Vertrag über die Übernahme und Vernichtung von Datenträgern

Vertrag über die Übernahme und Vernichtung von Datenträgern
zwischen
………………………………………………………………..
Name
………………………………………………………………..
Adresse
………………………………………………………………..
PLZ, Ort
– im Folgenden: „Auftraggeber“ –
und
………………………………………………………………..
Name / Firma
………………………………………………………………..
Adresse
………………………………………………………………..
PLZ, Ort
– im Folgenden: „Auftragnehmer“ –
§1
Gegenstand des Vertrages
Der Vertrag regelt die Übernahme und Vernichtung von Datenträgern. Der Auftragnehmer verpflichtet sich zur ordnungsgemäßen Übernahme und Vernichtung der Datenträger nach den
Weisungen des Auftraggebers. Art und Menge der zu vernichtenden Datenträger, Abholtag
und -ort werden in einem gesonderten Auftragschein festgelegt.
§2
Übernahme der Datenträger
Die Abholung erfolgt nach vorheriger Terminvereinbarung. Der Auftragnehmer darf grundsätzlich
nur so viele Datenträger abholen, wie am gleichen Tag restlos vernichtet werden können. Der zur
Übernahme der Datenträger berechtigte Beauftragte des Auftragnehmers übergibt als Berechtigungsnachweis ein vorgefertigtes Übernahmeprotokoll. Datum, Ort, Art, Menge und Verpackung
der Datenträger werden bei der Übergabe von den jeweils befugten Mitarbeitern der Vertragspartner auf dem Protokoll bestätigt.
§3
Transport
Der Transport der Datenträger darf nur in geschlossenen Fahrzeugen des Auftragnehmers
und/oder Sicherheitsbehältnissen und mit eigenem Personal durchgeführt werden. Dabei muss
sichergestellt sein, dass keine Datenträger verloren gehen oder entnommen werden können.
2
§4
Vernichtung
(1) Die übernommenen Datenträger sind vom Auftragnehmer am Tag der Abholung zu vernichten. Nur in Ausnahmefällen (Kapazitäts- oder Personalengpässe, Ausfall der Vernichtungsanlage) dürfen die Datenträger über Nacht in verschlossenen Räumen aufbewahrt werden. Dabei
muss sichergestellt werden, dass Unbefugte keinen Zutritt haben und die Datenträger nicht mit
denen anderer Auftraggeber vermischt werden.
(2) Die Vernichtung der Datenträger erfolgt nach DIN 66399. Vorbehaltlich abweichender Vereinbarungen erfolgt die Vernichtung unter Berücksichtigung der Art der Datenträger1 und der
Schutzklasse2 nach der daraus abgeleiteten Sicherheitsstufe3 wie folgt.
Datenträgerart
Schutzklasse
Sicherheitsstufe
P
F
O
T
H
E
(3) Der Auftragnehmer hat über die Vernichtung der Datenträger eine schriftliche Bestätigung
abzugeben, die Angaben zu Art und Menge der Datenträger, Tag und Ort der Vernichtung, die
Sicherheitsstufe sowie über besondere Vorkommnisse enthält.
§5
Sorgfaltspflichten
Der Auftragnehmer sichert zu, beim Transport und bei der Vernichtung der Datenträger nur eigenes Personal einzusetzen, das nach dem Bundesdatenschutzgesetz auf das Datengeheimnis
verpflichtet worden ist. Er untersagt den in seinem Betrieb beschäftigten Personen jedes Beiseiteschaffen von Datenträgern sowie deren Einsichtnahme und überwacht die Einhaltung dieser
Anordnung.
1
Arten von Datenträgern:
P – Papier, Film, Druckformen, u. ä.
F – Film, Folie, u. ä.
O – optische Datenträger (CD, DVD, Blu-ray, u. ä.)
T – magnetische Datenträger (Disketten, ID-Karten, Magnetbandkassetten u. ä.),
H – Festplatten mit magnetischem Datenträger (konventionelle Festplatten),
E – elektronische Datenträger (Speichersticks, Chipkarten, Halbleiterfestplatten u. ä.)
2
Schutzklassen
Schutzklasse 1 – Normaler Schutzbedarf für interne Daten
Schutzklasse 2 – Hoher Schutzbedarf für vertrauliche Daten
Schutzklasse 3 – Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten
3
Sicherheitsstufen:
Sicherheitsstufe 1 und 2 sind nicht anzuwenden für Datenträger mit personenbezogene Daten
Sicherheitsstufe 3 – für Datenträger mit sensiblen und vertraulichen Daten.
Sicherheitsstufe 4 – für Datenträger mit besonders sensiblen und vertraulichen Daten
Sicherheitsstufe 5 – für Datenträger mit geheim zu haltenden Daten
Sicherheitsstufe 6 – für Datenträger mit geheim zu haltenden Daten, wenn außergewöhnlich hohe Sicherheitsvorkehrungen
einzuhalten sind
Sicherheitsstufe 7 – für Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten
sind
3
§6
Verfügungsgewalt
(1) Der Auftragnehmer erwirbt keine Rechte an den in seinen Besitz gelangenden Datenträgern
und den darauf verzeichneten Daten, schriftlichen oder bildlichen Darstellungen. Die Einsichtnahme in die Datenträger sowie deren Weitergabe oder sonstige Verwendung durch den Auftragnehmer ist untersagt.
(2) Das durch die Vernichtung gewonnene Abfallgut geht in das Eigentum des Auftragnehmers
über.
§7
Kontrolle
Der Auftraggeber ist berechtigt, den Transport und die Vernichtung der Datenträger zu überwachen. Der Auftragnehmer verpflichtet sich, die Anwesenheit von Beauftragten des Auftraggebers
bei allen mit dem Transport und der Vernichtung zusammenhängenden Dienstleistungen und in
allen dabei benutzten Räumen, Fahrzeugen und Betriebseinrichtungen zu dulden. Er gestaltet
den Betriebsablauf so, dass die Überwachung durch den Beauftragten des Auftraggebers jederzeit gewährleistet ist. Der Auftragnehmer verpflichtet sich, die von der zuständigen Aufsichtsbehörde oder durch den Landesbeauftragten für den Datenschutz bei einer möglichen Überprüfung
festgestellten Mängel unverzüglich abzustellen und dem Auftraggeber Einsicht in die Prüfberichte
der Aufsichtsbehörde zu gewähren.
§8
Maßnahmen bei Funktionsstörungen
(1) Der Auftragnehmer verpflichtet sich, geeignete Maßnahmen für den Fall von Funktionsstörungen in seinem Betriebsablauf zu treffen, um zu verhindern, dass auf die zur Vernichtung vorgesehenen Datenträger unbefugt zugegriffen wird. Der Auftraggeber ist unverzüglich zu verständigen.
(2) Ansprechpartner für Meldungen von Unregelmäßigkeiten bei der Abwicklung von Arbeiten
sind für den Auftraggeber ................................................................................................,
für den Auftragnehmer ..................................................................................................... .
(Zusatz bei längerfristigem Vertrag:
Änderungen in der Person des Ansprechpartners teilen sich die Vertragspartner unverzüglich
schriftlich mit.)
§9
Haftung und fristlose Kündigung
(1) Der Auftragnehmer haftet dem Auftraggeber für Verladung, Transport und die Vernichtung
der Datenträger nach diesem Vertrag sowie den gesetzlichen Bestimmungen. Der Auftragnehmer hält den Auftraggeber insbesondere von solchen Ansprüchen frei, die gegen den Auftraggeber erhoben werden und die auf Grund nicht vertragsgemäßer Behandlung der Datenträger nach
Übernahme durch den Auftragnehmer begründet sind. Die Haftung beginnt mit der Übernahme
der Datenträger durch den Auftragnehmer.
(2) Verstößt der Auftragnehmer gegen seine in diesem Vertrag übernommenen Verpflichtungen,
insbesondere bezüglich der Geheimhaltung des Inhalts der Datenträger, der Erschwerung der
4
Überwachung oder bei nicht rechtzeitiger Vernichtung der übernommenen Datenträger, ist der
Auftraggeber berechtigt, unverzüglich und ohne Entschädigung den Vertrag zu kündigen.
§ 10
Subunternehmen
Die Beauftragung von Subunternehmen ist nur mit schriftlicher Einwilligung des Auftraggebers
zulässig. Der Auftragnehmer wird vertraglich sicherstellen, dass die vereinbarten Regelungen
auch gegenüber Subunternehmen gelten.
§ 11
Vertragsdauer
Der Vertrag beginnt am ......................................................................................................
§ 12
Zusätzliche Vereinbarungen
Nur, wenn der Auftraggeber eine öffentliche Stelle ist und die Vernichtung von Datenträgern der Ausführung von Aufgaben der öffentlichen Verwaltung zuzurechnen ist:
(1) Der Auftragnehmer sichert zu, beim Transport und bei der Vernichtung der Datenträger nur
eigenes Personal einzusetzen, das durch die zuständige öffentliche Stelle nach dem Verpflichtungsgesetz verpflichtet worden ist.
Nur, wenn für den Auftraggeber, nicht aber für den Auftragnehmer, § 8 DSG LSA gilt:
(2) Der Auftragnehmer verpflichtet sich nach § 8 Abs. 6 des Gesetzes zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt – DSG LSA), die Bestimmungen
des DSG LSA zu beachten; er unterwirft sich der Kontrolle durch den Landesbeauftragten für
den Datenschutz nach §§ 22 bis 24 DSG LSA.
§ 13
Gerichtsstand
..........................................................
(Ort, Datum, Unterschrift
Auftraggeber)
...............................................................
(Ort, Datum, Unterschrift
Auftragnehmer)

Download Report