Vereinbarung Auftragsverarbeitung
Vereinbarung neue Auftragsverarbeitung aufgrund Datenschutz-Grundverordnung (DSGVO)
Bitte lesen Sie diesen Vertrag vollständig aufmerksam durch und klicken Sie dann auf "Absenden".
Damit wir Ihnen gegenüber unsere Support- bzw. Beratungsdienstleistungen rechtssicher erbringen können, muss zwischen uns ein sogenannter Auftragsverarbeitungsvertrag abgeschlossen werden.
In der DSGVO ist dafür keine Schriftform mehr erforderlich. Um es Ihnen so unkompliziert wie möglich zu machen bieten wir Ihnen deshalb diesen Vertragsabschluss jetzt nur noch online an:
- im Folgenden: Auftraggeber -
und
IT-Planungen fritz & bits
Schillingstr. 4
71069 Sindelfingen-Maichingen
- im Folgenden: Auftragsverarbeiter –
1. Allgemeine Bestimmungen und Auftragsgegenstand
1.1 Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragsverarbeiter (Art. 28 DSGVO). Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind Anlage 1 zu entnehmen.
1.2 Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenenrechte verantwortlich.
1.3 Die Verarbeitung der Daten durch den Auftragsverarbeiter findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung des Auftraggebers.
2. Vertragslaufzeit und Kündigung
Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Weisungen des Auftraggebers
3.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. dem Auftragsverarbeiter zu. In dieser Rolle kann er insbesondere die unverzügliche Löschung, Berichtigung, Sperrung oder Herausgabe der vertragsgegenständlichen Daten verlangen. Der Auftragsverarbeiter ist verpflichtet, den Weisungen des Auftraggebers Folge leisten, sofern keine berechtigten vertraglichen oder gesetzlichen Interessen entgegenstehen.
3.2 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragsverarbeiter substantiiert anzweifelt, ist der Auftragsverarbeiter berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass der Auftragsverarbeiter durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis ausgesetzt werden.
3.3 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine schriftliche Weisung erfolgen konnte. Der Auftragsverarbeiter hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.
3.4 Der Auftraggeber benennt auf Verlangen des Auftragsverarbeiters eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind dem Auftragsverarbeiter unverzüglich mitzuteilen.
3.5 Vorbehaltlich abweichender Vereinbarungen, kann der Auftragsverarbeiter eine zusätzliche Vergütung für Mehraufwendungen verlangen, die ihm durch die Weisungen des Auftraggebers entstehen.
4. Kontrollbefugnisse des Auftraggebers
4.1 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig im erforderlichen Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen. Der Auftragsverarbeiter wird diese Kontrollen dulden und sie im erforderlichen Maße unterstützen. Er wird dem Auftraggeber insbesondere die für die Kontrollen relevanten Auskünfte vollständig und wahrheitsgemäß erteilen, ihm die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme/ -systeme gewähren sowie Vorort-Kontrollen ermöglichen.
4.2 Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb des Auftragsverarbeiters nicht mehr als erforderlich beeinträchtigen. Insbesondere sollen Vorortkontrollen grundsätzlich zu den üblichen Geschäftszeiten und nach Terminvereinbarung mit angemessener Vorlauffrist erfolgen, sofern der Kontrollzweck einer vorherigen Ankündigung nicht widerspricht.
4.3 Die Ergebnisse der Kontrollen und Weisungen sind vom Auftraggeber in geeigneter Weise zu protokollieren.
4.4 Vorbehaltlich abweichender Regelungen, kann der Auftragsverarbeiter eine zusätzliche Vergütung für Mehraufwendungen verlangen, die ihm durch die Kontrollmaßnahmen des Auftraggebers entstehen.
5. Allgemeine Pflichten des Auftragsverarbeiters
5.1 Die Verarbeitung der vertragsgegenständlichen Daten durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z.B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden). Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt der Auftragsverarbeiter dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
5.2 Der Auftragsverarbeiter hat bei der Auftragsdurchführung sämtliche gesetzlichen Vorschriften einzuhalten. Er hat insbesondere die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen zu implementieren und das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten zu führen, soweit dies gesetzlich vorgeschrieben ist.
