1. Zweck, Begriffe, Gegenstand KANTON ZÜRICH. 1.1 Zweck

Transkript

1 KANTON ZÜRICH Allgemeine Geschäftsbedingungen über die Geheimhaltung, den Datenschutz und die Daten- und Informationssicherheit bei der Erbringung von Informatikdienstleistungen AGB Sicherheit (September 2001) 1. Zweck, Begriffe, Gegenstand 1.1 Zweck Diese AGB bezwecken den Schutz der Persönlichkeitsrechte betroffener Personen und die Gewährleistung von Geheimhaltungsvorschriften, wenn Dritte für den Kanton Zürich Dienstleistungen im Bereich der Informatik erbringen. 1.2 Begriffe a) Leistungserbringer: Natürliche und juristische Personen sowie öffentlichrechtliche Institutionen, die für den Kanton Zürich Dienstleistungen im Bereich der Informatik erbringen. b) Leistungsbezüger: Der Kanton Zürich vertreten durch seine Organe wie Regierungsrat, Direktionen, Ämter, Betriebe, Kantonsrat, Ombudsstelle und Gerichte sowie seine öffentlichrechtlichen Anstalten, welche den Leistungserbringer mit der Erbringung von Informatikdienstleistungen beauftragen. c) Informatikdienstleistungen: Leistungen im Bereich der Informatik, insbesondere Kommunikationsdienste, Rechenzentrumsdienste, Aufbau und Betrieb von Büroinformationssystemen, Anwendungsentwicklung und Entwicklung von Branchenlösungen, Beratung und Projektmanagement, Schulung, Hard- und Softwareverkauf und -pflege, Kundenvertretungen. d) Besondere Datenbearbeitungen: Datenbearbeitungen, welche besonders schützenswerte Personendaten umfassen oder Daten betreffen, die im Interesse des Staates einer besonderen Geheimhaltung unterliegen. 1.3 Gegenstand und Geltung Die AGB dienen der Umsetzung von Bestimmungen über die Geheimhaltung, den Datenschutz und die Daten- und Informatiksicherheit, denen der Kanton Zürich unterliegt. Sie gelten für alle Informatikdienstleistungen, die der Leistungserbringer für die Leistungsbezüger erbringt, sowie für die damit verbundenen Geschäftsprozesse des Leistungserbringers.

2 2 Der Leistungserbringer unterstützt die Leistungsbezüger bei der Einhaltung der gesetzlichen Bestimmungen. Die Leistungsbezüger erstellen rechtzeitig die notwendigen inhaltlichen Vorgaben zu Handen des Leistungserbringers. 2. Pflichten der Vertragspartner 2.1 Informationspflichten Der Leistungserbringer informiert und dokumentiert die Leistungsbezüger über die Methoden und Prozesse, die er zur Wahrung der Sicherheit einsetzt. Die Leistungsbezüger haben das Recht, jederzeit die diesbezüglichen Unterlagen einzusehen und sich die betrieblichen Abläufe vorführen zu lassen. 2.2 Sicherheitsstandard Der Leistungserbringer beachtet die allgemein anerkannten Standards und Methoden für die Entwicklung und den Betrieb sicherer und vertrauenswürdiger Informatik. Die Leistungsbezüger können bei Auslegungsfragen die für sie massgeblichen Empfehlungen dem Leistungserbringer zur Verfügung stellen. 2.3 Sicherheitskonzept Der Leistungserbringer legt ein Datensicherheitskonzept gemäss den Vorgaben der Informatiksicherheitsverordnung vom 17. Dezember 1997 vor, das verbindlicher Bestandteil des Vertrages wird. Änderungen des Konzepts bedürfen der Genehmigung des Leistungsbezügers. 2.4 Allgemeiner Datenschutz-Revers Der Leistungserbringer verpflichtet das eigene Personal schriftlich zur Einhaltung der gesetzlichen und vertraglichen Geheimhaltungs- und Sicherheitsbestimmungen. 2.5 Informationelle Trennung Der Leistungserbringer trifft die angemessenen organisatorischen und technischen Massnahmen, um die Systeme und Prozesse eines Leistungsbezügers von denjenigen anderer Leistungsbezüger und Dritter zu trennen. Er hat Verknüpfungen und Kombinationen von Daten und Informationen verschiedener Leistungsbezüger oder mit Dritten oder dem Leistungserbringer zu verunmöglichen, sofern er nicht ausdrücklich damit beauftragt wird. 2.6 Beizug von Dritten Zieht der Leistungserbringer einen Dritten bei, hat er dem Leistungsbezüger davon schriftlich Mitteilung zu machen.

