DSGVO - technisch organisatorische Maßnahmen (TOMs)

Deutsch Diskussion Technische Fragen & Antworten
1

Liebe Community,

wir benötigen für unsere Datenschutzbestimmungen eine Übersicht von Shopify zu deren TOMs (technisch organisatorische Maßnahmen) gemäß DSGVO.

In den entsprechenden Unterlagen wird eher allgemein kommuniziert, was Shopify im Sinne des Datenschutzes unternimmt. Aber eine konkrete Information zu den TOMs ist nicht hinterlegt.

Gibt es Ideen wie man an diese Informationen kommt. Über den Support haben wir es bereits ohne Erfolg versucht.

Vielen Dank vorab für eure Unterstützung.

Beispiel eines TOM-Fragebogens:

Technische und organisatorische Maßnahmen (TOM)

Nr.

Gebiet

Beschreibung

0

Organisation

Wie ist die Umsetzung des Datenschutzes organisiert?

Nennen Sie uns bitte den Namen und die Kontaktdaten Ihres Datenschutzbeauftragten.

In welcher Form werden die Mitarbeiter auf die Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen geschult, die für diese Verarbeitung in Anwendung kommen?

Sind die Verarbeitungen hinsichtlich datenschutzrechtlicher Zulässigkeit dokumentiert?

1

Vertraulichkeit (Art. 32 Abs. 1 lit. b DC-GVO)

1.1

Zutrittskontrolle

Wie werden die Gebäude, in denen die Verarbeitung stattfindet, vor unbefugtem Zutritt gesichert?

Wie werden die Räume / Büros, in denen die Verarbeitung stattfindet, vor unbefugtem Zutritt gesichert?

Wie werden die Verarbeitungsanlagen vor unbefugtem Zugriff geschützt?

Wie werden die umgesetzten Zutrittskontrollmaßnahmen auf Tauglichkeit geprüft?

1.2

Zugangskontrolle

Wie erfolgt die Vergabe von Benutzerzugängen?

Wie wird die Gültigkeit von Benutzerzugängen überprüft?

Wie werden Benutzerzugänge inkl. Antragstellung, Genehmigungsverfahren etc. dokumentiert?

Wie wird sichergestellt, dass die Anzahl von Administrationszugängen ausschließlich auf die notwendige Anzahl reduziert ist und nur fachlich und persönlich geeignetes Personal hierfür eingesetzt wird?

Ist ein Zugriff auf die Systeme / Anwendungen von außerhalb des Unternehmens möglich (Heimarbeitsplätze, Dienstleister etc.) und wie ist der Zugang gestaltet?

1.3

Zugriffskontrolle

Wie wird erreicht, dass Passwörter nur dem jeweiligen Benutzer bekannt sind?

Welche Anforderungen werden an die Komplexität von Passwörtern gestellt?

Wie wird gewährleistet, dass der Benutzer sein Passwort regelmäßig ändern kann / muss?

Welche organisatorischen Vorkehrungen werden zur Verhinderung von unberechtigten Zugriffen auf personenbezogene Daten am Arbeitsplatz getroffen?

Wie wird sichergestellt, dass Zugriffsberechtigungen anforderungsgerecht und zeitlich beschränkt vergeben werden?

Wie erfolgt die Dokumentation von Zugriffsberechtigungen?

Wie wird sichergestellt, dass Zugriffsberechtigungen nicht missbräuchlich verwendet werden?

Wie lange werden Protokolle aufbewahrt?

Wer hat Zugriff auf die Protokolle und wie oft werden sie ausgewertet?

1.4

Trennungskontrolle

Wie wird sichergestellt, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt voneinander verarbeitet werden?

1.5

Pseudonymisierung

Welche organisatorischen Maßnahmen wurden getroffen, damit die Verarbeitung personenbezogener Daten gesetzeskonform erfolgt?

Wie werden personenbezogene Daten verarbeitet /aufbewahrt, sodass diese nicht den betroffenen Personen zugeordnet werden können?

