Annex 2: Description of the implemented organizational and technical measures for Personal Data protection
| Exhibit 2 – Description of the implemented organizational and technical measures for Personal Data protection | Anhang 2 – Beschreibung der getroffenen organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten |
| A. Organizational security measures | A. Organisatorische Sicherheitsmaßnahmen. |
| I. Information Security Management System | I. Informationssicherheits-managementsystem. |
| 1. A general security policy has been developed, along with specific security policies regarding organization security, information security, IT system security and security of people and property, all of which define the basic objectives of the actions related to implementation of the policies. | 1. Es wurde eine allgemeine Sicherheitsrichtlinie entwickelt, zusammen mit spezifischen Sicherheitsmaßnahmen in Bezug auf Unternehmenssicherheit, Informationssicherheit, IT-Systemsicherheit und Sicherheit von Personen und Eigentum, die alle die grundlegenden Ziele der Maßnahmen im Zusammenhang mit der Umsetzung der Richtlinien definieren. |
| 2. General and specific security standards have been defined that implement the assumptions of the security policies in terms of information security, IT system security, and security of people and property. | 2. Es wurden allgemeine und spezifische Sicherheitsstandards definiert, die die Annahmen der Sicherheitsrichtlinien in Bezug auf Informationssicherheit, IT-Systemsicherheit und Sicherheit von Personen und Eigentum umsetzen. |
| 3. Specific procedures and operating instructions have been developed for the implementation of the security standards in terms of information security, IT system security, and security of people and property. | 3. Für die Umsetzung der Sicherheitsstandards in den Bereichen Informationssicherheit, IT-Systemsicherheit sowie Personen- und Sachsicherheit wurden spezifische Verfahren und Betriebsanleitungen entwickelt. |
| 4. The policies, standards, procedures, and instructions are subject to periodic reviews and revisions, to be approved by GetResponse’s top management. | 4. Die Richtlinien, Standards, Verfahren und Anweisungen unterliegen regelmäßigen Überprüfungen und Überarbeitungen, die von der GetResponse Geschäftsführung genehmigt werden müssen. |
| 5. A system to monitor changes in Personal Data processing legislation has been developed and put in place, and the continuity of its operations has been ensured. | 5. Es wurde ein System zur Überwachung der Änderungen in der Gesetzgebung betreffend Rechtsvorschriften über Verarbeitung personenbezogener Daten entwickelt und eingeführt, und die Kontinuität der Geschäftstätigkeit wurde gewährleistet. |
| II. Roles and tasks | II. Funktionen und Aufgaben. |
| 1. The roles and tasks in security management processes have been defined. The individuals responsible for compliance with each respective security policy have been appointed. | 1. Die Funktionen und Aufgaben in den Prozessen des Sicherheitsmanagements wurden definiert. Die für die Einhaltung der jeweiligen Sicherheitsrichtlinien verantwortlichen Personen wurden ernannt. |
| 2. For every resource (whether physical or electronic) that is of value for the organization, a responsible person (Resource Owner) has been appointed as being in charge of managing the security of that resource. | 2. Für jede Ressource (physisch oder elektronisch), die für das Unternehmen von Wert ist, wurde eine verantwortliche Person (Resource Owner) ernannt, die für die Verwaltung der Sicherheit dieser Ressource verantwortlich ist. |
| 3. To ensure the proper level of Personal Data protection, an independent Data Protection Officer has been designated and appointed. | 3. Um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, wurde ein unabhängiger Datenschutzbeauftragter benannt und ernannt. |
| 4. The Data Protection Officer answers directly to GetResponse’s top management. | 4. Der Datenschutzbeauftragte unterliegt direkt der GetResponse Geschäftsführung. |
| 5. The Data Protection Officer has been included in all the processes connected with Personal Data Processing. | 5. Der Datenschutzbeauftragte wurde in alle Prozesse im Zusammenhang mit der Verarbeitung personenbezogener Daten einbezogen. |
