Datenschutz und Informationssicherheit für die AEB-IT Individual-Software- Entwicklung und IT-Dienstleistungen Den Zielen des Datenschutzes und der Informationssicherheit wird ein hoher Stellenwert eingeräumt. Die damit angestrebte Verlässlichkeit der Zusammenarbeit wird als integraler Bestandteil der Servicequalität verstanden. Die Verpflichtungen und Maßnahmen zur Wahrung, des Datenschutzes und der Informationssicherheit greifen integriert ineinander. Der Auftragnehmer (AN) muss die gesetzlichen Verpflichtungen des Datenschutzes und die Anforderungen des Auftraggebers (AG) zur Gewährleistung des Schutzes von Daten, Informationen und der zugrunde liegenden IV- Infrastruktur entsprechend den Allgemeinen Bestimmungen der AEB-IT, den jeweils einschlägigen besonderen Bestimmungen der AEB-IT und den nachfolgenden Bestimmungen umsetzen. 1 Gegenstand des Auftrages 1.1 Der Gegenstand des Auftrags ergibt sich aus der in der Bestellung vereinbarten Leistungsvereinbarung... vom..., auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung). 1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung. 1.3 Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Bestellung vereinbarten Leistungsvereinbarung vom... 1.4 Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben unter:... 1.5 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen ist in der Leistungsvereinbarung konkret beschrieben unter:... 2 Datenverarbeitung im Auftrag 2.1 Der AN erhebt, verarbeitet und nutzt personenbezogene Daten im Auftrag des AG. Für die Einhaltung der datenschutzrechtlichen Bestimmungen liegt die Verantwortung beim AG. Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, ist der AN gemäß 11 BDSG verpflichtet, ausschließlich den Weisungen des AG zu folgen. Die Weisung bedarf der Schriftform. Außerhalb von Weisungen darf der AN die ihm zur Verarbeitung oder Nutzung überlassenen oder die durch ihn erhobenen Daten weder für seine eigenen Zwecke noch für Zwecke Dritter verwenden. Der AN hat nach Weisung des AG die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den AN zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Seite 1 von 6
2.2 Der AN verpflichtet sich, seine, mit der Verarbeitung und Nutzung von Daten des AG befassten, Mitarbeiter nach den einschlägigen Datenschutzbestimmungen zu belehren und auf das Datengeheimnis gemäß 5 BDSG zu verpflichten. 2.3 Soweit der AN gesetzlich zur Bestellung eines Datenschutzbeauftragten gem. 4f BDSG verpflichtet ist, bestellt er diesen schriftlich und teilt dem AG den/die Namen sowie die Kontaktdaten des/der Ansprechpartner für Datenschutz und Informationssicherheit mit. Der AN verpflichtet sich zu regelmäßigen Kontrollen insbesondere der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen. 2.4 Der AN stellt dem AG die für die Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung und unterstützt den AG bei der Erfüllung seiner Meldepflicht. 2.5 Der AN informiert den AG unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG. 3 Informationssicherheit 3.1 Der AN hat zur Sicherstellung der Informationssicherheit gemäß Ziffer 7.3 der Allgemeinen Bestimmungen der AEB-IT sowie 9 BDSG nebst Anlage zu 9 BDSG ein Informationssicherheitskonzept im Rahmen eines Informationssicherheitsmanagements zu erstellen und umzusetzen. Hierzu verpflichtet sich der AN, alle Informationen und Daten des AG nach dem Stand der Technik wirksam gegen unberechtigten Zugriff, Veränderung, Zerstörung oder Verlust, unerlaubter Übermittlung, anderweitiger unerlaubter Verarbeitung und sonstigem Missbrauch im Rahmen eines Sicherheitskonzeptes zu sichern. Der AG kann eine schriftliche Festlegung des Sicherheitskonzeptes und einen schriftlichen Nachweis über dessen Einhaltung verlangen. Der AN stimmt sein Sicherheitskonzept mit dem zuständigen Informationssicherheitsbeauftragten (ISO) und dem Datenschutzbeauftragten des AG ab. Bei Tätigkeit in der Infrastruktur des AG (einschließlich des Fernzugriffs auf die Infrastruktur des AG) sind durch den AN darüber hinaus