Anlage 2 Auftragsdatenverarbeitung. zum Einzelvertrag über

Transkript

1 Anlage 2 Auftragsdatenverarbeitung zum Einzelvertrag über Weiterentwicklung der IT Anwendungen der Öffentlichen Förderung (ohne Agrarflächenförderung) - nachfolgend Einzelvertrag genannt - zwischen Vertragspartner - nachfolgend, Auftragnehmer oder AN genannt - und Landesbank Hessen-Thüringen Girozentrale Neue Mainzer Straße Frankfurt - nachfolgend Helaba, Auftraggeber oder AG genannt - Version 1.0 EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 1 von 23

2 Inhaltsverzeichnis 1 GEGENSTAND REGELUNGEN ZUR AUFTRAGSDATENVERARBEITUNG PFLICHTEN DER HELABA PFLICHTEN DES AUFTRAGNEHMERS UNTERAUFTRAGSVERHÄLTNISSE KONTROLLRECHTE MITTEILUNG BEI VERSTÖßEN DES AN WEISUNGSBEFUGNIS DER HELABA LÖSCHUNG VON DATEN UND RÜCKGABE VON DATENTRÄGERN KONKRETISIERUNG DER DATENARTEN UND DER BETROFFENEN VERARBEITETE DATENARTEN BETROFFENE DER DATENVERARBEITUNG TECHNISCH-ORGANISATORISCHE MAßNAHMEN ZUTRITTSKONTROLLE ZUGANGSKONTROLLE ZUGRIFFSKONTROLLE WEITERGABEKONTROLLE EINGABEKONTROLLE AUFTRAGSKONTROLLE VERFÜGBARKEITSKONTROLLE TRENNUNGSGEBOT ORGANISATIONSKONTROLLE JÄHRLICHE BERICHTE DATENSCHUTZBERICHT BERICHT DER ERGEBNISSE VON KONTROLLMAßNAHMEN ANHANG 1 BERICHTSVORLAGE ZUTRITTSKONTROLLE ZUGANGSKONTROLLE ZUGRIFFSKONTROLLE WEITERGABEKONTROLLE EINGABEKONTROLLE AUFTRAGSKONTROLLE VERFÜGBARKEITSKONTROLLE TRENNUNGSGEBOT KONTROLLE DER SUBUNTERNEHMER DURCHFÜHRUNGSBESTÄTIGUNG EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 2 von 23

3 1 Gegenstand Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsdatenverarbeitung gemäß 11 BDSG ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Einzelvertrag und seinen Anlagen in Zusammenhang stehen und bei denen Mitarbeiter des AN oder durch den AN beauftragte Dritte mit personenbezogenen Daten der Helaba in Berührung kommen können. Datenverarbeitung im Sinne des Bundesdatenschutzgesetzes ist die Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzung personenbezogener Daten, ungeachtet der dabei angewandten Verfahren ( BDSG). Der AN verarbeitet personenbezogene Daten im Auftrag der Helaba. Dies umfasst Tätigkeiten, die im Einzelvertrag und seinen Anlagen konkretisiert sind. Die Helaba ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den AN sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG). Aufgrund dieser Verantwortlichkeit kann die Helaba auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Herausgabe oder Löschung der Daten verlangen. Die Inhalte dieser Vertragsanlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Konkretisierungen der Datenarten, der Betroffenen und der eingesetzten Datensicherungsmaßahmen werden in Kapitel 3 Konkretisierung der Datenarten und der Betroffenen und Kapitel 4 Technisch-organisatorische Maßnahmen oder im Einzelvertrag und dessen Anlagen vereinbart. Dazu gehören insbesondere: Gegenstand des Auftrags Dauer des Auftrags Konkretisierung des Auftragsinhaltes Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten Kreis der Betroffenen EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 3 von 23

4 2 Regelungen zur Auftragsdatenverarbeitung 2.1 Pflichten der Helaba Die nachfolgenden Pflichten der Helaba ergeben sich auf der Grundlage des 11 BDSG. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein die Helaba verantwortlich. Die Helaba erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen. Die Helaba hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Die Helaba informiert den AN, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Die Helaba ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des AN vertraulich zu behandeln. 2.2 Pflichten des Auftragnehmers Der AN hat zusätzlich zu der Einhaltung der Regelungen nach dem Einzelvertrag und seinen Anlagen nach 11 Abs. 4 BDSG folgende Pflichten: Der AN verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen der Helaba. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen der Helaba nicht erstellt. Der AN sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen scharf getrennt werden. Der AN erklärt sich damit einverstanden, dass die Helaba jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Überlassene Datenträger und Datensätze verbleiben im Eigentum der Helaba. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch die Helaba datenschutzgerecht vernichtet werden. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 4 von 23

5 Nach Abschluss der vertraglichen Arbeiten hat der AN sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Helaba auszuhändigen. Die Datenträger des AN sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder der Helaba auszuhändigen. Die Beauftragung von Subunternehmen ist nur mit schriftlicher Zustimmung der Helaba zugelassen. Der AN hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. (siehe Kapitel 2.3 Unterauftragsverhältnisse ) Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung der Helaba und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit der Helaba abzustimmen. Der AN bestellt soweit gesetzlich vorgeschrieben einen Datenschutzbeauftragten, der seine Tätigkeit gemäß 4f, 4g BDSG ausüben kann. Der AN wahrt das Datengeheimnis entsprechend 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten der Helaba zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. Der AN stellt die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend 9 BDSG und Anlage. Der AN informiert die Helaba unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach 43, 44 BDSG beim AN ermittelt. Der AN führt die Auftragskontrolle mittels regelmäßiger Prüfungen im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags durch. Der AN stellt die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber der Helaba sicher. Hierzu kann der AN auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.b. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.b. nach BSI-Grundschutz) vorlegen. Der AN verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Helaba das Datengeheimnis gemäß 5 BDSG zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie der Helaba obliegen. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 5 von 23

6 Der AN bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der AN sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Auskünfte darf der AN nur nach vorheriger schriftlicher Zustimmung durch die Helaba erteilen. Der AN wirkt an der Erstellung der Verfahrensverzeichnisse mit. Er hat die erforderlichen Angaben der Helaba zuzuleiten. Der AN beachtet die Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherungsmaßnahmen. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. Soweit die beim AN getroffenen Sicherheitsmaßnahmen den Anforderungen der Helaba nicht genügen, benachrichtigt er die Helaba unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Der AN unterrichtet die Helaba unverzüglich, wenn eine von der Helaba erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch die Helaba geändert oder ausdrücklich bestätigt wird. Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an die Helaba weiterleiten. Eine Verarbeitung von personenbezogenen Daten in Privatwohnungen der Mitarbeiter des Auftragnehmers (Telearbeitsplätze, Heimarbeitsplätze) ist nicht zulässig. Der AN oder von ihm beauftragte Subunternehmer erbringen die in den Leistungsbeschreibungen vereinbarten Leistungen, soweit nicht abweichend geregelt, in den Ländern der Europäischen Union, sofern Sie ein vergleichbares Datenschutzniveau wie die Bundesrepublik Deutschland hat. 2.3 Unterauftragsverhältnisse Der AN ist verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Helaba auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten der Helaba Subunternehmer gemäß Anlage 3 Subunternehmer oder sonstige vom AN beauftragte Dritte einbezogen werden sollen, müssen mindestens folgende Voraussetzungen vorliegen: EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 6 von 23

