Vereinbarung über die Datenverarbeitung im Auftrag nach 11 BDSG bei Online Leistungen

Transkript

1 Vereinbarung über die Datenverarbeitung im Auftrag nach 11 BDSG bei Online Leistungen ZWISCHEN Kunde Nachfolgend Auftraggeber genannt UND Twinfield GmbH Agnes-Pockels-Straße Hilden Nachfolgend Auftragnehmer" genannt 40100

2 Seite 2 Präambel Der Auftraggeber und der Auftragnehmer haben im Rahmen der Bestellung vom einen Vertrag über die Erbringung von Dienstleistungen (nachfolgend Hauptvertrag ) geschlossen. Im Rahmen der Erfüllung des Hauptvertrages kann nicht ausgeschlossen werden, dass personenbezogene Daten des Auftraggebers sowie dessen Kunden an den Auftragnehmer übermittelt und vom Auftragnehmer verarbeitet werden. Zur Wahrung der Rechte der Betroffenen gemäß den datenschutzrechtlichen Bestimmungen und zur Durchführung der Datenverarbeitung unter Beachtung der einschlägigen Datenschutzbestimmungen vereinbaren die Parteien was folgt: 1. Gegenstand des Vertrages und Umfang der Datenverarbeitung Diese Vereinbarung schließen die Vertragspartner in Erfüllung der datenschutzrechtlichen Verpflichtungen, die sich daraus ergeben, dass der Auftragnehmer Leistungen zur technischen Abwicklung bestimmter, abgegrenzter Geschäftsprozesse des Auftraggebers erbringt. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung zum Hauptvertrag konkretisiert sind. Gegenstand dieser Vereinbarung ist der Schutz dieser personenbezogenen Daten des Auftraggebers (nachstehend Daten genannt), die der Auftraggeber dem Auftragnehmer zur Erbringung von Leistungen gemäss Hauptvertrag zugänglich macht. Wenn und soweit der Auftraggeber dem Auftragnehmer Daten zugänglich macht, erfolgt die Verarbeitung dieser Daten durch den Auftragnehmer im Auftrag und nach Weisung des Kunden. Kreis der Betroffenen Beschäftigte des Unternehmens Kunden und deren Beschäftigte Daten: Im Bereich der Steuern Voranmeldungen, Anmeldungen, Steuererklärungen und ebilanz Im Bereich des Geschäftsverkehres hochgeladene Dokumente und Dateien, bereitgestellte Auswertungen Rechnungen und Angebote

3 Seite 3 2. Weisungen des Auftraggebers Der Auftragnehmer verarbeitet die vom Auftraggeber übermittelten Daten einzig in Übereinstimmung mit den Weisungen des Auftraggebers und der in dieser Vereinbarung enthaltenen Regelungen und Bestimmungen. Die Weisungen des Auftraggebers gehen aus den an den Auftragnehmer übermittelten Daten bzw. schriftlichen Anforderungen bei Sonderweisungen hervor. Schriftliche Weisungen hat der Auftraggeber so zugestalten, dass der Weisungsberechtigte für den Auftragnehmer unmittelbar erkennbar ist, d. h. es ist stets die Kundennummer, der Firmenstempel sowie der verantwortliche Ansprechpartner der Weisung kenntlich darzustellen. Weisungen, die ohne vorgenannte Merkmale beim Auftragnehmer eingehen, werden vom Auftragnehmer abgelehnt. Der Auftragnehmer vertraut auf die gültige Weisungsbefugnis des angegebenen Ansprechpartners. Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. 3. Pflichten des Auftraggebers Der Auftraggeber ist für die gesetzlich zulässige Verarbeitung der Daten verantwortlich. Er ist allein verantwortlich für die Wahrung der Rechte der Betroffenen. Der Auftraggeber übermittelt die Daten an den Auftragnehmer. Der Auftraggeber ist Herr der Daten und aus diesem Grund verantwortlich für die Qualität der Daten. 4. Pflichten des Auftragnehmers Der Auftragnehmer stellt sicher, dass die Datenverarbeitung in Übereinstimmung mit den datenschutzrechtlichen Vorgaben, insbesondere den Vorgaben des Bundesdatenschutzgesetztes (nachfolgend: BDSG ) erfolgt. Der Auftragnehmer hat sicherzustellen, dass die Verarbeitung der Daten ausschließlich im Namen des Auftraggebers, in Übereinstimmung mit dessen Weisungen und den Bestimmungen dieses Vertrages erfolgt. Der Auftragnehmer führt die Verarbeitung und Nutzung der Daten ausschließlich zu den Zwecken durch, zu denen ihm die Daten durch den Auftraggeber übermittelt wurden, insbesondere zu den in dieser Vereinbarung beschriebenen Zwecken. Die Nutzung der Daten für andere als die oben beschriebenen Zwecke bedarf der ausschließlichen vorherigen schriftlichen Genehmigung durch den Auftraggeber. Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Daten anfertigen; es sei denn, dies ist für die ordnungsgemäße Durchführung des Hauptvertrags erforderlich. Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur Erfüllung von gesetzlichen Auskunfts- oder Aufbewahrungslisten oder zu Beweissicherungszwecken. Solche Kopien und Duplikate werden vom Auftragnehmer sorgfältig verwahrt. Der Auftragnehmer setzt für die ordnungsgemäße Erfüllung der vom Auftraggeber in diesem Vertrag niedergelegten Verpflichtungen ausschließlich externe und interne Mitarbeiter ein, die auf das Datengeheimnis gemäß 5 BDSG schriftlich verpflichtet worden sind.

