Zum Inhalt springen

Exabeam wurde im Gartner ® Magic Quadrant™ für SIEM 2025 zum sechsten Mal als führend ausgezeichnet –Mehr lesen

Demo anfordern

Datensicherheitsrichtlinie für Exabeam-Anbieter

In Verbindung mit den Produkten und/oder Dienstleistungen („Lösungen“), die in der geltenden Vereinbarung zwischen EXABEAM und der anderen in der Vereinbarung genannten Partei („AUFTRAGNEHMER“) („Vereinbarung“) genannt sind, gehen die Parteien davon aus, dass der AUFTRAGNEHMER und gegebenenfalls seine Unterauftragnehmer von Zeit zu Zeit geschützte Daten verarbeiten können, in Bezug auf die EXABEAM, seine verbundenen Unternehmen oder Klienten oder Kunden von EXABEAM oder seinen verbundenen Unternehmen gemäß der Datenschutzgesetzgebung (wie unten definiert) Datenverantwortliche sein können. AUFTRAGNEHMER und EXABEAM stimmen den Bedingungen dieser Datensicherheitsrichtlinie („Richtlinie“) zu, die von EXABEAM von Zeit zu Zeit aktualisiert wird, um sicherzustellen, dass angemessene Sicherheitsvorkehrungen in Bezug auf den Schutz dieser geschützten Daten gemäß den Datenschutzgesetzen getroffen werden. Der AUFTRAGNEHMER wird proaktiv alle aktualisierten Versionen dieser Richtlinie beschaffen und strikt einhalten.

1. DEFINITIONEN. Sofern hierin nicht anders definiert, haben in dieser Richtlinie großgeschriebene Begriffe dieselbe Bedeutung wie in der Vereinbarung festgelegt.

1.1 „Angemessenes Land“ bezeichnet ein Land oder Gebiet, das gemäß der jeweils geltenden Datenschutzgesetzgebung als Land anerkannt ist, das einen angemessenen Schutz für geschützte Daten bietet.

1.2 „Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das eine Partei direkt oder indirekt kontrolliert, von einer Partei kontrolliert wird oder mit dieser unter gemeinsamer Kontrolle steht. Im Sinne dieser Richtlinie bedeutet „Kontrolle“ den direkten oder indirekten Besitz oder die Kontrolle von mindestens fünfzig Prozent (50 %) oder mehr aller stimmberechtigten Aktien (oder sonstigen Wertpapiere oder Rechte), die zur Wahl von Direktoren oder anderen Leitungsorganen berechtigt sind.

1.3 „CCPA“ bezeichnet den California Consumer Privacy Act von 2018 in der jeweils gültigen Fassung.

1.4 „Vertrauliche Informationen“ bezeichnet sämtliche Informationen in Bezug auf Exabeam, seine verbundenen Unternehmen, Klienten oder Kunden (einschließlich Software, Quellcode und Spezifikationen, Geschäftsgeheimnisse, technische Informationen, Geschäftsprognosen und -strategien, Personalinformationen, Kreditkarten- oder andere Finanzinformationen und Eigentum Dritter, die der anderen Partei vertraulich zur Verfügung gestellt wurden), die als „vertraulich“ oder „urheberrechtlich geschützt“ gekennzeichnet oder identifiziert sind; und die, wenn sie mündlich oder anderweitig in materieller Form offengelegt werden, als solche innerhalb von dreißig (30) Tagen nach einer solchen Offenlegung schriftlich bestätigt werden; oder die anderweitig in einer Weise offengelegt werden, dass eine vernünftige Person erkennen würde, dass die offengelegten Informationen vertraulich oder urheberrechtlich geschützt sind. Ohne Einschränkung des Vorstehenden gelten sämtliche Software und Dokumentationen als „vertrauliche Informationen“ von EXABEAM und alle Kundendaten als „vertrauliche Informationen“ von Exabeam und seinen Kunden.

1.5 „Kundendaten“ bezeichnet alle Daten, die dem AUFTRAGNEHMER während der Laufzeit der Vereinbarung zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf in die SaaS-Umgebung hochgeladene Daten, einschließlich aller PII und aller Ausgaben von Exabeam, seinen verbundenen Unternehmen, Kunden oder der Nutzung der SaaS-Umgebung durch den Kunden.

1.6 „Datenschutzgesetzgebung“ bezeichnet alle Datenschutzgesetze und -vorschriften, die für alle geschützten Daten gelten, die im Rahmen dieser Richtlinie und der Vereinbarung oder in Verbindung damit verarbeitet werden, einschließlich, aber nicht beschränkt auf die Datenschutzrichtlinie 95/46/EG (in der jeweils gültigen Fassung) und die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, CCPA, UK Data Protection Act 2018 sowie alle nationalen Gesetze, die das Vorgenannte umsetzen oder ergänzen.

1.7 „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung geschützter Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

1.8 „PCI DSS“ bezeichnet den Datensicherheitsstandard, der von Zeit zu Zeit vom Payment Card Industry Security Standards Council oder einem Nachfolgerat oder einer Nachfolgeagentur veröffentlicht und aktualisiert wird und Anforderungen an Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere wichtige Schutzmaßnahmen für elektronische Daten enthält.

1.9„ Personenbezogene Daten “bezeichnet alle Daten, die in der Datenschutzgesetzgebung als „Personenbezogene Daten“ definiert sind und die von EXABEAM direkt oder indirekt an den AUFTRAGNEHMER übermittelt werden oder auf die der AUFTRAGNEHMER oder seine Unterauftragsverarbeiter (sofern zutreffend) zum Zweck der Bereitstellung der Lösung für EXABEAM zugreifen, sie speichern oder anderweitig verarbeiten.

1.10 „Geschützte Daten“ bezeichnet alle vertraulichen Informationen, Kundendaten und Personenbezogene Daten von Exabeam, seinen verbundenen Unternehmen, Klienten und Kunden.

1.11 „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen in der Datenschutzgesetzgebung zugeschrieben wird.

