Datenschutz und Informationssicherheit für die AEB-IT Individual-Software- Entwicklung und IT-Dienstleistungen



Ähnliche Dokumente
Datenschutz und Informationssicherheit für die AEB-IT Individual-Software- Entwicklung und IT-Dienstleistungen

Anlage zur Auftragsdatenverarbeitung

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Vereinbarung Auftrag gemäß 11 BDSG

Datenschutzvereinbarung

Auftrag gemäß 11 BDSG

Datenschutz und Schule

Nutzung dieser Internetseite

Covermount-Rahmenvertrag. Microsoft Deutschland GmbH, Konrad-Zuse-Straße 1, Unterschleißheim - nachfolgend Microsoft -

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)

1. Diese Bestellung zur Entwicklung und Lieferung von Hard- und Software nebst; 2. Anlage 1 Rechtliche Rahmenbedingungen

1. Vertragsgegenstand

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Werkzeugvertrag B. - nachstehend "BHTC" genannt - - nachstehend "Lieferant" genannt -

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Wilo-Geniax Das Dezentrale Pumpensystem

Datenschutzhinweise zum VAPIANO PEOPLE Programm

Vernichtung von Datenträgern mit personenbezogenen Daten

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Vertrag zur Auftragsdatenverarbeitung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber)

Vertrag Individualberatung

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bei Verträgen über Dienstleistungen beginnt die Widerrufsfrist mit jenem Tag des Vertragsabschlusses.

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Freier Mitarbeiter Vertrag

Vereinbarung über den elektronischen Datenaustausch (EDI)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

Ocean24 verweist insofern auf die entsprechenden Allgemeinen Geschäftsbedingungen der Beförderer.

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

PANAZEE DIENSTLEISTUNGEN FÜR PROFESSIONALS. Treuhandvertrag (notariell) zwischen. -nachfolgend "Treugeber"- und

Allgemeine Geschäftsbedingungen. der

Das digitale Klassenund Notizbuch

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Beherrschungs- und Gewinnabführungsvertrag

EDI-Vereinbarung Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen

Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Netzanschlussvertrag Strom für höhere Spannungsebenen

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Steuern. Die elektronische Lohnsteuerkarte

Widerrufsbelehrung. Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Richtlinien zum Internationalen Sponsern. 01. April 2015 Amway

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Technische und organisatorische Maßnahmen der

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Verpflichtung auf das Datengeheimnis

Tag des Datenschutzes

Richtlinie zur Ausführung des Verbandlichen Markenrechts gemäß Nr. 11 Verbandsstatut der Arbeiterwohlfahrt ( Marken-Richtlinie )

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Widerrufsbelehrung der redcoon GmbH

Vereinbarung über den elektronischen Datenaustausch (EDI)

312a Allgemeine Pflichten und Grundsätze bei Verbraucherverträgen; Grenzen der Vereinbarung von Entgelten

Beratungsvertrag Was ist zu klären?

Der Schutz von Patientendaten

Cloud Computing - und Datenschutz

Rechte und Pflichten des Betriebsrats beim Arbeits- und Gesundheitsschutz

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Maklerauftrag für Vermieter

Befragung zum Migrationshintergrund

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

1 D -Dienste. 2 Zuständige Behörde

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Wir, gewählter Oberster Souverän von Gottes Gnaden, Treuhänder des

Transkript:

