1. Einleitung
Unite ist dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit seiner Datenbestände verpflichtet. Um dieses Schutzniveau über die gesamte Liefer- und Dienstleistungskette hinweg aufrechtzuerhalten, legt Unite die nachfolgenden Mindestanforderungen fest, die jeder Anbieter einhalten und durchsetzen muss.
2. Anwendungsbereich
Diese Anforderungen gelten für alle Personen, Systeme und Einrichtungen des Anbieters, die Unite Daten verarbeiten. „Unite Daten“ bezeichnet sämtliche Daten der Kunden von Unite sowie sonstige technische, geschäftliche oder vertrauliche Informationen, die von Unite zur Verfügung gestellt oder für Unite generiert werden.
3. Grundsätze der Informationssicherheit
Die nachstehenden technischen und organisatorischen Maßnahmen stellen den Mindeststandard dar. Anbieter haben interne Prozesse einzurichten, um deren fortlaufende Einhaltung sicherzustellen.
3.1 Zugriffskontrolle
Der Anbieter beschränkt den Zugriff auf Unite Daten auf das erforderliche Minimum (Prinzip der geringsten Berechtigung und Need-to-know) und stellt durch eine klare Funktionstrennung sicher, dass unbefugte Offenlegung oder Manipulation ausgeschlossen ist. Der Anbieter hat dem aktuellen Stand der Technik entsprechende Authentifizierungsmechanismen zu implementieren, eindeutige Benutzerkennungen zu vergeben und Passwörter ausschließlich in verschlüsselter Form (gehasht und gesalzen) zu speichern.
3.2 System-, Netzwerk- und physische Sicherheit
Sicherheitspatches und -updates müssen kontinuierlich überwacht werden, wobei kritische Patches unverzüglich einzuspielen sind und sichere Methoden der Softwareentwicklung anzuwenden sind. Eine segmentierte Netzwerkarchitektur, die durch Firewalls geschützt ist, ist erforderlich und jeglicher Fernzugriff muss über gesicherte VPN-Verbindungen erfolgen. Alle Systeme, die Unite Daten verarbeiten, müssen angemessen gehärtet werden, um Schwachstellen zu reduzieren. Darüber hinaus muss der physische Zugang zu Rechenzentren und Serverräumen kontrolliert, eine kontinuierliche Überwachung gewährleistet und geeignete Umgebungsschutzmaßnahmen getroffen werden.
3.3 Reaktion auf Sicherheitsvorfälle
Anbieter müssen dokumentierte Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen vorhalten. Jedes Ereignis, das Unite Daten betrifft, ist unverzüglich an infosec@unite.eu zu melden, gefolgt von einer Ursachenanalyse mit dem Ziel, ein erneutes Auftreten zu verhindern.
3.4 Schulung und Sensibilisierung der Beschäftigten
Allen betroffenen Beschäftigten sind regelmäßige Schulungen zu Informationssicherheitspraktiken, einschließlich der Verfahren zur Meldung von Sicherheitsvorfällen, anzubieten, um ein dauerhaftes Bewusstsein und die Handlungsbereitschaft sicherzustellen.
3.5 Lieferantenmanagement
Soweit Anbieter auf Dritte zurückgreifen, haben sie diesen vertragliche Sicherheitsverpflichtungen aufzuerlegen, die diesen Anforderungen gleichwertig sind, regelmäßige Überprüfungen durchzuführen und sicherzustellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten entlang der gesamten Lieferkette gewahrt bleibt.
3.6 Einhaltung von Vorschriften
Anbieter müssen alle anwendbaren regulatorische Anforderungen sowie interne Richtlinien von Unite einhalten.
4. Pflichten zur Informationssicherheit
4.1 Technische und organisatorische Sicherheitsmaßnahmen
Anbieter haben branchenübliche technische und organisatorische Maßnahmen zu implementieren und aufrechtzuerhalten, um sämtliche Unite Daten vor unbefugter Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen.
Unite Daten müssen mindestens dem aktuellen Stand der Technik entsprechend verschlüsselt werden (z. B. TLS 1.2 oder höher für Daten bei der Übertragung und AES-256 für ruhende Daten). Ein ordnungsgemäßes Schlüsselmanagement – einschließlich sicherer Erzeugung, Verteilung, Rotation, Speicherung und Vernichtung – ist zur Wahrung der Vertraulichkeit und Integrität zwingend erforderlich. Unite Daten sind sicher zu entsorgen, wenn sie für den vereinbarten Zweck nicht mehr benötigt werden, wobei Verfahren zu verwenden sind, die eine Wiederherstellung der Daten ausschließen.
Anbieter haben diese Schutzmaßnahmen regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie wirksam und im Einklang mit den jeweils geltenden Branchenstandards und regulatorischen Anforderungen bleiben.
4.2 Datenrückgabe, Löschung und Unterauftragsvergabe bei Vertragsbeendigung
Bei Beendigung oder Ablauf der Vereinbarung – oder auf schriftliche Aufforderung von Unite – hat der Anbieter
4.2.1 innerhalb von dreißig Kalendertagen und nach Wahl von Unite
(1) sämtliche Unite Daten an Unite zurückzugeben;
oder
(2) solche Daten und Datenbestände unwiderruflich zu löschen oder physisch zu vernichten, sodass keine forensische Wiederherstellung möglich ist, wobei anerkannte Branchenverfahren anzuwenden sind,
4.2.2 schriftlich zu bestätigen, dass die gewählte Option vollständig umgesetzt wurde,
und
4.2.3 die gleiche Verpflichtung allen Unterauftragnehmern aufzuerlegen, die an der Verarbeitung von Unite Daten beteiligt sind.
4.3 Aufbewahrungspflichten
Sofern eine sofortige Löschung durch gesetzliche oder regulatorische Aufbewahrungspflichten verhindert wird, hat der Anbieter die Daten zu sperren, gemäß dieser Klausel zu schützen und nach Ablauf der Aufbewahrungsfrist unverzüglich zu vernichten.
4.4 Fortbestand der Vertraulichkeitspflichten
Vertraulichkeitspflichten gelten für den längeren der folgenden Zeiträume: drei Jahre nach Beendigung der Vereinbarung oder bis sämtliche Unite Daten zurückgegeben oder sicher vernichtet worden sind.
5. Mitwirkung und Audit
Anbieter haben die Überprüfungsmaßnahmen von Unite zu unterstützen, indem sie relevante Nachweise und Informationen innerhalb einer angemessenen Frist bereitstellen. Auf Anforderung hat der Anbieter Unite oder einem von Unite beauftragten Prüfer die Überprüfung während der üblichen Geschäftszeiten, mit angemessener Vorankündigung und unter Wahrung der üblichen Vertraulichkeit zu ermöglichen.
6. Verstöße und Rechtsbehelfe
Bei Vorliegen von Anhaltspunkten für einen Verstoß gegen diese Anforderungen ist Unite berechtigt, die sich aus den Allgemeinen Geschäftsbedingungen Unite ergebenden Maßnahmen zu ergreifen.
Stand 01/2026