Vertrag zur Auftragsdatenverarbeitung nach § 11

Vertrag zur Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG)
Vereinbarung zwischen
………………………………………………………………..
Name / Firma
………………………………………………………………..
Adresse
………………………………………………………………..
PLZ, Ort
– im Folgenden: „Auftraggeber“ –
und
………………………………………………………………..
Name / Firma
………………………………………………………………..
Adresse
………………………………………………………………..
PLZ, Ort
– im Folgenden: „Auftragnehmer“ –
I. Gegenstand der Vereinbarung
1. Der Auftragnehmer erhebt, verarbeitet oder nutzt die personenbezogenen Daten im Auftrag des Auftraggebers. Der Auftraggeber ist verantwortliche Stelle i. S. v. § 3 Abs. 7
BDSG.
2. Der Auftrag umfasst folgende Arbeiten:
……..……………………….………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
(Genaue Beschreibung der vom Auftragnehmer zu erbringenden Leistung, insbesondere:
- Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
- Bezeichnung der Art der personenbezogenen Daten, die erhoben, verarbeitet oder genutzt werden sollen
(z. B. Namen, Adressdaten, Abrechnungsdaten)
- genaue Beschreibung der Tätigkeiten, die ausgeführt werden sollen (inwieweit und in welcher Weise sollen personenbezogene Daten erhoben, verarbeiten oder genutzt werden)
- der Kreis der Betroffenen (z. B. Kunden, Abonnenten, Beschäftigte, Lieferanten)
- der Zulässigkeit von Berichtigung, Löschung und Sperrung der Daten
- ggf. Verweis auf ein differenziertes Leistungsverzeichnis.)
II. Pflichten des Auftraggebers
1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der
Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und
schriftlich festzulegen.
3. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
4. Der Auftraggeber verpflichtet sich, dem Auftragnehmer unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen schriftlich mitzuteilen, die gegenüber dem Auftragnehmer weisungsberechtigt sind oder als Ansprechpartner fungieren. Änderungen werden dem Auftragnehmer unverzüglich schriftlich mitgeteilt.
5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
6. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten
Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
III. Pflichten des Auftragnehmers
1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der
getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er verwendet die
zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen schriftlich mitzuteilen, die zur
Entgegennahme von Weisungen des Auftraggebers befugt sind oder als Ansprechpartner fungieren. Änderungen sind dem Auftraggeber unverzüglich schriftlich mitzuteilen.
3. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang werden dokumentiert.
4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er
sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt
werden.
5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen,
wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche
Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
6. Der Auftragnehmer überprüft regelmäßig die auftrags- und datenschutzgerechte Durchführung dieses Vertrages, mindestens jedoch einmal monatlich. Die Prüfergebnisse sind
zu dokumentieren und dem Auftraggeber auf Verlangen vorzulegen.
7. Der Auftragnehmer hat zu dulden, dass der Auftraggeber oder seine Beauftragten jederzeit die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang kontrollieren. Dazu hat er insbesondere zu dulden,
dass der Auftraggeber die Geschäftsräume des Auftragnehmers betritt. Letzterer hat die
Seite 2 von 12
erforderlichen Auskünften zu erteilen und die Einsichtnahme in die gespeicherten Daten
und die Datenverarbeitungsprogramme zu ermöglichen.
8. Die Verarbeitung von personenbezogenen Daten in Privatwohnungen ist grundsätzlich
unzulässig. Ihr kann im Einzelfall durch den Auftraggeber nur insoweit zugestimmt werden, als Auftragnehmer und Wohnungsinhaber vor der Verarbeitung schriftlich versichern, dass der Auftraggeber Zugang zum Verarbeitungsort erhält (siehe III. Nr. 6).
9. Die Verarbeitung und Nutzung der personenbezogenen Daten findet ausschließlich im
Gebiet der Bundesrepublik Deutschland, der Europäischen Union oder des Europäischen
Wirtschaftsraumes statt. Jede Verlagerung der personenbezogenen Daten in ein Drittlandland ist nur nach vorheriger Zustimmung des Auftraggebers und bei Vorliegen der
Voraussetzungen der §§ 4b, 4c BDSG zulässig.
