ISACA-Leitfaden

Eine Veröffentlichung des ISACA Germany Chapter e.V.
dpunkt.verlag
Auftragsdatenverarbeitung unter
Berücksichtigung von Standards
2 Prüfleitfaden Auftragsdatenverarbeitung
Die Autoren dieses Prüfleitfadens sind:
◗ Dr. Aleksandra Sowa, ITCM, Deutsche Telekom AG
◗ Christian Funk, CISA, bDSB Schufa Holding AG
◗ Michael Trinkle, CISA, GaVI mbH
◗ Michael Morgenthaler, CISA, CISM, CIPP/IT, SAP AG
◗ Claus Baumgarten, CISA, bDSB NORDMILCH
◗ Knut Haufe, CISA, CISM, CGEIT, CRISC, CISSP, ISO 27001 Auditor
(TÜV und BSI) | PMP, IS-Revisor (BSI), Geprüfter Datenschutz-
beauftragter (SGS TÜV), PERSICON Consultancy GmbH
◗ Andreas H. Schmidt, CISA, zert. DSB TÜV SÜD,
Flughafen Köln/Bonn GmbH
◗ Michael Neuy, CISA, CIA, CISM, CRISC, CP ONR 49003,
ISMS Auditor (IRCA), GEZ Gebühreneinzugszentrale
Der finale Entwurf des Prüfleitfadens wurde rezensiert
(Review) durch:
◗ Klaus-Dieter Krause, CMC, CISA, CISM, DSB, MBCI,
compliance-net GmbH
◗ Dipl.-Ing./M.Sc. Markus Bittner, CISM, CGEIT, ITGM, ITIL Service
Manager, bDSB (GDD cert.), Straight Advisors Ltd. & Co. KG
◗ Markus Gaulke, CISA, CISM, CGEIT, CRISC, PMP,
KPMG AG Wirtschaftsprüfungsgesellschaft
Das Wort zum Geleit schrieb freundlicherweise
◗ Peter Schaar, Bundesbeauftragter für Datenschutz und
Informationsfreiheit
Lektorat: Vanessa Wittmer
Copy-Editing: Ursula Zimpfer, Herrenberg
Satz & Herstellung: Birgit Bäuerlein
Umschlaggestaltung: Helmut Kraus, www.exclam.de
Druck & Bindung: Wörmann PRODUCTION CONSULT, Heidelberg
Copyright © 2011 ISACA Germany Chapter e.V.
Postfach 18 03 99
60084 Frankfurt
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle
Rechte vorbehalten. Die Verwendung der Texte und Abbildungen,
auch auszugsweise, ist ohne die schriftliche Zustimmung des ISACA
Germany Chapter e.V. urheberrechtswidrig und daher strafbar. Dies
gilt insbesondere für die Vervielfältigung, Übersetzung oder die Ver-
wendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die im Leitfaden verwendeten Soft-
und Hardware-Bezeichnungen sowie Markennamen und Produktbe-
zeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-,
marken- oder patentrechtlichem Schutz unterliegen.
Alle Angaben und Programme in diesem Leitfaden wurden mit
größter Sorgfalt kontrolliert. Weder Autor noch ISACA Germany
Chapter e.V. sowie der Verlag können jedoch für Schäden haftbar
gemacht werden, die in Zusammenhang mit der Verwendung dieses
Leitfadens stehen.
unter Berücksichtigung von Standards 1
ISACA-Prüfleitfaden Auftragsdatenverarbeitung
unter Berücksichtigung von Standards
Inhaltsübersicht
Geleitwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1. Formale Aspekte 5
1.1 Auftragsdatenverarbeitung Ja/Nein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2 Vertragliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3 Organisatorische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2. Praxisteil 8
2.1 Dokumentenstudium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2 Zutrittskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Zugangskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4 Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5 Weitergabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.6 Eingabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.7 Verfügbarkeitskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.8 Trennungskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.9 Auftragskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.10 Organisationskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.11 Sonstige Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3. Dokumentation/Bewertung 17
4. Mapping der Anforderungen des §11 BDSG zu bekannten Standards 17
4.1 BDSG und COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.2 BDSG und BSI IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.3 BDSG und ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Anhang
A Text des §11 BDSG in der Fassung vom 01.09.2009 35
2 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Geleitwort
Liebe Leserinnen und Leser,
die Auslagerung und Vergabe von Leistungen an spezia-
lisierte Dritte gehört mittlerweile zum Alltagsgeschäft in
Unternehmen und öffentlichen Stellen. Dies gilt auch und
besonders im IT-Bereich. Bei dem IT-Outsourcing kann
es sich – rechtlich gesehen – um Auftragsdatenverarbei-
tung nach §11 BDSG oder um eine Funktionsübertra-
gung handeln.
In beiden Fallkonstellationen kommt es darauf an,
sowohl den Datenschutz als auch die IT-Datensicherheit
ohne Einschränkungen zu gewährleisten, denn der Auf-
traggeber kann sich auch beim Outsourcing seiner Ver-
antwortung für den Umgang mit Daten nicht entledigen.
Auch wenn die Vorgaben von §11 BDSG formal nicht
für die Funktionsübertragung gelten, sollten dessen
Anforderungen deshalb auch in diesem Fall beherzigt
werden.
§11 BDSG hat im vergangenen Jahr umfangreiche Ände-
rungen erfahren. Der Gesetzgeber hat hiermit auf die
Defizite bei der praktischen Umsetzung der gesetzlichen
Vorgaben reagiert. Die Vorschrift regelt nun explizit, wel-
chen Anforderungen die Ausgestaltung des Datenverar-
beitungsauftrags zwingend genügen muss. Daneben hat
der Gesetzgeber die Kontrollpflichten des Auftraggebers
dahingehend konkretisiert, dass der Auftraggeber die
Einhaltung der technischen und organisatorischen Maß-
nahmen schon vor Beginn und sodann regelmäßig über-
prüfen muss. Auftraggeber werden in Zukunft besonde-
res Augenmerk auf die Einhaltung dieser Vorgaben legen
müssen, da in §43 Absatz 1 Nummer 2b BDSG ein Buß-
geldtatbestand speziell für Pflichtverletzungen bei der
Auftragsdatenverarbeitung geschaffen wurde.
Besondere Sorgfalt ist dann angebracht, wenn das Out-
sourcing in »Drittländer« außerhalb des Europäischen
Wirtschaftsraums erfolgen soll. Ein solches Vorhaben ist
nur zulässig, wenn beim Vertragspartner ein angemesse-
nes Datenschutzniveau im Sinne der EG-Datenschutz-
richtlinie gewährleistet wird. Dies gilt in verstärkter
Weise bei verteilten Anwendungen, die unter dem Begriff
»Cloud Computing« subsumiert werden.
Liebe Leserinnen und Leser, mit dem Prüfleitfaden gibt
Ihnen die ISACA ein hilfreiches Dokument an die Hand,
bei dessen Anwendung und praktischer Umsetzung ich
Ihnen viel Spaß und Erfolg wünsche. Allerdings darf
dabei nicht vergessen werden, dass eine schematische
Abarbeitung der darin enthaltenen Prüffragen nicht aus-
reicht und letztlich die konkrete Konstellation berück-
sichtigt werden muss.
Peter Schaar
Bundesbeauftragter für Datenschutz
und Informationsfreiheit
unter Berücksichtigung von Standards 3
Vorwort
Im Rahmen der Änderung des Bundesdatenschutzgeset-
zes vom 14.08.2009 wurde §11 BDSG sowohl umfang-
reich um eine detaillierte Aufstellung der vertraglich fest-
zulegenden Fakten als auch um eine (wiederkehrende)
Prüfpflicht für den Auftraggeber/die verantwortliche
Stelle (Text des §11 BDSG siehe Anlage A) erweitert.
Ob und welche Prüfungen im Detail durchzuführen sind,
hängt davon ab, ob es sich bei den durchgeführten ausge-
lagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV)
handelt.
Dieser Leitfaden wurde als Praxishilfe durch die Fach-
gruppe Datenschutz des ISACA Germany Chapter e.V.
(www.isaca.de) erstellt und soll Unternehmen, öffent-
lichen Stellen und Dienstleistern sowie speziell auch den
Mitarbeitern aus den Bereichen Interne Revision, IT-
Sicherheit und Datenschutz eine Übersicht über die rele-
vanten Themengebiete und die Abgrenzungen der daten-
schutzrechtlich erforderlichen Prüfung geben. Die fall-
weise Ausgestaltung der Prüfung dabei natürlich risiko-
orientiert anzulegen und richtet sich nach den jeweils
vorgefundenen Gegebenheiten in Bezug auf das Kontroll-
umfeld, die betroffenen Arten von Daten, Art und Orte
der Verarbeitung sowie die konkreten Vertragsbeziehun-
gen.
Neben der Darstellung der vom BDSG geforderten Prüf-
kriterien wird auch ein Mapping auf etablierte Standards
zur Verfügung gestellt, das es dem Prüfer erleichtert, red-
undante Prüfungen zu minimieren, sofern er bereits un-
abhängig zum Datenschutz eine Prüfung gegen COBIT,
BSI IT-Grundschutz oder ISO 27xxx durchführt.
Definitionen
Auftragsdatenverarbeitung
Wenn ein Unternehmen personenbezogene Daten, für die
es selbst »Verantwortliche Stelle« (i.S.d.G.) ist, durch
eine andere Stelle außerhalb des Unternehmens (aber
gegebenenfalls auch innerhalb des Konzerns/Unterneh-
mensverbundes) unter bestimmten Rahmenbedingungen
erheben, verarbeiten oder nutzen lässt, so handelt es sich
dabei um Auftragsdatenverarbeitung (ADV). Bei der
ADV erfolgt keine Datenüberlassung, d.h., der Auftrag-
geber bleibt Herr der Daten und somit verantwortlich für
die korrekte Einhaltung der Regelungen. Es wird ledig-
lich eine (Teil-)Funktion des eigentlichen Verfahrens aus-
gelagert, nicht jedoch das Verfahren selbst. Der Auftrag-
nehmer erhält keine Befugnis zur Verwendung der Daten
zu eigenen Zwecken, noch wird er verantwortliche Stelle
und er muss sich strikt an die schriftlichen Weisungen des
Auftraggebers halten, die aufgrund eines schriftlichen
Vertrages zu geben sind. Weitere Kriterien, die eine Auf-
tragsdatenverarbeitung charakterisieren:
◗ Dem Auftragnehmer fehlt die Entscheidungsbefugnis
über die Daten.
◗ Es besteht ein ausdrückliches Nutzungsverbot für die
personenbezogenen Daten über die Beauftragung hin-
aus.
◗ Die durch den Auftragnehmer durchgeführte Verar-
beitung wird nur und ausschließlich durch die verant-
wortliche Stelle nach außen hin vertreten.
Darüber hinaus sind die Regelungen des §11 (1)-(4) zur
Auftragsdatenverarbeitung auch anzuwenden, wenn im
Rahmen von Wartungsarbeiten, z.B. via Fernwartung,
der Zugriff auf personenbezogene Daten des Auftragge-
bers nicht ausgeschlossen werden kann.
Auftragnehmer/Auftraggeber: Der Auftragnehmer (AN)
erhebt, verarbeitet oder nutzt Daten nur im Rahmen
des Auftrages und der Weisungen des Auftraggebers
(AG).
Datenträger: sind Medien, die in der Lage sind, Informa-
tionen zu speichern. Gängige Datenträger sind pa-
piergebunden (Dokumente), chemisch-optisch (Film),
opto-elektronisch (CD, DVD), magnetisch (Festplat-
te, Band) oder halbleitergebunden (SD-Karte, USB-
Stick). Datenträger können einmal beschreibbar sein
(WORM, Write Once Read More), wie z.B. Papier,
Mikrofilm oder CD-R oder mehrfach beschreibbar/
löschbar, wie z.B. Festplatten, SD-Karten oder CD-
RW.
4 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Dritter: ist jede Person oder Stelle außerhalb der verant-
wortlichen Stelle. Dritte sind nicht der Betroffene
sowie Personen und Stellen, die im Inland, in einem
anderen Mitgliedstaat der Europäischen Union oder
in einem anderen Vertragsstaat des Abkommens über
den Europäischen Wirtschaftsraum personenbezo-
gene Daten im Auftrag erheben, verarbeiten oder
nutzen.
Drittlandtransfer: Sofern Daten außerhalb des Europäi-
schen Wirtschaftsraums (EWR) transferiert werden
sollen, spricht man vom Drittlandtransfer. Hierzu
legt der Gesetzgeber Erlaubnistatbestände fest, die es
einem Unternehmen erst ermöglichen, personenbezo-
gene Daten zu transferieren (z.B. anerkannte Dritt-
staaten, Safe-Harbor-Vereinbarung oder Standard-
vertragsklauseln). Das Unternehmen bleibt aber auch
in diesem Fall Herr der Daten und muss die prinzipi-
elle Rechtmäßigkeit der Transfers sicherstellen.
Empfänger: ist jede Person oder Stelle, die Daten erhält.
Funktionsübertragung: Für den Begriff »Funktionsüber-
tragung« gibt es keine gesetzliche Definition und §11
BDSG gilt hier nicht.
Eine Funktionsübertragung findet dann statt,
wenn nicht nur die Verarbeitung von Daten, sondern
auch die Aufgabe/das Verfahren, zu dessen Erfüllung
die Datenverarbeitung notwendig ist, mit »recht-
licher Zuständigkeit« vollumfänglich und mit allen
Verantwortlichkeiten an eine dritte Stelle abgegeben
wird. Damit geht einher, dass die Daten dazu an den
Auftragnehmer übermittelt werden. Dabei gehen
auch alle Pflichten für den Schutz der personenbezo-
genen Daten auf den Auftragnehmer über, er wird
Herr der Daten.
»Herr der Daten«: ist derjenige, der die rechtliche Ver-
antwortung für die Verarbeitung der Daten hat – im
Gesetzestext des BDSG als die »verantwortliche
Stelle« bezeichnet. Sie erteilt schriftliche Anweisun-
gen zur Durchführung des Auftrages.
Personenbezogene Daten: Personenbezogene Daten sind
Einzelangaben über persönliche oder sachliche Ver-
hältnisse einer bestimmten oder bestimmbaren natür-
lichen Person.
Sub-Auftragnehmer: Sofern der Auftragnehmer weitere
eigene Dienstleister zur Erbringung der Leistung ein-
schaltet, spricht man von Sub-Auftragnehmern
(Unterauftragsverhältnisse). Eine Beauftragung von
Sub-Auftragnehmern durch den AN ist im Vertrag zu
regeln. Im Einzelfall muss der AN beim AG hierzu
eine schriftliche Zustimmung einholen.
Übergebene/überlassene Daten/-träger mit Daten: Über-
gebene/überlassene Daten/-träger sowie sämtliche
hiervon gefertigte Kopien oder Reproduktionen ver-
bleiben im Eigentum des AG. Diese sind sorgfältig zu
verwahren, sodass sie Dritten nicht zugänglich sind.
Eine datenschutzkonforme Vernichtung von Daten-
träger, Test- und Ausschussmaterial wird ggf. im Ein-
zelfall beauftragt.
Verantwortliche Stelle: ist jede Person oder Stelle, die per-
sonenbezogene Daten für sich selbst erhebt, verarbei-
tet oder nutzt oder dies durch andere im Auftrag vor-
nehmen lässt.
unter Berücksichtigung von Standards 5
1. Formale Aspekte
1.1 Auftragsdatenverarbeitung Ja/Nein
Vor Beginn einer Prüfung der Auftragsdatenverarbeitung
(ADV) ist zunächst zu klären, ob es sich bei der zu unter-
suchenden Abwicklung um eine Auftragsdatenverarbei-
tung oder um eine sog. Funktionsübertragung handelt.
Der Begriff der Funktionsübertragung ist nicht eindeutig
gesetzlich definiert, sondern resultiert aus der Auslegung
des BDSG. Bei einer Funktionsübertragung ist der
Dienstleister hinsichtlich des Umgangs mit den jeweiligen
Daten weisungsfrei. Er ist »Herr der Daten«, die Einhal-
tung der Vorschriften des BDSG obliegt ihm eigenverant-
wortlich. Eine Funktionsübertragung kann z.B. im Falle
des Outsourcings einer Personalstelle vorliegen, wobei
der Dienstleister für das komplette Personalmanagement
verantwortlich ist.
Handelt es sich dagegen um eine Auftragsdatenverarbei-
tung behält der Auftraggeber die Entscheidungsbefugnis
über die Daten. Eine genaue Beurteilung muss immer
bezogen auf den Einzelfall vorgenommen werden. Im
Folgenden sind daher Fragestellungen aufgeführt, die
eine Abgrenzung der Begrifflichkeiten ermöglichen und
– sofern die Fragen 1.1.1 – 1.1.3 mit »Ja« beantwortet
werden oder ein Sachverhalt nach 1.1.4 vorliegt – auf
eine ADV hindeuten:
1.2 Vertragliche Grundlage
Die zentrale rechtliche Grundlage für die »Erhebung,
Verarbeitung oder Nutzung von personenbezogenen
Daten im Auftrag« bildet §11 BDSG. Im Zuge der zum
01.09.2009 in Kraft getretenen Novelle des BDSG wurde
diese Bestimmung um eine Reihe von inhaltlichen Min-
destanforderungen erweitert. In der alten Fassung war
bereits eine sorgfältige (»unter Berücksichtigung der von
ihm getroffenen technischen und organisatorischen Maß-
nahmen«) Auswahl des Dienstleisters gefordert. Hin-
sichtlich der vertraglichen Ausgestaltung beschränkte
sich das BDSG lediglich auf die allgemeine Forderung
nach einer schriftlichen Auftragserteilung. Nach neuer
Fassung sind u.a. Auftragsgegenstand, Dauer, Art der
Daten, technische und organisatorische Maßnahmen
sowie Unterauftragsverhältnisse des Auftragnehmers zu
beschreiben. Als formale Voraussetzung für eine Prüfung
durch den Auftraggeber ist hier §11, Abs. 2 Satz 7 zu
nennen, da dieser die Festlegung der »Kontrollrechte des
Auftraggebers und die entsprechenden Duldungs- und
Mitwirkungspflichten des Auftragsnehmers« fordert.
Eine eindeutige Regelung dieses Punktes ist somit im
Falle einer Prüfung wesentlich zur Gewährleistung des
Zugangs zu allen relevanten Informationen bzw. Doku-
menten des Auftragnehmers.
Zusammenfassend ist festzustellen, dass bei Abschluss
von Neuverträgen (z.B. im Rahmen eines Auswahlpro-
zesses für einen Dienstleister) gewährleistet sein muss,
dass die Verträge den formalen Anforderungen des §11
BDSG entsprechen. Soweit noch nicht erfolgt, sind Ver-
träge, die vor dem 01.09.2009 geschlossen wurden, ggf.
anzupassen (kein Schutz von Altverträgen).
Nr. Frage
1.1.1 Verarbeitet der Auftragnehmer (im Folgenden »AN« genannt) personenbezogene Daten, für die der Auftraggeber
(im Folgenden »AG« genannt) rechtlich verantwortlich ist?
1.1.2 Erfolgt die Verarbeitung der Daten durch den AN vollständig weisungsgebunden?
1.1.3 Fehlt dem AN die Entscheidungsbefugnis über die Verwendung der Daten?
1.1.4 Bestehen Wartungsverträge, bei denen der Zugriff auf personenbezogene Daten des Auftraggebers nicht
ausgeschlossen werden kann?
6 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
1.2.1 Was ist der Gegenstand des Auftrags? 3 3 4
1.2.2 Was ist der Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung? 4 4 5
1.2.3 Welche Art von Daten werden verarbeitet? 4 4 5
1.2.4 Welcher Kreis von Betroffenen ist durch die Art der Daten bestimmt? 4 4 5
1.2.5 Wo führt der AN den Auftrag aus? D.h. an welchen Einsatzorten? (Anschrift, Etage, Raum-
nummer, wichtig: Wo ist der Sitz und der/die Orte der Auftragsausführung)
5 2, 5 2
1.2.6 Welcher Art ist der Einsatzort? (z.B. Rechenzentrum, Büroraum) 2 2, 5 23
1.2.7 Wird der Auftrag im Ausland ausgeführt (wenn ja: EWR oder außerhalb des EWR, wenn Daten
außerhalb EWR verarbeitet werden, sind besondere Hürden zu überwinden!)
2 1 1
1.2.8 Gibt es Unterauftragsverhältnisse? 2 8 9
1.2.9 Ist die Vertragsdauer geregelt? 8 3 8
1.2.10 Sind Sachverhalte wie z.B. Haftung, Vertragsstrafen, Vergütung etc. vertraglich geregelt? 3 2 8
1.2.11 In welcher Form hat der AG das Recht, Weisungen gegenüber dem AN vorzunehmen und ist
dies vertraglich geregelt?
2 11, 14 12, 26
1.2.12 Ist vertraglich geregelt, dass der AN die zur Datenverarbeitung überlassenen Daten für keine
anderen Zwecke kopiert oder Duplikate erstellt, ohne Wissen des AG?
11, 14 4, 5, 14 2, 24
1.2.13 Ist vertraglich geregelt, dass der AG den AN informiert, wenn Fehler oder Unregelmäßigkeiten
bei einer Prüfung der Auftragsergebnisse festgestellt werden?
4 10 11
1.2.14 Ist vertraglich geregelt, dass alle Aufträge schriftlich erteilt werden? 10 5 2
1.2.15 Sind Vertraulichkeitsklauseln im Vertrag dokumentiert (z.B. Geschäftsgeheimnisse und
Datensicherheitsmaßnahmen des AN)?
5 7, 14 1
1.2.16 Ist vertraglich geregelt, dass der AN den AG unverzüglich auf ggf. nicht gesetzeskonforme
Weisungen durch den AG hinweisen muss?
7 14 11
1.2.17 Ist vertraglich geregelt, dass der AN damit einverstanden ist, dass der Auftraggeber – oder
durch diesen beauftragte Dritte – jederzeit die Einhaltung der Vorschriften über den Daten-
schutz und der vertraglichen Vereinbarungen im erforderlichen Umfang kontrollieren kann,
insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten
Daten und die Datenverarbeitungsprogramme?
10, 14 13, 9 10
1.2.18 Ist die Art und Weise der erlaubten Verarbeitung vertraglich geregelt (Stichwort Telearbeit,
Datenverarbeitung in Privatwohnungen)?
9 5, 4 2
1.2.19 Ist vertraglich geregelt, dass nach Abschluss der vertraglichen Arbeiten durch den AN
sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder
Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG
auszuhändigen sind?
4 12 13
1.2.20 Ist vertraglich geregelt, dass die Datenträger des AN nach Abschluss der vertraglichen Arbeiten
physisch zu löschen sind?
6, 12 12 13
1.2.21 Ist vertraglich geregelt, dass Test- und Ausschussmaterial nach Abschluss der vertraglichen
Arbeiten unverzüglich zu vernichten oder dem AG auszuhändigen ist?
12 12 13
1.2.22 Ist vertraglich geregelt, dass die Löschung bzw. Vernichtung durch den AN dem AG schriftlich
zu bestätigen ist?
12 12 13
1.2.23 Ist die Beauftragung von Subunternehmern durch den AN vertraglich geregelt? Der AN hat in
diesem Falle vertraglich sicherzustellen, dass die mit dem AG vereinbarten Regelungen auch
gegenüber Subunternehmern gelten.
8 8 9
1.2.24 Sind die Mitarbeiter des AN auf das Datenschutzgeheimnis gemäß dem BDSG/relevanten
LDSG verpflichtet?
1, 5, 7 1, 7 1
1.2.25 Ist vertraglich geregelt, dass der AN Auskünfte an Dritte oder den Betroffenen nur nach
vorheriger schriftlicher Zustimmung durch den AG erteilen darf?
5 5 2
1.2.26 Ist die genaue, qualifizierte Bezeichnung des Speicherungs- und des Verarbeitungsortes im
Vertrag festgelegt?
5 5 2
1.2.27 Sind die Eigentumsverhältnisse an Soft- und Hardware geregelt? 5 5 6
1.2.28 Ist der »Eigentumsvorbehalt« des AN an gespeicherten Daten und maschinellen Ergebnissen
bei Nichterfüllung des Vertrages durch den AG geregelt?
5 5 6
unter Berücksichtigung von Standards 7
1.3 Organisatorische Grundlagen
Die Qualität des Auswahl- bzw. Prüfprozesses beim Auf-
traggeber sowie die Qualität des Datenschutzkonzeptes
beim Auftragnehmer hängen wesentlich von der diesbe-
züglichen organisatorischen Ausgestaltung auf beiden
Seiten ab. Die Voraussetzungen, die eine formelle Bestel-
lung eines betrieblichen Datenschutzbeauftragten not-
wendig machen, sind eindeutig definiert (§4f BDSG). Da
das BDSG das rechtliche Fundament für die Auftragsda-
tenverarbeitung bildet, ist es folgerichtig, dass der Daten-
schutzbeauftragte in den Auswahlprozess für einen
Dienstleister bzw. in eine Prüfung eingebunden wird. Da-
neben gibt es in vielen Unternehmen IT-/Informations-
Sicherheitsbeauftragte bzw. IT-Revisionen, die als An-
sprechpartner zu einzelnen Themen herangezogen wer-
den sollten.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
1.2.29 Sind die Weisungsberechtigten bei AG und AN geregelt? 5, 8, 11 5, 8, 11 1
1.2.30 Sind die Verantwortung, Art, schriftliche Bestätigung, Transportkontrolle sowie Protokollierung
für den Datenträgertransport geregelt?
5 5 24
1.2.31 Ist die Prüfung der Richtigkeit der Ergebnisse durch den AG geregelt? 5 5 25
1.2.32 Sind Eskalationswege sowie entsprechende Sanktionen (z.B. Vertragsstrafen) für Vertrags-
verletzungen und -störungen vereinbart?
3, 5 5 2, 11, 12
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
1.3.1 Gibt es in der eigenen Organisation einen wirksam tätigen Beauftragten für die
IT-/Informationssicherheit?
5 5 1
1.3.2 Gibt es in der eigenen Organisation (AG) einen Datenschutzbeauftragten (im Folgenden
»DSB« genannt) im Sinne des BDSG?
5 20
1.3.3 Wurde beim AN ein DSB bestellt? Die Bestellung ist ein formeller Akt mit der Geschäftsführung
und dem DSB.
5 5 1
1.3.4 Wurde der AN durch Überprüfung der von ihm getroffenen technischen und organisatorischen
Maßnahmen sorgfältig ausgewählt (§11 Abs. 2 Satz 1 BDSG/div. LDSG)?
5 2 1
1.3.5 War bei der Auswahlüberprüfung der auftragnehmende DSB aktiv eingebunden? 2 2 1
1.3.6 Gibt es beim AN einen Beauftragten für die IT-/Informationssicherheit? 2 1
1.3.7 Existieren Vertretungsregelungen für die DV-Verantwortlichen? 1 5 1
1.3.8 Ist eine IT-Revision bzw. interne Revision vorhanden? 1, 11 5 14, 30
1.3.9 Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen
ausgebildet und verfügen sie über angemessenes fachliches Know-how und eine
angemessene persönliche Eignung?
1, 5, 7, 10 5 1
1.3.10 Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen in
die Organisationsstruktur eingebunden (als Stabsstelle zur Organisationsleitung)?
1, 5, 7, 10 5 1
1.3.11 Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN frei von
Interessenkonflikten (bspw. Trennung von der Umsetzung von Maßnahmen)? Siehe auch
Kapitel 2.10.
1, 5, 7, 10 5 1
1.3.12 Verfügen die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN über
angemessene Ressourcen zur Wahrnehmung ihrer Aufgabe?
1, 5, 7, 10 5 1
8 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
2. Praxisteil
Die Verarbeitung von personenbezogenen Daten im Auf-
trag erfordert, dass der Auftraggeber sich »… vor Beginn
der Datenverarbeitung und sodann regelmäßig von der
Einhaltung der beim Auftragnehmer getroffenen techni-
schen und organisatorischen Maßnahmen« (§11 (3)
BDSG) zu überzeugen hat. Diese Formulierung weist auf
eine Vor-Ort-Prüfung hin; diese ist aber aufgrund des
Gesetzestextes und auch nach der entsprechenden Litera-
tur nicht zwingend erforderlich. Die nachfolgenden Prü-
fungsschritte sind weitestgehend sowohl bei einer Vor-
Ort-Prüfung als auch bei einer reinen Dokumentenprü-
fung anwendbar. Zu beachten sind ggf. vorliegende Prüf-
berichte Dritter (z.B. Wirtschaftsprüfer, ISO 27001- oder
BSI-Auditoren, Datenschutz-Auditoren). Es sollte doku-
mentiert werden, warum im Einzelfall eine Vor-Ort-Prü-
fung unterlassen wurde.
2.1 Dokumentenstudium
Zentrale Grundlage für eine Prüfung sind alle Dokumen-
tationen des Auftragnehmers, die zur Beurteilung der
Wirksamkeit der getroffenen technischen und organisa-
torischen Maßnahmen dienen können. Dies gilt sowohl
für eine Erstprüfung als auch für die in §11 (3) BDSG
geforderte regelmäßig wiederkehrende Kontrolle. Der
Umfang der vorliegenden Dokumentationen, ihre Aktua-
lität sowie eine erste grobe Beurteilung der inhaltlichen
Qualität können als Indikatoren für das weitere Prü-
fungsvorgehen dienen. Liegt z.B. eine differenzierte
Beschreibung des Berechtigungskonzeptes mit aktuellen
Benutzer- und Berechtigungszuordnungen vor, ist ein
Verzicht auf substanzielle Prüfungshandlungen unter
Umständen vertretbar, während ein offensichtlich veral-
tetes oder »zu knapp gehaltenes« Dokument zur Zutritts-
kontrolle eine Vor-Ort-Prüfung eher erforderlich macht.
Ein »Patentrezept« kann an dieser Stelle nicht gegeben
werden, da §11 (3) BDSG hier einen relativ breiten
Ermessensspielraum bietet.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.1.1 Existiert ein Datensicherheitskonzept? 5 5
2.1.2 Existiert eine Dokumentation der umgesetzten technischen und organisatorischen
Maßnahmen?
5 5 20
2.1.3 Existiert ein/e Verfahrensverzeichnis/übersicht des AN? 5
2.1.4 Existiert eine Dokumentation, in der die Zutrittskontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 21
2.1.5 Existiert eine Dokumentation, in der die Zugangskontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 22
2.1.6 Existiert eine Dokumentation, in der die Zugriffskontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 23
2.1.7 Existiert eine Dokumentation, in der die Weitergabekontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 24
2.1.8 Existiert eine Dokumentation, in der die Eingabekontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 25
2.1.9 Existiert eine Dokumentation, in der die Verfügbarkeitskontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 26
2.1.10 Existiert eine Dokumentation, in der die Trennungskontrolle und die dafür umgesetzten
Maßnahmen geregelt sind?
5 5 27
2.1.11 Existiert für diese Auftragsdatenverarbeitung ein Datenschutz- und Sicherheitskonzept,
in dem alle technischen und organisatorischen Maßnahmen dargestellt sind?
5 5 27
2.1.12 Gibt es in der Organisation etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz
und Datensicherheit (z.B. BSI Grundschutz/ISO 27001/Richtlinie Datenschutz)?
5 5 20
2.1.13 Gibt es eine Planung für den Katastrophenfall? (BCM-Konzept) 5 5 27
2.1.14 Welche Einrichtungen (Hardware/Software) setzt der AN zur auftragsgemäßen Bearbeitung
der personenbezogenen Daten ein?
5 5
2.1.15 Existieren Verpflichtungen nach §5 BDSG/§88 TKG? 5, 7 1
2.1.16 Liegen Tätigkeitsberichte des DSB vor? 1, 7 1
2.1.17 Existiert eine Risikoanalyse des Betriebs (ERM, ISMS)? 2, 5, 7, 10 1
unter Berücksichtigung von Standards 9
2.2 Zutrittskontrolle
Der unbefugte Zutritt zu Gebäuden, Räumen und Ein-
richtungen, in denen personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, ist zu verhindern. Dritte
sind während ihres Aufenthalts an solchen Orten zu
begleiten oder anderweitig geeignet zu überwachen. Die
Zutrittsbefugnis ist eng an die unmittelbaren Erforder-
nisse der Aufgabenerledigung für den Auftraggeber
gebunden. Den gesicherten Zutritt zu den Betriebsgebäu-
den und -räumen sowie die Legitimation der Berechtigten
gewährleistet der Auftragnehmer durch persönliche Kon-
trolle und den Einsatz von angemessenen wirksamen
Zugangskontrollen wie z.B. elektronischen Chipkarten,
Türschließsystemen und technischen Überwachungsein-
richtungen. Weiterhin sind geeignete und wirksame
Überwachungseinrichtungen, wie Video- und Alarman-
lage, zu installieren. Der Zugang zu Anlagen, Schlüsseln
und Ausweisen von Zugangskontrollsystemen ist beson-
ders zu schützen. Außerhalb gesicherter Rechenzentren
sind personenbezogene Daten physisch (durch Geheim-
haltung, Zutrittskontrollen und Wegschließen) sowie
logisch (durch Verschlüsselung und Geheimhaltung der
Existenz) zu schützen.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.2.1 Erfolgt eine Zutrittskontrolle für den Zutritt zum Betriebsgelände/Gebäude? 5 5 21
2.2.2 Wenn ja welche?
◗ Magnetkarte/Chipkarte
◗ Schlüssel
◗ Werkschutz
◗ Überwachungseinrichtungen
◗ Video
◗ Alarmanlagen
◗ andere
5 5 21
2.2.3 Existiert ein Zutrittskontrollsystem, in dem die zutrittsberechtigten Mitarbeiter festgelegt sind? 5 5 21
2.2.4 Pförtnerdienst (7 u 24 Stunden)? 5 5 21
2.2.5 Bestehen Regelungen für Fremdpersonal, Reinigungspersonal, Besucher? 5 5, 8 21
2.2.6 Ist die Begleitung von Gästen im Gebäude in einer Richtlinie geregelt? 5 5 21
2.2.7 Sind differenzierte Sicherheitsbereiche/-zonen festgelegt (z.B. für Server, Großrechner,
Archiv)?
5 5 21
2.2.8 Wie ist der (RZ-)Zutritt gesichert?
◗ Vergitterte Fenster/Sicherheitsfenster, -schlösser, -türen mit einer definierten
Widerstandsklasse
◗ Lichtschächte
◗ Lüftungsöffnungen
◗ Rollos gegen Hochschieben gesichert
◗ Feuerleiter
5 5 21
2.2.9 Sind die Server in abschließbaren Serverschränken? 5 5 22
2.2.10 Sind Datenträger Bestandteil eines Zutrittsschutzkonzepts? 5 5 22
2.2.11 Sind gelagerte Notebooks unter Verschluss in gesicherten Räumen? 5 5 22
2.2.12 Erfolgt die Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im zutrittsgeschützten
Safe oder Räumen?
5 5 21
2.2.13 Liegt eine Anweisung zur Ausgabe von Schlüsseln vor? 5 5 21
10 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
2.3 Zugangskontrolle
