für die Applikation Urlaubsverwaltung"

Transkript

1 Datenschutzrechtliche Vereinbarang über die Verarbeitung personenbezogener Daten im Auftrag gemäß 11 Bundesdatenschutzgesetz (,,BDSG") (,^uftragsdatenverarbeitungsvertrag") für die Applikation Urlaubsverwaltung" zwischen - ^Auftraggeber" - und utilitas GmbH Dennewartstr Aachen -.Auftragnehmer" - - Auftraggeber und Auftragnehmer zusammen die Parteien" - wird die folgende datenschutzrechtliche Vereinbarung geschlossen: Der Auftragnehmer erbringt für den Auftraggeber eine weisungsgebundene IT-Dienstleistung. Im Rahmen der Erbringung dieser Dienstleistungen kann ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden. Daher ist gemäß 11 Abs. 5 BDSG in entsprechender Anwendung von 11 Abs. 1 bis 4 BDSG die folgende Vereinbarung abzuschließen. Seite 1

2 I. Inhalt und Umfeng des Vertrages Gegenstand der Datenverarbeitung Ist die zur VerfügungStellung einer Datenbankanwendung auf Basis von Microsoft Azure zum Zweck der Urlaubs- und Abwesenheitsverwaltung für Mitarbeiter des Auftraggebers. Ii. Inkrafttreten; Laufzeit des Vertrages; außerordentliche Kündigungsrechte Diese Vereinbarung tritt mit Unterzeichnung in Kraft. Diese Vereinbarung kann von beiden Parteien jederzeit mit einer Frist von vier Wochen schriftlich gekündigt werden. III. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten Einblick in personenbezogene Mitarbeiterdaten ist möglich, Fernwartung ist möglich IV. Art der Daten Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind folgende Datenarten / -kategorien: Vor- und Nachname -Adresse ObJekt-ID beantragte/genehmigte Urlaubstage (Urlaubsanspruch gemäß Arbeitsvertrag sowie laufende Urlaubsansprüche) andere Abwesenheitszeiten (z.b. Krankheitszeiten, Fortbildungen, etc.) Personalnummer (optional). V. Kreis der Betroffenen Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst insbesondere: Beschäftigte i.s.d. 3 Abs. 11BDSG. VI. Weisungsrechte des Auftraggebers Der Auftraggeber ist dazu berechtigt, dem AuftragnehmerWeisungen hinsichtlich derart und Weise der Verarbeitung personenbezogener Daten zu erteilen. Die Löschung der Daten erfolgt nach Maßgabe des folgenden Konzepts: 10 Tage vor dem Auslaufen einer Trial-Version oder Auslaufen des gekündigten Abonnements versendet utilitas eine Informationsmail an die adresse, die bei der Registrierung angegeben wurde (soweit angegeben wird die alternative Rechnungsadresse in Cc. gesetzt). In dieserwird daraufhingewiesen, dass die Daten in der Urlaubsverwaltung noch bis 90 Tage nach dem Auslaufen gespeichert werden und dann unwiderruflich gelöscht werden. 90 Tage nach Auslaufen einer Trial oder Auslaufen eines gekündigten Abonnements werden alle zu dem Abonnement gehörenden Daten in der Urlaubsverwaltung gelöscht. Die Bestelldaten im Lizenzdienst werden aus steuerrechtlichen Gründen nach 10 Jahren gelöscht. Seite 2

