmigt und die Zuweisung doku-
mentiert werden. Die Ausgestaltung, die Nutzung und
der persnliche Umgang mit dem User und dem Kenn-
wort ist vom Auftragnehmer in einer Passwortrichtlinie
organisatorisch zu regeln, deren Einhaltung technisch
untersttzt wird. Insbesondere
sind User-IDs eindeutig zu vergeben,
Passworte sind sicher zu speichern und zu bertragen,
Passworte sind ausreichend lang und komplex zu ge-
stalten,
Passworte sind regelmig zu wechseln,
User und Passworte sind in der Gltigkeitsdauer zu
beschrnken und bei Inaktivitt zunchst zu sperren
und spter zu lschen,
im Fall der Kompromittierung sind Passworte zeitnah
zu wechseln.
Anwendungen und Kommunikationsverbindungen er-
zwingen beim Erreichen bestimmter Schwellwerte (maxi-
male Sitzungsdauer, Fehlanmeldungen u.a.) eine erneute
Authentisierung.
In Betracht kommende Manahmen umfassen neben den
o.g. A-priori-Manahmen (Passwortmanagement) eben-
falls Manahmen zur Schwachstellenfrherkennung,
Incident-Management etc., die als technische und organi-
satorische Prozesse etabliert werden sollten.
Nr.
Frage COBIT BSI ISO
2.3.1 Die unbefugte Nutzung von IT-Systemen wird durch folgende Manahmen verhindert?
User-ID
Passwortvergabe
Automatische Bildschirmsperre mit Passwortaktivierung
Sonstige (bitte beschreiben)
5 5 22
2.3.2 Verfgt jeder Berechtigte ber ein eigenes nur ihm bekanntes Passwort? 5 5 23
2.3.3 Gibt es eine Richtlinie zur Vergabe und Nutzung von Passwrtern?
Werden Passwrter verschlsselt gespeichert?
5 5 23
2.3.4 Sind weiter gehende Manahmen zum Identittsmanagement vorgesehen?
(z.B. Smartcardeinsatz)
5 5 23
2.3.5 Werden ber alle Aktivitten in den IT-Systemen automatisch Protokolle erstellt? 5 5 11
2.3.6 Die Nutzung von IT-Systemen mithilfe von Einrichtungen der Datenbertragung durch
Unbefugte wird durch folgende Manahmen verhindert oder zumindest nachvollziehbar
gemacht:
Standleitung
Whlleitung mit automatischem Rckruf
Teilnehmerkennung
Ausweisleser
Funktionelle Zuordnung einzelner Datenendgerte
Protokollierung der Systemnutzung und Protokollauswertung
Sonstige Manahmen (bitte beschreiben)
5 5 26
2.3.7 Werden neue Schwachstellen in den IT-Systemen gemeldet, erkannt, analysiert und ggf.
behoben, um das Eindringen seitens unbefugter Dritter in die IT-Systeme zu verhindern
(CERT, Scanner etc.)?
5 5 11
2.4 Zugriffskontrolle
Unerlaubte Ttigkeiten in DV-Systemen und mit DV-
Anwendungen, die zur Erhebung, Verarbeitung und Nut-
zung von personenbezogenen Daten dienen, sind zu ver-
hindern.
Zugriffsberechtigungen sind beim Auftragnehmer nach
den Prinzipien need-to-know und need-to-do zu
erteilen. Dazu sind den Zugriffsberechtigungen aufga-
benbezogene Berechtigungskonzepte, Benutzerprofile
und Funktionsrollen zugrunde zu legen.
Eine Zugriffsberechtigung ist auf Basis des Rollenkon-
zepts zu beantragen und vom Vorgesetzten zu genehmi-
gen. In den Genehmigungsprozess sind weitere Kontroll-
instanzen zu integrieren. Zur technischen Zugriffssiche-
rung hat der Auftragnehmer anerkannte Sicherheitssys-
teme, z.B. RACF, Active Directory, zu verwenden.
Bestehende Benutzerkonten sind in regelmigen Abstn-
den und bei nderung von Aufgaben von Benutzern zu
berprfen und entsprechend zu lschen oder zu ndern.
Die Verantwortlichkeit fr Benutzerkonten muss klar
zugewiesen werden; Vertretungen sind nur im Rahmen
der geltenden Richtlinien zu erlauben.
Die Rollen von System- und Sicherheitsadministratoren
(Einrichten von Zugriffen und Konfiguration von Sicher-
heitsparametern) sind zu trennen.
Nr.
Frage COBIT BSI ISO
2.3.8 Gibt es definierte und wirksame Verfahren fr die Fachabteilungen und Technik im Fall eines
(erfolgten) externen Angriffs auf relevante Daten und Systeme?
5 5 11
2.3.9 Werden IT-Systeme auf die Wirksamkeit (Effektivitt) eingesetzter Manahmen gegen das
Eindringen seitens unbefugter Dritter getestet (z.B. Penetrationstest)?
5 5 30
2.3.10 Gibt es definierte organisatorische und technische Verfahren und Methoden zum Incident-
Management (Management von erkannten oder vermuteten Sicherheitsvorfllen bzw.
Strungen, Ausfllen etc.)?
5 5 11
Nr.
Frage COBIT BSI ISO
2.4.1 Besteht ein dokumentiertes Berechtigungsmanagement, in dem verbindlich geregelt ist,
wie Berechtigungen beantragt, freigegeben, umgesetzt und wieder entzogen werden?
Ist im Rahmen dieses Berechtigungsmanagements manipulationssicher nachweisbar,
wer wann welche Berechtigungen innehatte?
5 5 23
2.4.2 Bestehen differenzierte Berechtigungen (z.B. fr Lesen, Lschen, ndern)? 5 5 23
2.4.3 Bestehen differenzierte Berechtigungen fr Daten, Anwendungen und Betriebssystem? 5 5 23
2.4.4 Besteht eine funktionelle/personelleTrennung von Berechtigungsbewilligung (organisatorisch)
und Berechtigungsvergabe (techn.)?
5 5 23
2.4.5 Liegt ein Konzept der Laufwerksnutzung und -zuordnung vor? 5 5 24
2.4.6 Liegt eine eindeutige Zuordnung zwischen jedem Datentrger (Laufwerk etc.) und einem
Berechtigten vor (insb. bei Gruppenlaufwerken)?
5 5 24
2.4.7 Ist die Wiederherstellung von Daten aus Backups (wer darf wann auf wessen Anforderung
Backup-Daten einspielen?) in einem verbindlichen Verfahren geregelt?
5 5 27
2.4.8 Wird die Programm- und Dateibenutzung protokolliert und ausgewertet (Stichproben)? 5 5 11
2.4.9 Erfolgt bei einer evtl. Programmentwicklung eine Funktionstrennung (Test- und Produktions-
umgebung)?
5 5 23
2.4.10 Werden sog. Superuser eingesetzt und erfolgt Monitoring bzw. regelmige Kontrollen von
Aktivitten, die mithilfe dieser Benutzerkonten durchgefhrt werden?
5 5 23
2.5 Weitergabekontrolle
Aspekte im Zusammenhang mit der Weitergabe perso-
nenbezogener Daten innerhalb und auerhalb der DV-
Systeme und DV-Anwendungen sind zu regeln.
Technisch
(Schutz bei der Speicherung und bertragung von Daten)
Der Auftragnehmer stellt die Integritt der personenbe-
zogenen Daten bei der Speicherung und Weitergabe
innerhalb der DV-Systeme und DV-Anwendungen durch
Plausibilittsprfungen und/oder Verifizierungsverfahren
sicher.
Die Vertraulichkeit von personenbezogenen Daten, die
auerhalb des Verfgungsbereichs des Auftragnehmers
gelangen (z.B. fremde Netze und Funknetze), wird durch
Authentisierung und Verschlsselung gewhrleistet. Ver-
schlsselungsverfahren mssen ausreichend sowie kor-
rekt implementiert sein.
Empfngerkontrolle
(Nachvollziehbarkeit von beabsichtigten bertragungen)
Jeder automatisierte Datenaustausch mit fremden Syste-
men und Netzen wird mit Zweck, Art, Herkunft und Ziel
der bertragung dokumentiert. Firewallsysteme und
stndig aktualisierte Virensoftware werden neben einer
Secure-Socket-Layer-Verschlsselung (SSL) und unter
Verwendung von VPN-Technologie eingesetzt, insbeson-
dere bei der Kommunikation im Internet. Datentrger
werden auerhalb des Verfgungsbereichs des Auftrag-
nehmers nur verschlsselt transportiert.
Nr.
Frage COBIT BSI ISO
2.5.1 Werden Daten vom AN an den AG oder Dritte gesendet bzw. wird Dritten der Zugriff auf Daten
des AG durch den AN ermglicht?
5 5 24
2.5.2 Erhlt der AN Daten vom AG, z.B. bei Wartungsvertrgen? 5 5 24
2.5.3 Welche Versendungsart der Daten besteht zwischen AG und AN?
Datentrgertransport (z.B. Post, zuverlssiger Boten/Kurier)
Verpackungs- und Versandanschrift
Transportbegleitung und geschlossene Behltnisse
Datenverschlsselung
E-Mail, FTP, VPN (Verschlsselung)
Datenleitung
5 5 29
2.5.4 Sind weitere Manahmen fr bermittlung/Transport von Daten festgelegt?
Entgegennahme und Rckmeldung
Vollstndigkeits-/Richtigkeitsprfung
Protokollierung (z.B. Datentrger-Begleitzettel)
5 5 24
2.5.5 Werden die Daten beim Transport zwischengelagert? Wenn Ja:
Wo werden diese zwischengelagert und welche Sicherheitsmanahmen sind vorhanden?
5 5 24
2.5.6 Wie wird verhindert, dass magnetische Strstrahlung die ggf. eingesetzten magnetischen
Datentrger whrend des Transports zerstren?
5 5 24
2.5.7 Stellt die Anzahl der am jeweiligen Transport beteiligten Personen und Stellen
(z.B. Abteilungen) ein Problem dar?
5 5 24
2.5.8 Sind betroffene Mitarbeiter darber informiert, wie Datentrger zu transportieren sind? 5 5 24, 9
2.5.9 Ist geregelt, was passieren muss, wenn beim Datentrgertransport Fehler (z.B. Verlust von
Datentrgern) auftreten?
5 5 24, 11
2.5.10 Wird der Versand bzw. Transport der Datentrger dokumentiert (z.B. Protokoll wer wann
welche Informationen erhalten hat)? Wenn ja wie bzw.in welcher Form (z.B. Formular)?
5 5 24
2.5.11 Liegt eine Netzwerkdokumentation fr die bermittlungswege vor? 5 5 24
2.5.12 Sind zur bermittlung/Transport der Daten Befugte festgelegt? 5 5 24, 1
2.5.13 Erfolgt eine Legitimationsprfung der Berechtigten? 5 5 1
2.5.14 Werden Datentrger, die vom AG stammen bzw. fr den AG genutzt werden, besonders
gekennzeichnet und unterliegen diese der laufenden automatisierten Verwaltung?
5 5 24, 6
2.5.15 Wird Eingang und Ausgang der Datentrger lckenlos dokumentiert? 5 5 24, 12, 15
2.5.16 Wer hat in welcher Art und Weise Zugang zu/Zugriff auf diese Dokumentation? 5 5 24, 23
2.6 Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Da-
tenverarbeitung ist zu gewhrleisten.