Im Gegensatz zur Zugriffskontrolle ist das Ziel der
Zugangskontrolle, das Eindringen unbefugter Personen in
die räumliche Umgebung der IT-Systeme zu verhindern.
Die Beeinträchtigung von Vertraulichkeit, Integrität und
Verfügbarkeit von Systemen und Anwendungen zur Ver-
arbeitung von personenbezogenen Daten durch unbe-
fugte Personen ist wirksam zu verhindern. Besonders sen-
sible Daten sind in jedem Fall verschlüsselt zu speichern.
Um Zugang zu den technischen Systemen, Anwendungen
und Netzwerken des Auftragnehmers zu erhalten, muss
ein kennwortgeschützter Benutzerstammsatz, das per-
sönliche Benutzerkonto, technisch eingerichtet werden.
Mit diesem hat sich der berechtigte Nutzer gegenüber
dem System oder der Anwendung zu authentifizieren.
Beim Verlassen von Computern müssen sich die Benutzer
entsprechend abmelden. Bei einer Passwortvergabe müs-
sen Benutzer ausreichend sicher authentifiziert werden.
Das Benutzerkonto muss formell beantragt, vom jewei-
ligen Vorgesetzten genehmigt und die Zuweisung doku-
mentiert werden. Die Ausgestaltung, die Nutzung und
der persönliche Umgang mit dem User und dem Kenn-
wort ist vom Auftragnehmer in einer Passwortrichtlinie
organisatorisch zu regeln, deren Einhaltung technisch
unterstützt wird. Insbesondere
◗ sind User-IDs eindeutig zu vergeben,
◗ Passworte sind sicher zu speichern und zu übertragen,
◗ Passworte sind ausreichend lang und komplex zu ge-
stalten,
◗ Passworte sind regelmäßig zu wechseln,
◗ User und Passworte sind in der Gültigkeitsdauer zu
beschränken und bei Inaktivität zunächst zu sperren
und später zu löschen,
◗ im Fall der Kompromittierung sind Passworte zeitnah
zu wechseln.
Anwendungen und Kommunikationsverbindungen er-
zwingen beim Erreichen bestimmter Schwellwerte (maxi-
male Sitzungsdauer, Fehlanmeldungen u.a.) eine erneute
Authentisierung.
In Betracht kommende Maßnahmen umfassen neben den
o.g. A-priori-Maßnahmen (Passwortmanagement) eben-
falls Maßnahmen zur Schwachstellenfrüherkennung,
Incident-Management etc., die als technische und organi-
satorische Prozesse etabliert werden sollten.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.3.1 Die unbefugte Nutzung von IT-Systemen wird durch folgende Maßnahmen verhindert?
◗ User-ID
◗ Passwortvergabe
◗ Automatische Bildschirmsperre mit Passwortaktivierung
◗ Sonstige (bitte beschreiben)
5 5 22
2.3.2 Verfügt jeder Berechtigte über ein eigenes nur ihm bekanntes Passwort? 5 5 23
2.3.3 Gibt es eine Richtlinie zur Vergabe und Nutzung von Passwörtern?
Werden Passwörter verschlüsselt gespeichert?
5 5 23
2.3.4 Sind weiter gehende Maßnahmen zum Identitätsmanagement vorgesehen?
(z.B. Smartcardeinsatz)
5 5 23
2.3.5 Werden über alle Aktivitäten in den IT-Systemen automatisch Protokolle erstellt? 5 5 11
2.3.6 Die Nutzung von IT-Systemen mithilfe von Einrichtungen der Datenübertragung durch
Unbefugte wird durch folgende Maßnahmen verhindert oder zumindest nachvollziehbar
gemacht:
◗ Standleitung
◗ Wählleitung mit automatischem Rückruf
◗ Teilnehmerkennung
◗ Ausweisleser
◗ Funktionelle Zuordnung einzelner Datenendgeräte
◗ Protokollierung der Systemnutzung und Protokollauswertung
◗ Sonstige Maßnahmen (bitte beschreiben)
5 5 26
2.3.7 Werden neue Schwachstellen in den IT-Systemen gemeldet, erkannt, analysiert und ggf.
behoben, um das Eindringen seitens unbefugter Dritter in die IT-Systeme zu verhindern
(CERT, Scanner etc.)?
5 5 11
unter Berücksichtigung von Standards 11
2.4 Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen und mit DV-
Anwendungen, die zur Erhebung, Verarbeitung und Nut-
zung von personenbezogenen Daten dienen, sind zu ver-
hindern.
Zugriffsberechtigungen sind beim Auftragnehmer nach
den Prinzipien »need-to-know« und »need-to-do« zu
erteilen. Dazu sind den Zugriffsberechtigungen aufga-
benbezogene Berechtigungskonzepte, Benutzerprofile
und Funktionsrollen zugrunde zu legen.
Eine Zugriffsberechtigung ist auf Basis des Rollenkon-
zepts zu beantragen und vom Vorgesetzten zu genehmi-
gen. In den Genehmigungsprozess sind weitere Kontroll-
instanzen zu integrieren. Zur technischen Zugriffssiche-
rung hat der Auftragnehmer anerkannte Sicherheitssys-
teme, z.B. RACF, Active Directory, zu verwenden.
Bestehende Benutzerkonten sind in regelmäßigen Abstän-
den und bei Änderung von Aufgaben von Benutzern zu
überprüfen und entsprechend zu löschen oder zu ändern.
Die Verantwortlichkeit für Benutzerkonten muss klar
zugewiesen werden; Vertretungen sind nur im Rahmen
der geltenden Richtlinien zu erlauben.
Die Rollen von System- und Sicherheitsadministratoren
(Einrichten von Zugriffen und Konfiguration von Sicher-
heitsparametern) sind zu trennen.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.3.8 Gibt es definierte und wirksame Verfahren für die Fachabteilungen und Technik im Fall eines
(erfolgten) externen Angriffs auf relevante Daten und Systeme?
5 5 11
2.3.9 Werden IT-Systeme auf die Wirksamkeit (Effektivität) eingesetzter Maßnahmen gegen das
Eindringen seitens unbefugter Dritter getestet (z.B. Penetrationstest)?
5 5 30
2.3.10 Gibt es definierte organisatorische und technische Verfahren und Methoden zum Incident-
Management (Management von erkannten oder vermuteten Sicherheitsvorfällen bzw.
Störungen, Ausfällen etc.)?
5 5 11
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.4.1 Besteht ein dokumentiertes Berechtigungsmanagement, in dem verbindlich geregelt ist,
wie Berechtigungen beantragt, freigegeben, umgesetzt und wieder entzogen werden?
Ist im Rahmen dieses Berechtigungsmanagements manipulationssicher nachweisbar,
wer wann welche Berechtigungen innehatte?
5 5 23
2.4.2 Bestehen differenzierte Berechtigungen (z.B. für Lesen, Löschen, Ändern)? 5 5 23
2.4.3 Bestehen differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem? 5 5 23
2.4.4 Besteht eine funktionelle/personelleTrennung von Berechtigungsbewilligung (organisatorisch)
und Berechtigungsvergabe (techn.)?
5 5 23
2.4.5 Liegt ein Konzept der Laufwerksnutzung und -zuordnung vor? 5 5 24
2.4.6 Liegt eine eindeutige Zuordnung zwischen jedem Datenträger (Laufwerk etc.) und einem
Berechtigten vor (insb. bei Gruppenlaufwerken)?
5 5 24
2.4.7 Ist die Wiederherstellung von Daten aus Backups (wer darf wann auf wessen Anforderung
Backup-Daten einspielen?) in einem verbindlichen Verfahren geregelt?
5 5 27
2.4.8 Wird die Programm- und Dateibenutzung protokolliert und ausgewertet (Stichproben)? 5 5 11
2.4.9 Erfolgt bei einer evtl. Programmentwicklung eine Funktionstrennung (Test- und Produktions-
umgebung)?
5 5 23
2.4.10 Werden sog. Superuser eingesetzt und erfolgt Monitoring bzw. regelmäßige Kontrollen von
Aktivitäten, die mithilfe dieser Benutzerkonten durchgeführt werden?
5 5 23
12 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
2.5 Weitergabekontrolle
Aspekte im Zusammenhang mit der Weitergabe perso-
nenbezogener Daten innerhalb und außerhalb der DV-
Systeme und DV-Anwendungen sind zu regeln.
Technisch
(Schutz bei der Speicherung und Übertragung von Daten)
Der Auftragnehmer stellt die Integrität der personenbe-
zogenen Daten bei der Speicherung und Weitergabe
innerhalb der DV-Systeme und DV-Anwendungen durch
Plausibilitätsprüfungen und/oder Verifizierungsverfahren
sicher.
Die Vertraulichkeit von personenbezogenen Daten, die
außerhalb des Verfügungsbereichs des Auftragnehmers
gelangen (z.B. fremde Netze und Funknetze), wird durch
Authentisierung und Verschlüsselung gewährleistet. Ver-
schlüsselungsverfahren müssen ausreichend sowie kor-
rekt implementiert sein.
Empfängerkontrolle
(Nachvollziehbarkeit von beabsichtigten Übertragungen)
Jeder automatisierte Datenaustausch mit fremden Syste-
men und Netzen wird mit Zweck, Art, Herkunft und Ziel
der Übertragung dokumentiert. Firewallsysteme und
ständig aktualisierte Virensoftware werden neben einer
Secure-Socket-Layer-Verschlüsselung (SSL) und unter
Verwendung von VPN-Technologie eingesetzt, insbeson-
dere bei der Kommunikation im Internet. Datenträger
werden außerhalb des Verfügungsbereichs des Auftrag-
nehmers nur verschlüsselt transportiert.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.5.1 Werden Daten vom AN an den AG oder Dritte gesendet bzw. wird Dritten der Zugriff auf Daten
des AG durch den AN ermöglicht?
5 5 24
2.5.2 Erhält der AN Daten vom AG, z.B. bei Wartungsverträgen? 5 5 24
2.5.3 Welche Versendungsart der Daten besteht zwischen AG und AN?
◗ Datenträgertransport (z.B. Post, zuverlässiger Boten/Kurier)
◗ Verpackungs- und Versandanschrift
◗ Transportbegleitung und geschlossene Behältnisse
◗ Datenverschlüsselung
◗ E-Mail, FTP, VPN (Verschlüsselung)
◗ Datenleitung
5 5 29
2.5.4 Sind weitere Maßnahmen für Übermittlung/Transport von Daten festgelegt?
◗ Entgegennahme und Rückmeldung
◗ Vollständigkeits-/Richtigkeitsprüfung
◗ Protokollierung (z.B. Datenträger-Begleitzettel)
5 5 24
2.5.5 Werden die Daten beim Transport zwischengelagert? Wenn Ja:
Wo werden diese zwischengelagert und welche Sicherheitsmaßnahmen sind vorhanden?
5 5 24
2.5.6 Wie wird verhindert, dass magnetische Störstrahlung die ggf. eingesetzten magnetischen
Datenträger während des Transports zerstören?
5 5 24
2.5.7 Stellt die Anzahl der am jeweiligen Transport beteiligten Personen und Stellen
(z.B. Abteilungen) ein Problem dar?
5 5 24
2.5.8 Sind betroffene Mitarbeiter darüber informiert, wie Datenträger zu transportieren sind? 5 5 24, 9
2.5.9 Ist geregelt, was passieren muss, wenn beim Datenträgertransport Fehler (z.B. Verlust von
Datenträgern) auftreten?
5 5 24, 11
2.5.10 Wird der Versand bzw. Transport der Datenträger dokumentiert (z.B. Protokoll wer wann
welche Informationen erhalten hat)? Wenn ja wie bzw.in welcher Form (z.B. Formular)?
5 5 24
2.5.11 Liegt eine Netzwerkdokumentation für die Übermittlungswege vor? 5 5 24
2.5.12 Sind zur Übermittlung/Transport der Daten Befugte festgelegt? 5 5 24, 1
2.5.13 Erfolgt eine Legitimationsprüfung der Berechtigten? 5 5 1
2.5.14 Werden Datenträger, die vom AG stammen bzw. für den AG genutzt werden, besonders
gekennzeichnet und unterliegen diese der laufenden – automatisierten – Verwaltung?
5 5 24, 6
2.5.15 Wird Eingang und Ausgang der Datenträger lückenlos dokumentiert? 5 5 24, 12, 15
2.5.16 Wer hat in welcher Art und Weise Zugang zu/Zugriff auf diese Dokumentation? 5 5 24, 23
unter Berücksichtigung von Standards 13
2.6 Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Da-
tenverarbeitung ist zu gewährleisten.
Eingaben in die Systeme und Anwendungen durch Benut-
zer und Administratoren werden vom Auftragnehmer
generell protokolliert und regelmäßig auf Auffälligkeiten
geprüft. Die Protokolle werden entsprechend den Inhal-
ten und/oder gesetzlichen Vorgaben archiviert oder nach
Zweckerreichung gelöscht bzw. für die weitere Verarbei-
tung gesperrt. Abstimmverfahren und Kontrollen, die
überwiegend automatisiert sind, gewährleisten die Ord-
nungsmäßigkeit der Verarbeitung. Die Kontrollen sind
an den Sicherheitsanforderungen der Datenverarbeitung
zu orientieren. Protokolldaten werden sicher aufbe-
wahrt, und die Nutzung von Audit-Werkzeugen wird auf
autorisierte Anwender eingeschränkt.
2.7 Verfügbarkeitskontrolle
Personenbezogene Daten sind gegen zufällige Zerstörung
oder Verlust zu schützen. Der Auftragnehmer nutzt opti-
malerweise ortsgetrennte Backup-Rechenzentren. Sys-
teme sind gegen (D)DoS-Angriffe von außen geschützt.
Die Verfügbarkeit der Daten und Systeme wird in
Rechenzentren durch geeignete Maßnahmen sicherge-
stellt, u.a. durch Systemredundanz, Batteriepufferung
(USV) und Generator gegen Stromausfälle sowie Klimati-
sierung und Schutz gegen sonstige schädliche Umwelt-
und Sabotage-Einwirkungen. Die entsprechenden Ein-
richtungen werden wie auch alle anderen technischen
Installationen regelmäßig gewartet und getestet. Daten
werden gegebenenfalls laufend, auch mehrfach, gespie-
gelt. Gespiegelte Daten werden beim Schreiben auf Kor-
rektheit geprüft (Integritätsprüfung).
Eine permanente Überwachung der Auslastungen der
Systeme sowie Maßnahmen zur Lastverteilung werden
durchgeführt, um Verfügbarkeitsverluste aufgrund von
Systemüberlastungen zu verhindern.
Zur verlässlichen Wiederherstellung bei gravierenden
Störungen werden Ablaufdefinitionen für Kontinuitäts-
pläne entwickelt, regelmäßig getestet und verfügbar vor-
gehalten.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.6.1 Sind die Benutzerberechtigungen für Eingabe (Profile) festgelegt? 5 5 23
2.6.2 Sind die Benutzerberechtigungen differenziert?
◗ Lesen, Ändern, Löschen
◗ Teilzugriff auf Daten bzw. Funktionen
◗ Feldzugriff bei Datenbanken
5 5 25
2.6.3 Wird maschinell protokolliert, wer was wann in der fachlichen Anwendung eingegeben hat? 5 5 25
2.6.4 Erfolgt eine Protokollierung der Administratorentätigkeiten (Anlegen von Benutzern, Ändern
von Benutzerrechten)?
5 5 25
2.6.5 Sind gesetzlich bestimmte (HGB u.a.) oder unternehmenseigene Aufbewahrungsfristen
festgelegt?
5 5 19, 1
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.7.1 Existiert ein angemessenes Backup- und Recoverykonzept (z.B. mit täglicher Sicherung)? 5 5 27
2.7.2 Gibt es eine Vereinbarung bzgl. Übergabe der (Daten-)Sicherungen? 5 5 27, 10
2.7.3 Erfolgt eine Festplattenspiegelung? 5 5 27
2.7.4 Ist eine katastrophensichere Aufbewahrung der Datenträger sichergestellt? 5 5 27, 21
2.7.5 Existiert ein Notfall- und Wiederanlaufverfahren mit regelmäßiger Erprobung (BCM-Konzept)?
Existiert ein Notfallhandbuch mit Notfallplänen, Darstellung der Notfallorganisation – klare
Regelung der Verantwortlichkeiten im Notfall?
5 5 27
2.7.6 Sind Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold Stand-by)? 5 5 27
2.7.7 Gibt es eine USV-Anlage (unterbrechungsfreie Stromversorgung)? 5 5 27
2.7.8 Werden unberechtigte Benutzer (z.B. bei Flooding-Versuchen) abgewiesen? 5 5 22
14 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
2.8 Trennungskontrolle
Daten verschiedener Auftraggeber sind zumindest logisch
getrennt zu verarbeiten. Systeme und Anwendungen sind
speziell auf eine zweckgebundene Verarbeitung ausgerich-
tet. Es besteht eine Funktionstrennung zwischen Produk-
tions- und Testsystemen. Testdaten von Produktionssyste-
men dürfen nur nach Rücksprache mit dem Auftraggeber
verwendet werden, und nur wenn die Sicherheit des Test-
systems vergleichbar mit der des Produktivsystems ist.
Tests führen nicht zur Verringerung des Schutzniveaus
von Vertraulichkeit, Integrität oder Verfügbarkeit perso-
nenbezogener Daten.
Die Trennung von Produktions- und Testnetzen ist durch
geeignete und wirksame Maßnahmen (Proxies, Firewalls,
VLANs und DMZ, Terminal Server etc.) gewährleistet.
Der Datenverkehr zwischen ihnen ist auf den geregelten
Verfahrensablauf begrenzt.
2.9 Auftragskontrolle
Es ist eine auftrags- und weisungsgemäße Auftragsdaten-
verarbeitung zu gewährleisten.
Der Auftragnehmer verarbeitet die ihm überlassenen
Daten nur gemäß den vertraglich vereinbarten Weisun-
gen des Auftraggebers. Kontrollmaßnahmen werden in
Abstimmung mit dem Auftraggeber definiert und tech-
nisch oder organisatorisch in die Betriebsabläufe einge-
bunden.
Unterauftragnehmer werden vom Auftraggeber nur nach
den Vorgaben der vertraglichen Regelungen eingeschaltet.
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.7.9 Schützen entsprechende Sicherheitssysteme (Software/Hardware) vor
Überlastungsangriffen (DDoS)?
◗ Virenscanner
◗ Firewalls
◗ Spamfilter
◗ Verschlüsselungsprogramme
5 5 27, 29
2.7.10 Gibt es ein Kapazitätsmanagement? Wurden Single-Points-of Failure identifiziert
und durch angemessene Maßnahmen behandelt?
5 5 2
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.8.1 Werden die Daten des AG und anderer Kunden beim AN physisch oder zumindest
logisch getrennt verarbeitet?
5 5 28
2.8.2 Werden die Daten des AG und anderer Kunden von unterschiedlichen Mitarbeitern
beim AN verarbeitet?
5 5 28
2.8.3 Erfolgen die Datensicherungen der AG-Daten auf separaten Datenträgern
(ohne Daten anderer Mandanten)?
5 5 28, 27
2.8.4 Existiert ein Berechtigungskonzept, das der getrennten Verarbeitung der AG-Daten
von Daten anderer Kunden/Mandanten Rechnung trägt?
5 5 28, 23
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.9.1 Sind die Mitarbeiter des AN auf das Datengeheimnis (§5 BDSG u. a. gesetzliche
Voraussetzungen) verpflichtet?
5, 7 5, 7 1, 2
2.9.2 Welche schriftliche Datenschutz-Informationen erhalten die Mitarbeiter des AN
(z.B. Merkblatt, Gesetzestext)?
5, 7 5, 7 2, 19
2.9.3 Hat der AN einen Subunternehmer zur Erfüllung der Auftragsdatenverarbeitung eingesetzt?
Falls ja, bitte nächste Frage beantworten.
8 8 9 (26)
2.9.4 Wurden mit Subauftragnehmern Auftragsdatenverarbeitungsverträge oder Datenschutz-
vereinbarungen gem. §11 BDSG abgeschlossen?
8, 5 8, 1 2
unter Berücksichtigung von Standards 15
2.10 Organisationskontrollen
Unter der Zielvorgabe einer angemessenen datenschutz-
gerechten Organisation werden im BDSG vorrangig
– aber auch nur beispielhaft – acht Kontrollen benannt,
die der Gewährleistung der Verfügbarkeit, Authentizität
und Integrität dienen. Im Einleitungssatz zu der Anlage
zum §9 wurden darüber hinaus Organisationskontrollen
festgeschrieben. Darunter sind technische und organisato-
rische Maßnahmen zu verstehen, die sich explizit auf die
Ablauf- und Aufbauorganisation beziehen und weitere,
im Kontext des BDSG relevante Kontrollen ergänzen.
Zu den wichtigsten Organisationskontrollen gehört die
Funktionstrennung, die eine klare Trennung verschiede-
ner Aufgaben und Funktionen in einer Organisation
gewährleistet. Angemessene Fähigkeiten und Kompeten-
zen der Mitarbeiter werden u.a. durch entsprechende
Schulungs- und Awareness-Maßnahmen gefördert. Die
Umsetzung regulatorischer Anforderungen im Unterneh-
men erfordert die Existenz einer entsprechenden Ablauf-
organisation. Darunter sind u.a. Datenschutzrichtlinien,
Arbeitsanweisungen und dazugehörige Prozesse zum
Change-Management zu verstehen.
Der Umfang dieser Maßnahmen bestimmt sich nach der
Größe des Unternehmens und seinen Aufgaben.
Funktionstrennung und Umsetzung der Funktionstrennung
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.9.5 Spiegeln die Verträge den AN mit dem Subunternehmer die Anforderungen des AG an den
AN wider?
2, 3, 4, 5 2
2.9.6 Sind Subunternehmer außerhalb des EWR angesiedelt? 2, 8 2
2.9.7 Gibt es ein angemessenes Datenschutzniveau, z.B. Safe-Harbour-Vereinbarung, Standard-
Vertragsklauseln, Individualvertrag mit Genehmigung durch die Aufsichtsbehörden, bzw.
handelt es sich um Drittländer mit durch die EU-Kommission festgestelltem angemessenem
Datenschutzniveau (§4 b Abs. 3 BDSG)?
3, 5 1
2.9.8 Folgen aus der Auftragsverarbeitung verbindliche Arbeitsprozesse beim AG? 3 4, 5
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.10.1 Wurde eine klare Trennung der verschiedenen Aufgaben und Funktionen anhand einer
Unverträglichkeitsanalyse vollzogen und gibt es eine Matrix, die Unverträglichkeiten von
Rollen/Funktionen darstellt?
1, 6 5, 7, 13 28
2.10.2 Wurde die Funktionstrennung schriftlich in Arbeitsanweisungen, Geschäftsverteilungsplänen,
Stellenbeschreibungen, Organisationsplänen etc. fixiert?
1, 6 5, 7, 13 28
2.10.3 Werden die festgelegten Funktionstrennungen technisch unterstützt (z.B. im Rahmen der
Login- und User-Identifizierungsprozeduren)?
1, 6 5, 7, 13 28
2.10.4 Bestehen einheitliche, dokumentierte Vorgaben dafür, welcher Funktion welche
Nutzungsrechte zugeordnet sind und wer diese verfügt (u.a. Kompetenzprofile)?
1, 6 5, 7, 13 28, 22, 23
2.10.5 Ist zu jedem Zeitpunkt nachvollziehbar, wer welche Kompetenzen und Berechtigungen im
Unternehmen verfügt?
5, 6 5, 7, 13 22, 23
2.10.6 Ist die Historie der Kompetenzprofile (über eine angemessene Zeitperiode) nachvollziehbar? 5, 6 5, 7, 13 12, 14
2.10.7 Sind die Prozesse zur Einrichtung, Veränderung und Löschung von Funktionen und Aufgaben
(sowie Folgeprozesse zur Funktionstrennung wie Kompetenzprofile) definiert?
5, 6 5, 7, 13 12, 14
2.10.8 Werden die Aktivitäten der Mitarbeiter in IT-Systemen anonymisiert/pseudonymisiert
(User/Login) protokolliert?
Falls ja, bitte nächste Fragen beantworten.
5, 6 5, 7, 13 12, 14
2.10.9 Sind die anonymisierten/pseudonymisierten Protokolle über die Aktivitäten der Mitarbeiter in
den IT-Systemen in angemessener Zeit auswertbar (z.B. Zugriffe in Abwesenheit)?
5, 6 5, 7, 13 12, 14
2.10.10 Ist die Integrität und Vertraulichkeit der Protokolle sichergestellt? 5, 6 5, 7, 13 14, 19
16 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Schulung der Mitarbeiter/Awareness
Richtlinien/Policies
Change-Management
2.11 Weitere Fragen
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.10.11 Finden regelmäßige Basisschulungen der Mitarbeiter zu Informationssicherheit und/oder
Datenschutz statt?
5 5, 7, 13 20
2.10.12 Existieren Prozesse zur regelmäßigen Bewertung und Aktualisierung des Schulungsangebots
an das erforderliche Niveau und gegebenenfalls an stattgefundene Änderungen in den
Anforderungen oder Rahmenbedingungen (z.B. Novellierung der Gesetze, Erlass neuer
Gesetze und Vorschriften)?
5 5, 7, 13 20
2.10.13 Erfolgt eine regelmäßige Aufnahme des Awareness-Niveaus der Mitarbeiter zu den Themen
Datenschutz und Informationssicherheit, z.B. im Rahmen einer Effektivitätsanalyse der
Sensibilisierungsmaßnahmen?
5 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.10.14 Existiert eine übergeordnete Richtlinie/Policy zum Datenschutz? 1, 9 5, 7, 13 20
2.10.15 Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt? 1, 5, 9 5, 7, 13 20
2.10.16 Sind die Datenschutzrichtlinien zentral abgelegt und allen Mitarbeitern zugänglich? 1, 5, 9 5, 7, 13 20
2.10.17 Sind die Vorgaben aus der Richtlinie/Policy zum Datenschutz in den Arbeitsanweisungen
u.Ä. berücksichtigt?
1, 5, 9 5, 7, 13 20
2.10.18 Ist ein Prozess zur Kaskadierung der Vorgaben aus der Richtlinie/Policy zum Datenschutz in
den Arbeitsanweisungen u.Ä. definiert?
1, 5, 9 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.10.19 Exisitieren dokumentierte Prozesse zur Identifizierung, Analyse, Bewertung und Berück-
sichtigung von Änderungen in den Anforderungen (beispielsweise Datenschutzgesetze)
sowie den IT-Verfahren und Prozessen (neue Anwendungen, neue IT-Systeme etc.)?
1, 5, 9 5, 7, 13 20
2.10.20 Exisitieren dokumentierte Prozesse zur Identifizierung, Analyse, Bewertung von Datenschutz-
vorfällen im Zuge von Änderungen sowie der Ableitung von Maßnahmen zur Verhinderung
eines erneuten Eintritts (Verbindung des Change-Managements zum Incident-Management)?
1, 5, 9 5, 7, 13 20
Nr.
Frage COBIT BSI ISO
Referenz zu den Mappings aus Kapitel 4 4.1 4.2 4.3
2.11.1 Sind aktuelle Verschlüsselungsstandards (E-Mail und Festplatte) eingeführt? 5 5 29
2.11.2 Gibt es einen gemanagten Meldeprozesse bei Sicherheitsvorfällen (Incident-Management)
mit Einschluss des AG?
5 5 11
2.11.3 Sind angemessene Schutzvorkehrungen, Datensicherheitsstandards und -klassifikationen
für die verarbeitenden Datenkategorien vorhanden?
5 5 2
2.11.4 Gibt es einen Prozess zur Erfüllung der Informationspflichten? 5, 10 5, 10 11
2.11.5 Werden die Mitarbeiter, die mit Daten nach §42a Ziff. 1-4 BGSG zu tun haben, geschult? 2, 5 5 19
2.11.6 Wann war die letzte Prüfung – auch vor Ort – durch den DSB des AN bei Subunternehmern? 9 5, 9 30
2.11.7 Wird die Löschung der Daten protokolliert und der Nachweis der Datenlöschung dem AG
gegenüber erbracht?
5, 6, 12 12, 5, 6 7
2.11.8 Finden Löschkontrollen durch den AG statt? 5, 6 6, 7 12
2.11.9 Werden die DV-Anlagen und/oder TK-Anlagen durch Fremdfirmen mit genutzt? 6 5 9, 28
2.11.10 Ist die Beschaffung von Hard- und Software organisatorisch geregelt? 5 5 2, 6, 15
2.11.11 Ist eine Verfahrensübersicht (intern und »für jedermann«) vorhanden? 5 5 4, 15
unter Berücksichtigung von Standards 17
3. Dokumentation/Bewertung
In §11 BDSG werden keine Vorgaben gemacht, wie die
gewonnenen Prüfungserkenntnisse zu dokumentieren
sind. Ebenso wenig wird eine bestimmte Kategorisierung
und Bewertung von eventuell festgestellten Schwachstel-
len gefordert. Somit verweisen wir an dieser Stelle auf die
allgemeinen diesbezüglichen Standards des prüferischen
Vorgehens (siehe auch Kapitel 4).
Unabhängig davon, an welchen Standards sich eine Prü-
fung im Einzelfall orientiert, sollte gewährleistet sein,
dass Prüfungsergebnisse für »sachverständige Dritte in
angemessener Zeit nachvollziehbar« sind und hinsicht-
lich zu beseitigender Schwachstellen klare Vereinbarun-
gen mit dem Auftragnehmer getroffen werden.
Die Umsetzung vereinbarter Maßnahmen sollte im Rah-
men eines dokumentierten Follow-up-Prozesses über-
wacht werden.
4. Mapping der Anforderungen des §11 BDSG
zu bekannten Standards
In den folgenden drei Kapiteln wird für Prüfungen, die
sich an den dargestellten Standards (COBIT 4.1, BSI IT-
Grundschutz und ISO 27001:2005) orientieren, eine
Hilfe zur Überleitung einzelner Prüfungsschritte geboten.
Für Prüfer, die nach den Standards der Information Sys-
tems and Control Association (ISACA) arbeiten – ISACA
ALLGEMEINE STANDARDS FÜR DIE REVISION
VON INFORMATIONSSYSTEMEN –, können folgende
Standards speziell im Umfeld Anwendung finden:
◗ S7 Berichterstattung – für alle Fragen der Dokumen-
tation der Prüfhandlungen (Absatz 2, letzter Satz)
◗ S13 Hinzuziehung anderer Experten – z.B. in Zusam-
menhang mit einem Datenschutzaudit nach §9a, das
als »Joint Audit« ausgeführt wird
◗ S14 Prüfungsnachweise
◗ S15 IT-Kontrollen – hauptsächlich relevant im
Zusammenhang mit allen technisch organisatori-
schen Maßnahmen sowie anderen Anforderungen der
Punkte 1 bis 10 des Abs. 2 §11 BDSG
◗ S16 E-Commerce – wenn auch eine Datenübermitt-
lung per Netz zur Auftragsdatenverarbeitung gehört
4.1 BDSG und COBIT 4.1
Das weiter unten angeführte Mapping zwischen dem
aktuellen BDSG und der Version COBIT 4.1 soll den
Kolleginnen und Kollegen, die sich im Prüfungsalltag
bzw. bei der Erstellung des Prüfplans am COBIT-Frame-
work orientieren, einen schnellen Überblick geben, wel-
che Domains bzw. »Control Objectives« den einzelnen
Normen des BDSG im Zusammenhang mit der Auftrags-
datenverarbeitung zugeordnet werden können.
Wie zu erwarten, sind einige der »Control Objectives«
mehrmals auf einzelne Paragrafen des BDSG anwendbar.
Allerdings wurde der Übersicht halber versucht, diese
Überlappungen in der folgenden Darstellung zu reduzie-
ren.
Letztlich ist es immer vom speziellen Fokus des Prüfungs-
auftrags abhängig, und somit der jeweiligen Prüferin/
dem Prüfer überlassen, einzelne »Control Objectives«
den Paragrafen des BDSG mehrfach zuzuordnen, um
damit beispielsweise den Prüfungsschwerpunkt detail-
lierter zu spezifizieren.
Daher erhebt das unten angeführte Mapping keinen
Anspruch auf Vollständigkeit. Ganz im Gegenteil lädt es
dazu ein, die Thematik und die damit verbundenen Her-
ausforderungen an eine angemessene Zuordnung weiter
zu vertiefen.
Entsprechende Hinweise und Vorschläge hierzu könnten
beispielsweise in der XING-Gruppe https://www.xing.com/
net/pri1e7eb3x/isaca/forums im Forum »Fachgruppe
COBIT-Datenschutz« diskutiert und weiterentwickelt
werden.
18 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG COBIT 4.1
4.1.1 (1) Werden personenbezogene Daten
im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt, ist
der Auftraggeber für die Einhaltung
der Vorschriften dieses Gesetzes und
anderer Vorschriften über den Daten-
schutz verantwortlich.
Die in den §§6, 7 und 8 BDSG
genannten Rechte sind ihm gegen-
über geltend zu machen.
DS 2.1 Identification of All Supplier Relationships
Identify all supplier services, and categorise them according to supplier type, significance
and criticality. Maintain formal documentation of technical and organisational relationships
covering the roles and responsibilities, goals, expected deliverables, and credentials of
representatives of these suppliers.
4.1.2 (2) Der Auftragnehmer ist unter
besonderer Berücksichtigung der
Eignung der von ihm getroffenen
technischen und organisatorischen
Maßnahmen sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen,
wobei insbesondere im Einzelnen
festzulegen sind:
PO 1.1 IT Value Management
Work with the business to ensure that the enterprise portfolio of IT-enabled investments
contains programmes that have solid business cases. Recognise that there are mandatory,
sustaining and discretionary investments that differ in complexity and degree of freedom in
allocating funds. IT processes should provide effective and efficient delivery of the IT
components of programmes and early warning of any deviations from plan, including cost,
schedule or functionality, that might impact the expected outcomes of the programmes. IT
services should be executed against equitable and enforceable service level agreements
(SLAs).
Accountability for achieving the benefits and controlling the costs should be clearly
assigned and monitored. Establish fair, transparent, repeatable and comparable evaluation
of business cases, including financial worth, the risk of not delivering a capability and the
risk of not realising the expected benefits.
PO 1.4 IT Strategic Plan
Create a strategic plan that defines, in co-operation with relevant stakeholders, how IT
goals will contribute to the enterprise’s strategic objectives and related costs and risks.
DS 2.2 Supplier Relationship Management
Formalise the supplier relationship management process for each supplier. The relation-
ship owners should liaise on customer and supplier issues and ensure the quality of the
relationship based on trust and transparency (e.g., through SLAs).
DS 2.3 Supplier Risk Management
Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery
in a secure and efficient manner on a continual basis. Ensure that contracts conform to
universal business standards in accordance with legal and regulatory requirements. Risk
management should further consider non-disclosure agreements (NDAs), escrow
contracts, continued supplier viability, conformance with security requirements, alternative
suppliers, penalties and rewards, etc.
AI 5.2 Supplier Contract Management
Set up a procedure for establishing, modifying and terminating contracts for all suppliers.
The procedure should cover, at a minimum, legal, financial, organisational, documentary,