7 Die Einschaltung von Unterauftragnehmern ist grundsätzlich nur mit schriftlicher Zustimmung der Helaba gestattet. Ohne schriftliche Zustimmung kann der AN zur Vertragsdurchführung unter Wahrung seiner erläuterten Pflicht zur Auftragskontrolle konzernangehörige Unternehmen sowie im Einzelfall andere Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies der Helaba vor Beginn der Verarbeitung oder Nutzung mitteilt. Der AN hat die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen der Helaba und dem AN entsprechen. Bei der Unterbeauftragung sind der Helaba Kontroll- und Prüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i. V. m. Nr. 6 der Anlage zu 9 BDSG beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht der Helaba, vom AN auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Bei einem geplanten Einsatz von Subunternehmern im Sinne der Anlage 3 Subunternehmer finden zusätzlich die Regelungen der Anlage 3 Subunternehmer Anwendung. 2.4 Kontrollrechte Die Helaba hat das Recht, die in Nr. 6 der Anlage zu 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit dem AN durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den AN in dessen Geschäftsbetrieb zu überzeugen. Der AN verpflichtet sich, der Helaba auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Im Hinblick auf die Kontrollverpflichtungen der Helaba nach 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der AN sicher, dass sich die Helaba von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der AN der Helaba auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.b. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.b. nach BSI-Grundschutz) erbracht werden. 2.5 Mitteilung bei Verstößen des AN Der AN erstattet in allen Fällen der Helaba eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 7 von 23

8 der Helaba oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Für Nachunternehmerleistungen gilt dies entsprechend. Es ist bekannt, dass nach 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich der Helaba mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten der Helaba. Der AN hat im Benehmen mit der Helaba angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit die Helaba Pflichten nach 42a BDSG treffen, hat der AN die Helaba hierbei zu unterstützen. 2.6 Weisungsbefugnis der Helaba Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung der Helaba (vgl. 11 Abs. 3 Satz 1 BDSG). Die Helaba behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das sie durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der AN nur nach vorheriger schriftlicher Zustimmung durch die Helaba erteilen. Mündliche Weisungen wird die Helaba unverzüglich schriftlich oder per (in Text-form) bestätigen. Der AN verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen der Helaba nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der AN hat der Helaba unverzüglich entsprechend 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der AN ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bei der Helaba bestätigt oder geändert wird. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 8 von 23

9 2.7 Löschung von Daten und Rückgabe von Datenträgern Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch die Helaba spätestens mit Beendigung der Leistungsvereinbarung hat der AN sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Helaba auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende der Helaba übergeben. 3 Konkretisierung der Datenarten und der Betroffenen 3.1 Verarbeitete Datenarten Im Allgemeinen: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Im Einzelnen kann es sich beispielweise um folgende Arten von Daten, deren Aufzählung nicht abschließend ist (vergl. Leistungsvereinbarung), handeln: Personenstammdaten Kommunikationsdaten (Vertragsbeziehungen, Produkt- bzw. Vertragsinteresse) Kundenhistorie Vertragsabrechnungs- und Zahlungsdaten Planungs- und Steuerungsdaten Auskunftsangaben von Dritten Bei den personenbezogenen Daten, die durch den AN verarbeitet werden, handelt es sich um solche, die aus den Berichtsanforderungen bei der Bewirtschaftung der EU-Strukturfonds hervorgehen und entsprechend benötigt werden. 3.2 Betroffene der Datenverarbeitung Im Allgemeinen: Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag der Helaba. Der betroffene Personenkreis setzt sich aus allen an den Geschäftsprozessen des am Kerngeschäfts beteiligten Partnern in ihren unterschiedlichen Rollen zusammen. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 9 von 23

