Datenschutz-Leitlinie

Transkript

1 Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: vom: Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport gültig ab: bis: TT.MM.JJJJ beschlossen durch: Vorstand am:

2 Datenschutz- Version: vom Inhaltsverzeichnis Inhalt 1 Zielsetzung Geltungsbereich Grundsatz Datenschutzrechtliche Konformität der Auftragsdatenverarbeitung Schriftliche Auftragserteilung Ordnungsmäßigkeit der Datenverarbeitung Unterauftragsverhältnisse Kontrollrechte Technisch-organisatorische Gestaltung Einsatz zertifizierter Produkte Technisch-organisatorische Maßnahmen Berechtigungskonzept IT-Grundschutzkonformität Sicherheitskonzept Freigabe Administration Berechtigungskonzept Revisionssichere Protokollierung Zugriff von entfernten Standorten Lesbarkeit Datenschutz- und Sicherheitsmanagement Behördlicher Datenschutzbeauftragter Sicherheitsmanagement Dokumentation Dokumentation Verfahrensverzeichnis Produktionsstätten Mit geltende Regelungen Schlussbestimmung / Inkrafttreten Änderungsverzeichnis... 9 Datenschutz- V1.7.0 Seite 2 von 9

3 Datenschutz- Version: vom Zielsetzung Die Datenschutz- beschreibt das Datenschutzniveau, welches Dataport bei der Datenverarbeitung im Auftrag unbeschadet abweichender Vereinbarungen im Einzelfall gewährleistet. 2 Geltungsbereich Die gilt für die Verarbeitung personenbezogener Daten durch Dataport im Kundenauftrag Grundsatz (1) Dataport verarbeitet die Daten der Kunden ausschließlich in deren Auftrag. (2) Dataport gewährleistet bei der Auftragsdatenverarbeitung die Konformität der Verarbeitungsprozesse mit den für Dataport auf Grund Gesetzes oder Vereinbarung geltenden datenschutzrechtlichen Vorschriften. (3) Der Kunde ist als Auftraggeber nach den datenschutzrechtlichen Vorschriften für die Rechtmäßigkeit der von ihm in Auftrag gegebenen Datenverarbeitung verantwortlich. (4) Diese Datenschutzgrundsätze gelten für personenbezogene Daten ebenso wie für andere schutzbedürftige Informationen der Kunden Dataports. 3.2 Datenschutzrechtliche Konformität der Auftragsdatenverarbeitung Schriftliche Auftragserteilung Aufträge sowie ergänzende Weisungen zu technischen und organisatorischen Maßnahmen an Dataport werden nur bearbeitet, wenn sie schriftlich, oder soweit dies rechtlich zulässig ist, in Textform festgelegt worden sind Ordnungsmäßigkeit der Datenverarbeitung Dataport erfüllt die Anforderungen an die Ordnungsmäßigkeit der im Kundenauftrag erfolgenden Verarbeitungsprozesse durch: 1. Verarbeitung der Daten ausschließlich nach den Weisungen des Auftraggebers, 2. Verarbeitung der Daten auf der Grundlage erstellter Sicherheitskonzepte, 3. den Einsatz von informationstechnischen Geräten und Software in der Produktion nach Test und Freigabe und 4. die Dokumentation der von Dataport eingesetzten automatisierten Verfahren Unterauftragsverhältnisse (1) Eine Datenverarbeitung im Unterauftrag erfolgt nur auf Grundlage einer ausdrücklichen schriftlichen Vereinbarung mit dem Auftraggeber unter Benennung des Unterauftragnehmers. Datenschutz- V1.7.0 Seite 3 von 9

4 Datenschutz- Version: vom (2) Wartungsarbeiten und andere technische Unterstützungsleistungen durch Dritte mit Zugriff auf personenbezogene Daten oder andere schutzbedürftige Informationen des Kunden erfolgen als Datenverarbeitung im Unterauftrag Kontrollrechte (1) Dem Auftraggeber wird das Recht eingeräumt, nach Vorankündigung während der Geschäftszeiten von Dataport sich durch Inaugenscheinnahme und sonstige Erhebungen davon zu überzeugen, dass die Verarbeitung der personenbezogenen Daten nur im Rahmen seiner Weisungen erfolgt. (2) Der Auftraggeber kann mit der Kontrolle auch Dritte beauftragen. (3) Die auf Grund des Hamburgischen Sicherheitsüberprüfungsgesetzes geltenden Zutrittsbeschränkungen zu Sicherheitsbereichen sind zu beachten, sofern die Kontrolle von Personen durchgeführt werden soll, die nicht entsprechend überprüft sind. 3.3 Technisch-organisatorische Gestaltung Einsatz zertifizierter Produkte Dataport wird, soweit es technisch, wirtschaftlich und qualitativ vertretbar ist, technische Produkte einsetzen, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit festgestellt worden ist Technisch-organisatorische Maßnahmen (1) Dataport hat die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlichen und angemessenen Maßnahmen getroffen. (2) Es ist insbesondere sichergestellt, dass 1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene und andere im Interesse des Kunden schutzwürdige Daten gespeichert sind, verwehrt ist, 2. verhindert wird, dass personenbezogene und andere im Interesse des Kunden schutzwürdige Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen, 3. gewährleistet wird, dass die die Daten verarbeitenden Personen, der Zeitpunkt und der Umfang der Datenverarbeitung festgestellt werden kann. (3) Die von Dataport umgesetzten technischen-organisatorischen Maßnahmen erfüllen die Anforderungen der Anlage zu 9 BDSG und des 80 SGB X Berechtigungskonzept (1) Dataport stellt sicher, dass im Rahmen der Produktion Personen Einfluss auf einen Verarbeitungsprozess erst nehmen können, nachdem ihre Berechtigung festgestellt worden ist. (2) Dataport dokumentiert die erteilten Zugriffsrechte auf die Systeme, die Software und die Datenbestände. Datenschutz- V1.7.0 Seite 4 von 9

5 Datenschutz- Version: vom IT-Grundschutzkonformität (1) Dataport orientiert sich bei der Umsetzung der technisch-organisatorischen Maßnahmen an den Anforderungen des IT-Grundschutzes des Bundesamtes für die Sicherheit in der Informationstechnik in Übereinstimmung mit den datenschutzrechtlichen Vorgaben. (2) Die Feststellung des für ein Fachverfahren erforderlichen Schutzbedarfs obliegt dem Kunden. Im Rahmen der Beauftragung stellt Dataport das vom Kunden vorgegebene Sicherheitsniveau sicher Sicherheitskonzept (1) Dataport wirkt bei der Erstellung von Sicherheitskonzepten und Risikoanalysen der im Auftrag der Kunden betriebenen Verfahren auf deren Veranlassung mit. (2) Die Sicherheitsmaßnahmen werden vertraglich vereinbart Freigabe (1) Für Test und Freigabe von Verfahren, die Dataport im Rahmen der Auftragsdatenverarbeitung betreibt, ist der jeweilige Kunde verantwortlich. (2) Der Freigabe durch den Auftraggeber schaltet Dataport im Interesse der Kunden eine interne Test- und Freigabeprozedur vor. (3) Automatisierte Verfahren, die Dataport in eigener Verantwortung betreibt, werden vor ihrem erstmaligen Einsatz oder nach Änderungen getestet und freigegeben. 3.4 Administration Berechtigungskonzept Administrative Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, werden technisch abgesichert nur von den hierzu ausdrücklich berechtigten Beschäftigten durchgeführt Revisionssichere Protokollierung (1) Administrative Zugriffe sowie Veränderungen werden revisionssicher protokolliert und im Rahmen definierter Verfahren ausgewertet werden. (2) Die Protokolle werden 1. den Zeitpunkt des ändernden Zugriffs, 2. den Grund für den Zugriff, 3. die veranlassende und ausführende Person, 4. die Art der Änderung, 5. den Zeitpunkt der Kontrolle und die kontrollierende Person umfassen. (3) Die Protokolle werden nach den gesetzlichen Anforderungen aufbewahrt und für Kontrollzwecke bereitgehalten. Datenschutz- V1.7.0 Seite 5 von 9

6 Datenschutz- Version: vom Zugriff von entfernten Standorten Eine Verarbeitung für administrative Zwecke über mobile Geräte durch Beschäftigte von Dataport erfolgt in Übereinstimmung mit einem grundschutzkonformen Sicherheitskonzept am Maßstab eines hohen Schutzbedarfes. Die Umsetzung dieser Anforderung erfolgt durch eine starke (2-Faktor) Authentisierung und die Verschlüsselung der Verbindung Lesbarkeit Für alle Kundendatenbestände und Protokolldateien wird Dataport sicherstellen, dass sie für die gesamte Speicherungsdauer verfügbar sind. 3.5 Datenschutz- und Sicherheitsmanagement Behördlicher Datenschutzbeauftragter (1) Der Vorstand Dataports hat einen behördlichen Datenschutzbeauftragten bestellt. Er besitzt die erforderliche Sachkunde und Zuverlässigkeit und kommt bei dieser Tätigkeit nicht in Konflikt mit anderen dienstlichen Aufgaben. (2) Der behördliche Datenschutzbeauftragte ist unmittelbar dem Vorstand von Dataport unterstellt. Bei der Ausübung seines Amtes ist er weisungsfrei und wird wegen der Wahrnehmung des Amtes nicht benachteiligt. Ihm ist die erforderliche Anzahl von Mitarbeitern zugewiesen und er selbst ist in dem erforderlichen Umfang von anderen Aufgaben freigestellt. (3) Auftraggeber von Dataport können sich mit Beratungswünschen, Rückfragen und Beschwerden zu datenschutzrechtlich relevanten Sachverhalten unmittelbar an den Datenschutzbeauftragten wenden Sicherheitsmanagement (1) Dataport verfügt über ein IT-Grundschutzkonformes Sicherheitsmanagement-System mit definierten Prozessen nach BSI (2) Das Sicherheitsmanagement-System bietet Schnittstellen zu den Sicherheitsmanagement- Systemen der Auftraggeber. (3) Dataport hat einen Sicherheitsbeauftragten bestellt. (4) Für die jeweiligen Fachanwendungen sind IT-Sicherheitskoordinatoren bestellt. 3.6 Dokumentation Dokumentation Dataport führt für jedes eigene automatisierte Verfahren der Datenverarbeitung eine Dokumentation über folgende Komponenten: 1. Zweckbestimmung des Verfahrens (IT-Konzept), 2. Verfahrensbeschreibung einschließlich der eingesetzten Komponenten des IT-Verbundes (Netzplan) i. S. des IT-Grundschutzes, 3. die bei Dataport eingesetzten Softwareprogramme, Datenschutz- V1.7.0 Seite 6 von 9

7 Datenschutz- Version: vom die bei Dataport getroffenen technischen und organisatorischen Sicherheitsmaßnahmen und 5. die Dataport betreffenden Test- und Freigabeprotokolle Verfahrensverzeichnis Dataport stellt seinen Kunden für jedes im Auftrag betriebene automatisierte Verfahren die für das Verfahrensverzeichnis erforderlichen Informationen zur Verfügung Produktionsstätten (1) Dataport erbringt die vereinbarten Leistungen in einer oder mehreren der folgenden Produktionsstätten: 1. Altenholz, Altenholzer Straße, 2. Hamburg, Billstraße, 3. Rostock, Erich-Schlesinger-Straße, 4. Schwerin, Lübecker Straße, 5. Bremen, Utbremer Straße, 6. Lüneburg, Am Alten Eisenwerk, 7. Norderstedt, Ulzburger Straße, 8. Hamburg, Elisabeth-Flügge-Straße, 9. Magdeburg, Otto-von-Guericke-Straße, 10. Halle, Barbarastraße. (2) Sollte aus technischen Gründen eine Auslagerung der Produktion insgesamt oder von Teilen davon erforderlich sein, geschieht dies nur im Einvernehmen mit dem Auftraggeber. Datenschutz- V1.7.0 Seite 7 von 9

8 Datenschutz- Version: vom Mit geltende Regelungen 5 Schlussbestimmung / Inkrafttreten Diese tritt mit dem Tag der Veröffentlichung in Kraft. Datenschutz- V1.7.0 Seite 8 von 9

9 Datenschutz- Version: vom Änderungsverzeichnis Version Änderungsdatum Gliederungspunkt Erläuterung der Änderung Aufnahme des Standorts Lüneburg Autor/in und 2 redaktionelle Ergänzung Ulrich Meyer alle Übertragung auf neues Layout Ulrich Meyer 3.3.2, 3. Absatz Hinweis auf Anlage zu 9 BDSG und des 80 SGB X neu eingefügt Wolfgang Zachert Ergänzung der RZ²-Standorte Wolfgang Zachert Streichung von zwei Produktionsstätten nach ihrer Aufgabe Wolfgang Zachert Aufnahme von zwei Produktionsstätten Wolfgang Zachert Streichung einer Produktionsstätte nach ihrer Aufgabe Wolfgang Zachert Datenschutz- V1.7.0 Seite 9 von 9