4 Seite 4 Der Auftragnehmer stellt sicher, dass er vor Verarbeitung der übermittelten Daten die in Anhang aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen gemäß 9 BDSG implementiert hat. Dies gilt insbesondere für die Sicherstellung der Leistungsfähigkeit des Systems sowie die Protokollierung der Systemleistungen. Der Auftragnehmer erledigt die Anfragen des Auftraggebers betreffend die Verarbeitung der Daten gemäß diesem Vertrag unmittelbar und ordnungsgemäß. Der Auftragnehmer hat den Auftraggeber unverzüglich zu unterrichten, falls bei der Prüfung der Datenverarbeitung oder deren Ergebnissen Störungen, Probleme, Fehler oder Unregelmäßigkeiten festgestellt werden. Dies gilt insbesondere für Vorfälle, die eine Informationspflicht des Auftraggebers nach 42a BDSG nach sich ziehen. Der Auftragnehmer wird im Rahmen des Möglichen Störungen, Schwierigkeiten, Fehler oder Unregelmäßigkeiten unverzüglich, sofern solche bei der Kontrolle der Datenverarbeitung und/oder deren Ergebnisse festgestellt werden, beseitigen. Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Er wird den Auftraggeber unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG informieren. Dies gilt auch, soweit eine zuständige Behörde nach 43, 44 BDSG beim Auftragnehmer ermittelt. Testmaterial muss bis zur Vernichtung durch den Auftragnehmer in Übereinstimmung mit den geltenden Datenschutzvorschriften, auf Anweisung des Auftraggebers oder bis zur Rückgabe an den Auftraggeber geheim gehalten werden. Dokumente, die personenbezogene Daten enthalten, dürfen nur auf Anweisung des Auftraggebers und unter Einhaltung des Datenschutzgesetzes vernichtet werden. 5. Datengeheimnis/Vertraulichkeitsverpflichtung Der Auftragnehmer ist verpflichtet, das Datengeheimnis gemäß 5 BDSG zu wahren. Der Auftragnehmer ist verpflichtet, seinen Mitarbeitern, die mit der Verarbeitung von personenbezogenen Daten betraut sind, eine Geheimhaltungsverpflichtung aufzuerlegen. Er hat weiterhin seine Mitarbeiter zu verpflichten, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und diese Verpflichtung der Mitarbeiter schriftlich zu dokumentieren. Die Vertragsparteien verpflichten sich zur strikten Geheimhaltung von Betriebs- und Geschäftsgeheimnissen oder anderen geheimhaltungsbedürftigen Informationen der jeweils anderen Partei. Diese Verpflichtungen behalten über die Laufzeit dieses Vertrages hinaus Gültigkeit. 6. Datensicherheit Der Auftragnehmer verpflichtet sich, die Prinzipien der Datenverarbeitung zu beachten und deren Einhaltung zu kontrollieren. Der Auftragnehmer verpflichtet sich vor Verarbeitung der personenbezogenen Daten zur Implementierung der in Anhang aufgelisteten technischen und organisatorischen Maßnahmen gem. 9 BDSG. Die aufgelisteten Maßnahmen können aufgrund des technischen Fortschritts und der Weiterentwicklung einer Anpassung bedürfen. Der Auftragnehmer ist berechtigt, adäquate alternative Maßnahmen umzusetzen, sofern sie das in Anhang festgelegte Sicherheitsniveau nicht unterschreiten. Die durchgeführten Änderungen sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zustellen.

5 Seite 5 7. Unterauftragsverhältnisse Der Auftragnehmer ist berechtigt, zur Datenverarbeitung nach dieser Vereinbarung Dritte als Unterauftragnehmer einzusetzen. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit etwaigen Unterauftragnehmern so zu gestalten, dass diese den in dieser Vereinbarung zwischen den Parteien getroffenen Datenschutzbestimmungen entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 BDSG beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über die vertragliche Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. 8. Kontrollrechte des Auftraggebers Der Auftraggeber ist berechtigt, die technischen und organisatorischen Maßnahmen sowie die Datenverarbeitungsprozesse im Hause des Auftragnehmers regelmäßig zu prüfen, um sicherzustellen, dass die Prozesse beim Auftragnehmer mit den Bedingungen dieser Vereinbarung und insbesondere mit den geltenden Datenschutzbestimmungen übereinstimmen. Der Auftragnehmer verpflichtet sich, dem Beauftragten des Auftraggebers unter Berücksichtigung der betrieblichen Richtlinien des Auftragnehmers Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung aller Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zur Verarbeitung und Nutzung der vom Auftraggeber übermittelten Daten zu ermöglichen, sofern dies nicht durch die Einholung von Auskünften erfolgen kann. Der Auftragnehmer stellt dem Beauftragten des Auftraggebers alle für die Kontrolle für notwendig erachteten Informationen zur Verfügung. Der Auftraggeber muss den Auftragnehmer innerhalb einer angemessenen Frist über alle zur Durchführung der Inspektion notwendigen Umstände informieren. Die Inspektion kann durch den Datenschutzbeauftragten des Auftraggebers oder eine aufgrund berufsständischer Vorschriften zur Verschwiegenheit verpflichteten Person durchgeführt werden. Gemäß den Bestimmungen des BDSG unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch den Auftraggeber muss der Auftragnehmer die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung im gleichen Umfang einräumen, wie die Aufsichtsbehörde Prüfungen beim Auftraggeber durchführen darf. Davon umfasst sind Inspektionen im Hause des Auftragnehmers durch die Aufsichtsbehörde oder von ihr benannten Personen. 9. Rechte der Betroffenen Die Rechte der durch die Datenverarbeitung betroffenen Personen gemäß den datenschutzrechtlichen Bestimmungen sind gegenüber dem Auftraggeber geltend zu machen. Der Auftragnehmer erkennt die Pflichten des Auftraggebers gegenüber den betroffenen Personen an und verpflichtet sich, alle Weisungen des Auftraggebers betreffend diese Personen zu befolgen. Für den Fall, dass eine betroffene Person ihre Rechte auf Korrektur, Löschung oder Sperrung von Daten sowie auf Auskunft über die gespeicherten Daten, den Zweck der Speicherung und die Personen und Orte, an die solche Daten regelmäßig übermittelt werden, geltend macht, ist der Auf-

