Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG - für Adressbearbeiter (Druckereien, Lettershops)

Transkript

1 Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG - für Adressbearbeiter (Druckereien, Lettershops) I. Gegenstand der Vereinbarung - Auftraggeber - und Drei D Daimlerstraße Elmshorn - Auftragnehmer 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. 2. Diese Vereinbarung gilt für alle Aufgaben des Auftragnehmers, sofern diese als Auftragsdatenvereinbarung im Sinne des 11 BDSG zu qualifizieren sind. 3. Die Parteien vereinbaren bereits zum jetzigen Zeitpunkt ihr grundsätzliches Einverständnis damit, nach Inkrafttreten des novellierten Bundesdatenschutzgesetzes ein entsprechendes Datenschutz-Audit vorzunehmen. II. Pflichten des Auftraggebers 1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. 2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen. 3. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Weisungsberechtigte Person des Auftraggebers ist: a.). (Name, Organisationseinheit, Funktion, Telefon) Weisungsempfänger beim Auftragnehmer ist: a.) Dahms, Bettina, Kundenkontakt, (Name, Organisationseinheit, Funktion, Telefon)

2 Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. 4. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. III. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Er ist verpflichtet, überlassene Adressen ausschließlich für die erforderlichen auftragsbezogenen EDV-Arbeiten (Adressanalyse, postalische Korrektur, Adressenabgleich, Portooptimierung, Adressenausdruck etc.) zu verwenden. Soll über die hier vereinbarte Auftragstätigkeit hinaus gegangen werden, so darf der Auftragnehmer dem nur nachkommen, wenn die dazu notwendigen Anweisungen von Ihnen schriftlich vorliegen. 2. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden automatisierten Verwaltung. Eingang und Ausgang werden dokumentiert. 3. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 5. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit zu den üblichen Bürozeiten berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. 6. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden. 7. Nach Abschluss der vertraglichen Arbeiten, spätestens jedoch 3 Monate nach der letzten Aktion, hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten

3 Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Zwischendatenträger (Sicherungsbestände) sind nach Abschluss der Aktion ( in der Regel 3 Monate nach der letzten Aktion) physikalisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen. Soll Adressmaterial über diese Zeit hinaus gespeichert werden, bedarf es dafür wiederum eines schriftlichen Auftrages durch Sie. Sollte es aufgrund der vom Auftraggeber veranlassten Löschung zu einer Haftung des Auftragnehmers durch Inanspruchnahme Dritter kommen, wird der Auftragnehmer soweit vom Auftraggeber freigestellt. 8. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach 11 BDSG erfüllt hat. 9. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. IV. Datenschutzbeauftragte des Auftragnehmers Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr Dipl.-Ing. Andree Kühne Management-System-Beratung GmbH Frankenstr.7, Hamburg, Tel.: 040 / Fax: 040 / (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. V. Datengeheimnis 1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. 2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht, diese über die Bestimmungen des Datenschutzgesetzes belehrt wurden und nach 5 BDSG eine Verpflichtungserklärung unterschrieben haben. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. 3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

4 VI. Datensicherungsmaßnahmen, Anlage zu 9 BDSG (siehe ANHANG) 1. Die im Anhang beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt. 2. An der Erstellung der öffentlichen Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. 3. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. 4. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. 5. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Er unterrichtet den Auftraggeber unverzüglich, wenn eine vom Auftraggeber erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder ausdrücklich bestätigt wird. VII. Vertragsdauer 1. Der Vertrag wird auf unbestimmte Zeit geschlossen. Er ist mit einer Frist von drei Monaten zum Quartalsende kündbar, vorausgesetzt alle zwischen den Parteien abgeschlossene Rechtsgeschäfte sind abgeschlossen. 2. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert. VIII. Haftung 1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. 2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitungen im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten. IX. Vertragsstrafe

5 Bei Verstoß gegen die Verpflichtungen des Auftragnehmers aus dieser Vereinbarung wird eine Vertragsstrafe vereinbart. Die Bestimmung der Höhe der jeweiligen Vertragsstrafe liegt im Ermessen des Auftraggebers, kann aber auf Betreiben des Auftragnehmers durch das zuständige Landgericht (Kammer für Handelssachen) herab gesetzt werden. X. Sonstiges 1. Der Auftragnehmer übereignet dem Auftraggeber auf Wunsch Sicherungskopien. Die Kosten dafür sind dem Auftragnehmer vom Auftraggeber zu erstatten. 2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. 3. Für Nebenabreden ist die Schriftform erforderlich. 4. Die Einrede des Zurückbehaltungsrechts i.s.v. 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. XI. Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht., den Elmshorn, den.. (Auftraggeber) (DREI-D Direktwerbung GmbH & Co. KG)