| 6. The Data Protection Officer has been granted sufficient access to any and all information and documentation connected with Personal Data Processing. | 6. Dem Datenschutzbeauftragten wurde ausreichender Zugang zu allen Informationen und Unterlagen im Zusammenhang mit der Verarbeitung personenbezogener Daten gewährt. |
| 7. Those who process Personal Data at the request and on behalf of the GetResponse have been specifically indicated by name and registered (if required by Applicable Law) as authorized to process Personal Data. | 7. Diejenigen, die auf Anfrage und im Auftrag von GetResponse personenbezogene Daten verarbeiten, wurden ausdrücklich namentlich als Berechtigte zur Verarbeitung personenbezogener Daten bezeichnet und registriert (sofern gesetzlich vorgeschrieben). |
| 8. All individuals authorized to process Personal Data have been included in the internal Personal Data security and protection training scheme. | 8. Alle Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, wurden in das interne Trainingsprogramm zur Sicherheit und zum Schutz personenbezogener Daten aufgenommen. |
| 9. All the individuals authorized to process Personal Data have been obliged to comply with data confidentiality throughout the term of their employment and thereafter. | 9. Alle Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, waren während ihrer gesamten Beschäftigungsdauer und danach zur Einhaltung des Datengeheimnisses verpflichtet. |
| III. Access rights management | III. Zugriffsrechteverwaltung |
| 1. Access rights management procedures have been developed for access to data storage devices, rooms, zones, buildings, IT systems and elements of the IT infrastructure and network. | 1. Für den Zugriff auf Datenspeichergeräte, Räume, Zonen, Gebäude, IT-Systeme und Elemente der IT-Infrastruktur und des Netzwerks wurden Verfahren zur Verwaltung von Zugriffsrechten entwickelt. |
| 2. It has been assured that the individuals authorized to process Personal Data are assigned with minimum access rights, depending on the performed tasks. | 2. Es wurde sichergestellt, dass die zur Verarbeitung personenbezogener Daten berechtigten Personen je nach Aufgabenstellung mit minimalen Zugriffsrechten ausgestattet sind. |
| 3. A procedure of monitoring and checking the access rights ad hoc and periodically has been provided. | 3. Es wurde ein Verfahren zur Überwachung und Überprüfung der Zugriffsrechte ad hoc und periodisch eingerichtet. |
| 4. It has been assured that keys, access codes and access rights in the access control system for access to buildings, zones, rooms or part of rooms where Personal Data is processed, are provided to specific individuals authorized to process Personal Data in accordance with the scope of the authorization and the scope of tasks performed within the job position. | 4. Es wurde sichergestellt, dass Schlüssel, Zugangscodes und Zugangsrechte im Zugangskontrollsystem für den Zugang zu Gebäuden, Zonen, Räumen oder Teilen von Räumen, in denen personenbezogene Daten verarbeitet werden, an spezifische Personen weitergegeben werden, die zur Verarbeitung personenbezogener Daten gemäß dem Umfang der Befugnis und dem Aufgabenbereich der Stelle berechtigt sind. |
| 5. It has been assured that buildings, zones, rooms or parts of rooms where Personal Data is processed are secured against unauthorized access in the absence of the individuals authorized to be in these rooms. Anyone who is not authorized to be in the rooms used for Personal Data processing may only stay there under the supervision of authorized persons | 5. Es wurde sichergestellt, dass Gebäude, Zonen, Räume oder Teile von Räumen, in denen personenbezogene Daten verarbeitet werden, vor unbefugtem Zugriff geschützt sind, zu der Zeit der Abwesenheit der Personen, die sich in diesen Räumen aufhalten dürfen. Jeder, der nicht befugt ist, sich in den für die Verarbeitung personenbezogener Daten genutzten Räumen aufzuhalten, darf sich dort nur unter Aufsicht von befugten Personen aufhalten. |
| 6. A process of granting and withdrawing access rights to Personal Data, in particular IT systems, has been developed and implemented. | 6. Ein Verfahren zur Erteilung und Entziehung von Zugangsrechten zu personenbezogenen Daten, insbesondere zu IT-Systemen, wurde entwickelt und umgesetzt. |
| 7. It has been assured that for every person authorized to access the IT system or an element of the IT infrastructure or network, a unique ID is assigned that cannot be assigned to anyone else. | 7. Es wurde sichergestellt, dass für jede Person, die zum Zugriff auf das IT-System oder ein Element der IT-Infrastruktur oder des Netzwerks befugt ist, eine einmalige ID-Adresse vergeben wird, die niemandem sonst zugeordnet werden kann. |