Datenschutz und Informationssicherheit für die AEB-IT Individual-Software- Entwicklung und IT-Dienstleistungen Den Zielen des Datenschutzes und der Informationssicherheit wird ein hoher Stellenwert eingeräumt. Die damit angestrebte Verlässlichkeit der Zusammenarbeit wird als integraler Bestandteil der Servicequalität verstanden. Die Verpflichtungen und Maßnahmen zur Wahrung, des Datenschutzes und der Informationssicherheit greifen integriert ineinander. Der Auftragnehmer (AN) muss die gesetzlichen Verpflichtungen des Datenschutzes und die Anforderungen des Auftraggebers (AG) zur Gewährleistung des Schutzes von Daten, Informationen und der zugrunde liegenden IV- Infrastruktur entsprechend den Allgemeinen Bestimmungen der AEB-IT, den jeweils einschlägigen besonderen Bestimmungen der AEB-IT und den nachfolgenden Bestimmungen umsetzen. 1 Gegenstand des Auftrages 1.1 Der Gegenstand des Auftrags ergibt sich aus der in der Bestellung vereinbarten Leistungsvereinbarung... vom..., auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung). 1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung. 1.3 Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Bestellung vereinbarten Leistungsvereinbarung vom... 1.4 Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben unter:... 1.5 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen ist in der Leistungsvereinbarung konkret beschrieben unter:... 2 Datenverarbeitung im Auftrag 2.1 Der AN erhebt, verarbeitet und nutzt personenbezogene Daten im Auftrag des AG. Für die Einhaltung der datenschutzrechtlichen Bestimmungen liegt die Verantwortung beim AG. Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, ist der AN gemäß 11 BDSG verpflichtet, ausschließlich den Weisungen des AG zu folgen. Die Weisung bedarf der Schriftform. Außerhalb von Weisungen darf der AN die ihm zur Verarbeitung oder Nutzung überlassenen oder die durch ihn erhobenen Daten weder für seine eigenen Zwecke noch für Zwecke Dritter verwenden. Der AN hat nach Weisung des AG die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den AN zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Seite 1 von 6

2.2 Der AN verpflichtet sich, seine, mit der Verarbeitung und Nutzung von Daten des AG befassten, Mitarbeiter nach den einschlägigen Datenschutzbestimmungen zu belehren und auf das Datengeheimnis gemäß 5 BDSG zu verpflichten. 2.3 Soweit der AN gesetzlich zur Bestellung eines Datenschutzbeauftragten gem. 4f BDSG verpflichtet ist, bestellt er diesen schriftlich und teilt dem AG den/die Namen sowie die Kontaktdaten des/der Ansprechpartner für Datenschutz und Informationssicherheit mit. Der AN verpflichtet sich zu regelmäßigen Kontrollen insbesondere der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen. 2.4 Der AN stellt dem AG die für die Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung und unterstützt den AG bei der Erfüllung seiner Meldepflicht. 2.5 Der AN informiert den AG unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG. 3 Informationssicherheit 3.1 Der AN hat zur Sicherstellung der Informationssicherheit gemäß Ziffer 7.3 der Allgemeinen Bestimmungen der AEB-IT sowie 9 BDSG nebst Anlage zu 9 BDSG ein Informationssicherheitskonzept im Rahmen eines Informationssicherheitsmanagements zu erstellen und umzusetzen. Hierzu verpflichtet sich der AN, alle Informationen und Daten des AG nach dem Stand der Technik wirksam gegen unberechtigten Zugriff, Veränderung, Zerstörung oder Verlust, unerlaubter Übermittlung, anderweitiger unerlaubter Verarbeitung und sonstigem Missbrauch im Rahmen eines Sicherheitskonzeptes zu sichern. Der AG kann eine schriftliche Festlegung des Sicherheitskonzeptes und einen schriftlichen Nachweis über dessen Einhaltung verlangen. Der AN stimmt sein Sicherheitskonzept mit dem zuständigen Informationssicherheitsbeauftragten (ISO) und dem Datenschutzbeauftragten des AG ab. Bei Tätigkeit in der Infrastruktur des AG (einschließlich des Fernzugriffs auf die Infrastruktur des AG) sind durch den AN darüber hinaus die Informationssicherheitsrichtlinien des AG umzusetzen. Bei Tätigkeit in der Infrastruktur des AN sind durch den AN die Informationssicherheitsrichtlinien des AG umzusetzen oder ist durch den AN ein vergleichbares und im Verhältnis zur Aufgabe angemessenes Informationssicherheitsniveau zu gewährleisten. Der AG stellt dem AN die jeweils gültigen Informationssicherheitsrichtlinien und standards zur Verfügung (s. Lieferantenportal). Informationssicherheitsschwachstellen, die öffentlich bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom Auftragnehmer unverzüglich zu beheben, soweit mit dem Auftraggeber kein abweichender Zeitplan vereinbart ist. 3.2 Für Informationen und Daten, die der AN für den AG erhebt, in seinen DV-Anlagen speichert, auf sonstige Weise verarbeitet oder nutzt, muss er sicherstellen, dass Dritte (z.b. andere Kunden des AN) nicht auf diese Daten und Informationen zugreifen können. Insbesondere ist die vollständige und nachprüfbare Trennung der Verarbeitung von Daten verschiedener Auftraggeber bei den eingesetzten Datenverarbeitungssystemen und -anwendungen zu gewährleisten (Mandantenfähigkeit). 3.3 Der AN schult regelmäßig seine mit der Leistungserbringung für den AG beschäftigten Mitarbeiter zu relevanten Themen der Informationssicherheit einschließlich ihrer im Zusammenhang mit der Leistungserbringung stehenden Pflichten zur Gewährleistung der Informationssicherheit. Seite 2 von 6