Eingaben in die Systeme und Anwendungen durch Benut-
zer und Administratoren werden vom Auftragnehmer
generell protokolliert und regelmig auf Aufflligkeiten
geprft. Die Protokolle werden entsprechend den Inhal-
ten und/oder gesetzlichen Vorgaben archiviert oder nach
Zweckerreichung gelscht bzw. fr die weitere Verarbei-
tung gesperrt. Abstimmverfahren und Kontrollen, die
berwiegend automatisiert sind, gewhrleisten die Ord-
nungsmigkeit der Verarbeitung. Die Kontrollen sind
an den Sicherheitsanforderungen der Datenverarbeitung
zu orientieren. Protokolldaten werden sicher aufbe-
wahrt, und die Nutzung von Audit-Werkzeugen wird auf
autorisierte Anwender eingeschrnkt.
2.7 Verfgbarkeitskontrolle
Personenbezogene Daten sind gegen zufllige Zerstrung
oder Verlust zu schtzen. Der Auftragnehmer nutzt opti-
malerweise ortsgetrennte Backup-Rechenzentren. Sys-
teme sind gegen (D)DoS-Angriffe von auen geschtzt.
Die Verfgbarkeit der Daten und Systeme wird in
Rechenzentren durch geeignete Manahmen sicherge-
stellt, u.a. durch Systemredundanz, Batteriepufferung
(USV) und Generator gegen Stromausflle sowie Klimati-
sierung und Schutz gegen sonstige schdliche Umwelt-
und Sabotage-Einwirkungen. Die entsprechenden Ein-
richtungen werden wie auch alle anderen technischen
Installationen regelmig gewartet und getestet. Daten
werden gegebenenfalls laufend, auch mehrfach, gespie-
gelt. Gespiegelte Daten werden beim Schreiben auf Kor-
rektheit geprft (Integrittsprfung).
Eine permanente berwachung der Auslastungen der
Systeme sowie Manahmen zur Lastverteilung werden
durchgefhrt, um Verfgbarkeitsverluste aufgrund von
Systemberlastungen zu verhindern.
Zur verlsslichen Wiederherstellung bei gravierenden
Strungen werden Ablaufdefinitionen fr Kontinuitts-
plne entwickelt, regelmig getestet und verfgbar vor-
gehalten.
Nr.
Frage COBIT BSI ISO
2.6.1 Sind die Benutzerberechtigungen fr Eingabe (Profile) festgelegt? 5 5 23
2.6.2 Sind die Benutzerberechtigungen differenziert?
Lesen, ndern, Lschen
Teilzugriff auf Daten bzw. Funktionen
Feldzugriff bei Datenbanken
5 5 25
2.6.3 Wird maschinell protokolliert, wer was wann in der fachlichen Anwendung eingegeben hat? 5 5 25
2.6.4 Erfolgt eine Protokollierung der Administratorenttigkeiten (Anlegen von Benutzern, ndern
von Benutzerrechten)?
5 5 25
2.6.5 Sind gesetzlich bestimmte (HGB u.a.) oder unternehmenseigene Aufbewahrungsfristen
festgelegt?
5 5 19, 1
Nr.
Frage COBIT BSI ISO
2.7.1 Existiert ein angemessenes Backup- und Recoverykonzept (z.B. mit tglicher Sicherung)? 5 5 27
2.7.2 Gibt es eine Vereinbarung bzgl. bergabe der (Daten-)Sicherungen? 5 5 27, 10
2.7.3 Erfolgt eine Festplattenspiegelung? 5 5 27
2.7.4 Ist eine katastrophensichere Aufbewahrung der Datentrger sichergestellt? 5 5 27, 21
2.7.5 Existiert ein Notfall- und Wiederanlaufverfahren mit regelmiger Erprobung (BCM-Konzept)?
Existiert ein Notfallhandbuch mit Notfallplnen, Darstellung der Notfallorganisation klare
Regelung der Verantwortlichkeiten im Notfall?
5 5 27
2.7.6 Sind Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold Stand-by)? 5 5 27
2.7.7 Gibt es eine USV-Anlage (unterbrechungsfreie Stromversorgung)? 5 5 27
2.7.8 Werden unberechtigte Benutzer (z.B. bei Flooding-Versuchen) abgewiesen? 5 5 22
2.8 Trennungskontrolle
Daten verschiedener Auftraggeber sind zumindest logisch
getrennt zu verarbeiten. Systeme und Anwendungen sind
speziell auf eine zweckgebundene Verarbeitung ausgerich-
tet. Es besteht eine Funktionstrennung zwischen Produk-
tions- und Testsystemen. Testdaten von Produktionssyste-
men drfen nur nach Rcksprache mit dem Auftraggeber
verwendet werden, und nur wenn die Sicherheit des Test-
systems vergleichbar mit der des Produktivsystems ist.
Tests fhren nicht zur Verringerung des Schutzniveaus
von Vertraulichkeit, Integritt oder Verfgbarkeit perso-
nenbezogener Daten.
Die Trennung von Produktions- und Testnetzen ist durch
geeignete und wirksame Manahmen (Proxies, Firewalls,
VLANs und DMZ, Terminal Server etc.) gewhrleistet.
Der Datenverkehr zwischen ihnen ist auf den geregelten
Verfahrensablauf begrenzt.
2.9 Auftragskontrolle
Es ist eine auftrags- und weisungsgeme Auftragsdaten-
verarbeitung zu gewhrleisten.
Der Auftragnehmer verarbeitet die ihm berlassenen
Daten nur gem den vertraglich vereinbarten Weisun-
gen des Auftraggebers. Kontrollmanahmen werden in
Abstimmung mit dem Auftraggeber definiert und tech-
nisch oder organisatorisch in die Betriebsablufe einge-
bunden.
Unterauftragnehmer werden vom Auftraggeber nur nach
den Vorgaben der vertraglichen Regelungen eingeschaltet.
Nr.
Frage COBIT BSI ISO
2.7.9 Schtzen entsprechende Sicherheitssysteme (Software/Hardware) vor
berlastungsangriffen (DDoS)?
Virenscanner
Firewalls
Spamfilter
Verschlsselungsprogramme
5 5 27, 29
2.7.10 Gibt es ein Kapazittsmanagement? Wurden Single-Points-of Failure identifiziert
und durch angemessene Manahmen behandelt?
5 5 2
Nr.
Frage COBIT BSI ISO
2.8.1 Werden die Daten des AG und anderer Kunden beim AN physisch oder zumindest
logisch getrennt verarbeitet?
5 5 28
2.8.2 Werden die Daten des AG und anderer Kunden von unterschiedlichen Mitarbeitern
beim AN verarbeitet?
5 5 28
2.8.3 Erfolgen die Datensicherungen der AG-Daten auf separaten Datentrgern
(ohne Daten anderer Mandanten)?
5 5 28, 27
2.8.4 Existiert ein Berechtigungskonzept, das der getrennten Verarbeitung der AG-Daten
von Daten anderer Kunden/Mandanten Rechnung trgt?
5 5 28, 23
Nr.
Frage COBIT BSI ISO
2.9.1 Sind die Mitarbeiter des AN auf das Datengeheimnis (5 BDSG u. a. gesetzliche
Voraussetzungen) verpflichtet?
5, 7 5, 7 1, 2
2.9.2 Welche schriftliche Datenschutz-Informationen erhalten die Mitarbeiter des AN
(z.B. Merkblatt, Gesetzestext)?
5, 7 5, 7 2, 19
2.9.3 Hat der AN einen Subunternehmer zur Erfllung der Auftragsdatenverarbeitung eingesetzt?
Falls ja, bitte nchste Frage beantworten.
8 8 9 (26)
2.9.4 Wurden mit Subauftragnehmern Auftragsdatenverarbeitungsvertrge oder Datenschutz-
vereinbarungen gem. 11 BDSG abgeschlossen?
8, 5 8, 1 2
2.10 Organisationskontrollen
Unter der Zielvorgabe einer angemessenen datenschutz-
gerechten Organisation werden im BDSG vorrangig
aber auch nur beispielhaft acht Kontrollen benannt,
die der Gewhrleistung der Verfgbarkeit, Authentizitt
und Integritt dienen. Im Einleitungssatz zu der Anlage
zum 9 wurden darber hinaus Organisationskontrollen
festgeschrieben. Darunter sind technische und organisato-
rische Manahmen zu verstehen, die sich explizit auf die
Ablauf- und Aufbauorganisation beziehen und weitere,
im Kontext des BDSG relevante Kontrollen ergnzen.
Zu den wichtigsten Organisationskontrollen gehrt die
Funktionstrennung, die eine klare Trennung verschiede-
ner Aufgaben und Funktionen in einer Organisation
gewhrleistet. Angemessene Fhigkeiten und Kompeten-
zen der Mitarbeiter werden u.a. durch entsprechende
Schulungs- und Awareness-Manahmen gefrdert. Die
Umsetzung regulatorischer Anforderungen im Unterneh-
men erfordert die Existenz einer entsprechenden Ablauf-
organisation. Darunter sind u.a. Datenschutzrichtlinien,
Arbeitsanweisungen und dazugehrige Prozesse zum
Change-Management zu verstehen.
Der Umfang dieser Manahmen bestimmt sich nach der
Gre des Unternehmens und seinen Aufgaben.
Funktionstrennung und Umsetzung der Funktionstrennung
Nr.
Frage COBIT BSI ISO
2.9.5 Spiegeln die Vertrge den AN mit dem Subunternehmer die Anforderungen des AG an den
AN wider?
2, 3, 4, 5 2
2.9.6 Sind Subunternehmer auerhalb des EWR angesiedelt? 2, 8 2
2.9.7 Gibt es ein angemessenes Datenschutzniveau, z.B. Safe-Harbour-Vereinbarung, Standard-
Vertragsklauseln, Individualvertrag mit Genehmigung durch die Aufsichtsbehrden, bzw.
handelt es sich um Drittlnder mit durch die EU-Kommission festgestelltem angemessenem
Datenschutzniveau (4 b Abs. 3 BDSG)?
3, 5 1
2.9.8 Folgen aus der Auftragsverarbeitung verbindliche Arbeitsprozesse beim AG? 3 4, 5
Nr.
Frage COBIT BSI ISO
2.10.1 Wurde eine klare Trennung der verschiedenen Aufgaben und Funktionen anhand einer
Unvertrglichkeitsanalyse vollzogen und gibt es eine Matrix, die Unvertrglichkeiten von
Rollen/Funktionen darstellt?
1, 6 5, 7, 13 28
2.10.2 Wurde die Funktionstrennung schriftlich in Arbeitsanweisungen, Geschftsverteilungsplnen,
Stellenbeschreibungen, Organisationsplnen etc. fixiert?
1, 6 5, 7, 13 28
2.10.3 Werden die festgelegten Funktionstrennungen technisch untersttzt (z.B. im Rahmen der
Login- und User-Identifizierungsprozeduren)?
1, 6 5, 7, 13 28
2.10.4 Bestehen einheitliche, dokumentierte Vorgaben dafr, welcher Funktion welche
Nutzungsrechte zugeordnet sind und wer diese verfgt (u.a. Kompetenzprofile)?
1, 6 5, 7, 13 28, 22, 23
2.10.5 Ist zu jedem Zeitpunkt nachvollziehbar, wer welche Kompetenzen und Berechtigungen im
Unternehmen verfgt?
