Auftrag gemäß 11 DSG-EKD

Transkript

1 Auftrag gemäß 11 DSG-EKD Vereinbarung zwischen dem / der - nachstehend Auftraggeber genannt - und dem / der.. - nachstehend Auftragnehmer genannt - 1. Gegenstand und Dauer des Auftrags Gegenstand des Auftrags Der Gegenstand des Auftrags ergibt sich aus der Leistungsvereinbarung / SLA /... vom..., auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung). Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer: (Definition der Aufgaben) Dauer des Auftrags Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinba- rung. (insbesondere, falls keine Leistungsvereinbarung zur Dauer besteht) Der Auftrag wird zur einmaligen Ausführung erteilt. Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum...

2 Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von... zum... gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt. 2. Konkretisierung des Auftragsinhalts Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung von Daten Umfang, Art und Zweck der Erhebung, Verarbeitung und / Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Leistungsvereinbarung vom... Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben des Auftragnehmers:... Die Erhebung, Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland in einem Mitgliedsstaat der Europäischen Union statt. Art der Daten Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben unter:... Gegenstand der Erhebung, Verarbeitung und / Nutzung personenbezogener Daten sind folgende Datenarten / -kategorien (Aufzählung / Beschreibung der Datenkategorien) Personenstammdaten Kommunikationsdaten (z.b. Telefon, ) Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse) Kundenhistorie Vertragsabrechnungs- und Zahlungsdaten Planungs- und Steuerungsdaten Auskunftsangaben (von Dritten, z.b. Auskunfteien, aus öffentlichen Verzeichnis- sen)... Kreis der Betroffenen Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen ist in der Leistungsvereinbarung konkret beschrieben unter:... 2

3 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst (Aufzählung / Beschreibung der betroffenen Personenkategorien): Kunden Interessenten Abonnenten Beschäftigte i. S. d. 2 Abs. 13 DSG-EKD Lieferanten Handelsvertreter Ansprechpartner Technisch-organisatorische Maßnahmen Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Der Auftragnehmer erklärt verbindlich, dass bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten des Auftraggebers folgende technische und organisatorische Maßnahmen im Sinne der Anlage zu 9 DSG-EKD getroffen werden: -Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet genutzt werden, zu verwehren. -Zugangskontrolle: es wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. -Zugriffskontrolle: es wird gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert entfernt werden können. - Weitergabekontrolle: es wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung während ihres Transports ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine 3

4 Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. - Eingabekontrolle: es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert entfernt worden sind. - Auftragskontrolle: es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. - Verfügbarkeitskontrolle: es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung Verlust geschützt sind. - Trennungskontrolle: es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Der Auftraggeber ist gemäß 11 Absatz 3 Satz 3 DSG-EKD verpflichtet, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Die Ergebnisse sind zu dokumentieren. Hinsichtlich dieser Kontroll- und Dokumentationspflicht des Auftraggebers ist der Auftragnehmer in dem erforderlichen Maße mitwirkungspflichtig. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrages von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 DSG-EKD nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten Berichtauszügen unabhängiger Instanzen (z.b. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) einer geeigneten Zertifizierung durch IT-Sicherheits- Datenschutzaudit erbracht werden. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren 4. Berichtigung, Sperrung und Löschung von Daten Der Auftragnehmer verpflichtet sich die Daten, die im Auftrag erhoben, verarbeitet und genutzt werden, nach Weisung des Auftraggebers zu berichtigen, zu löschen zu sperren. Der Auftragnehmer verpflichtet sich, vor Beginn der Datenerhebung, -verarbeitung - nutzung die erforderlichen Maßnahmen zu treffen, um sicherzustellen, dass einzelne Datensätze berichtigt, gesperrt gelöscht werden können. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. 4

5 5. Sonstige Pflichten des Auftragnehmers Der Auftragnehmer verpflichtet sich, die Bestimmungen des kirchlichen Datenschutzrechts einzuhalten. Er unterstellt sich der Kontrolle durch den Datenschutzbeauftragten der Evangelisch-Lutherischen Kirche in Norddeutschland. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das DSG-EKD andere Vorschriften über den Datenschutz verstößt, hat er den Aufraggeber unverzüglich darauf hinzuweisen. Insbesondere verpflichtet sich der Auftragnehmer zur Wahrung des Datengeheimnisses gemäß 6 DSG- EKD, alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis zu verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungsbzw. Zweckbindung zu belehren. Der Auftraggeber ist jederzeit berechtigt, die Einhaltung der Vorschriften des DSG-EKD sowie die ergänzenden landeskirchlichen Bestimmungen in dem erforderlichen Umfang selbst durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in gespeicherte Daten und Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Hinsichtlich der Kontrollrechte des Auftraggebers ist der Auftragnehmer in dem erforderlichen Maße duldungs- bzw. mitwirkungspflichtig. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Nicht mehr erforderliche Daten sind beim Auftragnehmer unverzüglich zu löschen. 6. Unterauftragsverhältnisse Soweit bei der Verarbeitung Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden sollen, kann dies durch den Auftraggeber gestattet werden, wenn folgende Voraussetzungen vorliegen: Die Einschaltung von Unterauftragnehmern ist nur mit schriftlicher Zustimmung des Auftraggebers gestattet. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit Unterauftragnehmern so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des 11 DSG-EKD i.v.m. Nr. 6 der Anlage zu 9 DSG- EKD beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.b. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen ange- 5

6 messene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. 7. Kontrollrechte des Auftraggebers Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu 9 DSG-EKD vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach 11 Abs. 3 Satz 4 DSG- EKD vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 DSG-EKD und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten Berichtsauszügen unabhängiger Instanzen (z.b. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) einer geeigneten Zertifizierung durch IT- Sicherheits- Datenschutzaudit (z.b. nach BSI-Grundschutz) erbracht werden. 8. Mitteilungen des Auftragnehmers Der Auftragnehmer hat den Auftraggeber unverzüglich zu unterrichten, wenn durch ihn die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei besonderen Vorkommnissen wie z. B. technischen organisatorischen Störungen im Rahmen der vertragsgemäßen Verarbeitung Löschung der Daten unverzüglich zu benachrichtigen und die weitere Behandlung der Daten mit diesem abzustimmen. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird in diesem Zusammenhang alle Verantwortlichen unverzüglich darauf hinweisen, dass alle Eigentums- und sonstigen Verfügungsrechte an den Daten allein bei dem Auftraggeber liegen. 9. Weisungsbefugnis des Auftraggebers Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (vgl. 11 Abs. 4 Satz 1 DSG-EKD). Der Auftrag- 6

7 geber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich per (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend 11 Abs. 4 Satz 2 DSG-EKD zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt geändert wird. 10. Löschung von Daten und Rückgabe von Datenträgern Nach Abschluss der vertraglichen Arbeiten früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Zurückbehaltungsrecht steht dem Auftragnehmer gegenüber dem Auftraggeber nicht zu. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 11. Haftung Entstehen dem Auftraggeber einem Dritten durch Fehler in der Auftragsdatenverarbeitung durch den Einsatz fehlerhafter Hard- Software hierbei Schäden, so hat der Auftragnehmer dem Auftraggeber seine Schäden zu ersetzen und ihn von Schadensersatzansprüchen Dritter freizustellen. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt. 7

8 12. Kündigung Diese Vereinbarung kann bei Verstoß gegen ihre Bestimmungen fristlos gekündigt werden. Dieses Kündigungsrecht bezieht sich auch auf andere Vertragsverhältnisse zwischen Auftraggeber und Auftragnehmer, die die unter Nummer 1 dieser Vereinbarung konkretisierten Leistungspflichten des Auftragnehmers umfassen. 13. Salvatorische Klausel Sollte eine Bestimmung dieses Vertrages unwirksam sein werden, berührt dies die Wirksamkeit des Vertrages im Übrigen nicht. Die Vertragsparteien verpflichten sich, anstelle einer unwirksamen Bestimmung eine der Zielsetzung möglichst nahekommende wirksame Regelung zu treffen. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist. 14. Schriftformklausel Nebenabreden bestehen nicht. Änderungen Ergänzungen dieser Vereinbarung sind nur wirksam, wenn sie schriftlich vereinbart werden. Dies gilt auch für eine Änderung dieser Schriftformklausel. (Datum, Unterschrift Auftraggeber) (Datum, Unterschrift Auftragnehmer) 8