3.4 Alle vom AG als vertraulich oder geheim eingestufte Informationen des AG sind durch den AN durch geeignete kryptographische Maßnahmen nach aktuellem Stand der Technik sowohl bei der Übertragung als auch bei der Speicherung auf mobilen Datenträgern zu schützen. Der Transportkanal-Schutz ist in gesicherten Umgebungen optional, sofern keine personenbezogenen Daten übertragen werden. Der AN muss nachweisen können, dass die Umgebungen für die Verarbeitung vertraulicher oder geheimer Daten nach aktuellem Stand der Technik ausgelegt sind. 3.5 Test- und Ausschussmaterial oder zwischengespeicherte Daten, das bei dem AN anfällt, wird unter Berücksichtigung von Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT vom AN vernichtet. 3.6 Für den AN besteht die Verpflichtung, Daten des AG auch nach Beendigung der entsprechenden Servicevereinbarung für die Dauer von zwei Jahren aufzubewahren. Innerhalb der 2 Jahre sind die Daten zurückzugeben oder auf Weisung zu löschen. Im Fall der Löschung bzw. der Rückgabe von Unterlagen und Daten gilt Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT. Der AG kann jederzeit einen früheren Zeitpunkt der Löschung bestimmen. Unabhängig hiervon ist der AN verpflichtet, jederzeit auf Verlangen die Daten herauszugeben. 3.7 Im Rahmen von Spezifikations- und Konzeptionsleistung stellt der AN sicher, dass Informationssicherheitsaspekte frühzeitig im Rahmen der Projektplanung berücksichtigt werden. Die Ergebnisse der Sicherheitsprüfung bedürfen sowohl der Bestätigung durch den lokal zuständigen Informationssicherheitsbeauftragten (ISO) des AG und durch den Projektleiter des AG, als auch der Zustimmung des Dateneigners. (s. Richtlinie über Sicherheitsaspekte in der Projektplanung) 3.8 Der AN stellt sicher, dass alle notwendigen Information zur Erstellung eines adäquaten Sicherheitskonzeptes einbezogen werden (Informationsklassifizierung, Informationssicherheitsrichtlinien und standards des AG) 3.9 Der AN stellt sicher, dass ein Verantwortlicher benannt ist, der gewährleistet, dass unangemessene Informationsrisiken während der Systemgestaltung adressiert werden und technologische, Architektur- oder Design- Entscheidungen nicht zu einer Verletzung von Informationssicherheitsrichtlinien führen. (s. Richtlinie zum Entwurf sicherer Systeme, Standard zu Anforderungen für sichere Systeme, Standard für sicheres Programmieren) 3.10 Der AN stellt sicher, dass Entwicklungsprojekte im Rahmen definierter Prozesse und kontrollierter Umgebungen erfolgen. Diese sind gegebenenfalls an die Sicherheitserfordernisse anzupassen. (s. Richtlinie Sicherheitsaspekte bei der Systementwicklung, Standard für Änderungskontrolle in der Entwicklung, Standard zur Zugriffskontrolle für den Quellcode) 3.11 Der AN verpflichtet sich, dass die Qualität des Source Codes bzgl. Informationssicherheit dem aktuellen Stand der Technik entspricht. Auf Verlangen des AG unterstützt der AN Source Code Audits durch den AG oder einen vom AG beauftragten Dritten durch entsprechende Zugriffsmöglichkeiten auf die Software Entwickler und Hilfsdokumentation. (s. Position Paper Securing Application through Coding Guidelines and Code Reviews) 3.12 Handelt es sich bei der zu erbringenden Leistungen um Individual-Software-Entwicklung, -Pflege und Anpassung im Sinne der Besonderen Bestimmungen H. der AEB-IT ist der AG berechtigt automatisierte Application Security Scans und Reviews bei der Abnahmeprüfung gemäß Ziffer 9 der Besonderen Bestimmungen H. der AEB-IT und innerhalb der Gewährleistungszeit durchzuführen. Werden hierbei Seite 3 von 6