10. Der Auftragnehmer ist verpflichtet, Beschwerden und Eingaben, die er im Zusammenhang mit diesem Vertrag erhält, unverzüglich an den Auftraggeber weiterzuleiten.
11. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Störungen im Betriebsablauf und bei Verdacht auf Verstoß gegen datenschutzrechtliche Bestimmungen
oder die Festlegungen dieses Vertrages. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42a BDSG zu unterstützen.
12. Nach Abschluss der jeweiligen vertraglichen Arbeiten hat der Auftragnehmer dem Auftraggeber sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungsoder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen,
auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen.
Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen.
13. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst
nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden. Die Vernichtung von Datenträgern mit personenbezogenen Daten erfolgt nach
DIN 66399. Vorbehaltlich abweichender Vereinbarung erfolgt die Vernichtung unter Berücksichtigung der Art der Datenträger1, der Schutzklasse2 und der daraus abgeleiteten
Sicherheitsstufe3, wie folgt.
1
Arten von Datenträgern:
P – Papier, Film, Druckformen, u. ä.
F – Film, Folie, u. ä.
O – optische Datenträger (CD, DVD, Blu-ray, u. ä.)
T – magnetische Datenträger (Disketten, ID-Karten, Magnetbandkassetten u. ä.),
H – Festplatten mit magnetischem Datenträger (konventionelle Festplatten),
E – elektronische Datenträger (Speichersticks, Chipkarten, Halbleiterfestplatten u. ä.)
2
Schutzklassen
Schutzklasse 1 – Normaler Schutzbedarf für interne Daten
Schutzklasse 2 – Hoher Schutzbedarf für vertrauliche Daten
Schutzklasse 3 – Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten
3
Sicherheitsstufen:
Sicherheitsstufe 1 und 2 sind nicht anzuwenden für Datenträger mit personenbezogene Daten
Sicherheitsstufe 3 – für Datenträger mit sensiblen und vertraulichen Daten.
Sicherheitsstufe 4 – für Datenträger mit besonders sensiblen und vertraulichen Daten
Sicherheitsstufe 5 – für Datenträger mit geheim zu haltenden Daten
Sicherheitsstufe 6 – für Datenträger mit geheim zu haltenden Daten, wenn außergewöhnlich hohe Sicherheitsvorkehrungen einzuhalten sind
Sicherheitsstufe 7 – für Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind
Seite 3 von 12
Datenträgerart
Schutzklasse
Sicherheitsstufe
P
F
O
T
H
E
14. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen,
dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die
Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist
erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 11 BDSG erfüllt hat.
(Zurzeit sind die in Anlage … mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang
beschäftigt.)
15. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung
und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.
IV. Datenschutzbeauftragter des Auftragnehmers
Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau
………………………………………………………………..
Name, Vorname
………………………………………………………………..
Organisationseinheit
………………………………………………………………..
Telefonnummer
bestellt. Ein Wechsel des/der Beauftragten für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
V. Datengeheimnis
1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet
sich, folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:
…………………………………………………………………………
2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer macht seine Mitarbeiter, die auf personenbezogene Daten des Auftraggebers zugreifen können, mit den für sie maßgebenden Bestimmungen des Datenschutzes vor Aufnahme der Tätigkeit vertraut und verpflichtet sie
schriftlich auf das Datengeheimnis gemäß § 5 BDSG.
Seite 4 von 12
3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger
schriftlicher Zustimmung durch den Auftraggeber erteilen.
VI. Kontrollen der Aufsichtsbehörde
Der Auftragnehmer verpflichtet sich, der Datenschutz-Aufsichtsbehörde und den von ihr
eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren und unterwirft
sich der Kontrolle nach Maßgabe des § 38 Abs. 4 BDSG in seiner jeweiligen Fassung.
Der Auftragnehmer informiert den Auftraggeber über Kontrollen der Aufsichtsbehörde
und über eingeleitete Straf- und Bußgeldverfahren nach §§ 43, 44 BDSG, sofern ein Bezug zu dieser Auftragsdatenverarbeitung besteht.
VII. Technische und organisatorische Maßnahmen zur Datensicherheit nach der Anlage zu § 9 BDSG
Für die auftragsgemäße Verarbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen (Hardware- und Softwareprodukte):
………………………………………………………………..
Server-Hardware
………………………………………………………………..
Virtualisierungs-Lösung
………………………………………………………………..
Betriebssystem
………………………………………………………………..
Datenbankmanagementsystem
………………………………………………………………..
Datenverarbeitungssoftware
1. Die in der Anlage beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
2. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er
hat dem Auftraggeber die erforderlichen Angaben zuzuleiten.
3. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er
gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
4. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der aktuellen technischen Weiterentwicklungen angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.
5. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen
des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder
Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Er unterrichtet den
Auftraggeber unverzüglich, wenn eine vom Auftraggeber erteilte Weisung nach seiner
Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung
braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder
ausdrücklich bestätigt wird.
Seite 5 von 12
VIII.Vertragsdauer
1.
Der Vertrag beginnt am ……………… und endet am ……………… .
oder
Es handelt sich um eine Auftragserledigung.
oder
Der Vertrag wird auf unbestimmte Zeit geschlossen und ist mit einer Frist von ……
Monaten zum Quartalsende kündbar.
2. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn
ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann
oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert.
IX. Haftung
1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine
Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen.
2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung
im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem
Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
X. Vertragsstrafe
Bei Verstoß gegen die Abmachungen dieses Vertrages, insbesondere gegen die Einhaltung des Datenschutzes, wird folgende Vertragsstrafe vereinbart:
………………………………………………………………..
XI. Sonstiges
1. Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf denen sich Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger
sind besonders zu kennzeichnen.
2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter
(etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den
Auftraggeber unverzüglich zu verständigen.
3. Für Nebenabreden ist die Schriftform erforderlich.
Seite 6 von 12
4. Die Einrede des Zurückbehaltungsrechts im Sinne des § 273 BGB wird hinsichtlich der
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
XII. Gerichtsstand
………………………………………………………………..
Gericht, Ort
XIII. Wirksamkeit der Vereinbarung
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Seite 7 von 12
Anlage
Technische und organisatorische Maßnahmen
nach der Anlage zu § 9 Satz 1 BDSG
Gemäß § 11 Abs. 2 BDSG muss der Auftragnehmer unter besonderer Berücksichtigung der
Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen
Maßnahmen sorgfältig ausgewählt werden. Im Vertrag sind insbesondere die technischen
und organisatorischen Maßnahmen, welche die Datensicherheit gewährleisten, schriftlich
festzulegen. Aus den IT-Grundschutz-Katalogen des BSI können einzelne Maßnahmen in
den Vertrag übernommen werden, soweit es sich um einen normalen Schutzbedarf handelt.
Die IT-Grundschutz-Kataloge sind jedoch nicht abschließend. Insbesondere bei der Verarbeitung besonderer Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) sind in der Regel
zusätzliche Maßnahmen erforderlich.
Sollte die Auftragsdatenverarbeitung in automatisierten Verfahren erfolgen, definiert die Anlage zu § 9 Satz 1 BDSG in Nummer 1 bis 8 Maßnahmen, die vom Auftragnehmer durchzuführen sind. Die nachfolgend festgelegten technischen und organisatorischen Maßnahmen
bei der automatisierten Datenverarbeitung werden vom Auftragnehmer umgesetzt.4
1. Zutrittskontrolle
Unbefugten wird der Zutritt zu den Datenverarbeitungsanlagen durch folgende Maßnahmen verwehrt:
4
Alarmanlage
Wachpersonal
Zugangskontrollsystem
Videoüberwachung
Sicherheitsschlösser
Schlüsselregelung
Schließsystem mit Chipkarte
Schließsystem mit Transponder
Schließsystem mit Codesperre
Manuelles Schließsystem
Biometrische Zugangssperren
Ausweispflicht
Personenkontrolle
Protokollierung des Zutritts
Festlegung befugter Personen
Unterteilung in Sicherheitszonen
Fensterversiegelung
Einbruchhemmende Fenster
Auf Datenschutz verpflichtetes Reinigungs- und Wartungspersonal
Festgelegte Reinigungs- und Wartungszeiten
Beaufsichtigung der Reinigung und
Wartung
Geräte- und Gehäuseversiegelung
……………………………………………
……………………………………………
Zutreffendes bitte ankreuzen und ggf. durch weiter Unterlagen dokumentieren.