1.12 „Standardvertragsklauseln / SCC“ bezeichnet den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, verfügbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.

1.13 „UK-Nachtrag“ bezeichnet den Nachtrag zum internationalen Datentransfer zu den SCCs, der vom Datenschutzbeauftragten gemäß S119A(1) Data Protection Act 2018, Version B1.0, herausgegeben wurde, am 21. März 2022 in Kraft tritt und unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar ist.

2. DATENVERARBEITUNG

2.1 Umfang und Rollen der Parteien. Die Parteien erkennen an und vereinbaren, dass EXABEAM in Bezug auf die Verarbeitung geschützter Daten der Datenverantwortliche und der AUFTRAGNEHMER der Datenverarbeiter ist.

2.2 Einhaltung von Gesetzen. Jede Partei wird bei der Erfüllung ihrer Verpflichtungen aus dieser Richtlinie alle für sie geltenden und für sie bindenden Gesetze, Regeln und Vorschriften einhalten, einschließlich der Datenschutzgesetze.

2.3 Verarbeitungsanweisungen. Der AUFTRAGNEHMER verarbeitet geschützte Daten gemäß der jeweils geltenden Vereinbarung zwischen EXABEAM und dem AUFTRAGNEHMER und gemäß den angemessenen schriftlichen Anweisungen von EXABEAM, sofern diese Anweisungen mit den Bedingungen der Vereinbarung und dieser Richtlinie übereinstimmen.

3. DATENÜBERTRAGUNGEN

3.1 Weder der AUFTRAGNEHMER noch einer seiner Unterauftragsverarbeiter dürfen ohne vorherige schriftliche Zustimmung von EXABEAM auf geschützte Daten außerhalb des Herkunftslandes zugreifen, diese übertragen oder verarbeiten.

3.2 Soweit die Verarbeitung geschützter Daten durch den AUFTRAGNEHMER in einem Land außerhalb des EWR erfolgt (außer in einem geeigneten Land), vereinbaren die Parteien, dass in Bezug auf diese Verarbeitung die Standardvertragsklauseln gelten und der AUFTRAGNEHMER die Verpflichtungen des „Datenimporteurs“ in den Standardvertragsklauseln und EXABEAM die Verpflichtungen des „Datenexporteurs“ erfüllt. Der AUFTRAGNEHMER verarbeitet Personenbezogene Daten, die im Zusammenhang mit der Vertragsvereinbarung bereitgestellt werden, ausschließlich im Auftrag von EXABEAM, und jede derartige Verarbeitung unterliegt Modul 3 der SCCs. Alle Mitteilungen, die der AUFTRAGNEHMER dem/den Verantwortlichen, der/den betroffenen Person(en) oder der Aufsichtsbehörde gemäß den SCCs zukommen lassen muss, sind EXABEAM unverzüglich zu übermitteln, und EXABEAM verpflichtet sich, den/die entsprechenden Verantwortlichen, die betroffene(n) Person(en) oder die Aufsichtsbehörde im Namen des AUFTRAGNEHMERS zu benachrichtigen. Die Parteien vereinbaren, dass die Wahlmöglichkeiten gemäß Modul 3 der SCCs wie folgt sind:

  1. Klausel 7 („Docking-Klausel“) findet keine Anwendung;
  2. Klausel 9 („Einsatz von Unterauftragsverarbeitern“) umfasst OPTION 2 („Allgemeine schriftliche Genehmigung“) mit einer sechzig (60) Tage langen Frist für Einwände, vorausgesetzt, dass ohne die vorherige schriftliche Zustimmung von EXABEAM keine Personenbezogene Daten außerhalb des Herkunftslandes verarbeitet werden;
  3. Klausel 11(a) („Wiedergutmachung“) umfasst nicht die erwähnte OPTION;
  4. Klausel 17 („Geltendes Recht“) umfasst OPTION 2 mit dem Mitgliedstaat der Republik Irland; und
  5. Klausel 18 („Wahl des Gerichtsstands und der Gerichtsbarkeit“) umfasst die Gerichte der Republik Irland.

Die Parteien vereinbaren, dass Anhang I, Anhang II und Anhang III dieser Richtlinie als jeweilige Anhänge der SCCs der Parteien dienen.

3.3 Überträgt der AUFTRAGNEHMER im Rahmen der Erfüllung des Vertrags geschützte Daten an einen Unterauftragsverarbeiter (wozu ohne Einschränkung verbundene Unternehmen des AUFTRAGNEHMERS gehören können) und unbeschadet von Abschnitt 7, muss der AUFTRAGNEHMER, wenn dieser Unterauftragsverarbeiter geschützte Daten außerhalb des EWR oder des Vereinigten Königreichs verarbeitet, vor einer solchen Übertragung sicherstellen, dass ein Mechanismus zur Gewährleistung der Angemessenheit dieser Verarbeitung vorhanden ist, wie etwa: (i) die Anforderung an den AUFTRAGNEHMER, die von den EU-Behörden gemäß der Datenschutzgesetzgebung genehmigten und in Anlage 1 (oder gegebenenfalls den britischen Behörden) festgelegten Standardvertragsklauseln von EXABEAM auszuführen oder deren Ausführung durch Dritte im Namen von EXABEAM zu veranlassen; oder (ii) das Vorhandensein anderer speziell genehmigter Schutzmaßnahmen für Datenübertragungen (wie gemäß der Datenschutzgesetzgebung anerkannt) und/oder eine Feststellung der Angemessenheit durch die zuständige Behörde (wie gemäß der Datenschutzgesetzgebung vorgesehen).