performance, security, intellectual property, and termination responsibilities and liabilities
(including penalty clauses). All contracts and contract changes should be reviewed by legal
advisors.
ME 4.5 Risk Management
Work with the board to define the enterprise’s appetite for IT risk, and obtain reasonable
assurance that IT risk management practices are appropriate to ensure that the actual
IT risk does not exceed the board’s risk appetite. Embed risk management responsibilities
into the organisation, ensuring that the business and IT regularly assess and report IT-
related risks and their impact and that the enterprise’s IT risk position is transparent to all
stakeholders.
unter Berücksichtigung von Standards 19
Nr. BDSG COBIT 4.1
4.1.3 1. der Gegenstand und die Dauer
des Auftrags,
DS 1.1 Service Level Management Framework
Define a framework that provides a formalised service level management process between
the customer and service provider. The framework should maintain continuous alignment
with business requirements and priorities and facilitate common understanding between
the customer and provider(s). The framework should include processes for creating service
requirements, service definitions, SLAs, OLAs and funding sources. These attributes
should be organised in a service catalogue. The framework should define the organisa-
tional structure for service level management, covering the roles, tasks and responsibilities
of internal and external service providers and customers.
DS 1.2 Definition of Services
Base definitions of IT services on service characteristics and business requirements.
Ensure that they are organised and stored centrally via the implementation of a service
catalogue portfolio approach.
DS 1.3 Service Level Agreements
Define and agree to SLAs for all critical IT services based on customer requirements and
IT capabilities. This should cover customer commitments; service support requirements;
quantitative and qualitative metrics for measuring the service signed off on by the stake-
holders; funding and commercial arrangements, if applicable; and roles and responsibili-
ties, including oversight of the SLA. Consider items such as availability, reliability, perfor-
mance, capacity for growth, levels of support, continuity planning, security and demand
constraints.
DS 1.4 Operating Level Agreements
Define OLAs that explain how the services will be technically delivered to support the
SLA(s) in an optimal manner. The OLAs should specify the technical processes in terms
meaningful to the provider and may support several SLAs.
DS 6.1 Definition of Services
Identify all IT costs, and map them to IT services to support a transparent cost model.
IT services should be linked to business processes such that the business can identify
associated service billing levels.
DS 13.1 Operations Procedures and Instructions
Define, implement and maintain procedures for IT operations, ensuring that the operations
staff members are familiar with all operations tasks relevant to them. Operational proce-
dures should cover shift handover (formal handover of activity, status updates, operational
problems, escalation procedures and reports on current responsibilities) to support agreed-
upon service levels and ensure continuous operations.
4.1.4 2. der Umfang, die Art und der
Zweck der vorgesehenen
Erhebung, Verarbeitung oder
Nutzung von Daten, die Art
der Daten und der Kreis der
Betroffenen,
PO 2.3 Data Classification Scheme
Establish a classification scheme that applies throughout the enterprise, based on the
criticality and sensitivity (e.g., public, confidential, top secret) of enterprise data. This
scheme should include details about data ownership; definition of appropriate security
levels and protection controls; and a brief description of data retention and destruction
requirements, criticality and sensitivity. It should be used as the basis for applying controls
such as access controls, archiving or encryption.
4.1.5 3. die nach §9 BDSG zu treffenden
technischen und organisatori-
schen Maßnahmen,
PO 9.1 IT Risk Management Framework
Establish an IT risk management framework that is aligned to the organisation’s (enter-
prise’s) risk management framework.
PO 9.4 Risk Assessment
Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative
and quantitative methods. The likelihood and impact associated with inherent and residual
risk should be determined individually, by category and on a portfolio basis.
20 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG COBIT 4.1
Fortsetzung DS 4.3 Critical IT Resources
Focus attention on items specified as most critical in the IT continuity plan to build in
resilience and establish priorities in recovery situations. Avoid the distraction of recovering
less-critical items and ensure response and recovery in line with prioritised business needs,
while ensuring that costs are kept at an acceptable level and complying with regulatory and
contractual requirements. Consider resilience, response and recovery requirements for
different tiers, e.g., one to four hours, four to 24 hours, more than 24 hours and critical
business operational periods.
PO 3.4 Technology Standards
To provide consistent, effective and secure technological solutions enterprisewide,
establish a technology forum to provide technology guidelines, advice on infrastructure
products and guidance on the selection of technology, and measure compliance with these
standards and guidelines. This forum should direct technology standards and practices
based on their business relevance, risks and compliance with external requirements.
PO 7.4 Personnel Training
Provide IT employees with appropriate orientation when hired and ongoing training to
maintain their knowledge, skills, abilities, internal controls and security awareness at the
level required to achieve organisational goals.
AI 2.3 Application Control and Auditability
Implement business controls, where appropriate, into automated application controls such
that processing is accurate, complete, timely, authorised and auditable.
AI 2.4 Application Security and Availability
Address application security and availability requirements in response to identified risks
and in line with the organisation’s data classification, information architecture, information
security architecture and risk tolerance.
AI 2.5 Configuration and Implementation of Acquired Application Software
Configure and implement acquired application software to meet business objectives.
AI 7.9 Post-implementation Review
Establish procedures in line with the organisational change management standards to
require a post-implementation review as set out in the implementation plan.
DS 4.9 Offsite Backup Storage
Store offsite all critical backup media, documentation and other IT resources necessary for
IT recovery and business continuity plans. Determine the content of backup storage in
collaboration between business process owners and IT personnel. Management of the
offsite storage facility should respond to the data classification policy and the enterprise’s
media storage practices. IT management should ensure that offsite arrangements are
periodically assessed, at least annually, for content, environmental protection and security.
Ensure compatibility of hardware and software to restore archived data, and periodically
test and refresh archived data.
DS 5.1 Management of IT Security
Manage IT security at the highest appropriate organisational level, so the management of
security actions is in line with business requirements.
DS 5.2 IT Security Plan
Translate business, risk and compliance requirements into an overall IT security plan,
taking into consideration the IT infrastructure and the security culture. Ensure that the plan
is implemented in security policies and procedures together with appropriate investments in
services, personnel, software and hardware. Communicate security policies and procedu-
res to stakeholders and users.
DS 5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security
appliances, network segmentation, intrusion detection) to authorise access and control
information flows from and to networks.
4.1.5 3. die nach §9 BDSG zu treffenden
technischen und organisatori-
schen Maßnahmen,
unter Berücksichtigung von Standards 21
Nr. BDSG COBIT 4.1
Fortsetzung DS 5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to
provide authenticity of content, proof of submission, proof of receipt and non-repudiation of
origin.
DS 8.1 Service Desk
Establish a service desk function, which is the user interface with IT, to register, communi-
cate, dispatch and analyse all calls, reported incidents, service requests and information
demands. There should be monitoring and escalation procedures based on agreed-upon
service levels relative to the appropriate SLA that allow classification and prioritisation of
any reported issue as an incident, service request or information request. Measure end
users’ satisfaction with the quality of the service desk and IT services.
DS 8.3 Incident Escalation
Establish service desk procedures, so incidents that cannot be resolved immediately are
appropriately escalated according to limits defined in the SLA and, if appropriate, work-
arounds are provided. Ensure that incident ownership and life cycle monitoring remain with
the service desk for user-based incidents, regardless which IT group is working on resolu-
tion activities.
DS 8.5 Reporting and Trend Analysis
Produce reports of service desk activity to enable management to measure service perfor-
mance and service response times and to identify trends or recurring problems, so service
can be continually improved.
DS 11.6 Security Requirements for Data Management
Define and implement policies and procedures to identify and apply security requirements
applicable to the receipt, processing, storage and output of data to meet business objec-
tives, the organisation’s security policy and regulatory requirements.
DS 12.2 Physical Security Measures
Define and implement physical security measures in line with business requirements to
secure the location and the physical assets. Physical security measures must be capable
of effectively preventing, detecting and mitigating risks relating to theft, temperature, fire,
smoke, water, vibration, terror, vandalism, power outages, chemicals or explosives.
DS 12.3 Physical Access
Define and implement procedures to grant, limit and revoke access to premises, buildings
and areas according to business needs, including emergencies. Access to premises, buil-
dings and areas should be justified, authorised, logged and monitored. This should apply to
all persons entering the premises, including staff, temporary staff, clients, vendors, visitors
or any other third party.
DS 12.4 Protection Against Environmental Factors
Design and implement measures for protection against environmental factors. Install
specialised equipment and devices to monitor and control the environment.
DS 12.5 Physical Facilities Management
Manage facilities, including power and communications equipment, in line with laws and
regulations, technical and business requirements, vendor specifications, and health and
safety guidelines.
4.1.5 3. die nach §9 BDSG zu treffenden
technischen und organisatori-
schen Maßnahmen,
4.1.6 4. die Berichtigung, Löschung und
Sperrung von Daten,
PO 4.9 Data and System Ownership
Provide the business with procedures and tools, enabling it to address its responsibilities
for ownership of data and information systems. Owners should make decisions about
classifying information and systems and protecting them in line with this classification.
PO 4.11 Segregation of Duties
Implement a division of roles and responsibilities that reduces the possibility for a single
individual to compromise a critical process. Make sure that personnel are performing only
authorised duties relevant to their respective jobs and positions.
22 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG COBIT 4.1
Fortsetzung DS 5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user
accounts and related user privileges with a set of user account management procedures.
Include an approval procedure outlining the data or system owner granting the access
privileges. These procedures should apply for all users, including administrators (privileged
users) and internal and external users, for normal and emergency cases. Rights and
obligations relative to access to enterprise systems and information should be contractually
arranged for all types of users. Perform regular management review of all accounts and
related privileges.
AI 6.1 Change Standards and Procedures
Set up formal change management procedures to handle in a standardised manner all re-
quests (including maintenance and patches) for changes to applications, procedures, pro-
cesses, system and service parameters, and the underlying platforms.
AI 6.2 Impact Assessment, Prioritisation and Authorisation
Assess all requests for change in a structured way to determine the impact on the operatio-
nal system and its functionality. Ensure that changes are categorised, prioritised and autho-
rised.
AI 6.3 Emergency Changes
Establish a process for defining, raising, testing, documenting, assessing and authorising
emergency changes that do not follow the established change process.
AI 6.4 Change Status Tracking and Reporting
Establish a tracking and reporting system to document rejected changes, communicate the
status of approved and in-process changes, and complete changes. Make certain that ap-
proved changes are implemented as planned.
AI 6.5 Change Closure and Documentation
Whenever changes are implemented, update the associated system and user documenta-
tion and procedures accordingly.
4.1.6 4. die Berichtigung, Löschung und
Sperrung von Daten,
4.1.7 5. die nach Absatz 4 bestehenden
Pflichten des Auftragnehmers,
insbesondere die von ihm
vorzunehmenden Kontrollen,
PO 9.6 Maintenance and Monitoring of a Risk Action Plan
Prioritise and plan the control activities at all levels to implement the risk responses identi-
fied as necessary, including identification of costs, benefits and responsibility for execution.
Obtain approval for recommended actions and acceptance of any residual risks, and
ensure that committed actions are owned by the affected process owner(s). Monitor execu-
tion of the plans, and report on any deviations to senior management.
PO 10.13 Project Performance Measurement, Reporting and Monitoring
Measure project performance against key project performance scope, schedule, quality,
cost and risk criteria. Identify any deviations from the plan. Assess the impact of deviations
on the project and overall programme, and report results to key stakeholders. Recommend,
implement and monitor remedial action, when required, in line with the programme and pro-
ject governance framework.
PO 7.6 Personnel Clearance Procedures
Include background checks in the IT recruitment process. The extent and frequency of pe-
riodic reviews of these checks should depend on the sensitivity and/or criticality of the func-
tion and should be applied for employees, contractors and vendors.
DS 1.5 Monitoring and Reporting of Service Level Achievements
Continuously monitor specified service level performance criteria. Reports on achievement
of service levels should be provided in a format that is meaningful to the stakeholders. The
monitoring statistics should be analysed and acted upon to identify negative and positive
trends for individual services as well as for services overall.
DS 1.6 Review of Service Level Agreements and Contracts
Regularly review SLAs and underpinning contracts (UCs) with internal and external service
providers to ensure that they are effective and up to date and that changes in requirements
have been taken into account.
unter Berücksichtigung von Standards 23
Nr. BDSG COBIT 4.1
Fortsetzung DS 2.4 Supplier Performance Monitoring
Establish a process to monitor service delivery to ensure that the supplier is meeting
current business requirements and continuing to adhere to the contract agreements and
SLAs, and that performance is competitive with alternative suppliers and market conditions.
DS 3.5 Monitoring and Reporting
Continuously monitor the performance and capacity of IT resources. Data gathered should
serve two purposes:
◗ To maintain and tune current performance within IT and address such issues as
resilience, contingency, current and projected workloads, storage plans, and resource
acquisition
◗ To report delivered service availability to the business, as required by the SLAs
ME 1.4 Performance Assessment
Periodically review performance against targets, analyse the cause of any deviations, and
initiate remedial action to address the underlying causes. At appropriate times, perform root
cause analysis across deviations.
ME 1.5 Board and Executive Reporting
Develop senior management reports on IT’s contribution to the business, specifically in
terms of the performance of the enterprise’s portfolio, IT-enabled investment programmes,
and the solution and service deliverable performance of individual programmes. Include in
status reports the extent to which planned objectives have been achieved, budgeted
resources used, set performance targets met and identified risks mitigated. Anticipate
senior management’s review by suggesting remedial actions for major deviations. Provide
the report to senior management, and solicit feedback from management’s review.
ME 2.1 Monitoring of Internal Control Framework
Continuously monitor, benchmark and improve the IT control environment and control
framework to meet organisational objectives.
ME 2.2 Supervisory Review
Monitor and evaluate the efficiency and effectiveness of internal IT managerial review
controls.
ME 2.3 Control Exceptions
Identify control exceptions, and analyse and identify their underlying root causes. Escalate
control exceptions and report to stakeholders appropriately. Institute necessary corrective
action.
ME 2.5 Assurance of Internal Control
Obtain, as needed, further assurance of the completeness and effectiveness of internal
controls through third-party reviews.
ME 2.6 Internal Control at Third Parties
Assess the status of external service providers’ internal controls. Confirm that external
service providers comply with legal and regulatory requirements and contractual obliga-
tions.
ME 3.4 Positive Assurance of Compliance
Obtain and report assurance of compliance and adherence to all internal policies derived
from internal directives or external legal, regulatory or contractual requirements, confirming
that any corrective actions to address any compliance gaps have been taken by the respon-
sible process owner in a timely manner.
ME 3.5 Integrated Reporting
Integrate IT reporting on legal, regulatory and contractual requirements with similar output
from other business functions.
4.1.7 5. die nach Absatz 4 bestehenden
Pflichten des Auftragnehmers,
insbesondere die von ihm
vorzunehmenden Kontrollen,
24 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG COBIT 4.1
4.1.8 6. die etwaige Berechtigung zur
Begründung von Unterauftrags-
verhältnissen,
PO 4.14 Contracted Staff Policies and Procedures
Ensure that consultants and contract personnel who support the IT function know and
comply with the organisation’s policies for the protection of the organisation’s information
assets such that they meet agreed-upon contractual requirements.
4.1.9 7. die Kontrollrechte des Auftrag-
gebers und die entsprechenden
Duldungs- und Mitwirkungs-
pflichten des Auftragnehmers,
DS 2.4 Supplier Performance Monitoring
Establish a process to monitor service delivery to ensure that the supplier is meeting
current business requirements and continuing to adhere to the contract agreements and
SLAs, and that performance is competitive with alternative suppliers and market conditions.
4.1.10 8. mitzuteilende Verstöße des
Auftragnehmers oder der bei ihm
beschäftigten Personen gegen
Vorschriften zum Schutz perso-
nenbezogener Daten oder gegen
die im Auftrag getroffenen Fest-
legungen,
ME 3.3 Evaluation of Compliance With External Requirements
Confirm compliance of IT policies, standards, procedures and methodologies with legal and
regulatory requirements
4.1.11 9. der Umfang der Weisungsbefug-
nisse, die sich der Auftraggeber
gegenüber dem Auftragnehmer
vorbehält,
DS 2.1 Identification of All Supplier Relationships
Identify all supplier services, and categorise them according to supplier type, significance
and criticality. Maintain formal documentation of technical and organisational relationships
covering the roles and responsibilities, goals, expected deliverables, and credentials of
representatives of these suppliers
4.1.12 10. die Rückgabe überlassener
Datenträger und die Löschung
beim Auftragnehmer gespeicher-
ter Daten nach Beendigung des
Auftrags.
PO 7.8 Job Change and Termination
Take expedient actions regarding job changes, especially job terminations. Knowledge
transfer should be arranged, responsibilities reassigned and access rights removed such
that risks are minimised and continuity of the function is guaranteed.
PO 10.14 Project Closure
At the end of each project, require the project stakeholders to ascertain whether the project
delivered the planned results and benefits. Identify and communicate any outstanding
activities required to achieve the planned results of the project and the benefits of the
program, and identify and document lessons learned for use on future projects and
programmes.
4.1.13 Er (Anmerkung des Autors: Der
Auftrag zur Erhebung, Verarbeitung
oder Nutzung personenbezogener
Daten) kann bei öffentlichen Stellen
auch durch die Fachaufsichtsbehörde
erteilt werden.
Der Auftraggeber hat sich vor Beginn
der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der
beim Auftragnehmer getroffenen
technischen und organisatorischen
Maßnahmen zu überzeugen.
Das Ergebnis ist zu dokumentieren.
PO 8.2 IT Standards and Quality Practices
Identify and maintain standards, procedures and practices for key IT processes to guide the
organisation in meeting the intent of the QMS. Use industry good practices for reference
when improving and tailoring the organisation’s quality practices.
PO 8.6 Quality Measurement, Monitoring and Review
Define, plan and implement measurements to monitor continuing compliance to the QMS,
as well as the value the QMS provides. Measurement, monitoring and recording of informa-
tion should be used by the process owner to take appropriate corrective and preventive
actions.
DS 2.3 Supplier Risk Management
Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery
in a secure and efficient manner on a continual basis. Ensure that contracts conform to
universal business standards in accordance with legal and regulatory requirements.
Risk management should further consider non-disclosure agreements (NDAs), escrow con-
tracts, continued supplier viability, conformance with security requirements, alternative sup-
pliers, penalties and rewards, etc.
DS 2.4 Supplier Performance Monitoring
Establish a process to monitor service delivery to ensure that the supplier is meeting
current business requirements and continuing to adhere to the contract agreements and
SLAs, and that performance is competitive with alternative suppliers and market conditions.
unter Berücksichtigung von Standards 25
4.2 BDSG und BSI IT-Grundschutz
Das folgende Mapping zwischen dem aktuellen BDSG
und der 11. Ergänzungslieferung der IT-Grundschutzka-
taloge des BSI soll den Kolleginnen und Kollegen, die sich
im Prüfungsalltag bzw. bei der Erstellung des Prüfplans
am BSI IT-Grundschutz orientieren, einen schnellen
Überblick geben, welche Bausteine und Maßnahmen den
einzelnen Normen des BDSG im Zusammenhang mit der
Auftragsdatenverarbeitung zugeordnet werden können.
Das Mapping erhebt keinen Anspruch auf Vollständig-
keit. Ganz im Gegenteil lädt es dazu ein, die Thematik
und die damit verbundenen Herausforderungen an eine
angemessene Zuordnung weiter zu vertiefen.
Insbesondere ist dies notwendig, da das Dokument vom
BSI bzw. Ersteller des Bausteins 1.5 Datenschutz –
Tabelle: »Maßnahmen und Datenschutz-Kontrollziele«
zu Baustein 1.5 »Datenschutz« (Verweis aus Maßnahme
M 7.5) – auf den IT-Grundschutzkatalogen Version 2006
Stand: November 2006, Stand der Tabelle: 22.08.07,
basiert. Die detaillierte Zuordnung aller Maßnahmen der
IT-Grundschutzkataloge zu den gemäß §9 BDSG not-
wendigen technischen und organisatorischen Maßnah-
men ist daher als veraltet anzusehen und bedarf einer
Aktualisierung auf die aktuelle 11. Ergänzungslieferung
der IT-Grundschutzkataloge.
Nr. BDSG COBIT 4.1
4.1.14 (3) Der Auftragnehmer darf die Daten
nur im Rahmen der Weisungen des
Auftraggebers erheben, verarbeiten
oder nutzen.
Ist er der Ansicht, dass eine Weisung
des Auftraggebers gegen dieses
Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den
Auftraggeber unverzüglich darauf
hinzuweisen.
DS 2.2 Supplier Relationship Management
Formalise the supplier relationship management process for each supplier. The relation-
ship owners should liaise on customer and supplier issues and ensure the quality of the
relationship based on trust and transparency (e.g., through SLAs).
Nr. BDSG Maßnahmenkatalog BSI – 11. EL
4.2.1 (1) Werden personenbezogene Daten
im Auftrag durch andere Stellen erho-
ben, verarbeitet oder genutzt, ist der
Auftraggeber für die Einhaltung der
Vorschriften dieses Gesetzes und
anderer Vorschriften über den Daten-
schutz verantwortlich.
Die in den §§6, 7 und 8 genannten
Rechte sind ihm gegenüber geltend
zu machen.
Baustein 1.16 Anforderungsmanagement
M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften
und Regelungen
M 2.340 Beachtung rechtlicher Rahmenbedingungen
Baustein 1.0 Sicherheitsmanagement
M 2.336 Übernahme der Gesamtverantwortung für Informationssicherheit durch die
Leitungsebene
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz
M 7.7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei
der Verarbeitung personenbezogener Daten
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
4.2.2 (2) Der Auftragnehmer ist unter beson-
derer Berücksichtigung der Eignung
der von ihm getroffenen technischen
und organisatorischen Maßnahmen
sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen,
wobei insbesondere im Einzelnen
festzulegen sind:
Baustein 1.11 Outsourcing
M 2.250 Festlegung einer Outsourcing-Strategie
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
26 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG Maßnahmenkatalog BSI – 11. EL
4.2.3 1. der Gegenstand und die Dauer
des Auftrags,
Baustein 1.11 Outsourcing
M 5.88 Vereinbarung über Datenaustausch mit Dritten
Baustein 1.15 Datenschutz
M 7.11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung
personenbezogener Daten
4.2.4 2. der Umfang, die Art und der
Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung
von Daten, die Art der Daten und
der Kreis der Betroffenen,
4.2.5 3. die nach §9 zu treffenden
technischen und organisa-
torischen Maßnahmen,
Baustein 1.11 Outsourcing
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
Baustein 1.5 Datenschutz
M 7.5 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem
Stand der Technik bei der Verarbeitung personenbezogener Daten –> Verweise
auf weitere BSI-Bausteine zu den einzelnen Themen beachten.
Insbesondere auch bei BSI-Dokument »IT-Grundschutzzertifizierung von ausgelagerten
Komponenten« Version 1.0 vom 08.03.2004 – in der Regel ist bei der Auftragsdatenverar-
beitung von Fall 2 gemäß diesem Dokument auszugehen, was zur Anwendung der BSI-
Bausteine Sicherheitsmanagement, Organisation, Personal, Hard- und Software-Manage-
ment, Notfallvorsorge-Konzept, Behandlung von Sicherheitsvorfällen beim Auftragnehmer
führt. Dies sollte daher vertraglich als Mindestanforderung vereinbart werden.
4.2.6 4. die Berichtigung, Löschung und
Sperrung von Daten,
Baustein 1.5 Datenschutz
M 7.15 Datenschutzgerechte Löschung/Vernichtung
M 7.7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der
Verarbeitung personenbezogener Daten
Baustein 1.15 Löschen und Vernichten von Daten
M 2.3 Datenträgerverwaltung
M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
M 2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von
Informationen
M 2.432 Richtlinie für die Löschung und Vernichtung von Informationen
M 2.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten
M 2.435 Auswahl geeigneter Aktenvernichter
M 2.436 Vernichtung von Datenträgern durch externe Dienstleister
M 3.67 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von
Daten
M 4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung
M 4.325 Löschen von Auslagerungsdateien
M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und
Systemen
M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
M 4.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern
4.2.7 5. die nach Absatz 4 bestehenden
Pflichten des Auftragnehmers,
insbesondere die von ihm vor-
zunehmenden Kontrollen,
Baustein 1.11 Outsourcing
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
4.2.8 6. die etwaige Berechtigung zur
Begründung von Unterauftrags-
verhältnissen,
Baustein 1.11 Outsourcing
M 2.226 Regelungen für den Einsatz von Fremdpersonal
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
»Die Einbindung Dritter, Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu
regeln. In der Regel empfiehlt es sich nicht, diese grundsätzlich auszuschließen, sondern
sinnvolle Regelungen festzulegen.«
unter Berücksichtigung von Standards 27
Nr. BDSG Maßnahmenkatalog BSI – 11. EL
4.2.9 7. die Kontrollrechte des Auftragge-
bers und die entsprechenden Dul-
dungs- und Mitwirkungspflichten
des Auftragnehmers,
Baustein 1.0 Sicherheitsmanagement
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
Baustein 1.11 Outsourcing
