1. Vertraulichkeit
gem. Art. 32 Abs. 1 lit. b DSGVO
a. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
| Manuelles Schließsystem | ✓ | ✓ | — |
| Sicherheitsschlösser | ✓ | ✓ | — |
| Videoüberwachung der Eingänge | ✓ | — | — |
| Zutrittskontrollsystem, Ausweisleser | ✓ | ✓ | — |
| Alarmanlage | ✓ | — | — |
| Absicherung der Gebäudeschächte | ✓ | — | — |
| Türe mit Knauf Außenseite | ✓ | — | — |
| Klingelanlage der Eingänge | ✓ | — | — |
| Video-/Fernsehmonitor | ✓ | ✓ | — |
| Realisierung eines wirksamen Zutrittsschutzes | ✓ | — | — |
| Protokollierung des Zutritts | ✓ | — | — |
| Festlegung zutrittsberechtigter Personen | ✓ | — | — |
| Verwaltung von personengebundenen Zutrittsberechtigungen | ✓ | — | — |
| Begleitung von Fremdpersonal | ✓ | — | — |
| Überwachung der Räume | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
| Schlüsselregelung/Liste | ✓ | ✓ | — |
| Empfang/Rezeption/Pförtner | ✓ | ✓ | — |
| Besucherbuch/Protokoll der Besucher | ✓ | ✓ | — |
| Mitarbeiter-/Besucherausweise | ✓ | ✓ | — |
| Besucher in Begleitung durch Mitarbeiter | ✓ | ✓ | — |
| Sorgfalt bei der Auswahl der Reinigungsdienste | ✓ | ✓ | — |
| Sorgfalt bei der Auswahl des Wachpersonals | — | — | — |
| Zutrittskontrollsysteme sowie Alarmanlagen über USV und Netzersatzanlage gesichert | ✓ | — | — |
| Regelmäßige Begehung durch Wachdienst | ✓ | — | — |
b. Zugangskontrolle
Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Login mit Benutzername + Passwort | ✓ | ✓ | — |
| Anti-Viren-Software Server | ✓ | ✓ | — |
| Anti-Viren-Software Clients | ✓ | ✓ | — |
| Anti-Viren-Software mobile Geräte | ✓ | ✓ | — |
| Firewall | ✓ | ✓ | — |
| Intrusion Detection Systeme | ✓ | ✓ | — |
| Einsatz VPN bei Remote-Zugriff | ✓ | ✓ | — |
| Intrusion Prevention Systeme | ✓ | — | — |
| Mobile Device Management | ✓ | — | — |
| Verschlüsselung von Datenträgern | ✓ | — | — |
| Verschlüsselung von Smartphones | ✓ | — | — |
| Automatische Bildschirmsperre | ✓ | — | — |
| Verschlüsselung von Notebooks/Tablets | ✓ | — | — |
| Festlegung des Schutzbedarfs | ✓ | — | — |
| Umsetzung sicherer Zugangsverfahren, starke Authentisierung | ✓ | — | — |
| Umsetzung einfacher Authentisierung über Username/Passwort | ✓ | — | — |
| Protokollierung des Zugangs | ✓ | — | — |
| Monitoring bei kritischen IT-Systemen | ✓ | — | — |
| Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen | ✓ | — | — |
| Sperrung bei Fehlversuchen/Inaktivität und Rücksetzungsprozess | ✓ | — | — |
| Verbot Speicherfunktion für Passwörter (Server/Clients) | ✓ | — | — |
| Festlegung befugter Personen | ✓ | — | — |
| Verwaltung und Dokumentation von Authentifizierungsmedien und Zugangsberechtigungen | ✓ | — | — |
| Automatische und manuelle Zugangssperre | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Einrichtung von Benutzerberechtigungen | — | ✓ | ✓ |
| Zentrale Passwortvergabe | — | ✓ | ✓ |
| Allgemeine Datenschutzrichtlinie | — | ✓ | ✓ |
| Allgemeine Richtlinie IT-Sicherheit | — | ✓ | ✓ |
| Richtlinie „clean desk“ | — | ✓ | ✓ |
| Anleitung „Manuelle Desktopsperre“ | — | ✓ | ✓ |
| Mobile Device Policy | ✓ | — | — |
| Allg. Richtlinie Datenschutz und/oder Sicherheit | ✓ | — | — |
c. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Physische Löschung von Datenträgern | — | ✓ | ✓ |
| Protokollierung von Zugriffen auf Anwendungen (Eingabe, Änderung, Löschung) | — | ✓ | ✓ |
| Externer Aktenvernichter (DIN 32757) | ✓ | — | — |
| Aktenschredder (mind. Stufe 3, cross cut) | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Einsatz Berechtigungskonzepte | — | ✓ | ✓ |
| Minimale Anzahl an Administratoren | — | ✓ | ✓ |
| Verwaltung von Benutzerrechten durch Administratoren | — | ✓ | ✓ |
| Differenzierte Berechtigungen (Profile, Rollen) | — | ✓ | ✓ |
| Erstellen eines Berechtigungskonzepts | — | ✓ | ✓ |
| Umsetzung von Zugriffsbeschränkungen | ✓ | — | — |
| Vergabe minimaler Berechtigungen | ✓ | — | — |
| Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen | ✓ | — | — |
| Vermeidung der Konzentration von Funktionen | ✓ | — | — |
| Datenschutztresor | — | ✓ | — |
d. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Trennung von Produktiv- und Testumgebung | ✓ | ✓ | ✓ |
| Mandantenfähigkeit relevanter Anwendungen | — | ✓ | ✓ |
| Physikalische Trennung (Systeme, Datenbanken, Datenträger) | — | ✓ | — |
| Zweckbindung | — | ✓ | — |
| Datensparksamkeit im Umgang mit personenbezogenen Daten | ✓ | — | — |
| Getrennte Verarbeitung verschiedener Datensätze | ✓ | — | ✓ |
| Regelmäßige Verwendungszweckkontrolle und Löschung | ✓ | — | ✓ |
| Trennung von Test- und Entwicklungsumgebung | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Steuerung über Berechtigungskonzept | — | ✓ | ✓ |
| Festlegung von Datenbankrechten | — | ✓ | ✓ |
| Datensätze sind mit Zweckattributen versehen | — | ✓ | — |
e. Pseudonymisierung
Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem, abgesichertem System (möglichst verschlüsselt) | — | ✓ | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Interne Anweisung, personenbezogene Daten bei Weitergabe oder nach Ablauf der Löschfrist möglichst zu anonymisieren/pseudonymisieren | — | ✓ | ✓ |
2. Integrität
gem. Art. 32 Abs. 1 lit. b DSGVO
a. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| E-Mail-Verschlüsselung | — | ✓ | — |
| Einsatz von VPN | — | ✓ | ✓ |
| Protokollierung der Zugriffe und Abrufe | — | ✓ | ✓ |
| Bereitstellung über verschlüsselte Verbindungen (sftp, https) | — | ✓ | ✓ |
| Serverstandort Deutschland | — | ✓ | — |
| Festlegung empfangs-/weitergabeberechtigter Personen | ✓ | — | — |
| Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland | ✓ | — | — |
| Protokollierung von Übermittlungen gemäß Protokollierungskonzept | ✓ | — | — |
| Sichere Datenübertragung zwischen Server und Client | ✓ | — | — |
| Sicherung der Übertragung im Backend | ✓ | — | — |
| Sichere Übertragung zu externen Systemen | ✓ | — | — |
| Risikominimierung durch Netzseparierung | ✓ | — | — |
| Implementation von Sicherheitsgateways an Netzübergabepunkten | ✓ | — | — |
| Härtung der Backendsysteme | ✓ | — | — |
| Umsetzung einer Maschine-Maschine-Authentisierung | ✓ | — | — |
| Sichere Ablage von Daten, inkl. Backups | ✓ | — | — |
| Gesicherte Speicherung auf mobilen Datenträgern | ✓ | — | — |
| Prozess zur Datenträgerverwaltung | ✓ | — | — |
| Datenschutzgerechtes Lösch- und Zerstörungsverfahren | ✓ | — | — |
