Allgemeine Geschäftsbedingungen Datenschutz

Transkript

1 Allgemeine Geschäftsbedingungen Datenschutz der stratedi GmbH, Lusebrink 9, Gevelsberg - Auftragnehmer - I. Gegenstand der Vereinbarung 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. 2. Der Auftrag umfasst Folgendes: 2.1. Gegenstand des Auftrages: EDI-Konvertierung von Geschäftsdokumenten (beispielsweise Rechnungen, Bestellungen, Lieferscheine) im B2B-Bereich. 2.2.Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder nutzung: Personenbezogene Daten werden lediglich vom Auftraggeber selber als Anwendungsdaten erzeugt. Der Auftragnehmer erhebt, verarbeitet oder nutzt diese Daten nicht. Allerdings ist es anlässlich der Durchführung der betroffenen Verträge nicht ausgeschlossen, dass der Auftragnehmer rein zufällig Kenntnis von solchen personenbezogenen Daten erhält Art der Daten: Name, Adresse, adresse, Telefonnummer Kreis der Betroffenen: Kunden des Auftraggebers im Streckengeschäft. II. Pflichten des Auftraggebers 1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung /-erhebung /-nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. 2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich oder per . Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und entsprechend Nr. I.2 dieses Vertrages festzulegen. 3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auftragnehmer zu erteilen: Korrektur von Daten durch Neuübersendung Löschung der gespeicherten EDI-Daten Änderung des Übermittlungsweges Seite: 1

2 Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Weisungsberechtigte Personen des Auftraggebers werden von diesem benannt. Ein Wechsel ist rechtzeitig vorher schriftlich anzuzeigen. Weisungsempfänger beim Auftragnehmer sind: Dr. Thorsten Georg, Geschäftsführung, Andreas Weng, EDI-Projektmanager, Markus Martini, EDI-Projektmanager, Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Falls Weisungen die unter Nr. I.2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt. 4. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. III. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Aufgrund der Direktheit der Verarbeitung sind manuelle Eingriffe in Form von Berichtigung, Löschung und Sperrung nicht möglich (vollautomatisierte Prozesse in der EDI-Konvertierung). 2. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Der Auftragnehmer ist vertraglich dem Auftraggeber gegenüber verpflichtet, die Daten für elf Jahre für ihn zu speichern. Auf Verlangen des Auftraggebers löscht der Auftragnehmer diese Daten auch vor Ablauf dieser Frist. 3. Datenein- und ausgänge funktionieren ausschließlich per elektronischer Datenübermittlung. Ein- und Ausgänge werden dokumentiert. 4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten ausschließlich an die vom Auftraggeber spezifizierten Empfänger übermittelt werden. 5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 6. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber nach 14-tägiger Voranmeldung unter Übernahme der für den Auftragnehmer nachweisbaren Kosten berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung Seite: 2

3 von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Unabhängig davon wird der Auftragnehmer den Nachweis der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß 9 BDSG regelmäßig, jedenfalls alle 3 Jahre, erbringen. Hierzu darf der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen. Kontrollen bei Unterauftragnehmern des Auftragnehmers richten sich nach deren Bedingungen. 7. Der Auftragnehmer bedient sich zur Erbringung seiner Dienstleistungen eines Rechenzentrums. Dieses wird jährlich in Bezug auf die Einhaltung von IT-Sicherheit und Datenschutz zertifiziert. Auch dem Auftragnehmer ist es daher nicht möglich, das Rechenzentrum selbst persönlich zu kontrollieren. Der Auftragnehmer wird dem Auftraggeber auf Verlangen die aktuellen Zertifikate des Rechenzentrums zur Verfügung stellen. 8. Der Auftraggeber ist damit einverstanden, dass Wartungsarbeiten auch von mobilen Endgeräten über gesicherte Verbindungen vorgenommen werden dürfen. 9. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. Auf Anforderung des Auftraggebers werden einzelne Datensätze an vom Auftraggeber spezifizierte Empfänger in Drittländern versendet. 10. Die Beauftragung von Subunternehmern ist zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer ebenfalls die Verpflichtung nach diesen Bedingungen übernommen hat. IV. Datenschutzbeauftragter des Auftragnehmers Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz bestellt: Herr Olaf Tenti GDI Gesellschaft für Datenschutz und Informationssicherheit mbh Fleyer Str Hagen Telefonnummer: Faxnummer: adresse: info@gdi-mbh.eu Website: Seite: 3

4 Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. V. Datengeheimnis 1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, die üblichen Geheimnisschutzregeln zu beachten. Gelten für den Auftraggeber besondere Geheimnisschutzregeln, z. B. wegen der Pflicht zur Verschwiegenheit, weist der Auftraggeber den Auftragnehmer darauf hin und stimmt etwa notwendig werdende zusätzliche technisch- organisatorische Maßnahmen mit dem Auftragnehmer ab. 2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. 3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. VI. Datensicherungsmaßnahmen nach der Anlage zu 9 BDSG (Erläuterungen siehe Anhang) Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen: Hardware: Hochverfügbare Serverinfrastruktur bei Verizon mit Raid Hochverfügbare Server Inhouse mit Raid Software: Eigenentwicklung 1. Die im Anhang beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt. 2. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. 3. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. 4. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. II.2 ist zu beachten. 5. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Seite: 4

5 Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. VII. Vertragsdauer 1. Der Vertrag wird auf unbestimmte Zeit geschlossen. Laufzeit und Kündigung dieser Vereinbarung richten sich nach Laufzeit und Kündigung des Vertrages, innerhalb dessen die hiermit geregelte Auftragsdatenverarbeitung zu erbringen ist. 2. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert. VIII. Vergütung IX. Haftung X. Vertragsstrafe XI. Nichterfüllung der Leistung XII. Sonstiges 1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. 2. Für Nebenabreden ist die Schriftform erforderlich. 3. Die Einrede des Zurückbehaltungsrechts i. S.v. 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Seite: 5

6 XIII. Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. XIV. Beschreibung der technischen und organisatorischen Maßnahmen zu Abschnitt VI Datensicherungsmaßnahmen 1. Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: Im Verizon-Rechenzentrum sind unter anderem besonders die folgenden Maßnahmen hervorzuheben: Für das Betreten der Anlage ist eine vorherige Anmeldung mit einer vorherigen Auftragserstellung notwendig Nur ein definierter Personenkreis hat Zugang Zur Authentifizierung werden mehrere Faktoren hinzugezogen Für die Zutrittskontrolle zu den Büros sind besonders hervorzuheben: Das Gebäude ist durch eine Alarmanlage gesichert Es existiert ein Schließsystem mit definierten Verantwortlichkeiten und einer Nachverfolgung für die Schlüsselaus- und -rückgabe. Bei einem Schlüsselverlust wird ein Austausch des Schließsystems vorgenommen; eine Nachbestellung von Schlüsseln findet nur nach gesonderter Authentifizierung und Autorisierung statt Firmenfremde (einschließlich Handwerker) werden am zentralen Empfang des Unternehmens abgeholt und innerhalb des Unternehmens begleitet Besuchern ist es durch die verschlossenen Bereiche des Unternehmens und durch die verschlossenen Etagen nicht möglich sich Zutritt in die Räume zu verschaffen Für die Backup-Aufbewahrung sind Verantwortlichkeiten definiert und der Zugriff stark eingeschränkt; der Aufbewahrungsraum des Safes für die Backups ist gesondert gesichert 2. Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen: Die Zugangskontrolle für die Server unterliegt den Maßgaben von Verizon Beim Auftragnehmer gibt es ein mehrstufiges Berechtigungssystem für die Administration der Server Für alle Passwörter existieren Passwortrichtlinien 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: Seite: 6

7 Es ist sichergestellt, dass nur Personen aus dem Bereich der EDI-Verarbeitung auf die Serverinfrastruktur zugreifen können Die verschiedenen Berechtigungsbereiche sind durch die Vergabe von unterschiedlichen Passwörtern getrennt 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: Ein- und ausgehende Verbindungen werden protokolliert Die Übertragung bei den automatisierten Verfahren erfolgt verschlüsselt In Ausnahmefällen wird nur auf besonderen Kundenwunsch die Verarbeitung per E- Mail ermöglicht; aufseiten des Auftragnehmers findet keine gesonderte Übermittlung von s zwischen Anwendung und Server statt Lokale Backups werden im feuerfesten Safe gelagert, Verantwortlichkeiten für den Zugriff darauf sind definiert und der Zugriff stark eingeschränkt; der Raum des Safes ist gesondert gesichert Transport des Backups ohne Umwege von und zum Safe 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind: Im Rahmen der automatisierten Verarbeitung findet eine Protokollierung der ein- und ausgehenden Daten statt Für die Administration werden die Logging-Funktionalitäten der Betriebssysteme genutzt Aufgrund der nahezu Echtzeitverarbeitung sind die Manipulationsmöglichkeiten sehr begrenzt 6. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: Die Datensicherung findet nach einem definierten QM-System nach ISO 9001 statt Lokale Backups werden im feuerfesten Safe gelagert, Verantwortlichkeiten für den Zugriff darauf sind definiert und der Zugriff stark eingeschränkt; der Raum des Safes ist gesondert gesichert Allgemein sind die Systeme hochverfügbar und redundant aufgebaut 7. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Die Trennungskontrolle basiert auf der Adressierung nach Kundenvorgabe Seite: 7