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
»Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Der
Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts-, Zutritts- und Zugangs-
rechte besitzen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen
sollen, muss dies bereits im Vertrag geregelt sein.
◗ Allen Institutionen, die beim Auftraggeber Prüfungen durchführen müssen (z.B. Auf-
sichtsbehörden), müssen auch beim Outsourcing-Dienstleister die entsprechenden
Kontrollmöglichkeiten (z.B. Zutrittsrechte, Dateneinsicht) eingeräumt werden.«
4.2.10 8. mitzuteilende Verstöße des Auf-
tragnehmers oder der bei ihm be-
schäftigten Personen gegen Vor-
schriften zum Schutz
personenbezogener Daten oder
gegen die im Auftrag getroffenen
Festlegungen,
Baustein 1.11 Outsourcing
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
Baustein 1.8 Behandlung von Sicherheitsvorfällen
M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle
M 6.61 Eskalationsstrategie für Sicherheitsvorfälle
M 6.65 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen
4.2.11 9. der Umfang der Weisungsbefug-
nisse, die sich der Auftraggeber
gegenüber dem Auftragnehmer
vorbehält,
Baustein 1.11 Outsourcing
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
Baustein 1.0 Sicherheitsmanagement
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
M 7.11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personen-
bezogener Daten
M 7.9 Datenschutzrechtliche Freigabe
4.2.12 10. die Rückgabe überlassener
Datenträger und die Löschung
beim Auftragnehmer gespeicher-
ter Daten nach Beendigung des
Auftrags.
Baustein 1.11 Outsourcing
M 2.307 Geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses
Baustein 1.5 Datenschutz
M 7.15 (A) Datenschutzgerechte Löschung/Vernichtung
Baustein 1.15 Löschen und Vernichten von Daten
M 2.3 Datenträgerverwaltung
M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
M 2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von
Informationen
M 2.432 Richtlinie für die Löschung und Vernichtung von Informationen
M 2.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten
M 2.435 Auswahl geeigneter Aktenvernichter
M 2.436 Vernichtung von Datenträgern durch externe Dienstleister
M 3.67 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung
von Daten
M 4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung
M 4.325 Löschen von Auslagerungsdateien
28 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr. BDSG Maßnahmenkatalog BSI – 11. EL
Fortsetzung M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und
Systemen
M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
M 4.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern
4.2.12 10. die Rückgabe überlassener
Datenträger und die Löschung
beim Auftragnehmer gespeicher-
ter Daten nach Beendigung des
Auftrags.
4.2.13 Er (Anmerkung des Autors: Der
Auftrag zur Erhebung, Verarbeitung
oder Nutzung personenbezogener
Daten) kann bei öffentlichen Stellen
auch durch die Fachaufsichtsbehörde
erteilt werden.
Der Auftraggeber hat sich vor Beginn
der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der
beim Auftragnehmer getroffenen
technischen und organisatorischen
Maßnahmen zu überzeugen.
Das Ergebnis ist zu dokumentieren.
Baustein 1.0 Sicherheitsmanagement
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
Baustein 1.11 Outsourcing
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
M 2.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-
Betrieb
4.2.14 (3) Der Auftragnehmer darf die Daten
nur im Rahmen der Weisungen des
Auftraggebers erheben, verarbeiten
oder nutzen.
Ist er der Ansicht, dass eine Weisung
des Auftraggebers gegen dieses
Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den
Auftraggeber unverzüglich darauf
hinzuweisen.
Baustein 1.11 Outsourcing
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
4.2.15 (4) Für den Auftragnehmer gelten
neben den §§5, 9, 43 Abs. 1 Nr. 2, 10
und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie §44 nur die Vorschriften über
die Datenschutzkontrolle oder die
Aufsicht, und zwar für
Baustein 1.11 Outsourcing
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
Zu §5:
Baustein 1.5 Datenschutz
M 7.6 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personen-
bezogener Daten
Zu §§4f, 4g und 38 BDSG:
Baustein B 1.5 Datenschutz
M 7.6 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personen-
bezogener Daten
4.2.16 1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei
denen der öffentlichen Hand
die Mehrheit der Anteile ge-
hört oder die Mehrheit der
Stimmen zusteht und der Auf-
traggeber eine öffentliche
Stelle ist, die §§18, 24 bis 26
oder die entsprechenden Vor-
schriften der Datenschutzge-
setze der Länder,
2. die übrigen nicht-öffentlichen
Stellen, soweit sie personen-
bezogene Daten im Auftrag als
Dienstleistungsunternehmen
geschäftsmäßig erheben,
verarbeiten oder nutzen, die
§§4f, 4g und 38.
Keine Entsprechung
unter Berücksichtigung von Standards 29
Nr. BDSG Maßnahmenkatalog BSI – 11. EL
4.2.17 (5) Die Absätze 1 bis 4 gelten ent-
sprechend, wenn die Prüfung oder
Wartung automatisierter Verfahren
oder von Datenverarbeitungsanlagen
durch andere Stellen im Auftrag vor-
genommen wird und dabei ein Zugriff
auf personenbezogene Daten nicht
ausgeschlossen werden kann.
Keine Entsprechung
§9 BDSG
Technische und organisatorische Maßnahmen
Maßnahmenkatalog BSI – 11. EL
Öffentliche und nicht-öffentliche Stellen, die
selbst oder im Auftrag personenbezogene Daten
erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Maßnahmen
zu treffen, die erforderlich sind, um die Aus-
führung der Vorschriften dieses Gesetzes,
insbesondere die in der Anlage zu diesem
Gesetz genannten Anforderungen, zu gewähr-
leisten. Erforderlich sind Maßnahmen nur, wenn
ihr Aufwand in einem angemessenen Verhältnis
zu dem angestrebten Schutzzweck steht.
Baustein 1.11 Outsourcing
M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
Baustein 1.5 Datenschutz
M 7.5 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem
Stand der Technik bei der Verarbeitung personenbezogener Daten –> Verweise
auf weitere BSI-Bausteine zu den einzelnen Themen beachten.
Insbesondere auch BSI-Dokument »IT-Grundschutzzertifizierung von ausgelagerten Kom-
ponenten« Version 1.0 vom 08.03.2004 – in der Regel ist bei der Auftragsdatenverarbei-
tung von Fall 2 gemäß diesem Dokument auszugehen, was zur Anwendung der BSI-Bau-
steine Sicherheitsmanagement, Organisation, Personal, Hard- und Software-Management,
Notfallvorsorge-Konzept, Behandlung von Sicherheitsvorfällen beim Auftragnehmer führt.
Dies sollte daher vertraglich als Mindestanforderung vereinbart werden.
Anlage zu §9 BDSG Satz 1
Werden personenbezogene Daten automatisiert
verarbeitet oder genutzt, ist die innerbehördliche
oder innerbetriebliche Organisation so zu gestal-
ten, dass sie den besonderen Anforderungen
des Datenschutzes gerecht wird. Dabei sind
insbesondere Maßnahmen zu treffen, die je nach
der Art der zu schützenden personenbezogenen
Daten oder Datenkategorien geeignet sind, …
Verweis:
Hierzu gibt es ein Dokument vom BSI bzw. Ersteller des Bausteins 1.5 Datenschutz.
Tabelle:
»Maßnahmen und Datenschutz-Kontrollziele« zu Baustein 1.5 »Datenschutz«
(Verweis aus Maßnahme M 7.5)
Basierend auf den IT-Grundschutzkatalogen Version 2006, Stand: November 2006, Stand
der Tabelle: 22.08.07
§9a BDSG
Datenschutzaudit
Maßnahmenkatalog BSI – 11. EL
Zur Verbesserung des Datenschutzes und der
Datensicherheit können Anbieter von Datenver-
arbeitungssystemen und -programmen und da-
tenverarbeitende Stellen ihr Datenschutzkonzept
sowie ihre technischen Einrichtungen durch un-
abhängige und zugelassene Gutachter prüfen
und bewerten lassen sowie das Ergebnis der
Prüfung veröffentlichen. Die näheren Anforde-
rungen an die Prüfung und Bewertung, das Ver-
fahren sowie die Auswahl und Zulassung der
Gutachter werden durch besonderes Gesetz ge-
regelt.
Baustein 1.0 Sicherheitsmanagement
M 2.199 Aufrechterhaltung der Informationssicherheit
Baustein 1.15 Datenschutz
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
Baustein 1.11 Outsourcing
M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
»Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Der
Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts-, Zutritts- und Zugangs-
rechte besitzen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen
sollen, muss dies bereits im Vertrag geregelt sein.
◗ Allen Institutionen, die beim Auftraggeber Prüfungen durchführen müssen (z.B. Auf-
sichtsbehörden), müssen auch beim Outsourcing-Dienstleister die entsprechenden
Kontrollmöglichkeiten (z.B. Zutrittsrechte, Dateneinsicht) eingeräumt werden.«
30 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
4.3 BDSG und ISO 27001
Unternehmen, die ein Informationssicherheits-Manage-
mentsystem nach den Anforderungen des Standards ISO/
IEC 27001:2005 eingerichtet haben, sind gehalten, dies
durch interne Audits zu überprüfen und einer ständigen
Verbesserung zu unterziehen. Daher ist es sinnvoll, dass
Prüfungshandlungen, die im Rahmen der Verpflichtun-
gen des §11 BDSG vorgenommen werden, im Einklang
mit den Anforderungen der ISO 27001 stehen, um Syner-
gieeffekte zu erzielen und Doppelarbeiten sowie Akzep-
tanzprobleme beim Auftragnehmer zu vermeiden.
Wir weisen an dieser Stelle ausdrücklich darauf hin, dass die Anforderungen der ISO 27001 hier nur verkürzt in Form
von Zitaten wiedergegeben werden. Wir empfehlen den Erwerb des vollständigen Standards zur gründlichen und voll-
ständigen Kenntnisnahme aller relevanten Anforderungen (z.B. in Deutschland beim Beuth Verlag, www.beuth.de).
Nr.
Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme – Anforderungen
Ergänzt durch:
ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren –
Leitfaden für das Informationssicherheits-Management
4.3.1 (1) Werden personenbezogene Daten
im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt,
ist der Auftraggeber für die Einhaltung
der Vorschriften dieses Gesetzes und
anderer Vorschriften über den Daten-
schutz verantwortlich.
Die in den §§6, 7 und 8 genannten
Rechte sind ihm gegenüber geltend
zu machen.
A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen
Maßnahme
Datenschutz und Vertraulichkeit müssen sichergestellt werden, wie in einschlägigen
Gesetzen, Vorschriften und ggf. Vertragsklauseln gefordert.
A. 6.2.1 Identifizierung von Risiken in Zusammenhang mit externen Mitarbeitern
Maßnahme
Die Risiken für Informationen und informationsverarbeitende Einrichtungen der
Organisation, die durch Geschäftsprozesse unter Beteiligung externer Mitarbeiter
verursacht werden, müssen identifiziert und angemessene Maßnahmen umgesetzt
werden, bevor diesen der Zugang gewährt wird.
A. 6.1.3 Zuweisung der Verantwortlichkeiten für Informationssicherheit
Maßnahme
Alle Verantwortlichkeiten für Informationssicherheit müssen eindeutig definiert sein.
ISO 27002, 6.2.3
s) Verantwortlichkeiten zur Gesetzeskonformität und Sicherstellung der Erfüllung gesetz-
licher Anforderungen, z. B. Datenschutzgesetze; insbesondere unter Berücksichtigung
unterschiedlicher nationaler Rechtssysteme, wenn die Vereinbarung die Zusammen-
arbeit mit Organisationen im Ausland einschließt (siehe auch 15.1);
4.3.2 (2) Der Auftragnehmer ist unter beson-
derer Berücksichtigung der Eignung
der von ihm getroffenen technischen
und organisatorischen Maßnahmen
sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen,
wobei insbesondere im Einzelnen
festzulegen sind:
A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten
Maßnahme
Vereinbarungen mit Dritten, die den Zugriff, die Verarbeitung, Kommunikation oder
Administration von Informationen oder informationsverarbeitenden Einrichtungen der
Organisation betreffen, oder die Bereitstellung von Produkten oder Dienstleistungen
für informationsverarbeitende Einrichtungen, müssen alle relevanten Sicherheitsan-
forderungen abdecken.
4.3.4 1. der Gegenstand und die Dauer
des Auftrags,
ISO 27002, 6.2.3
k) eine Beschreibung des bereitgestellten Produkts oder der Dienstleistung und eine
Beschreibung der zur Verfügung gestellten Informationen, einschließlich ihrer Sicher-
heitsklassifizierung (siehe 7.2.1);
4.3.5 2. der Umfang, die Art und der
Zweck der vorgesehenen Erhe-
bung, Verarbeitung oder Nutzung
von Daten, die Art der Daten und
der Kreis der Betroffenen,
4.3.6 3. die nach §9 zu treffenden techni-
schen und organisatorischen
Maßnahmen,
ISO 27002, 6.2.3
b) Maßnahmen zur Sicherstellung des Schutzes von organisationseigenen Werten
(Assets): (siehe hierzu auch die Erläuterungen in Zusammenhang mit §9 BDSG)
unter Berücksichtigung von Standards 31
Nr.
Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme – Anforderungen
Ergänzt durch:
ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren –
Leitfaden für das Informationssicherheits-Management
4.3.7 4. die Berichtigung, Löschung und
Sperrung von Daten,
ISO 27002, 6.2.3
b) (s.o.)
5) Maßnahmen, um die Rückgabe oder Vernichtung von Informationen und Werten bei
Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit
sicherzustellen;
4.3.8 5. die nach Absatz 4 bestehenden
Pflichten des Auftragnehmers,
insbesondere die von ihm vor-
zunehmenden Kontrollen,
ISO 27002, 6.2.3
r) die vereinbarte Verpflichtung der jeweiligen Parteien;
4.3.9 6. die etwaige Berechtigung zur
Begründung von Unterauftrags-
verhältnissen,
ISO 27002, 6.2.3
u) Einbeziehung Dritter mit Subunternehmern sowie die Sicherheitsmaßnahmen,
die diese Subunternehmer umsetzen müssen;
4.3.10 7. die Kontrollrechte des Auftrag-
gebers und die entsprechenden
Duldungs- und Mitwirkungs-
pflichten des Auftragnehmers,
ISO 27002, 6.2.3
o) das Recht, die vertraglich festgelegten Verantwortlichkeiten zu überprüfen, diese
Prüfungen durch unabhängige Dritte durchführen zu lassen, und die satzungsgemäßen
Rechte der Prüfer zu benennen;
4.3.11 8. mitzuteilende Verstöße des
Auftragnehmers oder der bei ihm
beschäftigten Personen gegen
Vorschriften zum Schutz perso-
nenbezogener Daten oder gegen
die im Auftrag getroffenen Fest-
legungen,
ISO 27002, 6.2.3
j) Vereinbarungen für Berichte, Mitteilungen und Untersuchungen von Informations-
sicherheitsvorfällen und Sicherheitsverstößen, genauso wie Vertragsverstöße;
ISO 27001
A. 13.1.1 Melden von Informationssicherheitsereignissen
Maßnahme
Informationssicherheitsereignisse müssen so schnell wie möglich über die geeigneten
Managementkanäle gemeldet werden.
4.3.12 9. der Umfang der Weisungsbefug-
nisse, die sich der Auftraggeber
gegenüber dem Auftragnehmer
vorbehält,
ISO 27002, 6.2.3
n) das Recht, jegliche Aktivitäten in Zusammenhang mit den Werten der Organisation zu
überwachen und zu widerrufen;
4.3.13 10. die Rückgabe überlassener
Datenträger und die Löschung
beim Auftragnehmer gespeicher-
ter Daten nach Beendigung des
Auftrags.
ISO 27002, 6.2.3
b) (s.o.)
5) Maßnahmen, um die Rückgabe oder Vernichtung von Informationen und Werten bei
Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit
sicherzustellen;
4.3.14 Er kann bei öffentlichen Stellen auch
durch die Fachaufsichtsbehörde erteilt
werden. Der Auftraggeber hat sich vor
Beginn der Datenverarbeitung und
sodann regelmäßig von der Einhal-
tung der beim Auftragnehmer getroffe-
nen technischen und organisatori-
schen Maßnahmen zu überzeugen.
Das Ergebnis ist zu dokumentieren.
ISO 27002, 6.2.3
o) das Recht, die vertraglich festgelegten Verantwortlichkeiten zu überprüfen, diese
Prüfungen durch unabhängige Dritte durchführen zu lassen, und die satzungsgemäßen
Rechte der Prüfer zu benennen;
hier auch:
ISO 27001, Anhang A
A.10.2.2 Überwachung und Überprüfung der Dienstleistungen von Dritten
Maßnahme
Die von Dritten gelieferten Dienstleistungen, Berichte und Aufzeichnungen müssen
regelmäßig überwacht und überprüft werden, und Audits sollten regelmäßig durchgeführt
werden.
32 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr.
Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme – Anforderungen
Ergänzt durch:
ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren –
Leitfaden für das Informationssicherheits-Management
4.3.15 (3) Der Auftragnehmer darf die Daten
nur im Rahmen der Weisungen des
Auftraggebers erheben, verarbeiten
oder nutzen.
Ist er der Ansicht, dass eine Weisung
des Auftraggebers gegen dieses
Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den
Auftraggeber unverzüglich darauf
hinzuweisen.
ISO 27002
10.2.1 Erbringung von Dienstleistungen
Maßnahme
Es sollte sichergestellt sein, dass die Sicherheitsmaßnahmen, Leistungsbeschreibungen
und der Grad der Lieferungen, die in der Liefervereinbarung mit Dritten enthalten sind, von
den Dritten umgesetzt, durchgeführt und eingehalten werden.
4.3.16 (4) Für den Auftragnehmer gelten
neben den §§5, 9, 43 Abs. 1 Nr. 2, 10
und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie §44 nur die Vorschriften über
die Datenschutzkontrolle oder die
Aufsicht, und zwar für
ISO 27001
A.6.1.6 Kontakt zu Behörden
Maßnahme
Geeignete Kontakte zu relevanten Behörden müssen gepflegt werden.
4.3.17 1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei
denen der öffentlichen Hand
die Mehrheit der Anteile
gehört oder die Mehrheit der
Stimmen zusteht und der
Auftraggeber eine öffentliche
Stelle ist, die §§18, 24 bis 26
oder die entsprechenden
Vorschriften der Datenschutz-
gesetze der Länder,
2. die übrigen nicht-öffentlichen
Stellen, soweit sie personen-
bezogene Daten im Auftrag als
Dienstleistungsunternehmen
geschäftsmäßig erheben,
verarbeiten oder nutzen, die
§§4f, 4g und 38.
(keine Entsprechung in ISO 27001/27002)
4.3.18 (5) Die Absätze 1 bis 4 gelten ent-
sprechend, wenn die Prüfung oder
Wartung automatisierter Verfahren
oder von Datenverarbeitungsanlagen
durch andere Stellen im Auftrag vor-
genommen wird und dabei ein Zugriff
auf personenbezogene Daten nicht
ausgeschlossen werden kann.
ISO 27002
6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten
Maßnahme
Vereinbarungen mit Dritten, die den Zugriff, die Verarbeitung, Kommunikation oder
Administration von Informationen oder informationsverarbeitenden Einrichtungen der
Organisation betreffen, oder die Bereitstellung von Produkten oder Dienstleistungen für
informationsverarbeitende Einrichtungen, sollten alle relevanten Sicherheitsanforderungen
abdecken.
4.3.19 Öffentliche und nicht-öffentliche
Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben,
verarbeiten oder nutzen, haben die
technischen und organisatorischen
Maßnahmen zu treffen, die erforder-
lich sind, um die Ausführung der
Vorschriften dieses Gesetzes, ins-
besondere die in der Anlage zu
diesem Gesetz genannten Anforde-
rungen, zu gewährleisten. Erforderlich
sind Maßnahmen nur, wenn ihr
Aufwand in einem angemessenen
Verhältnis zu dem angestrebten
Schutzzweck steht.
A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen
Maßnahme
Datenschutz und Vertraulichkeit müssen sichergestellt werden, wie in einschlägigen
Gesetzen, Vorschriften und ggf. Vertragsklauseln gefordert.
unter Berücksichtigung von Standards 33
Nr.
Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme – Anforderungen
Ergänzt durch:
ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren –
Leitfaden für das Informationssicherheits-Management
Anlage zu §9 Satz 1 des BDSG ISO 27002, 15.1.4
4.3.20 Werden personenbezogene Daten
automatisiert verarbeitet oder genutzt,
ist die innerbehördliche oder inner-
betriebliche Organisation so zu
gestalten, dass sie den besonderen
Anforderungen des Datenschutzes
gerecht wird. Dabei sind insbesondere
Maßnahmen zu treffen, die je nach der
Art der zu schützenden personen-
bezogenen Daten oder Daten-
kategorien geeignet sind,
Die Einhaltung dieser Leitlinie und aller einschlägigen Datenschutzgesetze und Vorschrif-
ten verlangt eine angemessene Managementstruktur und Kontrolle. Oft geschieht dies am
besten durch die Ernennung eines Datenschutzbeauftragten, der Führungskräfte, Benutzer
und Dienstleister über ihre einzelnen Verantwortlichkeiten und über die spezifischen
Verfahren berät, die einzuhalten sind. Die Verantwortung für den Umgang mit persönlichen
Daten und die Sensibilisierung für die Prinzipien des Datenschutzes sollten in Übereinstim-
mung mit den geltenden Gesetzen und Vorschriften angegangen werden. Angemessene
technische und organisatorische Maßnahmen zum Schutz personenbezogener Informa-
tionen sollten umgesetzt werden.
4.3.21 1. Unbefugten den Zutritt zu Daten-
verarbeitungsanlagen, mit denen
personenbezogene Daten verar-
beitet oder genutzt werden, zu
verwehren (Zutrittskontrolle),
ISO 27002, 6.2.3
i) Richtlinie zur Zugangskontrolle, einschließlich:
1) die unterschiedlichen Gründe, Anforderungen und Vorteile, die den Zugang von Dritten
notwendig machen;
2) zulässige Zugangsmethoden und die Kontrolle und Benutzung eindeutiger Kennungen
wie Benutzerkennungen und Passwörter;
3) ein Berechtigungsprozess für Benutzerzugriff und -privilegien;
4) die Anforderung, eine Liste zu pflegen, welche Personen zur Benutzung der zur Verfü-
gung gestellten Dienste berechtigt sind, und welches ihre Rechte und Privilegien im
Rahmen dieser Benutzung sind;
5) eine Erklärung, dass jeglicher Zugang verboten ist, der nicht ausdrücklich erlaubt ist;
6) einen Prozess, Zugangs- und Zugriffsrechte zu entziehen oder die Verbindung zwi-
schen Systemen zu unterbrechen;
Siehe hierzu auch:
ISO 27001, Anhang A
A. 8.3.3 Aufheben von Zugangsrechten
A. 9.1 Sicherheitsbereiche
A. 11 Zugangskontrolle
A. 12.4.3 Zugangskontrolle zu Quellcode
4.3.22 2. zu verhindern, dass Datenverar-
beitungssysteme von Unbefugten
genutzt werden können
(Zugangskontrolle),
4.3.23 3. zu gewährleisten, dass die zur
Benutzung eines Datenverarbei-
tungssystems Berechtigten
ausschließlich auf die ihrer
Zugriffsberechtigung unterliegen-
den Daten zugreifen können, und
dass personenbezogene Daten
bei der Verarbeitung, Nutzung und
nach der Speicherung nicht
unbefugt gelesen, kopiert, verän-
dert oder entfernt werden können
(Zugriffskontrolle),
4.3.24 4. zu gewährleisten, dass personen-
bezogene Daten bei der elektro-
nischen Übertragung oder
während ihres Transports oder
ihrer Speicherung auf Datenträ-
ger nicht unbefugt gelesen,
kopiert, verändert oder entfernt
werden können, und dass über-
prüft und festgestellt werden kann,
an welche Stellen eine Übermitt-
lung personenbezogener Daten
durch Einrichtungen zur Daten-
übertragung vorgesehen ist
(Weitergabekontrolle),
ISO 27001, Anhang A
A. 8.3.2 Rückgabe von organisationseigenen Werten
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode
A.10.8 Austausch von Informationen
A.10.8.1 Regelwerke und Verfahren zum Austausch von Informationen
A.10.8.2 Vereinbarungen zum Austausch von Informationen
A.10.8.3 Transport physischer Medien
A.10.8.4 Elektronische Mitteilungen/Nachrichten (Messaging)
A.10.8.5 Geschäftsinformationssysteme
4.3.25 5. zu gewährleisten, dass nachträg-
lich überprüft und festgestellt
werden kann, ob und von wem
personenbezogene Daten in
Datenverarbeitungssysteme
eingegeben, verändert oder
entfernt worden sind
(Eingabekontrolle),
ISO 27001, Anhang A
A.12.2.1 Überprüfung von Eingabedaten
Maßnahme
Die Daten, die in Anwendungen eingegeben werden, müssen überprüft werden, um
sicherzustellen, dass diese Eingaben korrekt und angemessen sind.
34 ISACA-Prüfleitfaden Auftragsdatenverarbeitung
Nr.
Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder
Nutzung personenbezogener
Daten im Auftrag
ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme – Anforderungen
Ergänzt durch:
ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren –
Leitfaden für das Informationssicherheits-Management
4.3.26 6. zu gewährleisten, dass personen-
bezogene Daten, die im Auftrag
verarbeitet werden, nur ent-
sprechend den Weisungen des
Auftraggebers verarbeitet werden
können (Auftragskontrolle),
ISO 27002
10.2.1 Erbringung von Dienstleistungen
Maßnahme
Es sollte sichergestellt sein, dass die Sicherheitsmaßnahmen, Leistungsbeschreibungen
und der Grad der Lieferungen, die in der Liefervereinbarung mit Dritten enthalten sind, von
den Dritten umgesetzt, durchgeführt und eingehalten werden.
4.3.27 7. zu gewährleisten, dass personen-
bezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt
sind (Verfügbarkeitskontrolle),
ISO 27001, Anhang A
A.9 Physische und umgebungsbezogene Sicherheit
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode
A.10.5.1 Backup von Informationen
Maßnahme
Backup-Kopien von Informationen und von Software müssen regelmäßig, im Einklang mit
der akzeptierten Backup-Methode, erstellt und getestet werden.
A. 14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management)
4.3.28 8. zu gewährleisten, dass zu unter-
schiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden
können.
ISO 27001, Anhang A
A.11.6.2 Isolation sensibler Systeme
A 11.4.5 Trennung von Netzwerken
Maßnahme
Sensible Systeme müssen sich in einer dedizierten (isolierten) Umgebung befinden.
Gegebenenfalls auch:
A.10.1.3 Aufteilung von Verantwortlichkeiten
4.3.29 Eine Maßnahme nach Satz 2
Nummer 2 bis 4 ist insbesondere
die Verwendung von dem Stand
der Technik entsprechenden
Verschlüsselungsverfahren.
ISO 27001, Anhang A
A.12.3 Kryptographische Maßnahmen
A.12.3.1 Leitlinie zur Anwendung von Kryptographie
A.12.3.2 Verwaltung kryptographischer Schlüssel
4.3.30 Zur Verbesserung des Datenschutzes
und der Datensicherheit können
Anbieter von Datenverarbeitungs-
systemen und -programmen und
datenverarbeitende Stellen ihr Daten-
schutzkonzept sowie ihre technischen
Einrichtungen durch unabhängige und
zugelassene Gutachter prüfen und
bewerten lassen sowie das Ergebnis
der Prüfung veröffentlichen. Die nähe-
ren Anforderungen an die Prüfung und
Bewertung, das Verfahren sowie die
Auswahl und Zulassung der Gutachter
werden durch besonderes Gesetz
geregelt.
ISO 27001, Anhang A
A.10.2.2 Überwachung und Überprüfung der Dienstleistungen von Dritten
Maßnahme
Die von Dritten gelieferten Dienstleistungen, Berichte und Aufzeichnungen müssen
regelmäßig überwacht und überprüft werden, und Audits sollten regelmäßig durchgeführt
werden.
unter Berücksichtigung von Standards 35
Anhang Bundesdatenschutzgesetz (BDSG)
§11 Erhebung, Verarbeitung oder Nutzung personenbe-
zogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch
andere Stellen erhoben, verarbeitet oder genutzt, ist der
Auftraggeber für die Einhaltung der Vorschriften dieses
Gesetzes und anderer Vorschriften über den Datenschutz
verantwortlich. Die in den §§6, 7 und 8 genannten
Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichti-
gung der Eignung der von ihm getroffenen technischen
und organisatorischen Maßnahmen sorgfältig auszuwäh-
len. Der Auftrag ist schriftlich zu erteilen, wobei insbe-
sondere im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehe-
nen Erhebung, Verarbeitung oder Nutzung von Da-
ten, die Art der Daten und der Kreis der Betroffenen,
3. die nach §9 zu treffenden technischen und organisa-
torischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftrag-
nehmers, insbesondere die von ihm vorzunehmenden
Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unter-
auftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die ent-
sprechenden Duldungs- und Mitwirkungspflichten
des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der
bei ihm beschäftigten Personen gegen Vorschriften
zum Schutz personenbezogener Daten oder gegen die
im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der
Auftraggeber gegenüber dem Auftragnehmer vorbe-
hält,
10. die Rückgabe überlassener Datenträger und die
Löschung beim Auftragnehmer gespeicherter Daten
nach Beendigung des Auftrags.
Er kann bei öffentlichen Stellen auch durch die Fachauf-
sichtsbehörde erteilt werden. Der Auftraggeber hat sich
vor Beginn der Datenverarbeitung und sodann regelmä-
ßig von der Einhaltung der beim Auftragnehmer getroffe-
nen technischen und organisatorischen Maßnahmen zu
überzeugen. Das Ergebnis ist zu dokumentieren.
(3) Der Auftragnehmer darf die Daten nur im Rahmen
der Weisungen des Auftraggebers erheben, verarbeiten
oder nutzen. Ist er der Ansicht, dass eine Weisung des
Auftraggebers gegen dieses Gesetz oder andere Vorschrif-
ten über den Datenschutz verstößt, hat er den Auftragge-
ber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§5, 9, 43
Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3
sowie §44 nur die Vorschriften über die Datenschutz-
kontrolle oder die Aufsicht, und zwar für
1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei denen der öffent-
lichen Hand die Mehrheit der Anteile gehört
oder die Mehrheit der Stimmen zusteht und der
Auftraggeber eine öffentliche Stelle ist, die §§18,
24 bis 26 oder die entsprechenden Vorschriften
der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen Stellen, soweit sie per-
sonenbezogene Daten im Auftrag als Dienstleistungs-
unternehmen geschäftsmäßig erheben, verarbeiten
oder nutzen, die §§4f, 4g und 38.
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die
Prüfung oder Wartung automatisierter Verfahren oder
von Datenverarbeitungsanlagen durch andere Stellen im
Auftrag vorgenommen wird und dabei ein Zugriff auf
personenbezogene Daten nicht ausgeschlossen werden
kann.
dpunkt.verIag CmbH · kingstraße ¡ç 8 · D-6ç¡¡¶ HeideIberg
fon: o 6z z¡ / ¡o 8| oo · fax: ¡o 8| çç · e-maiI: besteIIung©dpunkt.de
dpunkt.it & business
www.dpunkt.de
zo¡o, z¡8 5eiten
E;ó,oo (0)
l53N ¤,8-;-8¤8óa-óa,-,
zo¡o, ;¡a 5eiten
Eaó,oo (0)
l53N ¤,8-;-8¤8óa-ó,,-o
zo¡o, z8z 5eiten
E;¤,¤o (0)
l53N ¤,8-;-8¤8óa-ó,¡-z
zo¡o, ¡,z 5eiten
E;¤,¤o (0)
l53N ¤,8-;-8¤8óa-óó,-;
zo¡¡, z,ó 5eiten
Ez¤,¤o (0)
l53N ¤,8-;-8¤8óa-ó,a-;
zo¡¡, ;,ó 5eiten
z. Auhcqe
Eaa,¤o (0)
l53N ¤,8-;-8¤8óa-ó¡ó-¡
zo¡¡, ;óo 5eiten
a. Auhcqe
E az,¤o (0)
l53N ¤,8-;-8¤8óa-,o;-8
.%5
zo¡¡, ¡,, 5eiten
E¡¤,¤o (0)
l53N ¤,8-;-8¤8óa-,¡,-,
.%5
Der deutsche Berufsverband ISACA Germany
Chapter e.V. hat ein Zertifkatsprogramm für
Fachkräfte entwickelt, die sich auf dem Gebiet
der IT-Governance und IT-Compliance
weiterbilden und darüber einen anerkannten
Nachweis erhalten wollen.
&2%,7XQG,7*RYHUQDQFH=HUWLÀNDWH
des ISACA Germany Chapters
b
e
r
e
i
t
s

