Vertrag Auftragsdatenverarbeitung

Transkript

1 Vertrag Auftragsdatenverarbeitung Datenschutz und Datensicherheitsbestimmungen (DuD-B) zwischen Musterfirma (nachfolgend Auftraggeber genannt) und der NAGL Papierverarbeitung e. K. Martin-Festl-Ring 8, Aschheim-Dornach (nachfolgend Auftragnehmer genannt) Die nachfolgenden Datenschutz- und Datensicherheitsbestimmungen (DuD-B) finden Anwendung auf alle Leistungen oder Tätigkeiten, bei denen der AUFTRAGNEHMER, von ihm eingesetzte Personen oder durch den AUFTRAGNEHMER mit Einwilligung des AUFTRAGGEBERS beauftragte Subunternehmer personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, 11 Abs. 1 BDSG. Die DuD-B finden weiterhin Anwendung bei Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, 11 Abs. 5 BDSG. Diese Regelungen gelten entsprechend auch für alle sonstigen im Auftrag verarbeiteten Daten, insbesondere unabhängig von der Rechtsform - Kundendaten oder eigene Daten des Auftraggebers oder seiner Mitarbeiter und zwar auch dann, wenn sich die folgenden Bestimmungen ausdrücklich auf personenbezogene Daten beziehen. 1 Allgemeine Bestimmungen (1) Der AUFTRAGGEBER ist als Verantwortliche Stelle i.s.d. 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz, für die Rechtmäßigkeit der Datenerhebung, -verarbeitung und nutzung, insbesondere der Datenweitergabe an den AUFTRAGNEHMER, sowie für die Wahrnehmung der Rechte der Betroffenen ( 3 Abs. 1 BDSG) verantwortlich, 11 Abs. 1 S. 1 BDSG. Der AUFTRAGNEHMER hat den AUFTRAGGEBER hierbei in geeigneter Weise zu unterstützen, 11 Abs. 3 BDSG. Darüber hinaus verpflichtet sich der AUFTRAGNEHMER zur Einhaltung sämtlicher einschlägiger datenschutzrechtlicher Vorschriften. (2) Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten wird der AUFTRAGNEHMER für den AUFTRAGGEBER tätig und ist insoweit verpflichtet, die Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und für Zwecke des AUFTRAGGEBERS zu erheben, zu verarbeiten oder zu nutzen und dabei gemäß 11 Abs. 3 S. 1 BDSG den Weisungen des AUFTRAGGEBERS zu folgen. Eine Verarbeitung oder Nutzung für sonstige, insbesondere eigene Zwecke ist dem AUFTRAGNEHMER nicht erlaubt. Darüber hinaus sind im Einzelnen der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen sowie der Umfang der Weisungsbefugnisse, die sich der AUFTRAGGEBER gegenüber dem AUFTRAGNEHMER vorbehält, im Hauptvertrag nebst Anlagen festgelegt. (3) Soweit der AUFTRAGNEHMER seine Leistung in den Räumlichkeiten oder unter Zugriff auf die Systeme des AUFTRAGGEBERS erbringt, unterliegt er den Kontrolleinrichtungen des AUFTRAGGEBERS (insbesondere Zutritts-, Zugangs- und Zugriffskontrolle). (4) Bei der -Kommunikation werden die Parteien die Vertraulichkeit beachten, indem sie vertrauliche Informationen gegen unberechtigte Kenntnisnahme oder Manipulationen schützen. Hierzu können die Parteien entsprechende technische Maßnahmen, z.b. Verschlüsselungs- und Signaturverfahren, abstimmen.