Seite 8 von 12
2. Zugangskontrolle
Die unbefugte Nutzung der Datenverarbeitungssysteme wird durch folgende Maßnahmen
verhindert:
Benutzerkonto für jeden Mitarbeiter
Authentifikation mit Passwort
Authentifikation mit SmartCard
Biometrische Authentifikation
Authentifikation über Verzeichnisdienste
Single Sign On
Zeitliche Zugangsbeschränkung
Zugangsbeschränkung nach Endgerät
Sperren externer Schnittstellen wie USB
Sperren von BIOS und Bootmedien
Virenschutzlösungen
Intrusion Detection System
Packet Filter Firewall
Application Layer Firewall
Dedizierte Netze für sensible Systeme
Regelungen bei Ausscheiden von Mitarbeitern
……………………………………………
……………………………………………
3. Zugriffskontrolle
Nur Berechtigte können die ihnen freigegebenen personenbezogene Daten verarbeiten
und nutzen, währenddessen Unbefugte diese Daten weder lesen noch verändern können.
Dazu werden folgende Maßnahmen ergriffen.
Rollenkonzept
Berechtigungskonzept
Differenzierte Berechtigungen für unterschiedliche Transaktionen/Funktionen
Differenzierte Berechtigungen für Datenobjekte
Strenge Passwortrichtlinien
Regelmäßige Passwortwechsel
Protokollierung der Anmeldevorgänge
Protokollierung der Datenzugriffe
Automatische Abmeldevorgänge
Kontensperrung nach mehrmaliger
Falscheingabe des Passworts
Aufteilung der Administratorrechte unter
verschiedenen Personen
Vergabe von Administratorrechten
an minimale Anzahl Personen
Datenträgerverschlüsselung
Dateiverschlüsselung
Sichere Aufbewahrung von
(Wechsel-)Datenträgern
Sicheres Löschen einzelner Dateien
5
5
5
Sicheres Löschen von Datenträgern
Protokollierung von Löschvorgängen
Datenträgervernichtung nach
DIN 66399
Protokollierung der
Datenträgervernichtung
Mehrmaliges vollständiges Überschreiben des vorherigen Inhalts mit Zufallszahlen
Seite 9 von 12
Sperrung der Nutzung von persönlichem Cloud-Speicher am ArbeitsplatzPC
Verhinderung nicht-autorisierter CloudSynchronisation durch Drittanbieter6
software
……………………………………………
……………………………………………
4. Weitergabekontrolle
Bei der Übertragung und Speicherung können personenbezogene Daten nicht gelesen,
kopiert, verändert oder entfernt werden und der Empfänger der Daten ist jederzeit bekannt, da folgende Maßnahmen ergriffen werden:
Datenkommunikation über
VPN-Tunnel
Transportverschlüsselte Datenübertragung
Inhaltsverschlüsselte Datenübertragung
E-Mail-Verschlüsselung mit PGP
E-Mail-Verschlüsselung mit S/MIME
Nutzung von DE-Mail
Protokollierung der Übermittlungsvorgänge
Dokumentation der Datenempfänger
und Zeitspanne der Überlassung
Weitergabe von Daten in anonymisierter
Form
Weitergabe von Daten in pseudonymisierter Form
Sichere Behälter und Verpackungen bei
physischem Transport
Zuverlässiges Transportpersonal
Identitätsnachweis des Transportpersonals
Dokumentation der Übergabeprozesse
bei physischem Transport
Überwachung von Fernwartungsaktivitäten
Fernlöschung von mobilen Endgeräten
……………………………………………
……………………………………………
5. Eingabekontrolle
Die Kontrolle der Eingabe, Veränderung und Entfernung bzw. Löschung von personenbezogenen Daten wird durch folgende Maßnahmen umgesetzt:
Arbeiten mit individuellen Benutzerkennungen
Benutzerkennungsbezogene
Protokollierung
Protokollierung aller Administratorenaktivitäten
Protokollierung der Dateneingaben
Protokollierung der Datenänderungen
Protokollierung der Datenlöschungen
Protokollierung gescheiterter Zugriffsversuche
Sicherung der Protokolldaten gegen
Veränderung und Verlust
Automatisierte Auswertung der Protokolldaten
Übersicht der Anwendungen mit Eingabe-, Änderungs- und Löschfunktion
6
Jede Nutzung von Cloud-Diensten bei der Verarbeitung personenbezogener Daten muss als Auftragsdatenverarbeitung gemäß § 11 BDSG gestaltet werden.