ü
b
e
r

1
.
6
0
0




Z
e
r
t
i
ñ
k
a
t
s
i
n
h
a
b
e
r
Die COBIT-Zertifkate können beim ISACA Germany Chapter oder bei akkreditierten
Schulungsanbietern erworben werden. Die Zertifkate IT-Governance- und IT-Compli-
ance-Manager sind duale Zertifkate und werden ausschließlich in Zusammenarbeit mit
dem ISACA Germany Chapter bei der Frankfurt School of Finance & Management an-
geboten.
Sie stellen auch eine ideale Vorbereitung für die internationale ISACA-Zertifzierung
CGEIT dar.
Weitere Informationen zu den Zertiñkaten erhaIten Sie unter: www.isaca.de

2

Prüfleitfaden Auftragsdatenverarbeitung

Die Autoren dieses Prüfleitfadens sind: ◗ Dr. Aleksandra Sowa, ITCM, Deutsche Telekom AG ◗ Christian Funk, CISA, bDSB Schufa Holding AG ◗ Michael Trinkle, CISA, GaVI mbH ◗ Michael Morgenthaler, CISA, CISM, CIPP/IT, SAP AG ◗ Claus Baumgarten, CISA, bDSB NORDMILCH ◗ Knut Haufe, CISA, CISM, CGEIT, CRISC, CISSP, ISO 27001 Auditor (TÜV und BSI) | PMP, IS-Revisor (BSI), Geprüfter Datenschutzbeauftragter (SGS TÜV), PERSICON Consultancy GmbH ◗ Andreas H. Schmidt, CISA, zert. DSB TÜV SÜD, Flughafen Köln/Bonn GmbH ◗ Michael Neuy, CISA, CIA, CISM, CRISC, CP ONR 49003, ISMS Auditor (IRCA), GEZ Gebühreneinzugszentrale Der finale Entwurf des Prüfleitfadens wurde rezensiert (Review) durch: ◗ Klaus-Dieter Krause, CMC, CISA, CISM, DSB, MBCI, compliance-net GmbH ◗ Dipl.-Ing./M.Sc. Markus Bittner, CISM, CGEIT, ITGM, ITIL Service Manager, bDSB (GDD cert.), Straight Advisors Ltd. & Co. KG ◗ Markus Gaulke, CISA, CISM, CGEIT, CRISC, PMP, KPMG AG Wirtschaftsprüfungsgesellschaft Das Wort zum Geleit schrieb freundlicherweise ◗ Peter Schaar, Bundesbeauftragter für Datenschutz und Informationsfreiheit

Lektorat: Vanessa Wittmer Copy-Editing: Ursula Zimpfer, Herrenberg Satz & Herstellung: Birgit Bäuerlein Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck & Bindung: Wörmann PRODUCTION CONSULT, Heidelberg Copyright © 2011 ISACA Germany Chapter e.V. Postfach 18 03 99 60084 Frankfurt Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des ISACA Germany Chapter e.V. urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Leitfaden verwendeten Softund Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Leitfaden wurden mit größter Sorgfalt kontrolliert. Weder Autor noch ISACA Germany Chapter e.V. sowie der Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Leitfadens stehen.

unter Berücksichtigung von Standards

1

ISACA-Prüfleitfaden Auftragsdatenverarbeitung unter Berücksichtigung von Standards

Inhaltsübersicht
Geleitwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1. Formale Aspekte 1.1 1.2 1.3 5

Auftragsdatenverarbeitung Ja/Nein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Vertragliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Organisatorische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 8

2. Praxisteil 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11

Dokumentenstudium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Zutrittskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Zugangskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Weitergabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Eingabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Verfügbarkeitskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Trennungskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Auftragskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Organisationskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Sonstige Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 17 17

3. Dokumentation/Bewertung 4. Mapping der Anforderungen des §11 BDSG zu bekannten Standards 4.1 4.2 4.3 Anhang A Text des §11 BDSG in der Fassung vom 01.09.2009

BDSG und COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 BDSG und BSI IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 BDSG und ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

35

2

ISACA-Prüfleitfaden Auftragsdatenverarbeitung

Geleitwort
Liebe Leserinnen und Leser, die Auslagerung und Vergabe von Leistungen an spezialisierte Dritte gehört mittlerweile zum Alltagsgeschäft in Unternehmen und öffentlichen Stellen. Dies gilt auch und besonders im IT-Bereich. Bei dem IT-Outsourcing kann es sich – rechtlich gesehen – um Auftragsdatenverarbeitung nach §11 BDSG oder um eine Funktionsübertragung handeln. In beiden Fallkonstellationen kommt es darauf an, sowohl den Datenschutz als auch die IT-Datensicherheit ohne Einschränkungen zu gewährleisten, denn der Auftraggeber kann sich auch beim Outsourcing seiner Verantwortung für den Umgang mit Daten nicht entledigen. Auch wenn die Vorgaben von §11 BDSG formal nicht für die Funktionsübertragung gelten, sollten dessen Anforderungen deshalb auch in diesem Fall beherzigt werden. §11 BDSG hat im vergangenen Jahr umfangreiche Änderungen erfahren. Der Gesetzgeber hat hiermit auf die Defizite bei der praktischen Umsetzung der gesetzlichen Vorgaben reagiert. Die Vorschrift regelt nun explizit, welchen Anforderungen die Ausgestaltung des Datenverarbeitungsauftrags zwingend genügen muss. Daneben hat der Gesetzgeber die Kontrollpflichten des Auftraggebers dahingehend konkretisiert, dass der Auftraggeber die Einhaltung der technischen und organisatorischen Maßnahmen schon vor Beginn und sodann regelmäßig überprüfen muss. Auftraggeber werden in Zukunft besonderes Augenmerk auf die Einhaltung dieser Vorgaben legen müssen, da in §43 Absatz 1 Nummer 2b BDSG ein Bußgeldtatbestand speziell für Pflichtverletzungen bei der Auftragsdatenverarbeitung geschaffen wurde. Besondere Sorgfalt ist dann angebracht, wenn das Outsourcing in »Drittländer« außerhalb des Europäischen Wirtschaftsraums erfolgen soll. Ein solches Vorhaben ist nur zulässig, wenn beim Vertragspartner ein angemessenes Datenschutzniveau im Sinne der EG-Datenschutzrichtlinie gewährleistet wird. Dies gilt in verstärkter Weise bei verteilten Anwendungen, die unter dem Begriff »Cloud Computing« subsumiert werden. Liebe Leserinnen und Leser, mit dem Prüfleitfaden gibt Ihnen die ISACA ein hilfreiches Dokument an die Hand, bei dessen Anwendung und praktischer Umsetzung ich Ihnen viel Spaß und Erfolg wünsche. Allerdings darf dabei nicht vergessen werden, dass eine schematische Abarbeitung der darin enthaltenen Prüffragen nicht ausreicht und letztlich die konkrete Konstellation berücksichtigt werden muss.

Peter Schaar
Bundesbeauftragter für Datenschutz und Informationsfreiheit

Band) oder halbleitergebunden (SD-Karte.S.B. BSI IT-Grundschutz oder ISO 27xxx durchführt. wenn im Rahmen von Wartungsarbeiten.) ist. Mikrofilm oder CD-R oder mehrfach beschreibbar/ löschbar. wie z. Die fallweise Ausgestaltung der Prüfung dabei natürlich risikoorientiert anzulegen und richtet sich nach den jeweils vorgefundenen Gegebenheiten in Bezug auf das Kontrollumfeld. Es wird lediglich eine (Teil-)Funktion des eigentlichen Verfahrens ausgelagert. SD-Karten oder CDRW. Write Once Read More).h. via Fernwartung. Auftragnehmer/Auftraggeber: Der Auftragnehmer (AN) erhebt. ◗ Die durch den Auftragnehmer durchgeführte Verarbeitung wird nur und ausschließlich durch die verantwortliche Stelle nach außen hin vertreten. z. Darüber hinaus sind die Regelungen des §11 (1)-(4) zur Auftragsdatenverarbeitung auch anzuwenden. so handelt es sich dabei um Auftragsdatenverarbeitung (ADV). Definitionen Auftragsdatenverarbeitung Wenn ein Unternehmen personenbezogene Daten. Weitere Kriterien. Datenträger: sind Medien. die betroffenen Arten von Daten. wie z. die in der Lage sind.2009 wurde §11 BDSG sowohl umfangreich um eine detaillierte Aufstellung der vertraglich festzulegenden Fakten als auch um eine (wiederkehrende) Prüfpflicht für den Auftraggeber/die verantwortliche Stelle (Text des §11 BDSG siehe Anlage A) erweitert. Festplatten. Dieser Leitfaden wurde als Praxishilfe durch die Fachgruppe Datenschutz des ISACA Germany Chapter e. Papier.V..B. USBStick). d. die eine Auftragsdatenverarbeitung charakterisieren: ◗ Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die Daten.unter Berücksichtigung von Standards 3 Vorwort Im Rahmen der Änderung des Bundesdatenschutzgesetzes vom 14. Neben der Darstellung der vom BDSG geforderten Prüfkriterien wird auch ein Mapping auf etablierte Standards zur Verfügung gestellt. ITSicherheit und Datenschutz eine Übersicht über die relevanten Themengebiete und die Abgrenzungen der datenschutzrechtlich erforderlichen Prüfung geben. das es dem Prüfer erleichtert. öffentlichen Stellen und Dienstleistern sowie speziell auch den Mitarbeitern aus den Bereichen Interne Revision. der Auftraggeber bleibt Herr der Daten und somit verantwortlich für die korrekte Einhaltung der Regelungen.B. ob es sich bei den durchgeführten ausgelagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV) handelt. DVD). Datenträger können einmal beschreibbar sein (WORM.isaca. der Zugriff auf personenbezogene Daten des Auftraggebers nicht ausgeschlossen werden kann. Der Auftragnehmer erhält keine Befugnis zur Verwendung der Daten zu eigenen Zwecken. Bei der ADV erfolgt keine Datenüberlassung. redundante Prüfungen zu minimieren. nicht jedoch das Verfahren selbst. die aufgrund eines schriftlichen Vertrages zu geben sind.d. (www. ◗ Es besteht ein ausdrückliches Nutzungsverbot für die personenbezogenen Daten über die Beauftragung hinaus. Art und Orte der Verarbeitung sowie die konkreten Vertragsbeziehungen.de) erstellt und soll Unternehmen. sofern er bereits unabhängig zum Datenschutz eine Prüfung gegen COBIT. .G. Informationen zu speichern. opto-elektronisch (CD. verarbeitet oder nutzt Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers (AG). durch eine andere Stelle außerhalb des Unternehmens (aber gegebenenfalls auch innerhalb des Konzerns/Unternehmensverbundes) unter bestimmten Rahmenbedingungen erheben. chemisch-optisch (Film). noch wird er verantwortliche Stelle und er muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten.08. Gängige Datenträger sind papiergebunden (Dokumente). magnetisch (Festplatte. hängt davon ab. verarbeiten oder nutzen lässt. für die es selbst »Verantwortliche Stelle« (i. Ob und welche Prüfungen im Detail durchzuführen sind.

Sie erteilt schriftliche Anweisungen zur Durchführung des Auftrages. Empfänger: ist jede Person oder Stelle. die Daten erhält. sondern auch die Aufgabe/das Verfahren. in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben. Dritte sind nicht der Betroffene sowie Personen und Stellen.B. sodass sie Dritten nicht zugänglich sind. wenn nicht nur die Verarbeitung von Daten. Eine datenschutzkonforme Vernichtung von Datenträger. der die rechtliche Verantwortung für die Verarbeitung der Daten hat – im Gesetzestext des BDSG als die »verantwortliche Stelle« bezeichnet.4 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Dritter: ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. dass die Daten dazu an den Auftragnehmer übermittelt werden.und Ausschussmaterial wird ggf. Hierzu legt der Gesetzgeber Erlaubnistatbestände fest. . im Einzelfall beauftragt. verarbeiten oder nutzen. die im Inland. Test. zu dessen Erfüllung die Datenverarbeitung notwendig ist. Übergebene/überlassene Daten/-träger mit Daten: Übergebene/überlassene Daten/-träger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des AG. Safe-Harbor-Vereinbarung oder Standardvertragsklauseln). Verantwortliche Stelle: ist jede Person oder Stelle. Funktionsübertragung: Für den Begriff »Funktionsübertragung« gibt es keine gesetzliche Definition und §11 BDSG gilt hier nicht. mit »rechtlicher Zuständigkeit« vollumfänglich und mit allen Verantwortlichkeiten an eine dritte Stelle abgegeben wird. Das Unternehmen bleibt aber auch in diesem Fall Herr der Daten und muss die prinzipielle Rechtmäßigkeit der Transfers sicherstellen. spricht man von Sub-Auftragnehmern (Unterauftragsverhältnisse). Diese sind sorgfältig zu verwahren. Damit geht einher. verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. »Herr der Daten«: ist derjenige. Personenbezogene Daten: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Eine Beauftragung von Sub-Auftragnehmern durch den AN ist im Vertrag zu regeln. Dabei gehen auch alle Pflichten für den Schutz der personenbezo- genen Daten auf den Auftragnehmer über. spricht man vom Drittlandtransfer. personenbezogene Daten zu transferieren (z. Im Einzelfall muss der AN beim AG hierzu eine schriftliche Zustimmung einholen. Eine Funktionsübertragung findet dann statt. die es einem Unternehmen erst ermöglichen. Drittlandtransfer: Sofern Daten außerhalb des Europäischen Wirtschaftsraums (EWR) transferiert werden sollen. er wird Herr der Daten. anerkannte Drittstaaten. Sub-Auftragnehmer: Sofern der Auftragnehmer weitere eigene Dienstleister zur Erbringung der Leistung einschaltet. die personenbezogene Daten für sich selbst erhebt.

unter Berücksichtigung von Standards 5 1. wobei Nr. Der Begriff der Funktionsübertragung ist nicht eindeutig gesetzlich definiert. Handelt es sich dagegen um eine Auftragsdatenverarbeitung behält der Auftraggeber die Entscheidungsbefugnis über die Daten.1 Auftragsdatenverarbeitung Ja/Nein der Dienstleister für das komplette Personalmanagement verantwortlich ist.3 mit »Ja« beantwortet werden oder ein Sachverhalt nach 1. Abs. In der alten Fassung war bereits eine sorgfältige (»unter Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen«) Auswahl des Dienstleisters gefordert. Formale Aspekte 1.und Mitwirkungspflichten des Auftragsnehmers« fordert.1. sind Verträge. Eine Funktionsübertragung kann z.4 Frage Verarbeitet der Auftragnehmer (im Folgenden »AN« genannt) personenbezogene Daten.1 – 1. Auftragsgegenstand. die vor dem 01. ggf. für die der Auftraggeber (im Folgenden »AG« genannt) rechtlich verantwortlich ist? Erfolgt die Verarbeitung der Daten durch den AN vollständig weisungsgebunden? Fehlt dem AN die Entscheidungsbefugnis über die Verwendung der Daten? Bestehen Wartungsverträge. die eine Abgrenzung der Begrifflichkeiten ermöglichen und – sofern die Fragen 1. Dokumenten des Auftragnehmers. die Einhaltung der Vorschriften des BDSG obliegt ihm eigenverantwortlich. bei denen der Zugriff auf personenbezogene Daten des Auftraggebers nicht ausgeschlossen werden kann? 1. Er ist »Herr der Daten«. im Rahmen eines Auswahlprozesses für einen Dienstleister) gewährleistet sein muss.a.2 1.2 Vertragliche Grundlage durch den Auftraggeber ist hier §11. im Falle des Outsourcings einer Personalstelle vorliegen. Als formale Voraussetzung für eine Prüfung .1. Eine genaue Beurteilung muss immer bezogen auf den Einzelfall vorgenommen werden.4 vorliegt – auf eine ADV hindeuten: Vor Beginn einer Prüfung der Auftragsdatenverarbeitung (ADV) ist zunächst zu klären.2009 in Kraft getretenen Novelle des BDSG wurde diese Bestimmung um eine Reihe von inhaltlichen Mindestanforderungen erweitert.1. dass die Verträge den formalen Anforderungen des §11 BDSG entsprechen. 1. technische und organisatorische Maßnahmen sowie Unterauftragsverhältnisse des Auftragnehmers zu beschreiben.1.1. Funktionsübertragung handelt.3 1. Die zentrale rechtliche Grundlage für die »Erhebung. Bei einer Funktionsübertragung ist der Dienstleister hinsichtlich des Umgangs mit den jeweiligen Daten weisungsfrei.B.09. Im Zuge der zum 01.1. anzupassen (kein Schutz von Altverträgen).1 1. Zusammenfassend ist festzustellen. Hinsichtlich der vertraglichen Ausgestaltung beschränkte sich das BDSG lediglich auf die allgemeine Forderung nach einer schriftlichen Auftragserteilung.09.1.2009 geschlossen wurden. Im Folgenden sind daher Fragestellungen aufgeführt. 2 Satz 7 zu nennen. Dauer. Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag« bildet §11 BDSG.B. Eine eindeutige Regelung dieses Punktes ist somit im Falle einer Prüfung wesentlich zur Gewährleistung des Zugangs zu allen relevanten Informationen bzw. dass bei Abschluss von Neuverträgen (z. Soweit noch nicht erfolgt. Nach neuer Fassung sind u. ob es sich bei der zu untersuchenden Abwicklung um eine Auftragsdatenverarbeitung oder um eine sog. sondern resultiert aus der Auslegung des BDSG. Art der Daten. da dieser die Festlegung der »Kontrollrechte des Auftraggebers und die entsprechenden Duldungs.

2. sind besondere Hürden zu überwinden!) Gibt es Unterauftragsverhältnisse? Ist die Vertragsdauer geregelt? Sind Sachverhalte wie z. Raumnummer.2.2. ohne Wissen des AG? Ist vertraglich geregelt.3 1. 5 2.2. Geschäftsgeheimnisse und Datensicherheitsmaßnahmen des AN)? Ist vertraglich geregelt.2.2. Rechenzentrum.19 9 5. dass der Auftraggeber – oder durch diesen beauftragte Dritte – jederzeit die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang kontrollieren kann.13 1. 14 4 10 5 7 BSI 4.12 1. wichtig: Wo ist der Sitz und der/die Orte der Auftragsausführung) Welcher Art ist der Einsatzort? (z. nicht gesetzeskonforme Weisungen durch den AG hinweisen muss? Ist vertraglich geregelt.20 1.14 1.9 1. 14 14 ISO 4.2.2. 14 4.und des Verarbeitungsortes im Vertrag festgelegt? Sind die Eigentumsverhältnisse an Soft. 1.2.2.2. 24 11 2 1 11 10. 4 2 4 12 13 1.2.2. Vernichtung durch den AN dem AG schriftlich zu bestätigen ist? Ist die Beauftragung von Subunternehmern durch den AN vertraglich geregelt? Der AN hat in diesem Falle vertraglich sicherzustellen.2.2 1. Sind die Mitarbeiter des AN auf das Datenschutzgeheimnis gemäß dem BDSG/relevanten LDSG verpflichtet? Ist vertraglich geregelt.2. 14 13.h. 14 10 5 7. dass nach Abschluss der vertraglichen Arbeiten durch den AN sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs.2.2. 5.2. 7 5 5 5 5 13 13 13 9 1 2 2 6 6 1. Büroraum) Wird der Auftrag im Ausland ausgeführt (wenn ja: EWR oder außerhalb des EWR. dass alle Aufträge schriftlich erteilt werden? Sind Vertraulichkeitsklauseln im Vertrag dokumentiert (z. dass die Datenträger des AN nach Abschluss der vertraglichen Arbeiten physisch zu löschen sind? Ist vertraglich geregelt. vertraglich geregelt? In welcher Form hat der AG das Recht. die im Zusammenhang mit dem Auftragsverhältnis stehen. dass der AN die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke kopiert oder Duplikate erstellt. dem AG auszuhändigen sind? Ist vertraglich geregelt.7 1.und Ausschussmaterial nach Abschluss der vertraglichen Arbeiten unverzüglich zu vernichten oder dem AG auszuhändigen ist? Ist vertraglich geregelt.2. dass Test. 26 2. Vergütung etc. 7 5 5 5 5 12 12 12 8 1. Datenverarbeitung in Privatwohnungen)? Ist vertraglich geregelt.23 6.18 1. Haftung.und Hardware geregelt? Ist der »Eigentumsvorbehalt« des AN an gespeicherten Daten und maschinellen Ergebnissen bei Nichterfüllung des Vertrages durch den AG geregelt? COBIT 4. Vertragsstrafen.2. wenn Daten außerhalb EWR verarbeitet werden. -verarbeitung oder -nutzung? Welche Art von Daten werden verarbeitet? Welcher Kreis von Betroffenen ist durch die Art der Daten bestimmt? Wo führt der AN den Auftrag aus? D. dass der AN den AG unverzüglich auf ggf.2.22 1.2. Art und Zweck der Datenerhebung.17 Frage Referenz zu den Mappings aus Kapitel 4 Was ist der Gegenstand des Auftrags? Was ist der Umfang. 9 10 1.15 1.2.8 1.oder Nutzungsergebnisse. dass der AG den AN informiert.1 1.2. an welchen Einsatzorten? (Anschrift. qualifizierte Bezeichnung des Speicherungs. dass die Löschung bzw. 5.6 1. Etage.2.2.21 1. wenn Fehler oder Unregelmäßigkeiten bei einer Prüfung der Auftragsergebnisse festgestellt werden? Ist vertraglich geregelt. dass der AN Auskünfte an Dritte oder den Betroffenen nur nach vorheriger schriftlicher Zustimmung durch den AG erteilen darf? Ist die genaue.4 1.26 1.25 1.28 .3 4 5 5 5 2 23 1 9 8 8 12.16 1. Weisungen gegenüber dem AN vorzunehmen und ist dies vertraglich geregelt? Ist vertraglich geregelt.B. insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme? Ist die Art und Weise der erlaubten Verarbeitung vertraglich geregelt (Stichwort Telearbeit.B.1 3 4 4 4 5 2 2 2 8 3 2 11.B. dass die mit dem AG vereinbarten Regelungen auch gegenüber Subunternehmern gelten.2 3 4 4 4 2.10 1.2.6 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr.5 1. dass der AN damit einverstanden ist. 5 1 8 3 2 11.24 1.27 1.2.11 1. 12 12 12 8 1.