3.4 Soweit der UK-Nachtrag als anwendbarer Mechanismus für die Verarbeitung geschützter Daten verwendet wird:

3.4.1 EXABEAM ist der „Exporteur“ und der AUFTRAGNEHMER ist der „Importeur“; und

3.4.2 Für Tabelle 4 ist die Option „Exporteur“ auszuwählen.

4. SICHERHEITSÜBERPRÜFUNGEN

4.1 Sicherheit. Der AUFTRAGNEHMER sichert zu und gewährleistet, dass er angemessene technische und organisatorische Sicherheitsvorkehrungen gegen die unbefugte und unrechtmäßige Verarbeitung geschützter Daten sowie gegen versehentlichen Verlust oder Zerstörung sowie Beschädigung geschützter Daten trifft und dass er ein umfassendes schriftliches Sicherheitsprogramm entwickelt hat und aufrechterhält, das die vorgenannten Punkte widerspiegelt und EXABEAM jährlich vorzulegen ist. Unbeschadet des Vorstehenden muss dieses Sicherheitsprogramm die erforderlichen allgemeinen Kontrollen detailliert beschreiben, wie z. B. regelmäßige Schulungen zur sicheren Codierung, die Durchführung statischer und dynamischer Tests, Risikoermittlungen für Schwachstellen und Anwendungen sowie Kontrollpunkte im Softwarebereitstellungsprozess, um sicherzustellen, dass Sicherheitstests durchgeführt werden. Zu den Sicherheitsvorkehrungen gehört unter anderem die Installation von Backup- und Datenverlustpräventionssoftware auf Endpunkten, die Zugriff auf geschützte Daten erhalten. Der AUFTRAGNEHMER muss Kontrollen aufrechterhalten, um die Aufrechterhaltung seiner Sicherheitslage zu gewährleisten, wie z. B. Patch-Management, Viren- und Malware-Prävention, Backups sowie Standard-Geräteaufbauten und -konfigurationen. Lösungen müssen aktualisiert werden, um sicherzustellen, dass nur die aktuellsten Versionen verwendet werden. Der AUFTRAGNEHMER verpflichtet sich, alle Richtlinien und Verfahren von EXABEAM einzuhalten, die dem AUFTRAGNEHMER von Zeit zu Zeit mitgeteilt werden können.

4.2 Der AUFTRAGNEHMER minimiert die Verwendung geschützter Daten so weit wie möglich und sorgt für die Verschlüsselung geschützter Daten im Ruhezustand und während der Übertragung auf allen Geräten, die Informationen speichern oder verarbeiten, unabhängig davon, ob die geschützten Daten auf dem Gerät gespeichert werden sollen oder nicht. Im Sinne dieser Richtlinie bezeichnet „Verschlüsselung“ anerkannte, kommerziell vertretbare und kommerziell erhältliche Industriestandardlösungen von branchenweit anerkannten Anbietern, wobei mindestens AES (Advanced Encryption Standard) und eine Schlüssellänge von mindestens 128 Bit bevorzugt werden. Der AUFTRAGNEHMER überprüft den verwendeten Verschlüsselungsstandard regelmäßig, um die Einhaltung dieses Abschnitts sicherzustellen. Unbeschadet des Vorstehenden darf der AUFTRAGNEHMER keine geschützten Daten elektronisch von einem Ort zum anderen übertragen, es sei denn, er verwendet ein digitales Zertifikat auf dem Webserver, um die Verwendung von SSL- und HTTPS-Protokollen zu ermöglichen, sodass alle Internetübertragungen von Daten und Bildschirmbildern verschlüsselt sind. Die Datenpakete mit geschützten Daten dürfen nur innerhalb der Firewall des AUFTRAGNEHMERS entschlüsselt werden; alle Daten müssen verschlüsselt über das Internet übertragen werden. Ein digitales Zertifikat auf dem Webserver muss verwendet werden, um die Verwendung von TLS 1.2 oder höher zu ermöglichen, da frühere Versionen veralten, und von HTTPS-Protokollen, um die Verschlüsselung aller Internetübertragungen von Daten und Bildschirmbildern zu ermöglichen. Der AUFTRAGNEHMER darf geschützte Daten nicht über drahtlose Technologien, E-Mail oder das Internet übertragen, es sei denn, die Verbindung ist mit branchenüblichen Algorithmen oder Mechanismen verschlüsselt, die nicht veraltet sind oder sich anderweitig als anfällig für Angriffe erwiesen haben. Der AUFTRAGNEHMER muss geeignete technologische, verfahrenstechnische und administrative Maßnahmen ergreifen, sodass alle geschützten Daten während der Übertragung über das öffentliche Internet zwischen dem AUFTRAGNEHMER und EXABEAM verschlüsselt sind. Datenspeicher für Passwörter und PINs müssen so konfiguriert werden, dass sie das höchstmögliche Maß an Integrität bieten. Passwörter und PINs (einschließlich nicht menschlicher und temporärer Passwörter/PINs) müssen in einem verschlüsselten Format gespeichert werden.

4.3 Der AUFTRAGNEHMER verwendet für jeden Zugriff auf geschützte Daten eine Multi-Faktor-Authentifizierung, einschließlich, aber nicht beschränkt auf Fernzugriffsverbindungen oder Anwendungen oder Dienste, die nach außen gerichtete Kundendaten betreffen.

4.4 Der AUFTRAGNEHMER führt für alle geschützten Daten einen Aufbewahrungsprozess und einen Geschäftskontinuitätsplan. Der AUFTRAGNEHMER stellt EXABEAM diese Richtlinien und Pläne auf Anfrage zur Verfügung.

4.5 Der AUFTRAGNEHMER leistet auf von EXABEAM in angemessener Weise angeforderte Weise (unter Berücksichtigung der Art der Verarbeitung und der dem AUFTRAGNEHMER zur Verfügung stehenden Informationen) wirtschaftlich angemessene Unterstützung in Bezug auf: (i) EXABEAMs Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf Datenschutz-Folgenabschätzungen (wie dieser Begriff in der DSGVO definiert ist); (ii) Benachrichtigungen an die Aufsichtsbehörde und/oder Mitteilungen an betroffene Personen durch EXABEAM als Reaktion auf Sicherheitsvorfälle (wie unten definiert); und (iii) die Einhaltung der Verpflichtungen von EXABEAM gemäß der DSGVO in Bezug auf die Sicherheit der Verarbeitung.

