Datenschutzvereinbarung

Transkript

1 Zwischen nachstehend Leistungsnehmer genannt und Demal GmbH Sankt-Salvator-Weg Lauf a. d. Pegnitz nachstehend Leistungsgeberin genannt werden aufgrund 11 Bundesdatenschutzgesetz (BDSG) folgende Vereinbarungen geschlossen: 1. Anwendungsbereich Diese Vereinbarung regelt die datenschutzrechtlichen Rahmenbedingungen der Datenverarbeitung im Auftrag durch die Leistungsgeberin im Sinn des 11 BDSG. Die vorliegende Vereinbarung gilt für die gesamte Geschäftsbeziehung. 2. Gegenstand und Dauer des Auftrags Gegenstand und Dauer der Auftragsdatenverarbeitung ergeben sich aus den zugrunde liegenden Verträgen und Vereinbarungen und/oder aus dem Auftrag zur Fernwartung auf den Systemen des Leistungsnehmers durch die Leistungsgeberin. Auf dieser Grundlage verarbeitet die Leistungsgeberin personenbezogene Daten aus der Sphäre des Leistungsnehmers nach dessen Weisungen bzw. kann einen Zugriff auf diese personenbezogene Daten während ihrer Arbeiten nicht ausschließen. 3. Konkretisierung des Auftragsinhalts a) Umfang, Art und Zweck des Umgangs mit den personenbezogenen Daten durch die Leistungsgeberin ergibt sich aus dem Wesen der zugrundeliegenden Vereinbarungen (vgl. Ziff. 2a). b) Gegenstand der Datenerhebung, -verarbeitung und -nutzung sind alle personenbezogenen Daten, die in der von der Leistungsgeberin hergestellten Software oder in Systemen, auf die die Leistungsgeberin zugreifen kann, gespeichert sind. Betroffen davon sind demnach je nach Einzelfall vor allem die Daten von Mitarbeitern. c) Eine Verarbeitung und Nutzung der personenbezogenen Daten außerhalb der Zweckbestimmung des jeweiligen Vertrages ist der Leistungsgeberin nicht gestattet. Die Leistungsgeberin darf jedoch nach Rücksprache Arbeiten durchführen, die zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind (z. B. die Erstellung von Sicherheitskopien und die Durchführung von Migrationen im Rahmen technischer Weiterentwicklungen) sowie so mit den Daten umgehen, wie es im Hinblick auf die Einhaltung gesetzlicher Pflichten der Vertragspartner erforderlich ist

2 4. Technische und organisatorische Maßnahmen a) Beim Umgang mit personenbezogenen Daten haben sowohl Leistungsnehmer als auch Leistungsgeberin geeignete technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des 9 und Anlage zu 9 BDSG zu erfüllen. b) Die Vertragspartner haben sich im Vorfeld der Auftragsvergabe und vor der ersten Auftragsausführung über die getroffenen Maßnahmen und deren Wirksamkeit in geeigneter Weise abzustimmen sowie Kenntnis darüber zu verschaffen. Dies gilt insbesondere bezogen auf die konkrete Auftragsdurchführung. c) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist der Leistungsgeberin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. d) Die Leistungsgeberin stellt auf Anforderung und gegen Erstattung des Aufwands sowie im Rahmen der gesetzlichen Bestimmungen die Angaben nach 4g Absatz 2 Satz 1 BDSG zur Verfügung. e) Die allgemeinen, nicht auftragsspezifischen Maßnahmen sind in der Anlage zu dieser Vereinbarung beschrieben. Die Anlage ist Vertragsbestandteil dieser Vereinbarung. Änderungen, deren Auswirkungen unwesentlich für den Kontroll- und/oder Sicherheitszweck sind, führt die Leistungsgeberin durch und informiert den Leistungsnehmer hierzu auf Anfrage. Wesentliche Änderungen werden von der Leistungsgeberin dokumentiert und gemäß der oben aufgeführten Vereinbarungen mit dem Leistungsnehmer abgestimmt. 5. Berichtigung, Löschung und Sperrung von Daten a) Die Leistungsgeberin darf nur auf Weisung des Leistungsnehmers die personenbezogenen Daten, die sie im Rahmen des Auftrag erhebt, verarbeitet oder nutzt, berichtigen oder löschen oder sperren. b) Soweit ein Betroffener sich unmittelbar an die Leistungsgeberin zwecks Auskunft, Berichtigung, Sperrung oder Löschung seiner Daten wenden sollte, wird die Leistungsgeberin dieses Ersuchen an den Leistungsnehmer weiterleiten. 6. Datenschutzkontrolle und weitere Pflichten a) Die Vertragsparteien bestellen jeweils, soweit gesetzlich vorgeschrieben, einen betrieblichen Datenschutzbeauftragten. b) Die Leistungsgeberin verpflichtet alle ihre Beschäftigten, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, auf das Datengeheimnis entsprechend 5 BDSG. c) Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entspricht 9 BDSG und dessen Anlage. d) Über Kontrollhandlungen, Ermittlungen und Maßnahmen der Aufsichtsbehörde nach 38, 43 oder 44 BDSG informiert die Leistungsgeberin den Leistungsnehmer unverzüglich. e) Die Leistungsgeberin verpflichtet sich, Auftragskontrollen durchzuführen. Sie führt dazu laufende Kontrollen der Verarbeitung sowie regelmäßige Prüfungen zu deren Einhaltung und Wirksamkeit durch. f) Die Leistungsgeberin weist dem Leistungsnehmer nach Aufforderung die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nach. 7. Unterauftragsverhältnisse a) Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Leistungsnehmers Unterauftragnehmer einbezogen werden sollen, wird dies durch den Leistungsnehmer genehmigt, solange die nachfolgenden Voraussetzungen eingehalten werden. b) Die vertraglichen Vereinbarungen mit Unterauftragnehmern sind schriftlich zu vereinbaren und so zu gestalten, dass sie den Datenschutzgesetzen und -bestimmungen im Vertragsverhältnis zwischen Leistungsnehmer und Leistungsgeberin entsprechen. Insbesondere die Einhaltung der unter Ziff. 6 aufgeführten Verpflichtungen ist zu gewährleisten. c) Bei der Unterbeauftragung sind dem Leistungsnehmer bzw. dessen dazu Beauftragten Kontroll- und Prüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 BDSG beim Unterauftragnehmer einzuräumen. 8. Kontrollrechte des Leistungsnehmers und Mitwirkungspflichten a) Die Leistungsgeberin räumt dem Leistungsnehmer und dessen Bevollmächtigten in Bezug auf die Einhaltung der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht, grundsätzlich nach vorheriger Ankündigung, ein. Die Leistungsgeberin verpflichtet sich, im Fall von Besichtigungen und Kontrollen durch den Leistungsnehmer, diesem die hierfür erforderliche Unterstützung zu leisten. b) Im Hinblick auf die Kontrollverpflichtungen des Leistungsnehmers nach 11 Absatz 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt die Leistungsgeberin sicher, - 2 -

3 dass sich der Leistungsnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist die Leistungsgeberin dem Leistungsnehmer auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen, wie sie in der Anlage zu 9 BDSG aufgeführt sind, nach. 9. Pflichten bei Datenschutzverstößen Die Vertragsparteien informieren sich gegenseitig zeitnah über Datenschutzverletzungen oder Verletzungen der in dieser Vereinbarung festgelegten Bestimmungen, die im Rahmen der Auftragserfüllung aufgetreten sind oder bei einer Ausführung möglicherweise auftreten werden. 10. Umfang der Weisungsbefugnisse a) Die Leistungsgeberin darf die zur Verfügung gestellten personenbezogenen Daten nur nach Maßgabe des zugrundeliegenden Auftrags und dieser sowie nach den rechtmäßigen Weisungen des Leistungsnehmers erheben, verarbeiten und nutzen. Der Leistungsnehmer besitzt ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung, welches er durch Einzelweisungen konkretisieren kann. Der Leistungsnehmer bleibt dabei für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz sowie die Rechtmäßigkeit der Datenweitergabe an die Leistungsgeberin verantwortlich. b) Auskünfte an Dritte oder an die Betroffenen erteilt die Leistungsgeberin nicht, sondern verweist auf den Leistungsnehmer. 11. Löschung der personenbezogenen Daten nach Beendigung des zugrundeliegenden Auftrags a) Spätestens nach Beendigung des Vertrags vernichtet die Leistungsgeberin sämtliche in ihrem Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzkonform. b) Dokumentationen und Daten, die dem Nachweis der auftrags- und/oder ordnungsgemäßen Datenverarbeitung dienen, sind durch die Leistungsgeberin entsprechend der jeweiligen gesetzlichen oder vertraglichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sie kann sie zu ihrer Entlastung bei Vertragsende dem Leistungsnehmer übergeben. 12. Schlussbestimmungen a) Änderungen und Ergänzungen dieser müssen schriftlich erfolgen. b) Die Regelungen dieser Vereinbarung gehen den datenschutzrechtlichen Regelungen in den Verträgen/Vereinbarungen nach Ziff. 2a im Zweifel vor. Dies gilt nicht für leistungsspezifische Regelungen bzw. konkrete Weisungen. Anlage: Technische und organisatorische Maßnahmen gemäß der Anlage zu 9 BDSG, den Lauf a. d. Pegnitz, den Unterschrift Leistungsnehmer Unterschrift Leistungsgeberin (Demal GmbH) - 3 -

4 Anlage zur (Stand: Juni 2013) Technische und organisatorische Maßnahmen gemäß der Anlage zu 9 BDSG 1. Zutrittskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass Unbefugten der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet werden, verwehrt wird: Zutritt zum Firmengebäude nur mit Schlüssel Dokumentation der Schlüsselvergabe Besucher bleiben in Begleitung berechtigter Personen 2. Zugangskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass Unbefugte an der Benutzung der Datenverarbeitungsanlagen gehindert werden: Nutzung individueller Logins mit Passwort Vorgaben zur Passwort-Vergabe automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität externer Zugang nur über sichere VPN-Verbindungen 3. Zugriffskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung, und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: Vergabe differenzierter Benutzerrechte Vergabe nach dem Need to know -Grundsatz Protokollierungen Verpflichtung aller Mitarbeiter auf das Datengeheimnis 4. Weitergabekontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträger aufgrund folgender Maßnahmen nicht unbefugt oder nicht zufällig gelesen, kopiert, verändert, gespeichert, zur Kenntnis genommen, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden können: Fernwartungstool mit Sitzungsverschlüsselung (derzeit 1024 Bit RSA/256 Bit AES) und Freigabe in jedem Einzelfall durch den Leistungsnehmer Datenübermittlung per getunnelten, verschlüsselten Datenverbindungen (VPN) Verschlüsselung von Daten auf Datenträgern (nach Anforderung) 5. Eingabekontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass es nachträglich möglich ist zu überprüfen und festzustellen, von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Regelung der Zugriffsrechte Vergabe individueller Zugangsdaten Fernwartung mit 4-Augen-Prinzip keine eigenmächtige Aufschaltung in die Systeme des Leistungsnehmers möglich Die Verarbeitung personenbezogener Daten des Leistungsnehmers ist auf die Mitarbeiter beschränkt, die die Dienstleitung für die Leistungsgeberin erbringen 6. Auftragskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Leistungsnehmers verarbeitet werden können: - 4 -

5 Auftragsdatenverarbeitung erfolgt meist über den Abschluss standardisierter Verträge, ansonsten über Einzelverträge. Die Verträge enthalten Regeln zu Datenschutz und Datensicherheit im Sinn des 11 BDSG mit Vorgaben zu den Rechten und Pflichten der Leistungsgeberin und des Leistungsnehmers. alle Arbeiten erfolgen nur aufgrund von Weisungen des Leistungsnehmers Mitarbeiter sind mit Datenschutzvorschriften vertraut und nach 5 BDSG verpflichtet 7. Verfügbarkeitskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen einen Schutz der personenbezogenen Daten gegen zufällige Zerstörung oder Verlust her: Speicher mit gespiegelter Datenhaltung regelmäßige Datensicherungen (Backups) mit externer Aufbewahrung Sicherung gegen Viren und Schädlinge durch Virenscanner Verwendung von Firewalls 8. Zwecktrennungsgebot Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Datenbestände werden generell nach ihrem unterschiedlichen Zwecken getrennt verarbeitet. Dies erfolgt je nach Anwendung logisch oder physikalisch auf unterschiedlichen Servern, in unterschiedlichen Datenbanken oder separaten Datenbanktabellen. Eine Trennung der Daten der unterschiedlichen Leistungsnehmer erfolgt mittels eindeutiger ID, so dass jeder Datensatz eindeutig dem Dateneigentümer zugeordnet werden kann