TRUST CENTER – LIEFERANTEN & UNTERAUFTRAGNEHMER

Onesurance & Unterauftragsverarbeiter
Zuletzt aktualisiert: Dezember 2024

Unsere Politik

Bei Onesurance wir die externen Partner, mit denen wir zusammenarbeiten, sorgfältig Onesurance . Wir sind uns bewusst, dass die Zusammenarbeit mit Dritten potenzielle Risiken für die Sicherheit und den Schutz von Kundendaten mit sich bringt. Deshalb verfügen wir über ein strenges Lieferantenmanagementprogramm, das sicherstellt, dass jeder Dritte, der Zugriff auf Kundendaten hat, denselben hohen Sicherheits- und Compliance-Standards entspricht wie wir selbst.

Rahmenwerk für das Lieferantenmanagement

Auswahlverfahren für Lieferanten

1. Bewertung des Geschäftsbedarfs
• Anforderungsdefinition: Klare Geschäftsfall
• Alternativenanalyse: Build-vs.-Buy-Bewertung
• Risikobewertung: Identifizierung potenzieller Risiken

2. Lieferantenbewertung
• Sicherheitsfragebogen: Standardisierter Fragebogen
• Compliance-Überprüfung: Zertifikate, Bescheinigungen
• Finanzielle Stabilität: Unternehmens-Health-Check
• Referenzen: Referenzen bestehender Kunden
• Technische Fähigkeiten: POC/Demo, falls relevant

3. Sicherheitsbewertung
Bewertungskriterien:
• Informationssicherheitsprogramm: ISMS, Richtlinien, Verfahren
• Compliance: ISO 27001, SOC 2, DSGVO, andere relevante
• Datenverarbeitung: Wo werden Daten gespeichert/verarbeitet?
• Zugriffskontrollen: Wer hat Zugriff auf welche Daten?
• Verschlüsselung: Im Ruhezustand und während der Übertragung
• Reaktion auf Vorfälle: Verfahren und Erfolgsbilanz
• Geschäftskontinuität: BC/DR-Pläne
• Versicherung: Cyber-Haftpflichtversicherung

4. Rechtliche Überprüfung
• Vertragsüberprüfung: Bedingungen, Haftungen, Entschädigungen
• Datenverarbeitungsvereinbarung (DPA): DSGVO-konforme DPA erforderlich
• SLA-Bedingungen: Leistung, Verfügbarkeit, Support
• Kündigungsklauseln: Verfahren zur Rückgabe/Löschung von Daten
• Haftung und Versicherung: Angemessener Versicherungsschutz

5. Genehmigungsprozess
• Technische Genehmigung: CTO/Sicherheitsteam
• Compliance-Genehmigung: FG/Rechtsabteilung
• Finanzielle Genehmigung: CFO (Budget)
• Genehmigung durch die Geschäftsleitung: Für risikoreiche/hochwertige Anbieter

6. Onboarding
• Vertragsunterzeichnung: Unterzeichnete Vereinbarungen
• Zugriffsbereitstellung: Minimal erforderlicher Zugriff
• Dokumentation: Angaben zum Anbieter im Register
• Kommunikation: Relevante Teams informiert
• Überwachungskonfiguration: Leistungs- und Sicherheitsüberwachung

Laufendes Lieferantenmanagement

Jährliche Überprüfungen
• Sicherheitsstatus: Aktualisierte Sicherheitsbewertungen
• Compliance-Status: Aktuelle Zertifizierungen überprüft
• Leistung: Überprüfung der SLA-Compliance
• Risiken: Neubewertung des Risikoprofils
• Verträge: Überprüfung und Verlängerung

Kontinuierliche Überwachung
• Leistungskennzahlen: Verfügbarkeit, Reaktionszeiten, Qualitäts
• Sicherheitsvorfälle: Überwachung von Verstößen durch Anbieter
• Änderungen der Compliance: Neue Zertifizierungen, Ausläufe
• Finanzielle Gesundheit: Kontinuierliche Stabilitätsüberwachung
• Nachrichtenüberwachung: Fusionen und Übernahmen, Führungswechsel, Vorfälle

