So weisen Sie die Einhaltung von Artikel 5 der DSGVO nach

Informationsübertragung

ISO 27701 Abschnitt 6.10.2.1 (Richtlinien und Verfahren zur Informationsübertragung) und EU-DSGVO Artikel 5 (1)(f)

Informationsübertragungsvorgänge sollten:

• Konzentrieren Sie sich auf Kontrollen, die das verhindern Abfangen, unautorisierter Zugriff, Kopieren, Modifikation, Fehlleitung, Zerstörung und Verweigerung des Dienstes von PII und datenschutzbezogenen Informationen (siehe ISO 27002 Kontrolle 8.24).
• Stellen Sie sicher, dass Informationen nachvollziehbar sind.
• Kategorisieren Sie eine Liste von Kontakten – z. B. Eigentümer, Risikoeigentümer usw.
• Beschreiben Sie die Verantwortlichkeiten im Falle eines Sicherheitsvorfalls.
• Integrieren Sie klare und prägnante Kennzeichnungssysteme (siehe ISO 27002 Control 5.13).
• Sorgen Sie für eine zuverlässige Übertragungsmöglichkeit, einschließlich themenspezifischer Richtlinien zur Datenübertragung (siehe ISO 27002 Control 5.10).
• Skizzieren Sie Aufbewahrungs- und Entsorgungsrichtlinien, einschließlich regionaler oder branchenspezifischer Gesetze und Richtlinien.

Elektronische Übertragung

Bei der Nutzung elektronischer Übertragungsmöglichkeiten sollten Organisationen:

1. Versuchen Sie, Schadprogramme zu erkennen und davor zu schützen (siehe ISO 27002 Control 8.7).
2. Konzentrieren Sie sich auf den Schutz von Anhängen.
3. Seien Sie sehr vorsichtig, wenn Sie Informationen an die richtige Adresse senden.
4. Vorschreiben eines Genehmigungsprozesses, bevor Mitarbeiter Informationen über „externe öffentliche Dienste“ (z. B. Instant Messaging) übermitteln können, und eine stärkere Kontrolle über solche Methoden.
5. Vermeiden Sie nach Möglichkeit die Nutzung von SMS-Diensten und Faxgeräten.

Physische Übertragungen (einschließlich Speichermedien)

Bei der Übertragung physischer Medien (einschließlich Papierdokumente) zwischen Räumlichkeiten oder externen Standorten sollten Organisationen:

• Legen Sie klare Verantwortlichkeiten für Versand und Empfang fest.
• Geben Sie bei der Eingabe der korrekten Adressdaten große Sorgfalt ein.
• Verwenden Sie eine Verpackung, die Schutz vor physischer Beschädigung oder Manipulation bietet.
• Arbeiten Sie mit einer Liste autorisierter Kuriere und Drittversender, einschließlich strenger Identifizierungsstandards.
• Führen Sie gründliche Protokolle aller physischen Übertragungen, einschließlich Empfängerdetails, Datum und Uhrzeit der Übertragungen sowie aller physischen Schutzmaßnahmen.

Mündliche Übertragungen

Die mündliche Übermittlung sensibler Informationen stellt ein besonderes Sicherheitsrisiko dar, insbesondere wenn es um personenbezogene Daten und den Schutz der Privatsphäre geht.

Organisationen sollten ihre Mitarbeiter daran erinnern:

1. Vermeiden Sie solche Gespräche an einem öffentlichen Ort oder an einem ungesicherten internen Ort.
2. Vermeiden Sie es, Voicemail-Nachrichten zu hinterlassen, die vertrauliche oder eingeschränkte Informationen enthalten.
3. Stellen Sie sicher, dass die Person, mit der Sie sprechen, über die entsprechenden Kenntnisse verfügt, um diese Informationen zu erhalten, und informieren Sie sie darüber, was gesagt werden soll, bevor Sie Informationen preisgeben.
4. Achten Sie auf die Umgebung und stellen Sie sicher, dass die Raumkontrollen eingehalten werden.

Zusätzliche Überlegungen zur DSGVO im Vereinigten Königreich

• Artikel 5 – (1)(f)

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.13
• ISO 27002 8.7
• ISO 27002 8.24

ISO 27701 Klausel 6.10.2.4 (Vertraulichkeits- oder Geheimhaltungsvereinbarungen) und EU-DSGVO Artikel 5 (1)

Organisationen sollten Geheimhaltungsvereinbarungen (NDAs) und Vertraulichkeitsvereinbarungen nutzen, um die vorsätzliche oder versehentliche Weitergabe sensibler Informationen an unbefugtes Personal zu schützen.

Bei der Ausarbeitung, Umsetzung und Aufrechterhaltung solcher Vereinbarungen sollten Organisationen:

• Bieten Sie eine Definition für die Informationen an, die geschützt werden sollen.
• Geben Sie die voraussichtliche Laufzeit der Vereinbarung klar an.
• Geben Sie alle erforderlichen Maßnahmen klar an, sobald eine Vereinbarung beendet wurde.
• Alle Verantwortlichkeiten, die von bestätigten Unterzeichnern vereinbart wurden.
• Eigentum an Informationen (einschließlich geistigem Eigentum und Geschäftsgeheimnissen).
• Wie Unterzeichner die Informationen nutzen dürfen.
• Beschreiben Sie klar und deutlich das Recht der Organisation, vertrauliche Informationen zu überwachen.
• Alle Konsequenzen, die sich aus der Nichteinhaltung ergeben.
• Überprüfen Sie regelmäßig ihre Vertraulichkeitsbedürfnisse und passen Sie zukünftige Vereinbarungen entsprechend an.

Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen gesetzlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002-Kontrollen 5.31, 5.32, 5.33 und 5.34).

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

Entwicklung und Wartung der Systembeschaffung

ISO 27701 Abschnitt 6.11.1.2 (Sicherung von Anwendungsdiensten in öffentlichen Netzwerken) und EU-DSGVO Artikel 5 (1)(f)

Anwendungssicherheitsverfahren sollten parallel zu umfassenderen Datenschutzrichtlinien entwickelt werden, in der Regel über eine strukturierte Risikobewertung, die mehrere Variablen berücksichtigt.

Zu den Anforderungen an die Anwendungssicherheit sollten Folgendes gehören:

1. Das allen Netzwerkeinheiten innewohnende Vertrauensniveau (siehe ISO 27002-Kontrollen 5.17, 8.2 und 8.5).
2. Die Klassifizierung der Daten, für deren Verarbeitung die Anwendung konfiguriert ist (einschließlich personenbezogener Daten).
3. Eventuelle Trennungsanforderungen.
4. Schutz vor internen und externen Angriffen und/oder böswilliger Nutzung.
5. Alle geltenden gesetzlichen, vertraglichen oder behördlichen Anforderungen.
6. Robuster Schutz vertraulicher Informationen.
7. Daten, die während der Übertragung geschützt werden sollen.
8. Alle kryptografischen Anforderungen.
9. Sichere Ein- und Ausgabekontrollen.
10. Minimaler Einsatz uneingeschränkter Eingabefelder – insbesondere solcher, die das Potenzial zur Speicherung personenbezogener Daten bergen.
11. Der Umgang mit Fehlermeldungen, einschließlich klarer Kommunikation von Fehlercodes.

Transaktionsdienste

Transaktionsdienste, die den Fluss von Datenschutzdaten zwischen der Organisation und einer Drittorganisation oder Partnerorganisation erleichtern, sollten:

• Stellen Sie ein angemessenes Maß an Vertrauen zwischen den Identitäten der Organisation her.
• Integrieren Sie Mechanismen, die die Vertrauenswürdigkeit zwischen etablierten Identitäten prüfen (z. B. Hashing und digitale Signaturen).
• Skizzieren Sie robuste Verfahren, die regeln, welche Mitarbeiter wichtige Transaktionsdokumente verwalten dürfen.
• Enthalten Dokumenten- und Transaktionsmanagementverfahren, die die Vertraulichkeit, Integrität, Versand- und Empfangsnachweise wichtiger Dokumente und Transaktionen abdecken.
• Fügen Sie spezifische Anleitungen zur Wahrung der Vertraulichkeit von Transaktionen hinzu.