3 VII. Pflichten des Auftraggebers Für die Beurteilung der Zulässigkeitder Datenverarbeitung/ -erhebung/-nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Der Auftraggeber ist damit verantwortliche Stelle im Sinne des 3 Absatz 7 BDSG. Weisungen sind grundsätzlich schriftlich zu erteilen. Die Weisungserteilung per wird zugelassen. VIII. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, löschen und zu sperren, wenn derauftraggeberdies in einer getroffenen Vereinbarung oder einer Weisung verlangt. 2. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen oder zur Kenntnis genommenen personenbezogenen Daten für keine anderen oder eigenen Zwecke. 3. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Der Auftragnehmer sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. 4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung nach Meinung des Auftragnehmers gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bei dem Auftraggeber bestätigt odergeändert wird. 5. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber nach vorheriger schriftlicher Absprache zu den üblichen Geschäftszeiten berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, soweit dies ohne Störung des Betriebsablaufes möglich ist, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Der Auftragnehmer ist verpflichtet, solche Kontrollen in jeder Beziehung zu dulden und zu unterstützen. 6. Im Falle dass der Auftraggeber kein eigenes Vertragsverhältnis, z.b. im Rahmen eines Office 365 Paketes, mit der Microsoft Ireland Operations Limited hat, wird Microsoft Ireland Operations Limited als Subunternehmen entsprechenddes aktuellen Azure Vertrages inkl. der zugehörigen Datenschutzerklärung vom Auftraggeber anerkannt. Weitere Beauftragungen von SubUnternehmern durch den Auftragnehmer sind zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber SubUnternehmern gelten. Der Auftragnehmer gibt dem Auftraggeber auf Verlangen Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrechtlichen Verpflichtungen durch den Subunternehmer, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen. 7. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. Seite 3

4 8. Jeder bei der Auftragsdatenverarbeitung festgestellte Verstoß des Auftragnehmers, seiner Beschäftigten oder Dritten gegen die in diesem Auftrag getroffenen Festlegungen müssen unverzüglich dem Auftraggeber mitgeteilt werden. IX. Datenschutzbeauftragter des Auftragnehmers Bei dem Auftragnehmer Ist als Beauftragter für den Datenschutz bestellt: Name: Rolf Poschmann Ein Wechsel des Datenschutzbeauftragten Ist dem Auftraggeber unverzüglich mitzuteilen. X. Datengeheimnis Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Der Der Auftragnehmer sichert zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht wurden und sie auf das Datengeheimnis schriftlich verpflichtet wurden. XI. Kommunikation des Auftragnehmers Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. XII. Technische und organisatorische Maßnahmen Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Der Auftragnehmer gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen, Insbesondere die Wahrung der in Anlage zu 9 BDSG festgelegten Grundsätze. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Welterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. Die allgemeinen Technischen und organisatorischen Maßnahmen der utiiitas GmbH sind als Anlage 1 dieser Vereinbarung beigefügt. Zusätzlich zu den allgemeinen Technischen und organisatorischen Maßnahmen der utiiitas GmbH sind für diese Auftragsdatenverarbeitung folgende Maßnahmen zurzeit umgesetzt: Die Anmeldung an der Webanwendung erfolgt per Single Sign-On auf Basis des Microsoft Azure Active Directory und unter Verwendung des OpenID Connect Protokolls. Dadurch authentifizieren sich Benutzer mit Ihren vorhanden Anmeldelnformatlonen an der utiiitas Urlaubsverwaltung, ohne dass die Anmeldeinformationen In der Webanwendung gespeichert werden. Bei der Benutzeranmeldung wird ein global eindeutiger Identifizierer des Unternehmens (128 Bit), im Folgenden Tenant-ID genannt, an die utiiitas Urlaubsverwaltung übertragen. Alle Daten werden In einer relationalen Datenbank gespeichert. Um sicherzustellen, dass Benutzer ausschließlich auf Daten des eigenen Unternehmens zugreifen können, wird die Seite 4