10 4 Technisch-organisatorische Maßnahmen Der AN wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der AN wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten der Helaba vor Missbrauch und Verlust treffen, die den Forderungen des 9 BDSG entsprechen. In den folgend aufgeführten Maßnahmen werden die vom AN umgesetzten Maßnahmen mit folgenden Symbolen gekennzeichnet: Die Maßnahme wird durch den AN umgesetzt Die Maßnahme wird durch den AN nicht umgesetzt 4.1 Zutrittskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden. Der Begriff ist hierbei räumlich zu verstehen. Folgende Maßnahmen werden umgesetzt: Absicherung der Zutrittswege (Alarmanlage etc.) Festlegung der Zutrittsberechtigungen einschließlich ihrer Dokumentation für Mitarbeiter und Firmenfremde (Wartungspersonal, Besucher etc.) Legitimation der Zutrittsberechtigten (Ausweise, Schlüssel, Codekarten etc.) Kontrolle/Protokollierung des Zutritts Weitere Maßnahmen: 4.2 Zugangskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden. Es handelt sich hierbei um technische (Kennwort / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 10 von 23

11 Folgende Maßnahmen werden umgesetzt: Identifikation der Zugangsberechtigten mit Benutzername und Passwort Regelmäßiger Passwortwechsel Sicherung von Bildschirmarbeitsplätzen durch Bildschirmsperren Sicherung des Netzwerkes gegen Zugriffe von außen (Firewall, Content Filter etc.) Sicherung der Netze Automatische Protokollierung der Zugänge auf die Systeme Weitere Maßnahmen: 4.3 Zugriffskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können. Folgende Maßnahmen werden umgesetzt: Festlegung der Befugnis für die Eingabe von Daten sowie Kenntnisnahme, Veränderung und Löschung gespeicherter Daten Identifikation der zugangsberechtigten Personen (Passwörter, Zugangscodes etc.) Protokollierung der Systemnutzung Differenzierung der Zugriffsberechtigungen (Betriebssystem, Anwendungsprogramme, Dateien etc.) Differenzierung der Verarbeitungsmöglichkeiten (Lesen, Ändern, Löschen etc.) Weitere Maßnahmen 4.4 Weitergabekontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 11 von 23

12 Folgende Maßnahmen werden umgesetzt: Festlegung der Befugnis, Datenträger zu nutzen Absicherung der Bereiche, in denen sich Datenträger befinden Festlegung der Wege und Verfahren des Transports / der Übermittlung Absicherung des Transports / der Übermittlung Kryptographische Verfahren, Verschlüsselung Regelung, wie Daten und Datenträger zu vernichten sind Weitere Maßnahmen 4.5 Eingabekontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können. Folgende Maßnahmen werden umgesetzt: Protokollierung der Eingaben, Veränderungen und Löschungen personenbezogener Daten Regelung der Zugriffsberechtigung Kontrolle und Auswertung nach Bedarf Regelung der Aufbewahrungsfristen Weitere Maßnahmen: 4.6 Auftragskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Helaba verarbeitet werden können. Umsetzung von Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Helaba und dem AN. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 12 von 23

13 Folgende Maßnahmen werden umgesetzt: Schriftlicher Vertrag Regelung der Rechte und Pflichten des Auftragnehmers und des Helabas Regelung der technisch organisatorischen Maßnahmen Durchführung von Kontrollen Regelung der Haftung Weitere Maßnahmen: 4.7 Verfügbarkeitskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Umsetzung von Maßnahmen zur Datensicherung (physikalisch / logisch): Folgende Maßnahmen werden umgesetzt: Datensicherungs- und Backupkonzepte Katastrophen- oder Notfallplan Ausweichrechenzentrum Schwachstellenanalyse (Geländeschütz, Gebäudeschutz, Eindringen in Rechner, Rechnernetzte) Notstromversorgung (USV, Notstromdiesel etc.) Sichere Aufbewahrung der Daten (Datensicherungsschränken, Tresoren etc.) Weitere Maßnahmen 4.8 Trennungsgebot Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Umsetzung von Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken. EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 13 von 23