| 8. Periodic access reviews and monitoring of all users, access by such users, physical access, system accounts, test accounts and accounts are carried out and fully documented. | 8. Regelmäßige Zugriffsüberprüfungen und Überwachung aller Benutzer, des Zugriffs dieser Nutzer, ihres physischen Zugriffs, Systemkonten, Testkonten und Konten werden durchgeführt und vollumfassend dokumentiert. |
| 9. It has been assured that for every person authorized to access the IT system or an element of the IT infrastructure or network, authorization which takes place is carried out using secure methods of transmitting the authentication data. | 9. Es wurde sichergestellt, dass hinsichtlich jeder Person, die zum Zugriff auf das IT-System oder ein Element der IT-Infrastruktur oder des Netzwerks befugt ist, die stattfindende Autorisierung unter Anwendung sicherer Methoden zur Übertragung der Authentifizierungsdaten erfolgt. |
| 10. It has been assured that passwords assigned to anyone authorized to access the IT system, or an element of the IT infrastructure or network, is subject to audit procedures and must be changed at predetermined intervals. | 10. Es wurde sichergestellt, dass das Passwort, das jeder Person zugewiesen wird, die zum Zugriff auf das IT-System oder ein Element der IT-Infrastruktur oder des IT-Netzwerks befugt ist, Gegenstand von Auditverfahren ist und in vorgegebenen Zeitabständen geändert werden muss. |
| 11. A standard for secure transmission of passwords has been developed and implemented in case of the need to provide the IT system user with a temporary password. | 11. Für den Fall, dass der IT-Systembenutzer ein temporäres Passwort benötigt, wurde ein Standard für die sichere Übertragung von Passwörtern entwickelt und implementiert. |
| 12. A standard for creating secure passwords for IT system users has been developed and implemented. | 12. Ein Standard zur Erstellung sicherer Passwörter für IT-Systembenutzer wurde entwickelt und implementiert. |
| 13. Upon termination of the employment of employees having such access rights, the access rights of such employees will also be terminated. | 13. Bei Beendigung des Arbeitsverhältnisses von Beschäftigten mit derartigen Zugriffsrechten werden auch die Zugriffsrechte der betreffenden Beschäftigten aufgehoben. |
| IV. Security of the Service | IV. Sicherheit des Dienstes |
| 1. Elements of the network infrastructure used to process Personal Data are secured against the loss of accessibility through application and provision of maintenance services provided by producers and distributors. | 1. Elemente der Netzinfrastruktur, die zur Verarbeitung personenbezogener Daten verwendet werden, sind gegen den Verlust der Zugänglichkeit durch die Beantragung und Bereitstellung von Wartungsdiensten durch Hersteller und Vertreiber geschützt. |
| 2. Periodic independent tests of the vulnerability of IT systems that process Personal Data to threats are carried out. | 2. Regelmäßige unabhängige Tests der Schwachstellen von IT-Systemen, die personenbezogene Daten verarbeiten, werden durchgeführt. |
| 3. Security gaps are periodically scanned on the platforms and in the networks that process Personal Data, so that general security standards connected specifically with system reinforcement are complied with. | 3. Sicherheitslücken auf den Plattformen und in den Netzwerken, die personenbezogene Daten verarbeiten, werden regelmäßig gescannt, so dass die allgemeinen Sicherheitsstandards, die speziell mit der Systemverstärkung verbunden sind, eingehalten werden. |
| 4. As a result of penetration tests, vulnerability scanning and compliance assessment, a corrective program is run on a periodic basis, according to a risk-based approach to make effective use of test results. | 4. Als Ergebnis von Penetrationstests, Schwachstellenüberprüfung und Konformitätsbewertung wird regelmäßig ein Korrekturprogramm nach einem risikobasierten Ansatz durchgeführt, um die Ergebnisse der Tests effektiv zu nutzen. |
| 5. A training program regarding the rules of secure software has been developed and provided. | 5. Ein Schulungsprogramm betreffend die Regeln für sichere Software wurde entwickelt und ausgeführt. |