5.3 Sofern der Auftragsverarbeiter nach der DSGVO oder sonstigen gesetzlichen Vorschriften zur Benennung eines Datenschutzbeauftragten verpflichtet ist, bestätigt er, dass er einen solchen in Einklang mit den gesetzlichen Vorschriften ausgewählt hat und sichert dem Auftraggeber zu, diesen unter Angabe seiner Kontaktdaten zu benennen (z.B. per E-Mail). Änderungen und die aktuellen Kontaktdaten des Datenschutzbeauftragten sind der Webseite des Auftragsverarbeiters zu entnehmen.
5.4 Der Auftraggeber gestattet dem Auftragsverarbeiter die Datenverarbeitung außerhalb der Betriebsstätten des Auftragsverarbeiters (z.B. Fernzugriff oder Homeoffice des Auftragsverarbeiters) vorzunehmen. Der Auftragsverarbeiter hat hierbei sicherzustellen, dass nach Art. 32 DSGVO erforderliche Schutzniveau nicht unterschritten wird.
5.5 Der Auftragsverarbeiter hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
5.6 Der Auftragsverarbeiter wird die Erfüllung seiner Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise dokumentieren.
6. Technische und organisatorische Maßnahmen
6.1 Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt und mit dem Auftraggeber abgestimmt.
6.2 Der Auftragsverarbeiter wird die technischen und organisatorischen Maßnahmen bei Bedarf und / oder anlassbezogen überprüfen und anpassen. Erforderliche Anpassungen werden vom Auftragsverarbeiter dokumentiert und dem Auftraggeber auf Nachfrage zur Verfügung gestellt. Wesentliche Änderungen, durch die das Schutzniveau verringert werden könnte, sind vorab mit dem Auftraggeber abzustimmen.
7. Unterstützungspflichten des Auftragsverarbeiters
7.1 Der Auftragsverarbeiter wird den Auftraggeber gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten. Die Reichweite der Unterstützungspflicht bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung.
7.2 Der Auftragsverarbeiter wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32 – 36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflicht bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
7.3 Vorbehaltlich abweichender Regelungen, kann der Auftragsverarbeiter eine zusätzliche Vergütung für Mehraufwendungen verlangen, die ihm bei der Durchführung der in dieser Ziffer genannten Unterstützungspflichten entstehen.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)
8.1 Der Auftragsverarbeiter ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse des Auftragsverarbeiters sind diesem Vertrag abschließend in Anlage 3 beigefügt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Abschluss dieses Vertrags als erteilt.
8.2 Beabsichtigt der Auftragsverarbeiter den Einsatz weiterer Subunternehmer, wird er dies dem Auftraggeber rechtzeitig - spätestens jedoch zwei Wochen - vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des / der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des / der Subunternehmer(s) als genehmigt. Im Falle eines Widerspruchs dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn der Auftraggeber begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragnehmers die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und / oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.
8.3 Subunternehmer werden vom Auftragsverarbeiter unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Nebenleistungen, die der Auftragsverarbeiter zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen, die die Vertraulichkeit Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Der Auftragsverarbeiter wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen.
8.4 Sämtliche Verträge zwischen Auftragsverarbeiter und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Die Subunternehmerverträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontroll- und Weisungsbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Umfang auch gegenüber dem Unterauftragsverarbeiter ausgeübt werden können. Der Auftragsverarbeiter ist im Falle einer entsprechenden Aufforderung des Auftraggebers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen. Der Auftraggeber hat das Recht einschlägige Vertragsunterlagen oder Kontroll- und Aufsichtsergebnisse sowie entsprechende Dokumentationen, Protokolle und Verzeichnisse des Auftragsverarbeiters einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
8.5 Der Auftragsverarbeiter ist für die Einhaltung der Datenschutzbestimmungen durch die von ihm eingesetzten Unterauftragsverarbeiter verantwortlich. Er haftet ggü. dem Auftraggeber für die Einhaltung der gesetzlichen und vertraglichen Datenschutzpflichten.
8.6 Der Auftragsverarbeiter hat sich von seinen Unterauftragsverarbeitern bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten benannt haben.
8.7 Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.
8.8 Die Einhaltung der in dieser Ziffer genannten Pflichten wird vom Auftragsverarbeiter vor Vertragsschluss mit dem Subunternehmer und sodann während der Vertragslaufzeit regelmäßig kontrolliert und dokumentiert.
