Vereinbarung zur Verarbeitung von Daten im Auftrag nach 11 BDSG

Transkript

1 Vereinbarung zur Verarbeitung von Daten im Auftrag nach 11 BDSG zwischen und vertreten durch vertreten durch Ralph Landwehr Markus Zipfer jeweils einzelvertretungsberechtigt im Folgenden: Auftraggeber im Folgenden: Auftragnehmer Präambel Diese Vereinbarung beschreibt die Rechte und Pflichten der Parteien, die sich im Rahmen einer Auftragsdatenverarbeitung durch die Bereitstellung von Onlinediensten durch den Auftragnehmer ergeben. Sie regelt den Schutz von personenbezogenen Daten bei der Verarbeitung von Daten im Auftrag unter besonderer Berücksichtigung von 11 Bundesdatenschutzgesetz (BDSG). Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) mit personenbezogenen Daten des Auftraggebers in Berührung kommen oder in Berührung kommen könnten.

2 1 Gegenstand und Dauer der Vereinbarung 1.1 Gegenstand des Auftrags Der Auftrag umfasst Folgendes:» soft-net Bereitstellung einer Lösung zur Online-Terminvereinbarung für Kunden des Auftraggebers mit dem Auftraggeber» soft-messenger Bereitstellung einer Lösung für den Versand von Benachrichtigungen per SMS und an Kunden des Auftraggebers im Zusammenhang mit Terminen oder Fahrzeugstatus Der Auftragnehmer erhebt/verarbeitet/nutzt dabei personenbezogene Daten im Auftrag des Auftraggebers nach 11 BDSG oder er kann mit solchen Daten in Berührung kommen. 1.2 Dauer des Auftrags Die Dauer dieser Vereinbarung bzw. der Verarbeitung im Auftrag bestimmt sich nach dem Hauptvertrag. 2 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: 2.1 Zweck der Verarbeitung Zweck der Verarbeitung ist die Bereitstellung der unter 1.1 genannten Lösungen, die Erfassung von Informationen über Kunden, deren Fahrzeuge und gewünschte Termine und Serviceleistungen hierüber, die Weiterleitung der Informationen an den Auftraggeber und die Kommunikation mit Kunden des Auftraggebers per SMS oder Art der Daten Art der Daten bei soft-net Es werden insbesondere folgende Daten verarbeitet:» Name, Vorname» Adresse» Telefonnummer» adresse» KFZ-Kennzeichen» Fahrzeugmodell» Fahrgestellnummer VIN Art der Daten bei soft-messenger Es werden insbesondere folgende Daten verarbeitet:» Mobiltelefonnummer» Name, Vorname» adresse

3 2.3 Kreis der Betroffenen Von der Verarbeitung betroffen sind Kunden und Interessenten des Auftraggebers. 2.4 Ort der Verarbeitung Die Verarbeitung und Nutzung der Daten findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. 3 Technische und organisatorische Maßnahmen nach 9 BDSG (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen des Auftragnehmers werden als verbindlich festgelegt. (2) Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Die Datensicherheitsmaßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, solange das hier vereinbarte Niveau dadurch nicht unterschritten wird. Änderungen sind dem Auftraggeber unaufgefordert und unverzüglich schriftlich mitzuteilen. Wesentliche Änderungen sind schriftlich zu vereinbaren. 4 Regelungen zur Berichtigung, Löschung und Sperrung von Daten (1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren. (2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieser Vereinbarung hinaus Folge leisten. 5 Pflichten des Auftragnehmers (1) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften des BDSG bekannt sind. (2) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. (3) Der Auftragnehmer sichert zu, dass er alle bei ihm tätigen Personen, die mit im Auftrag verarbeiteten Daten in Berührung kommen können, vor Beginn der Verarbeitung mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie schriftlich auf das Datengeheimnis verpflichtet. (4) Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften und stellt sicher, dass sein Personal diesbezüglich jederzeit ausreichend geschult ist. (5) Der Auftragnehmer sichert die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er wird alle mit der Ausführung des Auftrags befassten Personen angemessen anleiten. (6) Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind vorab mit dem Auftraggeber abzustimmen.

4 (7) Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt er den Auftraggeber unverzüglich. (8) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Der Beauftragte hat auf die Ausführung des BDSG sowie anderer Vorschriften über den Datenschutz auch im Auftragsverhältnis hinzuwirken. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Angaben zum Datenschutzbeauftragten enthält Anlage 2. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. Soweit ein betrieblicher Datenschutzbeauftragter mangels Vorliegen der gesetzlichen Voraussetzungen nicht bestellt ist, stellt der Auftragnehmer gem. 4g Abs. 2a BDSG sicher, dass die Aufgaben des Datenschutzbeauftragten in anderer Weise erfüllt werden. (9) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke als unter 2.1. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit hierbei eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist. (10) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (11) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert. (12) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung der Verfahrensverzeichnisse zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (13) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. (14) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen in angemessenem Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Kontrollen sollen nicht häufiger als alle 18 Monate stattfinden, sind mindestens 72 Stunden vorher anzukündigen und haben zu Geschäftszeiten ohne vermeidbare Beeinträchtigungen für den Betriebsablauf des Auftragnehmers zu erfolgen. Hiervon darf in dringenden Fällen abgewichen werden, soweit die Gründe hierfür dem Auftragnehmer schriftlich (mindestens per ) vorab mitgeteilt wurden. Der Auftragnehmer sichert zu, dass die mit der Kontrolle betrauten Personen soweit erforderlich Zutritt erhalten. Der Auftragnehmer verpflichtet sich, erforderliche Auskünfte zu erteilen und entsprechende Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. (15) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen, verpflichtet sich der Auftragnehmer ihn hierbei im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

5 (16) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. 6 Unterauftragsverhältnisse (1) Die Beauftragung von Subunternehmern ist zulässig, soweit hierdurch das in dieser Vereinbarung geregelte Datenschutz- und Datensicherheitsniveau nicht unterschritten wird. Dies schließt insbesondere die regionalen Beschränkungen unter 2.4 ein. (2) Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus. Es muss mindestens das in dieser Vereinbarung bestimmte Datenschutzniveau erreicht sein. (3) Der Auftragnehmer hat in einem schriftlichen Vertrag sicherzustellen, dass die hier vereinbarten Regelungen auch gegenüber dem Subunternehmer gelten. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in angemessenem Umfang Kontrollen vor Ort auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. (4) Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer davon überzeugt hat, dass der Subunternehmer die Verpflichtungen nach 11 BDSG erfüllt hat. (5) Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subunternehmer(s) regelmäßig zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen unverzüglich vorzulegen. (6) Werden Subunternehmer durch den Auftragnehmer mit der Verarbeitung von personenbezogenen Daten beschäftigt, so teilt der Auftragnehmer dem Auftraggeber deren Namen, Anschrift und Auftragsinhalt mit. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt. 7 Rechte und Pflichten des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. (2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen schriftlich (mindestens ). In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich schriftlich bestätigen. (3) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich festzulegen. (4) Der Auftraggeber ist, wie oben unter 5 (14) beschrieben, berechtigt, sich jederzeit von der Einhaltung dieser Vereinbarung beim Auftragnehmer zu überzeugen.

6 (5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 8 Mitteilungspflichten des Auftragnehmers Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Vertrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach 42a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach 42a BDSG zu unterstützen. 9 Weisungsbefugnisse des Auftraggebers Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen haben Auftraggeber und Auftragnehmer gemeinsam abzustimmen und zu dokumentieren. 10 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags (1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer mit dem Auftrag zusammenhängende Daten und Unterlagen nach Wahl des Auftraggebers entweder an diesen zu übergeben oder zu vernichten. Eine Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. (2) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen. (3) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber auf Verlangen unverzüglich vorzulegen. (4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben. 11 Haftung (1) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen. (2) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.

7 12 Sonstiges (1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. (2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. (3) Für Nebenabreden ist die Schriftform erforderlich. (4) Die Einrede des Zurückbehaltungsrechts i. S. v. 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. (5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Ort, Datum Ort, Datum Unterschrift Auftraggeber Unterschrift Auftragnehmer

8 Anlage 1 Technische und organisatorische Maßnahmen nach 9 BDSG und dessen Anlage Innerhalb seines Verantwortungsbereichs ergreift soft-nrg bei der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten die folgenden technischen und organisatorischen Maßnahmen: 1 Zutrittskontrolle Zutritt Gebäude/Geschäftsräume Tag/Nacht Die Verarbeitung von Daten erfolgt an einem Standort in exklusiv genutzten und regelmäßig verschlossenen Räumlichkeiten. Die Türen zum Gebäude und den Geschäftsräumen sind durch Sicherheitsschlösser gesichert. Zutritt erhalten nur Berechtigte. Schließmittel werden individuell über ein geregeltes Verfahren ausschließlich an Berechtigte vergeben; die Ausgabe wird dokumentiert. Eine Alarmanlage ist vorhanden und außerhalb der Geschäftszeiten aktiv. Zusätzlich wird das Gebäude durch externes Wachpersonal gesichert. Zutritte zum Geschäftsbereich werden protokolliert. Besucher, externe Dienstleister Der Eingang zum Bürobereich ist videoüberwacht Im Eingangsbereich befindet sich ein während der Geschäftszeiten besetzter Empfang. Besucher oder externe Dienstleister können die Geschäftsräume nicht selbstständig betreten. Sie melden sich am Empfang an und werden von einem internen Mitarbeiter abgeholt und ständig begleitet. Es sind Sicherheitsbereiche vorhanden, zu denen nur Berechtigte Zutritt erhalten. IT-Räume und Serverschränke sind separat verschlossen und nur durch Berechtigte zu öffnen. Individuelle Zutrittsprotokollierung erfolgt. Zutritt Rechenzentrum Alle zentralen Ein- und Ausgänge sind videoüberwacht. Es ist ein elektronisches Zutrittskontrollsystem mit Protokollierung im Einsatz. Zutritt zum Gebäude erhalten nur Berechtigte. Es bestehen schriftliche Besucherregelungen. Besucher oder externe Dienstleister können das Gebäude nicht selbstständig betreten. Sie melden sich an, erhalten einen individuellen Besucherausweis und werden von einem internen Mitarbeiter abgeholt und ständig begleitet. Das Rechenzentrum hat eine 24/7 personelle Besetzung. Schließmittel für Racks werden individuell über ein geregeltes Verfahren ausschließlich an eine begrenzte Anzahl autorisierter Mitarbeiter vergeben; Ausgabe und Entzug werden dokumentiert.

9 2 Zugangskontrolle 2.1 Allgemeine Schutzmaßnahmen Zugang Systeme Auftragnehmer: Benutzeridentifikation Der Zugang zu Systemen, mit denen personenbezogene Daten verarbeitet werden, ist nur nach Eingabe einer individuellen Benutzerkennung Username und Passwort möglich. Die Kennungen sind individualisiert. Passworte sind komplex, von ausreichender Länge und in ihrer Gültigkeitsdauer begrenzt. Diese Vorgaben werden soweit möglich technisch, im Übrigen durch entsprechende Anweisungen, sichergestellt. Die Vergabe von Kennungen erfolgt dokumentiert aufgrund eines geregelten Verfahrens. Es erfolgen regelmäßige Prüfungen des Soll- und Ist-Zustandes. Sicherung von Bildschirmarbeitsplätzen Durch Gruppenrichtlinien ist die Verwendung von passwortgeschützten Bildschirmsperren vorgegeben, die sich bei Inaktivität automatisch einschalten. Sicherung Datenträger Der Zugang zu Daten des Auftraggebers durch Dritte (z.b. Reinigungspersonal) wird durch geeignete Maßnahmen wie z.b. Wegsperren von Papierdokumenten, Wegsperren von Notebooks oder durch andere gleich- oder höherwertige Schutzmaßnahmen ausgeschlossen. Schutz vor externem, unbefugtem Zugang Die IT-Systeme und Netzwerke sind durch redundante Firewall Systeme gegen unbefugten Zugang geschützt. Netzwerke sind isoliert und werden exklusiv genutzt. Kontrollierte Vernichtung von Datenträgern und elektronischen Daten des Auftraggebers Der Auftragnehmer achtet bei der Vernichtung von Datenträgern, die personenbezogene Daten des Auftraggebers enthalten, auf eine datenschutzgerechte physikalische Vernichtung gemäß DIN 66399, Schutzklasse 3, mind. Sicherheitsstufe Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Zugang Systeme Auftraggeber Auf Kundensysteme kann nur nach Freigabe des Kunden zugegriffen werden. Nachdem der Kunde den Support angefordert hat, ruft er über die Webseite vom Auftragnehmer einen Link auf. Es erscheint eine Eingabeaufforderung für einen 4-stelligen Code. Der Supportmitarbeiter teilt dem Kunden telefonisch den Code mit. Der Code gilt nur für die Dauer der Sitzung. Es wird täglich kontrolliert, ob alle Sitzungen geschlossen wurden. Der Auftraggeber kann die Sitzung jederzeit abbrechen.

10 Art des Zugangs Der Zugang zu den Systemen des Auftraggebers erfolgt über eine verschlüsselte VPN-Verbindung. Der Zugang ist ausschließlich definierten Mitarbeitern des Supportteams des Auftragnehmers gestattet. Die Mitarbeiter des Auftragnehmers weisen sich vor Beginn der Arbeiten aus. Ein Zugang zum System des Auftraggebers erfolgt nur nach Freigabe durch den Auftraggeber. Der Auftraggeber kann die Fernwartungsarbeiten jederzeit abbrechen. Verbot privater Endgeräte Der Zugang zu den Systemen des Auftraggebers ist ausschließlich mit dienstlichen Geräten des Auftragnehmers erlaubt. Der Einsatz privater Geräte ist nicht gestattet. Dokumentation Wartungsarbeit Art, Umfang und Zeitpunkt der durchgeführten Wartungsarbeiten werden schriftlich festgehalten (Ereignisse, Arbeitsbeginn und -ende, Name des Wartungstechnikers) und entsprechend revisionssicher elektronisch protokolliert. 3 Zugriffskontrolle 3.1 Allgemeine Schutzmaßnahmen Berechtigungsvergabe Systeme Auftragnehmer Berechtigungen zu Systemen des Auftragnehmers werden nach einem geregelten Verfahren vergeben. Berechtigungen folgen dem Need-to-know-Prinzip. Vergabe und Entzug von Berechtigungen werden über Checklisten sichergestellt. Protokollierung bei Zugriff Systeme Auftragnehmer Der Zugriff auf Anwendungen bzw. Datenbanken mit Daten des Auftraggebers wird protokolliert. Die Protokolle werden kontrolliert und ausgewertet: Zugriffe und Berechtigungen. Eine Eskalation bei Sicherheitsmeldungen erfolgt. 3.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Berechtigungsvergabe Berechtigungen werden durch den Auftraggeber vergeben. 4 Weitergabekontrolle 4.1 Allgemeine Schutzmaßnahmen Sensibilisierung Mitarbeiter Mitarbeiter werden regelmäßig in Datenschutzfragen geschult.

11 Verpflichtung der Mitarbeiter auf das Datengeheimnis Alle Mitarbeiter sind zur Verschwiegenheit verpflichtet und förmlich auf das Datengeheimnis hingewiesen. Sicherung mobiler Datenträger mit Daten des Auftraggebers Mobile Datenträger wie z.b. USB-Sticks oder CD werden durchgängig datenschutzgerecht durch geeignete Maßnahmen aufbewahrt und transportiert. Verbot privater Datenträger, Daten des Auftraggebers Die Nutzung privater Datenträger ist untersagt. 4.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Speicherung Daten Auftraggeber Eine Einsichtnahme des Auftragnehmers in personenbezogene Daten des Auftraggebers kann bei Auftragsdurchführung nicht ausgeschlossen werden. Es werden personenbezogenen Daten des Auftraggebers auf den Systemen des Auftragnehmers gespeichert. Fernwartung, Zugang Der Zugang zu den Systemen des Auftraggebers erfolgt über eine verschlüsselte VPN-Verbindung. Weitergabe Daten an Dritte Eine Weitergabe von Daten oder erlangten Informationen des Auftraggebers durch Mitarbeiter des Auftragnehmers an Dritte ist untersagt. Administratoren, externe Dienstleister Soweit der Auftragnehmer Subdienstleister mit Arbeiten betraut ist ein Fernzugriff auf Daten des Auftraggebers nur erlaubt, wenn z.b. IP SEC VPN oder ein gleich- oder höherwertiger Schutz eingesetzt wird. 5 Eingabekontrolle 5.1 Allgemeine Schutzmaßnahmen Protokollierung Systeme Auftragnehmer Eingaben, Veränderungen und Löschungen von Daten werden protokolliert und nachvollziehbar gemacht.

12 5.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Protokollierung Systeme Auftraggeber Eingaben, Veränderungen und Löschungen von Daten werden durch den Auftraggeber protokolliert und nachvollziehbar gemacht. Supportleistungen werden protokolliert. Protokollierung von Administratortätigkeiten Die Tätigkeiten der Administratoren, insbesondere der Gebrauch von Administrationstools und -rechten, werden protokolliert und überwacht. 6 Auftragskontrolle 6.1 Allgemeine Schutzmaßnahmen Auftragsdatenverarbeitung, Subdienstleister Soweit der Auftragnehmer Dritte mit Arbeiten betraut, bei denen eine Einsichtnahme in personenbezogene Daten des Auftraggebers nicht ausgeschlossen werden kann, erfolgt eine Ausgestaltung entsprechend der gesetzlichen Vorschriften. Die nach 11 BDSG vorgesehenen Vereinbarungen werden getroffen. Dokumentierte Erstprüfungen und laufende Prüfungen der Auftragnehmer erfolgen. 6.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Authentisierung bei Aufträgen des Auftraggebers Es gelten folgende Regelungen bezüglich der Authentisierung bei Aufträgen des Auftraggebers. Der Auftraggeber muss persönlich bekannt sein und der Auftrag in Schriftform bestätigt werden. Subunternehmer des Auftragnehmers Subunternehmer des Auftragnehmers sind nur nach schriftlicher Zustimmung des Auftraggebers erlaubt. Die Regelungen mit Subunternehmern sind mindestens so restriktiv, wie die des Auftraggebers. 7 Verfügbarkeitskontrolle 7.1 Allgemeine Schutzmaßnahmen Schutz vor Umweltgefahren Der Serverraum ist mit Temperatur-, Brand- und Rauchmeldern ausgestattet. Es befinden sich keine Wasserleitungen darin. Löschmittel sind vorhanden. Stromversorgung Die zentrale IT ist mit einer unabhängigen Stromversorgung ausgestattet.

13 Datensicherung Daten Auftragnehmer Die Sicherung der zentral gespeicherten Daten erfolgt regelmäßig unter Einsatz einer Datensicherungslösung. Die Aufbewahrung der Sicherungsdaten erfolgt räumlich getrennt von den zu sichernden Systemen. Systemprotokollierung Auftragnehmer Die eingesetzten IT-Systeme und Netzwerkdienste werden laufend überwacht. 7.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Updates Die Administratoren versorgen alle Server und Software mit aktuellen Sicherheits- und sonstigen notwendigen Updates. Alle Vorgänge werden protokolliert. EDV-Systeme, mit denen auf die Systeme des Auftraggebers zugegriffen werden und die dafür eingesetzte Software werden somit regelmäßig mit aktuellen Sicherheits- und sonstigen notwendigen Updates versorgt. Schutz vor Schadcode Ein ausreichender Schutz vor Schadcode ist vorhanden: Server und Clients. Soweit technisch möglich sind auf allen eingesetzten Geräten, mit denen auf die Systeme des Auftraggebers zugegriffen werden, Programme gegen unerwünschte Software im Einsatz. Datensicherung Daten Auftraggeber Die Daten des Auftraggebers werden nicht durch die Datensicherung erfasst. Die Datensicherung erfolgt durch den Auftraggeber. 8 Trennungsgebot 8.1 Allgemeine Schutzmaßnahmen Verarbeitung eigener Daten Eigene Daten werden ausschließlich auf eigenen physikalischen Systemen bzw. eigenen virtuellen Umgebungen verarbeitet. 8.2 Schutzmaßnahmen bei Zugriff Systeme Auftraggeber Mandantentrennung Support Alle personenbezogenen Daten werden innerhalb des DV-Systems auftragsbezogen getrennt gespeichert.

14 Trennung von Entwicklungs-, Test- und Produktionsprogrammen Entwicklungs- und Produktivdaten werden logisch und physikalisch voneinander getrennt. Es kommen virtuelle Systeme zum Einsatz. 9 Organisatorische Maßnahmen Schulung und Sensibilisierung der Beschäftigten Zur Information über und Sensibilisierung für Belange des Datenschutzes und der Datensicherheit werden alle Beschäftigten sensibilisiert und geschult. Das Management unterstützt und fördert diese Maßnahmen aktiv. Datenschutzbeauftragter Das Unternehmen hat einen Datenschutzbeauftragten und Vertreter bestellt, die sich aktiv um die laufende Sicherung und Verbesserung des Schutzniveaus bemühen. Datenlöschung Die Löschung eigener Daten erfolgt bei Erfüllung des Vertragszweckes oder nach Ablauf der gesetzlichen Aufbewahrungsfristen. Bei Daten von Auftraggebern ist zwischen steuerlich relevanten Abrechnungsdaten und Nutzdaten zu differenzieren.» Steuerlich relevante Abrechnungsdaten des Vertragsverhältnisses mit dem Auftraggeber werden nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht.» Nutzdaten, die im Rahmen von Auftragsdatenverarbeitungsverträgen verarbeitet werden, werden nach Beendigung des Auftrages innerhalb von vier Wochen gelöscht, soweit keine anderweitige Weisung vom Auftraggeber erfolgt. Die Löschung der Daten erfolgt im Rahmen eines sicheren Verfahrens. Papierdatenträger und elektronische Datenträger werden durch einen externen Dienstleister normenkonform vernichtet. Für sonstige elektronische Datenträger und Daten stehen den Mitarbeitern gesicherte Löschverfahren zur Verfügung

15 Anlage 2 externer Datenschutzbeauftragter Seit dem ist als externer Datenschutzbeauftragter bestellt: Michael Plankemann, LL.M. activemind AG Potsdamer Str München Er wird durch einen weiteren Mitarbeiter der activemind AG vertreten.

16 Anlage 3 soft-net Rechtliche Hinweise Mustertext für Datenschutzerklärung/Rechtlicher Hinweis der Autohaus-Planungsgruppe: Online-Terminvereinbarung Über unsere Online-Terminvereinbarung können Sie Servicetermine online buchen, Ihre aktuellen und bereits wahrgenommenen Termine verfolgen. Hierzu benötigen wir von Ihnen verschiedene Benutzer- und Fahrzeugdaten. Diese werden unter Anwendung angemessen hoher Sicherheitsstandards in unserem Portal gespeichert und verarbeitet, sofern Sie den Portal-Nutzungsbedingungen zustimmen und die entsprechende Nutzung Ihrer Angaben zu den dort genannten Zwecken gestatten.