Auftragsverarbeitungsvertrag
Anlage Auftragsverarbeitungsvertrag
1. Gegenstand der Beauftragung
Der Kunde (im folgenden „Auftraggeber“) lässt durch uns (im folgenden „Auftragnehmer“) auf Grundlage des Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist (der „Hauptvertrag“) personenbezogenen Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.
Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen. Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben.
2. Ort der Auftragsverarbeitung
Jede Verlagerung der Auftragsverarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
3. Verantwortlichkeit und Weisungsrecht des Auftraggebers
Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.
Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können m�ündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen.
Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen.
Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.
4. Pflichten des Auftragnehmers
Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.
Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Umfang der Verpflichtung hat in einem angemessenen Verhältnis zu den verarbeiteten Daten und den Folgen einer etwaigen Verletzung des Schutzes der personenbezogenen Daten zu stehen. Sie hat sich ferner auf alle personenbezogenen Daten zu beziehen, die der Auftragnehmer für den Auftraggeber verarbeitet. Der Inhalt und die Tatsache der Verpflichtung ist dem Auftraggeber auf Wunsch nachzuweisen. Etwaige weitergehende Verpflichtungen, die aus einer gesondert zwischen den Parteien abgeschlossenen Geheimhaltungsvereinbarung folgen, bleiben hiervon unberührt.
Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.
Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird.
5. Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.
6. Sicherheit der Verarbeitung
Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.
Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.
7. Betroffenenrechte
Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.
Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.
Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
8. Kontrollrechte des Auftraggebers
Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z. B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.
Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einen von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.
Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.
Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.
9. Maßnahmen von Aufsichtsbehörden
Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
10. Unterauftragsverarbeiter
Der Auftragnehmer setzt für die Verarbeitung die in der Anlage 3 benannten Unterauftragsverarbeiter ein.
Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren. Zu diesem Zweck wird der Auftragnehmer dem Auftraggeber in Textform folgende Informationen übersenden:
a. Beschreibung der geplanten Änderung;
b. Name und Adresse des Unterauftragsverarbeiters;
c. welche Leistungen der Unterauftragsverarbeiter erbringen soll und welche personenbezogenen Daten und welche Kategorie von Betroffenen hiervon betroffen sind;
Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen die selbe, standardisierte Softwareplattform).
Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen.
11. Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen
Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, spätestens 24 Stunden nach erster Kenntnis, in Textform mitzuteilen. Die entsprechende Meldung soll zumindest folgende Informationen enthalten:
a. Eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Art und Menge der betroffenen Daten sowie Kategorien der betroffenen Personen;
b. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d. Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.
Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.
12. Vergütung des Auftragnehmers
Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht anders in diesem Vertrag vereinbart.
13. Haftung
Die Haftung der Parteien richtet sich nach den Vereinbarungen des Hauptvertrages. Die unmittelbare Haftung der Parteien gegenüber einem Betroffenen aus gesetzlichen Bestimmungen des Datenschutzes bleibt unberührt.
14. Dauer des Vertrages
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn, dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmt etwas Anderes.
15. Folgen der Vertragsbeendigung
Der Auftragnehmer wird nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragnehmer unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragnehmer hat die Durchführung der Löschung entsprechend den Vorgaben des Auftraggebers diesem zu bestätigen.
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
Jegliches Zurückbehaltungsrecht Auftragnehmers hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ist im Übrigen ausgeschlossen.
16. Schlussbestimmungen
Es gelten die Schlussbestimmungen des Hauptvertrages.
Anlage 1 - Kategorien personenbezogener Daten und Betroffener
Kategorien personenbezogener Daten
Name
Adresse
Daten zur beruflichen Entwicklung und Qualifikation
Arbeitszeugnisse
Kategorien der von der Auftragsverarbeitung Betroffenen
Bewerber für Arbeitsplätze
Anlage 2 - Technische und organisatorische Maßnahmen
Unverbindliches Muster zur Prüfung und Anpassung
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle I - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
Sicherheitstüren / -fenster
Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
Werkschutz, Pförtner
Alarmanlage
Absicherung von Gebäudeschächten
Mitarbeiter- und Berechtigungsausweise
Sperrbereiche
Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
Autorisierungsprozess für Zugangsberechtigungen
Begrenzung der befugten Benutzer
BIOS-Passwörter
Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
Personalisierte Chipkarten, Token, PIN-/TAN, etc.
