Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden ,,Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden ,,schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
- Hardware- und Softwareinstallation
- Verwalten und Einrichten von Benutzerprofilen
- Datensicherung und Datenrücksicherung
- Fehleranalyse und Problembehebung beim Anwender vor Ort und per Fernwartung
- Verwalten und Überwachung der gesamten IT-Infrastruktur.
- Dokumentation jeglicher Art in dem Ticketsystem (support.onig.eu): Computernamen, IP-Adressen, Computertypen, Druckermodelle, Passwörter jeglicher Art, Internetzugangsdaten, Benutzerinformationen, TeamViewer-IDs, E-Mails, Dokumente, Datenbanken, Bilder, Infrastrukturen, Programminformationen, Auftragsinformationen, Webseiten und Webinformationen.
Gegenstand sind alle Informationen, sowohl Personen bezogener Natur, als auch nicht personenbezogener Natur, die während der Zeit der Zusammenarbeit auf unbegrenzten Weg eingeholt werden. Die exakte Art der Informationen ergibt sich aus dem jeweils angeforderten Auftrag. Für eine nicht Speicherung bei einem Auftrag, muss spezifisch angegeben werden, welche Informationen nicht gespeichert werden sollen, sondern nur für den temporären Auftrag zur Verfügung stehen.
Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Verantwortlichen im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die Dauer dieses Auftrags (Laufzeit) beginnt bei Vertragsabschluss und die Laufzeit beträgt den Zeitraum der Zusammenarbeit. Das genaue Enddatum der Beendigung beträgt das Datum der Kündigung der Zusammenarbeit in Schriftlicher Form.
Der Auftragnehmer führt keine klassische Auftragsdatenverarbeitung gemäß Art. 28 DS-GVO für den Auftraggeber durch. Es handelt sich um Support-, Wartungs- oder Entwicklungs- Tätigkeiten, bei denen ein Zugriff auf personenbezogene Daten des Auftraggebers nicht ausgeschlossen werden kann. Eine gezielte Verarbeitung dieser Daten findet nicht statt.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Kommunikationsdatei (z.B. Telefon, E-Mail)Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- KundenFür die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers werden während der Registrierung festgelegt.
Für Weisung zu nutzende Kommunikationskanäle:
info@onig.eu
DE - 089 456 637 11
Waldluststr. 70
85540 Haar
Bei einem Wechsel oder einer längerfristigen Verhinderung per Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet dem Grundsatze ordnungsgemäßer Datenverarbeitung.
Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenkonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbestanden strikt getrennt werden.
Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich, angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO).
Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber- grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).
Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mit-wirkt.
Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privat-wohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.
Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:
- BankgeheimnisDer Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
Verantwortlich für den Datenschutz beim Auftragnehmer ist:
Open Network IT Group GmbH
Waldluststr. 70
85540 Haar
DE - 089 456 637 11
info@onig.eu
Der Auftragsnehmer ist nur mit Zustimmung des Auftraggebers zum Einsatz von Unterauftragsverarbeitern (Subunternehmer) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden und durch den Auftraggeber ausdrücklich bestätigten Subunternehmerverhältnisse des Auftragsverarbeiters sind diesem Vertrag aufgelistet. Für die aufgezählten Subunternehmer gilt die Zustimmung mit Unterzeichnung dieses Vertrags als erteilt.
Beabsichtigt der Auftragsnehmer den Einsatz weiterer Subunternehmer, wird er dies dem Auftraggeber in schriftlicher oder elektronischer Form in einer angemessenen Frist anzeigen, mindestens jedoch drei Wochen vor der Beauftragung des neuen Subunternehmers, damit er dessen Einsatz prüfen kann. Der Auftraggeber behält sich eine zweiwöchige Einspruchsfrist vor. Erfolgt innerhalb dieser Frist ein Einspruch durch den Auftraggeber, dürfen die betroffenen Subunternehmer nicht eingesetzt werden.
Der Auftragnehmer muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfung und Inspektionen, auch vor Ort, bei Subunternehmern durchzufuhren oder durch von ihm beauftragte Dritte durchführen zu lassen.
Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).
Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.
Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subuntenehmer(s) regelmäßig zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zuganglich zu machen.
Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
Zurzeit sind für den Auftragnehmer folgende Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt:
TAROX AktiengesellschaftMit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehme, wodurch der Auftraggeber die Möglichkeit erhalt, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele van Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren-Belastbarkeit in Bezug auf Art, Umfang, Umstande und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen (Anhang 1) das Risiko auf Dauer eingedämmt wird.
Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzufuhren (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen.
Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen.
Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
Die Maßnahmen beim Auftragnehmer können im Laufe des Auftrags Verhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.
Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.
Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftrags Verhältnis stehen, ·
dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht zu loschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Die Vergütung des Auftragnehmers für die im Rahm en dieses Vertrags zu erbringenden Leistungen erfolgt leistungsbezogen zu den in der Leistungsvereinbarung festgelegten Konditionen.
Auf Art. 82 DS-GVO wird verwiesen.
Im Übrigen wird folgendes vereinbart:
(1) Für den Ersatz von Schaden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Ramen des Auftrags Verhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.Die Parteien verpflichten sich, im Falle einer sich aus diesem Vertrag ergebenden oder sich darauf beziehenden
Streitigkeit vor Klageerhebung bei einem ordentlichen Gericht (oder Schiedsgericht) eine Mediation nach den Bestimmungen des IHK-Mediations Zentrums der Industrie- und Handelskammer für München und Oberbayern durchzuführen.
Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind van beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
I. Zutrittskontrolle
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle):
• Manuelles Schließsystem
• Absicherung von Gebäudeschächten
• Videoüberwachung der Zugänge
• Besucher: nur in Begleitung durch Mitarbeiter
II. Zugangskontrolle
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle):
• Eindeutige Kennung für jeden Nutzer (keine Gruppenkennungen)
• Benutzer- und Rollenkonzept für Beschäftigte existiert
• Rollen werden regelmäßig (1x pro Jahr) überprüft
• Authentifikation mit Benutzername /Passwort
• Passwörter: Automatische Sperrung bei zu vielen Fehlversuchen
• Passwörter: Richtlinie zur Passwortlänge (mind. 10 Zeichen mit Sonderzeichen) existiert
• Passwörter: Zentrale Passwortvergabe
• Passwörter: Passwörter werden nicht per Mail übermittelt
• Passwörter: Passwörter werden im Verdachtsfall gesperrt und neu vergeben
• Passwörter: Beschäftigte sind informiert, dass Passwörter nicht auf Zettel oder Pinwände aufgezeichnet werden dürfen
• Passwörter: Automatische Sperrung bei zu vielen Fehlversuchen
• Automatische Bildschirmsperrung
• Blockieren von gefährlichen E-Mail-Anhängen (.doc, .exe, .cmd)
• Nur aktuelle Software und Betriebssysteme einsetzen (Sicherheitsupdates)
• Autostart von externen Medien ist deaktiviert
• Geräteverwaltung (Inventarliste) existiert
• Verschlüsselung von mobilen Datenträgern
• Verschlüsselung von Datenträgern in Notebooks
• Einsatz einer Hardware-Firewall
• Einsatz von Intrustion-Detection/Intrusion Prevention-Systemen
• Einsatz von Anti-Viren-Software auf dem Server
• Einsatz von Anti-Viren-Software auf den Clients
III. Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):
• Verwaltung der Rechte durch Systemadministrator
• Anzahl der Administratoren ist das „Notwendigste“ reduziert
• physische Löschung von Datenträgern vor Wiederverwendung durch andere Mitarbeiter
• Einsatz von Aktenvernichtern bzw. Dienstleistern (nach DIN 32757, DIN 66399)
• Einsatz von Aktenshreddern (mind. Stufe 3, cross cut)
IV. Trennungsgebot
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
• Logische Mandantentrennung (softwareseitig)
• Trennung von Produktiv- und Testsystem
V. Weitergabekontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle):
• E-Mail-Verschlüsselung auf dem Transport (TLS 1.2, TLS 1.3)
• Bereitstellungen von verschlüsselten Verbindungen (sftp, https)
VI. Eingabekontrolle
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
• Klare Zuständigkeit für Löschungen definiert
• Protokollierung der Eingabe, Änderung und Löschung von Daten
VII. Verfügbarkeitskontrolle
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
• WLAN ist abgesichert (WPA mind. 24-stelligem Passwort)
• Trennung von Anwendungen und Datenhaltung auf dem Server
• Patchmanagement bei Server existiert
• Backup: Existenz eines Backup- & Recoverykonzepts
• Backup: Alle Ordner und Laufwerke mit personenbezogenen Daten sind enthalten
• Backup: Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
• Serverräume: Feuerlöschgeräte/Feuerlöschsystem in Serverräumen
• Serverräume: Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Serverräume: Unterbrechungsfreie Stromversorgung (USV)
• Testen von Datenwiederherstellung
• Feuer- und Rauchmeldeanlagen
VIII. Auftragskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
• schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag)
• Beim Auftragsverarbeiter existiert ein Prozess zur Meldung von Datenschutzpannen
• Beim Datentransfer in Drittländer existiert ein wirksamer Schutzmechanismus
• Sub-Dienstleister dürfen nur nach Benachrichtigung des Auftraggebers eingesetzt werden
• Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
• Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (z.B. durch Zertifikate wie ISO 27001)
IX. Organisationskontrolle
Folgende organisatorischen Maßnahmen wurden getroffen, um datenschutzkonforme Prozesse bei der Verarbeitung von personenbezogenen Daten zu garantieren (Organisationskontrolle):
• Ein Datenschutzbeauftragter ist bestellt
• Verschwiegenheitserklärung für externe Dienstleister existiert
• Dokumentation von Sicherheitsvorfällen existiert (Security Reporting)
• Formalisierter Prozess zur Meldung von Datenschutzpannen ist vorhanden
• Formalisierter Prozess zur Bearbeitung von Betroffenenanfragen ist vorhanden
• Konzepte und Dokumentationen im Sicherheitsumfeld werden regelmäßig überprüft
• Der Verantwortliche kommt seinen Informationspflichten nach Art. 13 und 14 DSGVO nach
• DSFA wird bei Bedarf durchgeführt
• Mitarbeiter auf Vertraulichkeit/Datengeheimnis verpflichtet
• Jährliche Mitarbeiterschulung zum Datenschutz
• Jährliche Mitarbeiterschulung zur Informationssicherheit
• Überprüfung der technisch-organisatorischen Maßnahmen, mindestens jährlich (nach dem PDCA-Zyklus)