4.6 Der AUFTRAGNEHMER trennt die Internetumgebung, die zur Bereitstellung der Lösung für EXABEAM verwendet wird, von der Internetumgebung, die von seinem internen Personal genutzt wird. Der AUFTRAGNEHMER hält alle geschützten Daten physisch und logisch von anderen geschützten Daten getrennt. Der Klarheit halber sei darauf hingewiesen, dass der AUFTRAGNEHMER die von EXABEAM bereitgestellten geschützten Daten jedes Klienten, Kunden oder verbundenen Unternehmens physisch und logisch trennt. Der AUFTRAGNEHMER erstellt seine Firewall-Regeln nach dem Prinzip des geringstmöglichen Zugriffs. Der Klarheit halber wird betont, dass die Firewall(s) nur den für die Funktion der Lösung erforderlichen Datenverkehr durchlassen und unnötigen Datenverkehr blockieren.

4.7 Der AUFTRAGNEHMER beauftragt auf eigene Kosten mindestens einmal jährlich einen unabhängigen Dritten mit der Durchführung von Penetrationstests der Umgebung und schließt entdeckte Schwachstellen. Der AUFTRAGNEHMER beauftragt einen seriösen Dritten mit der Durchführung dieser Tests, der nach anerkannten Branchenstandards für die Durchführung solcher Penetrationstests zertifiziert ist. Der AUFTRAGNEHMER stellt EXABEAM die Ergebnisse dieser Tests zur Verfügung und ergreift umgehend geeignete Maßnahmen zur Behebung etwaiger Schwachstellen. Dazu gehört insbesondere die Einhaltung der Empfehlungen von EXABEAM zur Behebung und Behebung von Schwachstellen gemäß den folgenden Zeitrahmen, basierend auf der Kritikalitätsstufe: 3 Tage für kritisch, 4 Wochen für hoch und 6 Monate für mittel.

4.8 Der AUFTRAGNEHMER darf ohne vorherige schriftliche Genehmigung von EXABEAM keine mobilen Geräte wie Smartphones, USB-Laufwerke, Flash-Speicherkarten und/oder Diskettenlaufwerke zur Speicherung oder Verarbeitung geschützter Daten verwenden.

4.9 Der AUFTRAGNEHMER überwacht Netzwerkverkehrsmuster und korreliert Protokolle, um über einen oder mehrere Prozesse (z. B. Security Information and Event Management oder SIEM-Software) auf verdächtigen Datenverkehr zu achten.

4.10 Der AUFTRAGNEHMER stellt sicher, dass Prüfprotokolle für Systeme und Anwendungen, die zum Zugriff auf, zur Speicherung, Verarbeitung oder Übertragung geschützter Daten verwendet werden, aktiviert und aktiv sind. Der AUFTRAGNEHMER richtet außerdem einen Prozess zur Verknüpfung aller Zugriffe auf solche Systeme und Anwendungen ein. Darüber hinaus stellt der AUFTRAGNEHMER sicher, dass Sicherheitsrichtlinien und -verfahren vorhanden sind, um Sicherheitsprotokolle täglich oder wöchentlich zu überprüfen und Ausnahmen nachzuverfolgen. Systemsicherheitsberichte für das Netzwerk und die Lösung des AUFTRAGNEHMERS werden EXABEAM auf Anfrage von EXABEAM zur Verfügung gestellt. Auf Anfrage von EXABEAM stellt der AUFTRAGNEHMER unabhängige Prüfberichte Dritter zu den Systemen zur Verfügung, die zur Unterstützung der Verarbeitung geschützter Daten eingesetzt werden.

4.11 Der AUFTRAGNEHMER wird EXABEAM im Voraus über wesentliche Änderungen seiner System- oder Technologieumgebung informieren, einschließlich Änderungen des physischen Standorts, an dem Daten gespeichert oder primäre Dienste erbracht werden. EXABEAM wird die Änderungen prüfen, um festzustellen, ob sie Auswirkungen auf die Einhaltung der geltenden gesetzlichen Anforderungen haben. EXABEAM wird den AUFTRAGNEHMER über die erforderlichen Abhilfemaßnahmen informieren, um Änderungen zu beheben, die zu einer Nichteinhaltung der Vorschriften führen.

4.12 Der AUFTRAGNEHMER muss Maßnahmen ergreifen, um die physische Sicherheit seiner Einrichtungen und Systeme zu gewährleisten, wie z. B. eindeutig identifizierende Zugangskontrollen (z. B. Smartcards oder biometrische Systeme) und Überwachung. Der Zugang zu Bereichen mit geschützten Daten wird nach dem Prinzip der geringsten Privilegien beschränkt. Der Zugang zu Serverräumen und Rechenzentren wird durch eine Multi-Faktor-Authentifizierung gesichert.

4.13 Zertifizierungen. Der AUFTRAGNEHMER lässt die Angemessenheit seiner Sicherheitsmaßnahmen durch externe Prüfer überprüfen. Diese Prüfung wird (i) mindestens jährlich, (ii) gemäß den Service Organization Control (SOC) 2 Trust Services Principles oder anderen vergleichbaren Standards und (iii) von einem unabhängigen Dritten durchgeführt, der in der jeweiligen Branche zur Durchführung solcher Prüfungen autorisiert ist. Der AUFTRAGNEHMER wählt und trägt die Kosten dafür. Der AUFTRAGNEHMER stellt EXABEAM vierteljährlich Updates zur Konformität der Arbeitsplätze und zum Zertifizierungsstatus zur Verfügung. Der AUFTRAGNEHMER verwendet ausschließlich sicher konfigurierte, unternehmenseigene Geräte (d. h. Nicht-BYOD-Geräte oder hybride Geräte für die berufliche und private Nutzung), um eine Verbindung zu den Netzwerken und Systemen von EXABEAM herzustellen oder um auf geschützte Daten zuzugreifen, diese zu verarbeiten oder zu verwenden.