2

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

2.1

Weitergabekontrolle

Wie gewährleisten Sie die Integrität und Vertraulichkeit bei der Weitergabe von personenbezogenen Daten?

Werden Verschlüsselungssysteme bei der Weitergabe von personenbezogenen Daten eingesetzt und wenn ja, welche?

Wie wird die Weitergabe personenbezogener Daten dokumentiert?

Wie wird der unberechtigte Abfluss von personenbezogenen Daten durch technische Maßnahmen beschränkt?

Gibt es ein Kontrollsystem, das einen unberechtigten Abfluss von personenbezogenen Daten aufdecken kann?

2.2.

Eingabekontrolle

Welche Maßnahmen werden ergriffen, um nachvollziehen zu können, wer wann und wie lange auf Applikationen zugegriffen hat?

Wie ist nachvollziehbar, welche Aktivitäten auf den entsprechenden Applikationen durchgeführt wurden?

Welche Maßnahmen werden ergriffen, damit die Verarbeitung durch die Mitarbeiter nur gemäß den Weisungen des Auftraggebers erfolgen kann?

Welche Maßnahmen werden getroffen, damit auch Unterauftragnehmer ausschließlich im vereinbarten Umfang personenbezogene Daten des Auftraggebers durchführt?

.

Wie wird die Löschung / Sperrung von personenbezogenen Daten am Ende der Aufbewahrungsfrist bei Unterauftragnehmern sichergestellt?

.

3

Verfügbarkeit und Belastbarkeit

3.1.

Verfügbarkeitskontrolle

Wie wird gewährleistet, dass die Datenträger vor elementaren Einflüssen (Feuer, Wasser, elektromagnetische Abstrahlung etc.) geschützt sind?

Welche Schutzmaßnahmen werden zur Bekämpfung von Schadprogrammen eingesetzt und wie wird deren Aktualität gewährleistet?

.

Wie wird sichergestellt, dass nicht mehr benötigte bzw. defekte Datenträger ordnungsgemäß entsorgt werden?

3.2.

Wiederherstellbarkeit

Welche organisatorischen und technischen Maßnahmen werden getroffen, um auch im Schadensfall die Verfügbarkeit von Daten und Systemen schnellstmöglich zu gewährleisten?
(rasche Wiederherstellbarkeit nach Art. 32 Abs.1 lit. c DS-GVO)

4.

Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO, Art. 25 Abs. 1 DS-GVO)

Welche Verfahren gibt es zur regelmäßigen Bewertung/Überprüfung, um die Sicherheit der Datenverarbeitung zu gewährleisten (Datenschutz-Management)?

.

Wie wird auf Anfragen bzw. Probleme reagiert (Incident-Response-Management)?

Welche datenschutzfreundlichen Voreinstellungen gibt es (Art. 25 Abs. 2 DS-GVO)?

4.1

Auftragskontrolle

Welche Vorgänge gibt es zur Weisung bzw. dem Umgang mit der Auftragsdatenverarbeitung (Datenschutz-Management)?
2

Hey @TeBe77

Danke für deine vielen Fragen bzgl. den Shopify “technical and organizational measures” und da wäre ich (oder andere hier in der Community) gerne qualifiziert genug oder in der Lage dir eine ausführliche juristische Antwort geben zu können - dennoch habe ich ein paar Infos gegooglet und für dich zusammengesammelt (allerdings im englischen O-Ton). Siehe auch unser FAQs zu diesem Thema hier.

Shopify Technical measures:

● Shopify encrypts credit card information in transit and at rest, and is PCI compliant.
● Shopify maintains a SOC II Type 2 and SOC 3 report .
● Shopify conducts regular third-party penetration testing and vulnerability assessments.
● Shopify participates in a bug-bounty program to receive security reports.
● Employee access to Shopify infrastructure is controlled by a Single Sign-On (SSO) account with two-factor authentication required (2FA).
● Shopify maintains employee internal access policies based on “least privilege”.
● Shopify provides merchants with the technical capability to honor all data subject requests.
● All merchant personal data is redacted after account termination, unless we are legally required to retain information for a specified period of time.

