DATENSCHUTZ UND DATENSICHERHEIT VEREINBARUNG ZUR AUFTRAGSDATENVERARBEITUNG

Größe: px
Ab Seite anzeigen:

Download "DATENSCHUTZ UND DATENSICHERHEIT VEREINBARUNG ZUR AUFTRAGSDATENVERARBEITUNG"

Transkript

1 April 2015 DATENSCHUTZ UND DATENSICHERHEIT VEREINBARUNG ZUR AUFTRAGSDATENVERARBEITUNG Dieses Dokument ( Anlage ) wird zum integralen Bestandteil der vom Auftraggeber unterzeichneten, auf diese Bedingungen verweisenden Order Form (die Vereinbarung ). Diese Anlage stellt eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung zwischen SAP und jeder in Verbindung mit der Nutzung des Service personenbezogene Daten bereitstellenden verantwortlichen Stelle dar und legt darüber hinaus die entsprechenden technischen und organisatorischen Maßnahmen fest, die SAP zum Schutz der im Rahmen des Service gespeicherten personenbezogenen Daten ergreift und aufrechterhält. Die schriftliche Form dieser Anlage gilt als nachgewiesen, wenn SAP eines der folgenden Dokumente erhalten hat: (i) Original der unterzeichneten Order Form; (ii) unterzeichnete Order Form im PDF- oder einem ähnlichen Format; (iii) mittels DocuSign oder einem ähnlichen, von SAP (zum Empfang einer Order Form vom Auftraggeber) verwendeten Produkt unterzeichnete Order Form. Der Auftraggeber fungiert als verantwortliche Stelle in Bezug auf die personenbezogenen Daten seiner eigenen Definierten Nutzer sowie im Auftrag und im Namen seiner Verbundenen Unternehmen oder von Dritten, die als verantwortliche Stelle von Definierten Nutzern fungieren, die vom Auftraggeber zur Nutzung des Service autorisiert wurden. Der Auftraggeber schließt Vereinbarungen über die Datenverarbeitung mit seinen verantwortlichen Stellen ab, die dazu erforderlich sind, SAP (als Datenverarbeiter bzw. Unterauftragsverarbeiter) und ihren Unterauftragsverarbeitern zu gestatten, personenbezogene Daten im Sinne dieser Anlage zu verarbeiten. Der Auftraggeber ist der zentrale Ansprechpartner für SAP und übernimmt die alleinige Verantwortung für die interne Koordination, die Prüfung und das Erteilen von Anweisungen sowie das Übermitteln von Anfragen anderer verantwortlicher Stellen an SAP. SAP ist nicht verpflichtet, eine verantwortliche Stelle zu informieren oder zu benachrichtigen, wenn die betreffende Information oder Benachrichtigung an den Auftraggeber übermittelt wurde. SAP hat das Recht, jegliche Anfragen oder Anweisungen von einer verantwortlichen Stelle, die nicht der Auftraggeber ist, zu verweigern. Sollte eine Bestimmung dieser Anlage von einem zuständigen Gericht als unwirksam oder nicht durchsetzbar angesehen werden, wirkt sich die Unwirksamkeit der jeweiligen Bestimmung nicht auf die anderen Bestimmungen dieser Anlage aus, und alle anderen von dieser Unwirksamkeitkeit nicht betroffenen Bestimmungen bleiben in ihrem vollen Umfang wirksam. 1. Zwecke der Datenverarbeitung 1.1 Der Auftraggeber und seine Verbundenen Unternehmen bestimmen als verantwortliche Stelle(n) den Zweck der Erhebung, Verarbeitung und der anderweitigen Verwendung der im Rahmen des Service gespeicherten personenbezogenen Daten. Sofern nicht anderweitig in der Vereinbarung festgelegt, gelten Anhang 1 der Standardvertragsklauseln sowie die Anlage für eine solche Datenverarbeitung. 1.2 Die Zwecke der Verarbeitung personenbezogener Daten durch SAP und ihre Unterauftragsverarbeiter unter den Bedingungen dieser Anlage sind auf die folgenden beschränkt: a) Einrichtung, Betrieb, Überwachung und Bereitstellung des Service, einschließlich der zugrunde liegenden Infrastruktur (Hardware, Software, sichere Rechenzentren, Konnektivität) als Datenverarbeiter oder Unterauftragsverarbeiter gemäß den Festlegungen der Vereinbarung b) Bereitstellung des technischen Supports durch SAP als Hauptleistungsverpflichtung im Rahmen der Vereinbarung c) Bereitstellung von Beratungsleistungen als vertragliche Hauptverpflichtung von SAP, falls und soweit durch die Parteien vereinbart d) Information und Anweisung der Definierten Nutzer und andere Verwaltungszwecke, wie in den Bedingungen für einen bestimmten Service festgelegt e) Ausführung von Anweisungen des Auftraggebers gemäß den folgenden Abschnitten 2.1 und Pflichten von SAP 2.1 SAP verarbeitet die personenbezogenen Daten nur in Übereinstimmung mit den vom Auftraggeber übermittelten Anweisungen der verantwortlichen Stelle. SAP wird wirtschaftlich vertretbare Anstrengungen zur Umsetzung und Einhaltung der vom Auftraggeber erhaltenen Anweisungen ergreifen, sofern diese rechtlich vorgeschrieben und technisch umsetzbar sind und keine gravierenden Modifikationen der Funktionen des Service oder der zugrunde liegenden Software erfordern. SAP benachrichtigt den Auftraggeber, wenn eine von diesem übermittelte Anweisung nach Meinung von SAP gegen das geltende Datenschutzgesetz verstößt. SAP ist nicht verpflichtet, eine umfassende rechtliche Prüfung durchzuführen. Wenn und insoweit SAP nicht in der Lage ist, eine Anweisung einzuhalten, informiert SAP den Auftraggeber umgehend darüber ( ist zulässig). 2.2 SAP kann auf Weisung des Auftraggebers und unter dessen erforderlicher Mitwirkung personenbezogene Daten korrigieren, löschen und/oder sperren, wenn und insoweit die Funktionen des Service dies dem Auftraggeber, seinen verantwortlichen Stellen oder den Definierten Nutzern nicht gestatten. Wenn SAP Fernzugriff auf ein System des Auftraggebers oder auf dessen Instanz des Service benötigt, um eine Anweisung auszuführen oder technischen Support zu leisten, z. B. über Application Sharing, erteilt der Auftraggeber SAP hiermit die Erlaubnis für einen solchen Fernzugriff. Ferner benennt der Auftraggeber einen Ansprechpartner, der SAP gegebenenfalls die benötigten Zugriffsrechte erteilen kann. 2.3 SAP und ihre Unterauftragsverarbeiter beauftragen mit der Verarbeitung von personenbezogenen Daten ausschließlich Personal, das einer Verpflichtung zur Einhaltung des Daten- oder Telekommunikationsgeheimnis entsprechend dem im anwendbaren Datenschutzgesetz festgelegten Umfang unterliegt. SAP sorgt ihrerseits dafür und erwirkt von den Unterauftragsverarbeitern, dass ihre bzw. deren Mitarbeiter, denen der Zugriff auf personenbezogene Daten gewährt wird, in regelmäßigen Abständen im Datenschutz geschult werden. 2.4 SAP ergreift zumindest die im Anhang 2 beschriebenen geeigneten technischen und organisatorischen Maßnahmen für die Sicherheit und den Schutz von personenbezogenen Daten vor nicht genehmigter oder widerrechtlicher Verarbeitung und versehentlichem Verlust sowie versehentlicher Zerstörung oder Beschädigung und sorgt für die Aufrechterhaltung dieser Maßnahmen. Da SAP den Service allen Auftraggebern einheitlich über eine gehostete, webgestützte Anwendung bereitstellt, gelten alle geeigneten und jeweils aktuellen technischen und organisatorischen Maßnahmen für alle SAP-Auftraggeber, für die der Service vom gleichen Rechenzentrum gehostet wird und die den gleichen Service abonniert haben. Der Auftraggeber weiß und erklärt sich damit einverstanden, dass die technischen und organisatorischen Maßnahmen technisch weiterentwickelt werden. Im Hinblick darauf ist SAP ausdrücklich berechtigt, adäquate Alternativmaßnahmen zu implementieren, sofern das Sicherheitsniveau der Maßnahmen dabei aufrechterhalten wird. Im Fall einer nachteiligen Änderung setzt SAP den Auftraggeber per Page 1 of 7