3. Die Voraussetzungen.3 1.B.4 1. Die Qualität des Auswahl. 1. 10 5 2 2 5 5 5 5 5 5 1. Daneben gibt es in vielen Unternehmen IT-/InformationsSicherheitsbeauftragte bzw. Prüfprozesses beim Auftraggeber sowie die Qualität des Datenschutzkonzeptes beim Auftragnehmer hängen wesentlich von der diesbezüglichen organisatorischen Ausgestaltung auf beiden Seiten ab.2 5 5 ISO 4. Wurde der AN durch Überprüfung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt (§11 Abs.3.31 1.bzw. 10 1. interne Revision vorhanden? Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen ausgebildet und verfügen sie über angemessenes fachliches Know-how und eine angemessene persönliche Eignung? Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen in die Organisationsstruktur eingebunden (als Stabsstelle zur Organisationsleitung)? Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN frei von Interessenkonflikten (bspw.1 5 BSI 4. IT-Revisionen. 10 1.3. 7.3. 11 5 5 5 ISO 4.12 . 10 1. LDSG)? War bei der Auswahlüberprüfung der auftragnehmende DSB aktiv eingebunden? Gibt es beim AN einen Beauftragten für die IT-/Informationssicherheit? Existieren Vertretungsregelungen für die DV-Verantwortlichen? Ist eine IT-Revision bzw. die als Ansprechpartner zu einzelnen Themen herangezogen werden sollten.1 5. 5.3. Da das BDSG das rechtliche Fundament für die AuftragsdaNr.11 1.10 1. Trennung von der Umsetzung von Maßnahmen)? Siehe auch Kapitel 2.2.3.6 1. 7. Art.3. Verfügen die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN über angemessene Ressourcen zur Wahrnehmung ihrer Aufgabe? 5 5 2 2 1 1. Transportkontrolle sowie Protokollierung für den Datenträgertransport geregelt? Ist die Prüfung der Richtigkeit der Ergebnisse durch den AG geregelt? Sind Eskalationswege sowie entsprechende Sanktionen (z.9 Frage Referenz zu den Mappings aus Kapitel 4 COBIT 4.8 1.unter Berücksichtigung von Standards 7 Nr. in eine Prüfung eingebunden wird.2 1. die eine formelle Bestellung eines betrieblichen Datenschutzbeauftragten notwendig machen. 8.10. 5.3.29 1.3. sind eindeutig definiert (§4f BDSG). 11. dass der Datenschutzbeauftragte in den Auswahlprozess für einen Dienstleister bzw. 8. Vertragsstrafen) für Vertragsverletzungen und -störungen vereinbart? COBIT 4. 7. 7.3 1 20 1 1 1 1 1 14.2 5. 5.3 1 24 25 2. 5. 12 1.2. ist es folgerichtig.7 1. schriftliche Bestätigung. 30 1 1 1 1 Gibt es in der eigenen Organisation einen wirksam tätigen Beauftragten für die IT-/Informationssicherheit? Gibt es in der eigenen Organisation (AG) einen Datenschutzbeauftragten (im Folgenden »DSB« genannt) im Sinne des BDSG? Wurde beim AN ein DSB bestellt? Die Bestellung ist ein formeller Akt mit der Geschäftsführung und dem DSB.32 Frage Referenz zu den Mappings aus Kapitel 4 Sind die Weisungsberechtigten bei AG und AN geregelt? Sind die Verantwortung.3. 11 5 5 3.1 1.3.2. 1.5 1. 5 BSI 4.30 1.3.3 Organisatorische Grundlagen tenverarbeitung bildet.2. 2 Satz 1 BDSG/div. 11 1.

14 2.1.3 Nr. Ein »Patentrezept« kann an dieser Stelle nicht gegeben werden.1. diese ist aber aufgrund des Gesetzestextes und auch nach der entsprechenden Literatur nicht zwingend erforderlich.5 2.1.8 ISACA-Prüfleitfaden Auftragsdatenverarbeitung 2.1 Die Verarbeitung von personenbezogenen Daten im Auftrag erfordert. 10 5 5 5 5 5 5 5 5 5 5 5 1 1 1 21 22 23 24 25 26 27 27 20 27 20 ISO 4.6 2. Es sollte dokumentiert werden. Dies gilt sowohl für eine Erstprüfung als auch für die in §11 (3) BDSG geforderte regelmäßig wiederkehrende Kontrolle. Die nachfolgenden Prüfungsschritte sind weitestgehend sowohl bei einer VorOrt-Prüfung als auch bei einer reinen Dokumentenprüfung anwendbar.2 2.15 2.13 2. in der die Zutrittskontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation. 7 2. ihre Aktualität sowie eine erste grobe Beurteilung der inhaltlichen Qualität können als Indikatoren für das weitere Prüfungsvorgehen dienen. eine differenzierte Beschreibung des Berechtigungskonzeptes mit aktuellen Benutzer.17 Frage Referenz zu den Mappings aus Kapitel 4 Existiert ein Datensicherheitskonzept? Existiert eine Dokumentation der umgesetzten technischen und organisatorischen Maßnahmen? Existiert ein/e Verfahrensverzeichnis/übersicht des AN? Existiert eine Dokumentation. Liegt z.1 2.9 2.12 2. in der die Zugriffskontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation.8 2.1. COBIT 4. 5. ISMS)? .1.1. in der die Trennungskontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert für diese Auftragsdatenverarbeitung ein Datenschutz.B.oder BSI-Auditoren.und Berechtigungszuordnungen vor.1 5 5 BSI 4.1. in dem alle technischen und organisatorischen Maßnahmen dargestellt sind? Gibt es in der Organisation etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit (z.2 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5.16 2.1.1. die zur Beurteilung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen dienen können.3 2. in der die Weitergabekontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation. warum im Einzelfall eine Vor-Ort-Prüfung unterlassen wurde.4 2. in der die Eingabekontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation.B.und Sicherheitskonzept. in der die Verfügbarkeitskontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation. dass der Auftraggeber sich »… vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen« (§11 (3) BDSG) zu überzeugen hat.1.11 2.7 2. Dokumentenstudium Zentrale Grundlage für eine Prüfung sind alle Dokumentationen des Auftragnehmers. da §11 (3) BDSG hier einen relativ breiten Ermessensspielraum bietet. Wirtschaftsprüfer.1. Datenschutz-Auditoren). Der Umfang der vorliegenden Dokumentationen. in der die Zugangskontrolle und die dafür umgesetzten Maßnahmen geregelt sind? Existiert eine Dokumentation.1. vorliegende Prüfberichte Dritter (z.1. Praxisteil 2. Diese Formulierung weist auf eine Vor-Ort-Prüfung hin. ISO 27001. während ein offensichtlich veraltetes oder »zu knapp gehaltenes« Dokument zur Zutrittskontrolle eine Vor-Ort-Prüfung eher erforderlich macht.B. BSI Grundschutz/ISO 27001/Richtlinie Datenschutz)? Gibt es eine Planung für den Katastrophenfall? (BCM-Konzept) Welche Einrichtungen (Hardware/Software) setzt der AN zur auftragsgemäßen Bearbeitung der personenbezogenen Daten ein? Existieren Verpflichtungen nach §5 BDSG/§88 TKG? Liegen Tätigkeitsberichte des DSB vor? Existiert eine Risikoanalyse des Betriebs (ERM.1. 7. 7 1. ist ein Verzicht auf substanzielle Prüfungshandlungen unter Umständen vertretbar.1.1. 2.10 2. Zu beachten sind ggf.1.

Der Zugang zu Anlagen. 2.unter Berücksichtigung von Standards 9 2.10 2. -türen mit einer definierten Widerstandsklasse ◗ Lichtschächte ◗ Lüftungsöffnungen ◗ Rollos gegen Hochschieben gesichert ◗ Feuerleiter 5 5 5 5 5 5 5 5.7 2.und Alarmanlage.2. in dem die zutrittsberechtigten Mitarbeiter festgelegt sind? Pförtnerdienst (7 Bestehen Regelungen für Fremdpersonal. Bänder. Räumen und Einrichtungen.2.8 Existiert ein Zutrittskontrollsystem. Den gesicherten Zutritt zu den Betriebsgebäuden und -räumen sowie die Legitimation der Berechtigten gewährleistet der Auftragnehmer durch persönliche Kontrolle und den Einsatz von angemessenen wirksamen Nr.2. Zutrittskontrollen und Wegschließen) sowie logisch (durch Verschlüsselung und Geheimhaltung der Existenz) zu schützen.4 2. elektronischen Chipkarten. 8 5 5 21 21 21 21 21 5 5 21 2. verarbeitet oder genutzt werden.12 2. Türschließsystemen und technischen Überwachungseinrichtungen.2.1 2.3 21 Der unbefugte Zutritt zu Gebäuden. -schlösser.9 2.B. Archiv)? Wie ist der (RZ-)Zutritt gesichert? ◗ Vergitterte Fenster/Sicherheitsfenster.1 5 BSI 4.6 2. Die Zutrittsbefugnis ist eng an die unmittelbaren Erfordernisse der Aufgabenerledigung für den Auftraggeber gebunden. Schlüsseln und Ausweisen von Zugangskontrollsystemen ist besonders zu schützen.2 Zutrittskontrolle Zugangskontrollen wie z.13 Sind die Server in abschließbaren Serverschränken? Sind Datenträger Bestandteil eines Zutrittsschutzkonzepts? Sind gelagerte Notebooks unter Verschluss in gesicherten Räumen? Erfolgt die Aufbewahrung von Datensicherungen (z. wie Video. in denen personenbezogene Daten erhoben.2.B.11 2. Besucher? Ist die Begleitung von Gästen im Gebäude in einer Richtlinie geregelt? Sind differenzierte Sicherheitsbereiche/-zonen festgelegt (z.2. ist zu verhindern. Dritte sind während ihres Aufenthalts an solchen Orten zu begleiten oder anderweitig geeignet zu überwachen. Reinigungspersonal.2 Frage Referenz zu den Mappings aus Kapitel 4 Erfolgt eine Zutrittskontrolle für den Zutritt zum Betriebsgelände/Gebäude? Wenn ja welche? ◗ ◗ ◗ ◗ ◗ ◗ ◗ Magnetkarte/Chipkarte Schlüssel Werkschutz Überwachungseinrichtungen Video Alarmanlagen andere 24 Stunden)? 5 5 21 2. zu installieren.2.2 5 ISO 4. CDs) im zutrittsgeschützten Safe oder Räumen? Liegt eine Anweisung zur Ausgabe von Schlüsseln vor? 5 5 5 5 5 5 5 5 5 5 22 22 22 21 21 .B.2.2.2. für Server.2. Außerhalb gesicherter Rechenzentren sind personenbezogene Daten physisch (durch Geheimhaltung.5 2. Großrechner.2.2.3 2. Weiterhin sind geeignete und wirksame Überwachungseinrichtungen. COBIT 4.

.)? 5 5 11 . das Eindringen unbefugter Personen in die räumliche Umgebung der IT-Systeme zu verhindern.3. Integrität und Verfügbarkeit von Systemen und Anwendungen zur Verarbeitung von personenbezogenen Daten durch unbefugte Personen ist wirksam zu verhindern. ◗ im Fall der Kompromittierung sind Passworte zeitnah zu wechseln. Mit diesem hat sich der berechtigte Nutzer gegenüber dem System oder der Anwendung zu authentifizieren. das persönliche Benutzerkonto. Besonders sensible Daten sind in jedem Fall verschlüsselt zu speichern.3. COBIT 4. Insbesondere ◗ sind User-IDs eindeutig zu vergeben. Um Zugang zu den technischen Systemen. ◗ Passworte sind sicher zu speichern und zu übertragen.4 2.) eine erneute Authentisierung. Die Ausgestaltung.5 2. Scanner etc. Beim Verlassen von Computern müssen sich die Benutzer entsprechend abmelden.1 BSI 4. die als technische und organisatorische Prozesse etabliert werden sollten. Die Beeinträchtigung von Vertraulichkeit.3 Zugangskontrolle organisatorisch zu regeln. vom jeweiligen Vorgesetzten genehmigt und die Zuweisung dokumentiert werden. erkannt. analysiert und ggf.3.a.g.10 ISACA-Prüfleitfaden Auftragsdatenverarbeitung 2.2 ISO 4.3. ◗ Passworte sind ausreichend lang und komplex zu gestalten. ◗ Passworte sind regelmäßig zu wechseln.2 2.1 Frage Referenz zu den Mappings aus Kapitel 4 Die unbefugte Nutzung von IT-Systemen wird durch folgende Maßnahmen verhindert? ◗ ◗ ◗ ◗ User-ID Passwortvergabe Automatische Bildschirmsperre mit Passwortaktivierung Sonstige (bitte beschreiben) 5 5 22 2. technisch eingerichtet werden. Bei einer Passwortvergabe müssen Benutzer ausreichend sicher authentifiziert werden.B. um das Eindringen seitens unbefugter Dritter in die IT-Systeme zu verhindern (CERT. Smartcardeinsatz) Werden über alle Aktivitäten in den IT-Systemen automatisch Protokolle erstellt? Die Nutzung von IT-Systemen mithilfe von Einrichtungen der Datenübertragung durch Unbefugte wird durch folgende Maßnahmen verhindert oder zumindest nachvollziehbar gemacht: ◗ ◗ ◗ ◗ ◗ ◗ ◗ Standleitung Wählleitung mit automatischem Rückruf Teilnehmerkennung Ausweisleser Funktionelle Zuordnung einzelner Datenendgeräte Protokollierung der Systemnutzung und Protokollauswertung Sonstige Maßnahmen (bitte beschreiben) 5 5 5 5 5 5 5 5 23 23 23 11 5 5 26 2. muss ein kennwortgeschützter Benutzerstammsatz.3. Anwendungen und Netzwerken des Auftragnehmers zu erhalten.3 Im Gegensatz zur Zugriffskontrolle ist das Ziel der Zugangskontrolle. Incident-Management etc.6 Verfügt jeder Berechtigte über ein eigenes nur ihm bekanntes Passwort? Gibt es eine Richtlinie zur Vergabe und Nutzung von Passwörtern? Werden Passwörter verschlüsselt gespeichert? Sind weiter gehende Maßnahmen zum Identitätsmanagement vorgesehen? (z. A-priori-Maßnahmen (Passwortmanagement) ebenfalls Maßnahmen zur Schwachstellenfrüherkennung. Anwendungen und Kommunikationsverbindungen erzwingen beim Erreichen bestimmter Schwellwerte (maximale Sitzungsdauer. behoben. 2. ◗ User und Passworte sind in der Gültigkeitsdauer zu beschränken und bei Inaktivität zunächst zu sperren und später zu löschen.3.7 Werden neue Schwachstellen in den IT-Systemen gemeldet. Das Benutzerkonto muss formell beantragt.3 2. die Nutzung und der persönliche Umgang mit dem User und dem Kennwort ist vom Auftragnehmer in einer Passwortrichtlinie Nr. In Betracht kommende Maßnahmen umfassen neben den o.3. Fehlanmeldungen u. deren Einhaltung technisch unterstützt wird.

wie Berechtigungen beantragt. Penetrationstest)? Gibt es definierte organisatorische und technische Verfahren und Methoden zum IncidentManagement (Management von erkannten oder vermuteten Sicherheitsvorfällen bzw.3.4. Programmentwicklung eine Funktionstrennung (Test. Störungen. Löschen.unter Berücksichtigung von Standards 11 Nr. in dem verbindlich geregelt ist. Verarbeitung und Nutzung von personenbezogenen Daten dienen.10 .5 2.4.9 2.4 Zugriffskontrolle instanzen zu integrieren.4. umgesetzt und wieder entzogen werden? Ist im Rahmen dieses Berechtigungsmanagements manipulationssicher nachweisbar. Ausfällen etc. die zur Erhebung.1 5 5 5 BSI 4.2 2. freigegeben.3 2. Dazu sind den Zugriffsberechtigungen aufgabenbezogene Berechtigungskonzepte.10 Frage Referenz zu den Mappings aus Kapitel 4 Gibt es definierte und wirksame Verfahren für die Fachabteilungen und Technik im Fall eines (erfolgten) externen Angriffs auf relevante Daten und Systeme? Werden IT-Systeme auf die Wirksamkeit (Effektivität) eingesetzter Maßnahmen gegen das Eindringen seitens unbefugter Dritter getestet (z. Eine Zugriffsberechtigung ist auf Basis des Rollenkonzepts zu beantragen und vom Vorgesetzten zu genehmigen.2 5 5 5 5 5 5 5 5 5 5 ISO 4. 2. Active Directory. zu verwenden.)? Liegt ein Konzept der Laufwerksnutzung und -zuordnung vor? Liegt eine eindeutige Zuordnung zwischen jedem Datenträger (Laufwerk etc.3. 2. für Lesen. Die Rollen von System. In den Genehmigungsprozess sind weitere KontrollNr.4. RACF.4. Bestehende Benutzerkonten sind in regelmäßigen Abständen und bei Änderung von Aufgaben von Benutzern zu überprüfen und entsprechend zu löschen oder zu ändern. Vertretungen sind nur im Rahmen der geltenden Richtlinien zu erlauben. sind zu verhindern.4.4 2.und Dateibenutzung protokolliert und ausgewertet (Stichproben)? Erfolgt bei einer evtl. bei Gruppenlaufwerken)? Ist die Wiederherstellung von Daten aus Backups (wer darf wann auf wessen Anforderung Backup-Daten einspielen?) in einem verbindlichen Verfahren geregelt? Wird die Programm. wer wann welche Berechtigungen innehatte? Bestehen differenzierte Berechtigungen (z. Zur technischen Zugriffssicherung hat der Auftragnehmer anerkannte Sicherheitssysteme. Ändern)? Bestehen differenzierte Berechtigungen für Daten. z.3. Benutzerprofile und Funktionsrollen zugrunde zu legen.8 2.B.9 2.2 5 5 5 ISO 4. Die Verantwortlichkeit für Benutzerkonten muss klar zugewiesen werden.und Sicherheitsadministratoren (Einrichten von Zugriffen und Konfiguration von Sicherheitsparametern) sind zu trennen. Anwendungen und Betriebssystem? Besteht eine funktionelle/personelleTrennung von Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (techn.)? COBIT 4. COBIT 4.und Produktionsumgebung)? Werden sog.1 5 5 5 5 5 5 5 5 5 5 BSI 4.4.7 2.4. Zugriffsberechtigungen sind beim Auftragnehmer nach den Prinzipien »need-to-know« und »need-to-do« zu erteilen. Superuser eingesetzt und erfolgt Monitoring bzw.B.3 11 30 11 2. regelmäßige Kontrollen von Aktivitäten.B.3 23 23 23 23 24 24 27 11 23 23 Unerlaubte Tätigkeiten in DV-Systemen und mit DVAnwendungen.4. die mithilfe dieser Benutzerkonten durchgeführt werden? 2.8 2.1 Frage Referenz zu den Mappings aus Kapitel 4 Besteht ein dokumentiertes Berechtigungsmanagement.6 2.4.) und einem Berechtigten vor (insb.

5.5.B. Abteilungen) ein Problem dar? Sind betroffene Mitarbeiter darüber informiert. eingesetzten magnetischen Datenträger während des Transports zerstören? Stellt die Anzahl der am jeweiligen Transport beteiligten Personen und Stellen (z.6 2. wird durch Nr.B. wie Datenträger zu transportieren sind? Ist geregelt.13 2. bei Wartungsverträgen? Welche Versendungsart der Daten besteht zwischen AG und AN? ◗ ◗ ◗ ◗ ◗ ◗ Datenträgertransport (z. Herkunft und Ziel der Übertragung dokumentiert.3 24 24 Aspekte im Zusammenhang mit der Weitergabe personenbezogener Daten innerhalb und außerhalb der DVSysteme und DV-Anwendungen sind zu regeln. insbesondere bei der Kommunikation im Internet. Firewallsysteme und ständig aktualisierte Virensoftware werden neben einer Secure-Socket-Layer-Verschlüsselung (SSL) und unter Verwendung von VPN-Technologie eingesetzt. für den AG genutzt werden. COBIT 4. FTP. 1 1 24. fremde Netze und Funknetze). z.5. Verlust von Datenträgern) auftreten? Wird der Versand bzw. 15 24.16 Werden die Daten beim Transport zwischengelagert? Wenn Ja: Wo werden diese zwischengelagert und welche Sicherheitsmaßnahmen sind vorhanden? Wie wird verhindert.B. wird Dritten der Zugriff auf Daten des AG durch den AN ermöglicht? Erhält der AN Daten vom AG.1 5 5 BSI 4.2 5 5 ISO 4. Art.14 2. dass magnetische Störstrahlung die ggf. Datenträger werden außerhalb des Verfügungsbereichs des Auftragnehmers nur verschlüsselt transportiert. was passieren muss.5.12 2. 11 24 24 24.1 2.7 2. 12.5 2.5.5.11 2.2 2. zuverlässiger Boten/Kurier) Verpackungs.5.B.9 2. Empfängerkontrolle (Nachvollziehbarkeit von beabsichtigten Übertragungen) Jeder automatisierte Datenaustausch mit fremden Systemen und Netzen wird mit Zweck. Datenträger-Begleitzettel) 5 5 24 2. Verschlüsselungsverfahren müssen ausreichend sowie korrekt implementiert sein.5.5.12 ISACA-Prüfleitfaden Auftragsdatenverarbeitung 2.4 Sind weitere Maßnahmen für Übermittlung/Transport von Daten festgelegt? ◗ Entgegennahme und Rückmeldung ◗ Vollständigkeits-/Richtigkeitsprüfung ◗ Protokollierung (z.10 2. Formular)? Liegt eine Netzwerkdokumentation für die Übermittlungswege vor? Sind zur Übermittlung/Transport der Daten Befugte festgelegt? Erfolgt eine Legitimationsprüfung der Berechtigten? Werden Datenträger.B. 23 . VPN (Verschlüsselung) Datenleitung 5 5 29 2.5. 9 24. 6 24.5 Weitergabekontrolle Authentisierung und Verschlüsselung gewährleistet.B. 2.5. Die Vertraulichkeit von personenbezogenen Daten. Transport der Datenträger dokumentiert (z. die außerhalb des Verfügungsbereichs des Auftragnehmers gelangen (z.3 Frage Referenz zu den Mappings aus Kapitel 4 Werden Daten vom AN an den AG oder Dritte gesendet bzw.5. Protokoll wer wann welche Informationen erhalten hat)? Wenn ja wie bzw.5.5.B.5. besonders gekennzeichnet und unterliegen diese der laufenden – automatisierten – Verwaltung? Wird Eingang und Ausgang der Datenträger lückenlos dokumentiert? Wer hat in welcher Art und Weise Zugang zu/Zugriff auf diese Dokumentation? 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 24 24 24 24.in welcher Form (z. wenn beim Datenträgertransport Fehler (z. die vom AG stammen bzw.B.15 2. Post.und Versandanschrift Transportbegleitung und geschlossene Behältnisse Datenverschlüsselung E-Mail. Technisch (Schutz bei der Speicherung und Übertragung von Daten) Der Auftragnehmer stellt die Integrität der personenbezogenen Daten bei der Speicherung und Weitergabe innerhalb der DV-Systeme und DV-Anwendungen durch Plausibilitätsprüfungen und/oder Verifizierungsverfahren sicher.5.8 2.

Abstimmverfahren und Kontrollen.) oder unternehmenseigene Aufbewahrungsfristen festgelegt? 5 5 5 5 5 5 25 25 19.2 2.1 5 BSI 4.1 2.7. Darstellung der Notfallorganisation – klare Regelung der Verantwortlichkeiten im Notfall? Sind Ausweich-Rechenzentren vorhanden (Hot. gespiegelt.unter Berücksichtigung von Standards 13 2. 2. 1 2.5 Wird maschinell protokolliert.bzw. und die Nutzung von Audit-Werkzeugen wird auf autorisierte Anwender eingeschränkt.6.2 5 ISO 4.B. Systeme sind gegen (D)DoS-Angriffe von außen geschützt. Übergabe der (Daten-)Sicherungen? Erfolgt eine Festplattenspiegelung? Ist eine katastrophensichere Aufbewahrung der Datenträger sichergestellt? Existiert ein Notfall. Daten Nr. Protokolldaten werden sicher aufbewahrt. u. um Verfügbarkeitsverluste aufgrund von Systemüberlastungen zu verhindern.7. 2. Eine permanente Überwachung der Auslastungen der Systeme sowie Maßnahmen zur Lastverteilung werden durchgeführt. Die Kontrollen sind an den Sicherheitsanforderungen der Datenverarbeitung zu orientieren.5 Frage Referenz zu den Mappings aus Kapitel 4 Existiert ein angemessenes Backup. Batteriepufferung (USV) und Generator gegen Stromausfälle sowie Klimatisierung und Schutz gegen sonstige schädliche Umweltund Sabotage-Einwirkungen.4 2.4 2. durch Systemredundanz. COBIT 4. Die Protokolle werden entsprechend den Inhalten und/oder gesetzlichen Vorgaben archiviert oder nach Nr. Löschen ◗ Teilzugriff auf Daten bzw.6 2. bei Flooding-Versuchen) abgewiesen? 2. Die entsprechenden Einrichtungen werden wie auch alle anderen technischen Installationen regelmäßig gewartet und getestet. Cold Stand-by)? Gibt es eine USV-Anlage (unterbrechungsfreie Stromversorgung)? Werden unberechtigte Benutzer (z.3 23 Die Nachvollziehbarkeit bzw. 10 27 27. regelmäßig getestet und verfügbar vorgehalten. Ändern. Eingaben in die Systeme und Anwendungen durch Benutzer und Administratoren werden vom Auftragnehmer generell protokolliert und regelmäßig auf Auffälligkeiten geprüft.7 2.2 Frage Referenz zu den Mappings aus Kapitel 4 Sind die Benutzerberechtigungen für Eingabe (Profile) festgelegt? Sind die Benutzerberechtigungen differenziert? ◗ Lesen. mit täglicher Sicherung)? Gibt es eine Vereinbarung bzgl. 21 27 27 27 22 Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.7.und Wiederanlaufverfahren mit regelmäßiger Erprobung (BCM-Konzept)? Existiert ein Notfallhandbuch mit Notfallplänen. Der Auftragnehmer nutzt optimalerweise ortsgetrennte Backup-Rechenzentren. auch mehrfach.6.3 2. die überwiegend automatisiert sind.1 2. Ändern von Benutzerrechten)? Sind gesetzlich bestimmte (HGB u.8 .3 27 27.7.a.7.2 5 5 5 5 5 5 5 5 ISO 4.B.7 Verfügbarkeitskontrolle werden gegebenenfalls laufend. COBIT 4.1 5 5 5 5 5 5 5 5 BSI 4.a.7. Gespiegelte Daten werden beim Schreiben auf Korrektheit geprüft (Integritätsprüfung).7. Die Verfügbarkeit der Daten und Systeme wird in Rechenzentren durch geeignete Maßnahmen sichergestellt. Funktionen ◗ Feldzugriff bei Datenbanken 5 5 25 2.6.3 2.6. für die weitere Verarbeitung gesperrt.6 Eingabekontrolle Zweckerreichung gelöscht bzw. Zur verlässlichen Wiederherstellung bei gravierenden Störungen werden Ablaufdefinitionen für Kontinuitätspläne entwickelt.6.und Recoverykonzept (z. gewährleisten die Ordnungsmäßigkeit der Verarbeitung.7. wer was wann in der fachlichen Anwendung eingegeben hat? Erfolgt eine Protokollierung der Administratorentätigkeiten (Anlegen von Benutzern. Dokumentation der Datenverarbeitung ist zu gewährleisten.

9. Die Trennung von Produktions.1 5.9.9 Auftragskontrolle Abstimmung mit dem Auftraggeber definiert und technisch oder organisatorisch in die Betriebsabläufe eingebunden. Testdaten von Produktionssystemen dürfen nur nach Rücksprache mit dem Auftraggeber verwendet werden. §11 BDSG abgeschlossen? . 2. 7 5.8. Der Auftragnehmer verarbeitet die ihm überlassenen Daten nur gemäß den vertraglich vereinbarten Weisungen des Auftraggebers. 2. Merkblatt. und nur wenn die Sicherheit des Testsystems vergleichbar mit der des Produktivsystems ist.1 2.7. Frage Referenz zu den Mappings aus Kapitel 4 Nr.2 5 5 5 5 ISO 4. COBIT 4.1 2. 27 28.3 2. 7 8 8.4 Werden die Daten des AG und anderer Kunden beim AN physisch oder zumindest logisch getrennt verarbeitet? Werden die Daten des AG und anderer Kunden von unterschiedlichen Mitarbeitern beim AN verarbeitet? Erfolgen die Datensicherungen der AG-Daten auf separaten Datenträgern (ohne Daten anderer Mandanten)? Existiert ein Berechtigungskonzept. a.8 Trennungskontrolle Tests führen nicht zur Verringerung des Schutzniveaus von Vertraulichkeit. Gesetzestext)? Hat der AN einen Subunternehmer zur Erfüllung der Auftragsdatenverarbeitung eingesetzt? Falls ja. 23 Daten verschiedener Auftraggeber sind zumindest logisch getrennt zu verarbeiten.1 5 5 5 5 BSI 4.und Testsystemen. Der Datenverkehr zwischen ihnen ist auf den geregelten Verfahrensablauf begrenzt. 19 9 (26) 2 Es ist eine auftrags. Kontrollmaßnahmen werden in Nr.2 2. Es besteht eine Funktionstrennung zwischen Produktions.3 2. Firewalls.2 ISO 4. VLANs und DMZ.10 Gibt es ein Kapazitätsmanagement? Wurden Single-Points-of Failure identifiziert und durch angemessene Maßnahmen behandelt? 5 5 2 2.8.und Testnetzen ist durch geeignete und wirksame Maßnahmen (Proxies. Integrität oder Verfügbarkeit personenbezogener Daten.3 1. 2.2 2.B.3 28 28 28.9. 7 8 8.14 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr.2 5. 1 ISO 4. 2 2. Wurden mit Subauftragnehmern Auftragsdatenverarbeitungsverträge oder Datenschutzvereinbarungen gem.9 Frage Referenz zu den Mappings aus Kapitel 4 Schützen entsprechende Sicherheitssysteme (Software/Hardware) vor Überlastungsangriffen (DDoS)? ◗ ◗ ◗ ◗ Virenscanner Firewalls Spamfilter Verschlüsselungsprogramme COBIT 4. Unterauftragnehmer werden vom Auftraggeber nur nach den Vorgaben der vertraglichen Regelungen eingeschaltet.7.und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten. das der getrennten Verarbeitung der AG-Daten von Daten anderer Kunden/Mandanten Rechnung trägt? 2.9.) gewährleistet.1 BSI 4. gesetzliche Voraussetzungen) verpflichtet? Welche schriftliche Datenschutz-Informationen erhalten die Mitarbeiter des AN (z.3 5 5 27. Terminal Server etc. bitte nächste Frage beantworten. 5 BSI 4. 7 5.8. Systeme und Anwendungen sind speziell auf eine zweckgebundene Verarbeitung ausgerichtet. 29 2. COBIT 4.4 Frage Referenz zu den Mappings aus Kapitel 4 Sind die Mitarbeiter des AN auf das Datengeheimnis (§5 BDSG u.8.