Incident Management
• Vorfälle bei Lieferanten: Benachrichtigungspflichten im Vertrags
• Folgenabschätzung: Bewertung der Auswirkungen auf Onesurance
• Koordinierung der Reaktion: Gemeinsame Bearbeitung von Vorfällen, falls erforderlich
• Kommunikation: Information der betroffenen Kunden
• Nachbearbeitung: Gewonnene Erkenntnisse, Plananpassungen

Offboarding
• Datenrückgabe/-löschung: Gemäß Vertrag und DSGVO
• Zugriffsbeschränkung: Alle Zugriffsrechte werden entfernt
• Abschließende Prüfung: Überprüfung der Datenverarbeitung
• Dokumentation: Abschluss des Offboardings protokolliert
• Gewonnene Erkenntnisse: Prozessverbesserungen

Unterauftragsverarbeiter (DSGVO/GDPR-Kontext)

Definition

Unterauftragsverarbeiter sind Dritte, die personenbezogene Daten im Auftrag von Onesurance Rahmen unserer Dienstleistungen für Kunden verarbeiten. Gemäß der DSGVO haben wir bestimmte Verpflichtungen gegenüber Unterauftragsverarbeitern.

Aktuelle Unterauftragsverarbeiter

1. Microsoft Corporation (Azure Cloud Services)
• Dienst: Cloud-Infrastruktur und Plattformdienste
• Rolle: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS)
• Datenverarbeitungsstandort: Azure West-Europe (Amsterdam, NL)
• Datentypen: Alle Kundendaten auf unserer Plattform
• Zweck: Hosting, Rechenleistung, Speicher, Datenbank, Sicherheitsdienste
• Zertifizierungen: ISO 27001, ISO 27017, ISO 27018, SOC 2 Typ II
• DSGVO-Konformität: EU-Standardvertragsklauseln (SCCs)
• Website: azure.microsoft.com
• Datenschutzerklärung: privacy.microsoft.com
• DPA: Microsoft Online Services DPA (Standard)
• Unterauftragsverarbeiter: Liste der von Microsoft zugelassenen Unterauftragsverarbeiter
• Weitere Informationen: Microsoft ist ein ISO-zertifizierter Datenverarbeiter.

2. Bonsai Software B.V. (Entwicklungsdienstleistungen)
• Dienstleistung: Softwareentwicklung und Wartungsunterstützung
• Rolle: Entwicklungspartner für Plattformfunktionen
• Datenverarbeitungsstandort: Niederlande (EU)
• Datentypen: Entwicklungs-/Staging-Daten (soweit möglich anonymisiert)
• Zweck: Produktentwicklung, Fehlerbehebung, technischer Support
• Zertifizierungen: N/A (kleines Unternehmen)
• DSGVO-Konformität: DPA anstelle von
• Zugriff: Begrenzter, kontrollierter Zugriff auf Staging-Umgebungen
• Sicherheit: Unterzeichnete Vertraulichkeitsvereinbarung, Zugriffskontrollen, Überwachung
• Zusätzliche Informationen: EU-basiert, unterliegt der DSGVO

Zukünftige Unterauftragsverarbeiter

Wir verpflichten uns, Kunden über neue Unterauftragsverarbeiter zu informieren:
• Benachrichtigung: Mindestens 30 Tage vor Vertragsabschluss
• Methode: E-Mail-Benachrichtigung an den Vertragskontakt
• Widerspruchsrecht: Kunden können Widerspruch einlegen (Vertragsbedingungen)
• Alternative: Bei Widerspruch und fehlender Alternative → Vertragsauflösung möglich

Unterauftragsverarbeiter Verpflichtung und (DSGVO)

Vertragliche Garantien

Verarbeitungsvereinbarung (DPA) Anforderungen:
• Geltungsbereich: Klare Definition der Verarbeitung
• Anweisungen: Verarbeitung nur auf Anweisung Onesurance
• Vertraulichkeit: Vertraulichkeit der Verarbeiter
• Sicherheit: Angemessene technische und organisatorische Maßnahmen
• Unterauftragsverarbeiter: Zustimmung Onesurance
• Unterstützung: Unterstützung bei der Einhaltung der DSGVO (DPIAs, Anfragen von betroffenen Personen)
• Löschung/Rückgabe: Rückgabe oder Löschung von Daten nach Vertragsende
• Audit: Recht auf Audit des Unterauftragsverarbeiters
• Benachrichtigung bei Verstößen: Sofortige Benachrichtigung bei Datenschutzverletzungen
• Datenstandort: Keine Übertragung außerhalb der EU ohne angemessene Garantien

Überwachung und Durchsetzung:
• Vertragskonformität: Regelmäßige Überprüfungen
• Leistungskennzahlen: Verfolgung und Berichterstattung
• Sicherheitsaudits: Jährliche Bewertung
• Vorfallverfolgung: Protokollierung aller Vorfälle
• Abhilfe: Aktionspläne für Probleme
• Kündigung: Bei Nichteinhaltung oder schwerwiegenden Verstößen

Anforderungen an die Lieferantensicherheit

Mindestanforderungen

Alle Anbieter (nicht personenbezogene Daten):
• Sicherer Zugriff: Starke Authentifizierung, MFA empfohlen
• Verschlüsselung: Daten während der Übertragung (TLS 1.2+)
• Protokollierung: Zugriffsprotokolle werden geführt
• Vertraulichkeit: NDA unterzeichnet
• Hintergrundüberprüfungen: Für Mitarbeiter mit Zugriff

Unterauftragsverarbeiter (personenbezogene Daten):
Zusätzliche Anforderungen:
• DPA: DSGVO-konforme Datenverarbeitungsvereinbarung
• Verschlüsselung: Sowohl im Ruhezustand (AES-256) als auch während der Übertragung (TLS 1.3)
• Zugriffskontrollen: Rollenbasiert, geringstmögliche Berechtigungen
• Prüfpfad: Umfassende Protokollierung von Aktivitäten
• Zertifizierungen: ISO 27001 oder SOC 2 werden dringend empfohlen
• Reaktion auf Vorfälle: Festgelegte Verfahren, Benachrichtigungsanforderungen
• Datenstandort: EU/EWR oder angemessener Schutz
• Geschäftskontinuität: BC/DR-Pläne vorhanden
• Versicherung: Cyber-Haftpflichtversicherung
• Hintergrundüberprüfungen: Für alle Mitarbeiter mit Datenzugriff

Bevorzugte Zertifizierungen
• ISO 27001: Informationssicherheits-Management
• SOC 2 Typ II: Sicherheit, Verfügbarkeit, Vertraulichkeit
• ISO 27017: Cloud-Sicherheit
• ISO 27018: Cloud-Datenschutz
• ISO 27701: Datenschutz-Informationsmanagement
• CSA STAR: Cloud Security Alliance-Zertifizierung

Datenflüsse und Verarbeitungsorte

Datenverarbeitungsstandorte

Die gesamte Datenverarbeitung erfolgt innerhalb der EU:
• Primär: Azure West-Europe (Amsterdam, Niederlande)
• Backup: Azure North-Europe (Dublin, Irland)
• Keine Verarbeitung außerhalb der EU/des EWR

Internationale Datenübertragungen

Aktueller Status: Keine internationalen Datenübertragungen

Wenn zukünftige Übertragungen erforderlich werden:
• Angemessenheitsentscheidung: Bevorzugter Mechanismus (EU-Kommission)
• Standardvertragsklauseln: Es werden EU-SCCs verwendet
• Bewertung der Auswirkungen der Übertragung: Durchführung gemäß den EDPB-Richtlinien
• Zusätzliche Sicherheitsvorkehrungen: Verschlüsselung, Zugriffskontrollen
• Benachrichtigung der Kunden: Vorabbenachrichtigung der betroffenen Kunden
• Dokumentation: Alle Übertragungen werden dokumentiert

Tools und Dienste von Drittanbietern

Entwicklung & Betrieb

GitHub (Code-Repository)
• Zweck: Versionskontrolle des Quellcodes
• Daten: Code, Dokumentation, keine Kundendaten
• Standort: Global (Unternehmenskonto)
• Sicherheit: SSO, 2FA, Branch Protection
• Datenschutz: Getrennt von der Produktion

Azure DevOps (CI/CD)
• Zweck: Erstellen, Testen, Bereitstellen von Pipelines
• Daten: Code, Build-Artefakte, keine Kundendaten
• Standort: Westeuropa
• Sicherheit: Azure AD-Integration, RBAC
• Datenschutz: Es werden keine Kundendaten verarbeitet.

