CenturyLink and Data Protection

Updated: October 23, 2018

CenturyLink verpflichtet sich zum Schutz und zur sorgfältigen Verwaltung aller Kundendaten. While global protection directives and regulations have continued to evolve, the European Union's General Data Protection Regulation (GDPR) legislation was recently introduced, aiming to strengthen and unify those laws for EU citizens.

If you are interested in learning more about CenturyLink’s commitment to GDPR compliance, click here.

If your company is using CenturyLink services for the processing of personal data subject to the EU General Data Protection Regulation, click here to accept CenturyLink's Data Protection Terms and receive email confirmation for your records.


CenturyLink Datenschutz - Anhang

  1. Anwendbarkeit. Dieser Anhang zum Datenzschutz (Data Protection Exhibit bzw. „DP-Exhibit“) ist Bestandteil des Vertrags zwischen dem Kunden und CenturyLink und gilt für die Bereitstellung bestimmter CenturyLink-Services. Im Fall eines Konflikts zwischen dem Vertrag, den anwendbaren Services-Anhängen und diesem DP Exhibit haben die Bestimmungen dieses DP Exhibits Vorrang.
  2. Definitionen. In diesem DP Exhibit gelten die folgenden Definitionen:
    • „Datenverantwortlicher“, „Datenverarbeiter“, „personenbezogene Daten“ und „Verletzung des Schutzes personenbezogener Daten“ haben die in der DSGVO zugewiesene Bedeutung.
    • Unter „Datenschutzgesetzen“ versteht man die bereitgestellten, geltenden Gesetze zur Regelung der Nutzung und Verarbeitung personenbezogener Daten, die in solchen Bestimmungen festgelegt werden können, inklusive a) vor dem 25. Mai 2018 die EU -Datenschutzrichtlinie 95/46/EC, b) nach dem 25. Mai 2018 die Allgemeine EU-Datenschutzverordnung (Verordnung 2016/679) („DSGVO“), c) die Datenschutzrichtlinie für den Bereich Telekommunikation 2002/58/EU, die Datenschutzrichtlinie für elektronische Kommunikation (EU-Richtlinie) 2003 und d) alle weiteren geltenden Gesetze und Regelungen zur Verarbeitung personenbezogener Daten.
    • Unter „Services“ versteht man die dem Kunden laut Vereinbarung und zutreffenden Service-Anhängen von CenturyLink bereitgestellten Dienstleistungen.
  3. Compliance mit Datenschutzgesetzen
    1. CenturyLink und der Kunde stimmen darin überein, dass der Kunde ein unabhängiger Datencontroller in Bezug auf die Verarbeitung personenbezogener Daten ist, der für den Betrieb der Dienste erforderlich ist, und CenturyLink ein unabhängiger Datencontroller in Bezug auf die Verarbeitung von Abrechnung, Nutzung, Nutzungsverhalten/Angaben/Statistiken, Verkehrsdaten und andere Informationen zum Kundenkonto (z. B. Name, Adresse, E-Mail-Adresse) ist, sofern es sich um personenbezogene Daten handelt, die für die Erfüllung der Verpflichtungen von CenturyLink im Rahmen des Vertrags und der entsprechenden Services-Auslagen erforderlich sind, oder in Bezug auf persönliche Daten, die für allgemeine geschäftliche Zwecke aufbewahrt werden.
    2. CenturyLink und der Kunde werden jederzeit ihre Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten, die von ihr im Rahmen des Vertrags verarbeitet werden, einhalten.
  4. Datenverarbeitung.
    1. CenturyLink erkennt an, dass es sich im Auftrag des Kunden um einen Datenverarbeiter handelt, der Dienstleistungen erbringt und seine diesbezüglichen Verpflichtungen erfüllt (einschließlich Lösung von Vorfällen, Support oder Beratung). Der Gegenstand, die Dauer und die Art der Verarbeitung, die Arten der personenbezogenen Daten und die betroffenen Personen sind in der/den jeweiligen Service-Anlage(n) beschrieben.
    2. Soweit CenturyLink im Auftrag des Kunden personenbezogene Daten als Datenverarbeiter verarbeitet, wird CenturyLink (und unter seiner Aufsicht auch seine Tochtergesellschaften) folgendes tun:
      • Verarbeiten Sie personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, einschließlich wie in der Vereinbarung und dieser Datenschutzerklärung dargelegt. Stellen Sie sicher, dass CenturyLink-Personal personenbezogene Daten nur auf Anweisung des Kunden verarbeitet werden, es sei denn, die Verarbeitung ist nach EU-Recht oder Recht der Mitgliedstaaten erforderlich, da CenturyLink an diese rechtlichen Vorgaben gebunden ist. In einem solchen Fall wird CenturyLink den Kunden vor der Verarbeitung dieser personenbezogenen Daten im gesetzlich zulässigen Umfang über diese rechtlichen Vorgaben informieren.
      • Beschränkung der Offenlegung und Verarbeitung personenbezogener Daten auf dem zur Bereitstellung der Services erforderlichen Umfang oder wie aus anderen Gründen im Rahmen der Vereinbarung und dieser Datenschutzerklärung oder durch den Kunden schriftlich gestattet. Offenlegung von personenbezogenen Daten nur dann, wenn dies im Zusammenhang mit den Services nötig ist und an Personen, die sich zur Verschwiegenheit verpflichtet haben oder gemäß geltendem Recht;
      • Unter Berücksichtigung des Stands der Technik, der Umsetzungskosten und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der unterschiedlichen Grade der Riskiowahrscheinlichkeit und -schwere in Bezug auf die Rechte und Freiheiten natürlicher Personen implementieren und erhalten Sie geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gegen versehentliches oder unrechtmäßiges Zerstören oder versehentlichen Verlust, Veränderung, unbefugte Weitergabe oder Zugriff sowie gegen alle anderen rechtswidrigen Formen der Verarbeitung und zur Gewährleistung eines Sicherheitsumfangs, der dem durch die Verabeitung entstehenden Risiko angemessen ist.
      • Sicherstellen, dass nur Personen, die Zugriff auf personenbezogene Daten haben müssen, Zugriff auf diese Daten erhalten und dass dieser Zugang nur für die ordnungsgemäße Erbringung der Dienste gewährt wird; und
      • eine Kopie der personenbezogenen Daten nicht länger aufbewahrt als dies für die Erbringung der Dienstleistungen erforderlich ist und diese personenbezogenen Daten nach dem Wunsch des Kunden sicher gelöscht oder zurückgegeben werden, es sei denn personenbezogene Daten müssen gesetzlich vorgeschrieben aufbewahrt werden. Die Parteien erklären sich damit einverstanden, dass CenturyLink diese personenbezogenen Daten nicht aktiv verarbeitet und die Bestimmungen dieser Datenschutzerklärung in Bezug auf alle aufbewahrten persönlichen Daten einhält. CenturyLink wird diese Daten unverzüglich löschen, wenn es nicht mehr zur Aufbewahrung verpflichtet ist, und sie nur in dem Umfang verarbeiten, der nötig ist, um den rechtlichen Vorgaben zu entsprechen.
  5. Unterverarbeitung.
    1. Der Kunde ermächtigt CenturyLink generell, Unterverarbeiter in Übereinstimmung mit etwaigen Einschränkungen in dieser Datenschutzerklärung und der Vereinbarung zu ernennen.
    2. Vor der Weitergabe personenbezogener Daten an einen Unterverarbeiter stellt CenturyLink sicher, dass eine angemessene Sorgfaltspflicht hinsichtlich des Unterauftragnehmers stattgefunden hat. CenturyLink stellt außerdem sicher, dass der Unterauftragnehmer eine schriftliche Vereinbarung über Bedingungen abschließt, nach denen der Unterauftragnehmer die gleichen Verpflichtungen hat, wie sie in dieser Datenschutzerklärung dargelegt sind. CenturyLink haftet gegenüber dem Kunden in vollem Umfang für die Verletzung dieser Pflichten durch den Unterauftragsverarbeiter.
    3. CenturyLink führt eine aktuelle Liste seiner Unterauftragnehmeer und unterrichtet den Kunden mindestens 30 Tage vor jeglicher Änderung über die beabsichtigten Änderungen der Unterauftragnehmer. Der Kunde kann der Ernennung oder Ersetzung eines Unterverarbeiters durch CenturyLink vor seiner Ernennung oder Ersetzung widersprechen, sofern der Einwand auf angemessenen Gründen im Zusammenhang mit Datenschutz beruht. In solchen Fällen wird CenturyLink den Unterauftragnehmer entweder nicht ernennen oder ihn ersetzen. Falls dies nicht möglich ist, kann der Kunde das entsprechende Service Exhibit kündigen (unbeschadet der vor der Kündigung durch den Kunden aufgelaufenen Gebühren). CenturyLink wird diesen Unterauftragnehmer nicht verwenden, bis jegliche Einwände gelöst sind oder der Kunde die betreffende Dienstleistung gekündigt hat.
  6. Kooperation
    1. CenturyLink wird den Kunden, insofern möglich, umgehend über Anfragen, Reklamationsbenachrichtigungen oder sonstige Mitteilungen, die es von Aufsichtsbehörden oder von irgendwelchen Datensubjekten erhält, (einschließlich aller Anträge auf Zugang, Korrektur, Löschung, Sperrung oder Einschränkung) informieren und Zugang zu ihren personenbezogenen Daten ermöglichen (oder eine maschinenlesbare Kopie davon bereitstellen) sowie den Kunden, soweit dies möglich und technisch durchsetzbar ist, dabei unterstützen, den Verpflichtung auf etwaige Benachrichtigungen oder die Beantragung von Schutzrechten gemäß den Fristen der Datenschutzgesetze nachzukommen.
    2. Wenn der Kunde der Ansicht ist, dass die Verarbeitung personenbezogener Daten durch CenturyLink wahrscheinlich ein hohes Risiko für die Datenschutzrechte und -freiheiten der betroffenen Personen darstellt, wird CenturyLink den Kunden auf Verlangen bei der Bewertung der Auswirkungen auf den Datenschutz und der vorherigen Beratung unterstützen. Zusätzliche Gebühren und Bedingungen, die möglicherweise gemäß den Datenschutzgesetzen erforderlich sind, können anfallen, wobei die Art der Verarbeitung und die Informationen, die CenturyLink zur Verfügung stehen, berücksichtigt werden.
  7. Berichterstattung über Verstöße. CenturyLink wird den Kunden unverzüglich davon in Kenntnis setzen, wenn ein Verstoß gegen personenbezogene Daten durch die im Auftrag des Kunden verarbeiteten personenbezogenen Daten und Dienste bekannt wird, und danach mit dem Kunden zusammenzuarbeiten und Unterstützung leisten, die der Kunde bei der Untersuchung, Behebung und Abmilderung eines solchen Verstoßes angemessen verlangt. CenturyLink liefert dem Kunden angemessene Berichterstattung von Verstößen und gibt zusätzliche Informationen in Bezug auf solche Verstöße an, die der Kunde im angemessenen Umfang verlangt. Die Parteien werden sich vorab schriftlich über etwaige Verantwortlichkeiten und Kosten, die über die Standardreaktion von CenturyLink auf Störfälle hinausgehen, einigen.
  8. Audits. CenturyLink wird alle erforderlichen Informationen aufbewahren, um die Compliance mit seinen in diesem Anhang zum Datenschutz vorgegebenen Verpflichtungen darzulegen, und wird alle im Namen des Kunden bearbeiteten personenbezogenen Daten schriftlich festhalten und auf angemessene Anfrage es dem Kunden und dessen Rechnungsprüfern gestatten, auf die Unterlagen in Bezug auf die Compliance und alle solche im Namen des Kunden bearbeiteten personenbezogenen Daten Zugriff zu nehmen und diesbezügliche Kopien zu erhalten, um feststellen zu können, ob CenturyLink seinen Verpflichtungen hinsichtlich der Bearbeitung von personenbezogenen Daten nachgekommen ist. Nach angemessener Anfrage wird CenturyLink es dem Kunden gestatten bzw. es gegebenenfalls für Drittparteien des Kunden und von CenturyLink in die Wege leiten, dass diese Zugang zu den Geschäftsräumen und anderen(m) Materialien und Personal erhalten, um den Kunden bei der Wahrnehmung seiner Prüfungsrechte laut dieser Klausel zu unterstützen, solange (i) dieser Zugang zu einem gegenseitig vereinbarten Zeitpunkt stattfindet und der Rahmen des Besuchs gegenseitig vereinbart wird, (ii) dieser Zugang den Betrieb von CenturyLink nicht unangemessen beeinträchtigt, und (iii) der Zugang zu den Geschäftsräumen und Systemen von CenturyLink den angemessenen Zugangsanforderungen und Sicherheitsrichtlinien von CenturyLink unterliegt, ohne dass dabei irgendwelche vertraulichen Informationen, auf die der Kunde kein Anrecht hat, beeinträchtigt werden.
  9. Übertragungen. CenturyLink überträgt keine personenbezogenen Daten außerhalb des EWR, es sei denn der Kunde hat dies wie nachfolgend autorisiert:
    1. Zum Datum dieses Anhangs zum Datenschutz gestattet es der Kunde CenturyLink, personenbezogene Daten speziell zur Bereitstellung von Services und Ausübung seiner Verpflichtungen gemäß dieses Vertrags und des entsprechenden Anhangs zu den Services in die Vereinigten Staaten zu übermitteln. Die Parteien vereinbaren, die Standardvertragsklauseln (in der durch Beschluss 2010/87/EU vom 5. Februar 2010) angenommenen Form) mit CenturyLink-Partnern im Auftrag und im Namen des Kunden abzuschließen, um einen angemessenen Schutz für diese personenbezogenen Daten zu gewährleisten, mit Anhang 1 und Anhang 2 zu diesen Klauseln in dem beigefügten Formular; und
    2. Wenn CenturyLink (oder ein verbundenes Unternehmen oder ein Unterauftragnehmer) nach dem Datum dieses DP Exhibits vorschlägt, persönliche Daten außerhalb des EWR zu übertragen, die nicht den oben genannten Zustimmungen entsprechen, ersucht CenturyLink (oder ein verbundenes Unternehmen oder ein Unterauftragnehmer) die Einwilligung des Kunden vor einer solchen Übermittlung, wobei die Einwilligung davon abhängig sein kann, dass die betreffenden Parteien eine Vereinbarung getroffen haben, wodurch sichergestellt wird, dass personenbezogene Daten gemäß den Datenschutzgesetzen ordnungsgemäß geschützt werden.
  10. Schadensobergrenze. UNGEACHTET BELIEBIGER ANDERSLAUTENDER BEDINGUNGEN IN DEM VERTRAG BEGRENZT SICH DIE GESAMTHAFTPFLICHT EINER JEDEN PARTEI AUFGRUND BZW. BETREFFS DIESES ANHANGS AUF (I) DIE GESAMTEN VOM KUNDEN AN CENTURYLINK IN DEN 12 MONATEN DIREKT VOR DEM DEN ANSPRUCH BEGRÜNDETEN AUFTRETEN DES EVENTS, BEZAHLTEN BZW. ZAHLBAREN MONATLICH WIEDERKEHRENDEN GEBÜHREN (MRC) UND NUTZUNGSGEBÜHREN BZW. (II) ZWEI MILLIONEN DOLLAR, JE NACHDEM, WELCHE SUMME NIEDRIGER LIEGT. CENTURYLINK ÜBERNIMMT WEITERHIN KEINERLEI HAFTUNG, INSOFERN DASS JEGLICHICHE HAFTUNG VON ANDEREN ALS CENTURYLINK ODER SEINEN UNTERAUFTRAGNEHMERN BEGRÜNDET WIRD.
  11. Zukünftige Änderungen. Die Parteien können dieses DP Exhibit jederzeit während der Vertragslaufzeit durch eine schriftliche Vereinbarung ändern, wenn dies erforderlich ist, um gesetzliche Anforderungen oder Anweisungen einer Aufsichtsbehörde zu erfüllen oder, sofern verlangt, um Änderungen der Verarbeitung personenbezogener Daten gemäß der Vereinbarung und entsprechenden Services Exhibit(s) nachzukommen.

