Datenschutzerklärung

2. Datenkategorien und Erhebungsmethodiken

Kategorien verarbeiteter personenbezogener Daten

CypSec verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der durch betriebliche Anforderungen für die Erbringung von Cybersicherheitsdienstleistungen, Bedrohungserkennungsfähigkeiten, Incident-Response-Koordination sowie die Einhaltung einschlägiger vertraglicher Verpflichtungen und behördlicher Weisungen erforderlich ist. Die verarbeiteten personenbezogenen Daten umfassen Identifizierungs- und Autorisierungsdaten einschließlich vollständiger juristischer Namen, behördlich ausgestellter Identifikationsnummern, Sicherheitsfreigabestufen, Zugangsberechtigungsnachweise, biometrische Kennungen und berufliche Zertifizierungen, die für den Zugang zu klassifizierten Systemen und sicheren Einrichtungen erforderlich sind. Diese Kategorie umfasst Passdetails, Militäridentifikationsnummern und solche anderen Nachweise, die von behördlichen Sicherheitsprotokollen und Freigabeüberprüfungsverfahren vorgeschrieben werden können.

Authentifizierungs- und Zugriffskontrolldaten umfassen komplexe Authentifizierungsnachweise, Multi-Faktor-Authentifizierungstokens, digitale Zertifikate, kryptografische Schlüssel, Sitzungskennungen, Zugriffsprotokolle und Privilegieneskalationsaufzeichnungen, die für den sicheren Zugang zu kritischen Systemen und die Verhinderung unbefugter Eindringungsversuche erforderlich sind. Alle Authentifizierungsdaten werden unter Verwendung von FIPS 140-2 Level 3 validierter Verschlüsselung verarbeitet und in Hardware-Sicherheitsmodulen gespeichert, die behördliche Sicherheitsstandards erfüllen. Technische Überwachungs- und Telemetriedaten umfassen Internet-Protokoll-Adressen, Gerätefingerabdrücke, Netzwerktopologie-Informationen, Systemkonfigurationsparameter, Sicherheitsereignisprotokolle, Bedrohungserkennungstelemetrie, Schwachstellen-Scan-Ergebnisse, Paketerfassungsmetadaten und alle zugehörigen technischen Indikatoren, die für Threat-Hunting-Operationen und Sicherheitslagenbewertungen unerlässlich sind.

Erhebungsmethoden und technische Implementierung

Datenerhebungsvorgänge werden durch mehrere technische und operative Kanäle durchgeführt, einschließlich direkter Nutzerinteraktion mit sicheren Authentifizierungsportalen und klassifizierten Kommunikationssystemen, automatisierter Erfassung durch bereitgestellte Sicherheitssensoren, Intrusion-Detection-Systeme und Bedrohungsinformationsplattformen, Integration mit behördlichen Authentifizierungssystemen und Sicherheitsfreigabedatenbanken, sicherer Datenfeeds von Partnerbehörden und Bedrohungsaustauschkonsortien sowie rechtmäßiger Abhör- und Überwachungsaktivitäten, die unter angemessener Rechtsgrundlage durchgeführt werden.

Alle Erhebungsaktivitäten nutzen behördlich genehmigte Verschlüsselungsstandards und werden über sichere Kommunikationskanäle durchgeführt, die einschlägige Klassifizierungsanforderungen erfüllen. Metadaten, die für den Betriebsdienst und die Bedrohungskorrelation erforderlich sind, werden gemäß etablierter Aufbewahrungsfristen bewahrt, die mit nationalen Sicherheitsaufbewahrungsanforderungen und behördlichen Prüfverpflichtungen abgestimmt sind. Soweit CypSec als Datenverarbeiter gemäß behördlichen Verträgen oder klassifizierten Vereinbarungen tätig ist, werden alle Datenkategorien und Erhebungsmethoden von der vertraglichen Behörde spezifiziert, die die Datenverantwortung für alle betrieblichen Weisungen und Verarbeitungszwecke beibehält.

Verarbeitungsbeschränkungen und Datenminimierung

CypSec verarbeitet derartige Daten strikt innerhalb der durch vertragliche Instrumente und einschlägige Sicherheitsklassifizierungsleitfäden festgelegten Parameter. Das Unternehmen führt keine automatisierten Entscheidungsfindungsprozesse durch, die Rechtswirkungen für Personen entfalten, es sei denn, eine solche Verarbeitung ist für Bedrohungserkennungsoperationen, Überprüfung von Sicherheitsfreigaben oder andere ausdrücklich durch behördliche Weisung autorisierte Aktivitäten unerlässlich und unterliegt angemessenen Aufsichtsmechanismen. Alle Verarbeitungsvorgänge werden unter ausdrücklicher Anerkennung durchgeführt, dass Cybersicherheitsoperationen eine Echtzeit-Automatisanalyse zur Erkennung und Reaktion auf unmittelbare Sicherheitsbedrohungen erforderlich machen können.

Datenminimierungsgrundsätze werden konsequent über alle Verarbeitungsvorgänge hinweg angewendet, wobei Erhebung und Aufbewahrung auf Informationen beschränkt sind, die zur Aufrechterhaltung der Sicherheitslage, Erfüllung vertraglicher Verpflichtungen und Unterstützung berechtigter behördlicher Interessen beim Schutz kritischer Infrastrukturen und nationaler Sicherheitsanlagen unerlässlich sind. Verarbeitungsvorgänge, die erhöhte Risiken für Individualrechte darstellen, unterliegen verbesserten Aufsichtsmechanismen und zusätzlichen Schutzvorkehrungen, wie sie von einschlägigen Rechtsrahmen und behördlichen Weisungen gefordert werden.

3. Verarbeitungszwecke und Rechtsgrundlagen

Vertragliche Erfüllung und Dienstleistungserbringung

CypSec verarbeitet personenbezogene Daten, soweit dies für die Erfüllung von Behördenverträgen, Verteidigungsbeschaffungsvereinbarungen und autorisierten Dienstleistungsarrangements erforderlich ist. Dies umfasst die Bereitstellung von Bedrohungserkennungs- und -reaktionsfähigkeiten, die Wartung sicherer Authentifizierungs- und Zugriffskontrollsysteme, die Erbringung von Schwachstellenanalyse- und Penetrationstesting-Dienstleistungen, den Betrieb klassifizierter Kommunikationsplattformen und sicherer Kollaborationstools sowie die Durchführung von Incident-Response-Koordination und forensischen Analyseoperationen. Alle vertraglichen Verarbeitungsvorgänge erfolgen strikt innerhalb des Rahmens abgeschlossener Vereinbarungen und einschlägiger Beschaffungsvorschriften.

Personenbezogene Daten werden verarbeitet, soweit dies für die Erfüllung eines Vertrags mit den Nutzern oder den von ihnen vertretenen Organisationen erforderlich ist oder um auf Anfrage der Nutzer vor Vertragsabschluss entsprechende Maßnahmen zu ergreifen. Dies umfasst die Bereitstellung, den Betrieb, die Konfiguration, Wartung und Unterstützung von CypSec-Produkten und -dienstleistungen, die Verwaltung von Nutzerkonten und Authentifizierungsmechanismen, die Bearbeitung von Serviceanfragen und technischen Supportanfragen sowie die Verwaltung von Abrechnungs-, Rechnungsstellungs- und verwandten Finanztransaktionen im Rahmen behördlicher Beschaffungsrahmenwerke.

Gesetzliche Verpflichtung und Regulierungskonformität

Verarbeitungsvorgänge werden durchgeführt, soweit dies durch einschlägige Gesetze, behördliche Vorschriften und nationales Sicherheitsregulierungen vorgeschrieben ist. Derartige Verpflichtungen umfassen die Einhaltung der Federal Acquisition Regulation und der Defense Federal Acquisition Regulation Supplement-Anforderungen, die Befolgung von Sicherheitsklassifizierungsleitfäden und Handhabungsverfahren, die Erfüllung von Ausfuhrkontrollverpflichtungen unter den International Traffic in Arms Regulations und Export Administration Regulations, die Reaktion auf rechtmäßige Verfahren von Gerichten, Aufsichtsbehörden und Überwachungsgremien sowie die Einhaltung von Steuer-, Rechnungslegungs- und Corporate-Governance-Anforderungen, die für Behördenauftragnehmer gelten.

CypSec verarbeitet personenbezogene Daten, soweit dies für die Einhaltung gesetzlicher Verpflichtungen erforderlich ist, denen das Unternehmen unterliegt. Derartige Verpflichtungen können sich aus Steuer-, Rechnungslegungs-, Corporate-Governance-, Ausfuhrkontroll-, Cybersicherheits-, Finanzregulierungs-, Arbeitsrechtsvorschriften oder Verpflichtungen zur Reaktion auf rechtmäßige Anfragen von Gerichten, Regulierungsbehörden oder Aufsichtsbehörden mit angemessener Zuständigkeit für Unternehmensoperationen ergeben.

Berechtigte Sicherheitsinteressen und nationale Sicherheitsanforderungen

CypSec verarbeitet personenbezogene Daten, soweit dies zum Schutz wesentlicher Sicherheitsinteressen erforderlich ist, die nicht von individuellen Datenschutzrechten überwiegen werden. Diese Interessen umfassen die Wahrung der Sicherheit und Integrität kritischer Infrastruktursysteme und -netzwerke, die Verhinderung, Erkennung und Reaktion auf Cyberbedrohungen, Spionageaktivitäten und staatliche Angriffe, die Durchführung von Threat-Intelligence-Analysen und Zuordnungsuntersuchungen, den Schutz klassifizierter Informationen und kontrollierter Technologiedaten, die Sicherstellung der fortwährenden Verfügbarkeit wesentlicher Dienstleistungen sowie die Unterstützung von Strafverfolgungs- und Kontraspionageaktivitäten, wie sie durch einschlägige Rechtsbefugnisse autorisiert sind.

Berechtigte Interessen umfassen die Sicherstellung der Sicherheit und Integrität von Infrastrukturen, Produkten und Dienstleistungen, die Verhinderung, Untersuchung und Reaktion auf Betrug, Missbrauch oder Sicherheitsvorfälle, die Entwicklung und Verbesserung von Plattformen und Angeboten, die Durchführung interner Analysen und Berichterstattung, die Pflege und Erweiterung von Geschäftsbeziehungen, die Durchsetzung rechtlicher Ansprüche sowie die Verwaltung von Unternehmenstransaktionen wie Fusionen, Übernahmen oder Umstrukturierungen. Alle Verarbeitungen aufgrund berechtigter Interessen unterliegen formalen Interessensabwägungen, die die Schwere identifizierter Bedrohungen, die potenzielle Auswirkung auf den Schutz kritischer Infrastrukturen, Verpflichtungen gegenüber Behördenauftragebern und einschlägige nationale Sicherheitsrichtlinien berücksichtigen.

Einwilligungsbasierte Verarbeitung und Sonderkategorien

Personenbezogene Daten werden auf der Grundlage ausdrücklicher Einwilligung verarbeitet, soweit dies durch einschlägige Gesetze für bestimmte Aktivitäten erforderlich ist, einschließlich der Teilnahme an optionalen Sicherheitsforschungs- und -entwicklungsinitiativen, der Einschreibung in erweiterte Schulungsprogramme und Zertifizierungskurse, der Beteiligung an Bedrohungsinformationsaustauschkonsortien und Branchenzusammenarbeitsbemühungen, der Bereitstellung von Testimonials oder Fallstudien für Marketingzwecke sowie der Aktivierung erweiterter Überwachungs- oder Analysefunktionen über Basissicherheitsanforderungen hinaus. Die Einwilligung kann jederzeit widerrufen werden, ohne die Rechtmäßigkeit der vor Widerruf durchgeführten Verarbeitung zu beeinträchtigen.

In begrenzten für Cybersicherheitsoperationen wesentlichen Umständen kann CypSec Sonderkategorien personenbezogener Daten verarbeiten, einschließlich biometrischer Kennungen für Multi-Faktor-Authentifizierung, Sicherheitsfreigabeinformationen und Ergebnisse von Hintergrunduntersuchungen. Derartige Verarbeitungen erfolgen ausschließlich, soweit dies für die Feststellung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist, durch erhebliche öffentliche Interessen einschließlich nationaler Sicherheitsziele erforderlich ist, durch Betroffene ausdrücklich mit angemessenen rechtlichen Schutzvorkehrungen autorisiert ist oder durch einschlägige behördliche Sicherheitsanforderungen und Freigabeverfahren vorgeschrieben ist.

Alle Verarbeitungszwecke werden durch formale Notwendigkeits- und Verhältnismäßigkeitsbewertungen evaluiert, um sicherzustellen, dass Datenerhebungs- und -verarbeitungsaktivitäten strikt auf das beschränkt sind, was zur Erreichung berechtigter Sicherheitsziele erforderlich ist, während angemessene Rücksicht auf individuelle Datenschutzinteressen innerhalb des Rahmens einschlägiger Rechtsanforderungen und behördlicher Weisungen gewahrt wird.

4. Datenaufbewahrung, Speicherarchitektur und Sicherheitsvorkehrungen

Aufbewahrungsfristen und Rechtsrahmen

CypSec bewahrt personenbezogene Daten gemäß Aufbewahrungsplänen auf, die speziell darauf ausgelegt sind, betriebliche Anforderungen für Cybersicherheitsoperationen mit einschlägigen gesetzlichen Verpflichtungen und behördlichen Aufzeichnungsvorschriften in Einklang zu bringen. Alle Aufbewahrungsfristen werden durch formale Bewertungsverfahren festgelegt, die die Klassifizierungsstufe und Sensibilitätskennzeichnung der verarbeiteten Informationen, vertragliche Verpflichtungen in Behördenverträgen und Beschaffungsvereinbarungen, gesetzliche Verjährungsfristen für Behördenauftragnehmer, nationale Sicherheitsaufbewahrungsanforderungen und Nachrichtendienstaufsichtsvorschriften sowie die betriebliche Notwendigkeit für Bedrohungskorrelation und forensische Analysefähigkeiten evaluieren.

Konten- und Authentifizierungsdaten werden für die Dauer der aktiven Dienstleistung plus sieben Jahre aufbewahrt, um Prüfanforderungen, Sicherheitsuntersuchungen und behördliche Aufsichtsaktivitäten zu unterstützen. Sicherheitsprotokolle und Ereignisdaten werden für Mindestzeiträume von vierundzwanzig Monaten aufrechterhalten, um Threat-Hunting-Operationen, Incident-Korrelation und forensische Analyseaktivitäten zu ermöglichen. Finanz- und Vertragsunterlagen werden gemäß behördlichen Beschaffungsvorschriften, Steuerverpflichtungen und Prüfpflichtanforderungen zehn Jahre aufbewahrt. Backup- und Disaster-Recovery-Systeme werden für neunzig Tage bewahrt, sofern keine erweiterte Aufbewahrung durch spezifische vertragliche Verpflichtungen oder Klassifizierungsanforderungen vorgeschrieben ist.

Speicherarchitektur und technische Kontrollen

Alle personenbezogenen Daten werden in sicheren Umgebungen aufrechterhalten, die eine Defense-in-Depth-Architektur mit mehreren unabhängigen Sicherheitsschichten implementieren. Speichersysteme nutzen FIPS 140-2 Level 3 validierte Verschlüsselung für alle ruhenden Daten unter Verwendung von AES-256 oder stärkeren Algorithmen, Hardware-Sicherheitsmodule für kryptografische Schlüsselverwaltung und Zugriffskontrolloperationen, Netzwerksegmentierung und Mikrosegmentierung zur Isolierung sensibler Datenspeichersysteme, kontinuierliche Überwachungssysteme mit Echtzeit-Bedrohungserkennungsfähigkeiten sowie unveränderliche Audit-Logbuchführung zur Verhinderung unbefugter Modifikation von Aufbewahrungsaufzeichnungen.

Datenspeicheroperationen können behördlich genehmigte Cloud-Infrastruktur nutzen, die FedRAMP High oder gleichwertige Sicherheitsgrundlinien erfüllt, lokale Systeme in sicheren Einrichtungen mit Freigabe für angemessene Klassifizierungsstufen, hybride Architekturen, die für spezifische Behördenverträge genehmigt sind, sowie Backup-Systeme, die an geografisch getrennten Standorten für Disaster-Recovery-Zwecke aufrechterhalten werden. Alle Drittanbieter-Speicheranbieter müssen angemessene Sicherheitsfreigaben nachweisen und Einrichtungsfreigaben aufrechterhalten, die mit der Klassifizierungsstufe der gespeicherten Daten konsistent sind.

Incident-Response- und Verletzungsmeldungsverfahren

CypSec unterhält umfassende Incident-Response-Verfahren, die auf Sicherheitsvorfälle abgestimmt sind, die personenbezogene Daten betreffen. Nach Erkennung eines jeden verdächtigen oder bestätigten Sicherheitsvorfalls aktiviert das Unternehmen unverzüglich Eindämmungsverfahren zur Verhinderung weiteren unbefugten Zugriffs, führt umfassende Auswirkungsbewertungen zur Bestimmung des Umfangs und der Art betroffener personenbezogener Daten durch, implementiert Sanierungsmaßnahmen zur Behebung von Schwachstellen und Verhinderung von Wiederholungsvorfällen, koordiniert mit angemessenen Behördenvertretern und Vertragsbeamten, soweit klassifizierte Informationen betroffen sind, und unterhält detaillierte Dokumentation für Prüf- und Aufsichtszwecke.

Meldungspflichten werden gemäß einschlägiger Rechtsvorschriften und Behördenvertragsbestimmungen erfüllt. Soweit gesetzlich vorgeschrieben, stellt CypSec Aufsichtsbehörden innerhalb von zweiundsiebzig Stunden nach Vorfallbestätigung Benachrichtigung bereit. Betroffene Personen werden unverzüglich benachrichtigt, soweit der Vorfall ein hohes Risiko für Individualrechte und -freiheiten darstellt. Alle Benachrichtigungen umfassen Beschreibung der Vorfallsart und des Umfangs, Identifikation betroffener personenbezogener Datenkategorien, Bewertung potenzieller Konsequenzen, Beschreibung von Eindämmungs- und Sanierungsmaßnahmen sowie Kontaktinformationen für zusätzliche Anfragen.

Sichere Entsorgung und Datenvernichtungsprotokolle

Nach Ablauf einschlägiger Aufbewahrungsfristen werden personenbezogene Daten unter Verwendung für die Klassifizierungsstufe und Sensibilität der Informationen angemessener Methoden vernichtet. Vernichtungsverfahren umfassen kryptografische Löschung unter Verwendung von NIST-geprüften Methoden für verschlüsselte Daten, Mehrfach-Überschreibung gemäß DoD 5220.22-M-Standards für Magnetmedien, physische Vernichtung durch Zerkleinerung oder Degaussing für Speichergeräte, die klassifizierte Informationen enthalten, sowie zertifizierte Vernichtung mit Kettenregelungsdokumentation für alle behördlich vertraglich vereinbarten Daten.

Soweit technische Zwänge eine sofortige Löschung verhindern, wird der Zugriff auf personenbezogene Daten strikt durch Entfernung aller Nutzerzugriffsrechte und Authentifizierungsnachweise eingeschränkt, Implementierung technischer Kontrollen zur Verhinderung von Systemzugriff, Aufrechterhaltung in sicherer Offline-Speicherung mit beschränktem Administrationszugriff sowie schließliche Vernichtung nach Lösung technischer Zwänge. Alle Entsorgungsaktivitäten werden durch formale Vernichtungszertifikate dokumentiert, die gemäß einschlägigen behördlichen Aufzeichnungsanforderungen und Aufsichtsvorschriften aufrechterhalten werden.

5. Datenoffenlegung und internationale Übertragungsprotokolle

Autorisierte Offenlegungskategorien und -empfänger

CypSec befasst sich unter keinen Umständen mit dem Verkauf, der Vermietung oder der kommerziellen Auswertung personenbezogener Daten. Alle Offenlegungen erfolgen ausschließlich, soweit dies durch betriebliche Anforderungen, vertragliche Verpflichtungen oder rechtmäßige Verfahren erforderlich ist, und beschränken sich auf das Mindestmaß, das für legitime Cybersicherheitsoperationen und behördliche Dienstleistungserbringung erforderlich ist. Personenbezogene Daten können an geprüfte Einheiten weitergegeben werden, die verbindlichen Geheimhaltungs- und Sicherheitsverpflichtungen unterliegen, einschließlich zertifizierter Auftragnehmer und strategischer Partner mit angemessenen Einrichtungs- und Personalsicherheitsfreigaben, behördlich genehmigte Infrastrukturanbieter, die FedRAMP High oder gleichwertige Sicherheitsgrundlinien erfüllen, Finanzinstitute, die autorisierte Transaktionen im Rahmen behördlicher Beschaffungsvorschriften verarbeiten, Rechtsberater und Compliance-Berater mit angemessenen Sicherheitsfreigaben und Need-to-Know-Autorisierung sowie Prüfungsunternehmen und Aufsichtsbehörden mit rechtmäßiger Zuständigkeit und angemessener Freigabestufe.