4.14 Prüfverfahren. Der AUFTRAGNEHMER wird mit EXABEAM und/oder seinen Prüfern in angemessenem Umfang kooperieren und sie unterstützen, damit EXABEAM die geltenden Anforderungen der Datenschutzgesetze erfüllen kann. Damit EXABEAM sein Prüfrecht gemäß den Datenschutzgesetzen ausüben kann, wird der AUFTRAGNEHMER auf Anfrage Folgendes vorlegen: (i) einen Prüfbericht eines registrierten und unabhängigen externen Prüfers, der nicht älter als 12 Monate ist und nachweist, dass die technischen und organisatorischen Maßnahmen des AUFTRAGNEHMERS ausreichend sind und einem anerkannten Branchenprüfstandard wie ISO 27001 oder SOC2 entsprechen; und (ii) zusätzliche Informationen im Besitz oder unter der Kontrolle des AUFTRAGNEHMERS, die sich auf die vom AUFTRAGNEHMER im Rahmen dieser Richtlinie durchgeführten Datenverarbeitungsaktivitäten beziehen, wie erforderlich und auf Anfrage einer EU-Aufsichtsbehörde.

EXABEAM ist berechtigt, den AUFTRAGNEHMER und dessen Subunternehmer (sofern vorhanden) höchstens einmal jährlich zu prüfen und zu inspizieren, um die Einhaltung der Vertragsbedingungen, insbesondere dieser Richtlinie, sicherzustellen. EXABEAM ist jedoch berechtigt, im Falle einer Sicherheitsverletzung mehr als einmal jährlich eine Prüfung durchzuführen. Der AUFTRAGNEHMER verpflichtet sich, bei solchen Prüfungen oder Inspektionen mit EXABEAM zu kooperieren. Dies kann auch die Bereitstellung aller zum Nachweis der Einhaltung dieser Richtlinie erforderlichen Informationen an EXABEAM umfassen.

EXABEAM wird den AUFTRAGNEHMER rechtzeitig über alle im Rahmen dieser Richtlinie durchzuführenden Prüfungen oder Inspektionen informieren und angemessene Anstrengungen unternehmen, um Störungen des Geschäftsbetriebs des AUFTRAGNEHMERS zu vermeiden (oder, falls dies nicht möglich ist, zu minimieren), während sich sein Personal im Zuge einer solchen Prüfung oder Inspektion auf dem Gelände befindet; die oben genannte Benachrichtigungspflicht gilt jedoch nicht im Falle einer Sicherheitsverletzung oder wenn der AUFTRAGNEHMER eine seiner Verpflichtungen aus dieser Richtlinie, der Vereinbarung oder einer Datenschutzgesetzgebung erheblich verletzt.

4.15. Aufzeichnungen. Der AUFTRAGNEHMER stellt EXABEAM gemäß den Datenschutzgesetzen die in seinem Besitz oder unter seiner Kontrolle befindlichen Informationen zur Verfügung, die EXABEAM auf angemessene Anfrage hin anfordern kann, um nachzuweisen, dass der AUFTRAGNEHMER die Verpflichtungen von Datenverarbeitern gemäß den Datenschutzgesetzen in Bezug auf die Verarbeitung geschützter Daten erfüllt.

4.16 Löschung. Der AUFTRAGNEHMER löscht so bald wie möglich nach Beendigung oder Ablauf des Vertrags oder einer anwendbaren Vertragslaufzeit, spätestens jedoch innerhalb von dreißig (30) Tagen (auf Anfrage von EXABEAM auch früher), alle gemäß dieser Richtlinie erhaltenen, abgerufenen oder verarbeiteten geschützten Daten des KUNDEN (einschließlich Kopien). Ungeachtet dessen löscht der AUFTRAGNEHMER alle geschützten Daten auf schriftliche Anfrage von EXABEAM. Der AUFTRAGNEHMER legt unverzüglich, spätestens jedoch zehn (10) Tage nach der Datenvernichtung, eine Bescheinigung über die Datenvernichtung vor.

Maßnahmen zum Löschen geschützter Daten müssen mindestens Folgendes umfassen:

(a) Verbrennen, Pulverisieren oder Schreddern von Papieren, die geschützte Daten enthalten, sodass die Informationen praktisch nicht gelesen oder rekonstruiert werden können;

(b) Sicherstellung der Vernichtung oder Löschung elektronischer Medien mit geschützten Daten, sodass die Informationen praktisch nicht gelesen oder rekonstruiert werden können; und/oder

(c) Sicherstellen, dass Dritte, die die unter (a) und (b) beschriebenen Tätigkeiten im Auftrag des AUFTRAGNEHMERS ausführen, dies in einer Weise tun, die mit dieser Richtlinie vereinbar ist.

Der AUFTRAGNEHMER stellt sicher, dass er geschützte Daten nicht aufbewahrt, es sei denn, diese Richtlinie oder geltendes Recht schreiben etwas anderes vor. Vorbehaltlich des Vorstehenden sieht die Entsorgungsrichtlinie des AUFTRAGNEHMERS vor, dass solche Informationen regelmäßig, mindestens jedoch wöchentlich, überprüft und vernichtet werden.

4.17 PCI DSS. Der AUFTRAGNEHMER hat die Einhaltung des PCI DSS gemäß dem veröffentlichten PCI DSS aufrechtzuerhalten. Der AUFTRAGNEHMER hat diese PCI-Konformität jährlich auf eigene Kosten aufrechtzuerhalten und EXABEAM auf Anfrage die folgenden angemessenen Unterlagen zum Nachweis seiner Einhaltung dieser Standards vorzulegen. EXABEAM hat das Recht, den AUFTRAGNEHMER jährlich zu prüfen, um die PCI DSS-Konformität zu bestätigen, einschließlich der Durchführung aller im Rahmen einer forensischen Untersuchung erforderlichen Prüfungen durch Dritte. Dieses Prüfungsrecht gilt zusätzlich zu allen anderen hierin festgelegten Prüfungsrechten.