die Informationssicherheitsrichtlinien des AG umzusetzen. Bei Tätigkeit in der Infrastruktur des AN sind durch den AN die Informationssicherheitsrichtlinien des AG umzusetzen oder ist durch den AN ein vergleichbares und im Verhältnis zur Aufgabe angemessenes Informationssicherheitsniveau zu gewährleisten. Der AG stellt dem AN die jeweils gültigen Informationssicherheitsrichtlinien und standards zur Verfügung (s. Lieferantenportal). Informationssicherheitsschwachstellen, die öffentlich bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom Auftragnehmer unverzüglich zu beheben, soweit mit dem Auftraggeber kein abweichender Zeitplan vereinbart ist. 3.2 Für Informationen und Daten, die der AN für den AG erhebt, in seinen DV-Anlagen speichert, auf sonstige Weise verarbeitet oder nutzt, muss er sicherstellen, dass Dritte (z.b. andere Kunden des AN) nicht auf diese Daten und Informationen zugreifen können. Insbesondere ist die vollständige und nachprüfbare Trennung der Verarbeitung von Daten verschiedener Auftraggeber bei den eingesetzten Datenverarbeitungssystemen und -anwendungen zu gewährleisten (Mandantenfähigkeit). 3.3 Der AN schult regelmäßig seine mit der Leistungserbringung für den AG beschäftigten Mitarbeiter zu relevanten Themen der Informationssicherheit einschließlich ihrer im Zusammenhang mit der Leistungserbringung stehenden Pflichten zur Gewährleistung der Informationssicherheit. Seite 2 von 6
3.4 Alle vom AG als vertraulich oder geheim eingestufte Informationen des AG sind durch den AN durch geeignete kryptographische Maßnahmen nach aktuellem Stand der Technik sowohl bei der Übertragung als auch bei der Speicherung auf mobilen Datenträgern zu schützen. Der Transportkanal-Schutz ist in gesicherten Umgebungen optional, sofern keine personenbezogenen Daten übertragen werden. Der AN muss nachweisen können, dass die Umgebungen für die Verarbeitung vertraulicher oder geheimer Daten nach aktuellem Stand der Technik ausgelegt sind. 3.5 Test- und Ausschussmaterial oder zwischengespeicherte Daten, das bei dem AN anfällt, wird unter Berücksichtigung von Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT vom AN vernichtet. 3.6 Für den AN besteht die Verpflichtung, Daten des AG auch nach Beendigung der entsprechenden Servicevereinbarung für die Dauer von zwei Jahren aufzubewahren. Innerhalb der 2 Jahre sind die Daten zurückzugeben oder auf Weisung zu löschen. Im Fall der Löschung bzw. der Rückgabe von Unterlagen und Daten gilt Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT. Der AG kann jederzeit einen früheren Zeitpunkt der Löschung bestimmen. Unabhängig hiervon ist der AN verpflichtet, jederzeit auf Verlangen die Daten herauszugeben. 3.7 Im Rahmen von Spezifikations- und Konzeptionsleistung stellt der AN sicher, dass Informationssicherheitsaspekte frühzeitig im Rahmen der Projektplanung berücksichtigt werden. Die Ergebnisse der Sicherheitsprüfung bedürfen sowohl der Bestätigung durch den lokal zuständigen Informationssicherheitsbeauftragten (ISO) des AG und durch den Projektleiter des AG, als auch der Zustimmung des Dateneigners. (s. Richtlinie über Sicherheitsaspekte in der Projektplanung) 3.8 Der AN stellt sicher, dass alle notwendigen Information zur Erstellung eines adäquaten Sicherheitskonzeptes einbezogen werden (Informationsklassifizierung, Informationssicherheitsrichtlinien und standards des AG) 3.9 Der AN stellt sicher, dass ein Verantwortlicher benannt ist, der gewährleistet, dass unangemessene Informationsrisiken während der Systemgestaltung adressiert werden und technologische, Architektur- oder Design- Entscheidungen nicht zu einer Verletzung von Informationssicherheitsrichtlinien führen. (s. Richtlinie zum Entwurf sicherer Systeme, Standard zu Anforderungen für sichere Systeme, Standard für sicheres Programmieren) 3.10 Der AN stellt sicher, dass Entwicklungsprojekte im Rahmen definierter Prozesse und kontrollierter Umgebungen erfolgen. Diese sind gegebenenfalls an die Sicherheitserfordernisse anzupassen. (s. Richtlinie Sicherheitsaspekte bei der Systementwicklung, Standard für Änderungskontrolle in der Entwicklung, Standard zur Zugriffskontrolle für den Quellcode) 3.11 Der AN verpflichtet sich, dass die Qualität des Source Codes bzgl. Informationssicherheit dem aktuellen Stand der Technik entspricht. Auf Verlangen des AG unterstützt der AN Source Code Audits durch den AG oder einen vom AG beauftragten Dritten durch entsprechende Zugriffsmöglichkeiten auf die Software Entwickler und Hilfsdokumentation. (s. Position Paper Securing Application through Coding Guidelines and Code Reviews) 3.12 Handelt es sich bei der zu erbringenden Leistungen um Individual-Software-Entwicklung, -Pflege und Anpassung im Sinne der Besonderen Bestimmungen H. der AEB-IT ist der AG berechtigt automatisierte Application Security Scans und Reviews bei der Abnahmeprüfung gemäß Ziffer 9 der Besonderen Bestimmungen H. der AEB-IT und innerhalb der Gewährleistungszeit durchzuführen. Werden hierbei Seite 3 von 6
Sicherheitsmängel festgestellt kann der AG die Abnahme verweigern bzw. eine Nacherfüllung von AN fordern. Der AN ist verpflichtet, Sicherheitsmängel in Abstimmung mit dem AG im Rahmen seiner Nacherfüllungspflicht zu beheben. Hierbei erfolgt folgende Zuordnung zwischen der Daimler Risikoeinstufung der Sicherheitsmängel und den Fehlerklassen im Rahmen der funktionalen Abnahmetests. Daimler Risikoeinstufung Fehlerklasse Extrem / Kritisch Klasse 1 Hoch Klasse 2 Mittel Klasse 3 Niedrig Klasse 4 4 Subunternehmer und Zugriffsschutz 4.1 Sofern der AN Subunternehmer oder freie Mitarbeiter nach erfolgter Zustimmung des AG einschaltet, so hat er die vertraglichen Vereinbarungen zwischen dem AN und dem Subunternehmer oder freien Mitarbeiter so zu gestalten, dass sie den Vereinbarungen im Vertragsverhältnis zwischen AG und AN entsprechen. Insbesondere ist durch den AN sicherzustellen, dass der AG Kontrollen gemäß 5 dieser Anlage auch bei Subunternehmern oder freien Mitarbeitern durchführen kann. Der AG ist berechtigt, vom AN Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der in 3 Abs. 1 S. 1 und 2 dieser Anlage genannten Verpflichtungen erforderlichenfalls auch durch Einsicht in die relevanten Vertragsdokumente - zu erhalten. 4.2 Der AN darf Zugriffsberechtigungen auf die Daten des AG nur an eigene Mitarbeiter in dem für die jeweilige Aufgabe im Zusammenhang mit der Vertragserfüllung erforderlichen Umfang vergeben. Ist die Vergabe von Zugriffsberechtigungen an Mitarbeiter von Subunternehmen oder an freie Mitarbeiter zur Vertragserfüllung erforderlich, so darf dies erst nach der vorherigen schriftlichen Zustimmung des AG im für die jeweilige Aufgabe zur Vertragserfüllung erforderlichen Umfang erfolgen. 4.3 Auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen darf der AN nur mit Zustimmung des AG zugreifen bzw. eine Verbindung zwischen Hardware des AN und diesen herstellen. Er verpflichtet sich, nur auf die für die Vertragserfüllung notwendigen Daten und Informationen zuzugreifen. Er wird darüber hinaus sicherstellen, dass nur die berechtigten Mitarbeiter auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen zugreifen können. Die zugriffsberechtigten Personen sind dem AG vorab in jedem Fall und während der Vertragslaufzeit auf Anfrage des AG einschließlich des Umfangs der jeweiligen Zugriffsberechtigung zu benennen. Der AN verpflichtet sich, keinem Unbefugten die ihm zur Nutzung des Systems zugeteilten Zugriffsberechtigungen bekannt zu geben. Dem AN ist es nur mit Zustimmung des AG gestattet, etwaigen Subunternehmern oder freien Mitarbeitern im vertragserforderlichen Umfang den Zugriff auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen zu ermöglichen. Unverzüglich muss der AN dem AG mitteilen, wenn Mitarbeiter des AN, Subunternehmer oder freie Mitarbeiter, welche Zugangsund Zugriffsberechtigungen für DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen erhalten haben, nicht mehr mit der Erfüllung der vertragsgegenständlichen Leistung befasst sind, damit der AG die Zugangs- und Zugriffsberechtigungen entziehen kann. Seite 4 von 6
5 Fernzugriff und Onsite-Wartung 5.1 Ein Fernzugriff auf Hard- und Software des AG, sowie des durch diese Vereinbarung geschützten Datenbestands, ist nur zulässig, wenn der AG in den Fernzugriff eingewilligt hat und dieser über durch den AG freigegebene Fernzugriffszugänge erfolgt. Die IT-Systeme des AN, die dem Fernzugriff dienen, sind umfassend gegen unberechtigten und missbräuchlichen Zutritt, Zugang und Zugriff zu schützen. 5.2 Der AG darf den Fernzugriff innerhalb seiner IT-Systeme bzw. der IT-Systeme seiner Kunden im Rahmen der Auftragskontrolle protokollieren und auswerten. Der AN schafft im Verhältnis zu seinen Arbeitnehmern und Subunternehmern die rechtlichen Voraussetzungen, dass der AG Zugriffe protokollieren und auswerten kann. Sofern diese Sicherheitsanforderungen nicht gewährleistet werden können, ist der Fernzugriff unzulässig. 5.3 Der AN verpflichtet sich dafür Sorge zu tragen, dass die Kommunikationsinfrastruktur des AN für den Fernzugriff aktuell und nach dem Stand der Technik gegen Schadsoftware geschützt ist und dass sie regelmäßig auf bekannte Sicherheitsschwachstellen geprüft wird. Schwachstellen sind unverzüglich zu beseitigen. Kann der AN diese Anforderung nicht erfüllen, so ist der AG unverzüglich darüber in Kenntnis zu setzen. Die gleiche Verpflichtung gilt für den Schutz jeglicher Hard- und Software des AN, die in der Infrastruktur des AG bei Onsite-Wartung eingesetzt wird. 6 Kontrolle 6.1 Der AN hat vor Beginn der Datenverarbeitung die Umsetzung der in 2 dargelegten technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung schriftlich zu verfassen, durch Unterschrift zu bestätigen und dem AG auszuhändigen. Hierzu ist die Anlage 1 zu verwenden, die entsprechend der tatsächlich zu erbringenden Leistung ausgefüllt werden muss. Sollten in der Anlage 1 aufgeführte Maßnahmen für die Leistungserbringung nicht relevant sein, so dann dies in der Anlage 1 vermerkt werden. 6.2 Der AG oder dessen Beauftragter ist berechtigt, die Ausführung der datenschutzrechtlichen Bestimmungen und der Informationssicherheitsmaßnahmen gemäß den Anforderungen dieser Vereinbarung zu kontrollieren. Der AN wird die gewünschten Auskünfte erteilen und einen vollständigen Nachweis über die Umsetzung seiner Verpflichtungen innerhalb angemessener Zeit erbringen. Dem AG oder dessen Beauftragten ist nach vorheriger Anmeldung zur Überprüfung der Umsetzung der vertraglichen Vereinbarungen sowie der Angemessenheit der technischen und organisatorischen Datensicherheitsmaßnahmen Zutritt zu den Räumen und DV-Anlagen, in oder auf denen Daten des AG genutzt und verarbeitet werden, zu gewähren. 6.3 Der AN hat den AG bei Verdacht auf Datenschutzverletzungen, Sicherheitsverletzungen und anderen Manipulationen des Verarbeitungsablaufs unverzüglich zu informieren und sofort in Abstimmung mit dem AG alle erforderlichen Schritte zur Aufklärung des Sachverhalts einzuleiten und weitere Datenschutz- und Sicherheitsverletzungen zu verhindern. Informationssicherheitsschwachstellen, die öffentlich oder dem AN bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom AN unverzüglich zu beheben, soweit mit dem AG kein abweichender Zeitplan vereinbart ist. Seite 5 von 6
6.4 Sollten die Daten des AG beim AN durch Pfändung, durch Beschlagnahme oder sonstigen behördlichen Zugriff, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG darüber unverzüglich zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Verfügungsgewalt über die vertragsgegenständlichen Daten beim AG liegt. 7 Datenverarbeitung außerhalb der EU/EWR Erfolgt die Datenverarbeitung außerhalb der Europäischen Union oder der Europäischen Wirtschaftsraumes (EU, Island, Liechtenstein, Norwegen) oder wird außerhalb der genannten Staaten auf personenbezogenen Daten zugegriffen, so müssen vom AN entweder die EU Standardvertragsklauseln eingehalten werden oder der AN muss einem von der EU anerkannten Zertifizierungssystem (z.b. Safe Harbor) entsprechen. Seite 6 von 6