5, 6 5, 7, 13 22, 23
2.10.6 Ist die Historie der Kompetenzprofile (ber eine angemessene Zeitperiode) nachvollziehbar? 5, 6 5, 7, 13 12, 14
2.10.7 Sind die Prozesse zur Einrichtung, Vernderung und Lschung von Funktionen und Aufgaben
(sowie Folgeprozesse zur Funktionstrennung wie Kompetenzprofile) definiert?
5, 6 5, 7, 13 12, 14
2.10.8 Werden die Aktivitten der Mitarbeiter in IT-Systemen anonymisiert/pseudonymisiert
(User/Login) protokolliert?
Falls ja, bitte nchste Fragen beantworten.
5, 6 5, 7, 13 12, 14
2.10.9 Sind die anonymisierten/pseudonymisierten Protokolle ber die Aktivitten der Mitarbeiter in
den IT-Systemen in angemessener Zeit auswertbar (z.B. Zugriffe in Abwesenheit)?
5, 6 5, 7, 13 12, 14
2.10.10 Ist die Integritt und Vertraulichkeit der Protokolle sichergestellt? 5, 6 5, 7, 13 14, 19
Schulung der Mitarbeiter/Awareness
Richtlinien/Policies
Change-Management
2.11 Weitere Fragen
Nr.
Frage COBIT BSI ISO
2.10.11 Finden regelmige Basisschulungen der Mitarbeiter zu Informationssicherheit und/oder
Datenschutz statt?
5 5, 7, 13 20
2.10.12 Existieren Prozesse zur regelmigen Bewertung und Aktualisierung des Schulungsangebots
an das erforderliche Niveau und gegebenenfalls an stattgefundene nderungen in den
Anforderungen oder Rahmenbedingungen (z.B. Novellierung der Gesetze, Erlass neuer
Gesetze und Vorschriften)?
5 5, 7, 13 20
2.10.13 Erfolgt eine regelmige Aufnahme des Awareness-Niveaus der Mitarbeiter zu den Themen
Datenschutz und Informationssicherheit, z.B. im Rahmen einer Effektivittsanalyse der
Sensibilisierungsmanahmen?
5 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
2.10.14 Existiert eine bergeordnete Richtlinie/Policy zum Datenschutz? 1, 9 5, 7, 13 20
2.10.15 Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt? 1, 5, 9 5, 7, 13 20
2.10.16 Sind die Datenschutzrichtlinien zentral abgelegt und allen Mitarbeitern zugnglich? 1, 5, 9 5, 7, 13 20
2.10.17 Sind die Vorgaben aus der Richtlinie/Policy zum Datenschutz in den Arbeitsanweisungen
u.. bercksichtigt?
1, 5, 9 5, 7, 13 20
2.10.18 Ist ein Prozess zur Kaskadierung der Vorgaben aus der Richtlinie/Policy zum Datenschutz in
den Arbeitsanweisungen u.. definiert?
1, 5, 9 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
2.10.19 Exisitieren dokumentierte Prozesse zur Identifizierung, Analyse, Bewertung und Berck-
sichtigung von nderungen in den Anforderungen (beispielsweise Datenschutzgesetze)
sowie den IT-Verfahren und Prozessen (neue Anwendungen, neue IT-Systeme etc.)?
1, 5, 9 5, 7, 13 20
2.10.20 Exisitieren dokumentierte Prozesse zur Identifizierung, Analyse, Bewertung von Datenschutz-
vorfllen im Zuge von nderungen sowie der Ableitung von Manahmen zur Verhinderung
eines erneuten Eintritts (Verbindung des Change-Managements zum Incident-Management)?
1, 5, 9 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
2.11.1 Sind aktuelle Verschlsselungsstandards (E-Mail und Festplatte) eingefhrt? 5 5 29
2.11.2 Gibt es einen gemanagten Meldeprozesse bei Sicherheitsvorfllen (Incident-Management)
mit Einschluss des AG?
5 5 11
2.11.3 Sind angemessene Schutzvorkehrungen, Datensicherheitsstandards und -klassifikationen
fr die verarbeitenden Datenkategorien vorhanden?
5 5 2
2.11.4 Gibt es einen Prozess zur Erfllung der Informationspflichten? 5, 10 5, 10 11
2.11.5 Werden die Mitarbeiter, die mit Daten nach 42a Ziff. 1-4 BGSG zu tun haben, geschult? 2, 5 5 19
2.11.6 Wann war die letzte Prfung auch vor Ort durch den DSB des AN bei Subunternehmern? 9 5, 9 30
2.11.7 Wird die Lschung der Daten protokolliert und der Nachweis der Datenlschung dem AG
gegenber erbracht?
5, 6, 12 12, 5, 6 7
2.11.8 Finden Lschkontrollen durch den AG statt? 5, 6 6, 7 12
2.11.9 Werden die DV-Anlagen und/oder TK-Anlagen durch Fremdfirmen mit genutzt? 6 5 9, 28
2.11.10 Ist die Beschaffung von Hard- und Software organisatorisch geregelt? 5 5 2, 6, 15
2.11.11 Ist eine Verfahrensbersicht (intern und fr jedermann) vorhanden? 5 5 4, 15
3. Dokumentation/Bewertung
In 11 BDSG werden keine Vorgaben gemacht, wie die
gewonnenen Prfungserkenntnisse zu dokumentieren
sind. Ebenso wenig wird eine bestimmte Kategorisierung
und Bewertung von eventuell festgestellten Schwachstel-
len gefordert. Somit verweisen wir an dieser Stelle auf die
allgemeinen diesbezglichen Standards des prferischen
Vorgehens (siehe auch Kapitel 4).
Unabhngig davon, an welchen Standards sich eine Pr-
fung im Einzelfall orientiert, sollte gewhrleistet sein,
dass Prfungsergebnisse fr sachverstndige Dritte in
angemessener Zeit nachvollziehbar sind und hinsicht-
lich zu beseitigender Schwachstellen klare Vereinbarun-
gen mit dem Auftragnehmer getroffen werden.
Die Umsetzung vereinbarter Manahmen sollte im Rah-
men eines dokumentierten Follow-up-Prozesses ber-
wacht werden.
4. Mapping der Anforderungen des 11 BDSG
zu bekannten Standards
In den folgenden drei Kapiteln wird fr Prfungen, die
sich an den dargestellten Standards (COBIT 4.1, BSI IT-
Grundschutz und ISO 27001:2005) orientieren, eine
Hilfe zur berleitung einzelner Prfungsschritte geboten.
Fr Prfer, die nach den Standards der Information Sys-
tems and Control Association (ISACA) arbeiten ISACA
ALLGEMEINE STANDARDS FR DIE REVISION
VON INFORMATIONSSYSTEMEN , knnen folgende
Standards speziell im Umfeld Anwendung finden:
S7 Berichterstattung fr alle Fragen der Dokumen-
tation der Prfhandlungen (Absatz 2, letzter Satz)
S13 Hinzuziehung anderer Experten z.B. in Zusam-
menhang mit einem Datenschutzaudit nach 9a, das
als Joint Audit ausgefhrt wird
S14 Prfungsnachweise
S15 IT-Kontrollen hauptschlich relevant im
Zusammenhang mit allen technisch organisatori-
schen Manahmen sowie anderen Anforderungen der
Punkte 1 bis 10 des Abs. 2 11 BDSG
S16 E-Commerce wenn auch eine Datenbermitt-
lung per Netz zur Auftragsdatenverarbeitung gehrt
4.1 BDSG und COBIT 4.1
Das weiter unten angefhrte Mapping zwischen dem
aktuellen BDSG und der Version COBIT 4.1 soll den
Kolleginnen und Kollegen, die sich im Prfungsalltag
bzw. bei der Erstellung des Prfplans am COBIT-Frame-
work orientieren, einen schnellen berblick geben, wel-
che Domains bzw. Control Objectives den einzelnen
Normen des BDSG im Zusammenhang mit der Auftrags-
datenverarbeitung zugeordnet werden knnen.
Wie zu erwarten, sind einige der Control Objectives
mehrmals auf einzelne Paragrafen des BDSG anwendbar.
Allerdings wurde der bersicht halber versucht, diese
berlappungen in der folgenden Darstellung zu reduzie-
ren.
Letztlich ist es immer vom speziellen Fokus des Prfungs-
auftrags abhngig, und somit der jeweiligen Prferin/
dem Prfer berlassen, einzelne Control Objectives
den Paragrafen des BDSG mehrfach zuzuordnen, um
damit beispielsweise den Prfungsschwerpunkt detail-
lierter zu spezifizieren.
Daher erhebt das unten angefhrte Mapping keinen
Anspruch auf Vollstndigkeit. Ganz im Gegenteil ldt es
dazu ein, die Thematik und die damit verbundenen Her-
ausforderungen an eine angemessene Zuordnung weiter
zu vertiefen.
Entsprechende Hinweise und Vorschlge hierzu knnten
beispielsweise in der XING-Gruppe https://www.xing.com/
net/pri1e7eb3x/isaca/forums im Forum Fachgruppe
COBIT-Datenschutz diskutiert und weiterentwickelt
werden.
Nr. BDSG COBIT 4.1
4.1.1 (1) Werden personenbezogene Daten
im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt, ist
der Auftraggeber fr die Einhaltung
der Vorschriften dieses Gesetzes und
anderer Vorschriften ber den Daten-
schutz verantwortlich.
Die in den 6, 7 und 8 BDSG
genannten Rechte sind ihm gegen-
ber geltend zu machen.
DS 2.1 Identification of All Supplier Relationships
Identify all supplier services, and categorise them according to supplier type, significance
and criticality. Maintain formal documentation of technical and organisational relationships
covering the roles and responsibilities, goals, expected deliverables, and credentials of
representatives of these suppliers.
4.1.2 (2) Der Auftragnehmer ist unter
besonderer Bercksichtigung der
Eignung der von ihm getroffenen
technischen und organisatorischen
Manahmen sorgfltig auszuwhlen.
Der Auftrag ist schriftlich zu erteilen,
wobei insbesondere im Einzelnen
festzulegen sind:
PO 1.1 IT Value Management
Work with the business to ensure that the enterprise portfolio of IT-enabled investments
contains programmes that have solid business cases. Recognise that there are mandatory,
sustaining and discretionary investments that differ in complexity and degree of freedom in
allocating funds. IT processes should provide effective and efficient delivery of the IT
components of programmes and early warning of any deviations from plan, including cost,
schedule or functionality, that might impact the expected outcomes of the programmes. IT
services should be executed against equitable and enforceable service level agreements
(SLAs).
Accountability for achieving the benefits and controlling the costs should be clearly
assigned and monitored. Establish fair, transparent, repeatable and comparable evaluation
of business cases, including financial worth, the risk of not delivering a capability and the
risk of not realising the expected benefits.
PO 1.4 IT Strategic Plan
Create a strategic plan that defines, in co-operation with relevant stakeholders, how IT
goals will contribute to the enterprises strategic objectives and related costs and risks.
DS 2.2 Supplier Relationship Management
Formalise the supplier relationship management process for each supplier. The relation-
ship owners should liaise on customer and supplier issues and ensure the quality of the
relationship based on trust and transparency (e.g., through SLAs).
DS 2.3 Supplier Risk Management
Identify and mitigate risks relating to suppliers ability to continue effective service delivery
in a secure and efficient manner on a continual basis. Ensure that contracts conform to
universal business standards in accordance with legal and regulatory requirements. Risk
management should further consider non-disclosure agreements (NDAs), escrow
contracts, continued supplier viability, conformance with security requirements, alternative
suppliers, penalties and rewards, etc.
