Vertrag zur Auftragsdatenverarbeitung nach § 8 DSG LSA Vereinbarung zwischen ……………………………………………………………….. Name ……………………………………………………………….. Adresse ……………………………………………………………….. PLZ, Ort – im Folgenden: „Auftraggeber“ – und ……………………………………………………………….. Name / Firma ……………………………………………………………….. Adresse ……………………………………………………………….. PLZ, Ort – im Folgenden: „Auftragnehmer“ – I. Gegenstand der Vereinbarung 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. 2. Der Auftrag umfasst folgende Arbeiten: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. (Beschreibung der vom Auftragnehmer zu erbringenden Leistung, Bezeichnung der Art der zu verarbeitenden Daten) II. Pflichten des Auftraggebers 1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. 2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen. 3. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. 4. Der Auftraggeber verpflichtet sich, dem Auftragnehmer unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen schriftlich mitzuteilen, die 2 gegenüber dem Auftragnehmer weisungsberechtigt sind oder als Ansprechpartner fungieren. Änderungen werden dem Auftragnehmer unverzüglich schriftlich mitgeteilt. 4. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. 6. Der Auftraggeber unterrichtet den Landesbeauftragten für den Datenschutz gemäß § 8 Abs. 6 DSG LSA über die Beauftragung, wenn auf den Auftragnehmer das DSG LSA nicht anwendbar ist. III. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. 2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen schriftlich mitzuteilen, die zur Entgegennahme von Weisungen des Auftraggebers befugt sind oder als Ansprechpartner fungieren. Änderungen sind dem Auftraggeber unverzüglich schriftlich mitzuteilen. 3. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang werden dokumentiert. 4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden (Mandantentrennung, s. § 10 Abs. 1 DSG LSA). 5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer verpflichtet sich, den Landesbeauftragten für den Datenschutz, Leiterstraße 9, 39104 Magdeburg (Postfach 1947, 39009 Magdeburg) zu unterrichten, wenn der Auftraggeber trotz Hinweis des Auftragnehmers an einer Weisung festhält, die gegen das DSG LSA oder andere Vorschriften über den Datenschutz verstößt. 6. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und 3 die Datenverarbeitungsprogramme. 7. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den Auftraggeber bzw. den Landesbeauftragten für den Datenschutz im Falle einer Kontrolle vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner der Privatwohnung mit dieser Regelung einverstanden sind. 8. Nach Abschluss der jeweiligen vertraglichen Arbeiten hat der Auftragnehmer dem Auftraggeber sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen. 9. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden. Die Vernichtung von Datenträgern mit personenbezogenen Daten erfolgt nach DIN 66399. Vorbehaltlich abweichender Vereinbarung erfolgt die Vernichtung unter Berücksichtigung der Art der Datenträger1, der Schutzklasse2 und der daraus abgeleiteten Sicherheitsstufe3, wie folgt. Datenträgerart Schutzklasse Sicherheitsstufe P F O T H E 10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzu1 Arten von Datenträgern: P – Papier, Film, Druckformen, u. ä. F – Film, Folie, u. ä. O – optische Datenträger (CD, DVD, Blu-ray, u. ä.) T – magnetische Datenträger (Disketten, ID-Karten, Magnetbandkassetten u. ä.), H – Festplatten mit magnetischem Datenträger (konventionelle Festplatten), E – elektronische Datenträger (Speichersticks, Chipkarten, Halbleiterfestplatten u. ä.) 2 Schutzklassen Schutzklasse 1 – Normaler Schutzbedarf für interne Daten Schutzklasse 2 – Hoher Schutzbedarf für vertrauliche Daten Schutzklasse 3 – Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten 3 Sicherheitsstufen: Sicherheitsstufe 1 und 2 sind nicht anzuwenden für Datenträger mit personenbezogene Daten Sicherheitsstufe 3 – für Datenträger mit sensiblen und vertraulichen Daten. Sicherheitsstufe 4 – für Datenträger mit besonders sensiblen und vertraulichen Daten Sicherheitsstufe 5 – für Datenträger mit geheim zu haltenden Daten Sicherheitsstufe 6 – für Datenträger mit geheim zu haltenden Daten, wenn außergewöhnlich hohe Sicherheitsvorkehrungen einzuhalten sind Sicherheitsstufe 7 – für Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind 4 stellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 8 DSG LSA erfüllt hat. (Zurzeit sind die in Anlage ......... mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.) 11. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. Nur, wenn der Auftragnehmer nicht dem DSG LSA unterfällt: 12. Der Auftragnehmer verpflichtet sich nach § 8 Abs. 6 DSG LSA, die Bestimmungen des DSG LSA zu befolgen. Er unterwirft sich der Kontrolle des Landesbeauftragten für den Datenschutz entsprechend den §§ 22 bis 24 DSG LSA. Nur, wenn der Auftragnehmer eine nicht-öffentliche Stelle ist: 13. Der Auftragnehmer verpflichtet sich, den Auftrag nur durch Beschäftigte auszuführen, die 1. durch ihn nach § 5 Satz 2 des Bundesdatenschutzgesetzes (BDSG) auf das Datengeheimnis und 2. durch die zuständige öffentliche Stelle nach dem Verpflichtungsgesetz verpflichtet worden sind. IV. Datenschutzbeauftragter des Auftragnehmers Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau ……………………………………………………………….. Name, Vorname ……………………………………………………………….. Organisationseinheit ……………………………………………………………….. Telefonnummer bestellt. Ein Wechsel des/der Beauftragten für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen. V. Datengeheimnis 1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. 2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des 5 Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. 3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. VI. Datensicherheitsmaßnahmen nach § 6 Abs. 2 und 3 DSG LSA (Erläuterungen siehe Anlage) Für die auftragsgemäße Verarbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen (Hardware- und Softwareprodukte): ……………………………………………………………….. Server-Hardware ……………………………………………………………….. Virtualisierungs-Lösung ……………………………………………………………….. Betriebssystem ……………………………………………………………….. Datenbankmanagementsystem ……………………………………………………………….. Datenverarbeitungssoftware 1. Das als Anlage beigefügte Datensicherheitskonzept des Auftragnehmers wird als verbindlich festgelegt. oder Die in der Anlage beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt. 2. Der Auftragnehmer hat an der Erstellung der Verfahrensverzeichnisse mitzuwirken. Er hat dem Auftraggeber die erforderlichen Angaben zuzuleiten. 3. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. 4. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. 5. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Er unterrichtet den Auftraggeber unverzüglich, wenn eine vom Auftraggeber erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder ausdrücklich bestätigt wird. 6 VII. Vertragsdauer 1. Der Vertrag beginnt am ……………… und endet am ……………… . oder Es handelt sich um eine Auftragserledigung. oder Der Vertrag wird auf unbestimmte Zeit geschlossen und ist mit einer Frist von …… Monaten zum Quartalsende kündbar. 2. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert. VIII. Vergütung ...... IX. Haftung 1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. 2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem DSG LSA oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten. X. Vertragsstrafe Bei Verstoß gegen die Abmachungen dieses Vertrages, insbesondere gegen die Einhaltung des Datenschutzes, wird eine Vertragsstrafe von ............... Euro vereinbart. XI. Nichterfüllung der Leistung ...... 7 XII. Sonstiges 1. Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf denen sich Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu kennzeichnen. 2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. 3. Für Nebenabreden ist die Schriftform erforderlich. 4. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. XIII. Gerichtsstand ......... XIV. Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 8 Anlage Technische und organisatorische Maßnahmen nach der Anlage zu § 6 Abs. 2 DSG LSA Gemäß § 8 Abs. 2 DSG LSA muss der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt werden. Im Vertrag sind insbesondere die technischen und organisatorischen Maßnahmen, welche die Datensicherheit gewährleisten, schriftlich festzulegen. Aus den IT-Grundschutz-Katalogen des BSI können einzelne Maßnahmen in den Vertrag übernommen werden, soweit es sich um einen normalen Schutzbedarf handelt. Die IT-Grundschutz-Kataloge sind jedoch nicht abschließend. Insbesondere bei der Verarbeitung personenbezogener Daten besonderer Art (§ 2 Abs. 1 Satz 2 DSG LSA) sind in der Regel zusätzliche Maßnahmen erforderlich. Sollte die Auftragsdatenverarbeitung in automatisierten Verfahren erfolgen, definiert § 6 Abs. 2 DSG LSA die Schutzziele, die vom Auftragnehmer erreicht werden müssen. Die nachfolgend festgelegten technischen und organisatorischen Maßnahmen bei der automatisierten Datenverarbeitung werden vom Auftragnehmer umgesetzt, um diese Schutzziele zu erreichen.4 1. Vertraulichkeit Vertraulichkeit ist gewährleistet, wenn die gespeicherten Daten nicht in die Hände Unbefugter geraten können, was durch folgende Maßnahmen realisiert werden kann: 4 Alarmanlage Wachpersonal Zugangskontrollsystem Videoüberwachung Sicherheitsschlösser Schlüsselregelung Schließsystem mit Chipkarte Schließsystem mit Transponder Schließsystem mit Codesperre Manuelles Schließsystem Biometrische Zugangssperren Ausweispflicht Personenkontrolle Protokollierung des Zutritts Festlegung befugter Personen Unterteilung in Sicherheitszonen Fensterversiegelung Sperren von BIOS und Bootmedien Auf Datenschutz verpflichtetes Reinigungs- und Wartungspersonal Festgelegte Reinigungs- und Wartungszeiten Beaufsichtigung der Reinigung und Wartung Geräte- und Gehäuseversiegelung Benutzerkonto für jeden Mitarbeiter Zeitliche Zugangsbeschränkung Zutreffendes bitte ankreuzen und ggf. durch weiter Unterlagen dokumentieren. 9 Zugangsbeschränkung nach Endgerät Regelungen bei Ausscheiden von Mitarbeitern Automatische Abmeldevorgänge Kontensperrung nach mehrmaliger Falscheingabe des Passworts Aufteilung der Administratorrechte unter verschiedenen Personen Vergabe von Administratorrechten an minimale Anzahl Personen 5 5 Sicheres Löschen von Datenträgern Sicheres Löschen einzelner Dateien Protokollierung von Löschvorgängen Verschlüsselung von Datenbanken Datenträgervernichtung nach DIN 66399 Protokollierung der Datenträgervernichtung Sperrung der Nutzung von persönlichem Cloud-Speicher am Arbeitsplatz-PC Verhinderung nicht-autorisierter CloudSynchronisation durch 6 Drittanbietersoftware Weitergabe von Daten in anonymisierter Form Weitergabe von Daten in pseudonymisierter Form Sichere Behälter und Verpackungen bei physischem Transport Zuverlässiges Transportpersonal Identitätsnachweis des Transportpersonals Dokumentation der Übergabeprozesse bei physischem Transport Berechtigungskonzept mit gesonderten Eingabe-, Änderungs- und Löschbefugnissen Fernlöschung von mobilen Endgeräten Arbeiten mit individuellen Benutzerkennungen Benutzerkennungsbezogene Protokollierung Protokollierung aller Administratorenaktivitäten Logische Mandantentrennung Physikalisch getrennte Speicherung und Verarbeitung Trennung von Produktiv- und Testsystem Differenzierte Berechtigungen bei der Datenverwaltung Differenzierung administrativer Aufgaben bei der Datenverwaltung ……………………………………….. ……………………………………….. 2. Integrität Integrität ist gewährleistet, wenn Datenbestände unversehrt, vollständig und aktuell, also verlässlich richtig sind. Sie muss während der Erhebung und allen Phasen der Verarbeitung gegeben sein und kann durch folgende Maßnahmen realisiert werden: 5 Authentifikation mit Passwort Authentifikation mit SmartCard Authentifikation über Verzeichnisdienste Biometrische Authentifikation Mehrmaliges vollständiges Überschreiben des vorherigen Inhalts mit Zufallszahlen Jede Nutzung von Cloud-Diensten bei der Verarbeitung personenbezogener Daten muss als Auftragsdatenverarbeitung gemäß § 8 DSG LSA gestaltet werden. 6 10 Single Sign On Überwachung von Fernwartungsaktivitäten Sperren externer Schnittstellen wie USB Intrusion Detection System Virenschutzlösungen Application Layer Firewall Packet Filter Firewall Rollenkonzept Dedizierte Netze für sensible Systeme Berechtigungskonzept Differenzierte Berechtigungen für unterschiedliche Transaktionen/Funktionen Differenzierte Berechtigungen für Datenobjekte Strenge Passwortrichtlinien Regelmäßige Passwortwechsel Datenträgerverschlüsselung Dateiverschlüsselung Protokollierung der Dateneingaben Protokollierung der Datenänderungen Protokollierung der Datenlöschungen ……………………………………….. ……………………………………….. 3. Verfügbarkeit Verfügbarkeit liegt vor, wenn Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können. Die Verfügbarkeit bezieht sich nicht nur auf die gespeicherten personenbezogenen Daten im engeren Sinne, sondern gleichermaßen auf die Hardware und die zur Verarbeitung erforderlichen Programme. Nur Berechtigte können die ihnen freigegebenen personenbezogene Daten verarbeiten und nutzen, währenddessen Unbefugte diese Daten weder lesen noch verändern können. Um eine hohe Verfügbarkeit zu gewährleisten, können folgende Maßnahmen ergriffen werden: Einbruchhemmende Fenster Sichere Aufbewahrung von (Wechsel-)Datenträgern Sicherungs- und Wiederherstellungskonzept (Backup & Recovery) Aufbewahrung der Datensicherung in einem anderen Brandabschnitt Festgelegte Zuständigkeiten für die Datensicherung Regelmäßiger Test der Datenwiederherstellung Notfallplan Datenträgerspiegelung (RAID) Redundante IT-Systeme Virtualisierte Infrastruktur Unterbrechungsfreie Stromversorgung Überspannungsschutz Klimaanlage in Serverräumen Klimaüberwachung (Raumtemperatur, Feuchtigkeit) in Serverräumen 11 Feuer- und Rauchmeldeanlagen Feuerlöscher / automatisches Löschsystem Automatisches Benachrichtigungssystem Automatisches Notrufsystem Schutz vor Wassereinbruch und Hochwasser Nachweis der Eignung der Räumlichkeiten und Bausubstanz ……………………………………….. ……………………………………….. 4. Authentizität Die Authentizität ist hauptsächlich bei elektronisch übertragenen Dokumenten bedroht. Dem kann durch Verfahren begegnet werden, bei denen die Herkunft der Daten nachvollziehbar ist. Datenkommunikation über VPN-Tunnel Transportverschlüsselte Datenübertragung Inhaltsverschlüsselte Datenübertragung E-Mail-Verschlüsselung mit PGP E-Mail-Verschlüsselung mit S/MIME Nutzung von DE-Mail Datenerfassungsanweisungen Plausibilitätskontrollen Identitätsprüfung bei Anlieferung von Daten ……………………………………….. ……………………………………….. 5. Revisionsfähigkeit Revisionsfähig sind Daten, wenn nachprüfbar ist, wie Daten in einen Datenbestand gelangt sind und welche Veränderungen sie im Laufe der Zeit erfahren haben. Nachprüfbar muss sein, wer für das Aufnehmen bestimmter Daten in einen Datenbestand oder ihr Entfernen daraus die Verantwortung trägt. Protokollierung der Anmeldevorgänge Protokollierung der Datenzugriffe Protokollierung gescheiterter Zugriffsversuche Sicherung der Protokolldaten gegen Veränderung und Verlust Automatisierte Auswertung der Protokolldaten Übersicht der Anwendungen mit Eingabe-, Änderungs- und Löschfunktion Attributierung von Datensätzen nach Zweck der Verarbeitung Aufbewahrung der Originaldokumente, deren Daten automatisiert verarbeitet werden ……………………………………….. ……………………………………….. 12 6. Transparenz Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren. Die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvollziehbar wird. Protokollierung der Übermittlungsvorgänge Dokumentation der Datenempfänger und Zeitspanne der Überlassung Dokumentation der getroffenen Sicherheitsmaßnahmen Bestellung einer/eines betrieblichen Datenschutzbeauftragten Dokumentation und Auskunft über eingesetzte Programme Dokumentation und Auskunft über vorhandene IT-Infrastruktur Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG Entgegennehmen ausschließlich schriftlicher Weisungen von befugten Mitarbeitern des Auftraggebers Duldung und Unterstützung von Prüfungen durch den Auftraggeber Wirksame Kontrollrechte für den Auftraggeber vereinbart Vertragsstrafen vereinbart Verbindliche Löschfristen vereinbart Vernichtung von Daten nach Beendigung des Auftrags Vertragliche Regelung des Einsatzes von Unterauftragnehmern Rückgabeverfahren für nicht weiter benötigte Unterlagen Dokumentation der Mandanten und zugehörigen Datenbereiche ……………………………………….. ……………………………………….. Bitte kreuzen Sie diejenigen Maßnahmen an, die von Ihnen als Auftragnehmer umgesetzt werden. Es müssen Maßnahmen in jedem Themenbereich umgesetzt werden. Bei Vergabe von Unteraufträgen oder Fernwartungsverträgen sind die Maßnahmen des Unterauftragnehmers, falls abweichend von oben genannten, in einer gesonderten Anlage aufzuführen.
© Copyright 2024 ExpyDoc