| Führung von Löschprotokollen | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. Löschfristen | — | ✓ | ✓ |
| Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen | — | ✓ | ✓ |
| Weitergabe in anonymisierter oder pseudonymisierter Form | — | ✓ | — |
| Übersicht regelmäßiger Abruf- und Übermittlungsvorgänge | — | ✓ | — |
b. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | — | ✓ | ✓ |
| Manuelle oder automatisierte Kontrolle der Protokolle | — | ✓ | ✓ |
| Protokollierungs- und Protokollauswertungssysteme | — | ✓ | ✓ |
| Protokollierung der Eingaben | ✓ | — | — |
| Dokumentation der Eingangsberechtigungen | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können | — | ✓ | — |
| Nachvollziehbarkeit von Eingabe, Änderung und Löschung durch individuelle Benutzernamen | ✓ | — | — |
| Vergabe von Rechten zur Eingabe, Änderung und Löschung auf Basis eines Berechtigungskonzepts | — | ✓ | ✓ |
| Klare Zuständigkeiten für Löschungen | — | ✓ | ✓ |
| Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden | ✓ | — | — |
3. Verfügbarkeit und Belastbarkeit
gem. Art. 32 Abs. 1 lit. b DSGVO
a. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Feuer- und Rauchmeldeanlagen | — | ✓ | ✓ |
| Feuerlöscher Serverraum | — | ✓ | ✓ |
| Serverraumüberwachung Temperatur und Feuchtigkeit | — | ✓ | ✓ |
| Serverraum klimatisiert | — | ✓ | ✓ |
| USV (unterbrechungsfreie Stromversorgung) | — | ✓ | ✓ |
| Schutzsteckdosenleisten Serverraum | — | ✓ | ✓ |
| RAID-System/Festplattenspiegelung | — | ✓ | ✓ |
| Videoüberwachung Serverraum | — | ✓ | ✓ |
| Backup-Verfahren | — | ✓ | ✓ |
| Datenschutztresor (S60DIS, S12DIS o. ä.) | — | ✓ | — |
| Alarmmeldung bei unberechtigtem Zutritt zu Serverraum | — | ✓ | — |
| Brandschutz | ✓ | — | — |
| Redundanz der Primärtechnik | ✓ | — | — |
| Redundanz der Stromversorgung | ✓ | — | — |
| Redundanz der Kommunikationsverbindungen | ✓ | — | — |
| Monitoring | ✓ | — | — |
| Ressourcenplanung und Bereitstellung | ✓ | — | — |
| Abwehr von systembelastendem Missbrauch | ✓ | — | — |
| Datensicherungskonzepte und Umsetzung | ✓ | — | — |
| Regelmäßige Prüfung der Notfalleinrichtungen | ✓ | — | — |
| Notfallplan | ✓ | — | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Backup- & Recovery-Konzept (ausformuliert) | — | ✓ | ✓ |
| Kontrolle des Sicherungsvorgangs | — | ✓ | ✓ |
| Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse | — | ✓ | ✓ |
| Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums | — | ✓ | ✓ |
| Existenz eines Notfallplans (z. B. BSI IT-Grundschutz 100-4) | — | ✓ | ✓ |
| Getrennte Partitionen für Betriebssysteme und Daten | — | ✓ | ✓ |
4. Verfahren zur Überprüfung, Bewertung und Evaluierung
gem. Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO
a. Datenschutz-Management
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Software-Lösungen für Datenschutz-Management im Einsatz | — | ✓ | ✓ |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriff für Mitarbeiter | — | ✓ | ✓ |
| IT-Grundschutz nach ISO 27001 | — | ✓ | — |
| Sicherheitszertifizierung nach BSI IT | — | ✓ | — |
| Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen (mind. jährlich) | — | — | ✓ |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Interner/externer Datenschutzbeauftragter | — | ✓ | ✓ |
| Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet | — | ✓ | ✓ |
| Regelmäßige Sensibilisierung der Mitarbeiter (mind. jährlich) | — | ✓ | ✓ |
| Interner/externer Informationssicherheitsbeauftragter | — | ✓ | ✓ |
| Datenschutz-Folgenabschätzung (DSFA) gemäß gesetzlicher Vorschrift | — | ✓ | ✓ |
| Anderweitiges dokumentiertes Sicherheitskonzept | — | — | ✓ |
| Festlegung von Verantwortlichkeiten | ✓ | — | — |
| Umsetzung und Kontrolle geeigneter Prozesse | ✓ | — | — |
| Melde- und Freigabeprozess | ✓ | — | — |
| Umsetzung von Schulungsmaßnahmen | ✓ | — | — |
| Verpflichtung auf Vertraulichkeit | ✓ | — | — |
| Regelungen zur internen Aufgabenverteilung | ✓ | — | — |
| Beachtung von Funktionstrennung und -zuordnung | ✓ | — | — |
| Einführung geeigneter Vertreterregelung | ✓ | — | — |
| Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen Betroffener | ✓ | — | — |
b. Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen.
Technische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Einsatz von Firewall und regelmäßige Aktualisierung | — | ✓ | ✓ |
| Einsatz von Spamfilter und regelmäßige Aktualisierung | — | ✓ | ✓ |
| Einsatz von Virenscanner und regelmäßige Aktualisierung | — | ✓ | ✓ |
| Intrusion Detection System (IDS) | — | ✓ | — |
| Intrusion Prevention System (IPS) | — | ✓ | — |
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen | — | ✓ | ✓ |
| Dokumentation von Sicherheitsvorfällen und Datenpannen (z. B. via Ticketsystem) | — | ✓ | ✓ |
| Formaler Prozess und Verantwortlichkeiten zur Nachbereitung von Sicherheitsvorfällen | — | ✓ | ✓ |
| Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen (inkl. Meldepflicht) | — | ✓ | — |
| Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen | — | ✓ | — |
c. Datenschutzfreundliche Voreinstellungen
Privacy by Design / Privacy by Default (Art. 25 Abs. 2 DSGVO)
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich | — | ✓ | ✓ |
| Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen | — | ✓ | ✓ |
| Informationssicherheitsmanagement nach ISO 27001 | ✓ | — | — |
| Prozess zur Evaluation der technischen und organisatorischen Maßnahmen | ✓ | — | — |
| Prozess Sicherheitsvorfall-Management | ✓ | — | — |
| Durchführung von technischen Überprüfungen | ✓ | — | — |
d. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Organisatorische Maßnahmen
| Maßnahme | IONOS | Office | Exoscale |
|---|
| Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation | — | ✓ | ✓ |
| Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (Datenschutz und Datensicherheit) | — | ✓ | ✓ |
| Abschluss des notwendigen AV-Vertrags bzw. EU-Standard-Vertragsklauseln | — | ✓ | — |
| Schriftliche Weisung an den Auftragnehmer | — | ✓ | ✓ |
| Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis | — | ✓ | ✓ |
| Regelung zum Einsatz weiterer Subunternehmer | — | ✓ | — |
| Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus | — | ✓ | ✓ |
| Eindeutige Vertragsgestaltung | — | ✓ | ✓ |
| Formalisierte Auftragserteilung | — | ✓ | ✓ |
cinify GmbH – Anlage 3 zum AV-Vertrag