Zugriffe in Abwesenheit)? Ist die Integrität und Vertraulichkeit der Protokolle sichergestellt? 5.a.2 2. bitte nächste Fragen beantworten. 13 12. Veränderung und Löschung von Funktionen und Aufgaben (sowie Folgeprozesse zur Funktionstrennung wie Kompetenzprofile) definiert? Werden die Aktivitäten der Mitarbeiter in IT-Systemen anonymisiert/pseudonymisiert (User/Login) protokolliert? Falls ja. Kompetenzprofile)? Ist zu jedem Zeitpunkt nachvollziehbar. die sich explizit auf die Ablauf. 6 BSI 4.und Awareness-Maßnahmen gefördert. 13 5. 7. 14 ner Aufgaben und Funktionen in einer Organisation gewährleistet. im Rahmen der Login. 4. 7. 6 5. im Kontext des BDSG relevante Kontrollen ergänzen. fixiert? Werden die festgelegten Funktionstrennungen technisch unterstützt (z. 5 2.10. 6 1. Der Umfang dieser Maßnahmen bestimmt sich nach der Größe des Unternehmens und seinen Aufgaben. 13 5.9 2.7 2. bzw. 7.2 ISO 4. 13 12.5 2. durch entsprechende Schulungs. 6 1.a.10. Authentizität und Integrität dienen. 14 . Safe-Harbour-Vereinbarung.10.B.5 2. 6 5.8 5. StandardVertragsklauseln. Angemessene Fähigkeiten und Kompetenzen der Mitarbeiter werden u. 23 22. 7.a.6 2.B. die eine klare Trennung verschiedeFunktionstrennung und Umsetzung der Funktionstrennung Nr. 14 12.10.10 Organisationskontrollen Unter der Zielvorgabe einer angemessenen datenschutzgerechten Organisation werden im BDSG vorrangig – aber auch nur beispielhaft – acht Kontrollen benannt.9. Im Einleitungssatz zu der Anlage zum §9 wurden darüber hinaus Organisationskontrollen festgeschrieben. 3. Darunter sind u.10.und User-Identifizierungsprozeduren)? Bestehen einheitliche.3 2. 2. Die Umsetzung regulatorischer Anforderungen im Unternehmen erfordert die Existenz einer entsprechenden Ablauforganisation.und Aufbauorganisation beziehen und weitere.4 2. 6 5.B.10.6 2.1 Frage Referenz zu den Mappings aus Kapitel 4 Wurde eine klare Trennung der verschiedenen Aufgaben und Funktionen anhand einer Unverträglichkeitsanalyse vollzogen und gibt es eine Matrix. 6 1. 2. 13 5. Individualvertrag mit Genehmigung durch die Aufsichtsbehörden. 23 12.8 2. 14 14. 7. 7.10. die Unverträglichkeiten von Rollen/Funktionen darstellt? Wurde die Funktionstrennung schriftlich in Arbeitsanweisungen.1 2. dokumentierte Vorgaben dafür. 13 5. 7. z. Zu den wichtigsten Organisationskontrollen gehört die Funktionstrennung.9. Stellenbeschreibungen. 2. Geschäftsverteilungsplänen.10 Sind die anonymisierten/pseudonymisierten Protokolle über die Aktivitäten der Mitarbeiter in den IT-Systemen in angemessener Zeit auswertbar (z. 6 5. 13 5.10. die der Gewährleistung der Verfügbarkeit.3 28 28 28 28. welcher Funktion welche Nutzungsrechte zugeordnet sind und wer diese verfügt (u.10.10.7 Frage Referenz zu den Mappings aus Kapitel 4 Spiegeln die Verträge den AN mit dem Subunternehmer die Anforderungen des AG an den AN wider? Sind Subunternehmer außerhalb des EWR angesiedelt? Gibt es ein angemessenes Datenschutzniveau. Darunter sind technische und organisatorische Maßnahmen zu verstehen. 13 5. Datenschutzrichtlinien. 5 2. 22. 7. 6 5.2 5. 3 BDSG)? Folgen aus der Auftragsverarbeitung verbindliche Arbeitsprozesse beim AG? COBIT 4. Organisationsplänen etc. 19 COBIT 4.unter Berücksichtigung von Standards 15 Nr. 6 5. 7.1 1. handelt es sich um Drittländer mit durch die EU-Kommission festgestelltem angemessenem Datenschutzniveau (§4 b Abs. 8 3. 13 ISO 4. wer welche Kompetenzen und Berechtigungen im Unternehmen verfügt? Ist die Historie der Kompetenzprofile (über eine angemessene Zeitperiode) nachvollziehbar? Sind die Prozesse zur Einrichtung.3 2 2 1 4.9.9. Arbeitsanweisungen und dazugehörige Prozesse zum Change-Management zu verstehen. 5 3 BSI 4. 13 5. 2. 7.

7 5 5 5 ISO 4. 7. 7.11.B.10.11.2 5 5 5 5. 6 6.9 2.3 2.3 20 5 5. 5. 7.10. 5. Analyse. 7. 13 ISO 4. 2. 13 5. 15 4. 7.11.11. 10 2. definiert? COBIT 4.7 2. 13 5.10. Bewertung und Berücksichtigung von Änderungen in den Anforderungen (beispielsweise Datenschutzgesetze) sowie den IT-Verfahren und Prozessen (neue Anwendungen. 6.10. 9 5. 5.10. 13 5. 5.11. 13 20 Richtlinien/Policies Nr. 2.6 2.20 1.2 2. berücksichtigt? Ist ein Prozess zur Kaskadierung der Vorgaben aus der Richtlinie/Policy zum Datenschutz in den Arbeitsanweisungen u.11.10.15 2. 9 1.2 5.11 Frage Referenz zu den Mappings aus Kapitel 4 Sind aktuelle Verschlüsselungsstandards (E-Mail und Festplatte) eingeführt? Gibt es einen gemanagten Meldeprozesse bei Sicherheitsvorfällen (Incident-Management) mit Einschluss des AG? Sind angemessene Schutzvorkehrungen.3 29 11 2 11 19 30 7 12 9.11.11.und Software organisatorisch geregelt? Ist eine Verfahrensübersicht (intern und »für jedermann«) vorhanden? COBIT 4.B.11. 7.1 2. 5. 7.4 2. 7.Ä.10. 9 1. 9 12. z.8 2. 1-4 BGSG zu tun haben.19 Frage Referenz zu den Mappings aus Kapitel 4 Exisitieren dokumentierte Prozesse zur Identifizierung.1 5 5 5 5. geschult? Wann war die letzte Prüfung – auch vor Ort – durch den DSB des AN bei Subunternehmern? Wird die Löschung der Daten protokolliert und der Nachweis der Datenlöschung dem AG gegenüber erbracht? Finden Löschkontrollen durch den AG statt? Werden die DV-Anlagen und/oder TK-Anlagen durch Fremdfirmen mit genutzt? Ist die Beschaffung von Hard.Ä.16 2. 5. 28 2. neue IT-Systeme etc. 9 BSI 4. 10 5 5. 13 20 2. 13 ISO 4. 5. 13 20 2.10.12 Frage Referenz zu den Mappings aus Kapitel 4 Finden regelmäßige Basisschulungen der Mitarbeiter zu Informationssicherheit und/oder Datenschutz statt? Existieren Prozesse zur regelmäßigen Bewertung und Aktualisierung des Schulungsangebots an das erforderliche Niveau und gegebenenfalls an stattgefundene Änderungen in den Anforderungen oder Rahmenbedingungen (z. 13 ISO 4.10 2.1 1.10. 15 . 2.5 2. 9 BSI 4. 7. 9 1.2 5. 6. Datensicherheitsstandards und -klassifikationen für die verarbeitenden Datenkategorien vorhanden? Gibt es einen Prozess zur Erfüllung der Informationspflichten? Werden die Mitarbeiter.11. Novellierung der Gesetze. im Rahmen einer Effektivitätsanalyse der Sensibilisierungsmaßnahmen? COBIT 4.3 20 20 20 20 20 Change-Management Nr.)? Exisitieren dokumentierte Prozesse zur Identifizierung.2 5.11 Weitere Fragen Nr. 12 5.17 2. 9 1. 13 5.13 5 5.11 2.18 Frage Referenz zu den Mappings aus Kapitel 4 Existiert eine übergeordnete Richtlinie/Policy zum Datenschutz? Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt? Sind die Datenschutzrichtlinien zentral abgelegt und allen Mitarbeitern zugänglich? Sind die Vorgaben aus der Richtlinie/Policy zum Datenschutz in den Arbeitsanweisungen u. die mit Daten nach §42a Ziff.14 2.11.10. 2.16 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Schulung der Mitarbeiter/Awareness Nr. 6 6 5 5 BSI 4.3 20 2. 7. Bewertung von Datenschutzvorfällen im Zuge von Änderungen sowie der Ableitung von Maßnahmen zur Verhinderung eines erneuten Eintritts (Verbindung des Change-Managements zum Incident-Management)? COBIT 4. Erlass neuer Gesetze und Vorschriften)? Erfolgt eine regelmäßige Aufnahme des Awareness-Niveaus der Mitarbeiter zu den Themen Datenschutz und Informationssicherheit. Analyse. 5 9 5.1 1.1 5 BSI 4.

sind einige der »Control Objectives« mehrmals auf einzelne Paragrafen des BDSG anwendbar. Somit verweisen wir an dieser Stelle auf die allgemeinen diesbezüglichen Standards des prüferischen Vorgehens (siehe auch Kapitel 4). Letztlich ist es immer vom speziellen Fokus des Prüfungsauftrags abhängig. das als »Joint Audit« ausgeführt wird ◗ S14 Prüfungsnachweise ◗ S15 IT-Kontrollen – hauptsächlich relevant im Zusammenhang mit allen technisch organisatorischen Maßnahmen sowie anderen Anforderungen der Punkte 1 bis 10 des Abs. dass Prüfungsergebnisse für »sachverständige Dritte in angemessener Zeit nachvollziehbar« sind und hinsichtlich zu beseitigender Schwachstellen klare Vereinbarungen mit dem Auftragnehmer getroffen werden. Allerdings wurde der Übersicht halber versucht. Wie zu erwarten.B. diese Überlappungen in der folgenden Darstellung zu reduzieren. Die Umsetzung vereinbarter Maßnahmen sollte im Rahmen eines dokumentierten Follow-up-Prozesses überwacht werden. letzter Satz) ◗ S13 Hinzuziehung anderer Experten – z.1 soll den . 4. Entsprechende Hinweise und Vorschläge hierzu könnten beispielsweise in der XING-Gruppe https://www. die sich im Prüfungsalltag bzw. bei der Erstellung des Prüfplans am COBIT-Framework orientieren.xing. Ebenso wenig wird eine bestimmte Kategorisierung und Bewertung von eventuell festgestellten Schwachstellen gefordert. und somit der jeweiligen Prüferin/ dem Prüfer überlassen. Mapping der Anforderungen des §11 BDSG zu bekannten Standards In den folgenden drei Kapiteln wird für Prüfungen.com/ net/pri1e7eb3x/isaca/forums im Forum »Fachgruppe COBIT-Datenschutz« diskutiert und weiterentwickelt werden. Dokumentation/Bewertung In §11 BDSG werden keine Vorgaben gemacht. 4. einen schnellen Überblick geben.1 BDSG und COBIT 4. welche Domains bzw. an welchen Standards sich eine Prüfung im Einzelfall orientiert.unter Berücksichtigung von Standards 17 3. Unabhängig davon. in Zusammenhang mit einem Datenschutzaudit nach §9a. 2 §11 BDSG ◗ S16 E-Commerce – wenn auch eine Datenübermittlung per Netz zur Auftragsdatenverarbeitung gehört Kolleginnen und Kollegen. einzelne »Control Objectives« den Paragrafen des BDSG mehrfach zuzuordnen. können folgende Standards speziell im Umfeld Anwendung finden: ◗ S7 Berichterstattung – für alle Fragen der Dokumentation der Prüfhandlungen (Absatz 2. Für Prüfer. eine Hilfe zur Überleitung einzelner Prüfungsschritte geboten. Daher erhebt das unten angeführte Mapping keinen Anspruch auf Vollständigkeit.1. die sich an den dargestellten Standards (COBIT 4. sollte gewährleistet sein. um damit beispielsweise den Prüfungsschwerpunkt detaillierter zu spezifizieren.1 Das weiter unten angeführte Mapping zwischen dem aktuellen BDSG und der Version COBIT 4. BSI ITGrundschutz und ISO 27001:2005) orientieren. Ganz im Gegenteil lädt es dazu ein. »Control Objectives« den einzelnen Normen des BDSG im Zusammenhang mit der Auftragsdatenverarbeitung zugeordnet werden können. die nach den Standards der Information Systems and Control Association (ISACA) arbeiten – ISACA ALLGEMEINE STANDARDS FÜR DIE REVISION VON INFORMATIONSSYSTEMEN –. wie die gewonnenen Prüfungserkenntnisse zu dokumentieren sind. die Thematik und die damit verbundenen Herausforderungen an eine angemessene Zuordnung weiter zu vertiefen.

repeatable and comparable evaluation of business cases. IT processes should provide effective and efficient delivery of the IT components of programmes and early warning of any deviations from plan. 4. etc. Maintain formal documentation of technical and organisational relationships covering the roles and responsibilities. ME 4. . All contracts and contract changes should be reviewed by legal advisors. in co-operation with relevant stakeholders. 4. PO 1. Der Auftrag ist schriftlich zu erteilen. the risk of not delivering a capability and the risk of not realising the expected benefits. escrow contracts. conformance with security requirements.g. ensuring that the business and IT regularly assess and report ITrelated risks and their impact and that the enterprise’s IT risk position is transparent to all stakeholders. The relationship owners should liaise on customer and supplier issues and ensure the quality of the relationship based on trust and transparency (e. Establish fair. goals. documentary. The procedure should cover. organisational.2 (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. including cost. AI 5.1 IT Value Management Work with the business to ensure that the enterprise portfolio of IT-enabled investments contains programmes that have solid business cases. DS 2.3 Supplier Risk Management Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery in a secure and efficient manner on a continual basis. and obtain reasonable assurance that IT risk management practices are appropriate to ensure that the actual IT risk does not exceed the board’s risk appetite. Accountability for achieving the benefits and controlling the costs should be clearly assigned and monitored. sustaining and discretionary investments that differ in complexity and degree of freedom in allocating funds. transparent. Die in den §§6. how IT goals will contribute to the enterprise’s strategic objectives and related costs and risks.1. including financial worth. DS 2. financial. 7 und 8 BDSG genannten Rechte sind ihm gegenüber geltend zu machen. Ensure that contracts conform to universal business standards in accordance with legal and regulatory requirements. IT services should be executed against equitable and enforceable service level agreements (SLAs). performance. and termination responsibilities and liabilities (including penalty clauses). Risk management should further consider non-disclosure agreements (NDAs). continued supplier viability. security. penalties and rewards. schedule or functionality.18 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr.2 Supplier Contract Management Set up a procedure for establishing. Embed risk management responsibilities into the organisation.1 Identification of All Supplier Relationships Identify all supplier services. intellectual property. that might impact the expected outcomes of the programmes.1 DS 2. at a minimum.4 IT Strategic Plan Create a strategic plan that defines.5 Risk Management Work with the board to define the enterprise’s appetite for IT risk. and credentials of representatives of these suppliers. and categorise them according to supplier type. wobei insbesondere im Einzelnen festzulegen sind: PO 1. COBIT 4. modifying and terminating contracts for all suppliers. Recognise that there are mandatory. ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. through SLAs). legal. verarbeitet oder genutzt.1. alternative suppliers.2 Supplier Relationship Management Formalise the supplier relationship management process for each supplier. significance and criticality..1 BDSG (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben. expected deliverables.

criticality and sensitivity. and map them to IT services to support a transparent cost model.3 Data Classification Scheme Establish a classification scheme that applies throughout the enterprise.1. This should cover customer commitments. These attributes should be organised in a service catalogue. Operational procedures should cover shift handover (formal handover of activity. operational problems.g. reliability. die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen. The OLAs should specify the technical processes in terms meaningful to the provider and may support several SLAs. PO 9. DS 13. der Gegenstand und die Dauer des Auftrags.. performance. escalation procedures and reports on current responsibilities) to support agreedupon service levels and ensure continuous operations.4 2. DS 6. top secret) of enterprise data. based on the criticality and sensitivity (e. service support requirements. COBIT 4. continuity planning. This scheme should include details about data ownership. using qualitative and quantitative methods.1 Definition of Services Identify all IT costs.1 IT Risk Management Framework Establish an IT risk management framework that is aligned to the organisation’s (enterprise’s) risk management framework.4 Operating Level Agreements Define OLAs that explain how the services will be technically delivered to support the SLA(s) in an optimal manner. definition of appropriate security levels and protection controls. der Umfang. The likelihood and impact associated with inherent and residual risk should be determined individually.1 Service Level Management Framework Define a framework that provides a formalised service level management process between the customer and service provider. quantitative and qualitative metrics for measuring the service signed off on by the stakeholders. Ensure that they are organised and stored centrally via the implementation of a service catalogue portfolio approach. PO 2.1. funding and commercial arrangements.1 DS 1. die Art der Daten und der Kreis der Betroffenen. SLAs.1. status updates. including oversight of the SLA. archiving or encryption. public. PO 9. Verarbeitung oder Nutzung von Daten.unter Berücksichtigung von Standards 19 Nr. Consider items such as availability. confidential. It should be used as the basis for applying controls such as access controls. 4. ensuring that the operations staff members are familiar with all operations tasks relevant to them. 4. . DS 1. tasks and responsibilities of internal and external service providers and customers. The framework should define the organisational structure for service level management. die Art und der Zweck der vorgesehenen Erhebung.4 Risk Assessment 4. IT services should be linked to business processes such that the business can identify associated service billing levels.3 BDSG 1. capacity for growth.1 Operations Procedures and Instructions Define. 3.5 Assess on a recurrent basis the likelihood and impact of all identified risks. covering the roles. The framework should include processes for creating service requirements.3 Service Level Agreements Define and agree to SLAs for all critical IT services based on customer requirements and IT capabilities. service definitions. implement and maintain procedures for IT operations. if applicable. OLAs and funding sources.2 Definition of Services Base definitions of IT services on service characteristics and business requirements. DS 1. The framework should maintain continuous alignment with business requirements and priorities and facilitate common understanding between the customer and provider(s). and a brief description of data retention and destruction requirements. DS 1. by category and on a portfolio basis. levels of support. and roles and responsibilities. security and demand constraints.

DS 4. one to four hours.10 Network Security Use security techniques and related management procedures (e. skills.1 Management of IT Security Manage IT security at the highest appropriate organisational level. Management of the offsite storage facility should respond to the data classification policy and the enterprise’s media storage practices.4 Technology Standards Fortsetzung To provide consistent.4 Personnel Training Provide IT employees with appropriate orientation when hired and ongoing training to maintain their knowledge. Ensure compatibility of hardware and software to restore archived data.1. software and hardware.1 DS 4. 4. four to 24 hours. taking into consideration the IT infrastructure and the security culture. establish a technology forum to provide technology guidelines.3 Application Control and Auditability Implement business controls. more than 24 hours and critical business operational periods.2 IT Security Plan Translate business. DS 5. documentation and other IT resources necessary for IT recovery and business continuity plans. Determine the content of backup storage in collaboration between business process owners and IT personnel. into automated application controls such that processing is accurate. authorised and auditable. so the management of security actions is in line with business requirements. .9 Offsite Backup Storage Store offsite all critical backup media. where appropriate. firewalls. advice on infrastructure products and guidance on the selection of technology.5 Configuration and Implementation of Acquired Application Software Configure and implement acquired application software to meet business objectives. personnel. response and recovery requirements for different tiers. and periodically test and refresh archived data.9 Post-implementation Review Establish procedures in line with the organisational change management standards to require a post-implementation review as set out in the implementation plan.4 Application Security and Availability Address application security and availability requirements in response to identified risks and in line with the organisation’s data classification. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services. DS 5.. internal controls and security awareness at the level required to achieve organisational goals. This forum should direct technology standards and practices based on their business relevance. risks and compliance with external requirements. environmental protection and security. for content. at least annually. risk and compliance requirements into an overall IT security plan. network segmentation.20 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr. AI 7. DS 5. Communicate security policies and procedures to stakeholders and users. IT management should ensure that offsite arrangements are periodically assessed.3 Critical IT Resources Focus attention on items specified as most critical in the IT continuity plan to build in resilience and establish priorities in recovery situations. effective and secure technological solutions enterprisewide. information architecture. and measure compliance with these standards and guidelines. AI 2. AI 2. PO 3. COBIT 4. Avoid the distraction of recovering less-critical items and ensure response and recovery in line with prioritised business needs. complete. information security architecture and risk tolerance. security appliances. PO 7. die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen. Consider resilience.5 BDSG 3. intrusion detection) to authorise access and control information flows from and to networks. abilities.g. AI 2. timely..g. while ensuring that costs are kept at an acceptable level and complying with regulatory and contractual requirements. e.

enabling it to address its responsibilities for ownership of data and information systems.11 Segregation of Duties Implement a division of roles and responsibilities that reduces the possibility for a single individual to compromise a critical process. clients. proof of submission. vendors. die Berichtigung. reported incidents. so incidents that cannot be resolved immediately are appropriately escalated according to limits defined in the SLA and. authorised. 4. Physical security measures must be capable of effectively preventing. which is the user interface with IT. chemicals or explosives. and health and safety guidelines.6 4. . including emergencies. service requests and information demands. DS 12. COBIT 4. This should apply to all persons entering the premises. DS 8. buildings and areas according to business needs. Ensure that incident ownership and life cycle monitoring remain with the service desk for user-based incidents. DS 8. fire. DS 8. regardless which IT group is working on resolution activities. logged and monitored. including staff. limit and revoke access to premises.1 DS 5.2 Physical Security Measures Define and implement physical security measures in line with business requirements to secure the location and the physical assets. Install specialised equipment and devices to monitor and control the environment.1.1. temporary staff. including power and communications equipment. DS 11. service request or information request.5 Physical Facilities Management Manage facilities. workarounds are provided. so service can be continually improved.1 Service Desk Fortsetzung Establish a service desk function. 4. die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.unter Berücksichtigung von Standards 21 Nr.5 BDSG 3.5 Reporting and Trend Analysis Produce reports of service desk activity to enable management to measure service performance and service response times and to identify trends or recurring problems. dispatch and analyse all calls.9 Data and System Ownership Provide the business with procedures and tools. detecting and mitigating risks relating to theft. technical and business requirements. to register.3 Incident Escalation Establish service desk procedures. terror. visitors or any other third party.3 Physical Access Define and implement procedures to grant. DS 12. if appropriate. PO 4. water. Löschung und Sperrung von Daten. vendor specifications. Make sure that personnel are performing only authorised duties relevant to their respective jobs and positions. PO 4. in line with laws and regulations. storage and output of data to meet business objectives. DS 12. power outages.11 Exchange of Sensitive Data Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content. There should be monitoring and escalation procedures based on agreed-upon service levels relative to the appropriate SLA that allow classification and prioritisation of any reported issue as an incident. proof of receipt and non-repudiation of origin. vandalism. buildings and areas should be justified. Owners should make decisions about classifying information and systems and protecting them in line with this classification. the organisation’s security policy and regulatory requirements. vibration. Measure end users’ satisfaction with the quality of the service desk and IT services. smoke. communicate. temperature. Access to premises. DS 12. processing.4 Protection Against Environmental Factors Design and implement measures for protection against environmental factors.6 Security Requirements for Data Management Define and implement policies and procedures to identify and apply security requirements applicable to the receipt.

1 DS 5. processes. issuing.6 Personnel Clearance Procedures Include background checks in the IT recruitment process. establishing. communicate the status of approved and in-process changes. contractors and vendors. and ensure that committed actions are owned by the affected process owner(s). when required. system and service parameters. assessing and authorising emergency changes that do not follow the established change process. .1. DS 1. AI 6. AI 6. schedule. Assess the impact of deviations on the project and overall programme.3 Emergency Changes Establish a process for defining.6 BDSG 4. 4. and report results to key stakeholders. testing. PO 10.1 Change Standards and Procedures Fortsetzung Set up formal change management procedures to handle in a standardised manner all requests (including maintenance and patches) for changes to applications. in line with the programme and project governance framework. procedures. update the associated system and user documentation and procedures accordingly. raising. and report on any deviations to senior management.5 Monitoring and Reporting of Service Level Achievements Continuously monitor specified service level performance criteria. PO 7.13 Project Performance Measurement. cost and risk criteria.22 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr. Reports on achievement of service levels should be provided in a format that is meaningful to the stakeholders.5 Change Closure and Documentation Whenever changes are implemented. and the underlying platforms.4 Change Status Tracking and Reporting Establish a tracking and reporting system to document rejected changes. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. prioritised and authorised. modifying and closing user accounts and related user privileges with a set of user account management procedures. implement and monitor remedial action. quality. Prioritisation and Authorisation Assess all requests for change in a structured way to determine the impact on the operational system and its functionality. die Berichtigung. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers. insbesondere die von ihm vorzunehmenden Kontrollen. suspending. The extent and frequency of periodic reviews of these checks should depend on the sensitivity and/or criticality of the function and should be applied for employees. including identification of costs. DS 1. Ensure that changes are categorised. Recommend. Make certain that approved changes are implemented as planned.6 Maintenance and Monitoring of a Risk Action Plan Prioritise and plan the control activities at all levels to implement the risk responses identified as necessary.2 Impact Assessment. Include an approval procedure outlining the data or system owner granting the access privileges. Obtain approval for recommended actions and acceptance of any residual risks. AI 6. PO 9.4 User Account Management Address requesting. documenting. Monitor execution of the plans. The monitoring statistics should be analysed and acted upon to identify negative and positive trends for individual services as well as for services overall. 4. COBIT 4. AI 6. Löschung und Sperrung von Daten. Identify any deviations from the plan. for normal and emergency cases.7 5.1. and complete changes.6 Review of Service Level Agreements and Contracts Regularly review SLAs and underpinning contracts (UCs) with internal and external service providers to ensure that they are effective and up to date and that changes in requirements have been taken into account. Perform regular management review of all accounts and related privileges. AI 6. These procedures should apply for all users. benefits and responsibility for execution. including administrators (privileged users) and internal and external users. Reporting and Monitoring Measure project performance against key project performance scope.

set performance targets met and identified risks mitigated. ME 1. further assurance of the completeness and effectiveness of internal controls through third-party reviews. COBIT 4. as required by the SLAs ME 1. Escalate control exceptions and report to stakeholders appropriately. and resource acquisition ◗ To report delivered service availability to the business. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers. At appropriate times. IT-enabled investment programmes.5 Monitoring and Reporting Fortsetzung Continuously monitor the performance and capacity of IT resources.5 Integrated Reporting Integrate IT reporting on legal.1 Monitoring of Internal Control Framework Continuously monitor.1. Confirm that external service providers comply with legal and regulatory requirements and contractual obligations. budgeted resources used. Data gathered should serve two purposes: ◗ To maintain and tune current performance within IT and address such issues as resilience. analyse the cause of any deviations. Anticipate senior management’s review by suggesting remedial actions for major deviations. Include in status reports the extent to which planned objectives have been achieved. contingency.5 Assurance of Internal Control Obtain. regulatory and contractual requirements with similar output from other business functions. ME 2.2 Supervisory Review Monitor and evaluate the efficiency and effectiveness of internal IT managerial review controls. Institute necessary corrective action. insbesondere die von ihm vorzunehmenden Kontrollen. and initiate remedial action to address the underlying causes. 4. perform root cause analysis across deviations. current and projected workloads. ME 2.unter Berücksichtigung von Standards 23 Nr. ME 2. specifically in terms of the performance of the enterprise’s portfolio.4 Supplier Performance Monitoring Establish a process to monitor service delivery to ensure that the supplier is meeting current business requirements and continuing to adhere to the contract agreements and SLAs. ME 2. and analyse and identify their underlying root causes.1 DS 2.3 Control Exceptions Identify control exceptions. as needed. storage plans. and that performance is competitive with alternative suppliers and market conditions. Provide the report to senior management. ME 2.4 Performance Assessment Periodically review performance against targets. regulatory or contractual requirements. and the solution and service deliverable performance of individual programmes. DS 3. . confirming that any corrective actions to address any compliance gaps have been taken by the responsible process owner in a timely manner.5 Board and Executive Reporting Develop senior management reports on IT’s contribution to the business.4 Positive Assurance of Compliance Obtain and report assurance of compliance and adherence to all internal policies derived from internal directives or external legal. ME 3.6 Internal Control at Third Parties Assess the status of external service providers’ internal controls.7 BDSG 5. benchmark and improve the IT control environment and control framework to meet organisational objectives. ME 3. and solicit feedback from management’s review.

Maintain formal documentation of technical and organisational relationships covering the roles and responsibilities. DS 2. plan and implement measurements to monitor continuing compliance to the QMS. Verarbeitung oder Nutzung personenbezogener Daten) kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Ensure that contracts conform to universal business standards in accordance with legal and regulatory requirements. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Use industry good practices for reference when improving and tailoring the organisation’s quality practices. as well as the value the QMS provides. PO 8. continued supplier viability. PO 10. DS 2. Das Ergebnis ist zu dokumentieren.1. responsibilities reassigned and access rights removed such that risks are minimised and continuity of the function is guaranteed.8 Job Change and Termination Take expedient actions regarding job changes. Monitoring and Review Define. and credentials of representatives of these suppliers PO 7.14 Contracted Staff Policies and Procedures Ensure that consultants and contract personnel who support the IT function know and comply with the organisation’s policies for the protection of the organisation’s information assets such that they meet agreed-upon contractual requirements.9 4. Knowledge transfer should be arranged.1 PO 4. conformance with security requirements.14 Project Closure 4. PO 8. and categorise them according to supplier type. penalties and rewards.12 At the end of each project.11 DS 2.3 Supplier Risk Management Identify and mitigate risks relating to suppliers’ ability to continue effective service delivery in a secure and efficient manner on a continual basis. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen. 4. Risk management should further consider non-disclosure agreements (NDAs). standards.13 Er (Anmerkung des Autors: Der Auftrag zur Erhebung. and that performance is competitive with alternative suppliers and market conditions.1. Measurement. goals.1 Identification of All Supplier Relationships Identify all supplier services. and identify and document lessons learned for use on future projects and programmes. die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. 4. COBIT 4. ME 3.6 Quality Measurement.24 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr. 7. . and that performance is competitive with alternative suppliers and market conditions. alternative suppliers.1.4 Supplier Performance Monitoring Establish a process to monitor service delivery to ensure that the supplier is meeting current business requirements and continuing to adhere to the contract agreements and SLAs.1.10 4. etc. der Umfang der Weisungsbefugnisse.1.1.4 Supplier Performance Monitoring Establish a process to monitor service delivery to ensure that the supplier is meeting current business requirements and continuing to adhere to the contract agreements and SLAs. 9.und Mitwirkungspflichten des Auftragnehmers. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.2 IT Standards and Quality Practices Identify and maintain standards. monitoring and recording of information should be used by the process owner to take appropriate corrective and preventive actions.3 Evaluation of Compliance With External Requirements Confirm compliance of IT policies. escrow contracts. require the project stakeholders to ascertain whether the project delivered the planned results and benefits. 10. DS 2. expected deliverables. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs. procedures and methodologies with legal and regulatory requirements 4. 8. procedures and practices for key IT processes to guide the organisation in meeting the intent of the QMS.8 BDSG 6. especially job terminations. Identify and communicate any outstanding activities required to achieve the planned results of the project and the benefits of the program. significance and criticality.