4.18 CCPA. Wenn der AUFTRAGNEHMER geschützte Daten von Einwohnern Kaliforniens verarbeitet, wird der AUFTRAGNEHMER den CCPA strikt einhalten. Insbesondere erklärt sich der AUFTRAGNEHMER damit einverstanden, dass: (a) der AUFTRAGNEHMER in Bezug auf geschützte Daten von Einwohnern Kaliforniens ausschließlich als Dienstleister (wie im CCPA definiert) fungiert und EXABEAM allein über die Zwecke und Mittel der Verarbeitung geschützter Daten entscheidet; (b) der AUFTRAGNEHMER keine geschützten Daten von Einwohnern Kaliforniens verkauft (wie im CCPA definiert), und die Parteien erkennen an und stimmen zu, dass EXABEAM im Zusammenhang mit den Diensten keine geschützten Daten an den AUFTRAGNEHMER verkauft. Zum Zwecke der CCPA-Konformität bestätigt der AUFTRAGNEHMER, dass er die in dieser Richtlinie dargelegten Anforderungen und Beschränkungen versteht und einhalten wird und in Bezug auf geschützte Daten, die dem CCPA unterliegen, die geschützten Daten nicht aufbewahren, verwenden oder offenlegen wird: (1) für andere Zwecke als den spezifischen Zweck der Erbringung der im Vertrag festgelegten Dienste; oder (2) außerhalb der direkten Geschäftsbeziehung zwischen EXABEAM und dem AUFTRAGNEHMER.

5. BENACHRICHTIGUNG BEI VERLETZUNGEN

Der AUFTRAGNEHMER unterhält Richtlinien und Verfahren zur Reaktion auf Sicherheitsvorfälle und wird, soweit gesetzlich zulässig: (i) EXABEAM unverzüglich und in keinem Fall später als vierundzwanzig (24) Stunden nach Kenntnisnahme über jeden tatsächlichen oder vermuteten Sicherheitsverstoß informieren, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf geschützte Daten führt, die vom AUFTRAGNEHMER übertragen, gespeichert oder anderweitig verarbeitet wurden (ein „Sicherheitsvorfall“); (ii) unter Berücksichtigung der Art der Verarbeitung und der dem AUFTRAGNEHMER zum Zeitpunkt der Kenntnisnahme des Sicherheitsvorfalls zur Verfügung stehenden Informationen angemessene Schritte unternehmen, um die Auswirkungen zu mildern und etwaige Schäden, die aus dem Sicherheitsvorfall entstehen, so gering wie möglich zu halten; und (iii) während der Untersuchung eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung leisten, um den Vorfall zu beheben.

6. PERSONAL DES AUFTRAGNEHMERS

6.1 Der AUFTRAGNEHMER stellt sicher, dass sein an der Verarbeitung geschützter Daten beteiligtes Personal über die Vertraulichkeit der geschützten Daten informiert ist, eine angemessene Schulung in Bezug auf seine Verantwortlichkeiten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat. Unbeschadet des Vorstehenden implementiert und unterhält der AUFTRAGNEHMER mindestens einmal jährlich ein fortlaufendes Sicherheitsbewusstseinsprogramm zur Schulung und Schulung seiner Mitarbeiter und autorisierten Subunternehmer, das die Sicherheitsanforderungen dieser Richtlinie und des geltenden Rechts wesentlich berücksichtigt.

6.2 Der AUFTRAGNEHMER stellt sicher, dass der Zugriff auf geschützte Daten auf das Personal beschränkt ist, das an der Bereitstellung der Lösung beteiligt ist, und zwar gemäß dieser Richtlinie und der Vereinbarung. Die Benutzerautorisierung erfolgt mindestens gemäß den bewährten Branchenpraktiken und beachtet die Konzepte des geringstmöglichen Zugriffs, der Kenntnis der individuellen Verantwortlichkeit durch das Unternehmen und der Aufgabentrennung bei der Verwendung und Aufrechterhaltung eines starken Authentifizierungsmechanismus. Standardkonten und -kennwörter von Anwendungen und Betriebssystemen müssen auf Produktionssystemen, die die EXABEAM bereitgestellte Lösung unterstützen, deaktiviert oder geändert werden, bevor der KUNDE diese Systeme in Betrieb nimmt. Auf Anfrage von EXABEAM werden Berichte über die aktuellen Systembenutzer und deren Zugriff bereitgestellt. Benutzer, die keinen Zugriff mehr auf das System benötigen, werden umgehend entfernt.

6.3 Der AUFTRAGNEHMER ergreift wirtschaftlich angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter des AUFTRAGNEHMERS sicherzustellen, die mit der Verarbeitung geschützter Daten befasst sind.

6.4 Der AUFTRAGNEHMER hat einen Datenschutzbeauftragten und ein Governance-Team ernannt, die er EXABEAM zur Verfügung stellt.

6.5 Der AUFTRAGNEHMER muss bei der Durchführung von Hintergrundüberprüfungen alle geltenden lokalen, staatlichen und bundesstaatlichen Gesetze einhalten. Der AUFTRAGNEHMER erklärt sich damit einverstanden, mindestens die folgenden Hintergrundüberprüfungen für sein gesamtes Personal durchzuführen: (a) Identitätsüberprüfung; (b) Arbeitserlaubnis im zugewiesenen Land; (c) Adressüberprüfung; (d) Beschäftigungsüberprüfung der letzten zwei (2) Arbeitgeber oder der letzten drei (3) Jahre; (e) Überprüfung auf politisch exponierte Personen (PEP); (f) Kredit-/Insolvenzprüfung; (f) Überprüfung auf Diktatur und Medien; (g) behördliche Überprüfungen: (h) Überprüfung der Ausbildung, einschließlich Überprüfung von Abschlüssen, Zertifikaten und/oder Diplomen; (i) US-Bundesfahndung nach Straftaten der letzten sieben (7) Jahre (oder das lokale Äquivalent für internationales Personal des AUFTRAGNEHMERs); (j) Überprüfung auf Vergehen und Verbrechen auf Bundes- und Landesebene der letzten sieben (7) Jahre (oder das lokale Äquivalent für internationales Personal des AUFTRAGNEHMERS); (k) Sicherstellung, dass jeder Mitarbeiter des AUFTRAGNEHMERS auf Folgendes überprüft wurde: Sexualstraftäter des Justizministeriums, Sanktionen im Gesundheitswesen (FCIS) (einschließlich des Office of Inspector General des Gesundheitsministeriums, der General Services Administration, der Drug Enforcement Administration, der Food and Drug Administration, des Office of Research Integrity, TRICARE und FDA-Ausschluss), globale Sanktionen und Durchsetzung (einschließlich Federal Bureau of Investigation, US Drug Enforcement Administration, US-Justizministerium, Sanktionen der Vereinten Nationen, US-Embargo, US-Verteidigungshandelskontrollen, Europäisches Einfrieren von Vermögenswerten, Office of Foreign Assets Control, Federal Deposit Insurance Corporation, Financial Industry Regulatory Authority, Inc., US Securities and Exchange Commission, Einfrieren von Vermögenswerten der Europäischen Union und Weltbank).