2 oder über eine durch den Auftraggeber leicht zugängliche Website darüber in Kenntnis und stellt die ggf. in diesem Zusammenhang erforderliche Dokumentation bereit. 2.5 SAP überprüft die im Anhang 2 beschriebenen Maßnahmen in regelmäßigen Abständen. Falls eine verantwortliche Stelle der Ansicht ist, dass gemäß dem geltenden Datenschutzgesetz zusätzliche Maßnahmen erforderlich sind, erteilt der Auftraggeber gemäß Abschnitt 2.1 eine entsprechende Anweisung. 2.6 SAP informiert den Auftraggeber unverzüglich, wenn gravierende Unterbrechungen des Betriebsprozesses, tatsächliche Verstöße gegen den Datenschutz oder ein begründeter Verdacht auf diese vorliegen oder Sicherheitsverletzungen in Verbindung mit der Verarbeitung personenbezogener Daten bekannt werden, die jeweils die Interessen der Betroffenen in erheblichem Maße verletzen könnten. 2.7 SAP unterstützt den Auftraggeber oder andere verantwortliche Stellen auf Kosten des Auftraggebers bei der Bearbeitung von Anfragen einzelner Betroffener und/oder einer übergeordneten Stelle in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Anlage. 3. Unterauftragsverarbeiter 3.1 Der Auftraggeber (auch im Namen seiner verantwortlichen Stellen) ermächtigt SAP hiermit (auch in Bezug auf Klausel 11, Absatz 1 der Standardvertragsklauseln), Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten (jeder ein Unterauftragsverarbeiter ) zu beauftragen, soweit dies zur Erfüllung der aus der Vereinbarung erwachsenden Verpflichtungen erforderlich ist und solange SAP die Verantwortung für alle Tätigkeiten oder Unterlassungen ihrer Unterauftragsverarbeiter in demselben Maße wie für ihre eigenen Tätigkeiten oder Unterlassungen behält. SAP gibt die Verpflichtung als Datenverarbeiter (oder Unterauftragsverarbeiter) gegenüber dem Auftraggeber und den jeweiligen verantwortlichen Stellen an die Unterauftragsverarbeiter gemäß dieser Anlage weiter. SAP richtet einen Auswahlprozess zur Prüfung der Maßnahmen eines Unterauftragsverarbeiters zur Wahrung der Sicherheit, des Schutzes und der Vertraulichkeit beim Umgang mit Daten in regelmäßigen, festgelegten Abständen ein (alternativ kann der Unterauftragsverarbeiter auch ein Sicherheitszertifikat besitzen, mit dem nachgewiesen wird, dass entsprechende Sicherheitsvorkehrungen in Bezug auf die vom Unterauftragsverarbeiter für SAP zu erbringenden Services bestehen). 3.2 SAP teilt dem Auftraggeber auf dessen Anfrage per den Namen, die Anschrift und die Rolle eines jeden Unterauftragsverarbeiters mit, der zur Erbringung des Service herangezogen wird. SAP kann sich nach eigenem Ermessen von Unterauftragsverarbeitern lösen und gemäß diesem Abschnitt 3 geeignete, zuverlässige andere Unterauftragsverarbeiter beauftragen. SAP informiert den Auftraggeber per im Voraus (mit Ausnahme eines Notfallaustauschs gemäß Abschnitt 3.3) über jegliche Änderungen an der Liste der Unterauftragsverarbeiter, die als genehmigt gelten, solange das geltende Datenschutzgesetz, oder wenn ein Unterauftragsverarbeiter außerhalb des EWR einbezogen wird die Standardvertragsklauseln eingehalten werden. Wenn der Auftraggeber einen berechtigten Grund zum Widerspruch gegen die Beauftragung eines Unterauftragsverarbeiters hat (z. B., wenn der Unterauftragsverarbeiter seinen Sitz in einem Land hat, in dem der Datenschutz nicht in ausreichendem Maße gewährleistet ist und der Auftraggeber als verantwortliche Stelle vor dem Einsatz eines solchen Unterauftragsverarbeiters zusätzliche Formalitäten erledigen müsste), teilt er dies SAP innerhalb von dreißig (30) Tagen nach dem Eingang der Benachrichtigung von SAP mit. Erhebt der Auftraggeber innerhalb dieses Zeitraums keine Einwände, gilt der neue Unterauftragsverarbeiter als genehmigt. Wenn der Auftraggeber gegen den Einsatz des betreffenden Unterauftragsverarbeiters Widerspruch erhebt, hat SAP das Recht, zur Abhilfe des Widerspruchs mithilfe einer der folgenden Optionen (nach alleinigem Ermessen) zu reagieren: (a) SAP gibt ihre Pläne für den Einsatz des Unterauftragsverarbeiters hinsichtlich der personenbezogenen Daten auf, oder (b) SAP ergreift vom Auftraggeber in seinem Widerspruch geforderte Korrekturmaßnahmen (die den Widerspruch des Auftraggebers ausräumen) und setzt den Unterauftragsverarbeiter weiter zur Verarbeitung der personenbezogenen Daten ein, oder (c) SAP kann die Erbringung des bestimmten Teils des Service, der den Einsatz des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten erfordern würde, (vorübergehend oder dauerhaft) einstellen, oder der Auftraggeber kann zustimmen, diesen Teil des Service (vorübergehend oder dauerhaft) nicht zu nutzen. Wenn keine der o. g. Optionen auf zumutbare Weise realisierbar ist und der Widerspruch nicht innerhalb von dreißig (30) Tagen nach dem Eingang des Widerspruchs bei SAP behoben wurde, kann der betroffene Service unter Einhaltung einer angemessenen Frist von einer der Parteien schriftlich gekündigt werden. 3.3 Notfallaustausch bezeichnet den plötzlichen Austausch eines Unterauftragsverarbeiters in Fällen, die außerhalb der angemessenen Einflussmöglichkeiten von SAP liegen (z. B. wenn der Unterauftragsverarbeiter seine Tätigkeit einstellt, die Leistungen für SAP abrupt beendet oder seinen vertraglichen Verpflichtungen gegenüber SAP nicht nachkommt). In einem solchen Fall informiert SAP den Auftraggeber unverzüglich über den ersetzenden Unterauftragsverarbeiter und leitet anschließend das Verfahren zu dessen Beauftragung gemäß Abschnitt 3.2 ein. 4. Internationale Datenübertragung und länderspezifische Abweichungen 4.1 Personenbezogene Daten, die SAP im Rahmen der Vereinbarung von einer verantwortlichen Stelle empfängt, dürfen nur dann von SAP oder ihren Unterauftragsverarbeitern vom Rechenzentrum in ein Land oder Gebiet außerhalb des EWR exportiert oder hieraus ein Zugriff zugelassen werden ( Internationale Übertragung ), wenn (a) der Empfänger selbst oder das Land oder Gebiet, in dem er tätig ist, (d. h. wo die personenbezogenen Daten verarbeitet werden oder von wo aus auf sie zugegriffen wird) nachweislich einen angemessenen Schutz der Rechte und Freiheiten der Betroffenen im Hinblick auf personenbezogene Daten gemäß den Vorgaben der Europäischen Kommission gewährleistet, oder (b) eine Nicht-EU-Entität die im folgenden Abschnitt 4.2 genannten Anforderungen erfüllt. Das Gleiche gilt für den Empfang personenbezogener Daten durch SAP direkt von einer verantwortlichen Stelle im EWR über einen Internet-Zugang oder einen Service, der in einem Rechenzentrum außerhalb des EWR gehostet wird. 4.2 SAP hat (durch SAP SE) mit jeder Nicht-EU-Entität, die im Rahmen dieser Vereinbarung personenbezogene Daten mittels internationaler Übertragung verarbeitet, die Standardvertragsklauseln vereinbart. Der Auftraggeber tritt hiermit den Standardvertragsklauseln bei und ist somit in der Lage, diese direkt gegenüber der jeweiligen Nicht-EU-Entität durchzusetzen. Darüber hinaus sorgt der Auftraggeber dafür, dass jede verantwortliche Stelle diesen zwischen SAP und dem Auftraggeber vereinbarten Standardvertragsklauseln beitritt. Für den Fall, dass ein solches direktes Recht für die verantwortliche Stelle nicht gilt oder von einem Unterauftragsverarbeiter erfolgreich angefochten wird, setzt SAP diese Standardvertragsklauseln im Namen der verantwortlichen Stelle gegenüber dem Unterauftragsverarbeiter in Übereinstimmung mit den Bestimmungen dieser Anlage durch. Soweit nicht anderweitig zwischen den Parteien vereinbart, gelten die Anhänge 1 und 2 der Standardvertragsklauseln in ihrer beigefügten Form. Keine der Bestimmungen in der Vereinbarung darf im Konfliktfall dahingehend ausgelegt werden, dass sie Vorrang vor einer Bestimmung der Standardvertragsklauseln hat. Der Auftraggeber versichert, dass er die Möglichkeit zur Prüfung der Standardvertragsklauseln hatte bzw. ein vollständiges Exemplar der Standardvertragsklauseln von SAP erhalten hat. 4.3 Die Standardvertragsklauseln unterliegen dem Recht des Mitgliedstaates, in dem der EWR-basierte Datenexporteur seinen Sitz hat. SAP Confidential Page 2 of 7