Offenlegungen innerhalb der CypSec-Konzernstruktur beschränken sich auf Einheiten, die gleichwertige Sicherheitsstandards und angemessene Einrichtungsfreigaben aufrechterhalten. Alle innerkonzernlichen Übertragungen erfolgen über sichere Kommunikationskanäle mit angemessenen Klassifizierungskennzeichnungen und unterliegen der Verifizierung des Sicherheitsfreigabestatus der Empfängereinheit, der Implementierung von Need-to-Know-Zugriffskontrollen, der Aufrechterhaltung von Auditpfaden für alle Datenbewegungen sowie der Einhaltung einschlägiger behördlicher Aufsichtsanforderungen und Kongressbenachrichtigungsmandate, soweit angemessen.

Behördliche und strafverfolgende Offenlegungsanforderungen

Personenbezogene Daten werden an Behörden, Aufsichtsbehörden und Strafverfolgungseinheiten weitergegeben, soweit dies durch rechtmäßige Verfahren einschließlich Gerichtsbeschlüsse, Vorladungen und Durchsuchungsbefehle, nationale Sicherheitsrichtlinien und klassifizierte behördliche Anforderungen, Aufsichtspflichten unter der Federal Acquisition Regulation und behördenspezifischen Beschaffungsvorschriften, Notfalloffenlegungsverfahren zur Verhinderung unmittelbarer Schäden an kritischer Infrastruktur sowie internationale Kooperationsvereinbarungen und gegenseitigen Rechtshilfeabkommen vorgeschrieben ist. Alle behördlichen Offenlegungen erfolgen über angemessene Sicherheitskanäle mit ordnungsgemäßer Klassifizierungshandhabung und Aufsichtskoordination.

CypSec unterhält rigorose Subprozessorprüfungs- und Aufsichtsverfahren. Alle Subprozessoren unterliegen umfassenden Sicherheitsbewertungen zur Verifizierung der Einhaltung behördlicher Sicherheitsanforderungen, vertraglichen Verpflichtungen zur Implementierung gleichwertiger technischer und organisatorischer Maßnahmen, Beschränkungen, die Weitergabe ohne ausdrückliche Autorisierung untersagen, Auditrechten, die die Verifizierung der Einhaltung von Sicherheitsverpflichtungen ermöglichen, sowie sofortigen Kündigungsbestimmungen bei Sicherheitsverletzungen oder Verstoß gegen Geheimhaltungsverpflichtungen. Ein aktuelles Verzeichnis autorisierter Subprozessoren wird aufrechterhalten und auf Anfrage behördlichen Vertragsbeamten zur Verfügung gestellt.

Internationale Übertragungsmechanismen und Schutzvorkehrungen

Grenzüberschreitende Datenbewegungen erfolgen ausschließlich über sichere Kanäle, die für behördliche und Verteidigungsanwendungen genehmigt sind, unter Implementierung von Verschlüsselung für ruhende und übertragene Daten unter Verwendung von FIPS 140-2 Level 3 validierten kryptografischen Modulen, Schlüsselverwaltungskontrollen, die sicherstellen, dass Schlüssel unter angemessener behördlicher Gerichtsbarkeit verbleiben, Netzwerkroutingbeschränkungen, die Transit durch nicht autorisierte Gerichtsbarkeiten verhindern, Datenlokalisierungsanforderungen, soweit durch Behördenverträge vorgeschrieben, sowie umfassende Audit-Logbuchführung aller grenzüberschreitenden Bewegungen zur Aufsichts- und Complianceverifizierung.

Für Übertragungen in Gerichtsbarkeiten ohne Angemessenheitsbeschlüsse führt CypSec formale Übertragungsfolgenabschätzungen durch, die Rechtsrahmenanalyse der Überwachungs- und Datenzugriffsgesetze des Empfängerlandes, Bewertung potenziellen behördlichen Zugriffs auf übertragene Daten, Evaluierung verfügbarer Rechtsbehelfe für Betroffene, Identifikation zusätzlicher technischer und vertraglicher Maßnahmen sowie Dokumentation von Verhältnismäßigkeitsanalysen zur Abwägung von Sicherheitsvorteilen gegen Datenschutzrisiken umfassen. Alle Bewertungen werden durch qualifizierte Rechtsberater überprüft und vor Übertragungsautorisierung durch die Geschäftsleitung genehmigt.

Regierungs-zu-Regierungs-Übertragungsprotokolle

Internationale Übertragungen, die unter formalen Regierungsvereinbarungen durchgeführt werden, nutzen genehmigte sichere Kommunikationskanäle und unterliegen bilateralen oder multilateralen Vereinbarungen, die angemessene Schutzvorkehrungen etablieren, NATO-Sicherheitsprotokollen und Klassifizierungsinformationenhandhabungsverfahren, Nachrichtendienstaufsichtsanforderungen und Kongress-Briefing-Verpflichtungen, spezifischen technischen Kontrollen, die durch Übertragungsvereinbarungen vorgeschrieben sind, sowie fortwährender Aufsicht durch angemessene Behördenvertreter zur Sicherstellung der Einhaltung nationaler Sicherheitsanforderungen.