Standard-Vertragsklauseln

Anhang 1

Dieser Anhang ist Bestandteil der Klauseln und muss von den betroffenen Parteien vervollständigt werden.

Datenexporteur: Der Datenexporteur ist ein Kunde, ein Geschäftskunde des Datenimporteurs mit Sitz in den Vereinigten Staaten, der im Rahmen seines normalen Geschäftsverkehrs personenbezogene Daten bearbeitet und mit Genehmigung seiner verbundenen Unternehmen im EWR und deren entsprechenden Zweigstellen (Überwacher mit Sitz im EWR) Bearbeitungsservices wünscht.

Datenimporteur: Datenimporteur ist CenturyLink Communications, ein Unternehmen, das sich mit der Bereitstellung von Kommunikationsdiensten befasst und dem Datenexporteur Datenbearbeitungsdienstleistungen bereitstellt.

Datensubjekte: Die übermittelten personenbezogenen Daten betreffen derzeitige, ehemalige und zukünftige Mitarbeiter, Nutzer, Kunden und ähnliche Parteien, die sich mit dem Datenexporteur befassen.

Datenkategorien Die personenbezogenen übermittelten Daten können u.a. den Namen, die Adresse, E-Mail-Adresse, Telefonnummer und solche personenbezogenen Daten beinhalten, die vom Datenverantwortlichen und dem Datenverarbeiter zur Abwicklung der Services u.U. übermittelt werden.

Spezielle Kategorien von Daten: Die übermittelten personenbezogenen Daten können spezielle Datenkategorien betreffen.

Verarbeitungsbetrieb: Der Datenimporteur wird mithilfe seines autorisierten Personals die nachstehenden Bearbeitungsservices durchführen: Cloud Hosting und Kommunikationsservices, wie vom Datenexporteur u.U. individuell angordnet und wie in den Serviceaufträgen, Produktausstellungen und ähnlichen vertraglichen Dokumentationen näher dargelegt.

Standard-Vertragsklauseln

Anhang 2

CenturyLink hat die in diesem Anhang beschriebenen Datensicherungsmaßnahmen implementiert und ist verpflichtet diese oder ein ebenso sicheres Äquivalent während der Gültigkeitsdauer der Services beizubehalten. Diese Maßnahmen gelten im Allgemeinen für die Standard-Services von CenturyLink und bestimmte Maßnahmen gelten möglichweise nicht für maßgeschneiderte Services, Konfigurationen oder Umgebungen, die vom Kunden bestellt oder eingesetzt werden, oder werden möglicherweise anders auf diese angewandt. Diese Maßnahmen wurden von CenturyLink implementiert, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten direkt oder indirekt zu schützen. „Kundendaten“ im Sinne dieses Anhangs sind Daten, Inhalte oder Informationen des Kunden oder seiner Endbenutzer, die bei der Nutzung von CenturyLink-Services gespeichert, übertragen oder auf andere Weise verarbeitet werden.

  1. EINHALTUNG DES GESETZES, PRÜFBERICHT. CenturyLink hat, wie unten beschrieben, ein Informationssicherheitsprogramm für Unternehmen eingeführt und implementiert, das von CenturyLink von Zeit zu Zeit in angemessenem Umfang geändert wird. CenturyLink hat einen von AICPA genehmigten Typ-II-Prüfbericht (SSAE 18 / ISAE 3402 SOC 1 oder SOC 2) für bestimmte Einrichtungen/Dienste erstellt und wird weiter solche Prüfungen nach einem derzeit sanktionierten oder nachfolgenden Standard durchführen. Der Kunde hat das Recht, auf Anfrage eine Kopie des zu diesem Zeitpunkt erhältlichen Berichts zu erhalten. Bei diesem Bericht handelt es sich um vertrauliche Informationen von CenturyLink. Der Kunde kann diesen Bericht seinen Endbenutzern vorbehaltlich der von CenturyLink zur Verfügung gestellten Vertraulichkeitsbestimmungen zur Verfügung stellen. Der Kunde gewährleistet, dass alle Kundendaten den geltenden Gesetzen und angemessenen Informationssicherheitspraktiken entsprechen. Keine der hier enthaltenen Informationen befreit den Kunden von desser Verantwortung für die Auswahl und Implementierung solcher Praktiken.
  2. INFORMATIONSSICHERHEITS-PROGRAMM. CenturyLink hat ein Informationssicherheitsprogramm (das „Programm“) implementiert, das angemessene Maßnahmen enthält, um (1) die Vertraulichkeit und Integrität der Kundendaten zu gewährleisten; (2) in dem mit der Services- und CenturyLink-Infrastruktur verbundenen Umfang vor vorhersehbaren Bedrohungen für die Sicherheit oder Integrität von Kundendaten zu schützen; (3) vor unbefugtem Zugriff auf Offenlegung oder unbefugter Nutzung von Kundendaten zu schützen; und (4) unter Voraussetzung, dass CenturyLink-Mitarbeiter sich der Notwendigkeit bewusst sind, die Vertraulichkeit, Integrität und Sicherheit der Kundendaten zu wahren. CenturyLink erlaubt beschränkten Zugriff auf Kundendaten nur auf Mitarbeiter, Vertreter, Auftragnehmer oder Dienstleister von CenturyLink, die diese Informationen benötigen, um die Zwecke zu erfüllen, für die Kundendaten an CenturyLink weitergegeben wurden.
    Dem CenturyLink-Programm liegt das ISO-27001:2013-basierte Informationssicherheits-Managementsystem („ISMS“) zugrunde, das die Richtlinien und allgemeinen Grundsätze für die Erstellung, Implementierung, Überwachung, Überprüfung, Wartung und Verbesserung des Schutzes von CenturyLink-Informationen und -Kundendaten festlegt. Das CenturyLink-Programm wurde entwickelt, um in Abstimmung mit dem ISMS angemesse und ausreichende Sicherheitskontrollen zum Schutz von Informationen auszuwählen und generelle Hinweise zu den allgemein akzeptierten Zielen des Informationssicherheitsmanagements und der Standardverfahren für Kontrollen in den folgenden Bereichen des Informationssicherheitsmanagements zu geben:
    • Sicherheitsrichtlinie
    • Organisation von Informationssicherheit
    • Asset Management
    • Personalsicherheit
    • Physische und umweltbezogene Sicherheit
    • Kommunikation- und Betriebsmanagement
    • Kommunikationssicherheit
    • Zugangskontrolle
    • Beschaffung, Entwicklung und Wartung von Informationssystemen
    • Informationen zum Sicherheits-Störungsmanagement
    • Geschäftskontinuitätsmanagement
    • Compliance
    • Kryptographie
    • Lieferantenbeziehung

    CenturyLink hat außerdem eine formelle Informationssicherheitsrichtlinie sowie Support-Methoden und Verfahren, technische Standards und Prozesse implementiert, um die Bedeutung der Informationssicherheit in der gesamten Organisation zu stärken („Information Security Policy“). Die Informationssicherheitsrichtlinie entspricht ISO 27002:2013 und ist von dem Chief Information Security Officer genehmigt. Die Informationssicherheitsrichtlinie legt die Anforderungen dar, um im angemessenen Rahmen Sicherheit für Services aufrechtzuerhalten. Mitarbeiter und Auftragnehmer, die Zugriff auf Unternehmensinformationen und Kundendaten haben, müssen auf der Grundlage der Informationssicherheitsrichtlinie jährliche Sicherheitsschulungen durchführen. Die Informationssicherheitsrichtlinie beinhaltet folgendes:
    • Richtlinien zur physischen Sicherheit für Rechenzentren und Bürostandorte
    • Richtlinie zur elektronischen Nutzung, einschließlich von:
      • E-Mail-Nutzung
      • Kabellose Netzwerke
      • Internetzugang
      • Antivirus-Kontrolle
    • Passwort-Management
    • Fern- und Heimarbeit
    • Reaktionsplan für die Computersicherheit bei Störfällen
    • Informationsschutz
    • Vereinbarungen über Drittanbieter-Verbindungen
    • Zugriff durch Drittanbieter
    • Kabelloses Scanning
    • Risikomanagement
    • Vendor Management
  3. BESONDERE SICHERHEITSKONTROLLEN. CenturyLinks Sicherheitskontrollen umfassen:
    • Logische Zugriffskontrollen zum Verwalten des Zugangs zu Kundendaten auf der Basis von geringsten Privilegien und Kenntnissen, einschließlich der Verwendung definierter Berechtigungsstufen und Auftragsfunktionen, eindeutiger IDs und Kennwörter sowie einer starken (d. h. zwei Faktoren) Authentifizierung für Fernzugriffssysteme (und gegebenenfalls an anderer Stelle) und sofortiger Widerruf oder Änderung des Zugangs als Reaktion auf Abbrüche oder Änderungen in den Jobfunktionen.
    • Passwortkontrollen, um die Komplexität und Ablaufdaten von Passwörten zu verwalten und zu kontrollieren. Für alle Passwörter, die den Zugang zur Infrastruktur von CenturyLink regeln, gilt eine Mindestlänge und Komplexität.
    • Betriebsabläufe und -kontrollen, um sicherzustellen, dass Technologie- und Informationssysteme gemäß den vorgegebenen internen Standards konfiguriert und gewartet werden.
    • Netzwerksicherheitskontrollen, einschließlich der Verwendung von Firewalls, mehrschichtigen DMZs und aktualisierten Intrusion Detection / Prevention-Systemen zum Schutz vor Eindringen in Systeme und/oder der Begrenzung des Umfangs oder des Erfolgs von Angriffen oder des Versuchs eines unbefugten Zugriffs.
    • Prozeduren und Technologien zum Management von Schwachstellen, um neue oder existierende Sicherheitsschwachstellen und -bedrohungen zu identifizieren, abzuwägen, zu mindern und gegen diese zu schützen, darunte Viren, Bots und andere schädliche Codes.
    • Genehmigte Anti-Malware-Software ist auf entsprechend lauffähigen CenturyLink-Geräten mit hohem Infektionsrisiko installiert. Dies ist so konfiguriert, dass Benutzer die Software nach Möglichkeit nicht deaktivieren oder ihre Konfiguration ohne Autorisierung ändern. Durchführung regelmäßiger Auswertungen, um zu überprüfen, ob Systeme weiterhin Antivirensoftware benötigen oder nicht.
    • Change-Management-Verfahren, aus denen hervorgeht, dass Änderungen an der CenturyLink-Technologie und den Informationsressourcen getestet, genehmigt, aufgezeichnet und überwacht werden.
    • Organisatorisches Management, um die richtige Entwicklung und Wartung von Informationssicherheits- und Technologierichtlinien, -verfahren und -standards zu gewährleisten.
    • Spezielle Organisationen mit globaler Verantwortung für alle physischen Sicherheitsvorgänge, Sicherheitssysteme, Zugriffsverwaltung und Sicherheitskontrollen in allen Einrichtungen und Datenzentren von CenturyLink Für bestimmte Services werden Rechenzentren von Drittanbietern genutzt und in diesen Fällen werden bestimmte pyhsische Sicherheits- und andere Kontrollen von CenturyLink überprüft.
    • Sicherheitsrichtlinien, die die Wichtigkeit der physischen Sicherheit aller Unternehmensbereiche untermauern und typische Abläufe für die physische Sicherheit in Rechenzentren beinhalten Das Sicherheitspersonal im Datenzentrum ist für die Kontrolle des Zugriffs auf das Datenzentrum, die Überwachung lokaler Sicherheitsalarme und die Verwaltung aller gemeldeten physischen sicherheitsrelevanten Ereignisse verantwortlich.
    • CCTV (Closed Circuit Television) wird üblicherweise als physische Sicherheitskontrolle in hochwertigen Einrichtungen eingesetzt, um Eindringlinge abzuhalten, zu erkennen und zu identifizieren. Das Corporate Security Operations Center (CSOC) bietet globalen Support rund um die Uhr, mit Fernüberwachung, -management, -verwaltung und -wartung des von CenturyLink verwendeten CCTV-Videoüberwachungssystems.
    • Das Central Access Control Center (CACC) unterstützt die Verteilung aller CenturyLink-Zugriffskennzeichen und die Verwaltung von Zugriffsberechtigungen innerhalb des Zugriffskontrollsystems.
    • Entsorgungsverfahren für verschiedene Arten und Klassifizierungen von Informationen, die dokumentiert und dem Personal mitgeteilt werden. Die Mitarbeiter haben Zugang zu gesicherten Aktenvernichtern für. Elektronische Medien werden von zertifizierten Entsorgern entsorgt.
    • Überprüfungen neuer Mitarbeiter werden im Vorfeld in Übereinstimmung mit den Einstellungspraktiken der Personalabteilung von CenturyLink und den geltenden örtlichen Gesetzen durchgeführt. Die Überprüfungen sind unter anderem abhängig von der Position, dem Standort und etwaigen kundenspezifischen Anforderungen und können Folgendes umfassen: Identitäts-, Drogen-, kriminelle, akademische und Kreditprüfung.
    • Jährliche Sicherheitsbewusstseinsschulung für in den Geschäftsräumen von CenturyLink arbeitende Mitarbeiter und Auftragnehmer von CenturyLink Das Training spiegelt die aktuellen Bedrohungen wider und fördert die grundlegenden Best Practices für die Sicherheit, Zugang zu und Kenntnis von Informationssicherheitsrichtlinien und Verfahren, z. B. wie ein Vorfall gemeldet werden sollte. Mitarbeiter in bestimmten Positionen erhalten eine zusätzliche Sicherheitsschulung, und sollte ein Schulungs- oder Testproblem auftreten (z. B. interne Phishing-Übungen), werden weitere Anleitungen gegeben. CenturyLink führt ein kontinuierliches Programm von Phishing-Tests für Mitarbeiter durch, um die Anforderungen an das Bewusstsein sowie gute E-Mail- und Browsing-Gewohnheiten zu verstärken und die Effektivität von Sicherheitsschulungen zu bewerten. Das Intranet und das E-Mail-System des Unternehmens werden zur Verbreitung von Flash-Ankündigungen bezüglich Sicherheitsanliegen in einem angemessenen Rahmen verwendet.
  4. SICHERHEITSPRÜFUNGEN. Der Kunde kann auf eigene Kosten und höchstens einmal pro Jahr die Leistung von CenturyLink bezüglich der Sicherheitsverpflichtungen in diesem Anhang („Audit“) prüfen. Falls der Kunde einen Dritten für die Durchführung eines Audits behält, kann CenturyLink vor der Gewährung des Zugangs zu einer CenturyLink-Einrichtung, in der die Dienste bereitgestellt werden, zusätzliche Dokumentation durch den Auditoren eines Dritten verlangen und nach eigenem Ermessen ablehnen, einem Dritten den Zugriff auf ein Datenzentrum zu ermöglichen. CenturyLink arbeitet bei der Prüfung mit dem Kunden zusammen und stellt dem Kunden oder seinen Prüfern die zur Durchführung der Prüfung erforderlichen Unterlagen und Aufzeichnungen zur Verfügung. CenturyLink gewährt dem Kunden angemessenen Zugang zu der betreffenden Einrichtung zum Zweck der Inspektion der Einrichtungen, die zur Erbringung der Dienstleistungen für den Kunden genutzt werden. Zu Zwecken der Klarstellung wird der Zugang zu bestimmten Bereichen bestimmter Einrichtungen (z. B. Datenzentren) nicht gewährt, zu denen CenturyLink seinen Kunden generell keinen Zugang gewährt (z. B. Bereiche, in denen Geräte untergebracht sind, die zur Unterstützung von Dienstleistungen für mehrere Kunden dienen). Der Zugang zwecks Prüfungen unterliegt den angemessenen Sicherheitsanforderungen für die vertraulichsten Sicherheitsrichtlinien/-materialien von CenturyLink. Der Zugang zwecks Prüfungen muss innerhalb der normalen Geschäftszeiten von CenturyLink stattfinden und mindestens 10 Geschäftstage im Voraus geplant sein; dazu muss der Kunde, bzw. dessen Rechnungsprüfer, von CenturyLink-Personal während der Zugangsperiode begleitet werden. Die Prüfung und alle zugehörigen Ergebnisse werden als vertrauliche Information behandelt.
  5. SICHERHEITSVORFÄLLE UND REAKTION. Sollte CenturyLink feststellen, dass ein Sicherheitsvorfall Auswirkungen auf die Kundendaten hatte, ergreift CenturyLink unverzüglich die folgenden Maßnahmen:
    • Benachrichtigen Sie den Kunden über den betreffenden Sicherheitsvorfall und geben Sie regelmäßige, angemessene Updates, je nach Art des Sicherheitsvorfalls und sobald Informationen verfügbar sind;
    • Einleitung angemessener Schritte, um den Sicherheitsvorfall zu beheben oder zu mildern, sofern solche Schritte technisch umsetzbar und den Umständen angemessen sind;
    • Durchführung einer vorläufigen Untersuchung des Sicherheitsvorfalls, um die Ursache zu ermitteln, soweit dies möglich ist; und
    • Arbeiten Sie mit dem Kunden in einem angemessenen Rahmen zusammen, um den Sicherheitsvorfall zu beheben oder zu minimieren sowie die geltende Gesetze einzuhalten und mit den Rechtsbehörden zu kooperieren.

    Für die Zwecke dieser Vereinbarung bedeutet „Sicherheitsvorfall“ jeglicher rechtswidrige oder unbefugte Zugriff, Diebstahl oder die Verwendung von Kundendaten, während diese unter Verwendung von CenturyLink-Diensten gespeichert, übertragen oder anderweitig verarbeitet werden.