3 4.4 Schweiz. Soweit eine verantwortliche Stelle oder ihre Definierten Nutzer in der Schweiz beabsichtigen, personenbezogene Daten von juristischen Personen (die auch gemäß dem Schweizer Bundesgesetz über den Datenschutz als personenbezogene Daten gelten) im Service zu erfassen, verpflichtet sich der Auftraggeber, vor der Nutzung des Service die Zustimmung der jeweiligen juristischen Person (Betroffener) einzuholen (gemäß Art. 6 Para. 2, Abs. b des Bundesgesetzes über den Datenschutz). SAP verpflichtet sich, für diese personenbezogenen Daten ein entsprechendes Datenschutzniveau zu gewährleisten wie in den Abschnitten 1, 2 und 5 dieser Anlage beschrieben. 4.5 Österreich. Soweit eine verantwortliche Stelle oder ihre Definierten Nutzer in Österreich beabsichtigen, personenbezogene Daten von juristischen Personen (die auch gemäß dem Bundesgesetz über den Schutz personenbezogener Daten (DSG 2000) als personenbezogene Daten gelten) im Service zu erfassen, verpflichtet sich der Auftraggeber, vor der Nutzung des Service die Zustimmung der jeweiligen juristischen Person (Betroffener) einzuholen (gemäß Art. 12 Para. 3 des DSG 2000). SAP verpflichtet sich, für diese personenbezogenen Daten ein entsprechendes Datenschutzniveau zu gewährleisten wie in den Abschnitten 1, 2 und 5 dieser Anlage beschrieben. 4.6 Russische Föderation. Der Auftraggeber oder seine Verbundenen Unternehmen, die als verantwortliche Stelle fungieren, bleiben Verwalter der zur Verarbeitung an SAP übermittelten personenbezogenen Daten und sind verantwortlich dafür, festzustellen, (i) ob der Auftraggeber in der Lage ist, bei der Nutzung des Service, die die Verarbeitung personenbezogener Daten russischer Staatsbürger zum Gegenstand hat, das geltende russische Datenschutzgesetz einzuhalten und (ii) ob die Services innerhalb oder außerhalb der Russischen Föderation genutzt werden können. 4.7 Türkei. Soweit eine verantwortliche Stelle oder ihre Definierten Nutzer in der Türkei beabsichtigen, personenbezogene Daten im Service zu erfassen, verpflichtet sich der Auftraggeber, zuvor die Zustimmung jedes Betroffenen zu einer internationalen Übertragung gemäß dieser Anlage einzuholen, wenn und soweit dies gemäß dem türkischen Datenschutzgesetz erforderlich ist. Der Auftraggeber bestätigt hiermit, dass er die personenbezogenen Daten empfangen und die Betroffenen über die Übertragung/Verarbeitung der personenbezogenen Daten gemäß dem geltenden Gesetz informiert hat. 4.8 USA. Falls SAP und der Auftraggeber keine Partnervereinbarung über den Austausch von geschützten gesundheitlichen Daten (Business Associate Agreement for the Exchange of Protected Health Information ( PHI )) gemäß dem United States Health Insurance Portability and Accountability Act von 1996 in seiner neuesten Fassung geschlossen haben, verpflichtet sich der Auftraggeber hiermit, keine geschützten Gesundheitsdaten an den Service zu übermitteln oder solche Daten im Rahmen der Nutzung des Service von seinen Partnern oder Kunden einzuholen. 5. Kontrollrechte des Auftraggebers 5.1 Für die Produktivsysteme, auf denen der eigentliche Service ausgeführt wird, und während der Laufzeit der Vereinbarung sorgt SAP auf eigene Kosten für die Erstellung und Vorhaltung der entsprechenden Zertifizierungen oder Auditberichte. Falls nicht anderweitig in einer Ergänzung festgelegt, engagiert SAP einen international anerkannten unabhängigen Prüfer zur Prüfung der bestehenden Maßnahmen zum Schutz des/der Service(s). Zertifizierungen können auf ISO oder anderen Standards basieren (Umfang wie im Zertifikat definiert). Für bestimmte SAP Cloud Services lässt SAP in regelmäßigen Abständen (mindestens jährlich) Prüfungen durch zertifizierte Prüfer durchführen, um einen gültigen Bericht SOC 1 Typ 2 (SSAE 16 oder ISAE 3402) und/oder SOC 2 Typ 2 bereitzustellen. Die Audit-Berichte sind über den externen Prüfer bzw. über SAP verfügbar. Auf Anforderung des Auftraggebers informiert SAP den Auftraggeber über die für den jeweiligen Service verfügbaren gültigen Zertifizierungen und Prüfungsstandards. 5.2 Falls SAP ihren Verpflichtungen gemäß Abschnitt 5.1 nicht nachkommt und auf die schriftliche Anforderung des Auftraggebers hin keinen ausreichenden Nachweis über die Einhaltung ihrer Verpflichtungen erbringt, kann der Auftraggeber (oder an seiner Stelle ein unabhängiger externer Prüfer, der den in der Vereinbarung festgelegten Geheimhaltungsverpflichtungen unterliegt) die Kontrollumgebung und die Sicherheitspraktiken von SAP im Hinblick auf die im Rahmen dieser Vereinbarung für den Auftraggeber verarbeiteten personenbezogenen Daten prüfen; dies kann ein Mal in einem Zeitraum von zwölf (12) Monaten unter vorheriger schriftlicher Ankündigung (mindestens 60 Tage; es sei denn, eine Datenschutzbehörde verlangt die frühere Kontrolle durch den Auftraggeber nach dem geltenden Datenschutzgesetz) und unter zumutbaren Bedingungen hinsichtlich der Zeit, des Ortes und der Vorgehensweise erfolgen. 5.3 Des Weiteren kann (i) nach einem in Abschnitt 2.6 beschriebenen Ereignis oder (ii) wenn der Auftraggeber oder eine andere verantwortliche Stelle Grund zu der Annahme hat, dass SAP ihren Verpflichtungen gemäß dieser Anlage nicht nachkommt, oder (iii) wenn eine weitere Prüfung durch die Datenschutzbehörde des Auftraggebers oder einer anderen verantwortlichen Stelle gefordert wird, der Auftraggeber (oder an seiner Stelle ein unabhängiger externer Prüfer, der den in der Vereinbarung festgelegten Geheimhaltungsverpflichtungen unterliegt) die Kontrollumgebung und die Sicherheitspraktiken von SAP im Hinblick auf die im Rahmen dieser Vereinbarung für den Auftraggeber verarbeiteten personenbezogenen Daten gemäß dem geltenden Datenschutzgesetz prüfen. 5.4 SAP unterstützt den Auftraggeber in zumutbarer Weise bei diesen Verifizierungsprozessen und stellt ihm die erforderlichen Informationen zur Verfügung. Der Auftraggeber trägt jegliche Kosten (einschließlich für die internen Ressourcen von SAP, basierend auf den zum jeweiligen Zeitpunkt geltenden Tagessätzen für professionelle Beratungsleistungen (Professional Services) gemäß der SAP-Preisliste) für Leistungen von SAP, die einen Zeitaufwand von 4 Stunden im Jahr überschreiten. Begriffsbestimmungen Bestimmte in diesem Anhang hervorgehobene Begriffe, wie Verbundene Unternehmen, Vereinbarung, Auftraggeber, Definierter Nutzer (auch als Nutzer oder Berechtigter Nutzer bezeichnet), Order Form oder Service haben jeweils die in der Vereinbarung beschriebene Bedeutung. Rechenzentrum bezeichnet den Standort, an dem die Produktivinstanz der Cloud Services für den Auftraggeber in seiner Region gehostet wird (siehe: oder den Standort, der dem Auftraggeber mitgeteilt wurde oder der in einer Order Form vereinbart wurde. Verantwortliche Stelle hat die Bedeutung, die im geltenden Datenschutzgesetz für diesen Begriff festgelegt wurde. Datenexporteur im Sinne der Standardvertragsklauseln bezeichnet den in der Order Form genannten Auftraggeber oder dessen verantwortliche Stelle(n). Datenimporteur im Sinne der Standardvertragsklauseln bezeichnet die entsprechende Nicht-EU-Entität. SAP Confidential Page 3 of 7