Alle internationalen Übertragungen beschränken sich auf das Mindestmaß, das für legitime Cybersicherheitsoperationen erforderlich ist, und erfolgen unter ausdrücklicher Anerkennung, dass der Schutz nationaler Sicherheitsinteressen und kritischer Infrastrukturen eine Priorisierung kollektiver Sicherheitsziele gegenüber uneingeschränkter Datenbewegung erforderlich machen kann. Verarbeitungsaktivitäten sind darauf ausgelegt, die höchstmögliche Schutzstufe aufrechtzuerhalten, während gleichzeitig die betriebliche Wirksamkeit für Bedrohungserkennungs- und -reaktionsoperationen über autorisierte Gerichtsbarkeiten und verbündete Nationen hinweg gewährleistet wird.

6. Individualrechte und Ausübungsmechanismen

Rechtsrahmen und gesetzliche Einschränkungen

Vorbehaltlich einschlägiger Rechtsrahmen und übergeordneter nationaler Sicherheitsanforderungen verfügen Personen über spezifische Rechte hinsichtlich der von CypSec verarbeiteten personenbezogenen Daten. Der Umfang und die Ausübung dieser Rechte können geändert werden, soweit dies durch Klassifizierungsanforderungen und Sicherheitsfreigabeverpflichtungen, Behördenvertragsbestimmungen und Beschaffungsvorschriften, nationale Sicherheitsrichtlinien und Nachrichtendienstaufsichtsanforderungen, laufende Bedrohungsuntersuchungen und Kontraspionageoperationen sowie Schutzmaßnahmen für kritische Infrastrukturen und klassifizierte Systeme erforderlich ist.

Personen verfügen über das Recht, Zugang zu verarbeiteten personenbezogenen Daten zu verlangen, vorbehaltlich der Verifizierung angemessener Sicherheitsfreigaben und Need-to-Know-Autorisierung. Zugangsanfragen müssen die gesuchten spezifischen Datenkategorien, die legitime Grundlage für die Zugangsaufforderung, die Identitätsverifizierung durch behördlich genehmigte Authentifizierungsmechanismen sowie die Anerkennung einschlägiger Geheimhaltungs- und Sicherheitshandhabungsanforderungen spezifizieren. Zugang kann verweigert oder beschränkt werden, soweit Offenlegung klassifizierte Informationen oder nationale Sicherheitsinteressen beeinträchtigen, laufende Bedrohungsuntersuchungen stören, proprietäre Threat-Intelligence-Quellen oder -Methoden offenlegen oder Sicherheitsfreigabeverpflichtungen oder Kompartimentierungsanforderungen verletzen würde.

Berichtigungs- und Datenqualitätsrechte

Anträge auf Korrektur unrichtiger personenbezogener Daten werden bearbeitet, soweit die Ungenauigkeit durch angemessene Dokumentation verifiziert ist, die Korrektur Sicherheitsoperationen oder Audit-Trail-Integrität nicht beeinträchtigen würde, die anfordernde Person über angemessene Autorisierung zur Aufforderung von Modifikationen verfügt und die Korrektur mit einschlägigen behördlichen Aufzeichnungsanforderungen konsistent ist. Anträge, die Sicherheitsfreigabeinformationen, Hintergrunduntersuchungsergebnisse oder Threat-Intelligence-Daten betreffen, unterliegen zusätzlichen Verifizierungsverfahren und erfordern möglicherweise Koordination mit angemessenen Behördenvertretern.

Das Recht auf Löschung unterliegt übergeordneten nationalen Sicherheitsaufbewahrungsanforderungen, Behördenvertragsbestimmungen und Nachrichtendienstaufsichtsmandaten. Löschung wird nicht bearbeitet, soweit personenbezogene Daten für laufende Bedrohungserkennung oder Incident-Response-Aktivitäten erforderlich sind, gemäß behördlicher Prüf- oder Aufsichtsanforderungen aufbewahrt werden müssen, Beweise in tatsächlichen oder potenziellen Rechtsverfahren darstellen, für Sicherheitsfreigabeverifizierung oder Hintergrunduntersuchungszwecke notwendig sind oder obligatorischen Aufbewahrungsfristen unterliegen, die durch einschlägige Gesetze oder behördliche Weisungen festgelegt sind.

Verarbeitungsbeschränkungen und Widerspruchsrechte

Personen können Einschränkung von Verarbeitungsaktivitäten verlangen, soweit Genauigkeit rechtmäßig bestritten wird und Verifizierung anhängig ist, Verarbeitung rechtswidrig ist, aber Löschung durch nationale Sicherheitsanforderungen untersagt ist, Daten für betriebliche Zwecke nicht länger erforderlich sind, aber für Rechtsverfahren aufbewahrt werden müssen, oder Widerspruch gegen Verarbeitung anhängig ist und übergeordnete berechtigte Gründe verifiziert werden. Eingeschränkte Daten unterliegen weiterhin angemessenen Sicherheitskontrollen und können weiterhin für nationale Sicherheitszwecke verarbeitet werden, die durch behördliche Weisung autorisiert sind, zum Schutz kritischer Infrastruktursysteme, zur Einhaltung einschlägiger gesetzlicher Verpflichtungen oder zur Feststellung, Ausübung oder Verteidigung rechtlicher Ansprüche.

Personen verfügen über das Recht, der Verarbeitung aufgrund berechtigter Interessen zu widersprechen, soweit derartige Interessen nicht von nationalen Sicherheitsanforderungen, Behördenvertragspflichten oder Anforderungen zum Schutz kritischer Infrastruktur überwiegen. Widersprüche gegen sicherheitsbezogene Verarbeitung werden durch formale Interessensabwägungen evaluiert, die die Schwere und Unmittelbarkeit identifizierter Bedrohungen, die potenzielle Auswirkung auf den Schutz kritischer Infrastrukturen, Verpflichtungen gegenüber Behördenauftragebern und einschlägige nationale Sicherheitsrichtlinien berücksichtigen.

Ausübungsverfahren und Verifizierungsanforderungen

Alle Rechtsbegehren müssen über sichere Kanäle mit angemessener Identitätsverifizierung und Sicherheitsfreigabenbestätigung eingereicht werden. Anfragen werden nur bearbeitet, soweit die Anfordereridentität durch behördlich genehmigte Authentifizierungsmechanismen verifiziert ist, der Anforderer über angemessene Sicherheitsfreigabe für den Zugang zu angeforderten Informationen verfügt, Offenlegung klassifizierte Informationen oder nationale Sicherheitsinteressen nicht beeinträchtigen würde und die Verarbeitung innerhalb einschlägiger Sicherheitsbeschränkungen technisch durchführbar ist. Nicht verifizierbare Anfragen werden nicht bearbeitet.

Verifizierte Anfragen werden innerhalb der durch einschlägige Gesetze vorgeschriebenen Fristen bearbeitet, typischerweise dreißig Tage, sofern nicht durch die Komplexität von Anfragen erweitert, die klassifizierte Informationen betreffen, Koordinationsanforderungen mit Behördenvertretern, technische Beschränkungen, die die Datenabfrage aus sicheren Systemen beeinflussen, oder übergeordnete nationale Sicherheitsinteressen, die verlängerte Verarbeitungsfristen erfordern. Anforderer werden über etwaige Verlängerungen informiert und erhalten Statusaktualisierungen während des gesamten Verarbeitungszeitraums.

Alle Rechtsausübungsaktivitäten werden unter ausdrücklicher Anerkennung durchgeführt, dass Cybersicherheitsoperationen zur Unterstützung nationaler Sicherheitsinteressen möglicherweise eine Priorisierung kollektiver Sicherheitsziele gegenüber individuellen Betroffenenrechten erfordern, soweit eine solche Priorisierung durch einschlägige Rechtsrahmen und behördliche Weisungen autorisiert ist. Personen behalten das Recht, Beschwerden bei zuständigen Aufsichtsbehörden hinsichtlich Verarbeitungsaktivitäten einzureichen, mit zusätzlichem Rechtsbehelf durch angemessene Vertragsbeamte, Behörden-Inspektoren und Kongress-Ausschüsse, soweit dies auf Behördenverträge anwendbar ist.

7. Richtliniengovernance und administrativer Rahmen

Administrative Befugnis und Gerichtsbarkeitsrahmen

Diese Datenschutzerklärung wird von der CypSec Group als maßgeblicher Rahmen verwaltet, der alle Verarbeitungsvorgänge personenbezogener Daten regelt, die im Rahmen von Cybersicherheitsoperationen durchgeführt werden. Die Erklärung etabliert einheitliche Schutzstandards über alle Operationen hinweg, während gleichzeitig anerkannt wird, dass spezifische Behördenverträge, klassifizierte Vereinbarungen und nationale Sicherheitsrichtlinien zusätzliche Anforderungen auferlegen können, die allgemeine Bestimmungen dort außer Kraft setzen, wo dies durch einschlägiges Recht oder übergeordnete Sicherheitsinteressen vorgeschrieben ist.

In Umständen, in denen widersprüchliche Anforderungen zwischen dieser Erklärung und Behördenvertragsbestimmungen oder Beschaffungsvorschriften, nationalen Sicherheitsrichtlinien und klassifizierten Handhabungsverfahren, internationalen Verträgen oder bilateralen Abkommen, Nachrichtendienstaufsichtsmandaten oder Notfallrichtlinien für kritische Infrastrukturschutz entstehen, gilt der schutzintensivste anwendbare Standard, der behördliche Sicherheitsanforderungen erfüllt. Alle Konflikte werden durch formale Rechtsprüfung mit angemessener Behördenkoordination gelöst, soweit klassifizierte Informationen betroffen sind.

Technische Implementierung und Tracking-Technologien

CypSec nutzt Cookies und vergleichbare Tracking-Technologien ausschließlich zur Aufrechterhaltung sicherer Authentifizierungssitzungen und Verhinderung unbefugten Zugriffs, Bedrohungserkennung und Anomalieidentifikation innerhalb von Kundenumgebungen, Leistungsüberwachung von Sicherheitsinfrastrukturen und -reaktionssystemen sowie Compliance-Verifizierung mit behördlichen Sicherheitsanforderungen. Wesentliche Cookies, die für sichere Plattformoperationen notwendig sind, werden ohne individuelle Einwilligung bereitgestellt. Nicht-essentielle Tracking-Technologien werden nur implementiert, soweit dies durch einschlägiges Recht ausdrücklich autorisiert und angemessenen Sicherheitsaufsichtsmechanismen unterliegt.