3 3 Zu besonderen Datenbearbeitungen darf ein Dritter nur beigezogen, werden, wenn der Leistungsbezüger schriftlich zugestimmt hat. Der Leistungserbringer darf einen Dritten nur beiziehen, wenn dieser sich zur Einhaltung dieser Bestimmungen verpflichtet. 2.7 Entwicklung und Wartung von Systemen Erfordert die Entwicklung und Wartung von Systemen den Beizug Dritter, verhindert der Leistungserbringer durch organisatorische und technische Massnahmen, dass dem Dritten Personendaten oder im Interesse des Staates einer besonderen Geheimhaltung unterliegende Daten zur Kenntnis gelangen können. Lässt sich dies organisatorisch und technisch nicht verhindern, gelten die Bestimmungen über den Beizug Dritter. 2.8 Ort der Datenbearbeitung Die Verarbeitungsprozesse mit Daten der Leistungsbezüger haben ausschliesslich in der Schweiz zu erfolgen. 2.9 Weitergabe von Daten und Informationen Der Leistungserbringer darf Daten eines Leistungsbezügers ohne anderslautende ausdrückliche Ermächtigung nur für diesen verwenden und nur diesem bekannt geben. Verlangt ein anderes öffentliches Organ oder eine Privatperson die Bekanntgabe von Personendaten oder von im Interesse des Staates einer besonderen Geheimhaltung unterliegende Daten, leitet der Leistungserbringer das Begehren an den Leistungsbezüger weiter. Vorbehalten bleiben gesetzlich vorgesehene prozessuale Zwangsmassnahmen der zuständigen Behörden. In diesen Fällen ist der Leistungsbezüger unverzüglich zu informieren Rechtsansprüche betroffener Personen Der Leistungserbringer leitet Begehren von Personen, über die Daten bearbeitet werden, an den jeweiligen Leistungsbezüger weiter. Er trifft Vorkehren, damit der Leistungsbezüger in der Lage ist, solche Begehren zu behandeln Sicherheits-Audits Der Leistungserbringer führt periodische Sicherheits-Audits durch interne oder externe, fachlich unabhängige Revisionsstellen durch und lässt den Leistungsbezügern auf Anfrage den Revisionsbericht zukommen, soweit er die Daten, Systeme und Prozesse der Leistungsbezüger betrifft.

4 4 Die Audits richten sich nach den allgemein anerkannten Standards internationaler Revisionsfirmen und anerkannter Fachverbände wie der Information Systems Audit and Control Association (ISACA) Aufsicht und Kontrolle Der Leistungserbringer untersteht der Aufsicht durch den Datenschutzbeauftragten oder die Datenschutzbeauftragte sowie die Finanzkontrolle, soweit Daten, Systeme und Prozesse der Leistungsbezüger betroffen sind. Diese haben das Recht, im Rahmen ihrer gesetzlichen Aufgaben Kontrollen durchzuführen oder durchführen zu lassen. Der Leistungserbringer hat sie dabei unentgeltlich zu unterstützen. Sie sind über aussergewöhnliche Vorfälle unverzüglich zu informieren Besondere Datenbearbeitungen Bei besonderen Datenbearbeitungen schliesst der Leistungserbringer durch organisatorische und technische Massnahmen aus, dass sein Personal Einsicht in die Daten nehmen kann. Ist dies nicht möglich, stellt er die Einbindung des Personals in die funktionelle Hierarchie des Leistungsbezügers sicher. Dazu beachtet er folgende Vorschriften: Er unterstellt das Personal dem direkten fachlichen Weisungsrecht des Leistungsbezügers. Er stellt sicher, dass sämtliche Systemeingriffe durch das Personal revisionssicher protokolliert werden. Er teilt dem Leistungsbezüger die Namen der Mitarbeitenden und deren Einsatzbereiche mit. Der Leistungsbezüger hat bezüglich dem Einsatz der Mitarbeitenden das Vetorecht Unterstützung und Wahrung von Geschäftsgeheimnissen Die Leistungsbezüger unterstützen den Leistungserbringer bei der Umsetzung seiner Pflichten auf Grund dieser Bestimmungen und verpflichten sich, seine Geschäftsgeheimnisse zu wahren. 3. Koordinationsgremium Die Leistungsbezüger können mit Beteiligung des Leistungserbringers ein Koordinationsgremium einsetzen, wenn Umfang und Sensibilität der Datenbearbeitungen es rechtfertigen. Diesem obliegt es, Änderungen des Rechts, der Risiken und Bedrohungsszenarien und der Sicherheitssituation zu beobachten und zu diskutieren sowie zu Handen der Vertragspartner Vorschläge zur Anpassung von rechtlichen und vertraglichen Bestimmungen, Konzepten sowie betrieblichen Abläufen zu machen. Im Zweifelsfall oder bei Unklarheiten und Uneinigkeiten zieht das Koordinationsgremium den Datenschutzbeauftragten oder die Datenschutzbeauftragte bei.

5 5 4. Sanktionen Bei schwerwiegender Verletzung dieser Bestimmungen zahlt die verletzende Partei der verletzten Partei eine Konventionalstrafe von 10 % der Höhe des jährlichen Auftragsumfangs der betroffenen Leistung, höchstens jedoch Fr je Fall, sofern sie nicht beweist, dass sie kein Verschulden trifft. Vorbehalten bleibt der Ersatz des darüber hinaus gehenden Schadens. Bei wiederholter schwerwiegender Verletzung steht der verletzten Partei das Recht zur sofortigen Vertragsauflösung zu; der daraus entstehende Schaden ist ihr zu vergüten. Vorbehalten bleiben strafrechtliche Sanktionen. 5. Gerichtsstand und anwendbares Recht Für Streitigkeiten auf Grund dieser AGB gelten der Gerichtsstand und das anwendbare Recht der massgeblichen Leistungsvereinbarung. Enthält diese keine Regelung, kommt schweizerisches Recht zur Anwendung und der Gerichtsstand ist Zürich. Anhänge Anhang 1: Kommentar zu den AGB über die Geheimhaltung, den Datenschutz und die Daten und Informationssicherheit bei der Erbringung von Informatikdienstleistungen Anhang 2: Gesetz über die Auslagerung von Informatikdienstleistungen IAG vom 23. August 1999 (LS ) Anhang 3: Datenschutzgesetz DSG vom 6. Juni 1993 (LS 236.1) Anhang 4: Datenschutzverordnung DSV vom 7. Dezember 1994 (LS ) Anhang 5: Informatiksicherheitsverordnung ISV vom 17. Dezember 1997 (LS 170.8) Anhang 6: Finanzkontrollgesetz FKG vom 30. Oktober 2000 (LS 614) Gesetzessammlung: LS: Loseblattsammlung