4 Datenverarbeiter hat die im geltenden Datenschutzgesetz für diesen Begriff festgelegte Bedeutung. Datenschutzgesetz bezeichnet die Gesetzgebung zum Schutz der Grundrechte und Freiheiten von Personen und insbesondere deren Recht auf Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten durch einen Datenverarbeiter im EWR bzw. die entsprechende Gesetzgebung in dem Land, in dem sich der Standort des Rechenzentrums befindet. SAP kann in einer Order Form der Einhaltung weiterer zwingender Datenschutzgesetze zustimmen, die für SAP als Datenverarbeiter gelten, wenn und soweit dies vereinbart wurde. Betroffener bezeichnet eine bestimmte oder bestimmbare natürliche oder juristische Person (gemäß der Definition im geltenden Datenschutzgesetz). EWR bezeichnet den Europäischen Wirtschaftsraum. Nicht-EU-Entität bezeichnet eine SAP-Entität oder einen einbezogenen Unterauftragsverarbeiter in einem Land, das keinen ausreichenden Datenschutz im Sinne der Gesetze und Vorschriften der EU gewährleistet. Personenbezogene Daten hat die gleiche Bedeutung wie im Datenschutzgesetz; in dieser Anlage sind darunter nur diejenigen personenbezogenen Daten zu verstehen, die vom Auftraggeber oder dessen Definierten Nutzern im Service oder durch dessen Nutzung erfasst oder SAP oder ihren Unterauftragsverarbeitern bereitgestellt werden oder auf die SAP oder ihre Unterauftragsverarbeiter zugreifen, um den Support gemäß der Vereinbarung zu erbringen. Personenbezogene Daten sind eine Teilmenge der Auftraggeberdaten, und der Begriff wird hier verwendet, wenn ein Datenschutzgesetz in Anwendung zu bringen ist. SAP bezeichnet die SAP-Entität, die als Partei der Order Form auftritt. Sicherheitsverletzungen sind jegliche Tätigkeiten oder Unterlassungen von SAP oder deren Unterauftragsverarbeitern, die eine nicht genehmigte Offenlegung personenbezogener Daten zur Folge haben, was einen Verstoß gegen die im Anhang 2 beschriebenen Maßnahmen bedeutet, oder ähnliche Vorfälle, bei denen die verantwortliche Stelle nach dem Gesetz verpflichtet ist, den Betroffenen oder die zuständige Datenschutzbehörde zu benachrichtigen. Standardvertragsklauseln bezeichnet die Standardvertragsklauseln (Auftragsverarbeiter) auf der Grundlage des Kommissionsbeschlusses vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß der Richtlinie 95/46/EG (bekannt gegeben unter Aktenzeichen K(2010) 593) bzw. nachfolgenden von der Kommission veröffentlichten Versionen dieser Richtlinie (die automatisch gelten), einschließlich der hier angefügten Anhänge 1 und 2. Unterauftragsverarbeiter im Sinne der Standardvertragsklauseln und dieser Anlage bezeichnet die Verbundenen Unternehmen von SAP und die externen Unterauftragsverarbeiter, die von SAP oder deren Verbundenen Unternehmen gemäß Abschnitt 3 beauftragt werden. SAP Confidential Page 4 of 7