Elektronische Bestell- und Zahlungsanwendungen

Für alle Anwendungen, die elektronische Bestellungen und/oder Zahlungen beinhalten, sollten Organisationen:

• Legen Sie strenge Anforderungen an den Schutz von Zahlungs- und Bestelldaten fest.
• Überprüfen Sie die Zahlungsinformationen, bevor Sie eine Bestellung aufgeben.
• Speichern Sie transaktions- und datenschutzbezogene Daten sicher und für die Öffentlichkeit unzugänglich.
• Nutzen Sie bei der Implementierung digitaler Signaturen vertrauenswürdige Autoritäten und achten Sie stets auf den Schutz der Privatsphäre.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Abschnitt 6.11.3.1 (Schutz von Testdaten) und EU-DSGVO Artikel 5 (1)(f)

Organisationen sollten Testdaten sorgfältig auswählen, um sicherzustellen, dass die Testaktivitäten sowohl zuverlässig als auch sicher sind. Unternehmen sollten besonders darauf achten, sicherzustellen, dass personenbezogene Daten nicht in die Entwicklungs- und Testumgebungen kopiert werden.

Um Betriebsdaten während der Testaktivitäten zu schützen, sollten Organisationen:

1. Nutzen Sie einen homogenen Satz von Zugriffskontrollverfahren in Test- und Betriebsumgebungen.
2. Stellen Sie sicher, dass jedes Mal eine Autorisierung erforderlich ist, wenn Betriebsdaten in eine Testumgebung kopiert werden.
3. Protokollieren Sie das Kopieren und Verwenden von Betriebsdaten.
4. Schützen Sie Datenschutzinformationen durch Techniken wie Maskierung (siehe ISO 27002 Control 8.11).
5. Entfernen von Betriebsdaten aus einer Testumgebung, sobald sie nicht mehr benötigt werden (siehe ISO 27002 Control 8.10).
6. Speichern Sie Testdaten sicher und stellen Sie sicher, dass sich die Mitarbeiter darüber im Klaren sind, dass sie nur für Testzwecke verwendet werden dürfen.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 8.10
• ISO 27002 8.11

Lieferantenbeziehungen

ISO 27701 Klausel 6.12.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen) und EU-DSGVO Artikel 5 (1)(f)

Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.

Dabei sollten Organisationen:

• Bieten Sie eine klare Beschreibung an, in der detailliert beschrieben wird, auf welche Datenschutzinformationen zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
• Klassifizieren Sie die Datenschutzinformationen, auf die zugegriffen werden soll, gemäß einem anerkannten Klassifizierungsschema (siehe ISO 27002-Kontrollen 5.10, 5.12 und 5.13).
• Berücksichtigen Sie angemessen das eigene Klassifizierungssystem des Lieferanten.
• Kategorisieren Sie Rechte in vier Hauptbereiche – gesetzlich, gesetzlich, behördlich und vertraglich – mit einer detaillierten Beschreibung der Pflichten pro Bereich.
• Stellen Sie sicher, dass jede Partei verpflichtet ist, eine Reihe von Kontrollen einzuführen, mit denen die Risikostufen für die Sicherheit von Datenschutzinformationen überwacht, bewertet und verwaltet werden.
• Erläutern Sie die Notwendigkeit, dass Lieferantenpersonal die Informationssicherheitsstandards einer Organisation einhalten muss (siehe ISO 27002 Control 5.20).
• Ermöglichen Sie ein klares Verständnis darüber, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
• Setzen Sie Autorisierungskontrollen ein, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Datenschutzinformationen einer Organisation zuzugreifen oder diese anzuzeigen.
• Berücksichtigen Sie, was im Falle einer Vertragsverletzung oder der Nichteinhaltung einzelner Bestimmungen geschieht.
• Skizzieren Sie ein Vorfallmanagementverfahren, einschließlich der Art und Weise, wie wichtige Ereignisse kommuniziert werden.
• Stellen Sie sicher, dass das Personal eine Schulung zum Sicherheitsbewusstsein erhält.
• (Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen) fügen Sie Anforderungen hinzu, um sicherzustellen, dass Subunternehmer denselben Sicherheitsstandards für Datenschutzinformationen unterliegen wie der Lieferant.
• Überlegen Sie, wie Lieferantenpersonal überprüft wird, bevor es mit Datenschutzinformationen interagiert.
• Legen Sie die Notwendigkeit von Bescheinigungen Dritter fest, die die Fähigkeit des Lieferanten belegen, die organisatorischen Datenschutzanforderungen an die Informationssicherheit zu erfüllen.
• Sie haben das vertragliche Recht, die Verfahren eines Lieferanten zu prüfen.
• Fordern Sie Lieferanten auf, Berichte vorzulegen, in denen die Wirksamkeit ihrer eigenen Prozesse und Verfahren detailliert beschrieben wird.
• Konzentrieren Sie sich darauf, Maßnahmen zu ergreifen, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte zu erreichen.
• Stellen Sie sicher, dass Lieferanten mit einer angemessenen BUDR-Richtlinie arbeiten, um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu schützen.
• Fordern Sie eine Änderungsmanagementrichtlinie auf Lieferantenseite an, die die Organisation über alle Änderungen informiert, die möglicherweise Auswirkungen auf den Datenschutz haben.
• Implementieren Sie physische Sicherheitskontrollen, die proportional zur Sensibilität der gespeicherten und verarbeiteten Daten sind.
• (Wo Daten übertragen werden sollen) Bitten Sie Lieferanten, sicherzustellen, dass Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
• Erstellen Sie eine Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen.
• Bitten Sie den Lieferanten, darzulegen, wie er die Datenschutzinformationen nach der Kündigung vernichten will oder ob die Daten nicht mehr benötigt werden.
• Ergreifen Sie Maßnahmen, um eine minimale Betriebsunterbrechung während der Übergabezeit sicherzustellen.

Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Management und Compliance von Informationssicherheitsvorfällen

ISO 27701 Abschnitt 6.13.1.1 (Verantwortlichkeiten und Verfahren) und EU-DSGVO Artikel 5 (1)(f)

Rollen und Verantwortlichkeiten

Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:

• Halten Sie sich an eine Methode zum Melden von Ereignissen im Bereich Datenschutz und Informationssicherheit.
• Richten Sie eine Reihe von Prozessen ein, die Vorfälle im Zusammenhang mit der Sicherheit von Datenschutzinformationen im gesamten Unternehmen verwalten, darunter:
• Verwaltung.
• Dokumentation.
• Erkennung.
• Triage.
• Priorisierung.
• Analysis.
• Kommunikation.
• Entwerfen Sie ein Verfahren zur Reaktion auf Vorfälle, das es der Organisation ermöglicht, Vorfälle zu bewerten, darauf zu reagieren und daraus zu lernen.
• Stellen Sie sicher, dass Vorfälle von geschultem und kompetentem Personal gehandhabt werden, das von fortlaufenden Schulungs- und Zertifizierungsprogrammen am Arbeitsplatz profitiert.

Incident Management

Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:

1. Die Zeit, die zur Lösung eines Vorfalls benötigt werden sollte.
2. Mögliche Konsequenzen.
3. Die Schwere des Vorfalls.

Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:

• Bewerten Sie Ereignisse nach strengen Kriterien, die sie als genehmigte Vorfälle validieren.
• Kategorisieren Sie Ereignisse zur Sicherheit von Datenschutzinformationen in fünf Unterthemen:
• Überwachung (siehe ISO 27002-Kontrollen 8.15 und 8.16).
• Erkennung (siehe ISO 27002 Control 8.16).
• Klassifizierung (siehe ISO 27002 Control 5.25).
• Analysis.
• Berichterstattung (siehe ISO 27002 Control 6.8).
• Bei der Lösung von Vorfällen im Bereich Datenschutz und Informationssicherheit sollten Unternehmen Folgendes tun:
• Reagieren und eskalieren Sie Probleme (siehe ISO 27002 Control 5.26) entsprechend der Art des Vorfalls.
• Aktivieren Sie Krisenmanagement- und Geschäftskontinuitätspläne.
• Beeinflussen Sie eine verwaltete Wiederherstellung nach einem Vorfall, die den betrieblichen und/oder finanziellen Schaden mindert.
• Sorgen Sie für eine gründliche Kommunikation vorfallbezogener Ereignisse an alle relevanten Mitarbeiter.
• Beteiligen Sie sich an kollaborativer Arbeit (siehe ISO 27002-Kontrollen 5.5 und 5.6).
• Protokollieren Sie alle auf Vorfällen basierenden Aktivitäten.
• Seien Sie für den Umgang mit vorfallbezogenen Beweisen verantwortlich (siehe ISO 27002 Control 5.28).
• Führen Sie eine gründliche Ursachenanalyse durch, um das Risiko eines erneuten Auftretens des Vorfalls zu minimieren, einschließlich vorgeschlagener Änderungen an den Prozessen.

Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:

1. Maßnahmen, die ergriffen werden müssen, sobald ein Informationssicherheitsereignis auftritt.
2. Vorfallformulare, die Informationen während eines Vorfalls aufzeichnen.
3. Durchgängige Feedbackprozesse an alle relevanten Mitarbeiter.
4. Vorfallberichte, in denen detailliert beschrieben wird, was passiert ist, nachdem ein Vorfall gelöst wurde.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Abschnitt 6.15.1.1 (Identifizierung der anwendbaren Rechtsvorschriften und vertraglichen Anforderungen) und EU-DSGVO Artikel 5 (1)(f)

Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:

• Ausarbeitung und/oder Änderung von Datenschutzverfahren zur Informationssicherheit.
• Informationen kategorisieren.
• Durchführung von Risikobewertungen im Zusammenhang mit Datenschutz- und Informationssicherheitsaktivitäten.
• Aufbau von Lieferantenbeziehungen, einschließlich etwaiger vertraglicher Verpflichtungen entlang der gesamten Lieferkette.

Gesetzliche und regulatorische Faktoren

Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren und verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.

Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.

Cryptography

Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:

1. Beachten Sie alle Gesetze, die den Import und Export von Hardware oder Software regeln, die das Potenzial haben, eine kryptografische Funktion zu erfüllen.
2. Bereitstellung des Zugriffs auf verschlüsselte Informationen gemäß den Gesetzen der Gerichtsbarkeit, in der sie tätig sind.
3. Nutzen Sie drei Schlüsselelemente der Verschlüsselung:
• Digitale Signaturen.
• Dichtungen.
• Digitale Zertifikate.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.20

ISO 27701 Abschnitt 6.15.1.3 (Schutz von Aufzeichnungen) und EU-DSGVO Artikel 5 (2)

Unternehmen sollten die Datensatzverwaltung in vier Schlüsselbereichen in Betracht ziehen:

1. Authentizität.
2. Zuverlässigkeit.
3. Integrität.
4. Benutzerfreundlichkeit.

Um ein funktionierendes Aufzeichnungssystem aufrechtzuerhalten, das personenbezogene Daten und datenschutzbezogene Informationen schützt, sollten Unternehmen:

• Veröffentlichen Sie Richtlinien, die sich mit Folgendem befassen:
• Lagerung.
• Handhabung (Chain of Custody).
• Entsorgung.
• Manipulation verhindern.
• Beschreiben Sie, wie lange jeder Datensatztyp aufbewahrt werden soll.
• Beachten Sie alle Gesetze, die sich mit der Führung von Aufzeichnungen befassen.
• Berücksichtigen Sie die Erwartungen der Kunden hinsichtlich der Art und Weise, wie Unternehmen mit ihren Unterlagen umgehen sollten.
• Vernichten Sie Datensätze, sobald sie nicht mehr benötigt werden.
• Klassifizieren Sie Datensätze nach ihrem Sicherheitsrisiko, z. B.:
• Buchhaltung.
• Geschäftliche Transaktionen.
• Persönliche Rekorde.
• Legal.
• Stellen Sie sicher, dass sie in der Lage sind, Aufzeichnungen innerhalb eines akzeptablen Zeitraums abzurufen, wenn sie von einem Dritten oder einer Strafverfolgungsbehörde dazu aufgefordert werden.
• Halten Sie sich bei der Speicherung oder Handhabung von Aufzeichnungen auf elektronischen Medienquellen stets an die Richtlinien des Herstellers.

Mobile Geräte und Telearbeit

ISO 27701 Abschnitt 6.3.2.1 (Richtlinien für mobile Geräte) und EU-DSGVO Artikel 5 (1)(f)

Unternehmen sollten themenspezifische Richtlinien implementieren, die sich mit verschiedenen Kategorien von Endpunktgeräten und Softwareversionen mobiler Geräte befassen und wie Sicherheitskontrollen zur Verbesserung der Datensicherheit angepasst werden sollten.

Die Richtlinien, Verfahren und unterstützenden Sicherheitsmaßnahmen einer Organisation für Mobilgeräte sollten Folgendes berücksichtigen:

• Die verschiedenen Datenkategorien, die das Gerät verarbeiten und speichern kann.
• Wie Geräte im Netzwerk registriert und identifiziert werden.
• Wie Geräte physisch geschützt werden.
• Eventuelle Einschränkungen bei Anwendungen und Softwareinstallationen.
• Fernverwaltung, einschließlich Updates und Patches.
• Benutzerzugriffskontrollen, einschließlich RBAC, falls erforderlich.
• Verschlüsselung.
• Antimalware-Gegenmaßnahmen (verwaltet oder nicht verwaltet).
• BUDR.
• Einschränkungen beim Surfen.
• Benutzeranalyse (siehe ISO 27002 Control 8.16).
• Die Installation, Nutzung und Fernverwaltung von Wechselspeichergeräten oder Wechselperipheriegeräten.
• So trennen Sie Daten auf dem Gerät, sodass personenbezogene Daten von den Standardgerätedaten (einschließlich der persönlichen Daten des Benutzers) getrennt werden. Dazu gehört die Überlegung, ob es angemessen ist, jegliche Art von Organisationsdaten auf dem physischen Gerät zu speichern, anstatt das Gerät für den Online-Zugriff darauf zu verwenden.
• Was passiert, wenn ein Gerät verloren geht oder gestohlen wird – z. B. die Einhaltung gesetzlicher, behördlicher oder vertraglicher Anforderungen und der Umgang mit den Versicherern der Organisation?

Individuelle Verantwortung des Benutzers

Jeder in der Organisation, der Fernzugriff nutzt, muss ausdrücklich über alle Richtlinien und Verfahren für mobile Geräte informiert werden, die im Rahmen der sicheren Endpunktgeräteverwaltung für ihn gelten.

Benutzer sollten angewiesen werden:

• Schließen Sie alle aktiven Arbeitssitzungen, wenn sie nicht mehr verwendet werden.
• Implementieren Sie physische und digitale Schutzkontrollen, wie in der Richtlinie gefordert.
• Achten Sie beim Zugriff auf sichere Daten mit dem Gerät auf die physische Umgebung – und die damit verbundenen Sicherheitsrisiken.

Bringen Sie Ihr eigenes Gerät mit (BYOD)

Organisationen, die ihren Mitarbeitern die Nutzung persönlicher Geräte gestatten, sollten außerdem die folgenden Sicherheitskontrollen berücksichtigen:

• Installieren von Software auf dem Gerät (einschließlich Mobiltelefonen), die bei der Trennung von geschäftlichen und persönlichen Daten hilft.
• Durchsetzung einer BYOD-Richtlinie, die Folgendes umfasst:
• Anerkennung des organisatorischen Eigentums an PII.
• Physische und digitale Schutzmaßnahmen (siehe oben).
• Fernlöschung von Daten.
• Alle Maßnahmen, die die Übereinstimmung mit der PII-Gesetzgebung und den behördlichen Leitlinien sicherstellen.
• IP-Rechte betreffen das Unternehmenseigentum an allem, was auf einem persönlichen Gerät produziert wurde.
• Organisatorischer Zugriff auf das Gerät – entweder zum Schutz der Privatsphäre oder zur Durchführung einer internen oder externen Untersuchung.
• EULAs und Softwarelizenzen, die durch die Verwendung kommerzieller Software auf einem privaten Gerät beeinträchtigt werden können.

Drahtlose Konfigurationen

Bei der Ausarbeitung von Verfahren, die sich mit der drahtlosen Konnektivität auf Endpunktgeräten befassen, sollten Organisationen Folgendes tun:

• Überlegen Sie sorgfältig, wie solche Geräte eine Verbindung zu drahtlosen Netzwerken für den Internetzugang ermöglichen sollten, um personenbezogene Daten zu schützen.
• Stellen Sie sicher, dass die drahtlosen Verbindungen über ausreichende Kapazität verfügen, um Backups oder andere themenspezifische Funktionen zu ermöglichen.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 8.9 – Konfigurationsmanagement
• ISO 27002 8.16 – Überwachungsaktivitäten

Asset Management

ISO 27701 Abschnitt 6.5.2.1 (Klassifizierung von Informationen) und EU-DSGVO Artikel 5 (1)(f)

Anstatt alle gespeicherten Informationen gleichzustellen, sollten Organisationen die Informationen themenspezifisch klassifizieren.

Informationseigentümer sollten bei der Klassifizierung von Daten (insbesondere in Bezug auf PII) vier Schlüsselfaktoren berücksichtigen, die regelmäßig überprüft werden sollten, oder wenn sich solche Faktoren ändern:

1. Das Vertraulichkeit der Daten.
2. Das Integrität der Daten.
3. Datum Verfügbarkeit Ebenen.
4. Die der Organisation gesetzliche Verpflichtungen Richtung PII.

Um einen klaren operativen Rahmen zu schaffen, sollten Informationskategorien entsprechend der inhärenten Risikostufe benannt werden, falls Vorfälle auftreten, die einen der oben genannten Faktoren beeinträchtigen.

Um die plattformübergreifende Kompatibilität sicherzustellen, sollten Organisationen ihre Informationskategorien allen externen Mitarbeitern zugänglich machen, mit denen sie Informationen teilen, und sicherstellen, dass das eigene Klassifizierungsschema der Organisation von allen relevanten Parteien allgemein verstanden wird.

Organisationen sollten sich davor hüten, Daten entweder zu niedrig oder umgekehrt zu klassifizieren. Ersteres kann zu Fehlern bei der Gruppierung personenbezogener Daten in weniger sensible Datentypen führen, während Ersteres häufig zu zusätzlichen Kosten, einem größeren Risiko menschlicher Fehler und Verarbeitungsanomalien führt.

ISO 27701 Abschnitt 6.5.2.2 (Kennzeichnung von Informationen) und EU-DSGVO Artikel 5 (1)(f)

Etiketten sind ein wesentlicher Bestandteil, um sicherzustellen, dass die PII-Klassifizierungsrichtlinie der Organisation (siehe oben) eingehalten wird und dass Daten entsprechend ihrer Sensibilität eindeutig identifiziert werden können (z. B. werden PII als von weniger vertraulichen Datentypen unterschieden gekennzeichnet).

PII-Kennzeichnungsverfahren sollten Folgendes definieren:

• Jedes Szenario, in dem keine Kennzeichnung erforderlich ist (öffentlich verfügbare Daten).
• Anweisungen dazu, wie das Personal sowohl digitale als auch physische Vermögenswerte und Speicherorte kennzeichnen sollte.
• Notfallpläne für alle Szenarien, in denen eine Kennzeichnung physisch nicht möglich ist.

Die ISO bietet Organisationen viel Spielraum für die Auswahl ihrer eigenen Kennzeichnungstechniken, darunter:

• Physik Beschriftung.
• elektronisch Beschriftungen in Kopf- und Fußzeilen.
• Die Ergänzung oder Änderung von Metadaten, einschließlich durchsuchbarer Begriffe und interaktiver Funktionalität mit anderen Informationsmanagementplattformen (z. B. dem PIMS der Organisation).
• Watermarking Dies liefert einen klaren Hinweis auf die Datenklassifizierung für jedes einzelne Dokument.
• Stempel Markierungen auf physischen Kopien von Informationen.

ISO 27701 Abschnitt 6.5.3.1 (Verwaltung von Wechselmedien) und EU-DSGVO Artikel 5 (1)(f)

Wechselbare Speichermedien

Bei der Entwicklung von Richtlinien, die den Umgang mit Medienbeständen im Zusammenhang mit der Speicherung personenbezogener Daten regeln, sollten Organisationen Folgendes tun:

• Entwickeln Sie einzigartige themenspezifische Richtlinien basierend auf abteilungs- oder berufsbezogenen Anforderungen.
• Stellen Sie sicher, dass die entsprechende Genehmigung eingeholt und erteilt wird, bevor das Personal Speichermedien aus dem Netzwerk entfernen kann (einschließlich der Führung einer genauen und aktuellen Aufzeichnung dieser Aktivitäten).
• Lagern Sie Medien gemäß den Herstellerangaben und frei von Umweltschäden.
• Erwägen Sie den Einsatz von Verschlüsselung als Voraussetzung für den Zugriff oder die Implementierung zusätzlicher physischer Sicherheitsmaßnahmen, wenn dies nicht möglich ist.
• Minimieren Sie das Risiko, dass personenbezogene Daten beschädigt werden, indem Sie Informationen wie erforderlich zwischen Speichermedien übertragen.
• Führen Sie PII-Redundanz ein, indem Sie geschützte Informationen auf mehreren Assets gleichzeitig speichern.
• Genehmigen Sie die Verwendung von Speichermedien nur an genehmigten Eingängen (z. B. SD-Karten und USB-Anschlüsse) für jedes einzelne Gerät.
• Überwachen Sie die Übertragung personenbezogener Daten auf Speichermedien zu jedem Zweck genau.
• Berücksichtigen Sie die Risiken, die mit der physischen Übertragung von Speichermedien (und stellvertretend auch der darauf enthaltenen PII) verbunden sind, wenn Sie Vermögenswerte zwischen Personal oder Räumlichkeiten bewegen (siehe ISO 27002-Kontrolle 5.14).

Wiederverwendung und Entsorgung

Bei der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten strenge Verfahren eingeführt werden, um sicherzustellen, dass personenbezogene Daten in keiner Weise beeinträchtigt werden, einschließlich:

1. Formatieren Sie die Speichermedien und stellen Sie sicher, dass alle PII vor der Wiederverwendung entfernt werden (siehe ISO 27002 Control 8.10), einschließlich der Aufrechterhaltung einer angemessenen Dokumentation aller dieser Aktivitäten.
2. Sichere Entsorgung aller Medien, für die die Organisation keine weitere Verwendung hat und die zur Speicherung personenbezogener Daten verwendet wurden.
3. Wenn die Entsorgung die Einschaltung Dritter erfordert, sollten Organisationen große Sorgfalt darauf verwenden, sicherzustellen, dass sie ein geeigneter und geeigneter Partner für die Erfüllung dieser Aufgaben sind, im Einklang mit der Verantwortung der Organisation für personenbezogene Daten und den Schutz der Privatsphäre.
4. Implementierung von Verfahren, die ermitteln, welche Speichermedien zur Wiederverwendung verfügbar sind oder entsprechend entsorgt werden können.

Wenn Geräte, die zur Speicherung personenbezogener Daten verwendet wurden, beschädigt werden, sollten Organisationen sorgfältig abwägen, ob es angemessener ist, diese Medien zu vernichten oder sie zur Reparatur einzusenden (wobei Ersteres einen Fehler macht).

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.14

ISO 27701 Abschnitt 6.5.3.2 (Entsorgung von Medien) und EU-DSGVO Artikel 5 (1)(f)

See ISO 27701 Abschnitt 6.5.3.1

Zusätzliche PII-bezogene Anleitungen

Wenn Medien mit zuvor gespeicherten PII entsorgt werden sollen, sollten Organisationen Verfahren implementieren, die die Vernichtung PII und datenschutzrelevanter Daten dokumentieren, einschließlich der kategorischen Zusicherung, dass sie nicht mehr verfügbar sind.

ISO 27701 Abschnitt 6.5.3.3 und EU-DSGVO 5 (1)(f)

Wechselbare Speichermedien

Bei der Implementierung von Richtlinien, die sich mit Wechselmedien befassen, sollten Organisationen Folgendes tun:

• Entwickeln Sie Verfahren, die auf abteilungs- oder berufsbezogene Anforderungen eingehen.
• Stellen Sie sicher, dass die entsprechende Autorisierung eingeholt wird, bevor Medien aus dem Unternehmensnetzwerk entfernt werden.
• Stellen Sie sicher, dass die Richtlinien des Herstellers beim Betrieb von Speichergeräten jeglicher Art strikt eingehalten werden.
• Erwägen Sie den Einsatz kryptografischer Speichertechnologie.
• Ergreifen Sie Maßnahmen, um sicherzustellen, dass die Daten während des Übertragungsvorgangs nicht beschädigt werden.
• Erhöhen Sie die Redundanz, indem Sie Informationen zu mehreren Assets gleichzeitig speichern.
• Genehmigen Sie die Verwendung von Speichermedien (z. B. SD-Karten und USB-Anschlüsse) für jede einzelne Anlage.
• Verstehen und mindern Sie die Risiken, die mit dem Transport von Medien und Vermögenswerten zwischen Mitarbeitern und Standorten verbunden sind (siehe ISO 27002 Control 5.14).

