Dieses Dokument ist als sichtbarer Bestandteil der Ausschreibungsunterlagen für die Implementierung einer CAFM-Lösung im Rahmen eines Verhandlungsverfahrens mit vorherigem Teilnahmewettbewerb vorgesehen. Es dient als standardisierte Vorlage zur Beschreibung der technischen und organisatorischen Maßnahmen des Bieters nach Art. 32 DSGVO und soll dem Auftraggeber eine einheitliche, prüfbare und vergleichbare Bewertung der datenschutz- und sicherheitsbezogenen Schutzmaßnahmen ermöglichen. Der Bieter hat sämtliche Angaben bezogen auf die konkret angebotene CAFM-Leistung zu machen, einschließlich Implementierung, Betrieb, Hosting, Support, Wartung, Fernzugriff, Datenmigration, Schnittstellenbetrieb sowie der Einbindung von Unterauftragnehmern. Soweit einzelne Punkte nicht einschlägig sind, ist dies ausdrücklich zu kennzeichnen und kurz zu erläutern. Sämtliche dokumentierten Nachweise sind mit Platzhaltern für Anlagen, Richtlinien, Verfahrensanweisungen, Protokolle oder Zertifikate zu referenzieren. Die Darstellung orientiert sich an dem Grundsatz, dass die Sicherheit der Verarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten ist.
Der Bieter hat zu beschreiben, ob für Informationssicherheit und Datenschutz benannte Verantwortlichkeiten eingerichtet sind und welche Funktionen für die angebotene CAFM-Leistung zuständig sind. Darzustellen ist ferner, ob schriftliche Richtlinien insbesondere zu Informationssicherheit, Zugriffssteuerung, Incident-Management, Change-Management und datenschutzrelevanten Betriebsabläufen vorhanden sind. Ebenfalls ist auszuführen, ob Mitarbeitende und eingesetzte Dritte schriftlich auf Vertraulichkeit verpflichtet werden und ob regelmäßige Sensibilisierungs- und Schulungsmaßnahmen mindestens in geeigneten Intervallen durchgeführt werden. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat darzustellen, ob für die mit der Verarbeitung im CAFM-Kontext verbundenen Risiken regelmäßige Risikoanalysen durchgeführt werden und ob ein dokumentierter Prozess zur Bewertung, Behandlung und Nachverfolgung identifizierter Risiken besteht. Zu erläutern ist insbesondere, wie Risiken in einem Register oder vergleichbaren Verfahren erfasst, priorisiert, mit Maßnahmen hinterlegt und bis zum Abschluss überwacht werden. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat zu erläutern, ob für die Nutzung des Systems eindeutige Benutzerkennungen verwendet werden und ob gemeinsame Konten ausgeschlossen oder nur in besonders geregelten Ausnahmefällen zulässig sind. Weiter ist zu beschreiben, ob für privilegierte oder administrative Zugriffe eine Mehrfaktor-Authentifizierung eingesetzt wird, welche Anforderungen an Passwörter gelten und ob Mechanismen zur Erkennung und Begrenzung unzulässiger Anmeldeversuche vorgesehen sind. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat darzustellen, ob ein rollenbasiertes Berechtigungskonzept umgesetzt ist und wie der Grundsatz der minimalen Rechte sowie des Need-to-know-Prinzips praktisch angewendet wird. Zu beschreiben ist ferner, ob regelmäßige Rezertifizierungen oder Überprüfungen von Berechtigungen erfolgen und wie privilegierte Rechte beantragt, genehmigt, dokumentiert und entzogen werden. Antwort des Bieters: [PLATZHALTER].
Sofern Hosting oder Betriebsleistungen durch den Bieter oder einen von ihm eingesetzten Provider erbracht werden, ist zu beschreiben, wie der physische Zutritt zu Rechenzentren, Serverräumen oder sonstigen sicherheitsrelevanten Bereichen kontrolliert wird. Dabei sind Maßnahmen wie autorisierungsgebundener Zutritt, Besucherprotokollierung, Zutrittsmedien, Überwachungseinrichtungen oder sonstige physische Schutzmechanismen in allgemeiner Form darzustellen. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat zu erläutern, ob Verbindungen zum CAFM-System und zu zugehörigen Schnittstellen durchgängig transportverschlüsselt abgesichert werden und ob für Fernadministration ausschließlich gesicherte Zugangswege verwendet werden. Darzustellen ist insbesondere, wie Webzugriffe, API-Kommunikation und administrative Fernzugriffe gegen unbefugtes Mitlesen oder Manipulation geschützt werden. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat zu beschreiben, ob Datenbanken, Speicherbereiche, Dateisysteme oder sonstige Speicherorte mit geeigneten Verfahren gegen unbefugten Zugriff abgesichert werden und ob ein geregeltes Schlüsselmanagement besteht. Ebenfalls ist anzugeben, ob Zugriffe auf Schlüssel auf definierte Rollen begrenzt und protokolliert werden. Antwort des Bieters: [PLATZHALTER].
Protokollierung, Monitoring und Nachvollziehbarkeit
Der Bieter hat darzustellen, ob sicherheitsrelevante und kritische Benutzer- oder Administratorhandlungen in nachvollziehbarer Weise protokolliert werden und wie die Integrität dieser Protokolle geschützt wird. Ferner ist zu erläutern, ob Aufbewahrungsfristen, Zugriffsrechte auf Protokolle sowie Mechanismen zur Erkennung verdächtiger Ereignisse definiert sind und ob eine alarmgestützte Überwachung erfolgt. Antwort des Bieters: [PLATZHALTER].
Nachweis: [PLATZHALTER: Logging-Richtlinie / Beispiel Audit-Trail].
Sichere Konfiguration und Härtung
Der Bieter hat zu erläutern, ob für Systeme, Plattformen, Datenbanken oder Middleware abgesicherte Standardkonfigurationen und Härtungsbaselines existieren und wie deren Einhaltung im laufenden Betrieb sichergestellt wird. Soweit Konfigurationen automatisiert oder versioniert verwaltet werden, ist dies in allgemeiner Form zu beschreiben. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat darzustellen, ob Änderungen an der Lösung kontrolliert geplant, geprüft, freigegeben, getestet und dokumentiert werden und ob für den Störungsfall Rückfall- oder Wiederherstellungsverfahren vorgesehen sind. Darüber hinaus ist zu erläutern, ob Entwicklungs-, Test- und Produktivumgebungen voneinander getrennt betrieben werden. Antwort des Bieters: [PLATZHALTER].
Nachweis: [PLATZHALTER: Change-Richtlinie / Beispiel Release Notes].
Schwachstellen- und Patch-Management
Der Bieter hat zu beschreiben, ob die angebotene Lösung regelmäßigen Schwachstellenscans unterzogen wird, ob Penetrationstests durchgeführt werden und in welchen Intervallen oder zu welchen Anlässen dies erfolgt. Ebenfalls ist auszuführen, ob definierte Zeitziele für die Behandlung kritischer, hoher oder sonstiger Schwachstellen bestehen und wie Drittkomponenten und Abhängigkeiten überwacht und aktuell gehalten werden. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat zu erläutern, ob ein dokumentiertes Backup- und Wiederherstellungskonzept besteht und welche Grundsätze für Umfang, Häufigkeit, Aufbewahrung und Wiederherstellungstests gelten. Außerdem ist darzustellen, ob Notfall- oder Wiederanlaufverfahren mit definierten Wiederherstellungszielen bestehen und ob Redundanz- oder Hochverfügbarkeitsmechanismen vorgesehen sind, soweit dies für die angebotene Leistung relevant ist. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat darzustellen, wie die Trennung von Kundendaten, Mandanten, Test- und Produktivdaten sowie administrativen oder supportbezogenen Zugriffen technisch und organisatorisch sichergestellt wird. Zu erläutern ist insbesondere, ob eine Mandantentrennung besteht, wie Supportzugriffe auf das erforderliche Mindestmaß beschränkt werden und wie eine unbeabsichtigte Vermischung von Daten verhindert wird. Antwort des Bieters: [PLATZHALTER].
Der Bieter hat zu erläutern, ob für Unterauftragnehmer oder sonstige kritische Leistungspartner ein geregelter Freigabe- und Überwachungsprozess besteht und ob datenschutz- und sicherheitsrelevante Verpflichtungen vertraglich weitergegeben werden. Weiter ist darzustellen, wie kritische Unterauftragnehmer regelmäßig überprüft werden und in welcher Form eine Liste oder Übersicht der eingesetzten Leistungspartner geführt wird. Antwort des Bieters: [PLATZHALTER].
Nachweis: [PLATZHALTER: Liste Unterauftragnehmer / Vertragsklauseln].
Der Bieter hat zu beschreiben, ob ein dokumentierter Prozess für Sicherheitsvorfälle und Datenschutzverletzungen besteht und wie Meldung, Bewertung, Eskalation, Kommunikation und Nachbereitung geregelt sind. Darüber hinaus ist zu erläutern, ob Ansprechpartner, Meldewege, Beweissicherung sowie die Nachverfolgung von Korrekturmaßnahmen festgelegt sind. Antwort des Bieters: [PLATZHALTER].
Nachweis: [PLATZHALTER: Incident-Response-Plan / Beispiel Incident-Report].
Datenlebenszyklus: Aufbewahrung, Löschung und Rückgabe
Der Bieter hat darzustellen, ob für unterschiedliche Datenkategorien Aufbewahrungsregeln festgelegt sind, wie sichere Löschung oder Vernichtung umgesetzt wird und wie Daten nach Vertragsende in einem abgestimmten Format zurückgegeben oder gelöscht werden können. Weiter ist zu erläutern, wie Löschbestätigungen, Löschfristen und der Umgang mit Sicherungskopien dokumentiert sind. Antwort des Bieters: [PLATZHALTER].
Soweit für die angebotene CAFM-Lösung relevant, hat der Bieter zu erläutern, ob Konfigurationsmöglichkeiten zur Datenminimierung, datenschutzfreundliche Voreinstellungen oder Funktionen zur Pseudonymisierung beziehungsweise Anonymisierung vorhanden sind. Die Darstellung soll erkennen lassen, in welchem Umfang der Auftraggeber datenschutzfreundliche Einstellungen systemseitig aktivieren oder steuern kann. Antwort des Bieters: [PLATZHALTER].
Der Bieter bestätigt mit Unterzeichnung dieser Vorlage, dass die gemachten Angaben nach bestem Wissen vollständig, zutreffend und auf die im Angebot enthaltene Leistung anwendbar sind. Der Bieter bestätigt ferner, dass er die beschriebenen technischen und organisatorischen Maßnahmen während der Vertragsdurchführung aufrechterhalten oder Änderungen dem Auftraggeber rechtzeitig anzeigen wird, soweit diese für die datenschutzrechtliche Bewertung oder die vertragliche Leistungserbringung wesentlich sind.
Ort und Datum: [PLATZHALTER]. Name in Druckschrift: [PLATZHALTER]. Funktion / Rolle: [PLATZHALTER]. Unternehmen: [PLATZHALTER]. Unterschrift / Zeichnungsberechtigung: [PLATZHALTER].