9. Mitteilungspflichten des Auftragsverarbeiters
9.1 Verstöße gegen diesen Vertrag, gegen die Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragsverarbeiter selbst, einer bei ihm angestellten Person, einem Unterauftragsverarbeiter oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten eingesetzt hat, begangen wurde.
9.2 Der Auftragsverarbeiter ist verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informationspflichten nach Art. 33 und 34 DSGVO zu unterstützen. Eigenständige Meldungen an Behörden oder Betroffene nach Art. 33 und 34 DSGVO darf der Auftragsverarbeiter erst nach vorheriger Weisung des Auftraggebers durchführen.
9.3 Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter den Auftragsverarbeiter um Auskunft, Berichtigung, Sperrung oder Löschung, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Auftraggeber weiterleiten; in keinem Fall wird der Auftragsverarbeiter dem Ersuchen des Betroffenen ohne Zustimmung des Auftraggebers nachkommen.
9.4 Der Auftragsverarbeiter wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat der Auftragsverarbeiter den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen). Der Auftraggeber ist berechtigt, die Maßnahmen des Auftragsverarbeiters in geeigneter Weise zu überprüfen. Hierzu ist er insbesondere berechtigt, die einschlägigen Löschprotokolle und die betroffenen Datenverarbeitungsanlagen vor Ort in Augenschein zu nehmen.
11. Datengeheimnis und Vertraulichkeit
11.1 Der Auftragsverarbeiter ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln und einschlägige Geheimnisschutzregeln, denen der Auftraggeber unterliegt (z.B. § 203 StGB), zu beachten. Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter bei Auftragserteilung auf ggf. bestehende besondere Geheimnisschutzregeln hinzuweisen.
11.2 Der Auftragsverarbeiter verpflichtet sich, seine Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit beim Auftragsverarbeiter aufnehmen.
11.3 Der Auftragsverarbeiter wird die Einhaltung der in dieser Ziffer genannten Maßnahmen in geeigneter Weise dokumentieren. Die Dokumentation ist dem Auftraggeber auf Verlangen vorzulegen.
12. Haftung
Der Auftragsverarbeiter haftet ggü. dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung / Maßnahme in Folge einer Weisung des Auftraggebers durchgeführt wurde. Das gleiche gilt, für Maßnahmen, die mit dem Auftraggeber abgestimmt wurden (z.B. TOMs nach Art. 32 DSGVO). Als Abstimmung gilt es auch, wenn eine Regelung in diesem Vertrag auf Verlangen des Auftraggebers eingefügt wurde. Im Übrigen bleiben die gesetzlichen Haftungsregelungen (insb. Art. 82 DSGVO) unberührt.
13. Schlussbestimmungen
13.1 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
13.2 Gerichtsstand für alle sich aus dem Vertragsverhältnis unmittelbar oder mittelbar ergebenden Streitigkeiten ist bei Kaufmännern, juristischen Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen im Sinne des HGB der Sitz des Auftragsverarbeiters. Dem Auftragsverarbeiter steht es bei Kaufmännern im Sinne des HGB frei, am Gerichtsstand des Kunden oder einem sonstigen gesetzlichen Gerichtsstand zu klagen. Im Übrigen gelten die gesetzlichen Bestimmungen.
13.3 Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
13.4 Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
13.5 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
Anlage 1 – Auftragsdetails
Im regulären Betrieb werden vom Auftragsverarbeiter dabei keine personenbezogenen Daten im Auftrag verarbeitet. Im Rahmen von Softwareanpassungen, Fernwartung und Supportdienstleistungen ist es hingegen erforderlich, dass der Auftragsverarbeiter auf die beim Auftraggeber gespeicherten personenbezogenen Daten zugreift. Diese im Auftrag vorgenommenen Datenverarbeitungsvorgänge werden in dieser Anlage beschrieben.
Sämtliche Datenverarbeitungsvorgänge erfolgen ausschließlich zum Zwecke der Vertragserfüllung durch den Auftragsverarbeiter und unter Einhaltung des geltenden Rechts.
Die Art der personenbezogenen Datenkategorien und der betroffenen Personen ist abhängig von der vom Kunden in Anspruch genommenen Leistungen, wobei typischerweise Daten der Kunden und der Mitarbeiter des Auftraggebers verarbeitet werden.
