ANLAGE II: Regelungen zum Datenschutz bei Mitarbeiterbefragungen und vergleichbaren Verfahren des geva-instituts und zur Auftragsdatenverarbeitung

Transkript

1 geva Gesellschaft für Verhaltensanalyse und Evaluation mbh ANLAGE II: Regelungen zum Datenschutz bei Mitarbeiterbefragungen und vergleichbaren Verfahren des geva-instituts und zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in der Nutzungsvereinbarung in ihren Einzelheiten beschriebenen Abwicklung der Beauftragung des geva-instituts ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der Nutzungsvereinbarung in Zusammenhang stehen und bei denen Mitarbeiter des geva-instituts oder durch das geva-institut beauftragte Dritte mit personenbezogenen Daten der Mitarbeiter des Auftraggebers in Berührung kommen können. 1. Allgemeines 1.1 Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) Für die Mitarbeiterbefragung gilt das Bundesdatenschutzgesetz (BDSG) in seiner jeweils gültigen Fassung. Sofern der Auftraggeber dem Anwendungsbereich eines Datenschutzgesetzes (DSG) eines Bundeslandes unterliegt, verpflichtet sich das geva-institut, zum Schutz personenbezogener Daten die Bestimmungen dieses DSG zu befolgen. Als Adressen im Sinne dieser ANLAGE II gelten alle Informationen, die eine unmittelbare Kontaktaufnahme mit den betreffenden Personen ermöglichen; also insbesondere Name und Wohnung bzw. Postanschrift, Telefonnummer, Telefaxnummer, - Adresse und ähnliches. Vom BDSG nicht erfasst werden Befragungs- oder Beobachtungsdaten, die keinen Personenbezug aufweisen, weder direkt über Namen und/oder Adresse noch indirekt über die Bestimmbarkeit aufgrund anderer Merkmale. Bei der Durchführung der Verfahren des geva-instituts erfolgt das Anonymisieren der erhobenen personenbezogenen Daten dadurch, dass diese zum frühestmöglichen Zeitpunkt gelöscht werden. Zusätzlich kann es erforderlich sein, auch bei Daten ohne Personenbezug Details wegzulassen, weil sie zur Bestimmbarkeit einer Person führen können (z. B. die Kombination von Berufsangabe und Wohnort). Beim Pseudonymisieren werden personenbezogene Daten und Daten ohne Personenbezug (z. B. Antworten aus dem Fragebogen im geva-verfahren) getrennt gespeichert und mit gemeinsamen Code-Nummern versehen, um die beiden Datenkategorien wieder zusammenführen zu können. Bei Einmal-Befragungen geschieht das nur vorübergehend ausschließlich zu Zwecken der Qualitätskontrolle der erhobenen Daten; bei Folge- oder Wiederholungsbefragungen darüber hinaus mit vorheriger Einwilligung der Befragten bis zum Abschluss der Gesamtuntersuchung auch zur notwendigen Verknüpfung der Erhebungsdaten aus den verschiedenen Interviews. Solange personenbezogene Daten und Daten ohne Personenbezug im Institut zusammengeführt werden können, gelten auch die Daten ohne Personenbezug als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Elisabethstraße München Tel Fax Geschäftsführung: Gerhard Bruns Britta Grebe-Bruns Michael Kratzmair Handelsregister München HRB USt-IdNr. DE Stadtsparkasse München BLZ Kto BIC SSKMDEMM IBAN DE Deutsche Bank München BLZ Kto BIC DEUTDEDBMUC IBAN DE geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 1

2 1.2 Datenkategorien beim Einsatz von geva-verfahren Grundsätzlich wird beim Einsatz von geva-verfahren zwischen folgenden Datenkategorien unterschieden: Personendaten (personenbezogene Angaben der Teilnehmer wie z. B. Name, Anschrift, Geburtsdatum, -Adresse), Rohdaten (Teilnehmer-Angaben / Antworten aus dem Fragebogen), Ergebnisdaten (auf Grund der Rohdaten berechnete Werte), Ergebnisdokumente (Wiedergabe der Ergebnisdaten in unterschiedlich aufbereiteter Form: Teilnehmerauswertung, Dossier, Zertifikat etc.). 2. Auftragsdatenverarbeitung für den Auftraggeber Der Gegenstand der Auftragsdatenverarbeitung, insbesondere Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten durch das geva-institut, ergeben sich aus dieser ANLAGE II sowie aus der Nutzungsvereinbarung, auf die hier verwiesen wird. Die Dauer dieser Auftragsdatenverarbeitung (Laufzeit) entspricht regelmäßig der Laufzeit der Nutzungsvereinbarung. Sofern in der Nutzungsvereinbarung und seiner weiteren Anlage nicht anders geregelt, gilt im Hinblick auf die Auftragsdatenverarbeitung für den Auftraggeber folgendes: 2.1 Auftrag und Aufgabenabgrenzung Sämtliche personenbezogenen Daten im Zusammenhang mit der Nutzung der geva-verfahren werden vom geva-institut bei Vorliegen einer Auftragsdatenverarbeitung gemäß 11 BDSG (personenbezogene Daten der zu Befragenden werden vom Auftraggeber zur Verfügung gestellt) nach Weisung des Auftraggebers erhoben, verarbeitet und/oder genutzt (nachfolgend wird die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auch kurz mit Datenverarbeitung wiedergegeben). Der Auftraggeber trägt die datenschutzrechtliche Verantwortung im Falle einer Generierung der Adressen der zu befragenden Personen und die Verantwortung für deren ordnungsgemäße und gesetzeskonforme Herkunft, ferner dafür, dass deren Einwilligung zur Teilnahme an der Befragung vorliegt (eine informierte Einwilligung setzt voraus, dass der Zweck der Befragung, die beabsichtigten Auswertungen und die die Befragung durchführende bzw. die Befragungsergebnisse auswertende Stelle offengelegt werden; zugesichert werden muss, dass den Betroffenen, z. B. den Mitarbeitern, im Falle der Nichtbeteiligung keine Nachteile entstehen). Der Auftraggeber stellt das geva-institut von etwaigen Ansprüchen der zu befragenden oder befragten Adressen frei, die aus Verstößen gegen die vorstehenden Verpflichtungen des Auftraggebers resultieren. Das geva-institut verpflichtet sich, die übergebenen personenbezogenen Daten vertraulich zu behandeln und nur im Rahmen der Weisungen des Auftraggebers zu erheben, zu verarbeiten und/oder zu nutzen ( 11 Abs. 3 BDSG). Die entsprechenden Weisungen des Auftraggebers bedürfen grundsätzlich der Schriftform oder einer anderen dokumentierten Form. Die Weisungen werden anfänglich durch die Nutzungsvereinbarung und deren Anlage festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt 2017 geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 2

3 oder ersetzt werden (Einzelweisung), sofern dem nicht die in der Nutzungsvereinbarung und deren Anlage zulässigerweise getroffenen Regelungen entgegenstehen. 2.2 Umfang, Art und Zweck der Datenverarbeitung ergeben sich aus dem Verfahrensverzeichnis gemäß 4g BDSG gemäß Anhang 1 zu ANLAGE II. 2.3 Örtlicher Bereich Die Erhebung, Verarbeitung und/oder Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. 2.4 Rechte und Pflichten des geva-instituts und des Auftraggebers beim Datenschutz Die Sicherheit bei der Übertragung von personenbezogenen Daten ist von beiden Vertragsparteien zu gewährleisten Der Auftraggeber sowie das geva-institut werden bei der Durchführung der geva-verfahren die Bestimmungen des Bundesdatenschutzgesetzes sowie der sonstigen datenschutzrechtlichen Bestimmungen beachten. Auf die Meldepflichten gemäß Bundesdatenschutzgesetz wird hingewiesen. Das geva-institut ist beim Bayerischen Landesamt für Datenschutzaufsicht für den nicht-öffentlichen Bereich (früher zuständig: Regierung von Mittelfranken) unter der Registriernummer DSA entsprechend 4d BDSG gemeldet Datenschutzbeauftragter: Das geva-institut hat einen Datenschutzbeauftragten gemäß 4f BDSG bestellt. Der Auftraggeber wird darauf hingewiesen, eigenverantwortlich zu prüfen, ob er im Rahmen dieser Nutzungsvereinbarung und deren Durchführung einen Datenschutzbeauftragten bestellen muss In begründeten Fällen darf das geva-institut bezüglich aller für die Durchführung dieses Vertrages erforderlichen datenschutzrelevanten Sachverhalte vom Auftraggeber Auskunft zu verlangen Bei der Durchführung der geva-verfahren sind vom Auftraggeber oder aufgrund gesonderter Vereinbarung laut Angebot vom geva-institut gemäß Weisung des Auftraggebers gegenüber dem Teilnehmer Hinweise zum Ablauf der geva-verfahren und zum Umgang mit seinen Daten zu geben. Der Teilnehmer ist dabei insbesondere über die Empfänger der Auswertung und den Verarbeitungszweck zu informieren. Zusätzlichen Personen dürfen Auswertungen der geva-verfahren, sofern diese einer bestimmten Person zugeordnet werden können, nur mit dem ausdrücklichen schriftlichen Einverständnis der hiervon betroffen Person zur Kenntnis gelangen. Will der Auftraggeber die Ergebnisse der geva-verfahren anderen Personen zur Kenntnis geben, so hat er diesbezüglich die betroffene Person vor 2017 geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 3

4 der Durchführung der geva-verfahren darauf hinzuweisen und deren Einwilligung einzuholen; dies kann durch eine schriftliche Einverständnis- und Datenschutzerklärung für die Inempfangnahme und Nutzung des Ergebnisses geschehen Der Auftraggeber verpflichtet sich, sofern und soweit erforderlich, die von ihm für den Datenschutz aufgestellten Regelungen und verwendeten Unterlagen den datenschutzrechtlichen Anforderungen zur Durchführung der geva-verfahren unentgeltlich nach Aufforderung durch das geva-institut anzupassen; die gleiche Verpflichtung trifft im Angebot ggf. benannte Dritte Der Auftraggeber stellt das geva-institut im Rahmen der Nutzung der geva-verfahren außerhalb des Auftraggebers von jeglicher datenschutzrechtlicher Haftung frei. Gleiches gilt, wenn der Auftraggeber Dritte einbezieht. 2.5 Umgang mit Daten aus den geva-verfahren Fragebogen, gleich ob aus Print- oder Online-Befragungen, werden ausgewertet, sofern dies inhaltlich sinnvoll ist; andernfalls werden unvollständige Datensätze bei Online-Befragungen in der Regel lediglich zur Reklamations- und Fehlerbehandlung gespeichert und spätestens nach 3 Monaten gelöscht Die Rohdaten werden im geva-institut nach Beendigung der Mitarbeiterbefragung und nach der Erstellung der Auswertung von den Personendaten entkoppelt (Anonymisierung), falls Personendaten im Projekt vorliegen. Die Personendaten werden regelmäßig nach der Anonymisierung gelöscht. Weder anonymisiert noch gelöscht werden Personendaten von Berichtsempfängern bzw. Namen beurteilter Führungskräfte oder beurteilter Personen, beispielsweise in Reports, die im Rahmen der laufenden Zusammenarbeit bis zu deren Beendigung aufbewahrt werden. Eine Verpflichtung, diese Daten über einen längeren Zeitraum zu archivieren, besteht nicht, es sei denn, es ist etwas anderes schriftlich vereinbart. Für die darüber hinausgehende weitere Verwendung der Daten durch den Auftraggeber trägt dieser die alleinige rechtliche Verantwortung Dem Auftraggeber stehen nur die im Rahmen des Vertrages geschaffenen Arbeitsergebnisse/Befragungsresultate bzw. Ergebnisdokumente des geva-instituts zur Verfügung. Der Auftraggeber erhält vom geva-institut die Auswertung in Form von Ergebnisdokumenten digital als pdf-dokument zur Verfügung gestellt. Die Rohdaten werden insbesondere aus Gründen des Datenschutzes und der Sicherung der Urheber- und Eigentumsrechte des geva-instituts an dem Erhebungsinstrument nicht an den Auftraggeber zur Eigen- oder Fremdnutzung oder Weiterverwendung herausgegeben, auch nicht in aggregierter Form. Arbeitsergebnisse/Befragungsresultate einer Mitarbeiterbefragung ermöglichen in der Regel nicht, Angaben einzelner Mitarbeiter personenbezogen zu identifizieren geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 4

5 Ausnahmen bei Führungsfeedbacks, Vorgesetztenbeurteilungen, 360-Grad- Feedbacks und Direct-Report-Auswertungen: Je nach Definition von Befragungsgegenstand, Befragtem und ggf. Beurteiltem beziehen sich die Arbeitsergebnisse/Befragungsresultate bzw. Ergebnisdokumente ggf. auf eine Person, z. B. Führungskraft. Arbeitsergebnisse/Befragungsresultate bzw. Ergebnisdokumente von Führungsfeedbacks, Vorgesetztenbeurteilungen, 360-Grad-Feedbacks oder Direct- Report-Auswertungen ermöglichen ggf. je nach Projektkonfiguration, Angaben einzelner Mitarbeiter personenbezogen zu identifizieren. Dies ist beispielsweise dann der Fall, wenn ein Vorgesetzter eine unterstellte Führungskraft z. B. im Rahmen eines Führungsfeedbacks per Top-down-Beurteilung bewertet und diese Angaben in der Auswertung der beurteilten Führungskraft abgebildet werden. Auch wenn alle Befragten einer Auswertungseinheit zu einer Frage die gleiche Antwortoption ankreuzen, ist eindeutig ersichtlich, welche Antwort jeder einzelne der Befragten gegeben hat Das geva-institut darf bei der Durchführung von geva-verfahren und vergleichbaren Verfahren auch nach Beendigung des Auftrages die Rohdaten nutzen und verwerten (z. B. für Re-Analysen oder zur Fortentwicklung der geva-verfahren, für methodisch-wissenschaftliche Auswertungen). Dies umfasst insbesondere das Recht, die Rohdaten zu bearbeiten, zu vervielfältigen, auszuwerten, in elektronischer und/oder digitaler Form zu speichern, einfache und ausschließliche Nutzungsrechte auch räumlich, zeitlich und inhaltlich unbeschränkt einzuräumen sowie Publikationen, wissenschaftliche Analysen und Studien durchzuführen, durchführen zu lassen oder dieses Recht Dritten einzuräumen. Die Anonymität des Auftraggebers, ggf. einbezogener Dritter und der Teilnehmer wird bei allen Datenanalysen und dem daraus resultierenden Benchmarking sowie bei Publikationen vom geva-institut sichergestellt. 2.6 Allgemeine Regelungen Hinweispflichten der Vertragsparteien Das geva-institut weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung nach seiner Ansicht gegen das BDSG oder eine andere Datenschutzvorschrift verstößt. Das geva-institut und die bei ihm beschäftigten Personen haben den Auftraggeber bei Störungen des Verarbeitungsablaufs, bei Verdacht auf Datenschutzverletzungen oder Verstößen gegen die im Auftrag getroffenen Festlegungen und anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers unverzüglich zu informieren. Der Auftraggeber seinerseits hat bei der Feststellung von Fehlern oder Unregelmäßigkeiten, die er insbesondere bei der Prüfung von Ergebnissen feststellt, unverzüglich das geva-institut zu informieren Verantwortung für die rechtliche Zulässigkeit der Datenverarbeitung Der Auftraggeber ist alleine verantwortlich für die Beurteilung der datenschutzrechtlichen Zulässigkeit der im Rahmen des Auftragsverhältnisses durchgeführten Datenverarbeitung durch das geva-institut. Dies umfasst insbesondere die Berichtigung, Löschung und Sperrung von Daten geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 5

6 2.6.3 Wahrung der Betroffenenrechte Der Auftraggeber ist alleine verantwortlich für die Wahrung der Rechte der Betroffenen Verpflichtungserklärungen Das geva-institut ist verpflichtet, bei der auftragsgemäßen Datenverarbeitung des Auftraggebers das Datengeheimnis zu wahren, 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten der Teilnehmer bzw. des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus dem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden Technische und organisatorische Maßnahmen entsprechend 9 BDSG Das geva-institut sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen, technischen und organisatorischen Maßnahmen entsprechend 9 BDSG sowie gemäß Anlage zu 9 BDSG zu. Die Maßnahmen sind im Anhang 2 zu dieser ANLAGE II dargestellt. Der Nachweis zur Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen wird durch eine dieser ANLAGE II beigefügten Fotokopie einer aktuellen Bestätigung des Betrieblichen Datenschutzbeauftragten des geva-instituts erbracht. Insbesondere wird das geva-institut seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Es wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes entsprechen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem geva-institut gestattet, alternative adäquate Maßnahmen umzusetzen Grundsätze ordnungsgemäßer Datenverarbeitung Die Grundsätze ordnungsgemäßer Datenverarbeitung werden vom gevainstitut beachtet. Dem Auftraggeber wird ein Kontrollrecht zur stichprobenmäßigen Überwachung der Erledigung seines Auftrags beim geva-institut eingeräumt. Der Auftraggeber kann sich hierzu nach Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen. Sofern der Auftraggeber dem Anwendungsbereich eines Datenschutzgesetzes (DSG) eines Bundeslandes unterliegt, unterwirft sich das geva-institut diesbezüglich auch der Kontrolle des zuständigen Landesdatenschutzbeauftragten Unterauftragsverhältnisse Der Auftraggeber ist damit einverstanden, dass das geva-institut zur Erfüllung seiner vertraglich vereinbarten Leistungen fremde und/oder verbundene Unternehmen zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt sogenannte Subunternehmer (z. B. für Datenerfassung, Datenverarbeitung, Mikroverfilmung, Datenträgerentsorgung, usw.). Wenn Sub geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 6

7 unternehmer durch das geva-institut eingeschaltet werden, so werden die vertraglichen Vereinbarungen so gestaltet, dass sie den Anforderungen bezüglich Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 BDSG beim Subunternehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom geva-institut auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Mit folgenden Unterauftragsverhältnissen des Auftragnehmers ist der Auftraggeber einverstanden: Die Verfahren für Mitarbeiterbefragungen werden über die Internetserver des geva-instituts, die in einem ISO zertifizierten, professionellen Rechenzentrum im Auftrag des geva-instituts gehostet und administriert. Das Rechenzentrum wird derzeit betrieben durch: SpaceNet AG, Josef-Dollinger-Bogen 14, München Das aktuelle Zertifikat nach ISO ist in Fotokopie beigefügt. Die Beauftragung anderer Subunternehmer im Rahmen von Unterauftragsverhältnissen bedarf bei der Auftragsdatenverarbeitung im Sinne dieser Bestimmung der vorherigen schriftlichen Zustimmung des Auftraggebers. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die das geva-institut bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Das geva-institut ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen Berichtigung, Sperrung und Löschung von Daten; Rückgabe von Datenträgern Das geva-institut hat, sofern sich aus der Nutzungsvereinbarung und dessen Anlage nichts anderes ergibt, nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren; nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der Nutzungsvereinbarung sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten; Gleiches gilt für Test- und Ausschussmaterial; das Protokoll der Löschung ist auf Anforderung vorzulegen; 2017 geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 7

8 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren; das geva-institut kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. Soweit ein Betroffener sich unmittelbar an das geva-institut zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird das geva-institut dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. 3. Teilunwirksamkeit, Gerichtsstand, Erfüllungsort 3.1 Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf das Schriftformerfordernis. Mündliche Nebenabreden sind nicht getroffen. 3.2 Sind einzelne Bestimmungen dieses Vertrages unwirksam, so wird hierdurch die Wirksamkeit der übrigen Regelungen dieses Vertrages nicht berührt. Im Falle der Unwirksamkeit einer oder mehrerer Bestimmungen dieser Regelungen werden die Parteien eine der unwirksamen Regelung wirtschaftlich möglichst nahekommende rechtswirksame Ersatzregelung treffen. Im Übrigen gelten die gesetzlichen Bestimmungen. 3.3 Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag und Erfüllungsort ist München, sofern dies gesetzlich zulässig ist. Das geva-institut ist jedoch berechtigt, den Auftraggeber auch an seinem Wohnbzw. Geschäftssitzgericht zu verklagen. 3.4 Die vertraglichen Beziehungen der Parteien richten sich nach dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 8

9 Anhang 1 zur ANLAGE II: Verfahrensverzeichnis gemäß 4g BDSG (Verfahrensverzeichnis für jedermann) Mitarbeiterbefragungen, Vorgesetztenbeurteilungen Das Verfahren ist nicht Teil eines gemeinsamen oder verbundenen Verfahrens nach 10 BDSG. 1. Verantwortliche Stelle Verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG ist der Auftraggeber. Name/Bezeichnung des Auftragnehmers, der personenbezogene Daten im Auftrag erhebt, verarbeitet und/oder nutzt: geva-institut geva Gesellschaft für Verhaltensanalyse und Evaluation mbh Elisabethstraße 25, München Telefon Telefax kratzmair@geva-institut.de Internet: 2. Vertretung 2.1 Leitung des Auftragnehmers (einschl. Vertreter) Michael Kratzmair, Geschäftsführer Gerhard Bruns, Geschäftsführer Britta Grebe-Bruns, Geschäftsführerin 2.2 Mit der Leitung der Datenverarbeitung beauftragte Person(en) Markus Strauß 3. Angaben zur Person des 3.1 betrieblichen Datenschutzbeauftragten des Auftragnehmers Frank Schabert Elisabethstraße 25, München Telefon Telefax schabert@geva-institut.de Internet: externen Datenschutzbeauftragten des Auftragnehmers Rechtsanwalt Andreas M. Harder Candidplatz 13, München Telefon: Telefax: andreas.harder@advocando.de Internet: geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 9

10 4. Zweckbestimmung, Verfahrensbezeichnung, Rechtsgrundlage 4.1 Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung Durchführung und Auswertung von Mitarbeiterbefragungen und Mitarbeiter- und Vorgesetztenbeurteilungen 4.2 ggf. Bezeichnung des Verfahrens Mitarbeiterbefragungen und ähnliche Verfahren wie Führungs-Feedbacks, Vorgesetztenbeurteilungen, 360-Grad Feedbacks, Direct-Report-Auswertungen Online- bzw. Printbefragungen mit Teilnahmebedingungen Erstellung von Auswertungen für den Auftraggeber 4.3 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterschieden) Einwilligung des Befragten bzw. dessen gesetzlichen Vertreters 5. Betroffene Personengruppen und Daten oder Datenkategorien 5.1 Beschreibung der betroffenen Personengruppen Mitarbeiter des Auftraggebers 5.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien Personaldaten; Befragungsdaten; Verwaltungsdaten des Auftraggebers (z. B. Ansprechpartner, Adress-, Vertrags-, Zahlungs-, Steuerungsdaten) 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; bei Datentransfer in Drittstaaten siehe Nr. 8 Auftraggeber 7. Regelfristen für die Löschung der Daten, Zeitraum Nach Weisung des Auftraggebers; bereitgestellte Namen und Adressen der Teilnehmer von Befragungsprojekten im engeren Sinne nach Abschluss der Aktion 8. Geplante Übermittlung in Drittstaaten Nicht geplant 2017 geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 10

11 Anhang 2 zur ANLAGE II: Allgemeine technische und organisatorische Maßnahmen des geva-instituts nach 9 BDSG und dessen Anlage (Änderungen/Ergänzungen bleiben vorbehalten) 1. Zutrittskontrolle Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten: Zutrittskontrollsystem durch vorhandenen Empfang Schlüssel/Schlüsselvergabe durch zentrale Schlüsselvergabe Türsicherung (elektrische Türöffner usw.) durch elektrischen Türöffner, Sicherheitsschloss Überwachungseinrichtung durch Alarmanlage 2. Zugangskontrolle Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts): Das Kennwort enthält Buchstaben, Ziffern und Sonderzeichen und ist zwischen 8 und 16 Zeichen lang. Das Kennwort wird turnusmäßig gewechselt Automatische Sperrung (z. B. Kennwort oder Pausenschaltung): Falscheingabe des Kennwortes führt zur Sperrung des Benutzerzugangs; dieser muss anschließend durch einen Administrator entsperrt werden. Automatische Sperrung eines DV-Arbeitsplatzes erfolgt spätestens nach 5 Minuten; zur Reaktivierung ist Kennworteingabe erforderlich Einrichtung eines Benutzerstammsatzes pro User: Jeder Benutzer hat einen eigenen Benutzerstammsatz Verschlüsselung von Datenträgern: keine 3. Zugriffskontrolle Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung: Die Zugriffskontrolle erfolgt durch zentrale Rechtevergabe. Die Zugriffsrechte orientieren sich an den Anforderungen im Rahmen der ausgeübten Tätigkeit. Neben dem eigentlichen Zugriffsrecht werden auch Bearbeitungsrechte (Lesen, Schreiben, Löschen) vergeben. Die Zugriffe auf DV-Systeme werden nach Benutzer und Zugriffsart protokolliert und ausgewertet. 4. Weitergabekontrolle Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung: Ergebnisdokumente, die ggf. personenbezogene Daten enthalten, werden elektronisch per Download über das Online-Administrationssystem oder per geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 11

12 übermittelt. Die Download-Daten werden über eine HTTPS Verbindung übertragen und sind nur von autorisierten und registrierten Mitarbeitern des Auftraggebers nach einem Login erreichbar. Bei Übermittlungen werden diese Daten mit Passwort verschlüsselt. Die Übermittlung können nur entsprechend berechtigte Personen vornehmen. 5. Eingabekontrolle Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Zugriffe auf alle relevanten DV-Systeme (Datenbanken, File-System, ) werden nach Benutzer und Zugriffsart protokolliert (siehe auch Punkt 3). Abhängig vom DV-System können die Protokolle im Rahmen ihrer jeweiligen Vorhaltezeit ausgewertet werden. 6. Auftragskontrolle Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Siehe ggf. Nutzungsvereinbarung 7. Verfügbarkeitskontrolle Maßnahmen zur Datensicherung (physikalisch / logisch): Backup-Verfahren Redundantes System-Cluster durch mehrere ESX-Server Mehrere virtuelle Server innerhalb eines Clusters Loadbalancer Unterbrechungsfreie Stromversorgung (USV) Getrennte Aufbewahrung Virenschutz / Firewall Notfallplan Personenbezogene Daten werden ausschließlich auf Servern (Datenbank- / File-Server) gespeichert. Alle Server-Festplatten werden im gespiegelten Modus betrieben. Ihr Inhalt wird je nach Server-Typ im Rahmen eines mehrstufigen Backup-Plans gesichert. Die gesicherten Inhalte werden an einem vom jeweiligen Server unabhängigen Ort aufbewahrt. USV vorhanden. Das gesamte Netzwerk des geva-instituts ist durch zwei Firewalls geschützt. Alle DV-Systeme (Server, Clients) im Netzwerk des geva-instituts sind mit einer zentral gesteuerten Virenschutzanwendung ausgestattet. 8. Trennungskontrolle Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: Interne Mandantenfähigkeit / Zweckbindung Funktionstrennung / Produktion / Test Die mandantenfähige Verarbeitung der personenbezogenen Daten kann zu jeder Zeit auch physisch sichergestellt werden. Die logische Trennung ist gewährleistet geva-institut, München. Alle Rechte vorbehalten MAB_Anlage_II_Datenschutz_K_ Seite 12