Seite 10 von 12
Berechtigungskonzept mit gesonderten
Eingabe-, Änderungs- und Löschbefugnissen
Aufbewahrung der Originaldokumente,
deren Daten automatisiert verarbeitet
werden
Datenerfassungsanweisungen
Plausibilitätskontrollen
……………………………………………
……………………………………………
6. Auftragskontrolle
Die Sicherstellung der Auftragsdatenverarbeitung nach Weisung des Auftraggebers wird
durch folgende Maßnahmen erreicht:
Dokumentation der getroffenen Sicherheitsmaßnahmen
Bestellung einer/eines betrieblichen
Datenschutzbeauftragten
Dokumentation und Auskunft über eingesetzte Programme
Dokumentation und Auskunft über vorhandene IT-Infrastruktur
Verpflichtung der Mitarbeiter auf das
Datengeheimnis nach § 5 BDSG
Entgegennehmen ausschließlich schriftlicher Weisungen von befugten Mitarbeitern des Auftraggebers
Duldung und Unterstützung von Prüfungen durch den Auftraggeber
Wirksame Kontrollrechte für den Auftraggeber vereinbart
Vertragsstrafen vereinbart
Verbindliche Löschfristen vereinbart
Vernichtung von Daten nach Beendigung des Auftrags
Vertragliche Regelung des Einsatzes
von Unterauftragnehmern
Rückgabeverfahren für nicht weiter
benötigte Unterlagen
Identitätsprüfung bei Anlieferung von
Daten
……………………………………………
……………………………………………
7. Verfügbarkeitskontrolle
Die verarbeiteten Daten werden durch folgende Maßnahmen gegen zufällige Zerstörung
oder Verlust geschützt:
Sicherungs- und Wiederherstellungskonzept (Backup & Recovery)
Aufbewahrung der Datensicherung in
einem anderen Brandabschnitt
Festgelegte Zuständigkeiten für die
Datensicherung
Regelmäßiger Test der Datenwiederherstellung
Notfallplan
Datenträgerspiegelung (RAID)
Redundante IT-Systeme
Virtualisierte Infrastruktur
Unterbrechungsfreie Stromversorgung
Überspannungsschutz
Klimaanlage in Serverräumen
Klimaüberwachung (Raumtemperatur,
Feuchtigkeit) in Serverräumen
Feuer- und Rauchmeldeanlagen
Feuerlöscher / automatisches Löschsystem
Seite 11 von 12
Automatisches Benachrichtigungssystem
Automatisches Notrufsystem
Schutz vor Wassereinbruch und Hochwasser
Nachweis der Eignung der Räumlichkeiten und Bausubstanz
……………………………………………
……………………………………………
8. Datentrennung
Die Gewährleistung der getrennten Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten wird durch folgende Maßnahmen sichergestellt:
Physikalisch getrennte Speicherung und
Verarbeitung
Trennung von Produktiv- und Testsystem
Differenzierte Berechtigungen bei der
Datenverwaltung
Differenzierung administrativer Aufgaben bei der Datenverwaltung
Logische Mandantentrennung
Verschlüsselung von Datenbanken
Attributierung von Datensätzen nach
Zweck der Verarbeitung
Dokumentation der Mandanten und
zugehörigen Datenbereiche
……………………………………………
……………………………………………
Bitte kreuzen Sie diejenigen Maßnahmen an, die von Ihnen als Auftragnehmer umgesetzt
werden. Es müssen Maßnahmen in jedem Themenbereich umgesetzt werden. Bei Vergabe
von Unteraufträgen oder Fernwartungsverträgen sind die Maßnahmen des Unterauftragnehmers, falls abweichend von oben genannten, in einer gesonderten Anlage aufzuführen.
Seite 12 von 12

Download Report