MUSTER AVV zwischen Veranstalter und EXPO-IP

 

Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO

zwischen der

FIRMA

Strasse
D – PLZ ORT

(nachstehend Auftraggeber genannt)

und der

EXPO-IP GmbH

vertr. d. d. GF Barbara Tröller und Martin Schulz

Robert-Bosch-Straße 7

64293 Darmstadt

(nachstehend Auftragnehmer oder Auftragsverarbeiter genannt)

  • 1 Gegenstand der Vereinbarung
  1. Der Auftragnehmer verarbeitet personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

  1. Der Auftrag umfasst Folgendes:
  • Gegenstand und Umfang des Auftrages:

Der Auftragnehmer stellt dem Auftraggeber internetbezogene Dienste und Leistungen zur Verfügung, hierbei insbesondere eine Plattform zur Durchführung digitaler Veranstaltungen/Messen. Der Auftragnehmer erbringt hierzu vor allem Leistungen im Bereich der Bereitstellung, des Hostings, des Betriebs und der Wartung der Server sowie notwendiger Server-Software-Lizenzen.

Gegenstand der vertraglichen Leistung des Auftragnehmers ist somit nicht die originäre Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Im Zuge der Leistungserbringung des Auftragnehmers als Dienstleister im Bereich des Hostings, des Supports bzw. der Administration von Server-Systemen, kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.

2.2 Art der personenbezogenen Daten:

Adressdaten

Authentifizierungsdaten

Daten von Ansprechpartner

Mitarbeiterdaten

Nutzungsdaten, z.B. Log-Dateien (insb. Namen von Nutzern von IT-Systemen oder Anwendungen, IP-Adressen)

Stammdaten

Systemzugangsdaten

Unternehmensstammdaten

Vertragsstammdaten (Angebotsdaten, Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

 

2.3 Kreis der Betroffenen:

Abonnenten

Auszubildende

Bewerber

Berater

Dienstleister

Geschäftspartner

Lieferanten

Handelsvertreter

Interessenten

Kunden

Makler / Vermittler

Mandanten

Mitarbeiter (aktiv)

Mitarbeiter (ehemalige)

Messeveranstalter

Messeaussteller

Messebesucher

Praktikanten

  • 2 Rechte und Pflichten des Auftraggebers; Unterstützung des Auftraggebers durch den Auftragnehmer
  1. Der Auftraggeber ist zur Wahrung der Rechte der betroffenen Person (Art. 12ff. DS-GVO bzw. §§ 32ff. BDSG n.F.), zur Ergreifung technischer und organisatorischer Maßnahmen, zur Meldung und Benachrichtigung bei Datenpannen, zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 32 bis 36 DS-GVO) sowie zur Qualitätssicherung (Art. 28 Abs. 1 DS-GVO) verpflichtet. Der Auftraggeber trägt in seinem Verantwortungsbereich dafür Sorge, dass die gesetzlich notwendigen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten vorliegen. Bei der Einhaltung der Pflichten unterstützt der Auftragnehmer den Auftraggeber. In diesem Zusammenhang stellt er ihm sämtliche Informationen bereit, soweit der Auftraggeber über diese Informationen nicht selbst verfügt. Der Auftragnehmer ist verpflichtet, Informationen zum Zweck der Unterstützung zu beschaffen, über die er seinerseits nicht verfügt.
  1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der Betroffenen nach den Artikeln 12-22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
  1. Änderungen des Vertragsgegenstandes und Verfahrensänderungen sind abzustimmen und entsprechend § 1 Abs. 2. festzulegen.
  1. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
  1. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung des Ergebnisses der Auftragsleistung feststellt.
  1. Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Daten Sicherheitsmaßnahmen beim Auftragnehmer streng vertraulich zu behandeln. Der Auftraggeber stellt in diesem Zusammenhang sicher, dass diese Verpflichtung von sämtlichen Mitarbeitern eingehalten wird. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrags für weitere 5 Jahre bestehen.
  1. Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen Vorschriften über den Datenschutz und der vertraglichen Vereinbarung im erforderlichen Umfang vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise zu kontrollieren. Hierfür kann er sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich überzeugen.
  • 3 Rechte und Pflichten des Auftragnehmers
  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftraggeber unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DS-GVO).
  1. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt, es sei denn, sie sind zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Datensicherung erforderlich.
  1. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
  1. Der Auftragnehmer erkennt die Datenherrschaft des Auftraggebers als Dateneigentümer an und übernimmt diesem gegenüber die Verantwortung, dass diese Daten ausschließlich für die in § 1 genannten Zwecke verwendet werden.
  1. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden automatisierten Verwaltung. Eingang und Ausgang werden dokumentiert.
  1. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).
  1. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
  1. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
  1. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
  1. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).
  1. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
  1. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Sämtliche Datenträger des Auftragnehmers sind datenschutzgerecht sicher physisch zu löschen, so dass keine weitere Nutzung oder ein Rückschluss auf die Daten mehr möglich sind. Test- und Ausschussmaterial ist unverzüglich datenschutzgerecht zu vernichten oder dem Auftraggeber auszuhändigen. 
  • 4 Mitwirkungspflichten des Auftragnehmers
  1. Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DS-GVO. Es gelten zudem die Regelungen von § 5 dieses Vertrages.
  1. Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
  1. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DS-GVO genannten Pflichten. 
  • 5 Wahrung von Betroffenenrechten 
  1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DS-GVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DS-GVO nachkommen kann.
  1. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung, Löschung oder Datenübertragung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
  1. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt. 
  • 6 Beauftragter für den Datenschutz des Auftragnehmers

Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz

Herr Rechtsanwalt Sascha Weller – Institut für Datenschutzrecht
Ziegelbräustraße 7
85049 Ingolstadt
Tel.: 0841 / 885 167 15
Fax: 0841 / 885 167 22
E-Mail: ra-weller@idr-datenschutz.de
Web: www.idr-datenschutz.de

bestellt. Ein Wechsel des Beauftragten für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.

  • 7 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und der Verletzung des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. § 2 dieses Vertrages durchführen.

  • 8 Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 S. 2 lit. c DS-GVO)
  1. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
  1. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind der Anlage mit der Bezeichnung A 1 beigefügt.
  1. Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.
  1. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen.
  1. Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
  • 9 Laufzeit / Kündigung
  1. Dieser Vertrag wird auf unbestimmte Zeit geschlossen.
  1. Beide Parteien haben die Möglichkeit, diesen Vertrag ordentlich unter Berücksichtigung einer Kündigungsfrist von einem Monat zum Monatsende zu kündigen.
  1. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert.
  • 10 Haftung

Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Auf Art. 82 DS-GVO wird verwiesen.

  • 11 Unterauftragsverhältnisse mit Unterauftragnehmern (Art. 28 Abs. 3 S. 2 lit. d DS-GVO)
  1. Für die auftragsgemäße Verarbeitung personenbezogener Daten nutzt der Auftragnehmer aktuell folgende Unterauftragnehmer:

Configo Systems GmbH, Hilpertstraße 3, 64293 Darmstadt
Beschreibung des Inhalts der Beauftragung: Hosting/systemtechnische Betreuung Rechenzentrum

Die beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sind der Anlage mit der Bezeichnung A 2 beigefügt. 

  1. Die Beauftragung von Unterauftragnehmer zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DS-GVO, welche schriftlich erfolgen muss. Ausgenommen hiervon sind die in vorstehender Nr. 1 genannten Unterauftragnehmer. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.
  1. Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
  1. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Unterauftragnehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
  1. Der Vertrag mit dem Unterauftragnehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
  1. Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
  1. Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).
  • 12 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 S. 2 lit. g DS-GVO

 

 

Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.

  • 13 Sonstiges
  1. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen dieser Vereinbarung oder sonstiger Vereinbarungen zwischen den Parteien nicht. Beide Seiten sind in diesem Fall verpflichtet, unverzüglich in eine nachträgliche Zusatzbestimmung einzuwilligen, die nach Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
  1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
  1. Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
  1. Für Nebenabreden und/oder Änderungen ist Schriftform erforderlich. Dies gilt ebenso für die Änderung dieses Schriftformerfordernisses.
  1. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. 

 

Ort, den ________________                                         Darmstadt, den ________________

Stempel und Unterschrift                                                 Unterschrift

des Auftraggebers                                                             des Auftragnehmers

………………………………………….                                             …………………………………………..

Name in Druckbuchstaben                                               Geschäftsführung EXPO-IP

Anlagen:

technische und organisatorische Maßnahmen des Auftragnehmers, Anlage A 1

technische und organisatorische Maßnahmen des Unterauftragnehmers, Anlage A 2

Anlage A 1 

  1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

 

Zutrittskontrolle

Zutrittskontrolle

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

vorhanden

ja

Innerhalb eines Büro-/Betriebsgeländes
Berechtigungsausweise
Elektronische Zutrittstransponder
Zutrittsberechtigungskonzept
Alarmanlage
Schlüsselregelung
Begleitung von Besucherzutritten durch eigene Mitarbeiter
Besucherregelung
Trennung von Bearbeitungs- und Publikumszonen
Sicherung auch außerhalb der Arbeitszeit durch Sicherheitsdienst
Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen Räumen
Aufbewahrung von Datensicherungen (z.B. externe Festplatten, CDs) in abgeschlossenen Räumen
Anweisung zur Ausgabe von Schlüsseln

 

 

Zugangskontrolle

Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme bzw. deren unbefugte Nutzung ist zu verhindern.

vorhanden

ja

Verschlüsselung von Netzwerken
Passwortsicherung von Bildschirmarbeitsplätzen
Verwendung von individuellen Passwörtern
Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern
Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)
Passwortpolicy mit Mindestvorgaben zur Passwortkomplexität:  
§  Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 4 Kriterien)
§  Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)
Verpflichtung zur Vertraulichkeit
Protokollierung der Systembenutzung
Kontrollierte Vernichtung von Datenträgern

 

 

Zugriffskontrolle

Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.

vorhanden

ja

Festlegung der Zugriffsberechtigung, Berechtigungskonzept
Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)
Auswertungsmöglichkeit von Protokollen (Logfiles)
Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?  
§  Virenscanner
§  Firewall
§  SPAM-Filter

 

 

Trennungskontrolle

Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

vorhanden

ja

Trennung von Kundendaten
Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)
Verarbeitung der  Daten des Auftraggebers und anderer Kunden von unterschiedlichen Mitarbeitern des Auftragnehmers
Trennung von Entwicklungs-, Test- und Produktivsystem

 

 

 

Pseudonymisierung

(Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

vorhanden

ja

Maßnahmen vorhanden, sofern möglich und notwendig

 

 

  1. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

 

Weitergabekontrolle

Weitergabekontrolle

Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, sowie deren Kontrolle.

vorhanden

ja

Welche Versendungsart der Daten besteht zwischen Auftraggeber und Dritten?  
§  VPN-Verbindung
§  E-Mail Versand mit verschlüsselten ZIP-Dateien
§  Datenaustausch über https-Verbindung
Dokumentierte Verwaltung von Datenträgern
Verschlüsselung von Laptopfestplatten
Verschlüsselung mobiler Datenträger
Verpackungs- und Versandvorschriften, verschlüsselter E-Mail-Versand

 

 

Eingabekontrolle

Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten

vorhanden

ja

Kennzeichnung erfasster Daten
Organisatorische Festlegung von Eingabezuständigkeiten
Protokollauswertungssystem
Verpflichtung auf die Vertraulichkeit
Regelung zu Aufbewahrungsfristen für Revision/Nachweiszwecke

 

  1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

 

Verfügbarkeitskontrolle

Verfügbarkeitskontrolle

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

vorhanden

ja

Datensicherungs- und Backupkonzepte
Durchführung der Datensicherungs- und Backupkonzepte
Brandmeldeanlagen
Rauchmelder in Serverräumlichkeiten
Klimatisierte Serverräumlichkeiten
Unterbringung von Backupsystemen in separaten Räumlichkeiten und Brandabschnitt
Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die Zukunft
Lagerung von Archiv-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)

 

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.

vorhanden

ja

Festplattenspiegelung
Abgrenzung kritischer Komponenten
Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)
Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und Firmwareupdates  
§  Identifikation der verschiedenen Geräte, aus denen sich das Netzwerk zusammensetzt, und Bestimmung ihrer Hardware-Version sowie ihrer aktuellen Software- und Firmware-Versionen.
§  Kommunikationskanal mit den Herstellern, um sich über neue Updates und Patches zu informieren, die für die im Besitz befindlichen Geräte freigegeben wurden.
§  Definition von Zeiträumen, in denen die Updates implementiert werden sollen (z. B. Perioden niedrigerer Operationen, Wartungszeiten usw.).
Periodische Sicherheitstrainings und Sensibilisierungskampagnen innerhalb der Organisation.  
§  Sensibilisierungskampagnen, um die Benutzer über die Sicherheitskonzepte zu informieren, die sowohl für konkrete Systeme als auch für traditionelle IT-Systeme spezifisch sind.
  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

