Bestellung ELAXY EBL

Transkript

1 ELAXY FS&S GmbH & Co. KG Gutenbergstraße Puchheim Bestellung Sehr geehrte Kundin, sehr geehrter Kunde, wir freuen uns, dass Sie bestellen möchten. Bitte füllen Sie dazu die nachfolgenden Seiten aus und senden diese an postalisch an uns. Fragen? Diese beantworten wir Ihnen gerne. Telefon: +49 (0) Mail: vertrieb-fss@elaxy.de Vielen Dank und Beste Grüße Ihre ELAXY

2 Bestellung Auftraggeber Firmierung und Adresse Bank Straße, Hausnummer oder Postfach PLZ Ort Ansprechpartner Anrede Vorname Nachname Telefonnummer Mail Auftragnehmer Firmierung und Adresse Firma ELAXY Financial Software & Solutions GmbH & Co. KG ( ELAXY ) Straße, Hausnummer Gutenbergstraße 5 PLZ Ort Puchheim Ansprechpartner Team Team Vertriebsmanagement Telefonnummer +49 (0) Mail vertrieb-fss@elaxy.de 1 / 12

3 Inhalt Wir bestellen unter Bezugnahme auf das Dokument Produktbeschreibung (Stand ) folgende Leistungen: Auftragsgegenstand: in der Leistungsstufe Leistungsstufe Zentral für Lizenzen/Anwender (bitte Anzahl angeben) oder Leistungsstufe Lokal für für für Lizenzen/Anwender (bitte Anzahl angeben) Lizenzen/Administrator (bitte Anzahl angeben) Lizenzen/Leser (bitte Anzahl angeben) Installationspauschale und Einführungspaket / Ersteinweisung zu mit eigenen Daten Testbericht IDW PS880 zu und Migration von profiebl zum plus-paket Reporting plus-paket Report-Editor plus-paket Leistungs-Editor Vertrag zur Auftragsdatenverarbeitung Vertrag gesetzlich erforderlich bei der Leistungsstufe Zentral Bei der Leistungsstufe Lokal ist kein Vertrag erforderlich Vertrag zur Auftragsdatenverarbeitung liegt der Bestellung unterzeichnet bei (Vertrag siehe ab Seite 7) 2 / 12

4 Unterschriften Auftraggeber Bank Ort, Datum Firmenstempel und Unterschrift Name(n) in Druckbuchstaben Auftragnehmer Fima ELAXY Financial Software & Solutions GmbH & Co. KG Ort, Datum Firmenstempel und Unterschrift Name(n) in Druckbuchstaben 3 / 12

5 SEPA - Basislastschrift Wir ermächtigen die ELAXY Financial Software & Solutions GmbH & Co. KG, Zahlungen von unserem Konto mittels SEPA Basislastschrift einzuziehen. Zugleich weisen wir unser Kreditinstitut an, die von der ELAXY Financial Software & Solutions GmbH & Co. KG auf unser Konto gezogenen Lastschriften einzulösen. Gläubiger ID ELAXY Financial Software & Solutions GmbH & Co. KG DE95ZZZ Name der Firma (Kontoinhaber): Straße: PLZ / Ort: Kreditinstitut (Name): BIC: IBAN: Auftraggeber Bank Ort, Datum Firmenstempel und Unterschrift Name(n) in Druckbuchstaben Hinweis: Wir können innerhalb von acht Wochen, beginnend mit dem Belastungsdatum, die Erstattung des belasteten Betrages verlangen. Es gelten dabei die mit unserem Kreditinstitut vereinbarten Bedingungen. Die Mandatsreferenznummer wird separat mitgeteilt. 4 / 12

6 Falls Sie die Leistungsstufe Zentral nutzen möchten, ist der Abschluss eines Vertrages zur Auftragsdatenverarbeitung erforderlich. Wir bitten Sie, diesen ebenfalls unterschrieben postalisch an uns zu senden. 1 Anlage Auftragsdatenverarbeitung Auftrag gemäß 11 BDSG zur Erhebung, Verarbeitung oder Nutzung von personenbezogener Daten 1.1 Gegenstand und Dauer des Auftrags Der Auftraggeber beauftragt den Auftragnehmer mit der Durchführung der für den Betrieb der Lösung erforderlichen Maßnahmen gemäß der im Angebot genannten Leistungsdefinition. Der Auftrag endet mit der Kündigung des Vertrages über die Nutzung des. Unabhängig davon kann der Auftraggeber jederzeit ein vorzeitiges Ende des Auftrages veranlassen. Gespeicherte Daten werden nach Beendigung des Auftrages in Rücksprache mit dem Auftraggeber gelöscht. 1.2 Konkretisierung des Auftragsinhalts Die Erhebung und Verarbeitung der Daten erfolgt mit dem Ziel, dem Auftraggeber eine Softwareplattform zur Abwicklung seiner EBL betreffenden Leistungen anzubieten. Dazu gehört die Verwaltung der Kundenstammdaten ebenso wie die Vertragsverwaltung und das monatliche Abrechnungssystem. Die Daten umfassen dabei sowohl personenbezogene Daten des Endkunden, als auch personenbezogene Daten der Mitarbeiter des Auftraggebers. Die dabei erhobenen Daten werden in identischer Form bereits heute in der Software profiebl verwendet und stehen mit identischem Zweck bereits heute dem Auftraggeber zur Verfügung. Eine weitergehende Verwendung der Daten, insbesondere eine Überlassung an Dritte oder ein Benchmarking sind nicht vorgesehen. Art der Daten: Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind die folgenden Datenkategorien: Personenstammdaten (z.b. Name. Anschrift, Geburtsdatum) Erweiterte Personendaten wie Ansprechpartner, Mitarbeiter usw. Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse) Leistungen (Informationen zu erworbenen Produkten bzw. Leistungen) Umsatzdaten sowie deren Entsprechungen in der jeweiligen Leistungsart berechnete Forderungen Gesprächsnotizen aus den Kundenkontakten und Supportfällen Leistungsdaten der Mitarbeiter (Kontaktmanagement) Kreis der Betroffenen: Betroffen sind Kunden des Auftraggebers sowie seine Mitarbeiter. 5 / 12

7 1.3 Technisch-organisatorische Maßnahmen nach 9 BDSG Die bei dem Auftragnehmer getroffenen Maßnahmen nach 9 BDSG ergeben sich aus der Anlage Technische organisatorische Maßnahmen Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. 1.4 Berichtigung, Sperrung und Löschung von Daten Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer ist berechtigt, notwendige Plausibilitätsprüfungen sowie Verdichtungen und Veredelungen an den Daten durchzuführen, auch wenn dadurch einzelne Informationen unterdrückt oder verändert werden können. 1.5 Unterauftragsverhältnisse Der Auftragnehmer greift auf die Rechenzentrumsdienstleistungen der ELAXY Business Solution & Services GmbH & Co KG, Coburg, zurück. Verarbeitung, Speicherung und Übertragung der Daten erfolgen durchgängig und ausschließlich in Deutschland. Der Auftragnehmer wird weitere Subunternehmen nur nach schriftlicher Genehmigung des Auftraggebers beauftragen. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen beispielsweise Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. 1.6 Kontrollrechte des Auftraggebers Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die im Vorfeld rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Berichts des Datenschutzbeauftragten erbracht werden. 6 / 12

8 1.7 Mitteilung bei Verstößen des Auftragnehmers Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Es ist bekannt, dass nach 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach 42a BDSG treffen, hat der Auftragnehmer hier zu unterstützen. 1.8 Weisungsbefugnis des Auftraggebers Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (vgl. 11 Abs. 3 Satz 1 BDSG). Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Sollten Weisungen gravierend in die Arbeitsabläufe des Auftragnehmers eingreifen oder dessen Leistungserbringung technisch oder wirtschaftlich gefährden, so steht dem Auftragnehmer ein Sonderkündigungsrecht zu. 1.9 Löschung von Daten und Rückgabe von Datenträgern Nach Abschluss der vertraglichen Arbeiten spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 7 / 12

9 Unterschriften Auftraggeber Bank Ort, Datum Firmenstempel und Unterschrift Name(n) in Druckbuchstaben Auftragnehmer Fima ELAXY Financial Software & Solutions GmbH & Co. KG Ort, Datum Firmenstempel und Unterschrift Name(n) in Druckbuchstaben 8 / 12

10 2 Anlage: Technische organisatorische Maßnahmen Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch und Verlust gemäß 9 BDSG. 2.1 Umfang Folgende technische und organisatorische Maßnahmen werden nach 11 Abs. 2 Satz 2 Nr. 3 i.v.m. 9 BDSG entsprechend den gesetzlichen Anforderungen (Anlage zu 9 BDSG) zwischen dem Auftraggeber und der ELAXY verbindlich festgelegt. 11 Abs.4 BDSG bleibt unberührt. 2.2 Zutrittskontrolle Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren: Es existiert ein personalisiertes Zutrittskontrollsystem. Zutrittsberechtigte Mitarbeiter erhalten Zutritt nur mittels eines Mitarbeiterausweises, Räume der Rechenzentrumstechnik sind nur mit diesem durch die Mitarbeiter der Abteilung Rechenzentrum erreichbar. Die Handhabung der Zutrittskontrolle ist im Sicherheitshandbuch des Rechenzentrums der ELAXY BS&S geregelt. Besucher werden ebenfalls im Zutrittskontrollsystem durch einen Mitarbeiter des zentralen Empfangs der ELAXY eingetragen und sind verpflichtet, im Gebäude den Besucherausweis offen zu tragen. Alle IT-Systeme befinden sich in den dafür vorgesehenen Räumen des Rechenzentrums, zu diesem Räumen haben nur die Mitarbeiter Zutritt, deren Aufgaben dieses erfordert. Der Zutritt zu den Räumen des Rechenzentrums ist nur mit einer speziellen Kodierung des Keys möglich. Die Sicherung des Gebäudes nach Arbeitsschluss erfolgt durch einen externen Wachdienst mit regelmäßigen Kontrollgängen. Die Gebäude der Rechenzentrumstechnik sind durch eine Alarmanlage mit Fenster- und Bewegungssensoren sowie durch eine permanente Videoüberwachung abgesichert. 2.3 Zugangskontrolle Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: Die Serversysteme sind mit personalisiertem Benutzernamen und Passwort zentral administrierbar. Ein entfernter technischer Zugang (Remote Access) findet für Windowssysteme ist nur mittels personalisiertem Administratoren Account statt. Alle Microsoft basierenden Clientsysteme sind an einem zentralen Domänencontroller gekoppelt. Eine Benutzer Authentifizierung findet ausschließlich über das Netzwerk gegen den Domänencontroller oder lokal über den Domänencache statt, nicht jedoch gegen lokale Benutzerkonten. Der Bildschirm der Arbeitsstation wird nach 15 Minuten Inaktivität gesperrt. Eine Entsperrung ist nur mit dem persönlichen Benutzerpasswort oder durch einen Administrator möglich. Die Sperrung der Arbeitsstation ist über eine Richtlinie verbindlich vorgesehen. Der ordnungsgemäße Umgang mit Passwörtern ist über eine Richtlinie geregelt, in der Passwortkonventionen vorgegeben werden. Die Einhaltung der Konventionen wird technisch unterstützt. Externer Zugang zu IT-Systemen der ELAXY BS&S erfolgt mittels Terminalserver, kryptographisch gesicherte Leitungen oder dedizierte Standleitungen. Die Systeme sind durch eine aktuelle Schutzsoftware und Firewall geschützt. Die Serversysteme und die Datenbankadministratoren haben eine Zugriffsberechtigung auf die Datenbanken, soweit dies erforderlich ist. 9 / 12

11 2.4 Zugriffskontrolle Maßnahmen die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: Jedes Benutzerkonto bekommt als Standardprozess nur minimale Berechtigungen, die für die Durchführung der Tätigkeiten des Mitarbeiters benötigt werden. Es gilt das best practice Prinzip, so wenig Berechtigungen wie möglich, soviel wie nötig. Eine Veränderung der Berechtigungen bedarf der schriftlichen Beantragung durch den Vorgesetzten. Der Antrag wird von der mit der Benutzerverwaltung beauftragten Stelle zur weiteren Bearbeitung überprüft. Es erfolgt eine regelmäßige Überprüfung der Berechtigungen. Benutzerkonten müssen dem Prinzip der eindeutigen Zuordnung unterliegen. An- und Abmeldevorgänge werden protokolliert. Dies schließt auch fehlgeschlagene An- und Abmeldevorgänge mit ein. Protokolldaten werden gegebenenfalls verschlüsselt. Der Zugriff auf Kundendaten ist auf die unmittelbar mit der Betreuung beauftragten Personen beschränkt. Sollte er für konkrete Supportfälle auf zuständige Mitarbeiter ausgeweitet werden, so geschieht dies nur temporär. 2.5 Weitergabekontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: Der Versand personenbezogener Daten in materieller Form (z.b. CD-ROM) erfolgt nur per Kurier. Der Inhalt ist dabei immer kryptografisch gesichert. Alternativ ist es möglich die Daten auf kryptographisch sicheren Leitungen zu übertragen. Eine Datenübermittlung erfolgt nach aktuellen kryptographischen Standards. Die Entsorgung von Daten wird in Eigenregie durchgeführt. Für die Papierentsorgung innerhalb der Büroetagen stehen entsprechende Aktenschredder zur Verfügung. Die Aufbewahrung von ausgelagerten Daten (Sicherungsbänder) erfolgt in einem Datensicherungssafe einer Bank. Der Umgang der Mitarbeiter der ELAXY FSS mit CD-Laufwerken, -Brennern, USB-Sticks und Download-Funktionen wird über die von allen Mitarbeitern unterschriebenen Regelungen zum Geheimnisschutz und geistiges Eigentum. Datenschutz. Gebäude- und Betriebssicherheit geregelt. 2.6 Eingangskontrolle / Eingabekontrolle Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Auf Betriebssystemebene wird protokolliert, welcher Mitarbeiter sich an- und abmeldet. Die Protokollierung der Mitarbeiter und ihrer Tätigkeiten erfolgt auf Applikationsebene. Logdateien sind vor unbefugtem Zugriff geschützt. Die Verarbeitung personenbezogenen Daten des Auftraggebers ist auf die Mitarbeiter beschränkt, die die Dienstleistungen für den Auftraggeber erbringen. Der Einsatz von Bildschirmschonern an den Arbeitsplätzen der ELAXY FSS wird genutzt. Bei den intern eingesetzten Datenverarbeitungssystemen werden Änderungen protokolliert. Es ist nachvollziehbar, wer wann die letzte Änderung durchgeführt hat. 10 / 12

12 2.7 Auftragskontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden: Die Auftragsdatenverarbeitung erfolgt ausschließlich nach Abschluss standardisierter Verträge. Durch die Verwendung standardisierter Verträge ist sichergestellt, dass Regelungen zur Sicherstellung von Datenschutz und Datensicherheit vereinbart werden. Die Verträge enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers. Die Verträge schreiben die Zweckbindung der personenbezogenen Daten des Auftraggebers vor und enthalten ein Verbot der Nutzung der Daten außerhalb des schriftlich formulierten Auftrags. Die ELAXY hat einen betrieblichen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte ist in die Erstellung der standardisierten Verträge zur Auftragsdatenverarbeitung eingebunden und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse. Die interne Revision prüft risikoorientiert und unabhängig unter anderem die Wirksamkeit und Angemessenheit des internen Kontrollsystems sowie die Ordnungsmäßigkeit grundsätzlich aller betrieblicher Aktivitäten und Prozesse. In den datenschutzrechtlichen Belangen erfolgt eine enge Abstimmung mit dem betrieblichen Datenschutzbeauftragten. Die Vertragsdokumente der ELAXY FSS mit ihren Kunden enthalten Vereinbarungen zum Datenschutz. Die ELAXY FSS verpflichtet sich über gesetzkonforme Verträge nach 11 BDSG die überlassenen Kundendaten datenschutzgerecht zu nutzen und nach Abschluss des Supportprozesses zu vernichten. Insofern räumt sie ihren Auftraggebern, bzw. deren Datenschutzbeauftragten formal ein Kontrollrecht ein. 2.8 Verfügbarkeitskontrolle Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: Der Rechenzentrumsbetrieb erfolgt mit zwei physikalisch getrennten Standorten. Die Datenhaltung erfolgt auf synchron gespiegelten Systemen verteilt auf beide Rechenzentrumsstandorte Redundanter Aufbau von Systemen an beiden Standorten mit Nutzung von Clustertechnologie Datensicherung in redundanten Bandrobotern in beiden Rechenzentrumsstandorten Überwachung des Rechenzentrumsbetriebes 7 * 24 Stunden Die ELAXY besitzt ein standortübergreifendes einheitliches Sicherheitskonzept für das Viren- Scanning und für Windows- und Office Updates. Hierdurch ist die zeitnahe Versorgung der Clients mit Microsoft Patches gewährleistet. Der Einsatz solcher Schutzprogramme (z.b. Virenscanner, Firewalls, SPAM-Filter) erfolgt durch sachkundiges Personal. Je Rechenzentrum stehen zwei eigenständige Energiezentralen mit USV und Notstromdiesel bereit. Generell sind die Anlagen zur Datenverarbeitung gegen Stromausfall, Brand, mutwillige Beschädigung, Wasser etc. geschützt. Die ELAXY FSS setzt für den Kundensupport Notes und Datenbankbasierte Helpdesk-Tools ein. Es handelt sich um ein verteiltes System, welches gegen mutwillige Manipulation und Zerstörung in entsprechend ausgestatteten Serverräumen geschützt ist. 11 / 12

13 2.9 Zweckbindungskontrolle Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden: Die Daten unterschiedlicher Auftraggeber werden in getrennten Datenbanken oder Dateien gespeichert. Eine Trennung der Daten der unterschiedlichen Auftraggeber erfolgt mittels eindeutiger Mandantennummern in den Beständen, so dass jedem Datensatz eindeutig der Dateneigentümer zugeordnet werden kann. Der Zugriff auf die personenbezogenen Daten ist nur durch Personen möglich, die diese für die Vertragserfüllung benötigen. Bei automatisierten Prozessen ist der Zugriff auf die Daten nur durch die entsprechenden Prozesse möglich. Die Zuordnung wird regelmäßig kontrolliert. Die in den Systemen verfügbaren Berechtigungsmechanismen ermöglichen die exakte Umsetzung der Vorgaben der Berechtigungskonzepte. Entwicklungs- und Produktionsumgebungen werden separat betrieben. 12 / 12