| 6. A software security testing program has been developed and provided. | 6. Ein Software-Sicherheitstestprogramm wurde entwickelt und bereitgestellt. |
| 7. The sub-processor and other provider selection rules that have been developed guarantee an adequate level of technical and organizational security of the services provided and the tasks performed. | 7. Die entwickelten Regeln für die Auswahl von Subunternehmern und Anbietern gewährleisten ein angemessenes Maß an technischer und organisatorischer Sicherheit der erbrachten Leistungen und der durchgeführten Aufgaben. |
| 8. The sub-processor and other service provider auditing standards and mechanisms have been developed, and their implementation has been guaranteed. | 8. Die Unterauftragsverarbeiter und andere Dienstleister, die Normen und Mechanismen für die Auditierung entwickeln, wurden entwickelt und ihre Umsetzung sichergestellt. |
| V. Change and incident management | V. Änderungs– und Zwischenfallmanagement. |
| 1. A documented change control policy has been put in place which includes requirements for approving, classifying and testing the back-out plan and the division of responsibilities between request, approval and implementation. | 1. Es wurde eine dokumentierte Änderungskontrollrichtlinie eingeführt, die Anforderungen an die Genehmigung, Klassifizierung und Prüfung des Backout-Plans sowie die Aufteilung der Verantwortlichkeiten zwischen Antragstellung, Zustimmung und Implementierung enthält. |
| 2. A software production security standard has been developed and put in place. | 2. Es wurde ein Standard zur Sicherheit der Softwareherstellung entwickelt und umgesetzt. |
| 3. Procedures for managing and responding to security breach incidents have been put in place to allow reasonable detection, testing, response, mitigation of consequences, and notification of any events that involve a threat to the confidentiality, integrity, and availability of Personal Data. The response and management procedures are documented, checked and reviewed at least annually. | 3. Es wurden Verfahren zur Verwaltung und Reaktion auf Vorfälle von Sicherheitsverletzungen eingeführt, um eine angemessene Erkennung, Prüfung, Reaktion, Minderung von Folgen und Benachrichtigung über alle Ereignisse zu ermöglichen, die eine Bedrohung für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten darstellen. Die Reaktions- und Managementverfahren werden mindestens einmal jährlich dokumentiert, geprüft und überprüft. |
| VI. Privacy security | VI. Datenschutz. |
| 1. A standard regarding the analysis of the risk of violating the basic rights and freedoms of Data Subjects, and the risk of loss of Personal Data confidentiality, availability and integrity at every product life cycle stage, has been developed and put in place. | 1. Es wurde ein Standard für die Analyse des Risikos der Verletzung der Grundrechte und -freiheiten der betroffenen Personen und des Risikos des Verlusts der Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten in jeder Phase des Produktlebenszyklus entwickelt und eingeführt. |
| 2. A standard regarding compliance with the privacy protection principle at the software design stage has been developed and put in place (privacy by design). | 2. Es wurde eine Standartnorm zur Einhaltung des Datenschutzprinzips bei der Softwareerstellung entwickelt und umgesetzt (Privacy by Design). |
| 3. A standard regarding compliance with the privacy protection principle in default settings at the software design stage, has been developed and put in place (privacy be default). | 3. Es wurde eine Standardnorm zur Einhaltung des Datenschutzprinzips in den Standardeinstellungen in der Phase des Softwaredesigns entwickelt und umgesetzt (Privacy by Default). |
| B. Technical security measures | B. Technische Sicherheitsmaßnahmen. |
| I. Security of Personal Data Processing operations | I. Sicherheit der Verarbeitung personenbezogener Daten. |
| 1. A minimum scope of technical security measures, which needs to be implemented to ensure protection of Personal Data, has been established. The type and scope of the applied additional technical measures for the protection of Personal Data is established on a case-by-case basis, depending on the identified threats, the required degree of protection, and the technical possibilities. | 1. Es wurde ein Mindestumfang an technischen Sicherheitsmaßnahmen festgelegt, die umgesetzt werden müssen, um den Schutz personenbezogener Daten zu gewährleisten. Art und Umfang der angewandten zusätzlichen technischen Maßnahmen zum Schutz personenbezogener Daten werden von Fall zu Fall festgelegt, abhängig von den identifizierten Bedrohungen, dem erforderlichen Schutzniveau und den technischen Möglichkeiten. |
| 2. The buildings and areas with rooms used for Personal Data processing are secured against unauthorized access through application of access control systems, a burglar and attack alarm system, and surveillance by physical security guards, mechanical or code locks. | 2. Die Gebäude und Bereiche samt den zwecks Verarbeitung personenbezogener Daten genutzten Räumen sind durch den Einsatz von Zutrittskontrollsystemen, einer Einbruch– und Angriffsalarmanlage sowie der Überwachung durch physische Sicherheitskräfte, mechanische oder Codeschlösser gegen unbefugten Zutritt gesichert. |
| 3. The buildings and areas with rooms used for Personal Data Processing are secured against fire, through application of doors of an increased fire resistance class. | 3. Die Gebäude und Bereiche samt den zwecks Verarbeitung personenbezogener Daten genutzten Räumen sind durch den Einsatz von Türen einer erhöhten Feuerwiderstandsklasse gegen Feuer gesichert. |
| 4. The buildings and areas with rooms used for Personal Data Processing are secured against destruction as a result of fire or flooding, through application of a fire alarm and a burglar or attack alarm system. | 4. Die Gebäude und Bereiche samt den zwecks Verarbeitung personenbezogener Daten genutzten Räumen sind durch den Einsatz eines Brandmelders und einer Einbruch- oder Angriffsalarmanlage gegen Zerstörung durch Feuer oder Überschwemmung gesichert |
| 5. The buildings and areas with the rooms used for Personal Data Processing are secured to monitor and identify any threats or undesired events through the application of CCTV. | 5. Die Gebäude und Bereiche samt den zwecks Verarbeitung personenbezogener Daten genutzten Räumen sind durch den Einsatz von Videoüberwachung gesichert, um Bedrohungen oder unerwünschte Ereignisse zu überwachen und zu identifizieren. |
| II. Data transmission security | II. Sicherheit der Datenübertragung |
| 1. Personal Data transferred through teletransmission is secured against loss of confidentiality and integrity using cryptographic data protection measures (data encryption in transit). | 1. Personenbezogene Daten, die im Wege der Fernübertragung übermittelt werden, werden durch kryptografische Datenschutzmaßnahmen (Datenverschlüsselung während der Übertragung) vor dem Verlust der Vertraulichkeit und Integrität geschützt. |
| 2. Personal Data transferred through teletransmission is secured against loss of confidentiality through segmentation of ICT networks (network segmentation). | 2. Personenbezogene Daten, die durch Fernübertragung übertragen werden, sind durch die Segmentierung von IKT-Netzwerken (Netzwerksegmentierung) vor dem Verlust der Vertraulichkeit geschützt. |
| 3. Encryption keys used to secure the teletransmission of data are stored in a secure place, with management of access to them and with the possibility of key recovery. | 3. Verschlüsselungsschlüssel, die zur sicheren Fernübertragung von Daten verwendet werden, werden an einem sicheren Ort mit Zugriffsverwaltung und der Möglichkeit der Schlüsselwiederherstellung gespeichert. |
| III. Security of storage devices | III. Sicherheit von Speichergeräten |
| 1. Personal Data stored in data storage devices at rest is secured against loss of confidentiality and integrity, using cryptographic data protection measures (data encryption at rest). | 1. Personenbezogene Daten, die in ruhenden Datenträgern gespeichert sind, werden durch kryptografische Datenschutzmaßnahmen (Datenverschlüsselung im Ruhezustand) vor dem Verlust von Vertraulichkeit und Integrität geschützt. |
| 2. Personal Data stored in data storage devices is secured against loss of confidentiality through physical or logical data separation (data separation). | 2. Personenbezogene Daten, die auf Datenträgern gespeichert sind, sind gegen den Verlust der Vertraulichkeit durch physische oder logische Datentrennung (Datentrennung) gesichert. |
| 3. Personal Data stored in data storage devices is secured against loss of availability and integrity through real-time data copying mechanisms (data replication). | 3. Personenbezogene Daten, die auf Datenträgern gespeichert sind, werden durch Echtzeit-Datenkopiermechanismen (Datenreplikation) vor Verlust der Verfügbarkeit und Integrität geschützt. |
| 4. Personal Data stored in data storage devices is secured against loss of availability and integrity through mechanisms of creating incremental or full data backups at predetermined time intervals (data backup). | 4. Personenbezogene Daten, die auf Datenträgern gespeichert sind, werden gegen den Verlust der Verfügbarkeit und Integrität durch Mechanismen zur Erstellung differentieller oder vollständiger Datensicherungen in vorgegebenen Zeitabständen gesichert (Datensicherung). |
| 5. Personal Data stored in data storage devices is secured against loss of availability through mechanisms and procedures for data recovery, data source switching, and backup restoration. | 5. Personenbezogene Daten, die auf Datenträgern gespeichert sind, sind durch Mechanismen und Verfahren zur Datenwiederherstellung, zur Umschaltung der Datenquellen und zur Wiederherstellung der Datensicherung vor Verlust der Verfügbarkeit geschützt. |
| 6. The data storage devices used for Personal Data Processing are secured against unauthorized access before they are installed in the hardware, through access restriction and control using safes. | 6. Die für die Verarbeitung personenbezogener Daten verwendeten Datenspeichergeräte sind vor der Installation in der Hardware durch Zugriffsbeschränkung und Steuerung mithilfe von Safes gegen unbefugten Zugriff gesichert. |
| 7. The data storage devices used for Personal Data Processing are secured against loss of data confidentiality through the application of embedded procedures of cryptographic data protection (cryptographic protection of data storage devices). | 7. Die für die Verarbeitung personenbezogener Daten verwendeten Datenträger sind durch den Einsatz von integrierten Verfahren des kryptographischen Datenschutzes (kryptographischer Schutz von Datenspeichern) vor dem Verlust der Vertraulichkeit der Daten geschützt. |
| 8. The data storage devices used for Personal Data Processing are secured against loss of availability through the application of systems for automated monitoring of performance, capacity utilization, and availability time. | 8. Die für die Verarbeitung personenbezogener Daten verwendeten Datenträger sind durch den Einsatz von Systemen zur automatisierten Überwachung von Leistung, Kapazität, Auslastung und Verfügbarkeit gegen Verlust der Verfügbarkeit gesichert. |
| 9. The data storage devices used for Personal Data Processing are secured against unauthorized use, with the procedures for use and configuration of IT infrastructure elements (configuration management). | 9. Die für die Verarbeitung personenbezogener Daten verwendeten Datenträger sind durch die Verfahren zur Nutzung und Konfiguration von IT-Infrastruktur-Elementen (Konfigurationsmanagement) gegen unbefugte Nutzung gesichert. |
| 10. The data storage devices intended for reuse are secured against data disclosure to any unauthorized person or IT system, through the application of secure data deletion methods. | 10. Die zwecks Wiederverwendung vorgesehenen Datenträger sind durch den Einsatz von sicheren Datenlöschungsmethoden gegen die Weitergabe von Daten an unbefugte Person oder an ein IT-System gesichert. |
| 11. The data storage devices used for Personal Data Processing intended for elimination are secured against reuse through permanent and deliberate mechanical destruction. | 11. Die für die Verarbeitung personenbezogener Daten verwendeten Datenträger, die zur Beseitigung bestimmt sind, sind gegen eine Wiederverwendung durch dauerhafte und vorsätzliche mechanische Zerstörung gesichert. |
| IV. Data storage security | IV. Sicherheit der Datenspeicherung. |
| 1. Personal Data stored in databases is secured against loss of integrity, through the application of consistency rules in terms of semantics (definition of data type), entities (definition of basic keys) and reference (definition of foreign keys). | 1. Die in Datenbanken gespeicherten personenbezogenen Daten werden durch die Anwendung von Konsistenzregeln hinsichtlich der Semantik (Definition des Datentyps), hinsichtlich der Einheiten (Definition von Basisschlüsseln) und Referenzen (Definition von Fremdschlüsseln) vor dem Verlust der Integrität geschützt. |