Die detaillierte Zuordnung aller Maßnahmen der IT-Grundschutzkataloge zu den gemäß §9 BDSG notwendigen technischen und organisatorischen Maßnahmen ist daher als veraltet anzusehen und bedarf einer Aktualisierung auf die aktuelle 11.2..340 Beachtung rechtlicher Rahmenbedingungen Baustein 1.11 Outsourcing M 2.1.1 BDSG (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben.15 Datenschutz M 7.14 BDSG (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2. ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.5) – auf den IT-Grundschutzkatalogen Version 2006 Stand: November 2006.250 Festlegung einer Outsourcing-Strategie M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters M 2. Ganz im Gegenteil lädt es dazu ein.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze. verarbeitet oder genutzt. through SLAs). Nr. die Thematik und die damit verbundenen Herausforderungen an eine angemessene Zuordnung weiter zu vertiefen. dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt. hat er den Auftraggeber unverzüglich darauf hinzuweisen. Stand der Tabelle: 22.2 Supplier Relationship Management Formalise the supplier relationship management process for each supplier. wobei insbesondere im Einzelnen festzulegen sind: Baustein 1. Vorschriften und Regelungen M 2.5 Datenschutz – Tabelle: »Maßnahmen und Datenschutz-Kontrollziele« zu Baustein 1. 4.08. Der Auftrag ist schriftlich zu erteilen. Ist er der Ansicht. 4. 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. Das folgende Mapping zwischen dem aktuellen BDSG und der 11. EL Baustein 1.unter Berücksichtigung von Standards 25 Nr.2 M 7.7 M 7.0 Sicherheitsmanagement M 2.1 DS 2. 4. Ergänzungslieferung der IT-Grundschutzkataloge. die sich im Prüfungsalltag bzw. Die in den §§6. da das Dokument vom BSI bzw. welche Bausteine und Maßnahmen den einzelnen Normen des BDSG im Zusammenhang mit der Auftragsdatenverarbeitung zugeordnet werden können.14 Regelung der Verantwortlichkeiten im Bereich Datenschutz Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten Aufrechterhaltung des Datenschutzes im laufenden Betrieb 4.07.2.16 Anforderungsmanagement M 3.336 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene M 2. Ersteller des Bausteins 1. Ergänzungslieferung der IT-Grundschutzkataloge des BSI soll den Kolleginnen und Kollegen.2 (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Das Mapping erhebt keinen Anspruch auf Vollständigkeit.199 Aufrechterhaltung der Informationssicherheit Baustein 1.g. basiert. Maßnahmenkatalog BSI – 11. einen schnellen Überblick geben.2 BDSG und BSI IT-Grundschutz Insbesondere ist dies notwendig. verarbeiten oder nutzen. bei der Erstellung des Prüfplans am BSI IT-Grundschutz orientieren.5 »Datenschutz« (Verweis aus Maßnahme M 7. COBIT 4. The relationship owners should liaise on customer and supplier issues and ensure the quality of the relationship based on trust and transparency (e.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister .

67 M 4. die Art der Daten und der Kreis der Betroffenen. Notfallvorsorge-Konzept. der Gegenstand und die Dauer des Auftrags.11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten 4.11 Outsourcing M 2.2.5 M 7. die Art und der Zweck der vorgesehenen Erhebung. 3. In der Regel empfiehlt es sich nicht. 4.7 Datenschutz Datenschutzgerechte Löschung/Vernichtung Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten Baustein 1.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Baustein 1.2. der Umfang.15 Löschen und Vernichten von Daten M 2.5 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten –> Verweise auf weitere BSI-Bausteine zu den einzelnen Themen beachten.4 BDSG 1. EL Baustein 1. Baustein 1.3 M 2.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2. Maßnahmenkatalog BSI – 11. Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. 4. die Berichtigung.3 4.32 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten Physikalisches Löschen der Datenträger vor und nach Verwendung M 4.6 4. diese grundsätzlich auszuschließen.2.0 vom 08. Verarbeitung oder Nutzung von Daten. Behandlung von Sicherheitsvorfällen beim Auftragnehmer führt.7 5.11 Outsourcing M 2.5 Datenschutz M 7.325 Löschen von Auslagerungsdateien M 2. Organisation. Anwendungen und Systemen M 4. sondern sinnvolle Regelungen festzulegen.217 Sorgfältige Einstufung und Umgang mit Informationen.15 M 7.432 Richtlinie für die Löschung und Vernichtung von Informationen M 2.« 4.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2.436 Vernichtung von Datenträgern durch externe Dienstleister M 3.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen M 2. insbesondere die von ihm vorzunehmenden Kontrollen. Baustein 1. Löschung und Sperrung von Daten. 2.88 Vereinbarung über Datenaustausch mit Dritten Baustein 1. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers. 6.2. die nach §9 zu treffenden technischen und organisatorischen Maßnahmen. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.435 Auswahl geeigneter Aktenvernichter M 2.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern 4. Hard.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten M 2. Insbesondere auch bei BSI-Dokument »IT-Grundschutzzertifizierung von ausgelagerten Komponenten« Version 1.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Baustein 1.13 Datenträgerverwaltung Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln M 2. Dies sollte daher vertraglich als Mindestanforderung vereinbart werden.2.15 Datenschutz M 7.5 Baustein 1.11 Outsourcing M 5.und Software-Management.03.26 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr. was zur Anwendung der BSIBausteine Sicherheitsmanagement.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister »Die Einbindung Dritter.226 Regelungen für den Einsatz von Fremdpersonal M 2.64 Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von Restinformationen M 4. Personal.2.8 .2004 – in der Regel ist bei der Auftragsdatenverarbeitung von Fall 2 gemäß diesem Dokument auszugehen.11 Outsourcing M 2.

253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Baustein 1. muss dies bereits im Vertrag geregelt sein. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.11 Outsourcing M 2.199 Aufrechterhaltung der Informationssicherheit Baustein 1.und Zugangsrechte besitzen.2.B.Baustein 1.15 Löschen und Vernichten von Daten M 2.5 M 7.9 4.B. ◗ Allen Institutionen.435 Auswahl geeigneter Aktenvernichter M 2.und Mitwirkungspflichten des Auftragnehmers.0 Sicherheitsmanagement M 2.15 Datenschutz M 7. 4.15 Datenschutz M 7. die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.2. Dateneinsicht) eingeräumt werden. EL 7.13 Datenträgerverwaltung Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln M 2. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen sollen.9 BDSG Maßnahmenkatalog BSI – 11.32 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten Physikalisches Löschen der Datenträger vor und nach Verwendung M 4. die Kontrollrechte des Auftragge.199 Aufrechterhaltung der Informationssicherheit dungs.0 Sicherheitsmanagement bers und die entsprechenden Dul.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten M 2.11 M 7.« 4. Baustein 1. Baustein 1.11 Outsourcing M 2.307 Geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses Baustein 1. der Umfang der Weisungsbefugnisse. Zutritts.60 M 6. müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z.3 M 2. Aufsichtsbehörden). Behandlung von Sicherheitsvorfällen Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen Festlegung von Meldewegen für Sicherheitsvorfälle Eskalationsstrategie für Sicherheitsvorfälle Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen Baustein 1.M 2.325 Löschen von Auslagerungsdateien . mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb Baustein 1.15 Datenschutz (A) Datenschutzgerechte Löschung/Vernichtung Baustein 1. Einsichts-. Aufrechterhaltung des Datenschutzes im laufenden Betrieb Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten Datenschutzrechtliche Freigabe Baustein 1.436 Vernichtung von Datenträgern durch externe Dienstleister M 3.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister »Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden.65 4.14 M 7.unter Berücksichtigung von Standards 27 Nr.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten M 2.67 M 4.2.11 9.11 Outsourcing M 2.61 M 6. Der Auftraggeber muss die dazu notwendigen Auskunfts-.8 M 6. Zutrittsrechte.12 10.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Baustein 1.11 Outsourcing M 2.59 M 6. die beim Auftraggeber Prüfungen durchführen müssen (z.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen M 2.2.432 Richtlinie für die Löschung und Vernichtung von Informationen M 2.10 8.

251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2.16 1.2. Verarbeitung oder Nutzung personenbezogener Daten) kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Zu §5: Baustein 1. 1 Nr.199 Aufrechterhaltung der Informationssicherheit Baustein 1. 2. 4. 4g und 38. Anwendungen und Systemen M 4.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister 4.11 Outsourcing M 2.14 (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt. hat er den Auftraggeber unverzüglich darauf hinzuweisen. EL M 2. Er (Anmerkung des Autors: Der Auftrag zur Erhebung.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern Baustein 1.6 Datenschutz Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten Zu §§4f.5 Datenschutz M 7.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister M 2. b) nicht-öffentliche Stellen. 43 Abs.13 M 2. 1 bis 3 und Abs.2. 4g und 38 BDSG: Baustein B 1.15 (4) Für den Auftragnehmer gelten neben den §§5.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb Baustein 1.2.64 Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von Restinformationen Fortsetzung M 4. Das Ergebnis ist zu dokumentieren. Abs.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden OutsourcingBetrieb 4. 9.217 Sorgfältige Einstufung und Umgang mit Informationen.2. die übrigen nicht-öffentlichen Stellen. bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist.6 4. Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten Keine Entsprechung .11 Outsourcing M 2. Maßnahmenkatalog BSI – 11.28 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Nr. Baustein 1. 2. 2 Nr. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder.12 BDSG 10. verarbeiten oder nutzen. soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben. Ist er der Ansicht. a) öffentliche Stellen. 3 sowie §44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht. die §§4f. 10 und 11.0 Sicherheitsmanagement 4. verarbeiten oder nutzen. die §§18. und zwar für Baustein 1.15 Datenschutz M 7.2.5 M 7.11 Outsourcing M 2.

Erforderlich sind Maßnahmen nur. Maßnahmenkatalog BSI – 11.0 vom 08. Dies sollte daher vertraglich als Mindestanforderung vereinbart werden. ◗ Allen Institutionen. Dabei sind insbesondere Maßnahmen zu treffen. die beim Auftraggeber Prüfungen durchführen müssen (z. M 2.0 Sicherheitsmanagement Anlage zu §9 BDSG Satz 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt.08. was zur Anwendung der BSI-Bausteine Sicherheitsmanagement.und Software-Management. dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.03. ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten. Hard. EL Baustein 1.5 M 7. Organisation.5 Datenschutz.11 Outsourcing M 2. Die näheren Anforderungen an die Prüfung und Bewertung. Notfallvorsorge-Konzept.2004 – in der Regel ist bei der Auftragsdatenverarbeitung von Fall 2 gemäß diesem Dokument auszugehen.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben M 2.« . Tabelle: »Maßnahmen und Datenschutz-Kontrollziele« zu Baustein 1. muss dies bereits im Vertrag geregelt sein.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb Baustein 1. Aufsichtsbehörden). Verweis: Hierzu gibt es ein Dokument vom BSI bzw.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister Baustein 1. Stand der Tabelle: 22. die selbst oder im Auftrag personenbezogene Daten erheben. die erforderlich sind.199 Aufrechterhaltung der Informationssicherheit Baustein 1.B. insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister »Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Zutrittsrechte.unter Berücksichtigung von Standards 29 Nr.5 »Datenschutz« (Verweis aus Maßnahme M 7. um die Ausführung der Vorschriften dieses Gesetzes. verarbeiten oder nutzen. EL Keine Entsprechung §9 BDSG Maßnahmenkatalog BSI – 11. Baustein 1. Ersteller des Bausteins 1. Einsichts-. Zutritts. haben die technischen und organisatorischen Maßnahmen zu treffen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen sollen. die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind. das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. 4.11 Outsourcing M 2.5 Datenschutz Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten –> Verweise auf weitere BSI-Bausteine zu den einzelnen Themen beachten. müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z.und Zugangsrechte besitzen. wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Der Auftraggeber muss die dazu notwendigen Auskunfts-.2. Personal. zu gewährleisten. Behandlung von Sicherheitsvorfällen beim Auftragnehmer führt.17 BDSG (5) Die Absätze 1 bis 4 gelten entsprechend. … §9a BDSG Datenschutzaudit Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Stand: November 2006.15 Datenschutz M 7.B.5) Basierend auf den IT-Grundschutzkatalogen Version 2006.07 Maßnahmenkatalog BSI – 11. Dateneinsicht) eingeräumt werden. Insbesondere auch BSI-Dokument »IT-Grundschutzzertifizierung von ausgelagerten Komponenten« Version 1. wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. EL Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen.

1 Maßnahme Die Risiken für Informationen und informationsverarbeitende Einrichtungen der Organisation. Datenschutzgesetze. die Art und der Zweck der vorgesehenen Erhebung. sind gehalten. ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen Ergänzt durch: ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management A. die den Zugriff. 6.1 4. wenn die Vereinbarung die Zusammenarbeit mit Organisationen im Ausland einschließt (siehe auch 15. www.6 ISO 27002.2. Wir empfehlen den Erwerb des vollständigen Standards zur gründlichen und vollständigen Kenntnisnahme aller relevanten Anforderungen (z. Vertragsklauseln gefordert. 2. müssen alle relevanten Sicherheitsanforderungen abdecken. 4. dass Wir weisen an dieser Stelle ausdrücklich darauf hin.5 1. die Verarbeitung.6. 4. Adressieren von Sicherheit in Vereinbarungen mit Dritten Zuweisung der Verantwortlichkeiten für Informationssicherheit Identifizierung von Risiken in Zusammenhang mit externen Mitarbeitern Datenschutz und Vertraulichkeit von personenbezogenen Informationen Bundesdatenschutzgesetz (BDSG) §11 Erhebung. müssen identifiziert und angemessene Maßnahmen umgesetzt werden. die durch Geschäftsprozesse unter Beteiligung externer Mitarbeiter verursacht werden. verarbeitet oder genutzt.1).3 b) Maßnahmen zur Sicherstellung des Schutzes von organisationseigenen Werten (Assets): (siehe hierzu auch die Erläuterungen in Zusammenhang mit §9 BDSG) .30 ISACA-Prüfleitfaden Auftragsdatenverarbeitung 4.3 k) eine Beschreibung des bereitgestellten Produkts oder der Dienstleistung und eine Beschreibung der zur Verfügung gestellten Informationen. Die in den §§6. 6. wie in einschlägigen Gesetzen. Der Auftrag ist schriftlich zu erteilen.4 4. Vorschriften und ggf. A. einschließlich ihrer Sicherheitsklassifizierung (siehe 7.2 (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Daher ist es sinnvoll. ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.B. 6. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben. 3. im Einklang mit den Anforderungen der ISO 27001 stehen. um Synergieeffekte zu erzielen und Doppelarbeiten sowie Akzeptanzprobleme beim Auftragnehmer zu vermeiden.1.1. 6. bevor diesen der Zugang gewährt wird. wobei insbesondere im Einzelnen festzulegen sind: 4.de). Unternehmen.2.3 Maßnahme Vereinbarungen mit Dritten. B. oder die Bereitstellung von Produkten oder Dienstleistungen für informationsverarbeitende Einrichtungen.2. Verarbeitung oder Nutzung von Daten.3.2.2. A. Kommunikation oder Administration von Informationen oder informationsverarbeitenden Einrichtungen der Organisation betreffen. die ein Informationssicherheits-Managementsystem nach den Anforderungen des Standards ISO/ IEC 27001:2005 eingerichtet haben. die Art der Daten und der Kreis der Betroffenen.3 s) Verantwortlichkeiten zur Gesetzeskonformität und Sicherstellung der Erfüllung gesetzlicher Anforderungen.3 Maßnahme Alle Verantwortlichkeiten für Informationssicherheit müssen eindeutig definiert sein.3.4 Maßnahme Datenschutz und Vertraulichkeit müssen sichergestellt werden. in Deutschland beim Beuth Verlag. 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. dies durch interne Audits zu überprüfen und einer ständigen Verbesserung zu unterziehen. insbesondere unter Berücksichtigung unterschiedlicher nationaler Rechtssysteme. ISO 27002. der Umfang.3. Nr.3.15. ISO 27002. der Gegenstand und die Dauer des Auftrags.3 BDSG und ISO 27001 Prüfungshandlungen. die im Rahmen der Verpflichtungen des §11 BDSG vorgenommen werden.3.1). z.2.beuth. die nach §9 zu treffenden technischen und organisatorischen Maßnahmen. dass die Anforderungen der ISO 27001 hier nur verkürzt in Form von Zitaten wiedergegeben werden. A. 6.

ISO 27002. die vertraglich festgelegten Verantwortlichkeiten zu überprüfen.3. ISO 27002. 8.) 5) Maßnahmen. diese Prüfungen durch unabhängige Dritte durchführen zu lassen. ISO 27002. 6.3 u) Einbeziehung Dritter mit Subunternehmern sowie die Sicherheitsmaßnahmen. um die Rückgabe oder Vernichtung von Informationen und Werten bei Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit sicherzustellen. 6. insbesondere die von ihm vorzunehmenden Kontrollen. 6. ISO 27002. Berichte und Aufzeichnungen müssen regelmäßig überwacht und überprüft werden.) 5) Maßnahmen. und Audits sollten regelmäßig durchgeführt werden. Mitteilungen und Untersuchungen von Informationssicherheitsvorfällen und Sicherheitsverstößen. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs.o.und Mitwirkungspflichten des Auftragnehmers.3 j) Vereinbarungen für Berichte. 6. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.3 b) (s.2.unter Berücksichtigung von Standards 31 Bundesdatenschutzgesetz (BDSG) §11 Erhebung. 7.2 Überwachung und Überprüfung der Dienstleistungen von Dritten Maßnahme Die von Dritten gelieferten Dienstleistungen. ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen Ergänzt durch: ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management ISO 27002. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.3 b) (s. 4. 6.3 o) das Recht.3.3 r) die vereinbarte Verpflichtung der jeweiligen Parteien. Melden von Informationssicherheitsereignissen 4. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 4.12 9. 13. der Umfang der Weisungsbefugnisse. 4.10. und die satzungsgemäßen Rechte der Prüfer zu benennen.2.3. 6.2. Anhang A A. 6.2.3.3.2.10 4.2.2.14 . ISO 27002.3 n) das Recht. 4. um die Rückgabe oder Vernichtung von Informationen und Werten bei Vertragsende oder zu einem vereinbarten Zeitpunkt innerhalb der Vertragslaufzeit sicherzustellen.3. hier auch: ISO 27001. 10.1. Das Ergebnis ist zu dokumentieren. diese Prüfungen durch unabhängige Dritte durchführen zu lassen. und die satzungsgemäßen Rechte der Prüfer zu benennen.o.8 5.2.13 4. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. genauso wie Vertragsverstöße.11 ISO 27001 A.3. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.2. 6. jegliche Aktivitäten in Zusammenhang mit den Werten der Organisation zu überwachen und zu widerrufen. ISO 27002.3.1 Maßnahme Informationssicherheitsereignisse müssen so schnell wie möglich über die geeigneten Managementkanäle gemeldet werden. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers.7 4. 6. die diese Subunternehmer umsetzen müssen. Nr.9 ISO 27002.3 o) das Recht. 4. Löschung und Sperrung von Daten. die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. die Berichtigung. die vertraglich festgelegten Verantwortlichkeiten zu überprüfen.

b) nicht-öffentliche Stellen. Erbringung von Dienstleistungen Nr. die den Zugriff. 4. 3 sowie §44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht.3.15. 2. A. die Verarbeitung. 2 Nr. wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. verarbeiten oder nutzen. und zwar für 1.19 . Vertragsklauseln gefordert.15 ISO 27001 A. sollten alle relevanten Sicherheitsanforderungen abdecken. 43 Abs. wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. haben die technischen und organisatorischen Maßnahmen zu treffen. soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben. wie in einschlägigen Gesetzen. von den Dritten umgesetzt.16 (4) Für den Auftragnehmer gelten neben den §§5. zu gewährleisten. Leistungsbeschreibungen und der Grad der Lieferungen.3 Maßnahme Vereinbarungen mit Dritten. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben.17 ISO 27002 6. Kommunikation oder Administration von Informationen oder informationsverarbeitenden Einrichtungen der Organisation betreffen.3.1 Maßnahme Es sollte sichergestellt sein. Abs.6. durchgeführt und eingehalten werden. 2. dass die Sicherheitsmaßnahmen. Ist er der Ansicht.4 Maßnahme Datenschutz und Vertraulichkeit müssen sichergestellt werden. dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt.3. Öffentliche und nicht-öffentliche Stellen. die erforderlich sind. bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist. oder die Bereitstellung von Produkten oder Dienstleistungen für informationsverarbeitende Einrichtungen.6 Maßnahme Geeignete Kontakte zu relevanten Behörden müssen gepflegt werden. Vorschriften und ggf. insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen. Datenschutz und Vertraulichkeit von personenbezogenen Informationen Adressieren von Sicherheit in Vereinbarungen mit Dritten 4. 1 bis 3 und Abs.3. die in der Liefervereinbarung mit Dritten enthalten sind. hat er den Auftraggeber unverzüglich darauf hinzuweisen.1. 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder. 4. verarbeiten oder nutzen. a) öffentliche Stellen. 4. die selbst oder im Auftrag personenbezogene Daten erheben.18 (5) Die Absätze 1 bis 4 gelten entsprechend. ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen Ergänzt durch: ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management ISO 27002 10.1. verarbeiten oder nutzen. 1 Nr. die §§18.2. Erforderlich sind Maßnahmen nur.3. 9. (keine Entsprechung in ISO 27001/27002) Kontakt zu Behörden 4. 10 und 11. 4g und 38. die übrigen nicht-öffentlichen Stellen. um die Ausführung der Vorschriften dieses Gesetzes.2.32 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Bundesdatenschutzgesetz (BDSG) §11 Erhebung. die §§4f.

3 i) Richtlinie zur Zugangskontrolle.10.3.8. zu gewährleisten.5 Geschäftsinformationssysteme 4. Unbefugten den Zutritt zu Datenverarbeitungsanlagen. 2) zulässige Zugangsmethoden und die Kontrolle und Benutzung eindeutiger Kennungen wie Benutzerkennungen und Passwörter. die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.10. 5. die in Anwendungen eingegeben werden. einschließlich: 1) die unterschiedlichen Gründe. zu gewährleisten. verändert oder entfernt worden sind (Eingabekontrolle).und Zugriffsrechte zu entziehen oder die Verbindung zwischen Systemen zu unterbrechen.1 A.3 Aufheben von Zugangsrechten A.2 Vereinbarungen zum Austausch von Informationen A. ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben. 5) eine Erklärung. dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. zu verwehren (Zutrittskontrolle). 6) einen Prozess. dass jeglicher Zugang verboten ist. Dabei sind insbesondere Maßnahmen zu treffen.10.3.10. 4) die Anforderung. kopiert. die einzuhalten sind. und dass überprüft und festgestellt werden kann. kopiert.3. zu gewährleisten. ISO 27001. ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen Ergänzt durch: ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management ISO 27002.3. Anhang A A.3 Zugangskontrolle zu Quellcode 4.8.3.21 ISO 27002. an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle). eine Liste zu pflegen. Zugangs. 11 Sicherheitsbereiche Zugangskontrolle 4. 1.3.1. und welches ihre Rechte und Privilegien im Rahmen dieser Benutzung sind.10. Anhang A A.3 Transport physischer Medien A. um sicherzustellen.4 A. 6.25 ISO 27001. der nicht ausdrücklich erlaubt ist.3. Nr. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Anlage zu §9 Satz 1 des BDSG 4. ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten.2 Rückgabe von organisationseigenen Werten A. Siehe hierzu auch: ISO 27001.12.20 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt.4 Die Einhaltung dieser Leitlinie und aller einschlägigen Datenschutzgesetze und Vorschriften verlangt eine angemessene Managementstruktur und Kontrolle.10. dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). 3.unter Berücksichtigung von Standards 33 Bundesdatenschutzgesetz (BDSG) §11 Erhebung.22 4.8.4. 2. .24 4. Anforderungen und Vorteile. mit denen personenbezogene Daten verarbeitet oder genutzt werden. 15. 4. 12. 8. 3) ein Berechtigungsprozess für Benutzerzugriff und -privilegien. zu verhindern.8 Schutz vor Schadsoftware und mobilem Programmcode Austausch von Informationen A.1 Überprüfung von Eingabedaten Maßnahme Die Daten.2. dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Die Verantwortung für den Umgang mit persönlichen Daten und die Sensibilisierung für die Prinzipien des Datenschutzes sollten in Übereinstimmung mit den geltenden Gesetzen und Vorschriften angegangen werden. dass nachträglich überprüft und festgestellt werden kann. Oft geschieht dies am besten durch die Ernennung eines Datenschutzbeauftragten. müssen überprüft werden. Nutzung und nach der Speicherung nicht unbefugt gelesen.8. verändert oder entfernt werden können (Zugriffskontrolle). die den Zugang von Dritten notwendig machen.10. welche Personen zur Benutzung der zur Verfügung gestellten Dienste berechtigt sind.8. und dass personenbezogene Daten bei der Verarbeitung. Benutzer und Dienstleister über ihre einzelnen Verantwortlichkeiten und über die spezifischen Verfahren berät. Angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Informationen sollten umgesetzt werden. 9.3. dass diese Eingaben korrekt und angemessen sind. der Führungskräfte.2. 8.4 Elektronische Mitteilungen/Nachrichten (Messaging) A. Anhang A A.1 Regelwerke und Verfahren zum Austausch von Informationen A. verändert oder entfernt werden können. dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen.23 A.

10. 4.3.2 Verwaltung kryptographischer Schlüssel ISO 27001.26 4.10. Anhang A A. durchgeführt und eingehalten werden. Anhang A A. Maßnahme Sensible Systeme müssen sich in einer dedizierten (isolierten) Umgebung befinden. dass die Sicherheitsmaßnahmen. dass zu unterISO 27001.12.34 ISACA-Prüfleitfaden Auftragsdatenverarbeitung Bundesdatenschutzgesetz (BDSG) §11 Erhebung. dass personenbezogene Daten. 14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) 4.3. erstellt und getestet werden.28 8. das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).3.4 Physische und umgebungsbezogene Sicherheit Schutz vor Schadsoftware und mobilem Programmcode Nr. 4.3 Kryptographische Maßnahmen A. Anhang A A.3. von den Dritten umgesetzt. ISO 27001.2.12. die im Auftrag verarbeitet werden.4.6.9 A.2 Isolation sensibler Systeme Daten getrennt verarbeitet werden A 11. dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). zu gewährleisten.3 Aufteilung von Verantwortlichkeiten 4.2.30 .3. zu gewährleisten. im Einklang mit der akzeptierten Backup-Methode. ISO 27001.1 Leitlinie zur Anwendung von Kryptographie A. Berichte und Aufzeichnungen müssen regelmäßig überwacht und überprüft werden.1 Erbringung von Dienstleistungen Maßnahme Es sollte sichergestellt sein.11. die in der Liefervereinbarung mit Dritten enthalten sind. Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. zu gewährleisten.2 Überwachung und Überprüfung der Dienstleistungen von Dritten Maßnahme Die von Dritten gelieferten Dienstleistungen. Gegebenenfalls auch: A. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 6. Anhang A schiedlichen Zwecken erhobene A.29 Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. ISO/IEC 27001:2005 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen Ergänzt durch: ISO/IEC 27002:2005 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management ISO 27002 10.1.1 Backup von Informationen Maßnahme Backup-Kopien von Informationen und von Software müssen regelmäßig. 7.5 Trennung von Netzwerken können.10.3. Leistungsbeschreibungen und der Grad der Lieferungen. und Audits sollten regelmäßig durchgeführt werden.3.12.10. Die näheren Anforderungen an die Prüfung und Bewertung. A.27 A.5.

die nach Absatz 4 bestehenden Pflichten des Auftragnehmers. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 5. 10 und 11. 43 Abs. die Art der Daten und der Kreis der Betroffenen. 1 Nr. 2. 2. die Berichtigung. die übrigen nicht-öffentlichen Stellen. die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. 8. a) öffentliche Stellen. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs. der Gegenstand und die Dauer des Auftrags. b) nicht-öffentliche Stellen. 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder. verarbeiten oder nutzen. der Umfang der Weisungsbefugnisse. Löschung und Sperrung von Daten. 9. Das Ergebnis ist zu dokumentieren. insbesondere die von ihm vorzunehmenden Kontrollen. 3 sowie §44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht. ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. (5) Die Absätze 1 bis 4 gelten entsprechend. verarbeitet oder genutzt. hat er den Auftraggeber unverzüglich darauf hinzuweisen. die nach §9 zu treffenden technischen und organisatorischen Maßnahmen. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben. 2 Nr. Ist er der Ansicht. verarbeiten oder nutzen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben. bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. (4) Für den Auftragnehmer gelten neben den §§5. 3. wobei insbesondere im Einzelnen festzulegen sind: 1. . Der Auftrag ist schriftlich zu erteilen. 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. der Umfang. Abs. 9. Verarbeitung oder Nutzung von Daten. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. die §§4f. 1 bis 3 und Abs. 6. 7. 2.und Mitwirkungspflichten des Auftragnehmers. die §§18. Die in den §§6. dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt.unter Berücksichtigung von Standards 35 Anhang Bundesdatenschutzgesetz (BDSG) §11 Erhebung. soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben. 4. wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 4g und 38. und zwar für 1. 10. die Art und der Zweck der vorgesehenen Erhebung. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

.

E E E E E E E E .

ert erun .ana er s nd dua e ert ate und erden aussch e ch n usammenarbe t m t dem ISACA Germany Cha ter be der ran furt Sch f nance ana ement aneb ten S e ste en auch e ne dea e CGEIT dar.des ISACA Germany Chapters Der deutsche Berufsverband ISACA Germany Cha ter e hat e n ert ats r ramm f r ach r fte ent c e t d e s ch auf dem Geb et der IT-Governance und IT-Compliance e terb den und dar ber e nen aner annten ach e s erha ten en be 1.6 s über reit 00 D e C BI ert ate nnen be m ISACA Germany Cha ter der be a red t erten Schu un sanb etern er rben erden D e ert ate I G vernance und I C m ance. rbere tun f r d e nternat na e ISACA.

Sign up to vote on this title
UsefulNot useful