Anlage zum Vertrag: Vertrag zur Auftragsverarbeitung
Diese Vereinbarung wird zwischen den Parteien als ergänzende Regelung, zur Einhaltung der datenschutzrechtlichen Regelungen gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) getroffen und konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen den Parteien geschlossenen Vertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben.
.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
1. Gegenstand des Vertrages
1.1. Der Auftragnehmer (wir) erbringt für den Auftraggeber (Sie) Leistungen, insbesondere im Bereich der Bereitstellung von web- bzw. cloudbasierter Softwareanwendung, auf Grundlage des diesbezüglich zwischen den Parteien geschlossenen Vertrages (nachfolgend als „Hauptvertrag“ bezeichnet). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag. Die Datenverarbeitung erfolgt zum Zwecke der Erfüllung der Verpflichtungen der Auftraggeber bzw. gegenüber ihren Endkunden. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
1.2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrages vor.
1.3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei dem Auftragnehmer und seinen Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen.
2. Art der verarbeiteten Daten, Kreis der Betroffenen
2.1. Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf personenbezogenen Daten. Diese Daten umfassen:
· Kontaktdaten über Formulare
· Eingaben im Rahmen der Terminplanung
· Protokolldaten (z. B. Logfiles über Nutzungsvorgänge)
· Internetnutzungsdaten (z. B. IP-Adresse, Besuchszeit, Datum, Land)
· Namen, Adress- und Kontaktdaten von Kunden und Mitarbeiter des Auftraggebers
· weitere Daten von Dritten, die von dem Auftraggeber verarbeitet werden
2.2. Kreis der von der Datenverarbeitung Betroffenen:
· Beschäftigte des Auftraggebers
· Kunden des Auftraggebers
3. Laufzeit
3.1. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
3.2. Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
4. Weisungsrecht
4.1. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.
4.2. Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können von dem Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
4.3. Alle erteilten Weisungen sind sowohl von dem Auftraggeber als auch von dem Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
4.4. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
5. Allgemeine Pflichten und Schutzmaßnahmen des Auftragnehmers, Vertraulichkeit
5.1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
5.2. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO. Dem Auftraggeber sind diese in der im Anhang 1 zu dieser Vereinbarung dargestellten, technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
5.3. Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Zusammenhang mit dem Hauptvertrag im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.
5.4. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch die Auftragnehmer, bei ihr im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Dies gilt nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einer spürbaren Beeinträchtigung für die Rechte und Freiheiten natürlicher Personen führt.
5.5. Der Auftragnehmer wird seinen Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.
5.6. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 33-36 DSGVO genannten Pflichten, soweit der Auftraggeber auf die Unterstützung des Auftragnehmers angewiesen ist.
5.7. Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird seine Beschäftigten und durch ihn Beauftragte, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden, entsprechend verpflichten und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
6. Kontrollrechte des Auftraggebers
6.1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren
6.2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf seine schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle im Sinne des Absatz 1 erforderlich sind.
6.3. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese Kontrollen von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.
6.4. Für die Ermöglichung der Kontrollrechte durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
6.5. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.
7.1. Der Auftraggeber stimmt zu, dass der Auftragnehmer die in Anhang 2 genannten Subunternehmer zur Erfüllung der vertraglich vereinbarten Leistungen hinzuzieht. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Vor Hinzuziehung weiterer oder Ersetzung der bisherigen Subunternehmer informiert der Auftragnehmer den Auftraggeber. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten.
7.2. Der Auftraggeber kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber dem Auftraggeber widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftraggeber ein Sonderkündigungsrecht eingeräumt.
7.3. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln und ggf. Schaffung weiterer Garantien).
7.4. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
8. Anfragen und Rechte Betroffener
8.1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.
8.2. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, der Pflicht des Auftraggebers zur Beantwortung und Erfüllung von Anfragen von Betroffenen nach den Art. 12 - 23 DSGVO nachzukommen, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
9. Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
10. Beendigung des Hauptvertrages
10.1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger, sowie erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen zurückgeben, soweit der Auftraggeber darauf nicht selbst Zugriff nehmen kann, oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – zu löschen. Dies betrifft auch etwaige Datensicherungen bei dem Auftragnehmer.
10.2. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus so lange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
ANHANG
Anhang 1 – Technische und organisatorische Maßnahmen der Auftragnehmer
Anhang 2 – Liste genehmigter Subunternehmer der Auftragnehmer
Anhang 1:
Technische und organisatorische Maßnahmen des Auftragnehmers zum Datenschutz gemäß Art. 32 DSGVO
Technische und organisatorische Maßnahmen (TOM)
i.S.d. Art. 32 DSGVO
Stand
Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Alarmanlage |
☐Schlüsselregelung / Liste |
|
☐Automatisches Zugangskontrollsystem |
☐Empfang / Rezeption / Pförtner |
|
☐Biometrische Zugangssperren |
☐Besucherbuch / Protokoll der Besucher |
|
☐Chipkarten / Transpondersysteme |
☐Mitarbeiter- / Besucherausweise |
|
☐Manuelles Schließsystem |
☐Besucher in Begleitung durch Mitarbeiter |
|
☐Sicherheitsschlösser |
☐Sorgfalt bei Auswahl des Wachpersonals |
|
☐Schließsystem mit Codesperre |
☐Sorgfalt bei Auswahl Reinigungsdienste |
|
☐Schließsystem per App |
|
|
☐Türen mit Knauf Außenseite |
|
|
☐ Klingelanlage mit Kamera |
|
|
☐Videoüberwachung der Eingänge |
|
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Login mit Benutzername + Passwort |
☐Verwalten von Benutzerberechtigungen |
|
☐Login mit biometrischen Daten |
☐Erstellen von Benutzerprofilen |
|
☐Anti-Viren-Software Server |
☐Zentrale Passwortvergabe |
|
☐Anti-Virus-Software Clients |
☐Richtlinie „Sicheres Passwort“ |
|
☐Anti-Virus-Software mobile Geräte |
☐Richtlinie „Löschen / Vernichten“ |
|
☐Firewall |
☐Richtlinie „Clean desk“ |
|
☐Intrusion Detection Systeme |
☐Allg. Richtlinie
Datenschutz und / oder |
|
☐Mobile Device Management |
☐Mobile Device Policy |
|
☐Einsatz VPN bei Remote-Zugriffen |
☐Anleitung „Manuelle Desktopsperre“ |
|
☐Verschlüsselung von Datenträgern |
|
|
☐Verschlüsselung Smartphones |
|
|
☐Gehäuseverriegelung |
|
|
☐BIOS Schutz (separates Passwort) |
|
|
☐Sperre externer Schnittstellen (USB) |
|
|
☐Automatische Desktopsperre |
|
|
☐Verschlüsselung von Notebooks / Tablet |
|
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Aktenschredder (mind. Stufe 3, cross cut) |
☐Einsatz Berechtigungskonzepte |
|
☐Externer Aktenvernichter (DIN 32757) |
☐Minimale Anzahl an Administratoren |
|
☐Physische Löschung von Datenträgern |
☐Datenschutztresor |
|
☐Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten |
☐Verwaltung Benutzerrechte durch Administratoren |
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Trennung von Produktiv- und Test- umgebung |
☐Steuerung über Berechtigungskonzept |
|
☐Physikalische Trennung (Systeme / Datenbanken / Datenträger) |
☐Festlegung von Datenbankrechten |
|
☐Mandantenfähigkeit relevanter Anwendungen |
☐Datensätze sind mit Zweckattributen ver- sehen |
1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Auf- bewahrung in getrenntem und abge- sicherten System (mögl. verschlüsselt) |
☐ Interne Anweisung,
personenbezogene |
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Email-Verschlüsselung (S/MIME / PGP) ☐Email-Signatur (S/MIME / PGP) |
☐Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen |
|
☐Einsatz von VPN |
☐Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen |
|
☐Protokollierung der Zugriffe und Abrufe |
☐Weitergabe in anonymisierter oder pseudonymisierter Form |
|
☐Sichere Transportbehälter |
☐Sorgfalt bei Auswahl von Transport- Personal und Fahrzeugen |
|
☐Bereitstellung über verschlüsselte Verbindungen wie sftp, https |
☐Persönliche Übergabe mit Protokoll |
|
☐Nutzung von Signaturverfahren |
|
2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Technische Protokollierung der Eingabe, Änderung und Löschung von Daten |
☐ Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können |
|
☐Manuelle oder automatisierte Kontrolle der Protokolle |
☐ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) |
|
|
☐ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
|
|
☐ Aufbewahrung von Formularen, von denen Daten in automatisierte Verar- beitungen übernommen wurden |
|
|
☐ Klare Zuständigkeiten für Löschungen |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Feuer- und Rauchmeldeanlagen |
☐Backup & Recovery-Konzept (ausformuliert) |
|
☐Feuerlöscher Serverraum |
☐Kontrolle des Sicherungsvorgangs |
|
☐Serverraumüberwachung Temperatur und Feuchtigkeit |
☐Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse |
|
☐Serverraum klimatisiert |
☐Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums |
|
☐USV |
☐Keine sanitären Anschlüsse im oder oberhalb des Serverraums |
|
☐Schutzsteckdosenleisten Serverraum |
☐Existenz eines Notfallplans (z.B. BSI IT Grundschutz 100-4) |
|
☐Datenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quell- dichtung etc.) |
☐Getrennte Partitionen für Betriebs- systeme und Daten |
|
☐RAID System / Festplattenspiegelung |
|
|
☐Videoüberwachung Serverraum |
|
|
☐Alarmmeldung bei unberechtigtem Zutritt zu Serverraum |
|
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1. Datenschutz-Management
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Software-Lösungen für Datenschutz- Management im Einsatz |
☐ Interner / externer Datenschutzbeauftragter
|
|
☐Zentrale Dokumentation aller Verfahrens- weisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …) |
☐Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet |
|
☐Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12 ☐Alternatives Informationssicherheits- konzept
|
☐Regelmäßige Sensibilisierung der Mitarbeiter Mindestens jährlich |
|
☐Anderweitiges dokumentiertes Sicherheits-Konzept |
☐Interner / externer Informationssicherheits- Beauftragter Name / Firma Kontakt
|
|
☐Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt |
☐Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt |
|
|
☐Die Organisation kommt den Informations- pflichten nach Art. 13 und 14 DSGVO nach |
|
|
☐Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden |
4.2. Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Einsatz von Firewall und regelmäßige Aktualisierung |
☐Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten- Pannen (auch im Hinblick auf Meldepflicht) gegenüber Aufsichtsbehörde) |
|
☐Einsatz von Spamfilter und regelmäßige Aktualisierung |
☐Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
|
|
☐Einsatz von Virenscanner und regelmäßige Aktualisierung |
☐Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen |
|
☐Intrusion Detection System (IDS) |
☐Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem |
|
☐Intrusion Prevention System (IPS) |
☐Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvor- fällen und Datenpannen |
4.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
Privacy by design / Privacy by default
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind |
|
|
☐Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maß- nahmen |
|
4.4. Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
|
Technische Maßnahmen |
Organisatorische Maßnahmen |
|
☐Vorherige Prüfung der vom Auftrag- nehmer getroffenen Sicherheitsmaß- nahmen und deren Dokumentation |
|
|
|
☐Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicher- Heit) |
|
|
☐Abschluss der notwendigen Vereinbarung zur
Auftragsverarbeitung bzw. EU Standard- |
|
|
☐Schriftliche Weisungen an den Auftrag- nehmer |
|
|
☐Verpflichtung der Mitarbeiter des Auftrag- nehmers auf Datengeheimnis |
|
|
☐Verpflichtung zur Bestellung eines Daten- schutzbeauftragten durch den Auftrag- nehmer bei Vorliegen Bestellpflicht |
|
|
☐Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer |
|
|
☐Regelung zum Einsatz
weiterer Sub- |
|
|
☐Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags |
|
|
☐Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus |
Anhang 2:
Genehmigte Subunternehmer
Die nachfolgenden Unternehmen sind genehmigte Unterauftragnehmer im Sinne der Ziff. 7:
|
# |
Name |
Betreibergesellschaft |
Anschrift des Unterauftragnehmers |
Ort der Datenverarbeitung |
Einsatzbereich im Rahmen des Vertrags |
|
1 |
|
|
|
|
|
|
2 |
|
|
|
|
|
|
3 |
|
|
|
|
|
|
4 |
|
|
|
|
|
|
5 |
|
|
|
|
|
|
6 |
|
|
|
|
|
|
7 |
|
|
|
|
|
|
8 |
|
|
|
|
|
|
9 |
|
|
|
|
|
|
10 |
|
|
|
|
|
|
11 |
|
|
|
|
|
|
12 |
|
|
|
|
|
|
13 |
|
|
|
|
|
|
14 |
|
|
|
|
|