2 2 Pflichten des AUFTRAGNEHMERS (1) Zum Schutz personenbezogener Daten vor Missbrauch und Verlust wird der AUFTRAGNEHMER die technischen und organisatorischen Vorkehrungen treffen, die in der beigefügten Vereinbarung zu den technischen und organisatorischen Maßnahmen zwischen den Parteien festgelegt wurden. Die Vereinbarung ist Bestandteil dieser Anlage. Die vereinbarten Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Beabsichtigte wesentliche Änderungen (z.b. wesentliche Änderung von Verschlüsselungsverfahren oder Anmeldeprozeduren) sind zu dokumentieren und dem AUFTRAGGEBER mitzuteilen sowie einvernehmlich in einer geänderten Fassung der Vereinbarung zu den technischen und organisatorischen Maßnahmen festzuhalten, wobei der AUFTRAGGEBER Änderungen nicht ohne erheblichen Grund widerspricht. (2) Der AUFTRAGNEHMER bestätigt und stellt sicher, dass die für die Durchführung des Auftrags eingesetzten Personen gemäß 5 BDSG (Datengeheimnis) schriftlich verpflichtet und in die Schutzbestimmungen des BDSG sowie weiterer maßgeblicher Bestimmungen zum Datenschutz (z.b. 88 TKG sowie 203, 206 StGB) eingewiesen worden sind. Auf Verlangen des AUFTRAGGEBERS wird der AUFTRAGNEHMER die Verpflichtung und Einweisung nachweisen. (3) Der AUFTRAGNEHMER darf Zugriffsberechtigungen nur an Personen vergeben, die mit der Durchführung des Auftrags befasst sind. Die Berechtigungen sind in dem für die Erfüllung der jeweiligen Aufgaben erforderlichen Umfang zu vergeben. Auf Verlangen wird der AUFTRAGNEHMER dem AUFTRAGGEBER die zugriffsberechtigten Personen und deren Berechtigungen benennen. (4) Die Datenerhebung, -verarbeitung oder -nutzung darf grundsätzlich nur innerhalb der EU oder des EWR- Raumes erfolgen, 4b BDSG. Die Datenerhebung, -verarbeitung oder nutzung in Drittstaaten bedarf einer ausdrücklichen Vereinbarung, 4c BDSG. Dies gilt auch für Subunternehmer. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Einwilligung des AUFTRAGGEBERS im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den AUFTRAGGEBER (Besichtigungs- und Kontrollrecht gem. 2 Nr. 6) vorher mit dem AUFTRAGNEHMER abzustimmen. Der AUFTRAGNEHMER sichert zu, dass alle Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind. (5) Der AUFTRAGNEHMER hat den AUFTRAGGEBER unverzüglich darauf aufmerksam zu machen, wenn eine vom AUFTRAGGEBER erteilte Weisung seiner Meinung nach gegen das BDSG oder eine andere Vorschrift über den Datenschutz verstößt, 11 Abs. 3 S. 2 BDSG (6) Der AUFTRAGNEHMER gewährleistet die ordnungsgemäße Durchführung der mit dem AUFTRAGGEBER in der Anlage Vereinbarung zu den technischen und organisatorischen Maßnahmen vereinbarten, nach 9 BDSG und Anlagen zu 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen. Die Einhaltung der technischen und organisatorischen Maßnahmen wird der AUFTRAGNEHMER regelmäßig durch geeignete Nachweise z.b. von der Revision, seinem betrieblichen Datenschutzbeauftragten oder einer anerkannten Wirtschaftsprüfungsgesellschaft belegen. Die Aktualität der Nachweise darf im Regelfall 3 Jahre nicht überschreiten. Die Nachweise sind dem AUFTRAGGEBER unaufgefordert vorzulegen. Unabhängig davon räumt der AUFTRAGNEHMER dem AUFTRAGGEBER und dessen Bevollmächtigten bezüglich der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs-, Einsichtnahme-, Auskunfts- und Kontrollrecht, grundsätzlich nach vorheriger Abstimmung mit dem AUFTRAGNEHMER und während dessen gewöhnlichen Geschäftszeiten, ein. Der AUFTRAGNEHMER ist verpflichtet, im Falle von Auskünften und Einsichtnahmen die erforderliche Unterstützung bereitzustellen. Im Übrigen wird der AUFTRAGNEHMER sämtlichen Personen, die Prüfungen oder sonstige Maßnahmen gemäß BDSG vornehmen, den Zugang zu allen seinen Räumlichkeiten gestatten, sofern dies nach datenschutzrechtlichen Bestimmungen erforderlich ist, und seinen weiteren Pflichten gemäß 38 BDSG nachkommen.

3 (7) Der AUFTRAGNEHMER hat auf Weisung des AUFTRAGGEBERS die Daten zu berichtigen, zu löschen oder zu sperren, 35 BDSG. Näheres bestimmt sich nach den Regelungen des Hauptvertrages. (8) Der AUFTRAGNEHMER ist nicht befugt, ohne schriftliche Einwilligung des AUFTRAGGEBERS Hard- oder Software an die Systeme des AUFTRAGGEBERS anzuschließen oder darauf zu installieren. (9) Dem AUFTRAGNEHMER ist es nicht gestattet, personenbezogene Daten in Systeme Dritter einzuspielen. Dies gilt auch für Testzwecke. (10) Während der Entwicklung von Software werden grundsätzlich keine personenbezogenen Daten, sondern lediglich anonymisierte Original- oder fiktive Testdaten verwendet. (11) Der AUFTRAGNEHMER wird personenbezogene Daten nach Abschluss der Arbeiten - nach den Vorgaben des AUFTRAGGEBERS - vollständig datenschutzgerecht löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) oder an den AUFTRAGGEBER zurückgeben. Das gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rückgabe unter datenschutzgerechtem Verschluss zu halten ist. Gesetzliche Aufbewahrungspflichten insbesondere nach AO und HGB bleiben hiervon unberührt. Vertragsbezogene Daten (z.b. Ansprechpartner des AUFTRAGGEBERS), die zur Sicherung von Beweisinteressen des AUFTRAGNEHMERS erforderlich sind, dürfen in gesperrter Form bis zum Ablauf der regelmäßigen Verjährungsfrist aufbewahrt werden. Die Löschung ist auf Anforderung schriftlich zu bestätigen. (12) Der AUFTRAGNEHMER ist verpflichtet, den AUFTRAGGEBER unaufgefordert und unverzüglich zu informieren, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind ( Datenschutzverletzung ) und Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen bestehen oder drohen (Selbstanzeigepflicht). (13) Der AUFTRAGNEHMER hat den AUFTRAGGEBER bei Unregelmäßigkeiten des Datenverarbeitungsablaufes, bei begründetem Verdacht der Verletzung von Vorschriften und vertraglichen Vereinbarungen zum Schutz personenbezogener Daten, sowie bei Beanstandungen durch die Datenschutzaufsichtsbehörde, die interne Revision oder in sonstigen Datenschutzprüfungsberichten, sofern ihm dies nicht aufgrund einer behördlichen Vorgabe im Rahmen eines Ermittlungsverfahrens untersagt ist, zu informieren und die Abhilfemaßnahmen aufzuzeigen. (14) Der AUFTRAGNEHMER ist für die Durchführung des Auftrages verpflichtet, nach Maßgabe des 4f BDSG einen Beauftragten für den Datenschutz schriftlich zu bestellen, der die Aufgaben nach 4g Abs. 1 und 2 BDSG erfüllt. Soweit der AUFTRAGNEHMER nach Maßgabe des 4f BDSG nicht zur Bestellung eines Beauftragten für den Datenschutz verpflichtet ist, stellt er die Erfüllung der Aufgaben nach 4g Abs. 1 und 2 BDSG in anderer Weise sicher. Der AUFTRAGNEHMER wird dem AUFTRAGGEBER den Namen des Beauftragten für den Datenschutz benennen. Bei einem Wechsel des Beauftragten für den Datenschutz wird der AUFTRAGNEHMER den AUFTRAGGEBER unverzüglich hiervon in Kenntnis setzen. (15) Dem AUFTRAGNEHMER ist bekannt, dass ein Verstoß gegen datenschutzrechtliche Vorschriften eine Ordnungswidrigkeit bzw. eine Straftat nach 43 bzw. 44 BDSG darstellen kann.

4 3 Subunternehmer (1) Der Einsatz eines Subunternehmers durch den AUFTRAGNEHMER bedarf soweit zwischen den Parteien nichts Abweichendes vereinbart ist - der schriftlichen Einwilligung des AUFTRAGGEBERS. (2) Die vertraglichen Vereinbarungen zwischen dem AUFTRAGNEHMER und dem Subunternehmer sind so zu gestalten, dass sie den Regelungen der vorliegenden Vereinbarung entsprechen. Zu diesem Zweck müssen insbesondere die mit dem Subunternehmer zu vereinbarenden technischen und organisatorischen Maßnahmen ein gleichwertiges Schutzniveau aufweisen. (3) Auf Anforderung des AUFTRAGGEBERS wird der AUFTRAGNEHMER Auskunft über den wesentlichen Vertragsinhalt mit dem Subunternehmer und die Umsetzung der datenschutzrelevanten Verpflichtungen geben, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen. (4) Der AUFTRAGNEHMER bleibt für die Erfüllung der auf den Subunternehmer übertragenen Tätigkeiten im gleichen Umfang verantwortlich, als würden diese durch den AUFTRAGNEHMER selbst ausgeführt. (5) Der AUFTRAGNEHMER wird mit dem Subunternehmer die in 2 Abs. 6 dieser Anlage aufgeführten Prüfungs- und Kontrollrechte für sich und den AUFTRAGGEBER vertraglich vereinbaren. Vereinbarung zu den technischen und organisatorischen Maßnahmen des Auftragnehmers Nach 11 Abs. 2 S. 2 BDSG sind die technischen und organisatorischen Datenschutzmaßnahmen schriftlich festzulegen. Folgende technische und organisatorische Maßnahmen (Anlage zu 9 BDSG) werden zwischen dem AUFTRAGGEBER und dem AUFTRAGNEHMER verbindlich festgelegt. 11 Abs. 4 BDSG bleibt unberührt. Maßnahmen zur Qualitätssicherung (z.b. Zertifizierungen etc.). Datenschutz: Alle Mitarbeiterinnen und Mitarbeiter von NAGL wurden über die Bestimmungen des Bundesdatenschutzes ( 5 BDSG) belehrt und verpflichten sich in einer schriftlich abverlangten Datenschutzerklärung, sich an diese zu halten. Externer Datenschutzbeauftragte: Johannes Frautschi (Dipl.-Ing) ext. DSB/Tüv Tel: info@beratungsbüro-frautschi.com

5 1) Zutrittskontrolle Maßnahmen die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden verwehren: Zentraler Empfangsbereich vorhanden, besetzt von 8-17 Uhr. Nur in diesem Zeitraum ist der Betriebszutritt für Besucher möglich. Aufenthalt von Betriebsfremden im gesamten Unternehmensgebäude ist nur in Begleitung eines Firmenangehörigen möglich. Abschließen des Gebäudes mit Sicherheitsschlössern nach Arbeitsschluss durch Frau Nagl oder Herrn Nagl. Die Schlüsselregelung wird in den Personalakten festgehalten. 2) Zugangskontrolle Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: Identifikation und Authentifikation gegenüber dem Datenverarbeitungssystem (Kennwort/Passwort) Richtlinien zum sicheren und ordnungsgemäßen Umgang mit Passwörtern: Persönlich, keine Weitergabe, mind. 10 Stellen, je ein Sonderzeichen, Zahl sowie mind. Einen Buchstaben im klein und Großschreibung enthalten (in einer Dienstanweisung beschrieben), Zugangssperre nach drei Fehlversuchen. Im Krankheitsfall/Abwesenheit Freischaltung der notwendigen Daten durch externen Administrator. Umgehende Sperrung von Berechtigungen beim Ausscheiden von Mitarbeitern Die Zugangskontrolle der Computer im Drucksaal erfolgt über eine Passworteingabe. Jährliche Kontrolle der Gültigkeit der Berechtigungen und bei Bedarf (z.b. Ausscheiden eines Mitarbeiters) durch externen Administrator (Fa.Boxhorn).

6 Sicherung der Bildschirmarbeitsplätze nach fünf Minütiger Abwesenheit durch Bildschirmschoner und anschließend neue Autorisation durch Passwort. Vergabe von Administratorrechten für Serversysteme besitzen ein externer Administrator (Fa. Boxhorn). Diese Person besitzt uneingeschränkte Rechte über Serversysteme. Regelmäßige Softwareaktualisierungen (z.b. bei Virenscanner, Firewall und eingesetzte Betriebssoftware). 3) Zugriffskontrolle Maßnahmen die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: Verschlüsselung der Kundendatenbank wird durch ein Masterpasswort gesichert. Dieses muss nach jeder Änderung vom externen Dienstleister neu angefordert werden. Eine Übertragung von Kundenspezifischen Daten findet nicht satt. Abschottung interner Netze gegen Zugriffe von außen (Firewall). Organisation der Datenträgerverwaltung, Absicherung der Bereiche, in denen Datenträger verarbeitet und aufbewahrt werden. Dies erfolgt lediglich in der EDV. Die Datenträger werden nach Verwendung an den Kunden zurückgegeben. Zwischenzeitlich erfolgt die Aufbewahrung in einen abgeschlossenen Sicherheitsschrank. Vorgehensweise in Arbeitsanweisung definiert. Schriftliche Regelung zum Kopieren von Daten (lediglich eine Sicherheitskopie erlaubt) Schriftliche Regelung zur - und Internet-Nutzung.

7 Verbindliches Verfahren zur Wiederherstellung von Daten aus Backup (Restore durch IT- Abteilung auf Anweisung von Abteilungsleitung / Geschäftsleitung) 4) Weitergabekontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: Wenn erforderlich Transport von Datenträger mit personenbezogenen Daten nur durch Herrn Nagl. Daten sind vor unbefugtem Zugriff geschützt (Verschlüsselung) Verschlüsselung via SSL bezüglich gesicherten -Versands. ( Absender (Fa. Nagl) bis zum 1. Mailserver des Empfängers (Kunde)). FTP-Server Nagl mit Zugang je Kunde in jeweiligen Ordner/geschützter Bereich. Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger. Datenschutzgerechte Vernichtung von Datenträgern und Fehldrucken mit eindeutigen Arbeitsanweisungen. Ausgabe von Datenträger mit personenbezogenen Daten nur an autorisierte Personen der Abteilung EDV. Einlagerung von Back-up Medien durch Herrn Nagl. 5) Eingabekontrolle Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

8 Vertragliche Beschränkung der Arbeit mit personenbezogenen Daten des Auftraggebers lt. Datenschutzvereinbarung und Leistungsbeschreibung Führung nachvollziehbarer Zugriffsberechtigungen, um Transparenz zu gewinnen, wer Dateneingaben bzw. -veränderungen vorgenommen hat. Dateneingabe in Bezug auf personenbezogene Daten erfolgt nur auf schriftliche Anweisung durch den Adresseigner bzw. Kunden 6) Auftragskontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden: Detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers sind im Auftrag und der evtl. Datenschutzvereinbarung definiert Zweckbindung der personenbezogenen Daten des Auftraggebers sowie ein Verbot der Nutzung durch den Dienstleister außerhalb des schriftlich formulierten Auftrags Vorhandensein eines externen Datenschutzbeauftragten, welcher für die Datenschutzorganisation und für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse sorgt Auf Kundenwunsch kann im Vertrag eine verantwortliche Person beim Auftraggeber benannt werden, die in Bezug auf die vereinbarte Auftragsdatenverarbeitung gegenüber dem Dienstleister weisungsbefugt ist Kontrolle der Einhaltung von Datensicherheitsbestimmungen, federführend durch den Datenschutzbeauftragten Meldung, auch bei Verdacht auf Verstößen, bezüglich der Datensicherheit der Daten des Auftraggebers Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis und dessen Auffrischung über jährliche Schulungsmaßnahmen Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags. (Löschfrist)

9 7) Verfügbarkeitskontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: Backup: Verbindliches Verfahren zur Wiederherstellung von Daten Intern: Tägliche Sicherung auf Back-up Medium Unterbrechungsfreie Stromversorgung. (USV) Feuer- und Rauchmeldeanlagen. Feuerlöschgeräte nach den gesetzlichen Vorschriften. 8) Trennungsgebot Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden: Die Daten des Auftraggebers und anderer Kunden werden soweit möglich von unterschiedlichen Mitarbeitern des Dienstleisters verarbeitet. Es existiert ein Berechtigungskonzept, das der getrennten Verarbeitung von Daten des Auftraggebers von Daten anderer Mandanten Rechnung trägt. Kundendaten werden voneinander getrennt durch Ablage in unterschiedlichen Verzeichnissen getrennt.

10 Gültig ab Juli 2014 ( Nagl Papierverarbeitung e. K. Alfons Nagel GF)... Aschheim, den... (Ort, Datum) (Ort, Datum) (Unterschrift Auftraggeber) (Auftragnehmer NAGL Papierverarbeitung e. K.)... (Name des Unterzeichners im Klartext)