6 ANHANG zu Datensicherungsmaßnahmen (Ziffer VI) Technische und organisatorische Maßnahmen gemäß 9 Bundesdatenschutzgesetz (BDSG) Das Unternehmen Drei-D Direktwerbung GmbH & Co. KG setzt die gemäß 9 BDSG und Punkt 3 der o.g. Vereinbarung erforderlichen technischen und organisatorischen Maßnahmen derzeit wie folgt um: 1. Zutrittskontrolle Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Nr. 1 Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen Sozialdaten verarbeitet oder genutzt werden, zu verwehren. Unbefugten wird der Zutritt zu den Datenverarbeitungsanlagen, mit denen Sozialdaten verarbeitet werden, durch die allgemeine Sicherung der Gebäude (Bewegungsmelder, Einbruchmelder, Videoüberwachung) in der Daimlerstr. 10 und 20 verwehrt. Ebenso ist der Zugang zu einzelnen Büros in denen Sozialdaten verarbeitet werden, durch verschlossene Türen gesichert, die nur mit dem entsprechenden Zahlencodes geöffnet werden können. Die Zahlencodes werden in regelmäßigen Abständen geändert. 2. Zugangskontrolle Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Nr. 2 Zugangskontrolle Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können Die Speicherung von Daten und die Verarbeitung erfolgt in der Regel nur auf den vorhandenen Servern. Werden Wechseldatenträger aller Techniken eingesetzt, so sind diese im Anschluss an die Arbeitssitzung in einem zugangsbeschränktem Bereich, sicher in einem Safe aufbewahrt.

7 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Nr. 3 Zugriffskontrolle Es ist gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Sozialdaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Nur autorisierte Mitarbeiter verfügen über individuelle, dem Nutzungsprofil (Servergespeicherte Profile) angepasste, Zugriffsberechtigungen. Zugriffe auf diese Daten sind nur von bestimmten Büros und Rechnern aus möglich. Unsere Rechner sind mit individuellen personenbezogenen Passwörtern geschützt, die in regelmäßigen Abständen geändert werden. Alle in der Unternehmensgruppe eingesetzten Anwendungen sind abteilungs- und zweckgebunden auf den Rechnern installiert. Jede/jeder Verarbeitung/Auftrag wird von der IT/EDV Leitung an einen Mitarbeiter übergeben. Die anschließende EDV-technische Auftragsabwicklung erfolgt immer nur durch einen Sachbearbeiter. Eine Datenverarbeitung außerhalb der gesicherten Gebäude findet nicht statt. Bei der Verwendung von mobilen Rechnern findet keine Verarbeitung, Erhebung und Nutzung von Sozialdaten statt. Das WLAN wurde zusätzlich durch eine geeignete Verschlüsselungssoftware gesichert Der Zugriff über das Internet ist durch eine Firewall für unbefugten Zugriff nicht möglich.

8 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Nr. 4 Weitergabekontrolle Es wird gewährleistet, dass Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist. CD-ROMs/DVDs mit gespeicherten Daten sind in einem zugangsbeschränktem Bereich sicher in einem Safe aufbewahrt. Server die Daten beherbergen befinden sich in Serverräumen, zu denen nur die Mitarbeiter der IT Zugriff haben. Daten werden täglich auf externen Speichermedien gesichert. Je nach Projekt und Anforderungen werden Datenübermittlungen in Logdateien aufgelistet. In Regelmäßigen Abständen werden Auswertungen gestartet, die Unregelmäßigkeiten sofort erkennen lassen. Mittels Sendungsverfolgung lassen sich Prozesse sogar über mehrere Jahre nachvollziehen. 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Nr. 5 Eingabekontrolle Es ist gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Sozialdaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Über die elektronische Arbeitszeiterfassung kann ständig nachvollzogen werden, wer wann an Sozialdaten gearbeitet hat. Projektdaten und Projektdetails werden ständig protokolliert. Die Auftragsabwicklung wird zeitgleich elektronisch erfasst. Änderungen an Sozialdaten werden in Logdateien protokolliert.

9 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Nr. 6 Auftragskontrolle Es wird gewährleistet, dass Sozialdaten, die im Auftrag erhoben, verarbeitet oder genutzt werden, nur entsprechend den Weisungen des Auftraggebers erhoben, verarbeitet oder genutzt werden. Im Unternehmen werden alle Aufträge über eine eigene, programmgestützte Auftragsverwaltung verarbeitet. Unser Qualitätsmanagement stellt eine Verarbeitung, Erhebung und Nutzung der Daten nur im Sinne des Auftraggebers sicher. 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Nr. 7 Verfügbarkeitskontrolle Es ist gewährleistet, dass Sozialdaten gegen zufällige Zerstörung oder Verlust geschützt sind. Durch unser komplexes Datensicherungssystem (Datensicherungskonzept) ist eine Wiederherstellung von zerstörten oder verlorenen Daten innerhalb kürzester Zeit möglich. Es ist stets sichergestellt, dass der Datensicherungsbestand nicht aus der gleichen Schadensursache heraus untergehen kann, wie die Produktionsdaten. 8. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Nr. 8 Trennungskontrolle Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Sozialdaten getrennt verarbeitet werden. Unsere Daten werden in automatisierten Geschäftsprozessen schnell und sicher gesplittet und den einzelnen Anwendungen zur Verfügung gestellt. Durch interne Programmierer sind zusätzlich spezielle Anwendungen und flexible Auswertungen möglich.