5 Tenant-ID als Spalte in jeder Tabelle der Datenbank gespeichert. Bei jedem lesenden und schreibenden Datenbankzugriff wird der Ergebnisbereich auf die Tenant-ID des aktuell angemeldeten Benutzers eingeschränkt, sodass ein Zugriff auf Daten außerhalb des eigenen Unternehmens nicht möglich ist. Zur Pflege der Mitarbeiterdaten und zum Abgleich der urlaubsberechtigten Beschäftigten werden aus dem Active Directory (AD) die zugehörige Tenant-ID sowie die Objekt-ID des Mitarbeiters bzw. der Mitarbeiterin ausgelesen und auch für den Single Sign-on Prozess (SSO) an die Anwendung übergeben. Die Urlaubsverwaltung basiert auf Systemen von Microsoft. Ergänzende Informationen zu den technischen und organisatorischen Sicherheitsstandards bei Microsoft finden Sie unter folgendem Link: XIII. Rechte der Betroffenen Die Betroffenen können ihre Rechte nur gegenüber dem Auftraggeber ausüben. Der Auftraggeber ist für die Wahrung deren Rechte verantwortlich. Der Auftraggeber ist insbesondere für die Wahrung der Rechte der Betroffenen gemäß der 33, 34 und 35 BDSG verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber darüber zu informieren, wenn Betroffenen auf den Auftragnehmer zukommen, um ihre Rechte geltend zu machen. Ist der Auftraggeber aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer nach schriftlicher Aufforderung den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen. XIV. Haftung 1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitungen Im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. 2. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, die Mitarbeiter des Auftragnehmers bzw. die vom Auftragnehmer mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. XV. Folge der Änderung der Gesetzeslage Treten Änderungen in der Gesetzeslage ein, welche die Wirksamkeit des Vertrages betreffen, so verpflichten sich die Parteien gemeinsam auf eine rechtswirksame Änderung dieses Vertrages hinzuwirken. XVI. Schriftformklausel Nebenabreden oder Änderungen dieses Vertrages sind nur schriftlich möglich. Gleiches gilt für die Abbedingung des Schriftformerfordernisses. XVII. Wirksamkeit der Vereinbarung und Gerichtsstand Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. AlsGerichtsstand wird Aachen vereinbart. Seite 5

6 _/Aachen, den Auftraggeber, vertreten durch Auftragnehmer, vertreten durch Name: Name: Peter Haupt Position: Position: Geschäftsführer Unterschrift: Unterschrift: Seite 6

7 Anlage 1; Beschreibung der technischen und organisatorischen MaBnahmen bei der utilitas GmbH Das folgende Dokument beschreibt grundsätzlich die eingerichteten technischen und organisatorischen Maßnahmen. Einzelheiten zu diesen Maßnahmen befinden sich in den weiterführenden Unterlagen wie Installationsbeschreibungen, Verfahrensdokumentationen etc. Diese Unterlagen sind mitgeltende Unterlagen zu dieser Dokumentation. Darüber hinaus werden für bestimmte Bereiche Regelungen im Sinne von Verfahrensanweisungen getroffen. Die Gliederung folgt dem Katalog der technischen und organisatorischen Maßnahmen des Bundesdatenschutzgesetzes. Die technischen und organisatorischen Maßnahmen werden auf der Grundlage einer Risikobetrachtung definiert. Grundlage dieser Risikobetrachtung sind die Schutzziele und Schutzstufen der Daten sowie das Ausmaß der Beeinträchtigung der Rechte der Betroffenen bzw. der zu erwartende Schaden und die Wahrscheinlichkeit des Schadenseintritts. In die Planung und Festlegung der technischen und organisatorischen Maßnahmen fließen die Schutzziele und die Anforderungen aus anderen Bereichen wie IT-Sicherheit, Finanzwesen und allgemeine Sicherheits- und Ordnungsmäßigkeitskriterien mit ein. 1. Zutrittskontrolle Die Zutrittskontrolle verhindert den unbefugten Zutritt zu den Firmenbereichen des Unternehmens und regelt den Schutz besonders sensibler Bereiche. Der Zutritt zu den einzelnen Bereichen des Bürogebäudes wird Schließanlage gesichert. durch eine zentrale Es ist ein zentraler Empfang eingerichtet. Innerhalb des Bürobereichs werden die Besucher geführt. Jeder Mitarbeiter ist für seine Besucher verantwortlich. Nebenausgänge, Fluchttüren und sonstige Notausgänge können von außen nicht geöffnet werden. Server und andere sicherheitskritische IT-Komponenten sind in abgeschlossenen Räumen mit Zutrittsmöglichkeit nurfür berechtigte Personen untergebracht. Seite 7

8 2. Zugangskontrolle Die Zugangskontrolle verhindert, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können. Der Zugang zu den Datenverarbeitungssystemen ist mit Benutzerkennung und einem sicheren Passwort geschützt. Serversysteme sind nur mit Passwort und über passwortgeschützte, verschlüsselte Verbindung durch Benutzer mit Administratorrechten nutzbar. Clientsysteme sind nur nach passwortgestützter Netzwerk-Authentifizierung nutzbar. Eine Passwortrichtlinie sorgt für die automatische Umsetzung folgender Passwortvorgaben: Passwörter müssen den Komplexitätsanforderungen entsprechen und mindesten 8 Zeichen lang sein. Passwörter müssen spätestens nach Ablauf von 90 Tagen geändertwerden. Es ist ein verbindliches Verfahren zur Vergabe von Berechtigungen implementiert. Eine eindeutige Zuordnung von Benutzerkonten zu Benutzern ist gewährleistet. 3. Zugriffskontrolle Die Zugrif^kontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. In den Datenverarbeitungssystemen sind rollenbasierte Berechtigungsprofile hinterlegt, in denen die zugrif^berechtigten Personen festgelegt und ihre Rechte hinterlegt sind. Zur Verhinderung und Erkennung von Angriffen wird eine Firewall eingesetzt. 4. Weitergabekontrolle Die Weitergabekontrolle gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die personenbezogenen und sonstigen vertraulichen Daten sind auf unterschiedliche Weise gegen unbefugten Zugriff und gegen unbefugtes Kopieren geschützt. Eine elektronische Übertragung geschieht nur verschlüsselt und über sichere Leitungen mit einer zuverlässigen Identifizierung und Authentifizierung der Empfänger. Die datenschutzkonforme Vernichtung vertraulicher Unterlagen wird für kleinere Mengen mittels Aktenvernichter gewährleistet. Für größere Mengen wird ein zertifiziertes externes Entsorgungsunternehmen beauftragt. Seite 8

9 5. Eingabekontrolle Die Eingabekontroiie gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabe oder Veränderung von personenbezogenen Daten werden nach den sich aus der Schutzstufe und den Schutzzielen ergebenden Anforderungen protokolliert. Alle Mitarbeiter werden auf das Datengeheimnis ( 5 BDSG) verpflichtet und regelmäßig zum Thema Datenschutz geschult. 6. Auftragskontrolle DieAuftragskontrolle gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden dürfen. Soweit eine Datenverarbeitung im Auftrag durchgeführt wird, wird der Auftragnehmer vor Aufnahme der Datenverarbeitung nach den Vorschriften des 11 BDSG auf die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen überprüft. Über jeden Auftrag wird ein Vertrag nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen. Dies gilt auch für Verträge über Wartungsarbeiten an den Daten verarbeitungssystemen und über Softwarepflege und sonstige IT-Unterstützungsverträge, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Bei der Überprüfung der Auftragnehmer und der Vergabe von Aufträgen im Rahmen einer Datenverarbeitung im Auftrag wird der Datenschutzbeauftragte hinzugezogen. 7. Verfügbarkeitskontrolle Die Verfügbarkeitskontrolle gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oderverlust geschützt sind, dazu gehören Maßnahmen zur Sicherung der Anlagen ebenso wie zur Sicherung der Daten. Zur Gewährleistung einer zeitgerechten Wiederherstellung der Verfügbarkeit sind dem Stand der Technik entsprechende Sicherungstechnologien eingerichtet. Es ist ein vollständiges Backup-Konzept mit täglicher Sicherung eingerichtet. Der Einsatz von aktuellen Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungs programme, SPAM-Filter) ist sichergestellt. Für den störungsfreien und sichern Betrieb werden Storage Systeme mit Redundanz (RAID) und unterbrechungsfreier Stromversorgung eingesetzt. Seite 9

10 8. Trennungsgebot Das Trennungsgebot gewährleistet, dass zu ünterschiedllchen Zwecken erhobene Daten getrennt verarbeitet werden können. Die Trennung der Datenverarbeitung erfolgt je nach Verfahren auf Betriebssystem- oder Anwendungsebene. Test- und Produktionsdaten sind ebenfalls voneinander getrennt. Sind zu Testzwecken personenbezogene Daten pseudonymisiert. notwendig werden diese soweit möglich anonymisiert oder Die Daten unterschiedlicher Auftraggeber/Projekte werden entweder auf unterschiedlichen Systemen verarbeitet, oder in unterschiedlichen Mandanten verwaltet. Eine Abschottung zwischen den Projekten wird Jederzeit gewährleistet. Seite 10