| 2. Personal Data is secured against loss of accountability, through the application of solutions that tie specific actions to a specific person or IT system. | 2. Personenbezogene Daten werden vor Verlust der Zurechenbarkeit durch den Einsatz von Lösungen geschützt, die bestimmte Aktionen an eine bestimmte Person oder ein bestimmtes IT-System binden. |
| V. Security of network infrastructure | V. Sicherheit der Netzwerkinfrastruktur |
| 1. Personal Data is secured against loss of confidentiality, through the application of secure access authentication methods for people and IT systems. | 1. Personenbezogene Daten werden vor dem Verlust der Vertraulichkeit durch die Anwendung von Methoden zur sicheren Zugangsauthentifizierung für Personen und IT-Systeme geschützt. |
| 2. Personal Data is secured against loss of confidentiality and availability through monitoring of correct functioning, and use of secure access authentication methods for people and IT systems. | 2. Personenbezogene Daten werden vor dem Verlust der Vertraulichkeit und Verfügbarkeit geschützt, indem das ordnungsgemäße Funktionieren und die Nutzung von Methoden zur sicheren Zugangsauthentifizierung für Personen und IT-Systeme überwacht wird. |
| 3. Personal Data is secured against loss of availability, through the application of additional backup and emergency sources of power for the IT infrastructure used to process Personal Data. | 3. Personenbezogene Daten werden durch den Einsatz von zusätzlichen zur Verarbeitung personenbezogener Daten verwendeten Backup- und Notstromquellen für die IT-Infrastruktur vor Verfügbarkeitsverlust geschützt. |
| 4. Elements of the network infrastructure used for Personal Data Processing (computers, servers, network equipment) are secured against access by unauthorized persons and IT systems, through secure access authentication methods. | 4. Netzwerkinfrastrukturelemente, die für die Verarbeitung personenbezogener Daten verwendet werden (Computer, Server, Netzwerkgeräte), werden durch sichere Zugangsauthentifizierungsverfahren vor dem Zugriff der unbefugten Personen und IT-Systeme geschützt. |
| 5. Elements of the network infrastructure used for Personal Data Processing are secured against access by unauthorized persons and IT systems, and against loss of availability through monitoring of the validity of the operating system and the installed software. | 5. Die zur Verarbeitung personenbezogener Daten genutzten Netzwerkinfrastrukturelemente sind durch die Überwachung der Gültigkeit des Betriebssystems und der installierten Software gegen den Zugriff unbefugter Personen und IT-Systeme und gegen den Verlust der Verfügbarkeit gesichert. |
| 6. Elements of the network infrastructure used for Personal Data Processing are secured against access by unauthorized persons and IT systems, and against loss of availability with use of such software as Firewall, Intrusion Detection Systems, Intrusion Prevention Systems, and Anti DDOS. | 6. Elemente der Netzwerkinfrastruktur, die zur Verarbeitung personenbezogener Daten genutzt werden, sind durch den Einsatz von Software wie Firewall, Intrusion-Detection-Systeme, Intrusion-Prevention-System-, Anti-DDoS gegen den Zugriff unbefugter Personen und IT-Systeme und gegen Verfügbarkeitsverlust gesichert. |
| 7. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability, through the application of replication, virtualization, and automated scaling procedures. | 7. Elemente der Netzwerkinfrastruktur, die zwecks Verarbeitung personenbezogener Daten genutzt werden, sind durch Anwendung der Replikation, Virtualisierung und des automatisierten Skalierungsverfahren gegen den Verfügbarkeitsverlust gesichert. |
| 8. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability through the application of automatic availability, load, and performance monitoring processes. | 8. Elemente der Netzwerkinfrastruktur, die zwecks Verarbeitung personenbezogener Daten genutzt werden, sind durch den Einsatz von automatischen Verfügbarkeits-, Last- und Leistungsüberwachungsprozessen gegen den Verfügbarkeitsverlust gesichert. |
| 9. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability, through the application of backup power sources and automatic power source switching procedures. | 9. Elemente der Netzinfrastruktur, die zur Verarbeitung personenbezogener Daten genutzt werden, sind durch den Einsatz von Backup-Stromquellen und der automatischen Energiequellen–Umschaltverfahren gegen den Verfügbarkeitsverlust gesichert. |