AI 5.2 Supplier Contract Management
Set up a procedure for establishing, modifying and terminating contracts for all suppliers.
The procedure should cover, at a minimum, legal, financial, organisational, documentary,
performance, security, intellectual property, and termination responsibilities and liabilities
(including penalty clauses). All contracts and contract changes should be reviewed by legal
advisors.
ME 4.5 Risk Management
Work with the board to define the enterprises appetite for IT risk, and obtain reasonable
assurance that IT risk management practices are appropriate to ensure that the actual
IT risk does not exceed the boards risk appetite. Embed risk management responsibilities
into the organisation, ensuring that the business and IT regularly assess and report IT-
related risks and their impact and that the enterprises IT risk position is transparent to all
stakeholders.
Nr. BDSG COBIT 4.1
4.1.3 1. der Gegenstand und die Dauer
des Auftrags,
DS 1.1 Service Level Management Framework
Define a framework that provides a formalised service level management process between
the customer and service provider. The framework should maintain continuous alignment
with business requirements and priorities and facilitate common understanding between
the customer and provider(s). The framework should include processes for creating service
requirements, service definitions, SLAs, OLAs and funding sources. These attributes
should be organised in a service catalogue. The framework should define the organisa-
tional structure for service level management, covering the roles, tasks and responsibilities
of internal and external service providers and customers.
DS 1.2 Definition of Services
Base definitions of IT services on service characteristics and business requirements.
Ensure that they are organised and stored centrally via the implementation of a service
catalogue portfolio approach.
DS 1.3 Service Level Agreements
Define and agree to SLAs for all critical IT services based on customer requirements and
IT capabilities. This should cover customer commitments; service support requirements;
quantitative and qualitative metrics for measuring the service signed off on by the stake-
holders; funding and commercial arrangements, if applicable; and roles and responsibili-
ties, including oversight of the SLA. Consider items such as availability, reliability, perfor-
mance, capacity for growth, levels of support, continuity planning, security and demand
constraints.
DS 1.4 Operating Level Agreements
Define OLAs that explain how the services will be technically delivered to support the
SLA(s) in an optimal manner. The OLAs should specify the technical processes in terms
meaningful to the provider and may support several SLAs.
DS 6.1 Definition of Services
Identify all IT costs, and map them to IT services to support a transparent cost model.
IT services should be linked to business processes such that the business can identify
associated service billing levels.
DS 13.1 Operations Procedures and Instructions
Define, implement and maintain procedures for IT operations, ensuring that the operations
staff members are familiar with all operations tasks relevant to them. Operational proce-
dures should cover shift handover (formal handover of activity, status updates, operational
problems, escalation procedures and reports on current responsibilities) to support agreed-
upon service levels and ensure continuous operations.
4.1.4 2. der Umfang, die Art und der
Zweck der vorgesehenen
Erhebung, Verarbeitung oder
Nutzung von Daten, die Art
der Daten und der Kreis der
Betroffenen,
PO 2.3 Data Classification Scheme
Establish a classification scheme that applies throughout the enterprise, based on the
criticality and sensitivity (e.g., public, confidential, top secret) of enterprise data. This
scheme should include details about data ownership; definition of appropriate security
levels and protection controls; and a brief description of data retention and destruction
requirements, criticality and sensitivity. It should be used as the basis for applying controls
such as access controls, archiving or encryption.
4.1.5 3. die nach 9 BDSG zu treffenden
technischen und organisatori-
schen Manahmen,
PO 9.1 IT Risk Management Framework
Establish an IT risk management framework that is aligned to the organisations (enter-
prises) risk management framework.
PO 9.4 Risk Assessment
Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative
and quantitative methods. The likelihood and impact associated with inherent and residual
risk should be determined individually, by category and on a portfolio basis.
Nr. BDSG COBIT 4.1
Fortsetzung DS 4.3 Critical IT Resources
Focus attention on items specified as most critical in the IT continuity plan to build in
resilience and establish priorities in recovery situations. Avoid the distraction of recovering
less-critical items and ensure response and recovery in line with prioritised business needs,
while ensuring that costs are kept at an acceptable level and complying with regulatory and
contractual requirements. Consider resilience, response and recovery requirements for
different tiers, e.g., one to four hours, four to 24 hours, more than 24 hours and critical
business operational periods.
PO 3.4 Technology Standards
To provide consistent, effective and secure technological solutions enterprisewide,
establish a technology forum to provide technology guidelines, advice on infrastructure
products and guidance on the selection of technology, and measure compliance with these
standards and guidelines. This forum should direct technology standards and practices
based on their business relevance, risks and compliance with external requirements.
PO 7.4 Personnel Training
Provide IT employees with appropriate orientation when hired and ongoing training to
maintain their knowledge, skills, abilities, internal controls and security awareness at the
level required to achieve organisational goals.
AI 2.3 Application Control and Auditability
Implement business controls, where appropriate, into automated application controls such
that processing is accurate, complete, timely, authorised and auditable.
AI 2.4 Application Security and Availability
Address application security and availability requirements in response to identified risks
and in line with the organisations data classification, information architecture, information
security architecture and risk tolerance.
AI 2.5 Configuration and Implementation of Acquired Application Software
Configure and implement acquired application software to meet business objectives.
AI 7.9 Post-implementation Review
Establish procedures in line with the organisational change management standards to
require a post-implementation review as set out in the implementation plan.
DS 4.9 Offsite Backup Storage
Store offsite all critical backup media, documentation and other IT resources necessary for
IT recovery and business continuity plans. Determine the content of backup storage in
collaboration between business process owners and IT personnel. Management of the
offsite storage facility should respond to the data classification policy and the enterprises
media storage practices. IT management should ensure that offsite arrangements are
periodically assessed, at least annually, for content, environmental protection and security.
Ensure compatibility of hardware and software to restore archived data, and periodically
test and refresh archived data.
DS 5.1 Management of IT Security
Manage IT security at the highest appropriate organisational level, so the management of
security actions is in line with business requirements.
DS 5.2 IT Security Plan
Translate business, risk and compliance requirements into an overall IT security plan,
taking into consideration the IT infrastructure and the security culture. Ensure that the plan
is implemented in security policies and procedures together with appropriate investments in
services, personnel, software and hardware. Communicate security policies and procedu-
res to stakeholders and users.
DS 5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security
appliances, network segmentation, intrusion detection) to authorise access and control
information flows from and to networks.
schen Manahmen,
Nr. BDSG COBIT 4.1
Fortsetzung DS 5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to
provide authenticity of content, proof of submission, proof of receipt and non-repudiation of
origin.
DS 8.1 Service Desk
Establish a service desk function, which is the user interface with IT, to register, communi-
cate, dispatch and analyse all calls, reported incidents, service requests and information
demands. There should be monitoring and escalation procedures based on agreed-upon
service levels relative to the appropriate SLA that allow classification and prioritisation of
any reported issue as an incident, service request or information request. Measure end
users satisfaction with the quality of the service desk and IT services.
DS 8.3 Incident Escalation
Establish service desk procedures, so incidents that cannot be resolved immediately are
appropriately escalated according to limits defined in the SLA and, if appropriate, work-
arounds are provided. Ensure that incident ownership and life cycle monitoring remain with
the service desk for user-based incidents, regardless which IT group is working on resolu-
tion activities.
DS 8.5 Reporting and Trend Analysis
Produce reports of service desk activity to enable management to measure service perfor-
mance and service response times and to identify trends or recurring problems, so service
can be continually improved.
DS 11.6 Security Requirements for Data Management
Define and implement policies and procedures to identify and apply security requirements
applicable to the receipt, processing, storage and output of data to meet business objec-
tives, the organisations security policy and regulatory requirements.
DS 12.2 Physical Security Measures
Define and implement physical security measures in line with business requirements to
secure the location and the physical assets. Physical security measures must be capable
of effectively preventing, detecting and mitigating risks relating to theft, temperature, fire,
smoke, water, vibration, terror, vandalism, power outages, chemicals or explosives.
DS 12.3 Physical Access
Define and implement procedures to grant, limit and revoke access to premises, buildings
and areas according to business needs, including emergencies. Access to premises, buil-
dings and areas should be justified, authorised, logged and monitored. This should apply to
all persons entering the premises, including staff, temporary staff, clients, vendors, visitors
or any other third party.
DS 12.4 Protection Against Environmental Factors
Design and implement measures for protection against environmental factors. Install
specialised equipment and devices to monitor and control the environment.
DS 12.5 Physical Facilities Management
Manage facilities, including power and communications equipment, in line with laws and
regulations, technical and business requirements, vendor specifications, and health and
safety guidelines.
schen Manahmen,
4.1.6 4. die Berichtigung, Lschung und
Sperrung von Daten,
PO 4.9 Data and System Ownership
Provide the business with procedures and tools, enabling it to address its responsibilities
for ownership of data and information systems. Owners should make decisions about
classifying information and systems and protecting them in line with this classification.
PO 4.11 Segregation of Duties
Implement a division of roles and responsibilities that reduces the possibility for a single
individual to compromise a critical process. Make sure that personnel are performing only
authorised duties relevant to their respective jobs and positions.
Nr. BDSG COBIT 4.1
Fortsetzung DS 5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user
accounts and related user privileges with a set of user account management procedures.
Include an approval procedure outlining the data or system owner granting the access
privileges. These procedures should apply for all users, including administrators (privileged
users) and internal and external users, for normal and emergency cases. Rights and
obligations relative to access to enterprise systems and information should be contractually
arranged for all types of users. Perform regular management review of all accounts and
related privileges.
AI 6.1 Change Standards and Procedures
Set up formal change management procedures to handle in a standardised manner all re-
quests (including maintenance and patches) for changes to applications, procedures, pro-
cesses, system and service parameters, and the underlying platforms.
AI 6.2 Impact Assessment, Prioritisation and Authorisation
Assess all requests for change in a structured way to determine the impact on the operatio-
nal system and its functionality. Ensure that changes are categorised, prioritised and autho-
rised.
AI 6.3 Emergency Changes
Establish a process for defining, raising, testing, documenting, assessing and authorising
emergency changes that do not follow the established change process.
AI 6.4 Change Status Tracking and Reporting
Establish a tracking and reporting system to document rejected changes, communicate the
status of approved and in-process changes, and complete changes. Make certain that ap-
proved changes are implemented as planned.
AI 6.5 Change Closure and Documentation
Whenever changes are implemented, update the associated system and user documenta-
tion and procedures accordingly.
Sperrung von Daten,
4.1.7 5. die nach Absatz 4 bestehenden
Pflichten des Auftragnehmers,
insbesondere die von ihm
vorzunehmenden Kontrollen,
PO 9.6 Maintenance and Monitoring of a Risk Action Plan
Prioritise and plan the control activities at all levels to implement the risk responses identi-
fied as necessary, including identification of costs, benefits and responsibility for execution.
Obtain approval for recommended actions and acceptance of any residual risks, and
ensure that committed actions are owned by the affected process owner(s). Monitor execu-
tion of the plans, and report on any deviations to senior management.
PO 10.13 Project Performance Measurement, Reporting and Monitoring
Measure project performance against key project performance scope, schedule, quality,
cost and risk criteria. Identify any deviations from the plan. Assess the impact of deviations
on the project and overall programme, and report results to key stakeholders. Recommend,
implement and monitor remedial action, when required, in line with the programme and pro-
ject governance framework.