5 ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN UND ZUR ANLAGE Die Parteien können in einer Order Form oder in der Ergänzung weitere Details festlegen, wenn dies erforderlich ist oder die folgende Beschreibung vom Auftraggeber geändert wurde. Datenexporteur Datenexporteur: Der Datenexporteur bezieht bestimmte SAP Cloud Services, die den Definierten Nutzern ermöglichen, personenbezogene Daten gemäß der Vereinbarung zu erfassen, zu ändern, zu löschen oder anderweitig zu verarbeiten. Datenimporteur Datenimporteur: SAP und ihre Unterauftragsverarbeiter stellen bestimmte Cloud-Services bereit, zu denen insbesondere das Hosten des Service und die Bereitstellung von technischem Support für den Auftraggeber, dessen Verbundene Unternehmen und deren jeweilige Definierte Nutzer gemäß dieser Vereinbarung gehören. Betroffene Die übermittelten personenbezogenen Daten beziehen sich auf die folgenden Kategorien von Betroffenen: Zu den Betroffenen können Mitarbeiter, Subunternehmer, Geschäftspartner oder sonstige Personen gehören, deren personenbezogene Daten im Service gespeichert werden, sofern nicht anders durch den Datenexporteur angegeben. Datenkategorien Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Der Auftraggeber bestimmt die Kategorien von Daten pro bezogenem Service. Die Datenfelder von Auftraggebern können als Teil der Implementierung des Service oder wie anderweitig im Service zulässig konfiguriert werden. Die übermittelten personenbezogenen Daten lassen sich in der Regel einer (oder einer Teilmenge) der folgenden Datenkategorien zuordnen: Name, Telefonnummer, -Adresse, Zeitzone, Anschrift, Systemzugriff/-nutzung/- Berechtigungsdaten, Name des Unternehmens, Vertragsdaten, Rechnungsdaten und anwendungsspezifische Daten, die von den Definierten Nutzern des Auftraggebers im Service erfasst werden, einschließlich Bankkontendaten sowie Kredit- oder Debitkartendaten. Besondere Datenkategorien (falls zutreffend) Die übermittelten personenbezogenen Daten lassen sich den folgenden besonderen Datenkategorien zuordnen: Wie vom Auftraggeber angegeben. Verarbeitungsvorgänge Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen: Verwendung von personenbezogenen Daten, um den Service bereitzustellen und dem technischen Support Hilfestellung zu bieten Speicherung von personenbezogenen Daten in speziellen Service-Rechenzentren (Multi-Tenant-Architektur) Upload von Patches, Updates, Upgrades/neuen Releases in den Service Erstellen von Sicherungskopien von personenbezogenen Daten Rechnergestützte Verarbeitung von personenbezogenen Daten, einschließlich Datenübertragung, Abruf von Daten, Zugang zu Daten Netzwerkzugang, um bei Bedarf die Übertragung von personenbezogenen Daten zu ermöglichen SAP Confidential Page 5 of 7

