Bedingungen der Auftragsverarbeitung
Vorbemerkung
Diese Auftragsverarbeitungsvereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten oder wenigstens Zugriffsmöglichkeit haben.
Diese Bedingungen gelten in Bezug auf den Umgang mit personenbezogenen Daten vorrangig gegenüber anderen Regelungen der Vertragspartner. Etwaige Haftungsbeschränkungen, insbesondere in Hauptverträgen, gelten nicht.
1. Gegenstand, Dauer, Spezifizierung der Auftragsverarbeitung
- Die zwischen den Vertragspartnern bestehenden vertraglichen Vereinbarungen regeln auch den Gegenstand dieser Die Laufzeit der Auftragsverarbeitung richtet sich nach der Dauer der Zusammenarbeit der Vertragspartner insgesamt.
- Art und Zweck der vorgesehenen Verarbeitung von Daten sind IT-Dienstleistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
- Art der personenbezogenen Daten sind Personenstammdaten wie Geschlecht, Vorname, Nachname, Adresse; Kommunikationsdaten (Telefon, E-Mail), Vertragsdaten, Vertragsabrechnungs- und Zahlungsdaten, Kundenhistorie, Planungs- und Steuerungsdaten, ebenso Ein- und ausgehende E-Mails und sonstige Daten, IT-Nutzungsdaten (UserID, Passwörter), die im Zusammenhang mit der Erbringung der IT-Dienstleistung eingesehen werden können.
- Kategorien betroffener Personen sind Mitarbeiter, Kunden, Interessenten, Dienstleister, Lieferanten oder Ansprechpartner des Auftraggebers.
- Der Auftragnehmer verwendet die zur Kenntnis gelangten personenbezogenen Daten für keine anderen als den festgelegten Der Auftragnehmer darf die Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen.
- Die vertraglich vereinbarte Dienstleistung wird in einem Mitgliedsstaat der Europäischen Union, in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder in den mit dem Auftragnehmer verbundenen konzernangehörigen Unternehmen Mit den verbundenen Unternehmen sind Vereinbarungen zur Gewährleistung angemessenen Datenschutzniveaus über konzernweite Datenschutzvereinbarungen getroffen und Standardvertragsklauseln der EU vereinbart und können vom Auftraggeber jederzeit zur Kenntnis angefordert werden.
2. Weisungsbefugnisse des Auftraggebers
- Weisungsberechtigt auf Seiten des Aufraggebers ist der Auftraggeber selbst oder die von ihm beauftragten Werden Weisungen durch andere Personen erteilt, müssen diese von den berechtigten Personen bestätigt werden. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich per E-Mail.
- Der Auftragnehmer hat den Auftraggeber möglichst zeitnah darauf hinweisen, wenn er der Meinung ist, eine Weisung verstoße gegen Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
- Der Auftragnehmer verwendet die Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers.
3. Pflichten des Auftraggebers
- Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Daten sowie für die Wahrung der Rechte der Betroffenen Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen, wenn der Auftragnehmer dem Auftraggeber nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
- Der Auftraggeber ist Eigentümer der Daten und Inhaber aller etwaigen Rechte, die die Daten betreffen.
- Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Richtigkeit der Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
- Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
- Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
- Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer zu unterstützen.
- Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse dieses Vertrages.
5. Technische und organisatorische Maßnahmen
- Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber auf Anforderung zur Prüfung zu übergeben. Bis zum Widerspruch durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrages. Soweit die Prüfung/ein Audit des Auftraggebers ein Defizit in den dokumentierten technischen- organisatorischen Maßnahmen ergibt, dass die Sicherheit der Verarbeitung nicht gewährleistet, werden nach Darlegung der Abweichung durch den Auftraggeber diese Maßnahmen einvernehmlich umgesetzt. Der Auftragnehmer kann die Kosten für die Umsetzung ersetzt verlangen, wenn er Maßnahmen umsetzt, welche über die üblichen Maßnahmen hinausgehen.
- Der Auftragnehmer hat die Sicherheit Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.
6. Prüfung/Wartung eines Systems oder anderer Dienstleistungen; auch über Fernzugriff
Für die Durchführung von Zugriffen bei der Installation, Prüfung und/oder Wartung von Software oder von Datenverarbeitungsanlagen oder bei Zugriffen für andere Dienstleistungen gelten ergänzend folgende Rechte/Pflichten des Auftraggebers/Auftragnehmers:
- Zugriffe im Rahmen von Installations-, Prüfungs- und/oder Wartungsarbeiten werden ausschließlich nach Freigabe durch den jeweiligen Berechtigten / zuständigen Mitarbeiter des Auftraggebers durchgeführt.
- Fernzugriffe im Rahmen von Installations-, Prüfungs- und/oder Wartungsarbeiten werden, sofern hierbei ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, ausschließlich mit Zustimmung des Auftraggebers ausgeführt.
- Die Mitarbeiter des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren.
- Fernzugriffe im Rahmen von Installations-, Prüfungs- und/oder Wartungsarbeiten werden dokumentiert und gegebenenfalls beim Auftraggeber protokolliert. Der Auftraggeber ist berechtigt, Prüfungs- und Wartungsarbeiten vor, bei und nach Durchführung zu Bei Fernzugriffen ist der Auftraggeber – soweit technisch möglich – berechtigt, diese von einem Kontrollbildschirm zu verfolgen und jederzeit abzubrechen.
- Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten nur in dem Umfang – auch in zeitlicher Hinsicht – Gebrauch machen, wie dies für die ordnungsgemäße Durchführung der beauftragten Arbeiten notwendig ist.
- Soweit bei der Leistungserbringung Tätigkeiten zur Fehleranalyse erforderlich sind, bei denen eine Kenntnisnahme (z.B. auch lesender Zugriff) oder ein Zugriff auf Produktions- und Echtdaten des Auftraggebers erfolgt, wird der Auftragnehmer die vorherige Einwilligung des Auftraggebers einholen.
- Tätigkeiten zur Fehleranalyse, bei denen ein Datenabzug der auf Produktions- und Echtdaten erfolgt, bedürfen der vorherigen Einwilligung des Auftraggebers. Bei Datenabzug der auf Produktions- und Echtdaten wird der Auftragnehmer diese Kopien, unabhängig von verwendeten Medium, nach Bereinigung des Fehlers löschen. auf Produktions- und Echtdaten dürfen nur zum Zweck der Fehleranalyse und ausschließlich auf dem bereitgestellten Equipment des Auftraggebers oder auf solchem des Arbeitnehmers verwendet werden, sofern die vorherige Einwilligung des Auftraggebers vorliegt. Produktions- und Echtdaten dürfen nicht ohne Zustimmung des Auftraggebers auf mobile Speichermedien (PDAs, USB-Speichersticks oder ähnliche Geräte) kopiert werden.
7. Mitteilung bei Verstößen des Auftragnehmers
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
- Hierzu gehören u.a.
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
- die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
- die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
- die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
- Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
8. Kontrollrechte des Auftraggebers
- Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach 28 DS-GVO überzeugen kann, wenn der Auftraggeber konkret vorträgt, dass technisch-organisatorische Maßnahmen das Schutzniveau des Art. 32 DSGVO unterschreiten und insgesamt die Sicherheit der Verarbeitung nicht mehr gewährleistet wird. Der Auftraggeber hat dann das Recht, in Abstimmung mit dem Auftragnehmer, Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.
- Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 1 anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit – B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 1 zu diesem Vertrag zu überzeugen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DS-GVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen.
- Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
- Der Auftraggeber hat den Auftragnehmer rechtzeitig (mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle gemäß den Vorgaben dieser Ziffer 8 pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.
- Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung, wenn die Art und Weise einer Kontrolle unverhältnismäßig den Auftragnehmer beeinträchtigt.
- Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
9. Unterauftragsverhältnisse
- Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
- Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) außerhalb der konzernangehörigen Unternehmen nur dann beauftragen, soweit:
- der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
- der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
- eine vertragliche Vereinbarung nach Maßgabe des 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
- Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung Die datenschutzrechtlichen Pflichten aus diesem Vertrag sind auf den weiteren Auftragsverarbeiter zu übertragen.
10. Rechte der Betroffenen
- Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
- Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
- Für den Fall, dass eine betroffene Person ihre Rechte auf Berichtigung, Löschung oder Sperrung von Daten oder auf Auskunft über die gespeicherten Daten, den Zweck der Speicherung und die Personen und Orte, an die Daten regelmäßig übermittelt werden, geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Der Auftragnehmer erhält vom Auftraggeber eine angemessene Entschädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand.