Protokollierung des Zugangs
Zusätzlicher System-Log-In für bestimmte Anwendungen
Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Firewall
Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben
Verwaltung und Dokumentation von differenzierten Berechtigungen
Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
Auswertungen/Protokollierungen von Datenverarbeitungen
Autorisierungsprozess für Berechtigungen
Genehmigungsroutinen
Profile/Rollen
Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)
Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, "Data Loss Prevention (DLP)-System"
Mobile Device Management-System
Vier-Augen-Prinzip
Funktionstrennung "Segregation of Duties"
Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
Nicht-reversible Löschung von Datenträgern
Sichtschutzfolien für mobile Datenverarbeitungssysteme
sonstiges: Bitte ergänzen
Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden
Speicherung der Datensätze in physikalisch getrennten Datenbanken
Verarbeitung auf getrennten Systemen
Zugriffsberechtigungen nach funktioneller Zuständigkeit
Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
Mandantenfähigkeit von IT-Systemen
Verwendung von Testdaten
Trennung von Entwicklungs- und Produktionsumgebung
sonstiges: Bitte ergänzen
Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
Verschlüsselung des Speichermediums von Laptops
Gesicherter File Transfer (z.B. sftp)
Gesicherter Datentransport (z.B. SSL, ftps, TLS)
Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks
Physikalische Transportsicherung
Verpackungs- und Versandvorschriften
Elektronische Signatur
Gesichertes WLAN
Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber, Challenge-Response, Rückrufautomatik, Einmal-Passwort)
"Mobile Device Management-System"
"Data Loss Prevention (DLP)-System"
Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)
Protokollierung von Datenübertragung oder Datentransport
Protokollierung von lesenden Zugriffen
Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk)
sonstiges: Bitte ergänzen
Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
Zugriffsrechte
Systemseitige Protokollierungen
Dokumenten Management System (DMS) mit Änderungshistorie
Sicherheits-/Protokollierungssoftware
Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
Mehraugenprinzip
"Data Loss Prevention (DLP)-System"
sonstiges: Bitte ergänzen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Sicherheitskonzept für Software- und IT-Anwendungen
Back-Up Verfahren
Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
Gewährleistung der Datenspeicherung im gesicherten Netzwerk
Bedarfsgerechtes Einspielen von Sicherheits-Updates
Spiegeln von Festplatten
Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
Geeignete Archivierungsräumlichkeiten für Papierdokumente
Brand- und/oder Löschwasserschutz des Serverraums
Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten
Klimatisierter Serverraum
Virenschutz
Firewall
Notfallplan
Erfolgreiche Notfallübungen
Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
sonstige: Bitte ausführen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
Interne Datenschutz-Richtlinie
Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
sonstige: Bitte ausführen
Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
sonstige: Bitte ausführen
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
Prozess zur Erteilung und/oder Befolgung von Weisungen
Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
Unabhängige Auditierung der Weisungsgebundenheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen
formalisiertes Auftragsmanagement
dokumentiertes Verfahren zur Auswahl von Dienstleitern
standardisiertes Vertragsmanagement zur Vor- und Nachkontrolle der Dienstleister
sonstiges: Bitte ergänzen
Anlage 3 - Unterauftragsverarbeiter
Perspective Software GmbH, Müggelstraße 22 D-10247 Berlin
Hosting der für die Aufragsverarbeitung verwendeten Server:
Perspective Software GmbH
Auftragsverarbeitungsvertrag abrufbar unter www.ajency.de/av
Technische und organisatorische Maßnahmen abrufbar unter www.ajency.de/av