14 Folgende Maßnahmen werden umgesetzt: Getrennte Mandantenverarbeitung (logische oder physische Trennung) Trennung über Zugriffsregelung Trennung der Systeme in Produktion und Test Trennung von Test- und Produktionsdaten Weitere Maßnahmen 4.9 Organisationskontrolle Die innerbetriebliche Organisation ist durch folgende Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird: Verfahrensverzeichnisse sind vorhanden, vollständig und aktuell Mitarbeiter werden geschult Mitarbeiter werden auf das Datengeheimnis verpflichtet Datenschutzbeauftragter ist schriftlich bestellt Es besteht eine Security-Policy Die Security-Policy wird regelmäßig aktualisiert Es bestehen schriftliche Arbeitsanweisungen / Richtlinien / Merkblätter Programme / Verfahren sind ordnungsgemäß dokumentiert Aufbewahrung aller maschinell erzeugten Protokolle ist geregelt Programmfreigabeverfahren ist eingerichtet Funktionstrennung im DV-Bereich existiert Abstimm- und Kontrollverfahren sind eingerichtet Verträge mit Drittländern bestehen nicht Schriftliche Einwilligungen gem. 4a BDSG liegen vor Benachrichtigungen, Auskunftsersuchen, Anliegen bzgl. Berichtigung, Löschung oder Sperrungen werden dokumentiert Es existiert eine DV-Revision Weitere Maßnahmen: EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 14 von 23

15 5 Jährliche Berichte 5.1 Datenschutzbericht Der AN wird der Helaba unaufgefordert bis zum 15. März des aktuellen Jahres einen jährlichen Datenschutzbericht (Berichtszeitraum 1. Januar bis 31. Dezember des vergangen Jahres) als PDF (nach Aufforderung durch die Helaba auch in schriftlicher Form) zusenden. 5.2 Bericht der Ergebnisse von Kontrollmaßnahmen Die Kontrolle der technischen und organisatorischen Maßnahmen gehört zu einer der zentralen Aufgaben innerhalb der Auftragsdatenverarbeitung und des gesamten Datenschutzes. Um dieser Kontrollfunktion gemäß BDSG nachzukommen, wird der AN jährlich über die Ergebnisse dieser Kontrollen einen Bericht nach Kapitel 6 Anhang 1 Berichtsvorlage erstellen. Der AN erhält mit Vertragsabschluss eine digitale Kopie eines neutralen Musters der genannten Berichtsvorlage zur Übernahme auf eigenes Geschäftspapier. Der AN wird der Helaba unaufgefordert bis zum 15. März des aktuellen Jahres den jährlichen Bericht (Berichtszeitraum 1. Januar bis 31. Dezember des vergangen Jahres) mit den Ergebnissen der Kontrollen zur Umsetzung der technischen und organisatorischen Maßnahmen (siehe Kapitel 4 Technisch-organisatorische Maßnahmen ) als PDF (nach Aufforderung durch die Helaba auch in schriftlicher Form) zusenden. Dieser Bericht ist vom AN unabhängig vom unter Absatz 5.1 genannten Datenschutzbericht zu erstellen EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 15 von 23

16 6 Anhang 1 Berichtsvorlage Bericht der Ergebnisse von Kontrollmaßnahmen im Rahmen der Auftragsdatenverarbeitung (ADV) gemäß 11 BDSG Dieser Bericht basiert auf dem Einzelvertrag Version x.x vom xx.xx.201x zwischen der Helaba und dem AN und erfüllt die Anforderung der Anlage 2 Auftragsdatenverarbeitung Version x.x vom xx.xx.201x, Kapitel 5.2 Bericht der Ergebnisse von Kontrollmaßnahmen. Der Datenschutzbeauftragte hat am xx.xx.201x / in dem Zeitraum vom xx.xx.201x bis xx.xx.201x eine Kontrolle zur Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anlage zu 9 BDSG (Auftragsdatenverarbeitung) durchgeführt. Die Ergebnisse der Kontrolle sind im Folgenden dokumentiert: Es handelt sich um eine Erstkontrolle: Ja Nein, es handelt sich um eine Folgekontrolle. Die letzte Kontrolle wurde durchgeführt am: Art und Umfang der Kontrolle: Vor Ort Schriftlich (aufgrund bereitgestellter Unterlagen) Vollständig Ergänzende Recherchen (Internet) Ohne IT-Security-Maßnahmen Schwerpunktprüfung Ergänzende Anmerkungen (z.b. Art der ergänzenden Recherchen, Schwerpunkte der Kontrolle): EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 16 von 23