- Der Auftragnehmer wird es dem Auftraggeber ermöglichen, Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
11. Berichtigung, Einschränkung und Löschung von Daten
- Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
- Etwaiges Löschkonzept, Gewährleistung Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft sind unmittelbar durch den Auftraggeber sicherzustellen.
12. Löschung und Rückgabe von personenbezogenen Daten
- Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt.
13. Verhältnis zum Hauptvertrag
- Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor.
- Bestand der Zusatzvereinbarung werden folgende Anlagen:
Anlage „Technische und organisatorische Maßnahmen“
14. Aufhebung bisheriger Vereinbarungen
- Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung ersetzt werden.
15. Verweise auf die DS-GVO
- Alle in dieser Vereinbarung enthaltenen Verweise auf die DS-GVO gelten für die DS-GVO in ihrer jeweils aktuellen Fassung etwaige Nachfolgeregelungen.
Anlage I
TOM´s-Technisch-organisatorische Maßnahmen
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle je nach Standort:
- Technische Maßnahmen: Alarmanlage; manuelles Schließsystem; Sicherheitsschlösser; Türen mit Knauf auf der Außenseite; Klingelanlage mit Kamera
- Organisatorische Maßnahmen: Schlüsselregelung / Liste; Empfang
- Zugangskontrolle
- Technische Maßnahmen: Login mit Benutzername & Passwort; Anti-Virus-Software Server; Anti-Virus-Software Clients; Firewall; Intrusion Detection Systeme; VPN bei Remote-Zugriffen; Verschlüsselung von Datenträgern; Verschlüsselung von Smartphones; BIOS Schutz (separates Passwort); automatische Desktopsperre; Verschlüsselung von Notebooks
- Organisatorische Maßnahmen: Verwalten von Benutzerberechtigungen; Erstellen von Benutzerprofilen; Richtlinie „sicheres Passwort“; Clean Desk Policy; Allg. Richtlinie Datenschutz, Sicherheit und Systemnutzung; Anleitung „manuelle Desktopsperre“; 2F-Authentifizierung
- Zugriffskontrolle
- Technische Maßnahmen: Aktenshredder Crosscut; externer Aktenvernichter (DIN 66399); Löschung von Datenträgern nach mil. Standard
- Organisatorische Maßnahmen: Einsatz Berechtigungskonzepte; minimale Anzahl an Administratoren; Verwaltung Benutzerrechte durch Administratoren
- Trennungskontrolle
- Technische Maßnahmen: Trennung von Produktiv- und Testumgebung; physikalische Trennung (Systeme/Datenbanken/Datenträger)
- Organisatorische Maßnahmen: Steuerung über Berechtigungskonzept; Festlegen von Datenbankrechten
- Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
- Technische Maßnahmen: Email-Verschlüsselung; Einsatz von VPN; Protokollierung der Zugriffe und Abrufe; Nutzung von Signaturverfahren
- Eingabekontrolle
- Technische Maßnahmen: technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Organisatorische Maßnahmen: Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen); Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Verfügbarkeitskontrolle
- Technische Maßnahmen: Feuer- und Rauchmeldeanlagen; Feuerlöscher Serverraum; Serverraumüberwachung Temperatur und Feuchtigkeit; klimatisierter Serverraum; USV; Schutzsteckdosenleisten Serverraum; RAID-System
- Organisatorische Maßnahmen: Backup & Recovery- Konzept; Kontrolle des Sicherungsvorgangs; regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse; keine sanitären Anschlüsse im oder oberhalb des Serverraums; getrennte Partitionen für Betriebssysteme und Daten
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Organisatorische Maßnahmen: externer Datenschutzbeauftragter (Helga Turku, Heward Mills Ltd, Karl-Marx-Straße 97-99, 12043 Berlin, dsgvo@exclusive-networks.de) Mitarbeiter werden regelmäßig geschult und sind auf Vertraulichkeit/Datengeheimnis verpflichtet
- Incident-Response-Management
Technische Maßnahmen: Einsatz von Firewall und regelmäßige Aktualisierung; Einsatz von Spamfilter und regelmäßige Aktualisierung; Einsatz von Virenscanner und regelmäßige Aktualisierung; Intrusion Detection System (IDS); Intrusion Prevention System (IPS)
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, wie z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl der Dienstleister, Vorabüberzeugungspflicht, Nachkontrollen
(Stand: September 2021)
Die Bedingungen der Auftragsverarbeitung finden Sie auch hier zum Download als PDF: DOWNLOAD