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO
Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
- Manuelles Schließsystem
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe mit Quittierung, jeder bekommt nur in den absolut nötigen Bereichen Zugang)
- Generalschlüssel nur in den Händen der Geschäftsführung, sichere Aufbewahrung
- Personenkontrolle beim Empfang
- Sorgfältige Auswahl von Reinigungspersonal
- Separater Serverraum vorhanden (ohne Fenster, ohne Lichtschächte, mit sicheren Lüftungsöffnungen), Serverraumtüre wird regelmäßig überprüft, maximal eingeschränkter Zugang
- TK-Anlage geschützt in separatem Serverraum
- Netzverteiler geschützt im Serverraum bzw. in verschlossenen Schaltschränken
- Feuertreppe von außen nicht direkt zugänglich
Anwesenheitskontrolle
- Zeiterfassungssystem mit Stechuhr wird verwendet
- Auch kurzzeitige Abwesenheiten werden protokolliert
- Zutrittskontrolle bei Tele- bzw. Heimarbeitern ist geregelt und protokolliert
Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte.
- Zuordnung von Benutzerrechten
- Passwortvergabe
- Erstellen von Benutzerprofilen
- Authentifikation mit Benutzername / Passwort
- Einsatz von VPN-Technologie
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Protokollierung der Besucher
- Personenkontrolle beim Pförtner / Empfang
- Einsatz von Anti-Viren-Software
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
- Verschlüsselung von „unterwegs“ befindlichen Datenträgern/Festplatten
- Forderung eines Zeichen-Mixes (Datenschutzhandbuch)
- Mindestlänge 8 Zeichen (Datenschutzhandbuch)
- Automatische Bildschirmsperre bei Pausen nach 15 Minuten mit Passwortaktivierung
- Automatische Zugangssperre bei mehr als 5 Anmeldeversuchen für 30 Minuten
- Passworthistorie
- Keine „Gruppen-Passwörter“
- Merkblatt zur Passwortgenerierung im Datenschutzhandbuch enthalten
- Handling des Administratoren-Passwortes ist vorgeschrieben
- Protokollierung bei Falscheingabe
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.
- Ein Verantwortlicher für die Datenträgerkontrolle wurde benannt
- Die vorhandenen, beweglichen Datenträger sind protokolliert
- Verbot, unverschlüsselte bewegliche Datenträger mit personenbezogenen Daten außer Haus zu nehmen
- Verbot, unverschlüsselte bewegliche Datenträger mit personenbezogenen Daten intern in der Firma zu verwenden
- Verbot des Einsatzes privater Datenträger (verbindliche Regelung laut Datenschutzhandbuch)
- Regelungen zu mobilen Datenträgern (wie z.B. USB-Sticks, externe Festplatten, Tablets, Smartphones) im Datenschutzhandbuch vorhanden
- Aufbewahrung von Sicherungsdatenträgern an einem sicheren, ausgelagerten Ort
- Entsorgung/Vernichtung (Shreddern) von Fehldrucken/sonstigen Belegen, die personenbezogene Daten enthalten
- Vor der Weitergabe an ein zertifiziertes Entsorgungsunternehmen werden alle Datenträger mittels Datenträgerlöschsoftware (mindestens Sicherheitsstufe 3) gelöscht
- Es besteht eine vertragliche Regelung mit dem Entsorgungsunternehmen
- Das Entsorgungsunternehmen stellt eine Entsorgungsbescheinigung aus
- Es existieren Regelungen über das Kopieren von Datenträgern
Zugriffskontrolle, Speicherkontrolle, Benutzerkontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Zugriffskontrolle: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
Speicherkontrolle: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
Benutzerkontrolle: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.
- Erstellen eines Berechtigungskonzepts
- Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
- Differenzierte Berechtigungen je nach Aufgabengebiet für Kenntnisnahme, Veränderung und Löschung
- Es existiert eine Richtlinie zu Speicherorten (Datenschutzhandbuch)
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- „4-Augen-Prinzip“ bei wichtigen Datenverarbeitungen
- Berechtigungen werden regelmäßig auf Ihre Zulässigkeit geprüft
- Automatisiertes Verfahren zur Kontrolle der Berechtigungen
- Protokollierung der Berechtigungen, Aufbewahrung dieser Protokolle für max. ein Jahr
- Sichere Aufbewahrung von Datenträgern
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- physische Löschung von Datenträgern vor Wiederverwendung
- Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
- Keine Nutzung der DV-Anlagen durch Fremdfirmen
Trennungskontrolle, Trennbarkeit
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Trennbarkeit: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.
- Konzept zur Mandantentrennung vorhanden
- Erstellung eines Berechtigungskonzepts
- Versehen der Datensätze mit Zweckattributen/Datenfeldern
- Festlegung von Datenbankrechten
- Trennung von Produktiv- und Testsystem
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
- Kommunikation über Webseite (combit.net, combit.com, combit-support.net) immer SSL-gesichert
- Festplatten aller Laptops, die die Firmenräume verlassen und personenbezogene Daten enthalten sind verschlüsselt mit Bitlocker
- Sicherungsmedien (Festplatten) sind verschlüsselt mit Bitlocker
- Sicherungsmedien (Bänder) sind verschlüsselt mit Microsoft DataProtectionManager (verschlüsselt mit Algorithm: AES, Mode: CBC, KeyLength: 256. Nicht konfigurierbar)
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle, Übertragungskontrolle, Transportkontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Übertragungskontrolle: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
Transportkontrolle: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
- Beim physischen Transport: sichere Transportbehälter/-verpackungen
- Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen
- Upload von Daten nur auf https://-Server-Webseite mit Organisationsvalidiertem Zertifikat und Download von dort nur per FTPS
- Keine Speicherung von Daten außerhalb der EU/EWR
- Auslagerung von Backups außerhalb der Firmenräume nur verschlüsselt
- Transportsicherung - es erfolgt eine Dokumentation der Abruf- und Übermittlungsprogramme
- Schriftliche Transportregelungen zur Vollständigkeitsprüfung bei Rücklieferung vom Auftragnehmer
- Regelungen und Kontrolle von externer Wartung und Fernwartung
- Es existieren Regelungen für Tele- bzw. Heimarbeiter
- Es kommen sichere Übertragungsarten (bzw. VPN) für Telearbeit zum Einsatz
- Es existieren Telefax-Regelungen
- Vorgesehene Datenübermittlungen sind in den Verfahrensübersichten vermerkt
- Es existieren Lieferscheine
- Es erfolgt eine Protokollierung der Abruf- und Übermittlungsvorgänge
Versendungsarten
- Ende-zu-Ende Verschlüsselung
- Datenleitung im Standard verschlüsselt (via Webseite)
- sFTP verschlüsselt
- Post, Bahn, Kuriere, Taxi
- Telefax
Sichere Versendungsformen
- Wertpaket
- Einschreibesendungen
- Dateiverschlüsselung
- Email-Versand und Empfang ausschließlich über SSL-gesicherte Verbindungen
- VPN
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Protokollierung bei Telearbeitern
- Eine Protokollauswertungsroutine ist vorhanden
- Zugriffsrechte auf Protokolle und Protokollauswertungsroutine auf ISB beschränkt
- Protokolle werden auf unbegrenzte Zeit aufbewahrt
Auftragskontrolle
Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- Einsatz von Datenvernichtungs-Dienstleistern mit Datenschutz-Gütesiegel
- Eigenes Reinigungspersonal, dieses wurde auf alle relevanten Datenschutz-Vereinbarungen verpflichtet
- Hosting der Firmenwebseiten nur auf Servern in der EU mit DSGVO-konformem AV-Vertrag
- Punktuelles Reinigungspersonal (z.B. für Fenster) darf nur tagsüber unter Aufsicht in den Firmenräumen agieren
- Kein Einsatz von Subauftragnehmern zur Verarbeitung von Kundendaten im AV-Verhältnis ohne explizite Vereinbarung
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
- Unterbrechungsfreie Stromversorgung (USV)
- Klimaanlage in Serverräumen
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Überspannungsschutzeinrichtungen in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte vor Serverräumen
- Feuerlöschgeräte in den Bürofluren
- Rauchverbot in Server- und PC-Arbeitsräumen
- Wichtige Backups werden in feuerfesten Boxen aufbewahrt
- Testen von Datenwiederherstellung
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Erstellen eines Backup- & Recovery Konzepts
- Serverräume nicht unter sanitären Anlagen
- In Hochwassergebieten: Serverräume über der Wassergrenze
- Der DV-Verantwortliche (ISB) hat eine Urlaubs- bzw. Krankheitsvertretung
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
- Einrichtung und Betrieb eines Monitoringsystems kritischer Systeme
Datenintegrität - Art 32 Satz 1 Ziffer b) EU-DSGVO
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
Wie wird die Fähigkeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitung auf Dauer sichergestellt?
Durch welche Maßnahmen ist gewährleistet das Fehlfunktionen gespeicherte personenbezogene Daten nicht beschädigen?
- Erstellen eines Backup- & Recovery Konzepts
- Regelmäßiges Testen von Datenwiederherstellung
- Aufbewahrung von einer verschlüsselten Datensicherung an einem sicheren, ausgelagerten Ort
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
- Testen von Datenwiederherstellung
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort (Havarie Archiv)
- Erstellen eines Backup- & Recovery Konzepts für Server und "stand Alone"-PC-Arbeitsplätze
- Alle Datensicherungen sind verschlüsselt
- Es erfolgt eine räumlich getrennte Aufbewahrung von Sicherungsdatenträgern
- Wichtige Server-Festplatten werden gespiegelt (RAID)
- Notfallplan (Wiederanlaufplan) ist vorhanden (Datenschutzhandbuch)
- Ein Notfall-Verantwortlicher ist benannt worden
- Einsatz von Anti-Viren-Software
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
- IPS (intrusion prevention system)
- Die Unternehmensleitung hat Verantwortung für Datenschutz und Informationssicherheit übernommen und es existiert ein IT-Sicherheitskonzept
(Es existiert ein Datenschutzhandbuch inkl. entsprechender IT-Sicherheitsrichtlinien/Arbeits-/ Verfahrensanweisungen zur Datenverarbeitung, ein Datenschutz- und Informationssicherheits-Team (DST), bestehend aus dem Datenschutzbeauftragten (DSB), dem Informationssicherheitsbeauftragten (ISB) und allen Abteilungsleitern wurde eingesetzt, im Datenschutzhandbuch sind die Verantwortlichkeiten von Beschäftigten, Abteilungsleitern, DST, DSB und ISB genau geregelt, die Unternehmensleitung ist selbst im DST vertreten)
- Die Beschäftigten werden zu Beginn der Tätigkeit und anschließend (mindestens) jährlich zum Datenschutz geschult
(Details sind im Datenschutzhandbuch verbindlich geregelt, dazu liegen Schulungs- bzw. Informationsnachweise (Art 39 Abs 1 BDSG-neu) für Mitarbeiter vor)
- Die Beschäftigten erhalten regelmäßige Hinweise und Ermahnungen um das Problembewusstsein zu fördern
- Die Beschäftigten wurden zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet.
(Geregelt durch unterzeichnete Verpflichtungserklärung auf DSGVO sowie Paragraph 88 TKG, Fernmeldegeheimnis, Wahrung von Betriebs- und Geschäftsgeheimnissen zu Beginn der Tätigkeit im Rahmen des Arbeitsvertrages)
- Ein Datenschutzbeauftragter ist schriftlich benannt worden.
- Im Rahmen des Datenschutzhandbuches existieren verbindliche Richtlinien für Beschäftigte zum Umgang mit personenbezogenen Daten.
- Durch verbindliche Regelungen im Datenschutzhandbuch ist sichergestellt, dass Datenschutzverletzungen erkannt und unverzüglich gemeldet werden.
- Der Prozess zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) ist im Datenschutzhandbuch verbindlich geregelt.
- Durch verbindliche Regelungen im Datenschutzhandbuch wird sichergestellt, dass Anfragen von Betroffenen fristgemäß bearbeitet werden.
- Es existiert ein Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO.
- Im Datenschutzhandbuch gewährleisten weitere Maßnahmen die Umsetzung der Vorgaben der DSGVO und BDSG-neu im Unternehmen.
- Im Datenschutzhandbuch ist ein verbindliches Datenschutzmanagementsystem (DSMS) und Informationssicherheitsmanagementsystem (ISMS) mit dem zentralen Baustein des DST implementiert worden.
- Der DV-Verantwortliche (ISB) hat eine Urlaubs- bzw. Krankheitsvertretung.
- Es werden gelegentliche, unvermutete In-House Kontrollen bezüglich der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen durch den internen DSB sowie den internen ISB vorgenommen.