Organisationen sollten gründliche Aufzeichnungen über alle Speichermedien führen, die zur Verarbeitung vertraulicher Informationen verwendet werden, einschließlich:

• Der Typ des zu versendenden Mediums (Festplatte, USB, SD-Karte usw.).
• Alle autorisierten Absender und alle internen Mitarbeiter, denen der Empfang von Medien gestattet ist.
• Datum und Uhrzeit der Übertragung.
• Wie viele Medien sollen übertragen werden?

Wiederverwendung und Entsorgung

Während des gesamten Prozesses der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten Unternehmen:

• Stellen Sie sicher, dass alle Medien korrekt formatiert sind und alle derartigen Aktivitäten gründlich dokumentiert werden (siehe ISO 27002 Control 8.10).
• Stellen Sie sicher, dass Speicherressourcen, die nicht mehr benötigt werden, auf sichere Weise entsorgt werden – einschließlich einer gründlichen Überprüfung aller an Entsorgungsaktivitäten beteiligten Dritten, um sicherzustellen, dass die Organisation ihren Pflichten im Umgang mit personenbezogenen Daten nachkommt.
• Identifizieren Sie, welche Medien zur Wiederverwendung geeignet sind oder entsorgt werden müssen, insbesondere wenn Geräte beschädigt oder in irgendeiner Weise physisch beeinträchtigt wurden.

Access Control

ISO 27701 Abschnitt 6.6.2.1 (Benutzerregistrierung und -abmeldung) und EU-DSGVO 5 (1)(f)

Die Benutzerregistrierung wird durch die Verwendung zugewiesener „Identitäten“ geregelt. Identitäten bieten Organisationen einen Rahmen, um den Benutzerzugriff auf PII und datenschutzbezogene Vermögenswerte und Materialien innerhalb der Grenzen eines Netzwerks zu steuern.

Die Organisation muss sechs Hauptrichtlinien befolgen, um sicherzustellen, dass Identitäten korrekt verwaltet werden und PII geschützt sind, wo immer sie gespeichert, verarbeitet oder abgerufen werden:

1. Wenn einem Menschen Identitäten zugewiesen werden, darf sich nur diese Person beim Zugriff auf personenbezogene Daten mit dieser Identität authentifizieren und/oder verwenden.
2. Gemeinsame Identitäten – mehrere Personen, die unter derselben Identität registriert sind – sollten nur eingesetzt werden, um eine Reihe eindeutiger betrieblicher Anforderungen zu erfüllen.
3. Nichtmenschliche Einheiten sollten anders betrachtet und verwaltet werden als benutzerbasierte Identitäten, die auf PII und datenschutzbezogenes Material zugreifen.
4. Identitäten sollten entfernt werden, sobald sie nicht mehr benötigt werden – insbesondere solche mit Zugriff auf PII oder datenschutzbasierte Rollen.
5. Organisationen sollten sich bei der Verteilung von Identitäten im Netzwerk an die Regel „Eine Entität, eine Identität“ halten.
6. Registrierungen sollten durch eine klare Dokumentation protokolliert und aufgezeichnet werden, einschließlich Zeitstempel, Zugriffsebenen und Identitätsinformationen.

Organisationen, die mit externen Organisationen (insbesondere cloudbasierten Plattformen) zusammenarbeiten, sollten die mit solchen Praktiken verbundenen Risiken verstehen und Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch den Prozess nicht beeinträchtigt werden (siehe ISO 27002-Kontrollen 5.19 und 5.17).

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.17
• ISO 27002 5.19

ISO 27701 Abschnitt 6.6.2.2 (Bereitstellung des Benutzerzugriffs) und EU-DSGVO 5 (1)(f)

„Zugriffsrechte“ regeln, wie der Zugriff auf personenbezogene Daten und datenschutzbezogene Informationen sowohl gewährt als auch widerrufen wird, wobei dieselben Leitprinzipien gelten.

Gewährung und Widerruf von Zugriffsrechten

Zugangsverfahren sollten Folgendes umfassen:

• Erlaubnis und Genehmigung des Eigentümers (oder der Verwaltung) der Informationen oder Vermögenswerte (siehe ISO 27002-Steuerung 5.9).
• Alle vorherrschenden kommerziellen, rechtlichen oder betrieblichen Anforderungen.
• Eine Anerkennung der Notwendigkeit, Aufgaben zu trennen, um die PII-Sicherheit zu verbessern und einen widerstandsfähigeren Datenschutzbetrieb aufzubauen.
• Steuerelemente zum Widerrufen von Zugriffsrechten, wenn der Zugriff nicht mehr erforderlich ist (Abgänger usw.).
• Mal Zugangsmaßnahmen für Zeitarbeitskräfte oder Auftragnehmer.
• Eine zentralisierte Aufzeichnung der Zugriffsrechte, die sowohl menschlichen als auch nichtmenschlichen Einheiten gewährt werden.
• Maßnahmen zur Änderung der Zugriffsrechte von Mitarbeitern oder Drittanbietern, die ihre Jobrollen geändert haben.

Überprüfung der Zugriffsrechte

Organisationen sollten regelmäßige Überprüfungen der Zugriffsrechte im gesamten Netzwerk durchführen, einschließlich:

• Einbindung des Widerrufs von Zugriffsrechten in HR-Offboarding-Verfahren (siehe ISO 27002-Kontrollen 6.1 und 6.5) und Rollenwechsel-Workflows.
• Anfragen nach „privilegierten“ Zugriffsrechten.

Change Management und Abgänger

Bei Mitarbeitern, die das Unternehmen entweder vorsätzlich oder als gekündigter Mitarbeiter verlassen, und bei denen eine Änderungsanforderung vorliegt, sollten die Zugriffsrechte auf der Grundlage robuster Risikomanagementverfahren geändert werden, darunter:

• Die Quelle der Änderung/Kündigung, einschließlich des zugrunde liegenden Grundes.
• Die aktuelle Jobrolle des Benutzers und die damit verbundenen Verantwortlichkeiten.
• Die Informationen und Vermögenswerte, die derzeit zugänglich sind – einschließlich ihres Risikoniveaus und ihres Werts für die Organisation.

Ergänzende Anleitung

Arbeitsverträge und Auftragnehmer-/Dienstleistungsverträge sollten eine Erläuterung darüber enthalten, was nach unbefugten Zugriffsversuchen passiert (siehe ISO 27002-Kontrollen 5.20, 6.2, 6.4, 6.6).

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

ISO 27701 Abschnitt 6.6.4.2 (Sichere Anmeldeverfahren) und EU-DSGVO 5 (1)(f)

PII und datenschutzbezogene Vermögenswerte müssen in einem Netzwerk gespeichert werden, das über eine Reihe von Authentifizierungskontrollen verfügt, darunter:

• Multi-Faktor-Authentifizierung (MFA).
• Digitale Zertifikate.
• Smartcards/Anhänger.
• Biometrische Überprüfung.
• Sichere Token.

Um das Risiko eines unbefugten Zugriffs auf PII zu verhindern und zu minimieren, sollten Unternehmen:

1. Verhindern Sie die Anzeige personenbezogener Daten auf einem Monitor oder Endgerät, bis sich ein Benutzer erfolgreich authentifiziert hat.
2. Geben Sie potenziellen Benutzern vor jedem Anmeldeversuch eine klare Warnung, die auf die Sensibilität der Daten hinweist, auf die sie zugreifen möchten.
3. Seien Sie vorsichtig, wenn Sie während des Authentifizierungsprozesses zu viel Hilfestellung leisten (z. B. erklären, welcher Teil eines fehlgeschlagenen Anmeldeversuchs ungültig ist).
4. Setzen Sie Best-Practice-Sicherheitsmaßnahmen ein, darunter:
• CAPTCHA-Technologie.
• Erzwingen des Zurücksetzens von Passwörtern und/oder vorübergehendes Verhindern von Anmeldungen nach mehreren fehlgeschlagenen Versuchen.
5. Protokollieren Sie fehlgeschlagene Anmeldeversuche zur weiteren Analyse und/oder Weitergabe an Strafverfolgungsbehörden.
6. Lösen Sie einen Sicherheitsvorfall aus, wenn eine erhebliche Diskrepanz bei der Anmeldung festgestellt wird oder das Unternehmen eine Authentifizierungsanomalie feststellt, die möglicherweise Auswirkungen auf personenbezogene Daten hat.
7. Leiten Sie Authentifizierungsprotokolle – die Informationen zum letzten Anmeldeversuch und zu fehlgeschlagenen Anmeldeversuchen enthalten – an eine separate Datenquelle weiter.
8. Geben Sie Passwortdaten nur als abstrakte Symbole aus, es sei denn, der Benutzer hat Probleme mit der Zugänglichkeit/Sicht.
9. Verhindern Sie die Weitergabe jeglicher Authentifizierungsdaten.
10. Beenden Sie ruhende Anmeldesitzungen, insbesondere wenn personenbezogene Daten in Remote-Arbeitsumgebungen oder auf BYOD-Ressourcen verwendet werden.
11. Legen Sie ein Zeitlimit für authentifizierte Sitzungen fest, insbesondere für solche, die aktiv auf personenbezogene Daten zugreifen.

Physische und Umweltsicherheit

ISO 27701 Abschnitt 6.8.2.7 (Sichere Entsorgung oder Wiederverwendung von Geräten) und EU-DSGVO 5 (1)(f)

PII und datenschutzbezogene Informationen sind besonders gefährdet, wenn die Notwendigkeit besteht, Speicher- und Verarbeitungsressourcen zu entsorgen oder einer anderen Verwendung zuzuführen – entweder intern oder in Zusammenarbeit mit einem spezialisierten Drittanbieter.

Organisationen müssen vor allem sicherstellen, dass alle zur Entsorgung gekennzeichneten Speichermedien, die personenbezogene Daten enthalten, entsorgt werden physisch zerstört, abgewischt or überschrieben (siehe ISO 27002 Control 7.10 und 8.10).

Um zu verhindern, dass personenbezogene Daten in irgendeiner Weise gefährdet werden, sollten Unternehmen bei der Entsorgung oder Wiederverwendung von Vermögenswerten Folgendes tun:

• Stellen Sie sicher, dass alle Etiketten bei Bedarf entfernt oder geändert werden – insbesondere diejenigen, die auf das Vorhandensein personenbezogener Daten hinweisen.
• Entfernen Sie alle physischen und logischen Sicherheitskontrollen, wenn Sie Einrichtungen stilllegen oder Räumlichkeiten verlegen, um sie an einem neuen Standort wiederzuverwenden.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 7.10
• ISO 27002 8.10

ISO 27701 Klausel 6.8.2.9 (Richtlinie „Freier Schreibtisch und freier Bildschirm“) und EU-DSGVO 5 (1)(f)

PII und datenschutzbezogene Informationen sind besonders gefährdet, wenn unvorsichtige Mitarbeiter und Drittunternehmer die Sicherheitsmaßnahmen am Arbeitsplatz nicht einhalten, die vor dem versehentlichen oder absichtlichen Einsehen von PII durch unbefugtes Personal schützen.

Organisationen sollten themenspezifische Richtlinien für freie Schreibtische und freie Bildschirme entwerfen (gegebenenfalls für jeden einzelnen Arbeitsbereich), die Folgendes umfassen:

• Verstecken vor unbefugtem Zugriff, Sperren oder sicheres Speichern von personenbezogenen Daten und datenschutzrelevanten Informationen, wenn dieses Datenmaterial nicht benötigt wird.
• Physische Sperrmechanismen für IKT-Assets.
• Digitale Zugriffskontrollen – wie Anzeige-Timeouts, passwortgeschützte Bildschirmschoner und automatische Abmeldefunktionen.
• Sicheres Drucken und sofortige Dokumentenerfassung.
• Sichere, verschlossene Aufbewahrung sensibler Dokumentation und ordnungsgemäße Entsorgung dieses Materials, wenn es nicht mehr benötigt wird (Schreddern, Entsorgungsdienste Dritter usw.).
• Achten Sie auf Nachrichtenvorschauen (E-Mail, SMS, Kalendererinnerungen), die möglicherweise Zugriff auf vertrauliche Daten ermöglichen; immer dann, wenn ein Bildschirm an einem öffentlichen Ort geteilt oder angezeigt wird.
• Löschen physischer Displays (z. B. Whiteboards und Pinnwände) von vertraulichen Informationen, wenn diese nicht mehr benötigt werden.

Wenn Organisationen kollektiv Räumlichkeiten verlassen – beispielsweise während eines Büroumzugs oder eines ähnlichen Umzugs –, sollten Anstrengungen unternommen werden, um sicherzustellen, dass keine Unterlagen zurückbleiben, weder auf Schreibtischen und in Ablagesystemen, noch solche, die möglicherweise an unauffällige Orte gefallen sind.

Betriebssicherheit

ISO 27701 Abschnitt 6.9.3.1 (Informationssicherung) und EU-DSGVO 5 (1)(f)

Organisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.

BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.

Die BUDR-Pläne sollten vorrangig Folgendes umfassen:

• Skizzieren Sie Wiederherstellungsverfahren, die alle kritischen Systeme und Dienste abdecken.
• Sie sind in der Lage, funktionsfähige Kopien aller Systeme, Daten oder Anwendungen zu erstellen, die Teil eines Backup-Jobs sind.
• Den kommerziellen und betrieblichen Anforderungen der Organisation gerecht werden (siehe ISO 27002 Control 5.30).
• Speichern Sie Backups an einem umweltgeschützten Ort, der physisch von den Quelldaten getrennt ist (siehe ISO 27002 Control 8.1).
• Testen und bewerten Sie Backup-Jobs regelmäßig anhand der vom Unternehmen vorgeschriebenen Wiederherstellungszeiten, um die Datenverfügbarkeit zu gewährleisten.
• Verschlüsseln Sie alle PII-bezogenen Sicherungsdaten.
• Überprüfen Sie noch einmal, ob Daten verloren gegangen sind, bevor Sie einen Sicherungsauftrag ausführen.
• Nutzen Sie ein Berichtssystem, das die Mitarbeiter über den Status von Backup-Jobs informiert.
• Versuchen Sie, Daten von Cloud-basierten Plattformen, die nicht direkt von der Organisation verwaltet werden, in interne Backup-Jobs zu integrieren.
• Speichern Sie Backups gemäß einer geeigneten PII-Aufbewahrungsrichtlinie (siehe ISO 27002 Control 8.10).

Zusätzliche Pii-spezifische Anleitung

Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).

Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.

Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.

Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.

Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Abschnitt 6.9.4.1 (Ereignisprotokollierung) und EU-DSGVO 5 (1)(f)

ISO definiert ein „Ereignis“ als jede Aktion, die von einer digitalen oder physischen Präsenz/Entität auf einem Computersystem ausgeführt wird.

Ereignisprotokolle sollten Folgendes enthalten:

• Eine Benutzer-ID – Wer oder welches Konto hat die Aktionen ausgeführt.
• Eine Aufzeichnung der Systemaktivität.
• Zeitstempel.
• Geräte- und Systemkennungen sowie der Ort des Ereignisses.
• Informationen zur IP-Adresse.

Ereignistypen

ISO identifiziert 11 Ereignisse/Komponenten, die eine Protokollierung erfordern (und mit derselben Zeitquelle verknüpft sind – siehe ISO 27002 Control 8.17), um die PII-Sicherheit aufrechtzuerhalten und den Datenschutz der Organisation zu verbessern:

1. Versuche, auf das System zuzugreifen.
2. Datenzugriffsversuche.
3. Versuche, auf Ressourcen zuzugreifen.
4. Änderungen der Betriebssystemkonfiguration.
5. Höhere Privilegien.
6. Hilfsprogramme und Wartungseinrichtungen (siehe ISO 27002 Control 8.18).
7. Dateizugriffsanfragen und was passiert ist (Löschung, Migration usw.).
8. Kritische Unterbrechungen.
9. Aktivitäten rund um Sicherheits-/Anti-Malware-Systeme.
10. Arbeiten zur Identitätsverwaltung (z. B. Hinzufügen und Löschen von Benutzern).
11. Ausgewählte Aktivitäten der Bewerbungssitzung.

Protokollschutz

Protokolle sollten vor unbefugten Änderungen oder Betriebsanomalien geschützt werden, einschließlich:

• Änderungen des Nachrichtentyps.
• Löschen oder Bearbeiten.
• Überschreiben aufgrund von Speicherproblemen.

Organisationen sollten sich mit den folgenden Techniken befassen, um die protokollbasierte Sicherheit zu verbessern:

• Kryptografisches Hashing.
• Nur-Anhang-Aufzeichnung.
• Schreibgeschützte Aufzeichnung.
• Nutzung öffentlicher Transparenzdateien.

Wenn die Notwendigkeit besteht, Protokolle an externe Organisationen weiterzugeben, sollten strenge Maßnahmen ergriffen werden, um personenbezogene Daten und datenschutzbezogene Informationen im Einklang mit anerkannten Datenschutzstandards zu schützen (siehe ISO 27002 Control 5.34 und zusätzliche Leitlinien unten).

Protokollanalyse

Protokolle müssen von Zeit zu Zeit analysiert werden, um den Datenschutz insgesamt zu verbessern und Sicherheitsverletzungen sowohl zu beheben als auch zu verhindern.

Bei der Durchführung einer Protokollanalyse sollten Organisationen Folgendes berücksichtigen:

• Die Fachkompetenz des Personals, das die Analyse durchführt.
• Das tippe, Kategorie und Attribut jedes Veranstaltungstyps.
• Alle Ausnahmen, die über Netzwerkregeln angewendet werden, die von Sicherheitssoftware-Hardware und -Plattformen ausgehen.
• Anomaler Netzwerkverkehr.
• Spezialisierte Datenanalyse.
• Verfügbare Bedrohungsinformationen (entweder intern oder von einer vertrauenswürdigen Drittquelle).

Protokollüberwachung

Die Protokollüberwachung bietet Unternehmen die Möglichkeit, personenbezogene Daten an der Quelle zu schützen und einen proaktiven Ansatz zum Schutz der Privatsphäre zu fördern.

Organisationen sollten:

1. Überprüfen Sie interne und externe Versuche, auf sichere Ressourcen zuzugreifen.
2. Analysieren Sie DNS-Protokolle (und Datennutzungsberichte), um den Datenverkehr von und zu böswilligen Quellen zu identifizieren.
3. Sammeln Sie Protokolle von physischen Zugangspunkten und physischen Perimeter-Sicherheitsgeräten (Zugangssysteme usw.).

Zusätzliche PII-bezogene Anleitungen

ISO verlangt von Organisationen, Protokolle im Zusammenhang mit personenbezogenen Daten durch ein „Überwachungsprotokoll“ zu überwachen.kontinuierlicher und automatisierter Überwachungs- und Alarmierungsprozess'. Dies kann einen separaten Satz von Verfahren erforderlich machen, die den Zugriff auf personenbezogene Daten überwachen.

Organisationen sollten vorrangig sicherstellen, dass Protokolle einen klaren Überblick über den Zugriff auf PII bieten, einschließlich:

• Wer hat auf die Daten zugegriffen?
• Wann auf die Daten zugegriffen wurde.
• Auf die PII des Auftraggebers wurde zugegriffen.
• Alle vorgenommenen Änderungen.

Organisationen sollten entscheiden:ob, wann und wie„ PII-Protokollinformationen sollten den Kunden zur Verfügung gestellt werden, wobei alle Kriterien den Auftraggebern selbst frei zugänglich gemacht werden sollten und große Sorgfalt darauf verwendet wird, sicherzustellen, dass PII-Auftraggeber nur auf die sie betreffenden Informationen zugreifen können.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.34
• ISO 27002 8.11
• ISO 27002 8.17
• ISO 27002 8.18

ISO 27701 Abschnitt 6.9.4.2 (Schutz von Protokollinformationen) und EU-DSGVO 5 (1)(f)

Siehe ISO 27701 Abschnitt 6.9.4.1

Zusätzliche PII-bezogene Anleitungen

Organisationen sollten viel Aufmerksamkeit darauf verwenden, sicherzustellen, dass Protokolle, die PII enthalten, ordnungsgemäß kontrolliert werden und von einer sicheren Überwachung profitieren.

Es sollten automatisierte Verfahren eingerichtet werden, die Protokolle im Einklang mit einer veröffentlichten Aufbewahrungsrichtlinie entweder löschen oder „de-identifizieren“ (siehe ISO 27002 Control 7.4.7).

Leitfaden für PII-Controller

ISO 27701 Abschnitt 7.2.1 (Zweck identifizieren und dokumentieren) und EU-DSGVO 5 (1)(b)

PII-Auftraggeber müssen mit den verschiedenen Gründen für die Verarbeitung ihrer PII vollständig vertraut sein.

Es liegt in der Verantwortung der Organisation, diese Gründe den PII-Leitern mitzuteilen, zusammen mit einer „klaren Erklärung“, warum sie ihre Informationen verarbeiten müssen.

Die gesamte Dokumentation muss klar, umfassend und für jeden PII-Auftraggeber, der sie liest, leicht verständlich sein – einschließlich aller Unterlagen im Zusammenhang mit der Einwilligung sowie Kopien interner Verfahren (siehe ISO 27701, Abschnitte 7.2.3, 7.3.2 und 7.2.8).

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Abschnitt 7.2.2 (Rechtsgrundlage ermitteln) und EU-DSGVO 5 (1)(a)

Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen:

• Holen Sie die Zustimmung der PII-Leiter ein.
• Entwerfen Sie einen Vertrag.
• Erfüllen Sie verschiedene weitere gesetzliche Verpflichtungen.
• Schützen Sie die „lebenswichtigen Interessen“ der verschiedenen PII-Auftraggeber.
• Stellen Sie sicher, dass die ausgeführten Aufgaben im öffentlichen Interesse liegen.
• Bestätigen Sie, dass die PII-Verarbeitung ein berechtigtes Interesse darstellt.

Für jeden oben genannten Punkt sollten Organisationen eine dokumentierte Bestätigung anbieten können

Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).

Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.2.8

ISO 27701 Klausel 7.2.6 (Verträge mit PII-Verarbeitern) und EU DSGVO 5 (2)

Organisationen müssen mit jedem externen PII-Verarbeiter, den sie nutzen, schriftliche, verbindliche Verträge abschließen.

Alle Verträge müssen sicherstellen, dass der PII-Verarbeiter alle in ISO 27701 Anhang B enthaltenen erforderlichen Informationen umsetzt, mit besonderem Augenmerk auf Risikobewertungskontrollen (ISO 27701 Abschnitt 5.4.1.2) und den Gesamtumfang der Verarbeitungsaktivitäten (siehe ISO 27701 Abschnitt 6.12). ).

Organisationen müssen in der Lage sein, das Weglassen von in Anhang B enthaltenen Kontrollen in ihrer Beziehung zum PII-Verarbeiter zu rechtfertigen (siehe ISO 27701 Abschnitt 5.4.1.3).

ISO 27701 Abschnitt 7.2.8 (Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten) und EU-DSGVO 5 (2)

Organisationen müssen umfassende Aufzeichnungen führen, die ihre Handlungen und Pflichten als PII-Verarbeiter unterstützen.

Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:

• Operativ – die spezifische Art der PII-Verarbeitung, die durchgeführt wird.
• Begründungen – warum die PII verarbeitet wird.
• Kategorisch – Listen der PII-Empfänger, einschließlich internationaler Organisationen.
• Sicherheit – ein Überblick darüber, wie personenbezogene Daten geschützt werden.
• Datenschutz – d. h. ein Bericht zur Datenschutz-Folgenabschätzung.

ISO 27701 Abschnitt 7.3.6 (Zugriff, Berichtigung und/oder Löschung) und EU-DSGVO 5 (1)(d)

Organisationen sollten Verfahren entwerfen, dokumentieren und implementieren, die es PII-Prinzipalen ermöglichen, auf ihre PII zuzugreifen, diese zu korrigieren und/oder zu löschen.

Die Verfahren sollten Mechanismen umfassen, mit denen der PII-Auftraggeber die oben genannte Aktion durchführen kann, einschließlich der Art und Weise, wie die Organisation den Auftraggeber informieren soll, wenn Korrekturen nicht vorgenommen werden können.

Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Zugriffs-, Korrektur- oder Löschanfragen verpflichten.

Es ist von entscheidender Bedeutung, solche Anfragen an Dritte weiterzuleiten, denen PII übertragen wurden (siehe ISO 27701 Abschnitt 7.3.7).

Die Möglichkeit eines PII-Auftraggebers, Korrekturen oder Löschungen zu beantragen, hängt von der Gerichtsbarkeit ab, in der die Organisation tätig ist. Daher sollten Unternehmen sich über alle rechtlichen oder behördlichen Änderungen auf dem Laufenden halten, die ihre Verpflichtungen gegenüber PII regeln.

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.3.7

Privacy by Design und Privacy by Default

ISO 27701 Klausel 7.4.1 (Limit Collection) und EU DSGVO 5 (1)(b) und (1)(c)

Organisationen sollten die Sammlung personenbezogener Daten anhand von drei Faktoren einschränken:

1. Relevanz.
2. Verhältnismäßigkeit.
3. Notwendigkeit.

Organisationen sollten PII – entweder direkt oder indirekt – nur in Übereinstimmung mit den oben genannten Faktoren und nur für Zwecke sammeln, die für ihren angegebenen Zweck relevant und notwendig sind.

Als Konzept sollte „Privacy by Default“ eingehalten werden, d. h. alle optionalen Funktionen sollten standardmäßig deaktiviert sein.

ISO 27701 Abschnitt 7.4.3 (Genauigkeit und Qualität) und EU-DSGVO 5 (1)(d)

Unternehmen sollten Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten während ihres gesamten Lebenszyklus korrekt, vollständig und aktuell sind.

Organisatorische Informationssicherheitsrichtlinien und technische Konfigurationen sollten Schritte enthalten, die darauf abzielen, Fehler während des gesamten PII-Verarbeitungsvorgangs zu minimieren, einschließlich Kontrollen, wie auf Ungenauigkeiten reagiert werden soll.

ISO 27701 Abschnitt 7.4.4 (PII-Minimierungsziele) und EU-DSGVO 5 (1)(c) und (1)(e)

Organisationen müssen Verfahren zur „Datenminimierung“ entwickeln, einschließlich Mechanismen wie der Anonymisierung.

Durch Datenminimierung sollte sichergestellt werden, dass die Erhebung und Verarbeitung personenbezogener Daten auf den „identifizierten Zweck“ jeder Funktion beschränkt ist (siehe ISO 27701 Abschnitt 7.2.1).

Ein großer Teil dieses Prozesses besteht darin, zu dokumentieren, inwieweit die Informationen eines PII-Auftraggebers ihm direkt zuzuordnen sein sollten und wie eine Minimierung mithilfe einer Vielzahl verfügbarer Methoden erreicht werden kann.

Organisationen sollten die spezifischen Techniken erläutern, die zur Anonymisierung personenbezogener Daten verwendet werden, wie zum Beispiel:

1. Randomisierung.
2. Lärmzusatz.
3. Verallgemeinerung.
4. Attributentfernung.

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.2.1

ISO 27701 Klausel 7.4.5 (De-Identifizierung und Löschung personenbezogener Daten am Ende der Verarbeitung) und EU-DSGVO 5 (1)(c) und (1)(e)

Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.

Sobald die Organisation festgestellt hat, dass die personenbezogenen Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.

ISO 27701 Klausel 7.4.6 (Temporäre Dateien) und EU DSGVO 5 (1)(c)

Temporäre Dateien werden aus verschiedenen technischen Gründen während des gesamten Lebenszyklus der PII-Verarbeitung und -Erfassung in zahlreichen Anwendungen, Systemen und Sicherheitsplattformen erstellt.

Organisationen müssen sicherstellen, dass diese Dateien gemäß einer offiziellen Aufbewahrungsrichtlinie innerhalb eines angemessenen Zeitraums vernichtet werden.

Eine einfache Möglichkeit, das Vorhandensein solcher Dateien festzustellen, besteht darin, regelmäßig temporäre Überprüfungen im gesamten Netzwerk durchzuführen. Temporäre Dateien umfassen häufig:

• Datenbankaktualisierungsdateien.
• Zwischengespeicherte Informationen.
• Von Anwendungen und maßgeschneiderten Softwarepaketen erstellte Dateien.

Organisationen sollten sich an ein sogenanntes halten Garbage-Collection-Verfahren Dadurch werden temporäre Dateien gelöscht, wenn sie nicht mehr benötigt werden.

ISO 27701 Abschnitt 7.4.8 (Entsorgung) und EU-DSGVO 5 (1)(f)

Organisationen müssen über klare Richtlinien und Verfahren verfügen, die regeln, wie personenbezogene Daten entsorgt werden.

Die Datenentsorgung ist ein weitreichendes Thema, das eine Vielzahl verschiedener Variablen umfasst, basierend auf der erforderlichen Entsorgungstechnik und der Art der zu entsorgenden Daten.

Organisationen müssen Folgendes berücksichtigen:

• Was die PII beinhaltet.
• Alle verbleibenden Metadaten, die zusammen mit den Hauptdaten gelöscht werden müssen.
• Die Art des Speichermediums, auf dem die personenbezogenen Daten gespeichert sind.

ISO 27701 Abschnitt 7.4.9 (PII-Übertragungskontrollen) und EU-DSGVO 5 (1)(f)

Alle personenbezogenen Daten, die an eine Drittorganisation übertragen werden sollen, sollten mit größter Sorgfalt bei der Übermittlung der Informationen und unter Verwendung sicherer Mittel erfolgen.

Unternehmen müssen sicherstellen, dass nur autorisiertes Personal auf Übertragungssysteme zugreifen kann, und zwar auf eine leicht überprüfbare Weise, mit dem alleinigen Zweck, die Informationen ohne Zwischenfälle dorthin zu bringen, wo sie hin müssen.

Leitfaden für PII-Verarbeiter

ISO 27701 Abschnitt 8.2.2 (Organisationszwecke) und EU-DSGVO 5 (1)(a) und (1)(b)

Die Verarbeitung personenbezogener Daten sollte von Beginn an ausschließlich nach den Weisungen des Kunden erfolgen.

Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.

Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.

ISO 27701 Klausel 8.4.1 (Temporäre Dateien) und EU DSGVO 5 (1)(c)

Organisationen müssen sicherstellen, dass temporäre Dateien innerhalb einer angemessenen Zeitspanne gemäß einer offiziellen Aufbewahrungsrichtlinie und klaren Löschverfahren vernichtet werden.

Eine einfache Möglichkeit, das Vorhandensein solcher Dateien festzustellen, besteht darin, regelmäßig temporäre Überprüfungen im gesamten Netzwerk durchzuführen.

Organisationen sollten sich an ein sogenanntes halten Garbage-Collection-Verfahren Dadurch werden temporäre Dateien gelöscht, wenn sie nicht mehr benötigt werden.

ISO 27701 Abschnitt 8.4.3 (PII-Kontrollen) und EU-DSGVO 5 (1)(f)

Wann immer die Notwendigkeit besteht, personenbezogene Daten über ein Datennetzwerk (einschließlich einer dedizierten Verbindung) zu übertragen, müssen Organisationen darauf achten, sicherzustellen, dass die personenbezogenen Daten rechtzeitig die richtigen Empfänger erreichen.

Bei der Übertragung personenbezogener Daten zwischen Datennetzwerken sollten Organisationen Folgendes tun:

• Stellen Sie sicher, dass nur autorisierte Personen die Übertragung durchführen können.
• Halten Sie sich an veröffentlichte Verfahren, die die Übertragung personenbezogener Daten von der Organisation an Dritte regeln.
• Bewahren Sie alle Prüfdaten auf.
• Nehmen Sie Übertragungsanforderungen in den Vertrag des Kunden auf.
• Sofern keine schriftlichen oder vertraglichen Vereinbarungen bestehen, ist vor jeder Übertragung Rücksprache mit dem Kunden zu halten.

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

Wie ISMS.online hilft

Ihre komplette DSGVO-Lösung.

Eine vorgefertigte Umgebung, die sich nahtlos in Ihr Managementsystem einfügt, ermöglicht es Ihnen, Ihren Ansatz zum Schutz europäischer und britischer Kundendaten zu beschreiben und zu demonstrieren.

Mit ISMS.online können Sie direkt in die DSGVO-Konformität einsteigen und ein Schutzniveau nachweisen, das über das „angemessene“ hinausgeht – und das alles an einem sicheren, immer verfügbaren Ort.

In Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“ bietet die ISMS.online-Plattform eine integrierte Anleitung bei jedem Schritt und reduziert so den Aufwand für den Nachweis Ihrer DSGVO-Konformität. Darüber hinaus stehen Ihnen zahlreiche leistungsstarke zeitsparende Funktionen zur Verfügung.

Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.