6 Seite 6 tragnehmer verpflichtet, den Auftraggeber bei der Erfüllung dieser Anforderungen zu unterstützen. 10. Haftung Der Auftragnehmer ist verantwortlich für die angemessene Ausführung der Bestimmungen dieser Vereinbarung. Sollte ein Betroffener Schadensersatz mit der Behauptung, einer aufgrund dieser Vereinbarung durchgeführte Datenverarbeitung sei unzulässig oder unrichtig, verlangen, wird der Auftragnehmer den Auftraggeber in angemessenem Umfang bei der Abwehr des Anspruchs unterstützen. Im Übrigen gelten die im Hauptvertrag vereinbarten Haftungsregelungen. 11. Laufzeit Die Laufzeit dieser Vereinbarung richtet sich nach dem Hauptvertrag. Der Auftragnehmer ist verpflichtet, nach Beendigung dieser Vereinbarung auf Weisung des Auftraggebers alle vom Auftraggeber gespeicherten Daten zu löschen. Die Parteien vereinbaren, dass bei Beendigung dieses Vertrages der Auftragnehmer auf Anweisung des Auftraggebers alle Daten löscht und dem Auftraggeber diese Löschung bescheinigt. Dokumentationen und Kopien der gespeicherten Daten, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Auftragserfüllung dienen, können vom Auftragnehmer nach den jeweils einschlägigen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden. 12. Schlussbestimmungen Änderungen dieses Vertrages bedürfen der Schriftform. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt bzw. diese Lücke ausfüllt. Stand Ort, Datum Auftraggeber / Name in Druckbuchstaben Ort, Datum Auftragnehmer / Name in Druckbuchstaben Anhang: Technische und organisatorische Maßnahmen gem. 9 BDSG

7 Seite 7 Anhang Technische und organisatorische Maßnahmen gem. 9 BDSG Der Auftragnehmer ist verpflichtet, die folgenden technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes zu ergreifen: Zutrittskontrolle Der Auftragnehmer muss für den Zeitraum der Auftragsdatenverarbeitung angemessene Maßnahmen ergreifen, um den Zugang unautorisierter Personen zum Datenverarbeitungsequipment zu verhindern. Dies geschieht durch: 1. Schlüsselregelung; 2. Regelungen für Firmenfremde; 3. Festlegung der Personen, die zugangsberechtigt sind; 4. Sicherung auch außerhalb der Arbeitszeit durch Alarmanlage und/oder Werkschutz; Zugangskontrolle Der Auftragnehmer sorgt dafür, dass die Personen, die berechtigt sind, das Datenverarbeitungssystem des Auftragnehmers zu nutzen, lediglich Zugang zu solchen Daten haben, die von ihrer jeweiligen Zugangsautorisierung abgedeckt sind. Dies geschieht durch: 1. Sperrung von Terminals; 2. Zuordnung einzelner Terminals und/oder Terminalnutzer ausschließlich für spezielle Funktionen; 3. Regelungen für Benutzerberechtigung; 4. Verpflichtungen der Mitarbeiter auf das Datengeheimnis; 5. Differenzierte Zugangsregelungen (z. B. durch Segmentzugriffssperren); 6. Führen eines Logbuches; 7. Arbeitsanweisungen für Datenerfassungsvorlagen; 8. Prüf-, Abstimm- und Kontrollsysteme; Zugriffskontrolle Der Auftragnehmer trifft geeignete Maßnahmen, um zu verhindern, dass unautorisierte Personen auf ihre Datenverarbeitungssysteme zugreifen. Außerdem trifft der Auftragnehmer angemessene Maßnahmen, die das unautorisierte Lesen, Kopieren oder Löschen der Daten sowie die unautorisierte Speicherung oder Veränderung von gespeicherten Daten verhindern sollen. Dies geschieht durch: 1. Autorisierungskonzepte; 2. Identifikation des Terminals/des Terminalnutzers im System des Auftragnehmers; 3. Automatische Abschaltung der User ID bei mehrmaliger fehlerhafter Eingabe des Passworts; 4. Logfiles (Überwachung von Einbruchs-Versuchen); 5. Festlegung des zugriffsberechtigten Personals; 6. Schützende Maßnahmen für die Datenspeicherung sowie für das Lesen, Sperren und die Löschung gespeicherter Daten; 7. Verschlüsselung von Sicherheitsdateien; 8. Trennung von Produktions- und Testumgebung für Bibliotheken und Dateien;

8 Seite 8 9. Sorge dafür tragen, dass die Einrichtungen zur Datenverarbeitung (Räume, Gebäude, Computerhardware und zugehöriges Equipment) abgeschlossen werden können; 10. Bestimmung der Personen in solchen Bereichen, die für die Entfernung von Datenträger autorisiert sind. 11. Kontrolle der Entfernung von Datenträgern; 12. Sicherung der Bereiche, in denen Datenträger untergebracht sind; 13. Herausgabe von Datenträgern ausschließlich an autorisierte Personen; 14. Kontrolle der Dateien, kontrollierte und dokumentierte Vernichtung von Datenträgern. Weitergabekontrolle Der Auftragnehmer ermöglicht die Überprüfung und Bestimmung der Stellen/Orte, an die die Daten der Betroffenen übermittelt werden. Die Überprüfung und Bestimmung erfolgt mittels nachfolgend aufgeführter technischer bzw. organisatorischer Einrichtungen beim Auftragnehmer.Dies geschieht durch: 1. Bestimmung befugter Personen; 2. Interne Anforderungen zur Verifizierung (Vieraugenprinzip); 3. Kontrolle der Dateien; 4. Dokumentation der Übermittlungsprogramme; 5. Autorisierungsrichtlinien; 6. Verschlüsselung der Daten für die Online-Übermittlung 7. Vollständigkeits- und Richtigkeitsprüfung des Datentransfers (End to End Check); 8. Verschlüsselung. Eingabekontrolle Der Auftragnehmer muss dafür Sorge tragen, dass nachträglich geprüft und festgestellt werden kann, ob und wann die vom Auftraggeber übermittelten personenbezogenen Daten von den Datenverarbeitungssystemen des Auftragnehmers empfangen worden sind. Dies geschieht durch: 1. Elektronische Protokollierung der Datenverarbeitung, insbesondere die Nutzung der Daten. Auftragskontrolle Der Auftragnehmer hat zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 1. Es findet eine eindeutige Vertragsgestaltung statt ( 11 BDSG) 2. Es wird eine geeignete Auswahl von Partnerunternehmen hinsichtlich der getroffenen technisch-organisatorischen Maßnahmen getroffen 3. Umsetzung klarer Regelungen von Verantwortlichkeiten Die Auftragserteilung erfolgt nach spezifischen Regeln 4. Die Vertragsdurchführung erfolgt weisungsgebunden 5. Die Vertragsdurchführung wird regelmäßig kontrolliert Verfügbarkeitskontrolle Der Auftragnehmer hat zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 1. Backup-Verfahren (u.a. RAID-Verfahren, Bandsicherung im feuerfesten Tresor)

9 Seite 9 2. Unterbrechungsfreie Stromversorgung (USV)/ Überspannungseinrichtungen 3. Räumlich getrennte Aufbewahrung von Sicherungsdatenträgern 4. Virenschutz/ SPAM-Filter/ Firewall/ Intrusion Detection System/ Notfallplan 5. Brand-/Wasserschutzeinrichtungen (u.a.feuerlöschanlage, Brandschutztüren, Rauch/Brandmelder) Organisationskontrolle Der Auftragnehmer muss seine interne Organisation dergestalt führen, dass sie den Anforderungen dieses Vertrages genügt. Dies geschieht durch: 1. Interne Datenverarbeitungsrichtlinien und verfahren, Arbeitsanweisungen, Prozessbeschreibungen und Regelungen für Tests und Freigabe neuer Verfahren, sofern die vom Auftraggeber übermittelten Daten betroffen sind; 2. Nutzung von branchenüblichen Standardsystemen und Programmprüfung, sowie geeigneter Individualsoftware. 3. Formulierung eines Notfallplans. Weisungskontrolle Die vom Auftraggeber an den Auftragnehmer übermittelten Daten dürfen ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers verarbeitet werden. Dies geschieht durch: 1. Für die Mitarbeiter des Auftragnehmers bindende Richtlinien und Arbeitsanweisungen, die sich aus dem jeweiligen Verfahren ergeben; 2. Auskunftserteilung gegenüber dem Auftraggeber zu speziellen Verfahren oder Daten des Auftraggebers auf Anfrage. Kontrolle der Trennung von Daten Der Auftragnehmer muss geeignete Maßnahmen treffen, die die separate Verarbeitung von Daten, die ihm für verschiedene Zwecke übermittelt wurden, gewährleisten. Dies geschieht durch: 1. Speicherung der Daten in getrennten Archiven; 2. Logische Trennung der verschiedenen Datentöpfe. Stand