Vereinbarung zur Datenverarbeitung im Auftrag
© Diese Vereinbarung der rdts® AG (im folgenden „Auftragnehmer“ genannt) ist urheberrechtlich geschützt. (Stand: 3. April 2018)
Regelung zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag gemäß Art. 28 DS-GVO
§ 1 Regelungsgegenstand
1) Im Rahmen der Leistungserbringung, welche das Testen, Mieten und Versiegeln von virtuellen Datenräumen umfassen kann, ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit „Auftraggeber-Daten“ zur Durchführung des Vertrags über das Testen oder Mieten eines oder mehrerer Datenräume.
2) Verweise auf die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz 2018 (BDSG 2018) sind bis zum 24.05.2018 als Verweise auf das Bundesdatenschutzgesetz (BDSG) auszulegen. Sofern sich diese Vereinbarung auf Regelungen der DS-GVO bezieht, die über die Regelungen des BDSG hinausgehen oder den Regelungen des BDSG widersprechen, findet die jeweilige Vertragsregelung bis zum 24.05.2018 keine Anwendung.
§ 2 Art, Umfang, Zweck und Laufzeit der Auftragsdatenverarbeitung
1) Der Auftragnehmer erhebt, verarbeitet und nutzt die „Auftraggeber-Daten“ im Auftrag und nach Weisung des Auftraggebers i. S. v. Art. 28 DS-GVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“).
2) Die Verarbeitung der „Auftraggeber-Daten“ im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der „Auftraggeber-Daten“ und die dort bestimmten Kategorien betroffener Personen.
3) Der Auftragnehmer darf die „Auftraggeber-Daten“ im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung der betroffenen Person das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die „Auftraggeber-Daten“ anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere für statistische Zwecke.
4) Die Verarbeitung der „Auftraggeber-Daten“ findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Die Verarbeitung von „Auftraggeber-Daten“ außerhalb des EWR ist dem Auftragnehmer unter den Voraussetzungen des Art. 28 Abs. 3 DS-GVO gestattet. Der Auftraggeber erteilt hiermit aufgrund der in Anlage 2 nachgewiesenen Sicherheitsmaßnahmen seine Zustimmung zu der Übermittlung in die dort genannten Länder.
5) Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung der Datenräume. Eine Kündigung der Datenräume bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
§ 3 Weisungsbefugnisse des Auftraggebers
1) Der Auftragnehmer verwendet die „Auftraggeber-Daten“ ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des in der Online-Bestellung festgelegten Änderungsverfahrens, in dem auch die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.
2) Einzelweisungen des Auftraggebers sind grundsätzlich schriftlich oder zumindest in Textform durch die hierzu gemäß den nach den Absprachen befugten Personen des Auftraggebers zu erteilen. Mündliche Einzelweisungen bedürfen zu ihrer Wirksamkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch den Auftraggeber.
3) Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen.
§ 4 Pflichten des Auftraggebers
1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der „Auftraggeber-Daten“ sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von „Auftraggeber-Daten“ Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen, wenn und soweit den Auftragnehmer nicht eine eigene durch Gesetze begründete Haftung trifft.
2) Der Auftraggeber ist Eigentümer der „Auftraggeber-Daten“ und Inhaber aller etwaigen Rechte, die die „Auftraggeber-Daten“ betreffen.
3) Dem Auftraggeber obliegt es, dem Auftragnehmer die „Auftraggeber-Daten“ rechtzeitig zur Leistungserbringung nach der Bestellung zur Verfügung zu stellen, und er ist verantwortlich für die Qualität der „Auftraggeber-Daten“. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
§ 5 Pflichten der Auftragnehmers
1) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmen der Leistungserbringung in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.
2) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der „Auftraggeber-Daten“ anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß der Online-Bestellung (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
3) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen.
4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen Verpflichtungen gemäß Art. 32 bis 36 DS-GVO, insbesondere bei einer Datenschutz-Folgenabschätzung des Auftraggebers inklusive einer etwa notwendigen vorherigen Konsultation der zuständigen Aufsichtsbehörde. Hierzu wird der Auftragnehmer dem Auftraggeber im Rahmen des Zumutbaren Informationen zu den technischen und organisatorischen Maßnahmen sowie den von der Auftragsverarbeitung umfassten Datenverarbeitungsvorgängen zur Verfügung stellen. Die Erbringung von Unterstützungsleistungen bedarf der ausdrücklichen Vereinbarung der Parteien und ist in den entsprechenden Leistungsscheinen bzw. Einzelverträgen eingepreist. Sofern dies nicht der Fall ist, werden die Leistungen nach Maßgabe der jeweiligen Preisliste vorgenommen. Sofern individualisierte Leistungen erbracht werden, kann es sein, daß die Preise für die Erbringung dieser Leistungen erst nach Abschluß einer Planungsphase ausgewiesen werden können.
5) Der Auftragnehmer hat die bei der Verarbeitung von „Auftraggeber-Daten“ beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b) DS-GVO schriftlich zur Vertraulichkeit zu verpflichten.
6) Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten zu benennen, sofern und solange die gesetzlichen Voraussetzungen für eine Benennungspflicht gegeben sind.
7) Der Auftragnehmer unterliegt der behördlichen Aufsicht sowie den Bußgeld- und Strafvorschriften in Art. 82 bis 84 DS-GVO sowie in §§ 41 bis 43 BDSG 2018.
§ 6 Technische und organisatorische Maßnahmen
1) Der Auftragnehmer hat vor Beginn der Verarbeitung der „Auftraggeber-Daten“ die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten. Hierbei handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
§ 7 Mitzuteilende Verstöße des Auftragnehmers
1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit diesem Vertrag feststellt.
2) Soweit den Auftraggeber aufgrund eines Vorkommnisses nach § 7 Abs. 1 gesetzliche Informationspflichten wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen (insbesondere nach Art. 33 DS-GVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen.
§ 8 Kontrollrechte des Auftraggebers
1) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 9:00 bis 17:30 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen „Auftraggeber-Daten“ verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.
2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach § 8 Abs. 1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
4) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.
5) Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 500 € netto pro Kontrolle.
6) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser § 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
7) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt durch eine Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO sowie die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.
§ 9 Unterauftragsverhältnisse
1) Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung oder Nutzung von „Auftraggeber-Daten“ nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung.
2) Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung gem. der Online-Bestellung in Anspruch nimmt, auch wenn dabei ein Zugriff auf die „Auftraggeber-Daten“ nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste. Der Auftragnehmer wird mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen.
3) Zur Prüfung einer nach § 9 Abs. 1 erforderlichen Zustimmung hat der Auftragnehmer dem Auftraggeber eine Kopie der Vereinbarung zur Unterauftragsverarbeitung zur Verfügung zu stellen. Der Unterauftragsverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte nach § 8 dieses Vertrags einzuräumen.
4) Die Regelungen in dieser § 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der „Auftraggeber-Daten“ außerhalb des EWR verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 05.02.2010 oder ggf. später von der EU-Kommission oder der zuständigen Aufsichtsbehörde erlassener Standarddatenschutzklauseln zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 46 DS-GVO im erforderlichen Maße mitzuwirken.
§ 10 Rechte betroffener Personen
1) Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
2) Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Ausübung der ihr nach den Art. 15 ff. DS-GVO zukommenden Rechte wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
3) Für den Fall, dass eine betroffene Person, die ihr nach den Art. 15 ff. DS-GVO zukommenden Rechte geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann.
4) Der Auftragnehmer wird es dem Auftraggeber ermöglichen, „Auftraggeber-Daten“ zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder die personenbezogenen Daten an die betroffene Person oder einen von dieser benannten Dritten herauszugeben oder auf Verlangen des Auftraggebers die Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragung gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
§ 11 Rückgabe und Löschung überlassener Daten und Datenträger
1) Der Auftragnehmer hat sämtliche „Auftraggeber-Daten“ nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Online-Bestellung) zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch „Auftraggeber-Daten“ enthalten, an den Auftraggeber zurückzugeben.
2) Über eine Löschung bzw. Vernichtung von „Auftraggeber-Daten“ hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.
3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
§ 12 Verhältnis zur Online-Bestellung
Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen der Online-Bestellung. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus der Online-Bestellung, gehen die Regelungen aus diesem Vertrag vor.
____
Legende:
[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
[2] Bundesdatenschutzgesetz in der Fassung des Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, DSAnpUG-EU)
[3] Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 mit den zuletzt in Kraft getretenen Änderungen
Anlagen
Anlage 1: Zweck, Art und Umfang der Auftragserarbeitung, Art der Daten und Kategorien betroffener Personen
Anlage 2: Technische und organisatorische Maßnahmen inkl. Angaben zu Übermittlungen in Drittländer
Anlage 1
Zweck, Art und Umfang der Auftragsverarbeitung; Art der Daten und Kategorien betroffener Personen
1) Der Auftraggeber hat den Auftragnehmer mit der Erbringung von Leistungen beauftragt. Diese bestehen im Einzelnen aus dem Testen, Mieten, Versiegeln von virtuellen Datenräumen und werden in der Online-Bestellung im Einzelnen spezifiziert.
2) Im Rahmen der Leistungserbringung nach der vorgenannten Online-Bestellung besteht für den Auftragnehmer die Möglichkeit zum Zwecke der Vertragserfüllung Einblick in und Zugriff auf folgende „Auftraggeber-Daten“ zu erhalten:
□ Personenstammdaten (Name, Anschrift, Geburtsdatum etc.)
□ Kommunikationsdaten (wie z. B. Telefon, E-Mail)
□ Vertragsstammdaten (Vertragsverhältnis, Produktinteresse oder Vertragsinteresse)
□ Kundenhistorie
□ Vertragliche Abrechnungs- und Zahlungsdaten
3) Folgende Kategorien betroffener Personen sind von der Auftragsverarbeitung umfasst:
□ Kunden
Anlage 2
Technische und organisatorische Maßnahmen inkl. Angaben zu Übermittlungen in Drittländer
Im Rahmen des Auftrags werden „Auftraggeber-Daten“ nach/innerhalb Deutschland übermittelt. Das angemessene Schutzniveau in Deutschland
– ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO);
– wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b i.V.m. 47 DS-GVO);
– wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DS-GVO);
– wird hergestellt durch genehmigte Verhaltensregeln (Art 46 Abs. 2 lit. e i.V.m. 40 DS-GVO);
– wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i.V.m. 42 DS-GVO).
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
Überwachungseinrichtung, Alarmanlage, Zutrittskontrollsystem, Schlüssel / Schlüsselvergabe, Türsicherung (elektrische Türöffner usw.)
- Zugangskontrolle
Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.
Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:
Kennwortverfahren, Automatische Sperrung, Einrichtung eines Benutzerstammsatzes pro User, Verschlüsselung von Datenträgern
- Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.
Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
Differenzierte Berechtigungen, Auswertungen Kenntnisnahme, Veränderung und Löschung)
- Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
Interne Mandantenfähigkeit / Zweckbindung, Funktionstrennung / Produktion / Test
- Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
Verschlüsselung / Tunnelverbindung (VPN), Elektronische Signatur, Protokollierung, Transportsicherung
- Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
Protokollierungs- und Protokollauswertungssysteme
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung ode Verlust zu schützen.
Maßnahmen zur Datensicherung (physikalisch / logisch):
Backup-Verfahren, Spiegeln von Festplatten, z.B. RAID-Verfahren, Unterbrechungsfreie Stromversorgung (USV), Getrennte Aufbewahrung, Virenschutz / Firewall, Notfallplan
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Datenschutz-Management;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.