Vereinbarung zur Auftragsverarbeitung

Transkript

1 Vereinbarung zur Auftragsverarbeitung zwischen Kanzlei Vertreten durch (Vorname, Name) Straße, Hausnummer PLZ, Sitz -Adresse - Verantwortlicher - nachstehend Auftraggeber genannt - und e.consult AG, vertreten durch den Vorstand, Dominik Bach-Michaelis, Neugrabenweg 1, Saarbrücken - Auftragsverarbeiter - nachstehend Auftragnehmer genannt Präambel Der Auftragnehmer verarbeitet mit der WebAkte, einer Plattform für den Datenaustausch über das Internet, personenbezogene Daten für den Auftraggeber. Die vorliegende Vereinbarung regelt im speziellen den Umgang mit personenbezogenen Daten bei der Nutzung der WebAkte. Die Vereinbarung basiert auf der Mustervereinbarung der Gesellschaft für Datenschutz und Datensicherheit e.v. zur Auftragsdatenverarbeitung gemäß Art 28 der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679: DS-GVO), berücksichtigt aber auch noch die bis zum geltende Rechtslage nach dem BDSG. Auf das Rechtsverhältnis sind mithin bis die Regelungen des BDSG anzuwenden, ab diesem Zeitpunkt dann diejenigen der DS-GVO. Die Vereinbarung verwendet die Begriffe Datenverarbeitung oder Verarbeitung der einfacheren Lesbarkeit wegen allgemein im Sinne von Umgang mit oder Verwendung von personenbezogenen Daten. Im Übrigen orientieren sich die Begrifflichkeiten an Art. 4 DS- GVO bzw. 3 BDSG. 1

2 1. Gegenstand und Dauer des Auftrags (1) Der Auftragnehmer verarbeitet beim Betreiben der WebAkte personenbezogene Daten des Auftraggebers. Der Gegenstand des Auftrags ergibt sich aus dem zwischen den Parteien bestehenden Servicevertrag, auf den hier verwiesen wird (im Folgenden Hauptvertrag) sowie aus etwaigen Einzelweisungen. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages. 2. Konkretisierung des Auftragsinhalts (1) Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten Der Auftragnehmer stellt dem Auftraggeber nach Maßgabe des Hauptvertrages und der Nutzungsbedingungen eine Plattform für den Dokumentenaustausch über das Internet zur Verfügung. Dabei verarbeitet der Auftragnehmer ausschließlich Daten, die der Auftraggeber oder sonstige autorisierte Nutzer in die WebAkte einbringen. Sämtliche in die WebAkte eingebrachten Daten werden entweder vom Auftraggeber oder nach dessen Weisung erhoben. Die übliche Verarbeitung besteht im Erheben, Erfassen, Organisieren, Ordnen, Speichern, Bereitstellen sowie dem Einschränken und Löschen von Daten. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in der Bundesrepublik Deutschland (mithin in einem Mitgliedsstaat der Europäischen Union bzw. einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum) statt. (2) Art der Daten Gegenstand der Verarbeitung personenbezogener Daten im Auftrag sind in erster Linie die Kommunikationsinhalte. Daneben werden Metadaten, wie Namen und - Adressen von Nutzern verarbeitet, soweit dies für das Funktionieren der Anwendung unumgänglich ist. (3) Kategorien betroffener Personen bzw. Kreis der Betroffenen Von der Verarbeitung betroffen sind Kunden (z.b. Anwälte, Steuerberater, Wirtschaftsprüfer), deren Beschäftigte, Kommunikationspartner (z.b. Mandanten, Beschäftigte von Versicherungen) sowie sonstige Personen, auf die sich die Kommunikation beziehen kann (z.b. Gegner). 3. Technisch-organisatorische Maßnahmen (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung dokumen- 2

3 tiert und dem Auftraggeber zur Prüfung überlassen (Anlage TOM). Diese sind Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. (2) Der Auftragnehmer hat die Sicherheit gem. 9 BDSG bzw. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei werden der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO berücksichtigt. (3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber mitzuteilen. 4. Auskunft, Berichtigung, Einschränkung der Verarbeitung (Sperrung) und Löschung von Daten Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich oder wegen einer Auskunft unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten oder die betroffene Person an den Auftraggeber verweisen. 5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO bzw. 11 Abs. 4 BDSG; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Der Auftragnehmer hat einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO bzw. 4f, 4g BDSG ausübt, bestellt. Name und Kontaktdaten werden auf veröffentlicht und auf Anfrage beauskunftet. b) Der Auftragnehmer setzt nur Beschäftigte ein, die auf die Vertraulichkeit bzw. das Datengeheimnis verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen werden angemessen regelmäßig wiederholt. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. 3

