Vereinbarung zur Auftragsdatenverarbeitung

Transkript

1 Vereinbarung zur Auftragsdatenverarbeitung inklusive der Anlage zu den technisch-organisatorischen Maßnahmen nach 9 i.v.m. Anlage zu 9 BDSG zwischen und ProfitBricks GmbH, Greifswalder Straße 207 in Berlin Dokumenten-Informationen: Version: 3.0 Stand: Autor: ProfitBricks GmbH

2 Diese vertrauliche und in zweifacher Ausfertigung vorliegende Vereinbarung zur Auftragsdatenverarbeitung (der "VERTRAG") wird zwischen (nachfolgend Auftraggeber ) und ProfitBricks GmbH, Greifswalder Str. 207, Berlin (nachfolgend Auftragnehmer ) geschlossen. Die Vereinbarung tritt zum ("Tag des Inkrafttretens") in Kraft. Präambel Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Erbringung von Cloud-IT-Dienstleistungen (Services) für die Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit den Services in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit der Services 1 Definitionen: (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. (2) Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. (3) Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, Speichern, Organisieren, Aufbewahren, Anpassen oder Verändern, das Auslesen, Abfragen, Benutzen, Weitergeben durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten. Seite 1

3 (4) Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch die Services bzw. den konkreten Umfang nach 2 Absatz 4 festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). 2 Anwendungsbereich und Verantwortlichkeit (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG). (2) Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen. (3) Die Inhalte dieses Vertrags gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verarbeitungen (vgl. 3 Absatz 2 BDSG) im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. (4) Die Beauftragung umfasst das Nachfolgende: Gegenstand der Beauftragung: Umfang, Art, Zweck der Datenverarbeitung Art der Daten Seite 2

4 Kreis der Betroffenen Änderungen des Vertragsgegenstands und Verfahrensänderungen sind abzustimmen und entsprechend festzulegen. 3 Pflichten des Auftragnehmers (1) Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. (2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes ( 9 BDSG) entsprechen. Dies beinhaltet insbesondere a. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle), b. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), c. dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), d. dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), e. dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Seite 3

5 f. dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), g. dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), h. dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). Eine Maßnahme nach b bis d ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Eine Darstellung dieser technischen und organisatorischen Maßnahmen wird Anhang zu diesem Vertrag. (3) Der Auftragnehmer stellt auf Anforderung dem Auftraggeber die für die Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung. (4) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß 5 Bundesdatenschutzgesetz (Datengeheimnis) verpflichtet und in geeigneter Art und Weise in die Schutzbestimmungen des Bundesdatenschutzgesetzes bzw. die Pflichten im Umgang mit personenbezogenen Daten und der Aufgabensituation entsprechend angemessen eingewiesen und belehrt worden sind. Das Datengeheimnis und die Verpflichtung zur Vertraulichkeit bestehen auch nach Beendigung der Tätigkeit fort. (5) Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit. (6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. Der Auftragnehmer unterstützt den Auftraggeber bei der Ausübung der aus dem 42a BDSG resultierenden Informationspflichten, sofern ihm dies nach den gesetzlichen Bestimmungen möglich ist. (7) Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. (8) Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren und in geeigneter Weise nachzuweisen. (9) Eine Datenübermittlung an Drittstaaten findet nicht statt. Auf ausdrücklichem Wunsch des Kunden kann er die Betreuung in einem Rechenzentrum in einem Drittstaat wählen. Zur Seite 4

6 Beachtung der Gewährleistung eines angemessenen Datenschutzniveaus bedarf es einer gesonderten Vereinbarung (im Sinn von 4b und 4c BDSG). (10) Nach der Beendigung seiner diesbezüglichen Tätigkeit hat der Auftragnehmer alle Daten und überlassene Datenträger (einschließlich etwaig angefertigter Kopien) an den Auftraggeber heraus- bzw. zurückzugeben oder auf dessen Verlangen datenschutzgerecht zu löschen. 4 Pflichten des Auftraggebers (1) Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. (2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. (3) Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses (Jedermannverzeichnis) gem. 4g Abs. 2 S. 2 BDSG liegt beim Auftraggeber. (4) Dem Auftraggeber obliegen die aus 42a BDSG resultierenden Informationspflichten. (5) Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest. (6) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten (z.b. Migration auf einen Dritten), so trägt diese der Auftraggeber. (7) Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen. 5 Anfragen Betroffener an den Auftraggeber Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen, vorausgesetzt: der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert; und der Auftraggeber erstattet dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten. Seite 5

7 6 Kontrollpflichten (1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er alternativ Selbstauskünfte des Auftragnehmers einholen; Sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten mit einer angemessenen Frist von mindestens 2 Wochen ohne Störung des Betriebsablaufs persönlich überzeugen. (2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte (soweit möglich auch durch und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme) zu geben, die zur Durchführung einer Kontrolle erforderlich sind. (3) Soweit der Kunde ein datenschutzrelevantes Audit durch einen unabhängigen Dritten durchführen lässt, muss dieser Dritte eine Geheimhaltungsvereinbarung unterzeichnen, deren Geheimhaltungsbestimmungen im Wesentlichen den Bestimmungen des Vertrags entsprechen, um proprietäre Informationen von ProfitBricks zu schützen. 7 Subunternehmer (1) Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen Subunternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. (2) Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. (3) Die im Anhang zu diesem Vertrag aufgeführten Subunternehmer sind vom Auftragnehmer für die Erfüllung der wesentlichen Vertragspflichten eingesetzte Subunternehmer. (4) In dem Fall, dass ein Subunternehmer des Auftragnehmers seinerseits einen Subunternehmer beauftragt, bedarf es der Genehmigung des Auftraggebers; zumindest aber einer Information innerhalb einer angemessenen Frist von vier Wochen. 8 Informationspflichten, Schriftformklausel, Rechtswahl (1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Liquidationsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Seite 6

8 Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als verantwortlicher Stelle im Sinne des Bundesdatenschutzgesetzes liegen. (2) Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. (3) Ergänzend gelten die Allgemeinen Geschäftsbedingungen des Auftragnehmers (einzusehen unter Es gilt ausschließlich deutsches Recht. 9 Schlussbestimmung Die Nichtigkeit, Undurchsetzbarkeit oder Unwirksamkeit einzelner Bestimmungen dieses Vertrages, auch sofern diese später in den Vertrag aufgenommen oder in einem Nachtrag geregelt werden, berührt die Gültigkeit der übrigen Bestimmungen nicht. Anstelle der unwirksamen, nichtigen oder undurchsetzbaren Bestimmung werden die Vertragsparteien eine Bestimmung vereinbaren, die, soweit rechtlich möglich, dem am nächsten kommt, was nach dem Sinn und Zweck der unwirksamen, nichtigen oder undurchsetzbaren Bestimmung gewollt ist. Gleiches gilt: für unbeabsichtigte Regelungslücken; in diesem Fall vereinbaren die Vertragsparteien eine Bestimmung, die dem am nächsten kommt, was nach dem Sinn und Zweck des vorliegenden Vertrages geregelt worden wäre, wenn die Parteien von der Regelungslücke gewusst hätten; oder sollte eine Bestimmung des vorliegenden Vertrages hinsichtlich einer Zeitspanne oder eines im Vertrag festgelegten Verhaltens unwirksam sein, so vereinbaren die Vertragsparteien eine Zeitspanne bzw. ein Verhalten, was rechtlich zulässig ist und dem ursprünglich Vereinbarten am nächsten kommt. Berlin,, Unterschrift ProfitBricks GmbH Petra-Maria Grohs CSO EMEAA Unterschrift Seite 7

9 Anlage zu den technisch-organisatorischen Maßnahmen nach 9 i.v.m. Anlage zu 9 BDSG ProfitBricks erklärt, dass die technischen und organisatorischen Maßnahmen nach 9 in Verbindung mit der Anlage zu 9 BDSG dem Grunde nach eingehalten werden. Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind. Sowohl ProfitBricks als auch die einzelnen von dieser beauftragten Rechenzentren haben insbesondere die folgenden Maßnahmen getroffen. Grundsätzlich ist eine Nutzung der Datenverarbeitungssysteme durch den Rechenzentrumsbetreiber nicht vorgesehen. ProfitBricks nutzt insofern in den Sicherheitsbereichen befindliche eigene Hardware, so dass weder Zugriffsrechte, Zugänge, Weitergaben, Eingaben der Daten des Auftraggebers durch die Rechenzentren stattfinden. 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle), Die Räumlichkeiten von ProfitBricks in der Greifswalder Str. 207 in Berlin befinden sich in einem ausschließlich geschäftlich genutzten Hinterhaus in den Etagen EG bis 2. OG, und 5 OG. Sämtliche Zugänge sind ausreichend gegen den unbefugten Zutritt abgesichert, das bedeutet dass: Jedwede Außentüren mit einem manuellen und technischen Schließsystem versehen und grundsätzlich verschlossen sind; die den Mitarbeitern zur Verfügung gestellten Schlüssel personengebunden registriert sowie die Schlüsselausgabe quittiert wird; Besucher nur in Begleitung eines Mitarbeiters sich in den Räumlichkeiten bewegen können; Personal von Dritten, insbesondere für Reinigungs- und Wartungsaufgaben sorgfältig ausgewählt wird; es Festlegungen zur Zugangsberechtigung und Besucherregelung gibt. Im Rahmen des Rechenzentrumsbetriebes wird darauf geachtet, dass: der Zutritt zum Rechenzentrum nur autorisierten Personen gestattet ist; der Zutritt durch ein materielles (RFID-Chip) und ein geistigen (PIN) Identifikationsmerkmal gesichert ist. Es wird zwischen fest zugewiesenen und beim Sicherheitsdienst zur Abholung hinterlegten Zutrittsberechtigungen unterschieden. Bei Zutrittsberechtigungen, die zur Abholung hinterlegt sind, wird die Autorisierung durch Kontrolle des Personalausweises Seite 8

10 sichergestellt. Die Daten werden bei einem Sicherheitsdienst hinterlegt (Whitelist), so wird gewährleistet, dass nur berechtigte Personen das Rechenzentrum betreten können; der Zutritt zu den einzelnen Kundenschränken oder -flächen ausschließlich durch den Kunden und durch das zuständige Personal möglich ist; die Zutrittskontrollsysteme sowie die Alarmanlagen über USV und Netzersatzanlage gegen Stromausfall gesichert sind; das Rechenzentrum, insbesondere der Zutritt zu Sicherheitsbereichen mit Videoüberwachung ausgestattet ist; das Rechenzentrum regelmäßig innerhalb vorgegebener Zeitfenster durch einen Wachdienst begangen wird. Die zu überprüfenden Punkte, welche der Wachdienst in den Rechenzentren zu kontrollieren hat, sind festgelegt. Auffälligkeiten werden berichtet. Die vorgegebenen Laufwege des Wachdienstpersonals werden protokolliert. 2. Zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), Es erfolgt insbesondere eine authentifizierte Benutzeridentifikation, insbesondere dadurch, dass: alle technischen Systeme (zentral und dezentral), Hardware und Software Firewall-geschützt sind; der vorhandene Virenschutz (Anti-Virensoftware) gepflegt und aktualisiert wird; der Zugang zu Serverräumen nur einer begrenzten Anzahl von Personen gestattet wird (restricted area); Mitarbeiter ausschließlich mit den personalisiert angelegten Benutzerprofilen arbeiten, welche die Eingabe eines spätestens aller drei Monate zu ändernden und mindestens 8 Stellen umfassenden alphanumerischen Passwort erfordern; Bildschirme automatisiert spätestens nach 5 Minuten sowie Zugänge bei mehr als fünf Fehlversuchen für 30 Minuten gesperrt werden; VPN-Technologie (SSL/TLS) eingesetzt wird; mobile Datenträger (Laptops) gesondert verschlüsselt sind. 3. Dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), Die unerlaubte Tätigkeit in Datenverarbeitungssystemen außerhalb eingeräumter Berechtigungen wird im Besonderen verhindert, dadurch dass: Seite 9

11 die Zugriffsrechte (sowohl für Anwender, wie auch für Administratoren) sich an den aufgabenbedingten und datenschutzrechtlichen Erfordernissen orientieren; der Zugriff auf Anwendungen (Eingabe, Veränderung und Löschung) protokolliert wird und ausgewertet werden kann (mindestens für 14 Tage); Schutz gegen unberechtigte interne und externe Zugriffe durch Verschlüsselung und Firewalls bestehen (siehe 2.). 4. Dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass es überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Die Aspekte der Weitergabe personenbezogener Daten wird hierdurch umgesetzt, dass: VPN-Technologie (SSL/TLS) zur Datenkommunikation eingesetzt wird; -Nachrichten bzw. sonstige Informationen grundsätzlich verschlüsselt bzw. anonymisiert versendet werden können; beim physischen Transport, geeignete Transportpersonen sorgfältig ausgewählt werden. 5. Dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Die Kontrolle von Eingaben, erfolgt durch: Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschung von Daten (durch Logfiles); die Zugriffsrechte orientieren sich (sowohl für Anwender, wie auch für Administratoren) an den aufgabenbedingten und datenschutzrechtlichen Erfordernissen. 6. Dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), Die Vergabe und die Überwachung von Auftragsdatenverarbeitungen insbesondere der externen Rechenzentren ergeben sich aus dem Folgenden: sorgfältige Auswahl von Dritten (insb. wegen Datensicherheit) in Zusammenarbeit mit dem Datenschutzbeauftragten (soweit möglich nur ISO/IEC :2005 zertifizierte Unternehmen/ Rechenzentren); Seite 10

12 detaillierte Regelungen zum Auftragsverhältnis; Vereinbarung wirksamer Kontroll- und oder Zugriffs- bzw. Löschungsrechte (ggf. Vertragsstrafen); regelmäßige Kontrolle durch den Datenschutzbeauftragten. 7. Dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), Zur Durchsetzung der Verfügbarkeit, hat ProfitBricks veranlasst, dass: eine unterbrechungsfreie Stromversorgung besteht (USV); Räumlichkeiten in Brandabschnitten versehen mit einzelnen Brandschutzeinrichtungen (Feuerund Rauchmeldeanlagen; Feuerlöscher) eingeteilt sind; Klimaanlagen vorhanden sind; eine Notfallmatrix besteht. Im Rahmen des Rechenzentrumsbetriebes wird insbesondere darauf geachtet, dass: die Stromversorgung durch Redundanzen sichergestellt wird (Notstromaggregate sowie USV- Anlagen mit n+1 Redundanz; Überbrückungszeit mindestens 15 min. bis die Notstromaggregate die Stromversorgung wieder sicherstellen - Anlaufzeit inkl. Lastübernahme 1-2 min.); das Rechenzentrum mit einer Raumklimatisierung ausgestattet ist (mittlere Temperatur 22 C +/- 4, redundant ausgelegt (n+1), die installierten Luftfilter entsprechen DIN EN 779 G4); das Rechenzentrum über baulich getrennte Brandabschnitte verfügt. In den Räumlichkeiten ist eine Brandmeldeanlage und eine Brandfrühersterkennung installiert; die Hochwasser- und Erdbebenkritikalität DIN-gerecht geprüft wurde. 8. Dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). Die getrennte Datenverarbeitung wird gewährleistet durch: fehlende Möglichkeit eines physikalischen Zugriffs durch dedizierten Rechte und Pflichten; klare Trennung und Nachvollziehbarkeit von Kundenzugriffen (logische Trennung durch individuellen Benutzungsprofil mit Passwortschutz); getrennte Verarbeitung zweckgebundener Daten. 9. Die innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes anzupassen. Seite 11

13 ProfitBricks hat sich den folgenden datenschutzrechtlichen Standards unterworfen: Erarbeitung eines IT-Sicherheits- und Datenschutzkonzepts; Fertigung von internen Datenschutz- und Sicherheitsrichtlinien (Policies) sowie Arbeitsanweisungen; Bestellung eines externen Datenschutzbeauftragten; Regelmäßige Kontrolle durch den Datenschutzbeauftragten; Regelmäßige Hinweise und Ermahnungen, um das Problembewusstsein zu fördern; Gelegentliche unvermutete Kontrolle der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen. ProfitBricks gewährleistet, dass die Leistungserbringung in deutschen Rechenzentren und unter Beachtung des deutschen Datenschutzrechts erfolgt. Die Leistungen von ProfitBricks orientieren sich zudem soweit möglich an den Vorgaben der Normen der ISO Zertifizierung. Der Workflow zur Annäherung und Erfüllung der Normen richtet sich nach dem im ITIL Framework. Zudem verfolgt ProfitBricks die Prozesse, um die Anforderungen der ISO zu erfüllen (Vorbereitung einer Zertifizierung; insbesondere Incident & Service Request Management; Problem management; Business Relationship Management; Budgeting and Accounting for Services; Service Level Management; Capacity Management; Design and Transition of new or changed Services; Change Management; Release and Deployment; Configuration Management; Information Security Management; Service Continuity and Availability; Supplier Management; Durchführung interner Audits). ProfitBricks hat zudem nach den allgemein anerkannten Regeln von Wissenschaft und Technik die operativen Leistungskomponenten (Storage Systeme/ Infinibandswitche und Uplink Router/ Switche) doppelt redundant ausgelegt. Seite 12

14 Anlage zu den eingesetzten Subauftragnehmern ProfitBricks erklärt, dass die nachfolgenden Subauftragnehmer zur Unterstützung eingesetzt werden. Name und Anschrift des Subunternehmers Equinix (Germany) GmbH Taubenstraße Frankfurt am Main TelemaxX Telekommunikation GmbH Amalienbadstraße 41 Bau Karlsruhe Beschreibung der Leistung Colocation & Betriebsflächen/ Rechenzentren Colocation & Betriebsflächen/ Rechenzentren Die vorhandenen Zertifizierungen (mindestens ISO 27001) können auf gesonderte Nachfrage vorgelegt werden. Seite 13