6 ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN UND ZUR ANLAGE Wie in der entsprechenden Order Form oder Ergänzung festgelegt, unterliegen einige Services unterschiedlichen Bedingungen hinsichtlich des technischen Supports. In allen anderen Fällen gilt die durch den Datenimporteur für personenbezogene Daten in Übereinstimmung mit den Klauseln 4(d) und 5(c) festgelegte Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen: 1. Technische und organisatorische Maßnahmen In den folgenden Abschnitten werden die aktuellen Sicherheitsmaßnahmen von SAP definiert. SAP kann diese Maßnahmen jederzeit unangekündigt ändern, solange die Sicherheitsstufe vergleichbar oder höher ist. Dies kann bedeuten, dass einzelne Maßnahmen durch neue Maßnahmen, die denselben Zweck erfüllen, ersetzt werden, ohne dass die Sicherheitsstufe verringert wird. 1.1 Zutrittskontrolle: Unbefugten muss der physische Zugang zu Einrichtungen, Gebäuden und Räumlichkeiten verwehrt werden, in denen sich Datenverarbeitungssysteme befinden, die personenbezogene Daten verarbeiten. Für alle Rechenzentren gelten strenge Sicherheitsmaßnahmen, die u. a. durch Wachpersonal, Überwachungskameras, Bewegungsmelder und Zugangskontrollmechanismen unterstützt werden, um Anlagen und Einrichtungen von Rechenzentren vor dem Zugriff Unbefugter zu schützen. Zu den Systemen und zur Infrastruktur der Rechenzentren hat ausschließlich autorisiertes Personal Zugang. Um die ordnungsgemäße Funktion zu gewährleisten, werden Sicherheitsgeräte (Bewegungssensoren, Kameras usw.) in regelmäßigen Abständen gewartet. Im Einzelnen werden in allen Rechenzentren die folgenden physischen Sicherheitsmaßnahmen getroffen: SAP schützt Gebäude durch angemessene Maßnahmen basierend auf einer Sicherheitseinstufung der Gebäude durch eine interne Sicherheitsabteilung. Im Allgemeinen sind Gebäude durch Zugangskontrollsysteme (Zugangssysteme mit Chipkarte) gesichert. Als Mindestanforderung muss die äußere Hülle eines Gebäudes mit einer zertifizierten Schließanlage ausgestattet sein, einschließlich einer modernen, aktiven Schlüsselverwaltung. Abhängig von der Sicherheitseinstufung werden Gebäude, einzelne Bereiche und das umliegende Gelände durch weitere Maßnahmen geschützt. Dazu gehören spezielle Zutrittsprofile, Videoüberwachung, Einbruchmeldeanlagen und biometrische Zutrittskontrollsysteme. Die Vergabe der Zutrittsrechte an die berechtigten Personen erfolgt auf individueller Basis gemäß den Maßnahmen zur System- und Datenzugriffskontrolle (siehe folgende Abschnitte 1.2 und 1.3). Dies gilt auch für den Zutritt von Besuchern. Gäste und Besucher in SAP- Gebäuden müssen sich namentlich an der Rezeption anmelden und von autorisiertem SAP-Personal begleitet werden. SAP sowie alle von Dritten betriebenen Rechenzentren protokollieren die Namen und Uhrzeiten von Personen, die die nicht öffentlichen Bereiche von SAP innerhalb der Rechenzentren betreten. SAP-Mitarbeiter und externes Personal müssen ihre ID-Karte an allen SAP-Standorten tragen. 1.2 Systemzugriffskontrolle: Datenverarbeitungssysteme, die zur Bereitstellung des Cloud Service genutzt werden, sind vor der nicht autorisierten Nutzung zu schützen. Die Gewährung des Zugriffs auf sensible Systeme, einschließlich der Systeme zur Speicherung und Verarbeitung personenbezogener Daten, erfolgt über mehrere Berechtigungsstufen. Durch entsprechende Prozesse wird gewährleistet, dass die dazu berechtigten Nutzer über die jeweilige Berechtigung zum Hinzufügen, Löschen oder Ändern von Nutzern verfügen. Alle Nutzer greifen über eine eindeutige ID (Benutzerkennung) auf die SAP-Systeme zu. SAP hat Verfahren eingerichtet, die gewährleisten, dass angeforderte Änderungen an Berechtigungen nur in Übereinstimmung mit den Richtlinien durchgeführt werden (beispielsweise werden keine Rechte ohne entsprechende Berechtigung erteilt). Wenn ein Benutzer das Unternehmen verlässt, werden diese Zugriffsrechte aufgehoben. SAP hat eine Kennwortrichtlinie festgelegt, die die Weitergabe von Kennwörtern untersagt, regelt, wie vorzugehen ist, wenn ein Kennwort offengelegt wird und erfordert, dass Kennwörter regelmäßig geändert und vorgegebene Kennwörter geändert werden. Zur Authentifizierung werden personalisierte Benutzerkennungen zugewiesen. Alle Kennwörter müssen bestimmte Mindestbedingungen erfüllen und werden in verschlüsselter Form gespeichert. Im Fall von Domänenkennwörtern erzwingt das System alle sechs Monate eine Änderung des Kennworts, das den Anforderungen an komplexe Kennwörter entsprechen muss. Jeder Computer verfügt über einen passwortgeschützten Bildschirmschoner. Das Unternehmensnetzwerk ist durch Firewalls vor dem öffentlichen Netzwerk geschützt. SAP verwendet Virenscanner an den Übergängen zum Firmennetz (für -Konten), sowie auf allen Fileservern und auf allen Einzelplatzcomputern. Ein Sicherheitspatch-Management gewährleistet die Anwendung entsprechender Sicherheits-Updates. Der vollständige Zugriff auf das SAP-Firmennetzwerk und die kritische Infrastruktur ist durch eine strenge Authentifizierung geschützt. 1.3 Datenzugriffskontrolle: Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, erhalten Zugriff auf nur die personengebundenen Daten, für die sie Zugriffsrechte besitzen, und personengebundene Daten dürfen bei der Verarbeitung, Nutzung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Der Zugriff auf persönliche, vertrauliche oder sensible Informationen wird nur bei entsprechender Notwendigkeit gewährt ( Need-to-know - Prinzip). Mit anderen Worten, Mitarbeiter oder Dienstleister erhalten lediglich Zugriff auf die Informationen, die sie zur Erledigung ihrer Arbeitsaufgabe benötigen. SAP verwendet Berechtigungskonzepte, die dokumentieren, wie Berechtigungen zugewiesen werden und welche Berechtigungen zugewiesen werden. Sämtliche personenbezogenen, vertraulichen und sonstigen sensiblen Daten werden gemäß den SAP- Sicherheitsrichtlinien und -standards geschützt. Alle produktiven Server werden in entsprechenden Rechenzentren bzw. Serverräumen betrieben. Die Sicherheitsmaßnahmen zum Schutz der Anwendungen zur Verarbeitung personenbezogener, vertraulicher und sonstiger sensibler Daten werden in regelmäßigen Abständen geprüft. Dazu führt SAP interne und externe Sicherheitsüberprüfungen und Penetrationstests der IT-Systeme durch. SAP untersagt die Installation persönlicher oder anderer Software, die nicht von SAP genehmigt ist auf Systemen, die für Cloud Services genutzt werden. Das Löschen und die Vernichtung von Daten und Datenträgern werden durch einen SAP-Sicherheitsstandard geregelt. SAP Confidential Page 6 of 7