Alle technischen Implementierungen nutzen behördlich genehmigte Verschlüsselungsstandards und werden über sichere Kommunikationskanäle durchgeführt, die einschlägige Klassifizierungsanforderungen erfüllen. Tracking-Daten werden gemäß etablierter Pläne aufrechterhalten, die mit nationalen Sicherheitsaufbewahrungsanforderungen und behördlichen Prüfverpflichtungen abgestimmt sind, wobei der Zugriff strikt auf Personal mit angemessenen Sicherheitsfreigaben und Need-to-Know-Autorisierung beschränkt ist.

Altersbeschränkungen und Minderjägtenschutzprotokolle

CypSec-Dienstleistungen sind für autorisiertes Behördenpersonal, zertifizierte Auftragnehmer, validierte kommerzielle Einheiten, die innerhalb genehmigter Sicherheitsrahmen operieren, und Personen, die privatsphäreschonende Technologien benötigen, konzipiert und beschränkt. Das Unternehmen erhebt nicht wissentlich personenbezogene Daten von Personen unter sechzehn Jahren. Soweit versehentliche Erhebung erkannt wird, werden derartige Daten unverzüglich gelöscht, sofern die Aufbewahrung nicht durch laufende Bedrohungsuntersuchungen, Sicherheitsincident-Response-Anforderungen, behördliche Prüf- oder Aufsichtsverpflichtungen, einschlägige gesetzliche Aufbewahrungsmandate oder nationale Sicherheitsinteressen, die fortwährende Verarbeitung erfordern, vorgeschrieben ist.

Alle Altersverifizierungsverfahren werden durch sichere Authentifizierungsmechanismen implementiert, die die Autorisierung für den Zugang auf klassifizierte Systeme und sensible Informationen verifizieren. Verarbeitungsaktivitäten, die Minderjährige betreffen, unterliegen verbesserter Aufsicht und unverzüglicher Prüfung durch angemessene Behördenvertreter und Vertragsbeamte.

Richtlinienmodifikation und Aktualisierungsverfahren

Diese Erklärung kann aktualisiert werden, um Modifikationen in einschlägigen Datenschutzgesetzen oder behördlichen Beschaffungsvorschriften, Verbesserungen von Sicherheitstechnologien und Bedrohungserkennungsfähigkeiten, Änderungen von Vertragsanforderungen oder Klassifizierungsleitfäden, Entwicklungen internationaler Datenübertragungsmechanismen oder betriebliche Anforderungen für erweiterte Cybersicherheitsfähigkeiten widerzuspiegeln. Aktualisierte Versionen werden über sichere Benachrichtigungskanäle verbreitet.

Wesentliche Modifikationen, die internationale Datenübertragungsmechanismen, behördliche Aufsichts- oder Prüfverfahren, Sicherheitsklassifizierungshandhabungsanforderungen, Haftungsbeschränkungen oder Gewährleistungsbestimmungen oder Streitbeilegungsverfahren für Behördenverträge betreffen, werden durch formale Vertragsmodifikationsverfahren mit angemessener Vorankündigung kommuniziert, wie sie durch einschlägige Beschaffungsvorschriften vorgeschrieben ist. Alle wesentlichen Änderungen erfordern Anerkennung durch autorisierte Behördenvertreter vor Implementierung.

Governance-Struktur und Regulierungskonformität

CypSec unterhält umfassende Governance-Mechanismen einschließlich Ernennung qualifizierter Datenschutzbeauftragter mit angemessenen Sicherheitsfreigaben für den Umgang mit klassifizierten Informationen, Etablierung von Behördenverbindungsbüros zur Koordination mit Vertragsbehörden, Implementierung formaler Prüfverfahren für alle Richtlinienmodifikationen, die Behördenverträge betreffen, Aufrechterhaltung von Aufsichtsausschüssen mit Vertretung von Rechts-, Sicherheits- und Behördenbeziehungsfunktionen sowie Koordination mit angemessenen Aufsichtsbehörden und Nachrichtendienstaufsichtsgremien, wie sie durch einschlägiges Recht vorgeschrieben sind.

Soweit durch einschlägiges Recht vorgeschrieben, bezeichnet CypSec Vertreter innerhalb einschlägiger Gerichtsbarkeiten gemäß Artikeln 27 und 37 der Datenschutz-Grundverordnung. Alle Vertreter unterhalten angemessene Sicherheitsfreigaben und sind autorisiert, mit Aufsichtsbehörden in Angelegenheiten, die klassifizierte Informationen betreffen, zu koordinieren, Verfahren zur Rechtsausübung vorbehaltlich nationaler Sicherheitseinschränkungen zu erleichtern, Verletzungsbenachrichtigungsprozesse mit angemessener Behördenkoordination zu verwalten und als Verbindungspunkte für Regulierungsanfragen zu dienen, die Sicherheitsfreigabeverifizierung erfordern.

Diese Erklärung fungiert als definitiver Governance-Rahmen für alle Verarbeitungsvorgänge personenbezogener Daten und tritt an die Stelle aller vorherigen Richtlinien, Verfahren und informellen Praktiken. Alle Verarbeitungsaktivitäten werden unter ausdrücklicher Anerkennung durchgeführt, dass der Schutz nationaler Sicherheitsinteressen und kritischer Infrastrukturen eine Priorisierung kollektiver Sicherheitsziele gegenüber individuellen Präferenzen erforderlich machen kann, soweit eine solche Priorisierung durch einschlägige Rechtsrahmen und behördliche Weisungen autorisiert ist.