Contractual measures:

● In its contracts with its merchants, Shopify contractually commits to comply with all applicable data protection laws.
● Shopify requires all vendors which receive personal data to agree to Data Protection Addenda which include comparable contractual commitments to those that Shopify guarantees its merchants. These DPA include requirements to use data only to provide the services, to not sell personal information, to report all data incidents within specified timelines, to implement reasonable security measures, to effect data subject rights, to object to compelled disclosure where possible or allow Shopify to object, and to delete all data upon termination of the contract.

Organizational measures:

● Shopify publicly commits to object to any voluntary disclosure of data it holds, unless it is legally bound to produce information. When possible, Shopify commits to informing merchants of third party requests to access their data.
● Shopify publishes an annual Transparency Report detailing when Shopify is legally required to produce information.
● All Shopify employees receive privacy and security training.
● Shopify incident response teams are on-call 24 hours a day.
● All Shopify employees and contractors agree to confidentiality clauses in their employment contracts, and agree to abide by Shopify’s internal data protection policies.
● Shopify maintains an internal Privacy Working Group which raises and resolves privacy issues across the organization. If needed, issues are escalated to a Privacy Committee and the Board of Directors.
● Shopify does not knowingly disclose (or permit access to) the personal data it processes in a massive, disproportionate and indiscriminate manner to (or by) any governmental authority.

Bitte beachte, dass bei Verwendung unserer Plattform unserer Online-DPA zugestimmt wird, und zwar sofort zu Begin unsere Dienste zu nutzen, und daher ist eine Unterschrift nicht erforderlich. Hier verweise ich nochmal auf unsere FAQ, die diese Frage beantwortet.

Dann verlangt die Schrems-II-Entscheidung von Unternehmen, dass sie eine Risikobewertung des Datentransfers vornehmen und gegebenenfalls “ergänzende Maßnahmen” zusätzlich zu den Datenexportmechanismen ergreifen, auf die sie sich bei der Übermittlung personenbezogener Daten in Nicht-EWR-Länder verlassen. Diese ergänzenden Maßnahmen sollen in Verbindung mit Datenexportmechanismen sicherstellen, dass Daten, die außerhalb des EWR verarbeitet werden, nach einem Standard geschützt bleiben, der im Wesentlichen mit der DSGVO gleichwertig ist.

Während wir glauben, dass Shopify ein Datentransferregime implementiert hat, das ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, unterhält Shopify weiterhin ein Datenschutzprogramm, das Empfehlungen des EDPB einbezieht, um Händlern weitere Sicherheit für ihre Daten zu bieten. Die drei Kategorien der empfohlenen Zusatzmaßnahmen sind, wie oben beriests aufgelistet: technisch, vertraglich und organisatorisch.

Informationen zum Datentransfer über internationale Grenzen hinweg findet man in unserer Datenschutzrichtlinie (https://www.shopify.com/legal/privacy) und im GDPR-Whitepaper (https://help.shopify.com/pdf/gdpr-whitepaper.pdf).. )

Falls du mehr brauchst werde ich halt schauen was ich noch aufgraben kann aber unserer Legal Department wäre hier der beste Ansprechpartner → legal@shopify.com.

3

Hey Gabe,

vielen Dank für deine ausführliche Antwort. Es sind schon einige Inhalte dabei, die wir nutzen können.

Leider müssen wir uns bei den Bedingungen zur DSGVO aber an die Vorgaben (Schema) des Fragebogens halten und ich benötige daher weitere Informationen entsprechend den in meiner ersten Nachricht beigefügten Fragestellungen.

Ich werde mich an legal@shopify.com wenden und die zusätzlichen Infos anfragen.

Besten Dank und

alles Gute

1 Like
4

@TeBe77

Super und halte uns auf dem Laufenden was unsere Teams zurückschicken. Würde uns hier auch interessieren! :wink:

VG,