Überwachungstools (integriert in Azure)
• Azure Monitor: Infrastruktur- und Anwendungsüberwachung
• Application Insights: Leistungsüberwachung
• Log Analytics: Zentralisierte Protokollierung
• Azure Sentinel: SIEM
• Standort: Ganz Westeuropa
• Daten: Protokolle, Metriken, keine sensiblen Kundendaten isoliert

Sicherheits- und Compliance-Tools

Integrierte Azure-Dienste:
• Azure Security Center: Posture Management
• Azure Defender: Threat Protection
• Azure Firewall: Netzwerksicherheit
• Azure Key Vault: Geheimnisverwaltung
• Alle: Native Azure, EU-Regionen, Microsoft DPA

Business- und Support-Tools

Microsoft 365 (E-Mail, Produktivität)
• Zweck: Interne E-Mails, Dokumente, Zusammenarbeit
• Daten: Geschäftskommunikation, keine operativen Kundendaten
• Standort: EU-Rechenzentren
• Sicherheit: Enterprise E5, DLP, Verschlüsselung
• DPA: Microsoft Cloud Agreement

Slack (optional – interne Kommunikation)
• Zweck: Team-Messaging (falls verwendet)
• Daten: Nur interne Diskussionen
• Standort: EU-Region verfügbar
• Sicherheit: Enterprise Grid, SSO, DLP
• Einschränkung: Keine Weitergabe von Kundendaten

Kundensichtbarkeit und -kontrolle

Liste der Unterauftragsverarbeiter

• Öffentliche Liste: Dieses Dokument dient als unsere Liste der Unterauftragsverarbeiter
• Aktualisierungen: Wird auf dem neuesten Stand gehalten, versionskontrolliert
• Benachrichtigungen: E-Mail-Benachrichtigungen für neue Unterauftragsverarbeiter
• Zugänglichkeit: Über das Trust Center jederzeit verfügbar

Kundenrechte

Benachrichtigung:
• Neue Unterauftragsverarbeiter: 30 Tage im Voraus
• Änderungen: Wesentliche Änderungen an bestehenden Unterauftragsverarbeitern
• Methode: E-Mail an den Vertragskontakt

Einwand:
• Frist: 14 Tage nach Benachrichtigung
• Verfahren: Schriftlicher Einwand mit Begründung
• Lösung: Diskussion in gutem Glauben
• Alternative: Wenn keine Lösung → Kündigungsoption

Audit:
• Anforderungsprozess: Über onesurance
• Häufigkeit: In angemessenen Abständen (z. B. jährlich)
• Umfang: Sicherheit und Datenverarbeitung durch Unterauftragsverarbeiter
• Kosten: Es können angemessene Gebühren anfallen
• Berichte: Zusammenfassende Berichte werden weitergegeben
• Behebung: Probleme werden umgehend behoben

Risikomanagement für Lieferanten

Risikokategorien

Hohe Risiken:
• Zugriff auf Produktionskundendaten
• Abhängigkeiten von kritischer Infrastruktur
• Abhängigkeiten von einer einzigen Quelle
• Standort außerhalb der EU/des EWR
• Beispiele: Cloud-Anbieter (Azure)

Mittleres Risiko:
• Eingeschränkter Produktionszugang
• Nicht kritische Dienste
• Verfügbare Alternativen
• EU-basiert
• Beispiele: Entwicklungspartner

Geringes Risiko:
• Kein Zugriff auf Kundendaten
• Nur interne Tools
• Leicht ersetzbar
• Beispiele: Bürobedarf, Marketing-Tools

Risikominderung

Vertraglich:
• Starke Datenschutzbehörden mit Haftungsklauseln
• SLAs mit Strafen
• Versicherungsanforderungen
• Prüfungsrechte
• Kündigungsrechte

Technisch:
• Zugriff mit geringsten Rechten
• Verschlüsselung obligatorisch
• Überwachung der Aktivitäten
• Regelmäßige Sicherheitsbewertungen
• Integration der Reaktion auf Vorfälle

Operativ:
• Alternative Anbieter identifiziert
• Ausstiegsstrategien dokumentiert
• Regelmäßige Überprüfungen
• Leistungsüberwachung
• Verfahren zur Eskalation von Vorfällen

Reaktion auf Vorfälle bei Lieferanten

Benachrichtigungspflichten

Anbieter müssen Onesurance benachrichtigen:
• Sofort: Sicherheitsvorfälle, die unsere Daten betreffen
• Innerhalb von 24 Stunden: Dienstunterbrechungen, die die Verfügbarkeit beeinträchtigen
• Innerhalb von 72 Stunden: Änderungen hinsichtlich Compliance oder Zertifizierung

Onesurance

Bei einem Vorfall beim Verkäufer:

1. Bewertung: Auswirkungen auf Onesurance Kunden (innerhalb von 4 Stunden)

2. Eindämmung: Sofortmaßnahmen zur Begrenzung der Auswirkungen

3. Kundenbenachrichtigung: Bei Betroffenheit von Kundendaten (siehe Vorlage 06)

4. Regulatorische Mitteilung: Falls gemäß AVG/DORA erforderlich

5. Remediation: Zusammenarbeit mit dem Anbieter bei der Fehlerbehebung

6. Rückblick: Bewertung nach dem Vorfall

7. Verbesserung: Vertrags- oder Beziehungsänderungen, falls erforderlich

Kündigung durch den Anbieter

Vendor failures leading to termination:
• Significant security breach
• Loss of required certifications
• Repeated SLA violations
• Non-compliance with DPA
• Financial instability
• Acquisition by competitor

Kündigungsverfahren

1. Benachrichtigung: Formelle Kündigung

2. Übergang: Alternative Anbieter- oder interne Lösung aktivieren

3. Daten: Rückgabe oder Löschung aller Daten

4. Zugriff: Widerruf aller Zugriffsrechte

5. Verifizierung: Prüfung der Datenverarbeitung

6. Dokumentation: Beendigung der Zertifizierung

Transparenz und Berichterstattung

Regelmäßige Berichterstattung

An das Management:
• Monatlich: Leistungskennzahlen der Lieferanten
• Vierteljährlich: Risikobewertungen der Lieferanten
• Jährlich: Umfassende Überprüfung der Lieferanten

An Kunden:
• Auf Anfrage: Liste der Unterauftragsverarbeiter (dieses Dokument)
• Proaktiv: Benachrichtigungen über neue Unterauftragsverarbeiter
• Bei Bedarf: Mitteilungen zu Vorfällen bei Anbietern

Audit & Compliance

• Interne Audits: Jährliche Überprüfung der Lieferanten-Compliance
• Externe Audits: Verfügbar während Kundenaudits
• Regulatorisch: Dokumentation für AP, Auditoren
• Zertifizierungen: Lieferantenzertifikate werden jährlich überprüft

Due-Diligence-Dokumentation

Was wir pflegen

Für jeden Anbieter/Unterauftragsverarbeiter:
• Anbieterprofil: Unternehmensinformationen, Kontakte, Verträge
• Sicherheitsbewertung: Erst- und jährliche Überprüfungen
• Zertifizierungen: Kopien von ISO- und SOC-Berichten
• DPA: Unterzeichnete Datenverarbeitungsvereinbarungen
• Risikobewertung: Aktuelles Risikoprofil
• Leistung: SLA-Konformität, Vorfälle
• Kommunikation: Änderungsbenachrichtigungen, Vorfallberichte

Verfügbarkeit

• Intern: Vollständige Dokumentation für Sicherheits-/Compliance-Teams
• Kunden: Zusammenfassungen auf Anfrage erhältlich
• Aufsichtsbehörden: Vollständige Dokumentation für Wirtschaftsprüfer, AP
• Aktualisierungen: Vierteljährliche Überprüfung bei Änderungen

Kontakt & Updates

Bei Fragen zu Lieferanten und Unterauftragsverarbeitern:
• Datenschutzbeauftragter: onesurance
• Lieferantenmanagement: onesurance
• Benachrichtigungen über Unterauftragsverarbeiter: Automatisch per E-Mail

Abonnieren Sie Updates:
• Neue Unterauftragsverarbeiter: Kontaktieren Sie onesurance
• Vorfälle bei Anbietern: Über die Statusseite + E-Mail
• Änderungen der Richtlinien: Über Trust Center-Updates

Zuletzt aktualisiert: Dezember 2024
Onesurance .V. | Breda, Niederlande | Handelskammer: 87521997

Aktuelle Unterauftragsverarbeiter:

1. Microsoft Corporation (Azure) – Cloud-Infrastruktur – EU

2. Bonsai Software B.V. – Entwicklungsdienstleistungen – Niederlande

Zuletzt aktualisiert: Dezember 2024
Version: 1.0