 

Kontrollverfahren

Kontrollverfahren

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementieren

vorhanden

ja

Interne Verarbeitungsverzeichnisse werden mind. jährlich aktualisiert
Meldung neuer/veränderter Datenverarbeitungsverfahren an den Datenschutzbeauftragten
Es werden datenschutzfreundliche Voreinstellungen gewählt

 

 

Auftragskontrolle

Auftragskontrolle

Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden.

vorhanden

ja

Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)
Vor-Ort-Kontrollen beim Auftragnehmer, sofern notwendig
Überprüfung des Datensicherheitskonzepts beim Auftragnehmer
Sichtung vorhandener IT-Sicherheitszertifikate der Auftragnehmer

 

 

Organisationskontrolle

Organisationskontrolle

 

vorhanden

ja

Datenschutzbeauftragter bestellt
Verpflichtung der Mitarbeiter zur Vertraulichkeit
Datenschutzordnung
Interne Richtlinien
Regelmäßige Schulung der Mitarbeiter
Verzeichnis von Verarbeitungstätigkeiten
Regelmäßige Auditierung durch den Datenschutzbeauftragten

 

Anlage A 2

 

 

Der Unterauftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen i.S.d. Art. 32 DSGVO:

 

  1. Vertraulichkeit

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

 

  • Alarmanlage mit Bewegungs- und Einbruchmeldern sowie Anschluss an Wachdienst
  • Videoüberwachung der Zugänge
  • Elektronisches Zugangskontrollsystem mit Schließsystem und Sicherheitsschlössern
  • Restriktive Schlüsselregelung
  • Personenkontrolle beim Pförtner / Empfang
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Sicherheits-/Wachpersonal
  • Protokollierung von Besuchern1

 

1Besucher und fremde Dienstleister dürfen sich nur in Begleitung von Personal in den

relevanten Räumlichkeiten aufhalten.

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

 

  • Authentifikation für Mitarbeiter nur mit Benutzername und Passwort
  • Strenge Passwortregeln für Mitarbeiter
  • Umfassende Protokollierung
  • Einsatz von Anti-Viren-Software
  • Einsatz von Firewalls und IDS
  • Einsatz von Verschlüsselung und VPN-Technologien
  • Getrennte Netzbereiche für Administrations- und Wartungszwecke

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

 

  • Restriktive Berechtigungsregelungen
  • Umfassende Protokollierung
  • Einsatz von Aktenvernichtern
  • Sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern
  • Sichere Löschung von Datenträgern vor Wiederverwendung

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

 

  • Firmen-Daten von Kunden-Daten strikt getrennt
  • Trennung von Produktiv- und Testsystemen

Pseudonymisierung & Verschlüsselung

Maßnahmen, die sicherstellen, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr oder schwer einer spezifischen betroffenen Person zugeordnet werden können.

 

  • Kurze Vorhaltezeiten von Log-Dateien
  • Reduktion von Log-Dateien auf das Nötigste

 

  1. Integrität

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

 

  • Berechtigungssystem sowie Protokollierung der Eingabe, Änderung und Löschung von Daten

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

 

  • Einsatz von Verschlüsselung und VPN-Technologien
  • Authentifizierung

 

  1. Verfügbarkeit und Belastbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

 

  • Unterbrechungsfreie Stromversorgung (USV)
  • Notstromdiesel-Aggregat
  • Feuer- und Rauchmeldeanlage mit Anschluss an Wachdienst
  • Feuerlöschgeräte in Serverräumen
  • Geräte zur Überwachung von Temperatur in Serverräumen
  • Klimaanlage in Serverräumen
  • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  • Backup- und Recovery-Strategie
  • Notfallpläne
  • Serverräume über der Wassergrenze
  • Automatische Überwachungssysteme (Monitoring) kritischer Systeme
  • Incident Management

 

 

  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Rechenzentrum besitzt Zertifizierung gemäß ISO/IEC 27001:2013
  • Verpflichtung der Mitarbeiter und Auftragnehmer auf die EU-DSGVO
  • Verarbeitung ausschließlich in der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum