Datenschutzvereinbarung



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz-Vereinbarung

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Systemsicherheit

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Datenschutzvereinbarung

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Auftrag gemäß 11 BDSG

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber)

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Anlage zur Auftragsdatenverarbeitung

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Vorgehensweise Auftragsdatenverarbeitungsvertrag

BYOD Bring Your Own Device

Checkliste: Technische und organisatorische Maßnahmen

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Vereinbarung / Auftrag zur Auftragsdatenverarbeitung gemäß 11 BDSG

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Checkliste: Technische und organisatorische Maßnahmen

Vertragsanlage zur Auftragsdatenverarbeitung

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Vertrag zur Auftragsdatenverarbeitung

Aufstellung der techn. und organ. Maßnahmen

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Leseprobe zum Download

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Technische und organisatorische Maßnahmen der

HDI-Gerling Industrie Versicherung AG

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Auftrag gemäß 11 DSG-EKD

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Auftragsdatenverarbeitung gemäß 11 BDSG

2.4.7 Zugriffsprotokoll und Kontrollen

Vernichtung von Datenträgern mit personenbezogenen Daten

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Checkliste zum Datenschutz in Kirchengemeinden

Datenschutzbeauftragte

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

HDI-Gerling Industrie Versicherung AG

Datenschutz und Schule

Anlage zum Scanauftrag. Regelungen zur Auftragsdatenverarbeitung

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Auftrag gemäß 11 BDSG

Checkliste zum Datenschutz

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

DATENSCHUTZERKLÄRUNG

Datenschutz-Unterweisung

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Rechtlicher Rahmen für Lernplattformen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Vertrag Auftragsdatenverarbeitung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Host-Providing-Vertrag

Der Schutz Ihrer personenbezogenen Daten ist für die NFON AG ein zentrales Anliegen.

Nutzung dieser Internetseite

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

D i e n s t e D r i t t e r a u f We b s i t e s

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Auftrags betreffend die Auditierung von Produktionsprozessen.

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht

Auftragsdatenverarbeitung nach 11 BDSG

Der Schutz von Patientendaten

Der betriebliche Datenschutzbeauftragte

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der

Der Datenschutzbeauftragte

Transkript:

Zwischen nachstehend Leistungsnehmer genannt und Demal GmbH Sankt-Salvator-Weg 7 91207 Lauf a. d. Pegnitz nachstehend Leistungsgeberin genannt werden aufgrund 11 Bundesdatenschutzgesetz (BDSG) folgende Vereinbarungen geschlossen: 1. Anwendungsbereich Diese Vereinbarung regelt die datenschutzrechtlichen Rahmenbedingungen der Datenverarbeitung im Auftrag durch die Leistungsgeberin im Sinn des 11 BDSG. Die vorliegende Vereinbarung gilt für die gesamte Geschäftsbeziehung. 2. Gegenstand und Dauer des Auftrags Gegenstand und Dauer der Auftragsdatenverarbeitung ergeben sich aus den zugrunde liegenden Verträgen und Vereinbarungen und/oder aus dem Auftrag zur Fernwartung auf den Systemen des Leistungsnehmers durch die Leistungsgeberin. Auf dieser Grundlage verarbeitet die Leistungsgeberin personenbezogene Daten aus der Sphäre des Leistungsnehmers nach dessen Weisungen bzw. kann einen Zugriff auf diese personenbezogene Daten während ihrer Arbeiten nicht ausschließen. 3. Konkretisierung des Auftragsinhalts a) Umfang, Art und Zweck des Umgangs mit den personenbezogenen Daten durch die Leistungsgeberin ergibt sich aus dem Wesen der zugrundeliegenden Vereinbarungen (vgl. Ziff. 2a). b) Gegenstand der Datenerhebung, -verarbeitung und -nutzung sind alle personenbezogenen Daten, die in der von der Leistungsgeberin hergestellten Software oder in Systemen, auf die die Leistungsgeberin zugreifen kann, gespeichert sind. Betroffen davon sind demnach je nach Einzelfall vor allem die Daten von Mitarbeitern. c) Eine Verarbeitung und Nutzung der personenbezogenen Daten außerhalb der Zweckbestimmung des jeweiligen Vertrages ist der Leistungsgeberin nicht gestattet. Die Leistungsgeberin darf jedoch nach Rücksprache Arbeiten durchführen, die zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind (z. B. die Erstellung von Sicherheitskopien und die Durchführung von Migrationen im Rahmen technischer Weiterentwicklungen) sowie so mit den Daten umgehen, wie es im Hinblick auf die Einhaltung gesetzlicher Pflichten der Vertragspartner erforderlich ist. - 1 -

4. Technische und organisatorische Maßnahmen a) Beim Umgang mit personenbezogenen Daten haben sowohl Leistungsnehmer als auch Leistungsgeberin geeignete technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des 9 und Anlage zu 9 BDSG zu erfüllen. b) Die Vertragspartner haben sich im Vorfeld der Auftragsvergabe und vor der ersten Auftragsausführung über die getroffenen Maßnahmen und deren Wirksamkeit in geeigneter Weise abzustimmen sowie Kenntnis darüber zu verschaffen. Dies gilt insbesondere bezogen auf die konkrete Auftragsdurchführung. c) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist der Leistungsgeberin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. d) Die Leistungsgeberin stellt auf Anforderung und gegen Erstattung des Aufwands sowie im Rahmen der gesetzlichen Bestimmungen die Angaben nach 4g Absatz 2 Satz 1 BDSG zur Verfügung. e) Die allgemeinen, nicht auftragsspezifischen Maßnahmen sind in der Anlage zu dieser Vereinbarung beschrieben. Die Anlage ist Vertragsbestandteil dieser Vereinbarung. Änderungen, deren Auswirkungen unwesentlich für den Kontroll- und/oder Sicherheitszweck sind, führt die Leistungsgeberin durch und informiert den Leistungsnehmer hierzu auf Anfrage. Wesentliche Änderungen werden von der Leistungsgeberin dokumentiert und gemäß der oben aufgeführten Vereinbarungen mit dem Leistungsnehmer abgestimmt. 5. Berichtigung, Löschung und Sperrung von Daten a) Die Leistungsgeberin darf nur auf Weisung des Leistungsnehmers die personenbezogenen Daten, die sie im Rahmen des Auftrag erhebt, verarbeitet oder nutzt, berichtigen oder löschen oder sperren. b) Soweit ein Betroffener sich unmittelbar an die Leistungsgeberin zwecks Auskunft, Berichtigung, Sperrung oder Löschung seiner Daten wenden sollte, wird die Leistungsgeberin dieses Ersuchen an den Leistungsnehmer weiterleiten. 6. Datenschutzkontrolle und weitere Pflichten a) Die Vertragsparteien bestellen jeweils, soweit gesetzlich vorgeschrieben, einen betrieblichen Datenschutzbeauftragten. b) Die Leistungsgeberin verpflichtet alle ihre Beschäftigten, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, auf das Datengeheimnis entsprechend 5 BDSG. c) Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entspricht 9 BDSG und dessen Anlage. d) Über Kontrollhandlungen, Ermittlungen und Maßnahmen der Aufsichtsbehörde nach 38, 43 oder 44 BDSG informiert die Leistungsgeberin den Leistungsnehmer unverzüglich. e) Die Leistungsgeberin verpflichtet sich, Auftragskontrollen durchzuführen. Sie führt dazu laufende Kontrollen der Verarbeitung sowie regelmäßige Prüfungen zu deren Einhaltung und Wirksamkeit durch. f) Die Leistungsgeberin weist dem Leistungsnehmer nach Aufforderung die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nach. 7. Unterauftragsverhältnisse a) Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Leistungsnehmers Unterauftragnehmer einbezogen werden sollen, wird dies durch den Leistungsnehmer genehmigt, solange die nachfolgenden Voraussetzungen eingehalten werden. b) Die vertraglichen Vereinbarungen mit Unterauftragnehmern sind schriftlich zu vereinbaren und so zu gestalten, dass sie den Datenschutzgesetzen und -bestimmungen im Vertragsverhältnis zwischen Leistungsnehmer und Leistungsgeberin entsprechen. Insbesondere die Einhaltung der unter Ziff. 6 aufgeführten Verpflichtungen ist zu gewährleisten. c) Bei der Unterbeauftragung sind dem Leistungsnehmer bzw. dessen dazu Beauftragten Kontroll- und Prüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 BDSG beim Unterauftragnehmer einzuräumen. 8. Kontrollrechte des Leistungsnehmers und Mitwirkungspflichten a) Die Leistungsgeberin räumt dem Leistungsnehmer und dessen Bevollmächtigten in Bezug auf die Einhaltung der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht, grundsätzlich nach vorheriger Ankündigung, ein. Die Leistungsgeberin verpflichtet sich, im Fall von Besichtigungen und Kontrollen durch den Leistungsnehmer, diesem die hierfür erforderliche Unterstützung zu leisten. b) Im Hinblick auf die Kontrollverpflichtungen des Leistungsnehmers nach 11 Absatz 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt die Leistungsgeberin sicher, - 2 -

dass sich der Leistungsnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist die Leistungsgeberin dem Leistungsnehmer auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen, wie sie in der Anlage zu 9 BDSG aufgeführt sind, nach. 9. Pflichten bei Datenschutzverstößen Die Vertragsparteien informieren sich gegenseitig zeitnah über Datenschutzverletzungen oder Verletzungen der in dieser Vereinbarung festgelegten Bestimmungen, die im Rahmen der Auftragserfüllung aufgetreten sind oder bei einer Ausführung möglicherweise auftreten werden. 10. Umfang der Weisungsbefugnisse a) Die Leistungsgeberin darf die zur Verfügung gestellten personenbezogenen Daten nur nach Maßgabe des zugrundeliegenden Auftrags und dieser sowie nach den rechtmäßigen Weisungen des Leistungsnehmers erheben, verarbeiten und nutzen. Der Leistungsnehmer besitzt ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung, welches er durch Einzelweisungen konkretisieren kann. Der Leistungsnehmer bleibt dabei für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz sowie die Rechtmäßigkeit der Datenweitergabe an die Leistungsgeberin verantwortlich. b) Auskünfte an Dritte oder an die Betroffenen erteilt die Leistungsgeberin nicht, sondern verweist auf den Leistungsnehmer. 11. Löschung der personenbezogenen Daten nach Beendigung des zugrundeliegenden Auftrags a) Spätestens nach Beendigung des Vertrags vernichtet die Leistungsgeberin sämtliche in ihrem Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzkonform. b) Dokumentationen und Daten, die dem Nachweis der auftrags- und/oder ordnungsgemäßen Datenverarbeitung dienen, sind durch die Leistungsgeberin entsprechend der jeweiligen gesetzlichen oder vertraglichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sie kann sie zu ihrer Entlastung bei Vertragsende dem Leistungsnehmer übergeben. 12. Schlussbestimmungen a) Änderungen und Ergänzungen dieser müssen schriftlich erfolgen. b) Die Regelungen dieser Vereinbarung gehen den datenschutzrechtlichen Regelungen in den Verträgen/Vereinbarungen nach Ziff. 2a im Zweifel vor. Dies gilt nicht für leistungsspezifische Regelungen bzw. konkrete Weisungen. Anlage: Technische und organisatorische Maßnahmen gemäß der Anlage zu 9 BDSG, den Lauf a. d. Pegnitz, den Unterschrift Leistungsnehmer Unterschrift Leistungsgeberin (Demal GmbH) - 3 -

Anlage zur (Stand: Juni 2013) Technische und organisatorische Maßnahmen gemäß der Anlage zu 9 BDSG 1. Zutrittskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass Unbefugten der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet werden, verwehrt wird: Zutritt zum Firmengebäude nur mit Schlüssel Dokumentation der Schlüsselvergabe Besucher bleiben in Begleitung berechtigter Personen 2. Zugangskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass Unbefugte an der Benutzung der Datenverarbeitungsanlagen gehindert werden: Nutzung individueller Logins mit Passwort Vorgaben zur Passwort-Vergabe automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität externer Zugang nur über sichere VPN-Verbindungen 3. Zugriffskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung, und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: Vergabe differenzierter Benutzerrechte Vergabe nach dem Need to know -Grundsatz Protokollierungen Verpflichtung aller Mitarbeiter auf das Datengeheimnis 4. Weitergabekontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträger aufgrund folgender Maßnahmen nicht unbefugt oder nicht zufällig gelesen, kopiert, verändert, gespeichert, zur Kenntnis genommen, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden können: Fernwartungstool mit Sitzungsverschlüsselung (derzeit 1024 Bit RSA/256 Bit AES) und Freigabe in jedem Einzelfall durch den Leistungsnehmer Datenübermittlung per getunnelten, verschlüsselten Datenverbindungen (VPN) Verschlüsselung von Daten auf Datenträgern (nach Anforderung) 5. Eingabekontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass es nachträglich möglich ist zu überprüfen und festzustellen, von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Regelung der Zugriffsrechte Vergabe individueller Zugangsdaten Fernwartung mit 4-Augen-Prinzip keine eigenmächtige Aufschaltung in die Systeme des Leistungsnehmers möglich Die Verarbeitung personenbezogener Daten des Leistungsnehmers ist auf die Mitarbeiter beschränkt, die die Dienstleitung für die Leistungsgeberin erbringen 6. Auftragskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Leistungsnehmers verarbeitet werden können: - 4 -

Auftragsdatenverarbeitung erfolgt meist über den Abschluss standardisierter Verträge, ansonsten über Einzelverträge. Die Verträge enthalten Regeln zu Datenschutz und Datensicherheit im Sinn des 11 BDSG mit Vorgaben zu den Rechten und Pflichten der Leistungsgeberin und des Leistungsnehmers. alle Arbeiten erfolgen nur aufgrund von Weisungen des Leistungsnehmers Mitarbeiter sind mit Datenschutzvorschriften vertraut und nach 5 BDSG verpflichtet 7. Verfügbarkeitskontrolle Die Leistungsgeberin stellt durch folgende Maßnahmen einen Schutz der personenbezogenen Daten gegen zufällige Zerstörung oder Verlust her: Speicher mit gespiegelter Datenhaltung regelmäßige Datensicherungen (Backups) mit externer Aufbewahrung Sicherung gegen Viren und Schädlinge durch Virenscanner Verwendung von Firewalls 8. Zwecktrennungsgebot Die Leistungsgeberin stellt durch folgende Maßnahmen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Datenbestände werden generell nach ihrem unterschiedlichen Zwecken getrennt verarbeitet. Dies erfolgt je nach Anwendung logisch oder physikalisch auf unterschiedlichen Servern, in unterschiedlichen Datenbanken oder separaten Datenbanktabellen. Eine Trennung der Daten der unterschiedlichen Leistungsnehmer erfolgt mittels eindeutiger ID, so dass jeder Datensatz eindeutig dem Dateneigentümer zugeordnet werden kann. - 5 -

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback