ISO 27001
Wir sind nach ISO/IEC 27001 zertifiziert. Sie können das Zertifikat über https://www.hetzner.com/assets/downloads/FOX-Zertifikat.pdf abrufen. Weitere Informationen zu diesem Zertifikat finden Sie unter https://www.hetzner.com/de/unternehmen/zertifizierung.
Statement of Applicability (SoA)
Bei der SoA handelt es sich um ein internes Dokument, welches wir Dritten nicht zur Verfügung stellen. Hinsichtlich der Maßnahmen aus dem Anhang A der ISO 27001 gibt es in unserem Unternehmen keine Ausschlüsse.
Technisch-organisatorische Maßnahmen (TOMs)
Wir treffen eine Vielzahl von Maßnahmen, um die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten. Eine Übersicht der technisch-organisatorischen Maßnahmen (kurz: TOMs) stellen wir Ihnen in der Anlage 2 unseres Auftragsverarbeitungsvertrages zur Verfügung. Wir lassen die TOMs in regelmäßigen Abständen durch eine externe Datenschutzorganisation (derzeit TÜV Rheinland) prüfen. Das Prüfprotokoll stellen wir unseren Kunden direkt im Kundenaccount zur Verfügung, soweit diese einen AV-Vertrag mit uns abgeschlossen haben. Abrufbar ist der Prüfbericht für unsere Kunden unter https://accounts.hetzner.com/account/dpa.
SOC 2
Der SOC 2 ist ein Informationssicherheitsstandard, der vor allem in den USA eine wichtige Rolle spielt. Als international agierender Hostingdienstleister legen wir unseren Fokus auf die ISO 27001-Zertifizierung, da sie breiter anwendbar ist.
Nationale Zertifizierungen und Rahmenwerke, wie BSI Grundschutz, NIST, COBIT:
Wie bereits oben angedeutet, legen wir unseren Fokus auf international anerkannte Zertifizierungen. Wir möchten Sie aufgrund dessen auf die obigen Ausführungen zu unserem ISO-27001-Zertifikat und den technisch-organisatorischen Maßnahmen verweisen.
C5 – DigiG
Eine Vielzahl der Anforderungen des C5-Standards erfüllen wir bereits durch unser ISO-27001-Zertifikat. Wir sind aber nicht nach C5 zertifiziert.
Das DigiG (DigiG) legt Anforderungen an den Einsatz von Cloud-Diensten im Gesundheitswesen fest. Hierbei wird unter anderem ein C5-Zertifikat gefordert. Das DigiG bietet jedoch die Möglichkeit, dass das Bundesministerium für Gesundheit (BMG) eine Rechtsverordnung erlassen kann, in welcher auch andere Standards als den Anforderungen entsprechend zugelassen werden.
Das BMG hat uns mitgeteilt, dass abweichend vom C5-Testat auch andere Zertifikate/Testate geeignet sein können, wenn diese ein vergleichbares Sicherheitsniveau gewährleisten. Das BMG plant, im Laufe des zweiten Halbjahres 2024 eine entsprechende Rechtsverordnung zu erlassen, die dies klarstellt.
Aktuell warten wir auf die weitere Entwicklung.