4 c) Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. d) Alle für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO bzw. 9 BDSG gemäß Anlage TOM werden umgesetzt und eingehalten. e) Auftraggeber und Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. f) Der Auftragnehmer informiert den Auftraggeber unverzügliche über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. g) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, unterstützt ihn der Auftragnehmer nach besten Kräften. h) Der Aufragnehmer weist Nachweisbarkeit dem Auftraggeber im Rahmen seiner Kontrollbefugnisse die getroffenen technischen und organisatorischen Maßnahmen nach. 6. Unterauftragnehmer/weitere Auftragsverarbeiter (1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.b. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. (2) Der Auftragnehmer darf weitere Auftragsverarbeiter ( Unterauftragnehmer ) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Der Auftragnehmer stellt sicher, dass weitere Auftragsverarbeiter nur dann eingesetzt werden, wenn sie hinsichtlich der bei ihnen ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Rechte von betroffenen Personen und der gesetzeskonformen Verarbeitung besonders geeignet sind. Der Auftraggeber stimmt der Beauftragung des in der Anlage Unterauftragnehmer genannten weiteren Auftrags- 4

5 verarbeiters zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO bzw. 11 Abs. 2 BDSG. Der Wechsel des bestehenden, weiteren Auftragsverarbeiters ist zulässig, soweit - der Auftragnehmer eine solche Auslagerung auf weiteren Auftragsverarbeiters dem Auftraggeber einen Monat vorab schriftlich oder in Textform anzeigt und - der Auftraggeber nicht bis zwei Wochen vor dem Zeitpunkt der geplanten Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und - eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird. (3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den weiteren Auftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. (4) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage eine Kopie des Unterauftragsverarbeitungsvertrages zur Verfügung. (5) Der Auftragnehmer hat die Einhaltung der Pflichten des weiteren Auftragsverarbeiters regelmäßig zu überprüfen. Er hat vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der weitere Auftragsverarbeiter die zugesicherten und erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. (6) Der weitere Auftragsverarbeiter erbringt die vereinbarte Leistung innerhalb der Bundesrepublik Deutschland. (7) Eine weitere Auslagerung durch den weiteren Auftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. 7. Kontrollrechte des Auftraggebers (1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. (2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO bzw. 11 Abs 2 Satz 4 BDSG überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. (3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS- 5

6 GVO, durch die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO, durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.b. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder durch eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.b. nach BSI-Grundschutz). (4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer eine angemessene Vergütung beanspruchen. 8. Mitwirkungspflichten (1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten. Hierzu gehören a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen d) die Unterstützung des Auftraggebers bei dessen Datenschutz-Folgenabschätzung e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde (2) Für Unterstützungsleistungen, soweit sie nicht im Hauptvertrag enthalten sind oder die auf ein Fehlverhalten des Auftraggebers zurückgehen, kann der Auftragnehmer eine angemessene Vergütung beanspruchen. 9. Weisungsbefugnis des Auftraggebers (1) Weisungen des Auftraggebers sind nur beachtlich und rechtmäßig, wenn sie von einem Weisungsberechtigten an einen empfangsberechtigten Adressaten beim Auftragnehmer gerichtet werden. Weisungsberechtigt ist mangels ergänzender Regelung nur der im Rubrum dieser Vereinbarung angegebene Vertreter des Auftraggebers. Weisungsempfangsbefugt auf Seiten des Auftragnehmers sind Mitarbeiter des Support, inbesondere unter 6

7 Jede Partei kann einseitig ihre Kontaktpersonen durch Erklärung in Textform gegenüber der anderen Partei ändern. (2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform. (3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. 10. Löschung und Rückgabe von personenbezogenen Daten (1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. (3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 11. Haftung (1) Bis zum Inkrafttreten der DS-GVO gelten die Haftungsbestimmungen des Hauptvertrages. Die Haftung ab Inkrafttreten der DS-GVO am ist in den nachfolgenden Absätzen geregelt. (2) Die Haftung des Auftragnehmers ist beschränkt auf Fälle, in denen er, seine Mitarbeiter, Erfüllungsgehilfen oder ein weiterer Auftragsverarbeiter schuldhaft - seinen speziell auferlegten Pflichten aus der DS-GVO nicht nachgekommen ist oder - rechtmäßig erteilten Weisungen des Auftraggebers nicht beachtet hat oder - rechtmäßig erteilten Weisungen des Auftraggebers zuwidergehandelt hat. Der Auftragnehmer ist von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. 7

8 (3) Sind sowohl Auftraggeber als auch Auftragnehmer für einen Schaden verantwortlich, der bei gemeinsamer Beteiligung an einer Verarbeitung entstanden ist, so haften beide der betroffenen Person gegenüber als Gesamtschuldner; sie haften im Innenverhältnis entsprechend ihrem Anteil an der Verantwortung für den Schaden. 12. Vertraulichkeit (1) Die Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung der Vereinbarung zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen. (2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind. 13. Schlussbestimmungen (1) Im Falle von Widersprüchen zwischen den Bestimmungen dieser Vereinbarung und den Regelungen des Hauptvertrages oder anderer Vertragsbedingungen gehen die Bestimmungen dieser Vereinbarung vor. (2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform und bedürfen der ausdrücklichen Angabe, dass damit die vorliegenden Bestimmungen geändert und/ oder ergänzt werden. (3) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Die Parteien werden die jeweils unwirksame Bestimmung durch eine wirksame ersetzen, die dem angestrebten Zweck möglichst nahe kommt. Entsprechendes gilt, wenn eine Vertragsbestimmung undurchführbar sein oder der Vertrag eine Lücke aufweisen sollte. Auftraggeber e.consult AG Durch Durch Dominik Bach-Michaelis 8

9 Anlage Unterauftragnehmer Der Auftraggeber stimmt folgendem Unterauftragnehmer zu: DATEV eg Paumgartnerstr. 6 14, Nürnberg / Deutschland Rechenzentrum und Schuster & Walther Schwabacher Straße 3, Hosting- IT Business GmbH D Nürnberg / Deutschland Unterstützung Name Anschrift / Land Leistung Anlage TOM Kurzdarstellung der technischen und organisatorischen Maßnahmen (WebAkte 02/18) Vertraulichkeit Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen) Die Verarbeitung der beim Betrieb der Anwendung WebAkte erhobenen Daten erfolgt ausschließlich in einem Hochsicherheits-Rechenzentrum, welches über eine lückenlose Außenüberwachung und eine Sicherheitszentrale sowie einen Betriebsschutz verfügt. Der Zutritt ist nur über Schleusen mit SmartCard-Buchungsstellen möglich. Der Unternehmensstandort verfügt über ein elektronisches Zutrittskontrollsystem und Alarmanlage. Zugangskontrolle (Keine unbefugte Systembenutzung) Zur Administrierung der Server verwendeten Clientsysteme sind nur bei passwortgestützter Authentifizierung nutzbar; der Transfer erfolgt über verschlüsselte VPN-Verbindung. Zugriffskontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems) Die Anzahl der Administratoren ist auf das Notwendigste beschränkt. Zugriffe sind nur nach Authentisierung auf Betriebssystemebene und separat auf Anwendungsebene möglich. Eine Firewall gegen unberechtigte Zugriffe ist eingerichtet. Zugriffe bzw. Zugriffsversuche werden überwacht und protokolliert. Trennungsgebot (Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden) Die verwendeten Berechtigungsmechanismen ermöglichen die exakte Umsetzung der Vorgaben des Berechtigungskonzepts. Trennung von Produktiv- und Testsystemen ist gewährleistet. Pseudonymisierung Übertragung von Daten an und von WebAkte erfolgt stets ohne erkennbaren Personenbezug (durch Verschlüsselung) 9

10 Integrität Weitergabekontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport) Übertragung und Abruf von Daten durch Kunden und berechtigte Nutzer in die bzw. aus der Anwendung erfolgt über mindestens TLS-verschlüsselte Verbindungen. Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) Eingaben sind durch individuelle Benutzernamen nachvollziehbar. Eingabe-, Änderungsund Löschungsbefugnisse erfolgen auf der Grundlage des Berechtigungskonzepts. Administrationstätigkeiten werden protokollier (mit einer Aufbewahrungsfrist von 18 Monaten). Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust) Ausweichrechenzentren mit einsatzbereiten Zwillingssystemen sind ständig verfügbar. Über ein vollständiges Backup- und Recovery-Konzept werden Daten täglich gesichert und Datenträger katastrophensicher aufbewahrt. Es werden Schutzprogramme (Virenscanner, Firewalls, Verschlüsselungsprogramme, Spam-Filter) sachkundig und effizient eingesetzt. Rasche Wiederherstellbarkeit Infrastruktur und Daten sowie Datensicherung werden mehrfach vorgehalten. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Datenschutzmanagement Es ist ein Datenschutzbeauftragter bestellt. Alle Mitarbeiter sind auf Datengeheimnis und Vertraulichkeit verpflichtet. Verantwortlichkeiten und Zuständigkeiten sind verbindlich geregelt. Die Umsetzung wird über eine Leitlinie zu Informationssicherheit und Datenschutz, Sicherheits- und Datenschutzrichtlinien und verfahren gesteuert. Ein Prozess zur kontinuierlichen Verbesserung ist etabliert. Zertifizierung Es erfolgt eine jährliche Kontrolle und Überprüfung hinsichtlich der getroffenen Sicherheitsmaßnahmen durch TÜV Süd basierend auf ISO/IEC 25051:2014 / PPP 13011:2008. Auftragskontrolle Daten werden nur aufgrund dokumentierter Weisungen durch autorisierte Mitarbeiter autorisierte Weisungsempfänger verarbeitet. Das Rechenzentrum als Subunternehmer ist gemäß DQS Gütesiegel Datenschutz sowie ISO/IEC 27001:2013 zertifiziert und wird regelmäßig kontrolliert hinsichtlich der getroffenen Sicherheitsmaßnahmen. Wegen weiterer Informationen zum Thema fordern Sie gerne das ausführliche Datenschutzund Informationssicherheitskonzept der e.consult AG unter support@e-consult.de an. 10