Dem Personal des AUFTRAGNEHMERS ist es untersagt: (a) Drogen oder Alkohol zu konsumieren, zu besitzen, zu verteilen, zu kaufen oder zu verkaufen (außer mit entsprechender Genehmigung), während es sich auf dem Gelände von EXABEAM befindet oder für EXABEAM geschäftlich tätig ist; (b) sich mit einem Körperalkoholgehalt von über 0,04 % nicht zugelassenen Drogen oder Alkohol bei EXABEAM zu melden und/oder für EXABEAM oder in dessen Auftrag zu arbeiten; oder (c) sich beim Betreten oder Verlassen des EXABEAM-Geländes routinemäßigen Durchsuchungen seiner Person, seines persönlichen Eigentums und des Eigentums von EXABEAM oder dem AUFTRAGNEHMER zugeteilten Eigentums zu unterziehen. Der AUFTRAGNEHMER muss bei Personal, das das Gelände von EXABEAM betritt oder für EXABEAM geschäftlich tätig ist, Drogentests durchführen.

Der AUFTRAGNEHMER verpflichtet sich, zum Zwecke der Erfüllung seiner Verpflichtungen gegenüber EXABEAM im Rahmen der Vereinbarung alle Mitarbeiter zu entlassen und zu ersetzen, die gegen das Vorstehende verstoßen oder bei denen EXABEAM den begründeten Verdacht hat, dass sie dagegen verstoßen.

7. SUBUNTERNEHMER

7.1 Unterauftragsvergabe. Der AUFTRAGNEHMER darf ohne die vorherige schriftliche Zustimmung von EXABEAM keine Unterauftragnehmer oder Drittparteien mit der Erfüllung seiner vertraglichen Verpflichtungen aus der Vereinbarung oder dieser Richtlinie beauftragen.

8. ANFRAGEN DER BETROFFENEN PERSON; LÖSCHUNG

Sofern gemäß Datenschutzgesetzen erforderlich, benachrichtigt der AUFTRAGNEHMER EXABEAM unverzüglich, wenn er eine Anfrage einer betroffenen Person zum Zugriff auf, zur Berichtigung oder Löschung der geschützten Daten dieser Person erhält oder wenn eine betroffene Person der Verarbeitung dieser geschützten Daten widerspricht oder eine Anfrage auf Datenübertragbarkeit in Bezug auf diese geschützten Daten stellt (zusammen „Antrag der betroffenen Person“). Der AUFTRAGNEHMER unternimmt wirtschaftlich angemessene Anstrengungen, um EXABEAM bei der Beantwortung eines Antrags der betroffenen Person zu unterstützen, sofern EXABEAM EXABEAM entsprechend angewiesen hat. Der AUFTRAGNEHMER wird ohne die vorherige schriftliche Zustimmung von EXABEAM nicht eigenständig auf Anfragen von EXABEAM-Endnutzern antworten, außer um zu bestätigen, dass sich die Anfrage auf EXABEAM bezieht. Soweit EXABEAM nicht in der Lage ist, einen Antrag der betroffenen Person zu beantworten, leistet der AUFTRAGNEHMER auf Anfrage von EXABEAM angemessene Unterstützung, um eine Beantwortung des Antrags der betroffenen Person zu ermöglichen. EXABEAM verpflichtet sich, dem AUFTRAGNEHMER die anfallenden Gebühren für diese Unterstützung zu den vom AUFTRAGNEHMER an EXABEAM übermittelten Standardsätzen zu zahlen.

9. ALLGEMEINES

9.1 Auslegung. Sofern diese Richtlinie nicht geändert wird, bleibt die Vereinbarung in vollem Umfang in Kraft. Im Falle eines Widerspruchs zwischen der Vereinbarung und dieser Richtlinie gilt diese Richtlinie, soweit es um die Verarbeitung geschützter Daten geht.

9.2 Salvatorische Klausel. Sollte ein zuständiges Gericht feststellen, dass eine Bestimmung dieser Richtlinie nicht durchsetzbar ist, wird diese Bestimmung abgetrennt, und die übrigen Bedingungen bleiben in vollem Umfang wirksam.

9.3 Geltendes Recht und Gerichtsstand. Diese Richtlinie unterliegt dem Recht der Vereinbarung.

9.4 Schadloshaltung. Ungeachtet jeglicher Haftungsbeschränkungen in dieser oder anderen Vereinbarungen, einschließlich Leistungsbeschreibungen, zwischen den Parteien, stellt der AUFTRAGNEHMER EXABEAM und seine leitenden Angestellten, Treuhänder, Mitarbeiter, verbundenen Unternehmen, Vertreter, Subunternehmer und alle seine Kunden von sämtlichen Ansprüchen, Strafen, Bußgeldern, Kosten, Verbindlichkeiten oder Schäden frei, einschließlich, aber nicht beschränkt auf angemessene Anwaltskosten, die EXABEAM aus oder im Zusammenhang mit Folgendem entstehen: (i) Verletzung von Verpflichtungen aus dieser Richtlinie durch den AUFTRAGNEHMER oder Zugriff auf, Verwendung oder Offenlegung von geschützten Daten entgegen den Bestimmungen dieser Richtlinie; oder (ii) staatliche Bußgelder und Strafen oder Ansprüche, Schäden, Bußgelder, Kosten oder andere damit verbundene Schäden Dritter im Zusammenhang mit einem Verstoß gegen geltendes Recht. Ungeachtet anderslautender Bestimmungen in der Vereinbarung unterliegen Verstöße des AUFTRAGNEHMERS gegen diese Richtlinie und die vorstehenden Schadloshaltungsverpflichtungen keiner in der Vereinbarung festgelegten Haftungsbeschränkung.

9.5 EXABEAM-STANDARD FÜR DAS ENDPOINT-MANAGEMENT DES AUFTRAGNEHMERS. Der AUFTRAGNEHMER und sein Personal müssen die Anforderungen des Exabeam-Standards für das Endpoint-Management des Auftragnehmers erfüllen, der unter https://www.exabeam.com/legal/exabeam-contractor-endpoint-management-standard/ aufgeführt ist.

ANHANG 1

STANDARDVERTRAGSKLAUSELN

  1. LISTE DER PARTEIEN

Datenexporteur(e): Der Datenexporteur ist EXABEAM Inc. („EXABEAM“)

Datenimporteur(e): Der Datenimporteur ist die als AUFTRAGNEHMER bezeichnete Partei.

  • BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden.

Zu den Kategorien der betroffenen Personen gehören die Kunden des Datenexporteurs (die Verantwortlichen) und deren Mitarbeiter, einschließlich der Mitglieder des Active Directory des Kunden, die intern oder extern sein können, oder andere Personen, die die Verantwortlichen durch die Verwendung der Produkte von Exabeam überwachen.

………………………..

Kategorien der übermittelten personenbezogenen Daten. Bei den übermittelten personenbezogenen Daten kann es sich um folgende Datenkategorien handeln (gilt nur, wenn es sich bei den betroffenen Personen um natürliche Personen handelt):

Vor- und Nachname

Kontaktinformationen (einschließlich Postanschrift, E-Mail-Adresse, Telefonnummer)

Unternehmen und/oder Arbeitgeber

Titel und/oder Position

Zusätzliche Daten, die nach Ermessen des Datenexporteurs eingegeben werden

………………………..

Übertragene sensible Daten (sofern zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken in vollem Umfang berücksichtigen, wie beispielsweise eine strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter mit spezieller Schulung), die Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

Die Eingabe sensibler Daten erfolgt ausschließlich nach Ermessen des Verantwortlichen. Zu diesen sensiblen Daten können Gesundheitsinformationen wie PHI gemäß der Definition dieses Begriffs im HIPAA gehören.

………………………..

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Nach Ermessen des Datenexporteurs.

…………………………

Art der Verarbeitung

Die Verarbeitung umfasst nur die Aktivitäten, die notwendig sind, um EXABEAM die Lösung bereitzustellen.

…………………………

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Die Verarbeitung umfasst nur die Aktivitäten, die notwendig sind, um EXABEAM die Lösung bereitzustellen.

………………………..

die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Sofern nicht schriftlich etwas anderes vereinbart wurde, dauert die Verarbeitung bis zum früheren der folgenden Zeitpunkte: (i) Ablauf oder Kündigung des Vertrags; oder (ii) dem Datum, ab dem die Verarbeitung für die Zwecke der Erfüllung der Verpflichtungen einer der Parteien aus dem Vertrag nicht mehr erforderlich ist.

……………………..

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind zusätzlich Gegenstand, Art und Dauer der Verarbeitung anzugeben.

Die Verarbeitung durch Unterauftragsverarbeiter ist erforderlich, damit EXABEAM seinen in der Vereinbarung oder dieser Richtlinie festgelegten Rechten und Pflichten nachkommen kann.

Sofern nicht schriftlich etwas anderes vereinbart wurde, dauert die Verarbeitung durch Unterauftragsverarbeiter bis zum früheren der folgenden Zeitpunkte: (i) Ablauf oder Kündigung des Vertrags; oder (ii) das Datum, ab dem die Verarbeitung für die Zwecke der Erfüllung der Verpflichtungen einer der Parteien aus dem Vertrag nicht mehr erforderlich ist.

……………………..

  • ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Identifizierung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

Siehe Abschnitt 3.2 dieser Richtlinie.

………………………….

ANHANG 2

STANDARDVERTRAGSKLAUSELN

Die vom Datenimporteur umzusetzenden ergänzenden Maßnahmen sind folgende:

  1. Einhaltung der Datensicherheitsrichtlinie für Lieferanten von Exabeam, verfügbar unter https://www.exabeam.com/vendor-data-security-policy/;
  2. Einzelne Geolokalisierung für die Speicherung;
  3. Aufrechterhaltung der SOC 2 Typ II-Zertifizierung;
  4. Daten, die im Ruhezustand und während der Übertragung mit NIST-Verschlüsselungsstandards verschlüsselt sind; und
  5. NIST-Löschmethoden.

Der Datenexporteur ist berechtigt, diesen Anhang II von Zeit zu Zeit durch schriftliche Mitteilung zu ändern und/oder zusätzliche Anweisungen zur Verarbeitung bereitzustellen. Der Datenimporteur stellt sicher, dass alle autorisierten Unterauftragsverarbeiter des Datenimporteurs die in diesem Anhang II festgelegten Maßnahmen einhalten und umsetzen.

ANHANG 3

STANDARDVERTRAGSKLAUSELN

I. LISTE DER UNTERVERARBEITER

Der AUFTRAGNEHMER stellt sicher, dass EXABEAM eine Liste seiner aktuellen Unterauftragsverarbeiter zur Verfügung gestellt wird.

II. HINWEIS

Die Benachrichtigung über Änderungen an den Unterauftragsverarbeiter erfolgt gemäß den SCCs und ist per E-Mail an [email protected] zu senden.