7 1.4 Datenübertragungskontrolle: Personenbezogene Daten dürfen während der Übertragung nicht ohne Genehmigung gelesen, kopiert, modifiziert oder entfernt werden. Beim physischen Transport von Datenträgern müssen geeignete Maßnahmen getroffen werden, um die vereinbarten Service-Level zu gewährleisten (z. B. Verschlüsselung, mit Blei ausgekleidete Behälter). Personenbezogene Daten sind, wie auch andere vertrauliche Daten, gemäß der SAP-Sicherheitsrichtlinie bei der Übertragung über interne SAP- Netzwerke geschützt. Im Hinblick auf die Übertragung der Daten zwischen SAP und ihren Auftraggebern werden die Sicherheitsmaßnahmen für die übertragenen personenbezogenen Daten von den Parteien vereinbart und werden zum Vereinbarungsbestandteil. Dies gilt sowohl für die physische als auch für die netzwerkbasierte Datenübertragung. In jedem Fall übernimmt der Auftraggeber die Verantwortung für die Datenübertragung ab dem Übergabepunkt von SAP (z. B. ausgehende Firewall des SAP-Rechenzentrums, das den Cloud Service hostet). 1.5 Dateneingabekontrolle: Es wird die Möglichkeit geschaffen, im Nachhinein zu untersuchen und festzustellen, ob und von wem bei SAP personenbezogene Daten erfasst, modifiziert oder aus den zur Bereitstellung des Cloud Service genutzten Datenverarbeitungssystemen entfernt wurden. SAP erlaubt ausschließlich autorisierten Personen im Rahmen Ihrer Arbeitsaufgabe, auf personenbezogene Daten zuzugreifen. SAP implementiert ein Protokollierungssystem für das Erfassen, Ändern und Löschen oder Sperren personenbezogener Daten durch SAP oder ihre Unterauftragsverarbeiter im größten vom Cloud Service unterstützten Umfang. 1.6 Auftragskontrolle: Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen ausschließlich in Übereinstimmung mit der Vereinbarung und den diesbezüglichen Anweisungen des Auftraggebers verarbeitet werden. SAP nutzt Kontrollen und Verfahren, um die Einhaltung der Verträge zwischen SAP und ihren Kunden, Unterauftragsverarbeitern oder anderen Serviceanbietern zu gewährleisten. Im Rahmen der SAP-Sicherheitsrichtlinie erfordern Auftraggeberdaten zumindest den gleichen Schutz wie vertrauliche Informationen im Sinne des SAP-Informationsklassifizierungsstandards. Sämtliche SAP-Mitarbeiter und Vertragspartner werden vertraglich verpflichtet, die Geheimhaltungspflicht in Bezug auf alle sensiblen Informationen einschließlich Geschäftsgeheimnissen von SAP-Kunden und -Partnern einzuhalten. 1.7 Verfügbarkeitskontrolle: Personenbezogene Daten sind vor versehentlicher oder nicht autorisierter Vernichtung oder Verlust zu schützen. SAP verfügt über Backup-Prozesse und weitere Maßnahmen, um die Verfügbarkeit geschäftskritischer Systeme bei Bedarf kurzfristig wiederherzustellen. SAP verwendet unterbrechungsfreie Stromversorgungen (USV, Batterien, Generatoren usw.), um die Stromversorgung für die Rechenzentren sicherzustellen. SAP hat Eventualfallpläne sowie Business- und Desaster-Recovery-Strategien für die Cloud Services ausgearbeitet. Notfallprozesse und -systeme werden regelmäßig getestet. 1.8 Datentrennungskontrolle: Personenbezogene Daten, die für unterschiedliche Zwecke erfasst werden, können getrennt verarbeitet werden. SAP nutzt die technischen Möglichkeiten der implementierten Software (z. B. Multi-Tenancy- oder getrennte Systemlandschaften), um die Trennung der personenbezogenen Daten einzelner Auftraggeber zu gewährleisten. SAP richtet dedizierte Instanzen für jeden Auftraggeber ein. Die Auftraggeber (einschließlich ihrer Verbundenen Unternehmen) haben ausschließlich auf ihre eigene(n) Instanz(en) Zugriff. 1.9 Datenintegritätskontrolle Die Datenintegritätskontrolle gewährleistet, dass personenbezogene Daten während der Verarbeitungsaktivitäten unversehrt, vollständig und aktuell bleiben. SAP hat zum Schutz vor Änderungen eine mehrere Schichten umfassende Sicherheitsstrategie umgesetzt. Dies bezieht sich auf die in den obigen Abschnitten zu Kontrollen und Maßnahmen beschriebenen Kontrollen. Im Einzelnen handelt es sich um: Firewalls Security Monitoring Center Antivirensoftware Erstellen von Sicherungskopien und Wiederherstellung Externe und interne Penetrationstests Regelmäßige Prüfung der Sicherheitsmaßnahmen durch externe Prüfer SAP Confidential Page 7 of 7

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

SaaS. Geschäftspartnervereinbarung

SaaS. Geschäftspartnervereinbarung SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

(Übersetzung) Die Österreichische Bundesregierung und die Regierung der Republik Estland (im Weiteren die Parteien genannt) -

(Übersetzung) Die Österreichische Bundesregierung und die Regierung der Republik Estland (im Weiteren die Parteien genannt) - BGBl. III - Ausgegeben am 14. Jänner 2010 - Nr. 6 1 von 6 (Übersetzung) ABKOMMEN ZWISCHEN DER ÖSTERREICHISCHEN BUNDESREGIERUNG UND DER REGIERUNG DER REPUBLIK ESTLAND ÜBER DEN AUSTAUSCH UND GEGENSEITIGEN

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9 BDSG Technische

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Allgemeine Nutzungsbedingungen für das Forum unter ebilanzonline.de

Allgemeine Nutzungsbedingungen für das Forum unter ebilanzonline.de Allgemeine Nutzungsbedingungen für das Forum unter ebilanzonline.de Stand: 28. April 2014 1. Geltungsbereich Für die Nutzung des Forums unter www.ebilanz-online.de, im Folgenden Forum genannt, gelten die

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

Nutzungsbestimmungen. Online Exportgarantien

Nutzungsbestimmungen. Online Exportgarantien Nutzungsbestimmungen Online Exportgarantien November 2013 1 Allgemeines Zwischen der Oesterreichischen Kontrollbank Aktiengesellschaft (nachfolgend "OeKB") und dem Vertragspartner gelten die Allgemeinen

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Broker HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon: +41 44 265 47

Mehr

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer 1. Gegenstand und Dauer des Auftrages Der Auftragnehmer übernimmt vom Auftraggeber

Mehr

amtliche bekanntmachung

amtliche bekanntmachung Nr. 908 13. März 2012 amtliche bekanntmachung Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität Bochum (RUBiKS) vom 16. Januar 2012 Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität

Mehr

Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie?

Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie? Europäischer Datenschutzbeauftragter Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie? Europäischer Datenschutzbeauftragter EDSB - Informationsblatt 1 Täglich werden bei der

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

XQueue GmbH Datenschutzkonzept XQ:Campaign

XQueue GmbH Datenschutzkonzept XQ:Campaign XQueue GmbH Datenschutzkonzept XQ:Campaign 2002-2014 XQueue GmbH. Alle Rechte vorbehalten. Diese Dokumentation darf ohne vorherige schriftliche Genehmigung durch die XQueue GmbH weder teilweise noch ganz

Mehr

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und Kontrollvereinbarung datiert [Datum] zwischen [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und SIX SIS AG, Baslerstrasse 100, 4601 Olten (UID:

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV Artikel 1. Definitionen In diesem Datenschutzreglement werden die folgenden nicht standardmäßigen Definitionen verwendet:

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie ICELT-Datenschutzrichtlinie ICELT e.v. An der Ziegelei 2 D-37124 Rosdorf Tel: +49 (0)551 / 30 66 288-0 Fax: +49 (0)551 / 30 66 288-9 E-Mail:

Mehr

Vertrag über die Nutzung einer Online-Unternehmenssoftware

Vertrag über die Nutzung einer Online-Unternehmenssoftware Vertrag über die Nutzung einer Online-Unternehmenssoftware zwischen der Collmex GmbH, Lilienstr. 37, 66119 Saarbrücken, eingetragen im Handelsregister des Amtsgerichts Saarbrücken unter Nr. HRB 17054,

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

DEPOTABKOMMEN. 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, der Bank,. mit Sitz in, nachfolgend die Bank. 2.

DEPOTABKOMMEN. 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, der Bank,. mit Sitz in, nachfolgend die Bank. 2. DEPOTABKOMMEN Das vorliegende Depotabkommen wird abgeschlossen zwischen: 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, und der Bank,. mit Sitz in, nachfolgend die Bank.

Mehr

Datenschutzerklärung für RENA Internet-Auftritt

Datenschutzerklärung für RENA Internet-Auftritt Datenschutzerklärung für RENA Internet-Auftritt Vielen Dank für Ihr Interesse an unserem Internetauftritt und unserem Unternehmen. Wir legen großen Wert auf den Schutz Ihrer Daten und die Wahrung Ihrer

Mehr

Datenschutzerklärung von SL-Software

Datenschutzerklärung von SL-Software Datenschutzerklärung von SL-Software Software und Büroservice Christine Schremmer, Inhaberin Christine Schremmer, Odenwaldring 13, 63500 Seligenstadt (nachfolgend SL-Software bzw. Wir genannt) ist als

Mehr

V 1.3. Stand: 15.09.2014

V 1.3. Stand: 15.09.2014 Datenschutz der V 1.3 Stand: 15.09.2014 Seite 1 von 5 Datenschutz der Präambel Personal-Planer.de verpflichtet sich, Ihre Privatsphäre und Ihre persönlichen Daten zu schützen. Ihre personenbezogenen Daten

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

BayerONE. Allgemeine Nutzungsbedingungen

BayerONE. Allgemeine Nutzungsbedingungen BayerONE Allgemeine Nutzungsbedingungen INFORMATIONEN ZU IHREN RECHTEN UND PFLICHTEN UND DEN RECHTEN UND PFLICHTEN IHRES UNTERNEHMENS SOWIE GELTENDE EINSCHRÄNKUNGEN UND AUSSCHLUSSKLAUSELN. Dieses Dokument

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz)

Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz) Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz) Die Heintzmann-Gruppe (nachfolgend -Heintzmann- genannt) legt großen Wert auf den Schutz Ihrer Daten

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.

Mehr

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06. Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.2015) / / Öffentlich-rechtliche Vereinbarung über die Bereitstellung

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG

Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG (die Vereinbarung ) zwischen dem Endkunden -Auftraggeber- und Freespee AB Villavägen 7 75236 Uppsala Schweden -Auftragnehmer- gemeinsam oder einzeln

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Angenommen am 14. April 2005

Angenommen am 14. April 2005 05/DE WP 107 Arbeitsdokument Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien Angenommen

Mehr

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Rinteln

Mehr

Inhaltsverzeichnis. 1. Einleitung. 2. Datenschutz. 2.1. Rechtlicher Rahmen. 3. Informationssicherheit. 3.1. Physikalische Sicherheit

Inhaltsverzeichnis. 1. Einleitung. 2. Datenschutz. 2.1. Rechtlicher Rahmen. 3. Informationssicherheit. 3.1. Physikalische Sicherheit Sicherheit & Datenschutz Inhaltsverzeichnis 1. Einleitung 2. Datenschutz 2.1. Rechtlicher Rahmen 2.2. Umgang mit personenbezogenen Daten auf von edudip betriebenen Internetseiten 3. Informationssicherheit

Mehr

Vereinbarung über die Veränderung des Verfahrens der Rechnungsstellung

Vereinbarung über die Veränderung des Verfahrens der Rechnungsstellung Vendor-Nummer: Dealpoint Nummer dieser Vereinbarung über die Änderung des Verfahrens der Rechnungsstellung: Vereinbarung über die Veränderung des Verfahrens der Rechnungsstellung [bitte einfügen] Diese

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Appenweierer Str. 54 77704 Oberkirch und (Stempel) nachfolgend Vertragspartner genannt Seite 1 von 5 1. Zielsetzung und Geltungsbereich

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und EWR Netze GmbH Friedrichstr.

Mehr

Datenschutzrichtlinie der SCALTEL AG

Datenschutzrichtlinie der SCALTEL AG Datenschutzrichtlinie der SCALTEL AG SCALTEL AG Buchenberger Str. 18 87448 Waltenhofen Telefon: 0831 540 54-0 Telefax: 0831 540 54-109 datenschutz@scaltel.de - nachfolgend SCALTEL AG genannt - Vertretungsberechtigter

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Konstanz GmbH

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Homburg GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Bebra GmbH, Wiesenweg 1,36179 Bebra. (Name, Adresse) und. (Name, Adresse) - nachfolgend die Vertragspartner genannt Seite 1

Mehr

Leitlinien und Empfehlungen

Leitlinien und Empfehlungen Leitlinien und Empfehlungen Leitlinien und Empfehlungen zum Geltungsbereich der CRA-Verordnung 17. Juni 2013 ESMA/2013/720. Datum: 17. Juni 2013 ESMA/2013/720 Inhalt I. Geltungsbereich 4 II. Zweck 4 III.

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr