Auftragsdatenverarbeitung - Anlage. Hauptvertrages. Präambel

Transkript

1 Auftragsdatenverarbeitung - Anlage Auftraggeber Auftragnehmer Hauptvertrag Datum des Hauptvertrages Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen gemäß 11 Bundesdatenschutzgesetz (BDSG) bzw. 11 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) der Vertragsparteien, die sich aus dem obengenannten Vertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung (ADV) ergeben. 1 Anwendungsbereich (1) Die Anlage findet Anwendung auf alle Tätigkeiten, die mit dem obengenannten Vertrag im Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Diese Anlage gilt auch hinsichtlich sämtlicher personenbezogener Daten und Informationen, die im Rahmen des Vertragsverhältnisses dem Auftragnehmer bekannt werden, von Tochter- und Beteiligungsunternehmen des Auftraggebers, gesellschaftsrechtlich verbundener Unternehmen des Auftraggebers, Unternehmen, mit denen sich der Auftraggeber in einer Kooperation befindet sowie der Stadt Bielefeld. (2) Die Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in einen Drittstaat bedarf der vorherigen Zustimmung des Auftraggebers. Die besonderen Voraussetzungen der 4b, 4c BDSG bleiben unberührt. 2 Definitionen (1) Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (nachfolgend auch Daten genannt). (2) Datenverarbeitung im Auftrag Datenverarbeitung im Auftrag sind die Erhebung, Speicherung, Veränderung, Übermittlung, Nutzung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. (3) Weisung Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (z. B. Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnungen des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag einschließlich dieser Anlage festgelegt und können Stand: 01/2014 Seite 1 von 10

2 vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelnweisung). 3 Grundlage der ADV (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. (2) Der Gegenstand und die Dauer der ADV ( 11 Abs. 2 Satz 2 Nr. 1 BDSG), der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrages Betroffenen sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung der Daten ( 11 Abs. Satz 2 Nr. 2 BDSG) sind im obengenannten Vertrag geregelt. Im Anhang zur ADV trägt der Auftragnehmer nochmals vollumfänglich und abschließend sowohl die Art der Daten als auch den Kreis der Betroffenen. (3) Die Inhalte dieser Vertragsanlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann ( 11 Abs. 5 BDSG). (4) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. 4 Verantwortlichkeit und Weisungsbefugnis (1) Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ("Verantwortliche Stelle" i.s.d. 3 Abs. 7 BDSG). (2) Der Auftraggeber kann aufgrund dieser Verantwortlichkeit jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten verlangen (vgl. 11 Abs. 2 Satz 2 Nr. 4 BDSG). Soweit ein Betroffener sich zwecks Herausgabe, Berichtigung, Löschung und Sperrung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Gleiches gilt auch für Auskunftsersuchen. (3) Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftragsgebers erheben, verarbeiten oder nutzen ( 11 Abs. 3 Satz 1 BDSG sowie 11 Abs. 1 Satz 3 DSG NRW). Eine Weisung ist die auf einen bestimmten Umfang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden durch den Vertrag definiert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden ( 11 Abs. 2 Satz 2 Nr. 9 BDSG). (4) Der Auftragnehmer hat dem Auftraggeber unverzüglich entsprechend 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. (5) Der Auftraggeber ist für das Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG verantwortlich. Der Auftragnehmer stellt dem Auftraggeber auf Wunsch Informationen zur Aufnahme in das Verfahrensverzeichnis zur Verfügung. Stand: 01/2014 Seite 2 von 10

3 5 Beachtung zwingender gesetzlicher Pflichten durch den Auftragnehmer (1) Neben der vertraglichen Regelung dieser Anlage und des obengenannten Vertrages treffen den Auftragnehmer u.a. gemäß 11 Abs. 4 BDSG die nachfolgenden gesetzlichen Pflichten. (2) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß 5 BDSG bzw. 6 DSG NRW (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsdatenverarbeitungsverhältnis ergebenen besonderen Datenschutzpflichten sowie die bestehenden Weisungs- und Zweckbindung. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. (3) Ferner stellt der Auftragnehmer sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß 88 TKG (Fernmeldegeheimnis) verpflichtet worden sind und in die Schutzbestimmungen des BDSG, des DSG NRW sowie des TKG eingewiesen worden sind. Gleiches gilt auch für Betriebs- und Geschäftsgeheimnisse gemäß 17 UWG sowie für Privatgeheimnisse in Bezug auf 203 StGB. (4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörde nach 38 BDSG oder falls eine Aufsichtsbehörde nach 43, 44 BDSG bei dem Auftragnehmer ermittelt. (5) Der Auftragnehmer beachtet die Durchführungsbestimmung und die Regelungen zur Datenschutzaufsicht des jeweils einschlägigen Datenschutzgesetzes. 6 Pflichten des Auftragnehmers (1) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des 11 Abs. 2 Satz 2 Nr. 3 BDSG i. V. m. 9 BDSG bzw. 10 DSG NRW entsprechen. Dies beinhaltet insbesondere folgende Kontrollen: a) Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. b) Zugangskontrollen Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. c) Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihre Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Stand: 01/2014 Seite 3 von 10

4 d) Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist. e) Eingabe-, Transparenz- und Revisionsfähigkeitskontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten im Datenverarbeitungssystem eingegeben, verändert oder entfernt worden sind und die Verfahrensweisen der Verarbeitung in zumutbarer Zeit nachvollzogen werden können. f) Integritätskontrolle Es ist zu gewährleisten, dass personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben. g) Authentizitätskontrolle Es ist zu gewährleisten, dass jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können. h) Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. i) Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufälligen Zerstörung oder Verlust geschützt sind. j) Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach b) bis d) ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Eine Darstellung dieser technischen und organisatorischen Maßnahmen wird Anhang zu dieser Anlage und ist somit Bestandteil dieser Anlage. Die einzelnen Umsetzungen der Maßnahmen sind vom Auftragnehmer in diesen Anhang vollumfänglich und abschließend einzutragen. Bei Änderungen der einzelnen Maßnahmen ist der Anhang vom Auftragnehmer entsprechend anzupassen. (2) Die oben genannten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt. Zur Wahrung der technischen und organisatorischen Maßnahmen wird das bei dem Auftragnehmer existierende Sicherheitskonzept sobald erforderlich auf die jeweils angemessenen Umfänge unter Berücksichtigung der Verhältnismäßigkeit und dem technischen Fortschritt aktualisiert. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsni- Stand: 01/2014 Seite 4 von 10

5 veau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen oder Anpassungen sowie alternative adäquate Maßnahmen sind im Sicherheitskonzept zu dokumentieren und dem Auftraggeber mitzuteilen. Der Auftragnehmer hält dieses Sicherheitskonzept zur Einsichtnahme für den Datenschutzbeauftragten des Auftraggebers bereit. (3) Eine Verarbeitung von personenbezogenen Daten außerhalb des Firmengeländes (in Privatwohnungen der Mitarbeiter) des Auftragnehmers (Telearbeitsplätze, Heimarbeitsplätze) ist nicht zulässig. (4) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (5) Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren und in geeigneter Weise nachzuweisen. (6) Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die entsprechenden Nachweise verfügbar machen. Aufgrund der Kontrollverpflichtung des Auftraggebers gemäß 11 Abs. 2 Satz 4 BDSG bzw. 11 DSG NRW vor Beginn der Datenverarbeitung und während der Laufzeit des Vertrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einleitung der getroffenen technischen und organisatorischen Maßnahmen bezeugen kann. Hierzu weist der Auftragnehmer den Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 BDSG bzw. 10 DSG NRW nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach Grundschutz) mit der entsprechenden Prüfungsdokumentation erbracht werden. Sollten im Rahmen der Auftragskontrolle vor Beginn der Datenverarbeitung und während der Laufzeit des Vertrags Verstöße seitens des Auftraggebers festgestellt werden, so sind diese innerhalb einer vom Auftraggeber gesetzten angemessenen Frist zu beseitigen und die entsprechenden Nachweise verfügbar zu machen. (7) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegende Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers ( 11 Abs. 2 Satz 2 Nr. 8 BDSG). Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. (8) Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die in diesem Vertrag getroffenen Festlegungen vorgefallen sind. (9) Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfäl- Stand: 01/2014 Seite 5 von 10

6 tig zu verwahren, sodass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. In besonderen vom Auftraggeber zu bestimmen Fällen erfolgt eine Aufbewahrung bzw. Übergabe. 7 Pflichten des Auftraggebers (1) Der Auftraggeber ist bezüglich der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. (2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt. (3) Dem Auftraggeber obliegen die aus 42a BDSG resultierenden Informationspflichten. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies stellt gem. 6 Abs. 7 dieser Anlage eine Pflicht des Auftragnehmers dar. Soweit der Auftraggeber Pflichten nach 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen. 8 Kontrollpflichten (1) Der Auftragnehmer verpflichtet sich, dem Datenschutzbeauftragen des Auftraggebers - zur Erfüllung seiner jeweiligen gesetzlichen Aufgaben - die Möglichkeit zu geben, sich nach rechtzeitiger Anmeldung durch Stichprobenkontrollen zu den üblichen Geschäftszeiten ohne Störung des Betriebablaufes von der Einhaltung und der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse sowie der Einhaltung der Vorgaben zur ADV zu überzeugen ( 11 Abs. 2 S.2 Nr. 7 BDSG). Die Kontrollrechte der jeweils zuständigen Aufsichtbehörde bleiben hiervon unberührt. (2) Der Auftraggeber wird das Ergebnis im Weiteren dokumentieren. (3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu erteilen, die zur Führung einer Kontrolle erforderlich sind. 9 Ansprechpartner (1) Die hier genannten Ansprechpartner gelten ausschließlich in Bezug auf den Themenbereich des Datenschutzes und der Datensicherheit und sind neben den Geschäftsführern des Auftraggebers diesbezüglich weisungsbefugt. Die in sonstigen Lizenz-, Wartungs-, Pflege- oder Serviceverträgen sowie aus weiteren Projektverträgen oder Anschlussbeauftragungen genannten oder hervorgehenden Ansprechpartner bleiben hiervon unberührt. (2) Ansprechpartner des Auftraggebers: Herr Dirk Ritter (Datenschutzbeauftragter der SWB) Datenschutz.Ritter@stadtwerke-bielefeld.de Telefon: 0521/ Telefax: 0521/ Stand: 01/2014 Seite 6 von 10

7 Herr Frank Schöneich (Leitung Revision) Telefon: 0521/ Telefax: 0521/ (3) Der Auftragnehmer wird die Kontaktdaten des betrieblichen Datenschutzbeauftragten in dem Anhang zur ADV- Anlage benennen. 10 Löschung und Rückgabe von Daten (1) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung des Auftraggebers, jedoch spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitung- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon rechtfertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem obengenannten Vertrag stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten ( 11 Abs. 2 Satz 2 Nr. 10 BDSG). Gleiches gilt für Test- und Ausschussmaterialien. Ein Löschungsprotokoll ist dem Auftraggeber auf Anforderung vorzulegen. (2) Der Auftragnehmer kann Dokumentationen, die dem Nachweis der Auftragssumme und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 11 Anfragen Betroffener an den Auftraggeber Ist der Auftraggeber aufgrund geltender Datenschutzgesetz gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Information bereitzustellen, vorausgesetzt: 1. Der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert und 2. Der Auftraggeber erstattet dem Auftragnehmer die durch diese Unterstützung entstanden Kosten. 12 Subunternehmer und Dienstleister (1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber bei Hinzuziehung eines Subunternehmers in der vertraglichen Vereinbarung mit dem Subunternehmer Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 BDSG sowie 10 DSG NRW einzuräumen. Dies gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern des Hauptvertrages. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten. (2) Gleiches gilt für andere Stellen im Sinne von 3 Abs. 3 dieser Anlage. Stand: 01/2014 Seite 7 von 10

8 13 Schlussbestimmungen (1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch einen Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als "verantwortlicher Stelle" im Sinne des Bundesdatenschutzgesetzes liegen. (2) Der Datenaustausch bzw. die Kommunikation auf elektronischem Wege hat sich nach dem neusten Stand der Technik einschlägigen rechtlichen Bestimmungen und Vorschriften auszurichten. Die für beide Vertragsparteien in diesem Zusammenhang sowohl wirtschaftlichste als auch vertrauenswürdigste Form wird einvernehmlich unter Beachtung der Verhältnismäßigkeit zu der jeweiligen Anwendung abgestimmt. (3) Der Auftraggeber und der Auftragnehmer sorgen im Falle gesetzlicher Offenbarungspflichten untereinander für eine unverzügliche Benachrichtigung. (4) Der Gerichtsstand für alle Streitigkeiten bzgl. dieser Vereinbarung ist Bielefeld. Anwendbare Recht sind vorliegende das BDSG sowie DSG NRW. Regelungen bezüglich der Haftung ergeben sich aus dem Hauptvertrag. (5) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Hauptvertrages. (6) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Auftragnehmer bestätigt dem Auftraggeber, dass keine textlichen oder inhaltlichen Änderungen an dieser Anlage vorgenommen worden sind sowie dass die im Anhang angegebenen Umsetzungsmaßnahmen tatsächlich beachtet und praktiziert werden. Ferner bestätigt der Auftragnehmer dem Auftraggeber die Richtigkeit der eingetragenen Angaben. Datum, Ort Unterschrift Stand: 01/2014 Seite 8 von 10

9 Kreis der Betroffenen Nr. Kreis der Betroffenen 1. Mitarbeiter bzw. Mitarbeiterinnen 2. Kunden bzw. Kundinnen 3. Einwohner bzw. Einwohnerinnen 4. Interessenten bzw. Interessentinnen 5. Berater bzw. Beraterinnen 6. Sonstiges: Zutreffendes bitte ankreuzen Art der personenbezogenen Daten Nr. Art der personenbezogenen Daten Zutreffendes bitte ankreuzen 1. Mitarbeiterdaten 2. Kundendaten 3. Einwohnerdaten 4. Adressdaten 5. Kontaktdaten 6. Transaktionsdaten 7. Sonstiges: Ansprechpartner beim Auftragnehmer Name des Datenschutzbeauftragten des Auftragsnehmers: Telefon: Telefax: Stand: 01/2014 Seite 9 von 10

10 Umsetzungen der Maßnahmen gem. 6 Abs. 1 dieser Anlage zur ADV Nr. Maßnahme 1. Zutrittskontrolle Umsetzung der Maßnahme 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabe-, Transparenz- und Revisionsfähigkeitskontrolle 6. Integritätskontrolle 7. Authentizitätskontrolle 8. Auftragskontrolle 9. Verfügbarkeitskontrolle 10. Trennungskontrolle Stand: 01/2014 Seite 10 von 10