17 6.1 Zutrittskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden. Der Begriff ist hierbei räumlich zu verstehen. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.2 Zugangskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden. Es handelt sich hierbei um technische (Kennwort / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 17 von 23

18 Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.3 Zugriffskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 18 von 23

19 6.4 Weitergabekontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.5 Eingabekontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 19 von 23

20 Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.6 Auftragskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Helaba verarbeitet werden können. Umsetzung von Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Helaba und dem AN. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.7 Verfügbarkeitskontrolle Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 20 von 23

21 Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> 6.8 Trennungsgebot Vom AN werden geeignete Maßnahmen umgesetzt, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Umsetzung von Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken. Umgesetzte Maßnahmen << Der AN beschreibt hier die Maßnahmen und deren konkrete Umsetzung. >> Relevante Konzepte << Der AN gibt hier die relevanten Konzepte mit Dokumentenbezeichnung, aktueller Versionsnummer und/oder aktuellem Datum an, die zur Umsetzung der Maßnahmen dienen. >> Besondere Vorkommnisse im Berichtszeitraum << Der AN beschreibt hier, ob im Berichtszeitraum besondere Vorkommnisse aufgetreten sind. >> Bestätigung der Kontrolle Der Datenschutzbeauftragte bestätigt hiermit, als verantwortlicher Prüfer, die ordnungsgemäße Durchführung der Kontrolle. Feststellungen aus der Kontrolle oder aus anderen Prüfungen << Der AN gibt an, ob es Feststellungen aus der durchgeführten Kontrolle oder aus anderen der Prüfung gegeben hat. Bei Feststellungen sind zusätzlich die umzusetzenden Maßnahmen mit einem Erledigungstermin anzugeben. >> EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 21 von 23

22 6.9 Kontrolle der Subunternehmer Umgesetzte Maßnahmen Der Datenschutzbeauftragte hat eine Kontrolle zur Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anlage zu 9 BDSG (Auftragsdatenverarbeitung) bei allen durch eine Weiterverlagerung betroffenen Subunternehmern durchgeführt. Ja. Nein, bei folgenden Subunternehmern wurde keine Kontrolle durchgeführt: Relevante Konzepte Der Datenschutzbeauftragte hat eine Kontrolle der relevanten Konzepte zur Umsetzung der Maßnahmen bei allen durch eine Weiterverlagerung betroffenen Subunternehmern durchgeführt. Ja. Nein, bei folgenden Subunternehmern wurde keine Kontrolle durchgeführt: Besondere Vorkommnisse im Berichtszeitraum Es liegen bei keinem der kontrollierten Subunternehmer besondere Vorkommnisse während des Berichtszeitraumes vor. Ja. Nein, bei folgenden Subunternehmern sind besondere Vorkommnisse aufgetreten: EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 22 von 23

23 6.10 Durchführungsbestätigung Als verantwortliche(r) Prüfer(in) bestätige ich die ordnungsgemäße Durchführung der Kontrolle und die Richtigkeit aller vorstehenden Angaben. Die detaillierten Aufzeichnungen zu meinen Überprüfungen und herangezogene Unterlagen liegen bei mir bei dem/der Verfahrensverantwortlichen in geordneter Form zur Einsicht vor Unterschrift Name Datum Datum EO Anlage 13 Auftragsdatenverarbeitung zum Einzelvertrag Öffentliche Förderung Seite 23 von 23