PO 7.6 Personnel Clearance Procedures
Include background checks in the IT recruitment process. The extent and frequency of pe-
riodic reviews of these checks should depend on the sensitivity and/or criticality of the func-
tion and should be applied for employees, contractors and vendors.
DS 1.5 Monitoring and Reporting of Service Level Achievements
Continuously monitor specified service level performance criteria. Reports on achievement
of service levels should be provided in a format that is meaningful to the stakeholders. The
monitoring statistics should be analysed and acted upon to identify negative and positive
trends for individual services as well as for services overall.
DS 1.6 Review of Service Level Agreements and Contracts
Regularly review SLAs and underpinning contracts (UCs) with internal and external service
providers to ensure that they are effective and up to date and that changes in requirements
have been taken into account.
Nr. BDSG COBIT 4.1
Fortsetzung DS 2.4 Supplier Performance Monitoring
Establish a process to monitor service delivery to ensure that the supplier is meeting
current business requirements and continuing to adhere to the contract agreements and
SLAs, and that performance is competitive with alternative suppliers and market conditions.
DS 3.5 Monitoring and Reporting
Continuously monitor the performance and capacity of IT resources. Data gathered should
serve two purposes:
To maintain and tune current performance within IT and address such issues as
resilience, contingency, current and projected workloads, storage plans, and resource
acquisition
To report delivered service availability to the business, as required by the SLAs
ME 1.4 Performance Assessment
Periodically review performance against targets, analyse the cause of any deviations, and
initiate remedial action to address the underlying causes. At appropriate times, perform root
cause analysis across deviations.
ME 1.5 Board and Executive Reporting
Develop senior management reports on ITs contribution to the business, specifically in
terms of the performance of the enterprises portfolio, IT-enabled investment programmes,
and the solution and service deliverable performance of individual programmes. Include in
status reports the extent to which planned objectives have been achieved, budgeted
resources used, set performance targets met and identified risks mitigated. Anticipate
senior managements review by suggesting remedial actions for major deviations. Provide
the report to senior management, and solicit feedback from managements review.
ME 2.1 Monitoring of Internal Control Framework
Continuously monitor, benchmark and improve the IT control environment and control
framework to meet organisational objectives.
ME 2.2 Supervisory Review
Monitor and evaluate the efficiency and effectiveness of internal IT managerial review
controls.
ME 2.3 Control Exceptions
Identify control exceptions, and analyse and identify their underlying root causes. Escalate
control exceptions and report to stakeholders appropriately. Institute necessary corrective
action.
ME 2.5 Assurance of Internal Control
Obtain, as needed, further assurance of the completeness and effectiveness of internal
controls through third-party reviews.
ME 2.6 Internal Control at Third Parties
Assess the status of external service providers internal controls. Confirm that external
service providers comply with legal and regulatory requirements and contractual obliga-
tions.
ME 3.4 Positive Assurance of Compliance
Obtain and report assurance of compliance and adherence to all internal policies derived
from internal directives or external legal, regulatory or contractual requirements, confirming
that any corrective actions to address any compliance gaps have been taken by the respon-
sible process owner in a timely manner.
ME 3.5 Integrated Reporting
Integrate IT reporting on legal, regulatory and contractual requirements with similar output
from other business functions.
insbesondere die von ihm
vorzunehmenden Kontrollen,
Nr. BDSG COBIT 4.1
4.1.8 6. die etwaige Berechtigung zur
Begrndung von Unterauftrags-
verhltnissen,
PO 4.14 Contracted Staff Policies and Procedures
Ensure that consultants and contract personnel who support the IT function know and
comply with the organisations policies for the protection of the organisations information
assets such that they meet agreed-upon contractual requirements.
4.1.9 7. die Kontrollrechte des Auftrag-
gebers und die entsprechenden
Duldungs- und Mitwirkungs-
pflichten des Auftragnehmers,
DS 2.4 Supplier Performance Monitoring
4.1.10 8. mitzuteilende Verste des
Auftragnehmers oder der bei ihm
beschftigten Personen gegen
Vorschriften zum Schutz perso-
nenbezogener Daten oder gegen
die im Auftrag getroffenen Fest-
legungen,
ME 3.3 Evaluation of Compliance With External Requirements
Confirm compliance of IT policies, standards, procedures and methodologies with legal and
regulatory requirements
4.1.11 9. der Umfang der Weisungsbefug-
nisse, die sich der Auftraggeber
gegenber dem Auftragnehmer
vorbehlt,
DS 2.1 Identification of All Supplier Relationships
Identify all supplier services, and categorise them according to supplier type, significance
and criticality. Maintain formal documentation of technical and organisational relationships
covering the roles and responsibilities, goals, expected deliverables, and credentials of
representatives of these suppliers
4.1.12 10. die Rckgabe berlassener
Datentrger und die Lschung
beim Auftragnehmer gespeicher-
ter Daten nach Beendigung des
Auftrags.
PO 7.8 Job Change and Termination
Take expedient actions regarding job changes, especially job terminations. Knowledge
transfer should be arranged, responsibilities reassigned and access rights removed such
that risks are minimised and continuity of the function is guaranteed.
PO 10.14 Project Closure
At the end of each project, require the project stakeholders to ascertain whether the project
delivered the planned results and benefits. Identify and communicate any outstanding
activities required to achieve the planned results of the project and the benefits of the
program, and identify and document lessons learned for use on future projects and
programmes.
4.1.13 Er (Anmerkung des Autors: Der
Auftrag zur Erhebung, Verarbeitung
oder Nutzung personenbezogener
Daten) kann bei ffentlichen Stellen
auch durch die Fachaufsichtsbehrde
erteilt werden.
Der Auftraggeber hat sich vor Beginn
der Datenverarbeitung und sodann
regelmig von der Einhaltung der
beim Auftragnehmer getroffenen
Manahmen zu berzeugen.
Das Ergebnis ist zu dokumentieren.
PO 8.2 IT Standards and Quality Practices
Identify and maintain standards, procedures and practices for key IT processes to guide the
organisation in meeting the intent of the QMS. Use industry good practices for reference
when improving and tailoring the organisations quality practices.
PO 8.6 Quality Measurement, Monitoring and Review
Define, plan and implement measurements to monitor continuing compliance to the QMS,
as well as the value the QMS provides. Measurement, monitoring and recording of informa-
tion should be used by the process owner to take appropriate corrective and preventive
actions.
DS 2.3 Supplier Risk Management
Identify and mitigate risks relating to suppliers ability to continue effective service delivery
in a secure and efficient manner on a continual basis. Ensure that contracts conform to
universal business standards in accordance with legal and regulatory requirements.
Risk management should further consider non-disclosure agreements (NDAs), escrow con-
tracts, continued supplier viability, conformance with security requirements, alternative sup-
pliers, penalties and rewards, etc.
DS 2.4 Supplier Performance Monitoring
4.2 BDSG und BSI IT-Grundschutz
Das folgende Mapping zwischen dem aktuellen BDSG
und der 11. Ergnzungslieferung der IT-Grundschutzka-
taloge des BSI soll den Kolleginnen und Kollegen, die sich
im Prfungsalltag bzw. bei der Erstellung des Prfplans
am BSI IT-Grundschutz orientieren, einen schnellen
berblick geben, welche Bausteine und Manahmen den
einzelnen Normen des BDSG im Zusammenhang mit der
Auftragsdatenverarbeitung zugeordnet werden knnen.
Das Mapping erhebt keinen Anspruch auf Vollstndig-
keit. Ganz im Gegenteil ldt es dazu ein, die Thematik
und die damit verbundenen Herausforderungen an eine
angemessene Zuordnung weiter zu vertiefen.
Insbesondere ist dies notwendig, da das Dokument vom
BSI bzw. Ersteller des Bausteins 1.5 Datenschutz
Tabelle: Manahmen und Datenschutz-Kontrollziele
zu Baustein 1.5 Datenschutz (Verweis aus Manahme
M 7.5) auf den IT-Grundschutzkatalogen Version 2006
Stand: November 2006, Stand der Tabelle: 22.08.07,
basiert. Die detaillierte Zuordnung aller Manahmen der
IT-Grundschutzkataloge zu den gem 9 BDSG not-
wendigen technischen und organisatorischen Manah-
men ist daher als veraltet anzusehen und bedarf einer
Aktualisierung auf die aktuelle 11. Ergnzungslieferung
der IT-Grundschutzkataloge.
Nr. BDSG COBIT 4.1
4.1.14 (3) Der Auftragnehmer darf die Daten
nur im Rahmen der Weisungen des
Auftraggebers erheben, verarbeiten
oder nutzen.
Ist er der Ansicht, dass eine Weisung
des Auftraggebers gegen dieses
Gesetz oder andere Vorschriften ber
den Datenschutz verstt, hat er den
Auftraggeber unverzglich darauf
hinzuweisen.
DS 2.2 Supplier Relationship Management
Formalise the supplier relationship management process for each supplier. The relation-
ship owners should liaise on customer and supplier issues and ensure the quality of the
relationship based on trust and transparency (e.g., through SLAs).
Nr. BDSG Manahmenkatalog BSI 11. EL
im Auftrag durch andere Stellen erho-
ben, verarbeitet oder genutzt, ist der
Auftraggeber fr die Einhaltung der
Vorschriften dieses Gesetzes und
Die in den 6, 7 und 8 genannten
Rechte sind ihm gegenber geltend
zu machen.
Baustein 1.16 Anforderungsmanagement
M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlgiger Gesetze, Vorschriften
und Regelungen
M 2.340 Beachtung rechtlicher Rahmenbedingungen
Baustein 1.0 Sicherheitsmanagement
M 2.336 bernahme der Gesamtverantwortung fr Informationssicherheit durch die
Leitungsebene
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz
M 7.7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei
der Verarbeitung personenbezogener Daten
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
4.2.2 (2) Der Auftragnehmer ist unter beson-
derer Bercksichtigung der Eignung
der von ihm getroffenen technischen
und organisatorischen Manahmen
sorgfltig auszuwhlen.
festzulegen sind:
Baustein 1.11 Outsourcing
M 2.250 Festlegung einer Outsourcing-Strategie
M 2.251 Festlegung der Sicherheitsanforderungen fr Outsourcing-Vorhaben
M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
des Auftrags,
M 5.88 Vereinbarung ber Datenaustausch mit Dritten
M 7.11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung
personenbezogener Daten
Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung
von Daten, die Art der Daten und
der Kreis der Betroffenen,
4.2.5 3. die nach 9 zu treffenden
technischen und organisa-
torischen Manahmen,
M 7.5 Festlegung von technisch-organisatorischen Manahmen entsprechend dem
Stand der Technik bei der Verarbeitung personenbezogener Daten > Verweise
auf weitere BSI-Bausteine zu den einzelnen Themen beachten.
Insbesondere auch bei BSI-Dokument IT-Grundschutzzertifizierung von ausgelagerten
Komponenten Version 1.0 vom 08.03.2004 in der Regel ist bei der Auftragsdatenverar-
beitung von Fall 2 gem diesem Dokument auszugehen, was zur Anwendung der BSI-
Bausteine Sicherheitsmanagement, Organisation, Personal, Hard- und Software-Manage-
ment, Notfallvorsorge-Konzept, Behandlung von Sicherheitsvorfllen beim Auftragnehmer
fhrt. Dies sollte daher vertraglich als Mindestanforderung vereinbart werden.
Sperrung von Daten,
M 7.15 Datenschutzgerechte Lschung/Vernichtung
M 7.7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der
Verarbeitung personenbezogener Daten
Baustein 1.15 Lschen und Vernichten von Daten
M 2.3 Datentrgerverwaltung
M 2.13 Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
M 2.167 Auswahl geeigneter Verfahren zur Lschung oder Vernichtung von Daten
M 2.431 Regelung der Vorgehensweise fr die Lschung oder Vernichtung von
Informationen
M 2.432 Richtlinie fr die Lschung und Vernichtung von Informationen
M 2.434 Beschaffung geeigneter Gerte zur Lschung oder Vernichtung von Daten
M 2.435 Auswahl geeigneter Aktenvernichter
M 2.436 Vernichtung von Datentrgern durch externe Dienstleister
M 3.67 Einweisung aller Mitarbeiter ber Methoden zur Lschung oder Vernichtung von
Daten
M 4.32 Physikalisches Lschen der Datentrger vor und nach Verwendung
M 4.325 Lschen von Auslagerungsdateien
M 2.217 Sorgfltige Einstufung und Umgang mit Informationen, Anwendungen und
Systemen
M 4.64 Verifizieren der zu bertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
M 4.234 Geregelte Auerbetriebnahme von IT-Systemen und Datentrgern
insbesondere die von ihm vor-
zunehmenden Kontrollen,
verhltnissen,
M 2.226 Regelungen fr den Einsatz von Fremdpersonal
Die Einbindung Dritter, Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu
regeln. In der Regel empfiehlt es sich nicht, diese grundstzlich auszuschlieen, sondern
sinnvolle Regelungen festzulegen.
4.2.9 7. die Kontrollrechte des Auftragge-
bers und die entsprechenden Dul-
dungs- und Mitwirkungspflichten
des Auftragnehmers,
Dienstleistungsqualitt und IT-Sicherheit mssen regelmig kontrolliert werden. Der
Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts-, Zutritts- und Zugangs-
rechte besitzen. Wenn unabhngige Dritte Audits oder Benchmark-Tests durchfhren
sollen, muss dies bereits im Vertrag geregelt sein.
Allen Institutionen, die beim Auftraggeber Prfungen durchfhren mssen (z.B. Auf-
sichtsbehrden), mssen auch beim Outsourcing-Dienstleister die entsprechenden
Kontrollmglichkeiten (z.B. Zutrittsrechte, Dateneinsicht) eingerumt werden.
4.2.10 8. mitzuteilende Verste des Auf-
tragnehmers oder der bei ihm be-
schftigten Personen gegen Vor-
schriften zum Schutz
personenbezogener Daten oder
gegen die im Auftrag getroffenen
Festlegungen,
Baustein 1.8 Behandlung von Sicherheitsvorfllen
M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfllen
M 6.60 Festlegung von Meldewegen fr Sicherheitsvorflle
M 6.61 Eskalationsstrategie fr Sicherheitsvorflle
M 6.65 Benachrichtigung betroffener Stellen bei Sicherheitsvorfllen
vorbehlt,
M 7.11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personen-
bezogener Daten
M 7.9 Datenschutzrechtliche Freigabe
Auftrags.
M 2.307 Geordnete Beendigung eines Outsourcing-Dienstleistungsverhltnisses
M 7.15 (A) Datenschutzgerechte Lschung/Vernichtung
Baustein 1.15 Lschen und Vernichten von Daten
M 2.3 Datentrgerverwaltung
M 2.13 Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
M 2.167 Auswahl geeigneter Verfahren zur Lschung oder Vernichtung von Daten
M 2.431 Regelung der Vorgehensweise fr die Lschung oder Vernichtung von
Informationen
M 2.432 Richtlinie fr die Lschung und Vernichtung von Informationen
M 2.434 Beschaffung geeigneter Gerte zur Lschung oder Vernichtung von Daten
M 2.435 Auswahl geeigneter Aktenvernichter
M 2.436 Vernichtung von Datentrgern durch externe Dienstleister
M 3.67 Einweisung aller Mitarbeiter ber Methoden zur Lschung oder Vernichtung
von Daten
M 4.32 Physikalisches Lschen der Datentrger vor und nach Verwendung
M 4.325 Lschen von Auslagerungsdateien
Fortsetzung M 2.217 Sorgfltige Einstufung und Umgang mit Informationen, Anwendungen und
Systemen
M 4.64 Verifizieren der zu bertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
M 4.234 Geregelte Auerbetriebnahme von IT-Systemen und Datentrgern
Auftrags.
4.2.13 Er (Anmerkung des Autors: Der
Auftrag zur Erhebung, Verarbeitung
oder Nutzung personenbezogener
Daten) kann bei ffentlichen Stellen
auch durch die Fachaufsichtsbehrde
erteilt werden.
Der Auftraggeber hat sich vor Beginn
der Datenverarbeitung und sodann
regelmig von der Einhaltung der
beim Auftragnehmer getroffenen
Manahmen zu berzeugen.
M 2.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-
Betrieb
oder nutzen.
hinzuweisen.
4.2.15 (4) Fr den Auftragnehmer gelten
neben den 5, 9, 43 Abs. 1 Nr. 2, 10
und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie 44 nur die Vorschriften ber
die Datenschutzkontrolle oder die
Aufsicht, und zwar fr
Zu 5:
M 7.6 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personen-
bezogener Daten
Zu 4f, 4g und 38 BDSG:
Baustein B 1.5 Datenschutz
M 7.6 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personen-
bezogener Daten
4.2.16 1. a) ffentliche Stellen,
b) nicht-ffentliche Stellen, bei
denen der ffentlichen Hand
die Mehrheit der Anteile ge-
hrt oder die Mehrheit der
Stimmen zusteht und der Auf-
traggeber eine ffentliche
Stelle ist, die 18, 24 bis 26
oder die entsprechenden Vor-
schriften der Datenschutzge-
setze der Lnder,
2. die brigen nicht-ffentlichen
Stellen, soweit sie personen-
bezogene Daten im Auftrag als
Dienstleistungsunternehmen
geschftsmig erheben,
verarbeiten oder nutzen, die
4f, 4g und 38.
Keine Entsprechung
4.2.17 (5) Die Abstze 1 bis 4 gelten ent-
sprechend, wenn die Prfung oder
Wartung automatisierter Verfahren
oder von Datenverarbeitungsanlagen
durch andere Stellen im Auftrag vor-
genommen wird und dabei ein Zugriff
auf personenbezogene Daten nicht
ausgeschlossen werden kann.
Keine Entsprechung
9 BDSG
Technische und organisatorische Manahmen
Manahmenkatalog BSI 11. EL
ffentliche und nicht-ffentliche Stellen, die
selbst oder im Auftrag personenbezogene Daten
erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Manahmen
zu treffen, die erforderlich sind, um die Aus-
fhrung der Vorschriften dieses Gesetzes,
insbesondere die in der Anlage zu diesem
Gesetz genannten Anforderungen, zu gewhr-
leisten. Erforderlich sind Manahmen nur, wenn
ihr Aufwand in einem angemessenen Verhltnis
zu dem angestrebten Schutzzweck steht.
M 7.5 Festlegung von technisch-organisatorischen Manahmen entsprechend dem
Stand der Technik bei der Verarbeitung personenbezogener Daten > Verweise
auf weitere BSI-Bausteine zu den einzelnen Themen beachten.
Insbesondere auch BSI-Dokument IT-Grundschutzzertifizierung von ausgelagerten Kom-
ponenten Version 1.0 vom 08.03.2004 in der Regel ist bei der Auftragsdatenverarbei-
tung von Fall 2 gem diesem Dokument auszugehen, was zur Anwendung der BSI-Bau-
steine Sicherheitsmanagement, Organisation, Personal, Hard- und Software-Management,
Notfallvorsorge-Konzept, Behandlung von Sicherheitsvorfllen beim Auftragnehmer fhrt.
Dies sollte daher vertraglich als Mindestanforderung vereinbart werden.
Anlage zu 9 BDSG Satz 1
Werden personenbezogene Daten automatisiert
verarbeitet oder genutzt, ist die innerbehrdliche
oder innerbetriebliche Organisation so zu gestal-
ten, dass sie den besonderen Anforderungen
des Datenschutzes gerecht wird. Dabei sind
insbesondere Manahmen zu treffen, die je nach
der Art der zu schtzenden personenbezogenen
Daten oder Datenkategorien geeignet sind,
Verweis:
Hierzu gibt es ein Dokument vom BSI bzw. Ersteller des Bausteins 1.5 Datenschutz.
Tabelle:
Manahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
(Verweis aus Manahme M 7.5)
Basierend auf den IT-Grundschutzkatalogen Version 2006, Stand: November 2006, Stand
der Tabelle: 22.08.07
9a BDSG
Datenschutzaudit
Manahmenkatalog BSI 11. EL
Zur Verbesserung des Datenschutzes und der
Datensicherheit knnen Anbieter von Datenver-
arbeitungssystemen und -programmen und da-
tenverarbeitende Stellen ihr Datenschutzkonzept
sowie ihre technischen Einrichtungen durch un-
abhngige und zugelassene Gutachter prfen
und bewerten lassen sowie das Ergebnis der
Prfung verffentlichen. Die nheren Anforde-
rungen an die Prfung und Bewertung, das Ver-
fahren sowie die Auswahl und Zulassung der
Gutachter werden durch besonderes Gesetz ge-
regelt.
Dienstleistungsqualitt und IT-Sicherheit mssen regelmig kontrolliert werden. Der
Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts-, Zutritts- und Zugangs-
rechte besitzen. Wenn unabhngige Dritte Audits oder Benchmark-Tests durchfhren
sollen, muss dies bereits im Vertrag geregelt sein.
Allen Institutionen, die beim Auftraggeber Prfungen durchfhren mssen (z.B. Auf-
sichtsbehrden), mssen auch beim Outsourcing-Dienstleister die entsprechenden
Kontrollmglichkeiten (z.B. Zutrittsrechte, Dateneinsicht) eingerumt werden.
4.3 BDSG und ISO 27001
Unternehmen, die ein Informationssicherheits-Manage-
mentsystem nach den Anforderungen des Standards ISO/
IEC 27001:2005 eingerichtet haben, sind gehalten, dies
durch interne Audits zu berprfen und einer stndigen
Verbesserung zu unterziehen. Daher ist es sinnvoll, dass
Prfungshandlungen, die im Rahmen der Verpflichtun-
gen des 11 BDSG vorgenommen werden, im Einklang
mit den Anforderungen der ISO 27001 stehen, um Syner-
gieeffekte zu erzielen und Doppelarbeiten sowie Akzep-
tanzprobleme beim Auftragnehmer zu vermeiden.
Wir weisen an dieser Stelle ausdrcklich darauf hin, dass die Anforderungen der ISO 27001 hier nur verkrzt in Form
von Zitaten wiedergegeben werden. Wir empfehlen den Erwerb des vollstndigen Standards zur grndlichen und voll-
stndigen Kenntnisnahme aller relevanten Anforderungen (z.B. in Deutschland beim Beuth Verlag, www.beuth.de).
Nr.
Bundesdatenschutzgesetz (BDSG)
11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik IT-Sicherheitsverfahren
Informationssicherheits-Managementsysteme Anforderungen
Ergnzt durch:
Leitfaden fr das Informationssicherheits-Management
im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt,
ist der Auftraggeber fr die Einhaltung
der Vorschriften dieses Gesetzes und
Die in den 6, 7 und 8 genannten
Rechte sind ihm gegenber geltend
zu machen.
A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen
Manahme
Datenschutz und Vertraulichkeit mssen sichergestellt werden, wie in einschlgigen
Gesetzen, Vorschriften und ggf. Vertragsklauseln gefordert.
A. 6.2.1 Identifizierung von Risiken in Zusammenhang mit externen Mitarbeitern
Manahme
Die Risiken fr Informationen und informationsverarbeitende Einrichtungen der
Organisation, die durch Geschftsprozesse unter Beteiligung externer Mitarbeiter
verursacht werden, mssen identifiziert und angemessene Manahmen umgesetzt
werden, bevor diesen der Zugang gewhrt wird.
A. 6.1.3 Zuweisung der Verantwortlichkeiten fr Informationssicherheit
Manahme
Alle Verantwortlichkeiten fr Informationssicherheit mssen eindeutig definiert sein.
ISO 27002, 6.2.3
s) Verantwortlichkeiten zur Gesetzeskonformitt und Sicherstellung der Erfllung gesetz-
licher Anforderungen, z. B. Datenschutzgesetze; insbesondere unter Bercksichtigung
unterschiedlicher nationaler Rechtssysteme, wenn die Vereinbarung die Zusammen-
arbeit mit Organisationen im Ausland einschliet (siehe auch 15.1);
4.3.2 (2) Der Auftragnehmer ist unter beson-
derer Bercksichtigung der Eignung
der von ihm getroffenen technischen
und organisatorischen Manahmen
sorgfltig auszuwhlen.
festzulegen sind:
A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten
Manahme
Vereinbarungen mit Dritten, die den Zugriff, die Verarbeitung, Kommunikation oder
Administration von Informationen oder informationsverarbeitenden Einrichtungen der
Organisation betreffen, oder die Bereitstellung von Produkten oder Dienstleistungen
fr informationsverarbeitende Einrichtungen, mssen alle relevanten Sicherheitsan-
forderungen abdecken.
des Auftrags,
ISO 27002, 6.2.3
k) eine Beschreibung des bereitgestellten Produkts oder der Dienstleistung und eine
Beschreibung der zur Verfgung gestellten Informationen, einschlielich ihrer Sicher-
heitsklassifizierung (siehe 7.2.1);
Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung
von Daten, die Art der Daten und
der Kreis der Betroffenen,
4.3.6 3. die nach 9 zu treffenden techni-
schen und organisatorischen
Manahmen,
ISO 27002, 6.2.3
b) Manahmen zur Sicherstellung des Schutzes von organisationseigenen Werten
(Assets): (siehe hierzu auch die Erluterungen in Zusammenhang mit 9 BDSG)
Nr.
Daten im Auftrag
Ergnzt durch:
Sperrung von Daten,
ISO 27002, 6.2.3
b) (s.o.)
5) Manahmen, um die Rckgabe oder Vernichtung von Informationen und Werten bei
Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit
sicherzustellen;
insbesondere die von ihm vor-
zunehmenden Kontrollen,
ISO 27002, 6.2.3
r) die vereinbarte Verpflichtung der jeweiligen Parteien;
verhltnissen,
ISO 27002, 6.2.3
u) Einbeziehung Dritter mit Subunternehmern sowie die Sicherheitsmanahmen,
die diese Subunternehmer umsetzen mssen;
4.3.10 7. die Kontrollrechte des Auftrag-
gebers und die entsprechenden
Duldungs- und Mitwirkungs-
pflichten des Auftragnehmers,
ISO 27002, 6.2.3
o) das Recht, die vertraglich festgelegten Verantwortlichkeiten zu berprfen, diese
Prfungen durch unabhngige Dritte durchfhren zu lassen, und die satzungsgemen
Rechte der Prfer zu benennen;
4.3.11 8. mitzuteilende Verste des
Auftragnehmers oder der bei ihm
beschftigten Personen gegen
Vorschriften zum Schutz perso-
nenbezogener Daten oder gegen
die im Auftrag getroffenen Fest-
legungen,
ISO 27002, 6.2.3
j) Vereinbarungen fr Berichte, Mitteilungen und Untersuchungen von Informations-
sicherheitsvorfllen und Sicherheitsversten, genauso wie Vertragsverste;
ISO 27001
A. 13.1.1 Melden von Informationssicherheitsereignissen
Manahme
Informationssicherheitsereignisse mssen so schnell wie mglich ber die geeigneten
Managementkanle gemeldet werden.
vorbehlt,
ISO 27002, 6.2.3
n) das Recht, jegliche Aktivitten in Zusammenhang mit den Werten der Organisation zu
berwachen und zu widerrufen;
Auftrags.
ISO 27002, 6.2.3
b) (s.o.)
5) Manahmen, um die Rckgabe oder Vernichtung von Informationen und Werten bei
Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit
sicherzustellen;
4.3.14 Er kann bei ffentlichen Stellen auch
durch die Fachaufsichtsbehrde erteilt
werden. Der Auftraggeber hat sich vor
Beginn der Datenverarbeitung und
sodann regelmig von der Einhal-
tung der beim Auftragnehmer getroffe-
nen technischen und organisatori-
schen Manahmen zu berzeugen.
ISO 27002, 6.2.3
o) das Recht, die vertraglich festgelegten Verantwortlichkeiten zu berprfen, diese
Prfungen durch unabhngige Dritte durchfhren zu lassen, und die satzungsgemen
Rechte der Prfer zu benennen;
hier auch:
ISO 27001, Anhang A
A.10.2.2 berwachung und berprfung der Dienstleistungen von Dritten
Manahme
Die von Dritten gelieferten Dienstleistungen, Berichte und Aufzeichnungen mssen
regelmig berwacht und berprft werden, und Audits sollten regelmig durchgefhrt
werden.
Nr.
Daten im Auftrag
Ergnzt durch:
oder nutzen.
hinzuweisen.
ISO 27002
10.2.1 Erbringung von Dienstleistungen
Manahme
Es sollte sichergestellt sein, dass die Sicherheitsmanahmen, Leistungsbeschreibungen
und der Grad der Lieferungen, die in der Liefervereinbarung mit Dritten enthalten sind, von
den Dritten umgesetzt, durchgefhrt und eingehalten werden.
4.3.16 (4) Fr den Auftragnehmer gelten
neben den 5, 9, 43 Abs. 1 Nr. 2, 10
und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie 44 nur die Vorschriften ber
die Datenschutzkontrolle oder die
Aufsicht, und zwar fr
ISO 27001
A.6.1.6 Kontakt zu Behrden
Manahme
Geeignete Kontakte zu relevanten Behrden mssen gepflegt werden.
4.3.17 1. a) ffentliche Stellen,
b) nicht-ffentliche Stellen, bei
denen der ffentlichen Hand
die Mehrheit der Anteile
gehrt oder die Mehrheit der
Stimmen zusteht und der
Auftraggeber eine ffentliche
Stelle ist, die 18, 24 bis 26
oder die entsprechenden
Vorschriften der Datenschutz-
gesetze der Lnder,
2. die brigen nicht-ffentlichen
Stellen, soweit sie personen-
bezogene Daten im Auftrag als
Dienstleistungsunternehmen
geschftsmig erheben,
verarbeiten oder nutzen, die
4f, 4g und 38.
(keine Entsprechung in ISO 27001/27002)
4.3.18 (5) Die Abstze 1 bis 4 gelten ent-
sprechend, wenn die Prfung oder
Wartung automatisierter Verfahren
oder von Datenverarbeitungsanlagen
durch andere Stellen im Auftrag vor-
genommen wird und dabei ein Zugriff
auf personenbezogene Daten nicht
ausgeschlossen werden kann.
ISO 27002
6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten
Manahme
Vereinbarungen mit Dritten, die den Zugriff, die Verarbeitung, Kommunikation oder
Administration von Informationen oder informationsverarbeitenden Einrichtungen der
Organisation betreffen, oder die Bereitstellung von Produkten oder Dienstleistungen fr
informationsverarbeitende Einrichtungen, sollten alle relevanten Sicherheitsanforderungen
abdecken.
4.3.19 ffentliche und nicht-ffentliche
Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben,
verarbeiten oder nutzen, haben die
Manahmen zu treffen, die erforder-
lich sind, um die Ausfhrung der
Vorschriften dieses Gesetzes, ins-
besondere die in der Anlage zu
diesem Gesetz genannten Anforde-
rungen, zu gewhrleisten. Erforderlich
sind Manahmen nur, wenn ihr
Aufwand in einem angemessenen
Verhltnis zu dem angestrebten
Schutzzweck steht.
A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen
Manahme
Datenschutz und Vertraulichkeit mssen sichergestellt werden, wie in einschlgigen
Gesetzen, Vorschriften und ggf. Vertragsklauseln gefordert.
Nr.
Daten im Auftrag
Ergnzt durch:
Anlage zu 9 Satz 1 des BDSG ISO 27002, 15.1.4
4.3.20 Werden personenbezogene Daten
automatisiert verarbeitet oder genutzt,
ist die innerbehrdliche oder inner-
betriebliche Organisation so zu
gestalten, dass sie den besonderen
Anforderungen des Datenschutzes
gerecht wird. Dabei sind insbesondere
Manahmen zu treffen, die je nach der
Art der zu schtzenden personen-
bezogenen Daten oder Daten-
kategorien geeignet sind,
Die Einhaltung dieser Leitlinie und aller einschlgigen Datenschutzgesetze und Vorschrif-
ten verlangt eine angemessene Managementstruktur und Kontrolle. Oft geschieht dies am
besten durch die Ernennung eines Datenschutzbeauftragten, der Fhrungskrfte, Benutzer
und Dienstleister ber ihre einzelnen Verantwortlichkeiten und ber die spezifischen
Verfahren bert, die einzuhalten sind. Die Verantwortung fr den Umgang mit persnlichen
Daten und die Sensibilisierung fr die Prinzipien des Datenschutzes sollten in bereinstim-
mung mit den geltenden Gesetzen und Vorschriften angegangen werden. Angemessene
technische und organisatorische Manahmen zum Schutz personenbezogener Informa-
tionen sollten umgesetzt werden.
4.3.21 1. Unbefugten den Zutritt zu Daten-
verarbeitungsanlagen, mit denen
personenbezogene Daten verar-
beitet oder genutzt werden, zu
verwehren (Zutrittskontrolle),
ISO 27002, 6.2.3
i) Richtlinie zur Zugangskontrolle, einschlielich:
1) die unterschiedlichen Grnde, Anforderungen und Vorteile, die den Zugang von Dritten
notwendig machen;
2) zulssige Zugangsmethoden und die Kontrolle und Benutzung eindeutiger Kennungen
wie Benutzerkennungen und Passwrter;
3) ein Berechtigungsprozess fr Benutzerzugriff und -privilegien;
4) die Anforderung, eine Liste zu pflegen, welche Personen zur Benutzung der zur Verf-
gung gestellten Dienste berechtigt sind, und welches ihre Rechte und Privilegien im
Rahmen dieser Benutzung sind;
5) eine Erklrung, dass jeglicher Zugang verboten ist, der nicht ausdrcklich erlaubt ist;
6) einen Prozess, Zugangs- und Zugriffsrechte zu entziehen oder die Verbindung zwi-
schen Systemen zu unterbrechen;
Siehe hierzu auch:
ISO 27001, Anhang A
A. 8.3.3 Aufheben von Zugangsrechten
A. 9.1 Sicherheitsbereiche
A. 11 Zugangskontrolle
A. 12.4.3 Zugangskontrolle zu Quellcode
4.3.22 2. zu verhindern, dass Datenverar-
beitungssysteme von Unbefugten
genutzt werden knnen
(Zugangskontrolle),
4.3.23 3. zu gewhrleisten, dass die zur
Benutzung eines Datenverarbei-
tungssystems Berechtigten
ausschlielich auf die ihrer
Zugriffsberechtigung unterliegen-
den Daten zugreifen knnen, und
dass personenbezogene Daten
bei der Verarbeitung, Nutzung und
nach der Speicherung nicht
unbefugt gelesen, kopiert, vern-
dert oder entfernt werden knnen
(Zugriffskontrolle),
4.3.24 4. zu gewhrleisten, dass personen-
bezogene Daten bei der elektro-
nischen bertragung oder
whrend ihres Transports oder
ihrer Speicherung auf Datentr-
ger nicht unbefugt gelesen,
kopiert, verndert oder entfernt
werden knnen, und dass ber-
prft und festgestellt werden kann,
an welche Stellen eine bermitt-
lung personenbezogener Daten
durch Einrichtungen zur Daten-
bertragung vorgesehen ist
(Weitergabekontrolle),
ISO 27001, Anhang A
A. 8.3.2 Rckgabe von organisationseigenen Werten
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode
A.10.8 Austausch von Informationen
A.10.8.1 Regelwerke und Verfahren zum Austausch von Informationen
A.10.8.2 Vereinbarungen zum Austausch von Informationen
A.10.8.3 Transport physischer Medien
A.10.8.4 Elektronische Mitteilungen/Nachrichten (Messaging)
A.10.8.5 Geschftsinformationssysteme
4.3.25 5. zu gewhrleisten, dass nachtrg-
lich berprft und festgestellt
werden kann, ob und von wem
personenbezogene Daten in
Datenverarbeitungssysteme
eingegeben, verndert oder
entfernt worden sind
(Eingabekontrolle),
ISO 27001, Anhang A
A.12.2.1 berprfung von Eingabedaten
Manahme
Die Daten, die in Anwendungen eingegeben werden, mssen berprft werden, um
sicherzustellen, dass diese Eingaben korrekt und angemessen sind.
Nr.
Daten im Auftrag
Ergnzt durch:
bezogene Daten, die im Auftrag
verarbeitet werden, nur ent-
sprechend den Weisungen des
Auftraggebers verarbeitet werden
knnen (Auftragskontrolle),
ISO 27002
10.2.1 Erbringung von Dienstleistungen
Manahme
Es sollte sichergestellt sein, dass die Sicherheitsmanahmen, Leistungsbeschreibungen
und der Grad der Lieferungen, die in der Liefervereinbarung mit Dritten enthalten sind, von
den Dritten umgesetzt, durchgefhrt und eingehalten werden.
bezogene Daten gegen zufllige
Zerstrung oder Verlust geschtzt
sind (Verfgbarkeitskontrolle),
ISO 27001, Anhang A
A.9 Physische und umgebungsbezogene Sicherheit
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode
A.10.5.1 Backup von Informationen
Manahme
Backup-Kopien von Informationen und von Software mssen regelmig, im Einklang mit
der akzeptierten Backup-Methode, erstellt und getestet werden.
A. 14 Sicherstellung des Geschftsbetriebs (Business Continuity Management)
4.3.28 8. zu gewhrleisten, dass zu unter-
schiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden
knnen.
ISO 27001, Anhang A
A.11.6.2 Isolation sensibler Systeme
A 11.4.5 Trennung von Netzwerken
Manahme
Sensible Systeme mssen sich in einer dedizierten (isolierten) Umgebung befinden.
Gegebenenfalls auch:
A.10.1.3 Aufteilung von Verantwortlichkeiten
4.3.29 Eine Manahme nach Satz 2
Nummer 2 bis 4 ist insbesondere
die Verwendung von dem Stand
der Technik entsprechenden
Verschlsselungsverfahren.
ISO 27001, Anhang A
A.12.3 Kryptographische Manahmen
A.12.3.1 Leitlinie zur Anwendung von Kryptographie
A.12.3.2 Verwaltung kryptographischer Schlssel
4.3.30 Zur Verbesserung des Datenschutzes
und der Datensicherheit knnen
Anbieter von Datenverarbeitungs-
systemen und -programmen und
datenverarbeitende Stellen ihr Daten-
schutzkonzept sowie ihre technischen
Einrichtungen durch unabhngige und
zugelassene Gutachter prfen und
bewerten lassen sowie das Ergebnis
der Prfung verffentlichen. Die nhe-
ren Anforderungen an die Prfung und
Bewertung, das Verfahren sowie die
Auswahl und Zulassung der Gutachter
werden durch besonderes Gesetz
geregelt.
ISO 27001, Anhang A
A.10.2.2 berwachung und berprfung der Dienstleistungen von Dritten
Manahme
Die von Dritten gelieferten Dienstleistungen, Berichte und Aufzeichnungen mssen
regelmig berwacht und berprft werden, und Audits sollten regelmig durchgefhrt
werden.
Anhang Bundesdatenschutzgesetz (BDSG)
11 Erhebung, Verarbeitung oder Nutzung personenbe-
zogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch
andere Stellen erhoben, verarbeitet oder genutzt, ist der
Auftraggeber fr die Einhaltung der Vorschriften dieses
Gesetzes und anderer Vorschriften ber den Datenschutz
verantwortlich. Die in den 6, 7 und 8 genannten
Rechte sind ihm gegenber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Bercksichti-
gung der Eignung der von ihm getroffenen technischen
und organisatorischen Manahmen sorgfltig auszuwh-
len. Der Auftrag ist schriftlich zu erteilen, wobei insbe-
sondere im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehe-
nen Erhebung, Verarbeitung oder Nutzung von Da-
ten, die Art der Daten und der Kreis der Betroffenen,
3. die nach 9 zu treffenden technischen und organisa-
torischen Manahmen,
4. die Berichtigung, Lschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftrag-
nehmers, insbesondere die von ihm vorzunehmenden
Kontrollen,
6. die etwaige Berechtigung zur Begrndung von Unter-
auftragsverhltnissen,
7. die Kontrollrechte des Auftraggebers und die ent-
sprechenden Duldungs- und Mitwirkungspflichten
des Auftragnehmers,
8. mitzuteilende Verste des Auftragnehmers oder der
bei ihm beschftigten Personen gegen Vorschriften
zum Schutz personenbezogener Daten oder gegen die
im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der
Auftraggeber gegenber dem Auftragnehmer vorbe-
hlt,
10. die Rckgabe berlassener Datentrger und die
Lschung beim Auftragnehmer gespeicherter Daten
nach Beendigung des Auftrags.
Er kann bei ffentlichen Stellen auch durch die Fachauf-
sichtsbehrde erteilt werden. Der Auftraggeber hat sich
vor Beginn der Datenverarbeitung und sodann regelm-
ig von der Einhaltung der beim Auftragnehmer getroffe-
nen technischen und organisatorischen Manahmen zu
berzeugen. Das Ergebnis ist zu dokumentieren.
(3) Der Auftragnehmer darf die Daten nur im Rahmen
der Weisungen des Auftraggebers erheben, verarbeiten
oder nutzen. Ist er der Ansicht, dass eine Weisung des
Auftraggebers gegen dieses Gesetz oder andere Vorschrif-
ten ber den Datenschutz verstt, hat er den Auftragge-
ber unverzglich darauf hinzuweisen.
(4) Fr den Auftragnehmer gelten neben den 5, 9, 43
Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie 44 nur die Vorschriften ber die Datenschutz-
kontrolle oder die Aufsicht, und zwar fr
1. a) ffentliche Stellen,
b) nicht-ffentliche Stellen, bei denen der ffent-
lichen Hand die Mehrheit der Anteile gehrt
oder die Mehrheit der Stimmen zusteht und der
Auftraggeber eine ffentliche Stelle ist, die 18,
24 bis 26 oder die entsprechenden Vorschriften
der Datenschutzgesetze der Lnder,
2. die brigen nicht-ffentlichen Stellen, soweit sie per-
sonenbezogene Daten im Auftrag als Dienstleistungs-
unternehmen geschftsmig erheben, verarbeiten
oder nutzen, die 4f, 4g und 38.
(5) Die Abstze 1 bis 4 gelten entsprechend, wenn die
Prfung oder Wartung automatisierter Verfahren oder
von Datenverarbeitungsanlagen durch andere Stellen im
Auftrag vorgenommen wird und dabei ein Zugriff auf
personenbezogene Daten nicht ausgeschlossen werden
kann.
dpunkt.verIag CmbH kingstrae 8 D-6 HeideIberg
fon: o 6z z / o 8| oo fax: o 8| e-maiI: besteIIungdpunkt.de
dpunkt.it & business
www.dpunkt.de
zoo, z8 5eiten
E;,oo (0)
l53N ,8-;-88a-a,-,
zoo, ;a 5eiten
Ea,oo (0)
l53N ,8-;-88a-,,-o
zoo, z8z 5eiten
E;,o (0)
l53N ,8-;-88a-,-z
zoo, ,z 5eiten
E;,o (0)
l53N ,8-;-88a-,-;
zo, z, 5eiten
Ez,o (0)
l53N ,8-;-88a-,a-;
zo, ;, 5eiten
z. Auhcqe
Eaa,o (0)
l53N ,8-;-88a--
zo, ;o 5eiten
a. Auhcqe
E az,o (0)
l53N ,8-;-88a-,o;-8
.%5
zo, ,, 5eiten
E,o (0)
l53N ,8-;-88a-,,-,
.%5
Der deutsche Berufsverband ISACA Germany
Chapter e.V. hat ein Zertifkatsprogramm fr
Fachkrfte entwickelt, die sich auf dem Gebiet
der IT-Governance und IT-Compliance
weiterbilden und darber einen anerkannten
Nachweis erhalten wollen.
&2%,7XQG,7*RYHUQDQFH=HUWLNDWH
des ISACA Germany Chapters
b
e
r
e
i
t
s

b
e
r

1
.
6
0
0

Z
e
r
t
i
k
a
t
s
i
n
h
a
b
e
r
Die COBIT-Zertifkate knnen beim ISACA Germany Chapter oder bei akkreditierten
Schulungsanbietern erworben werden. Die Zertifkate IT-Governance- und IT-Compli-
ance-Manager sind duale Zertifkate und werden ausschlielich in Zusammenarbeit mit
dem ISACA Germany Chapter bei der Frankfurt School of Finance & Management an-
geboten.
Sie stellen auch eine ideale Vorbereitung fr die internationale ISACA-Zertifzierung
CGEIT dar.
Weitere Informationen zu den Zertikaten erhaIten Sie unter: www.isaca.de

Isaca Leitfaden Pruefungauftragsdatenverarbeitung

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Isaca Leitfaden Pruefungauftragsdatenverarbeitung

Transféré par

Droits d'auteur :

Formats disponibles

ISACA-Leitfaden

Eine Verffentlichung des ISACA Germany Chapter e.V.

Vous aimerez peut-être aussi