Sicherheitsmängel festgestellt kann der AG die Abnahme verweigern bzw. eine Nacherfüllung von AN fordern. Der AN ist verpflichtet, Sicherheitsmängel in Abstimmung mit dem AG im Rahmen seiner Nacherfüllungspflicht zu beheben. Hierbei erfolgt folgende Zuordnung zwischen der Daimler Risikoeinstufung der Sicherheitsmängel und den Fehlerklassen im Rahmen der funktionalen Abnahmetests. Daimler Risikoeinstufung Fehlerklasse Extrem / Kritisch Klasse 1 Hoch Klasse 2 Mittel Klasse 3 Niedrig Klasse 4 4 Subunternehmer und Zugriffsschutz 4.1 Sofern der AN Subunternehmer oder freie Mitarbeiter nach erfolgter Zustimmung des AG einschaltet, so hat er die vertraglichen Vereinbarungen zwischen dem AN und dem Subunternehmer oder freien Mitarbeiter so zu gestalten, dass sie den Vereinbarungen im Vertragsverhältnis zwischen AG und AN entsprechen. Insbesondere ist durch den AN sicherzustellen, dass der AG Kontrollen gemäß 5 dieser Anlage auch bei Subunternehmern oder freien Mitarbeitern durchführen kann. Der AG ist berechtigt, vom AN Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der in 3 Abs. 1 S. 1 und 2 dieser Anlage genannten Verpflichtungen erforderlichenfalls auch durch Einsicht in die relevanten Vertragsdokumente - zu erhalten. 4.2 Der AN darf Zugriffsberechtigungen auf die Daten des AG nur an eigene Mitarbeiter in dem für die jeweilige Aufgabe im Zusammenhang mit der Vertragserfüllung erforderlichen Umfang vergeben. Ist die Vergabe von Zugriffsberechtigungen an Mitarbeiter von Subunternehmen oder an freie Mitarbeiter zur Vertragserfüllung erforderlich, so darf dies erst nach der vorherigen schriftlichen Zustimmung des AG im für die jeweilige Aufgabe zur Vertragserfüllung erforderlichen Umfang erfolgen. 4.3 Auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen darf der AN nur mit Zustimmung des AG zugreifen bzw. eine Verbindung zwischen Hardware des AN und diesen herstellen. Er verpflichtet sich, nur auf die für die Vertragserfüllung notwendigen Daten und Informationen zuzugreifen. Er wird darüber hinaus sicherstellen, dass nur die berechtigten Mitarbeiter auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen zugreifen können. Die zugriffsberechtigten Personen sind dem AG vorab in jedem Fall und während der Vertragslaufzeit auf Anfrage des AG einschließlich des Umfangs der jeweiligen Zugriffsberechtigung zu benennen. Der AN verpflichtet sich, keinem Unbefugten die ihm zur Nutzung des Systems zugeteilten Zugriffsberechtigungen bekannt zu geben. Dem AN ist es nur mit Zustimmung des AG gestattet, etwaigen Subunternehmern oder freien Mitarbeitern im vertragserforderlichen Umfang den Zugriff auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen zu ermöglichen. Unverzüglich muss der AN dem AG mitteilen, wenn Mitarbeiter des AN, Subunternehmer oder freie Mitarbeiter, welche Zugangsund Zugriffsberechtigungen für DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen erhalten haben, nicht mehr mit der Erfüllung der vertragsgegenständlichen Leistung befasst sind, damit der AG die Zugangs- und Zugriffsberechtigungen entziehen kann. Seite 4 von 6

5 Fernzugriff und Onsite-Wartung 5.1 Ein Fernzugriff auf Hard- und Software des AG, sowie des durch diese Vereinbarung geschützten Datenbestands, ist nur zulässig, wenn der AG in den Fernzugriff eingewilligt hat und dieser über durch den AG freigegebene Fernzugriffszugänge erfolgt. Die IT-Systeme des AN, die dem Fernzugriff dienen, sind umfassend gegen unberechtigten und missbräuchlichen Zutritt, Zugang und Zugriff zu schützen. 5.2 Der AG darf den Fernzugriff innerhalb seiner IT-Systeme bzw. der IT-Systeme seiner Kunden im Rahmen der Auftragskontrolle protokollieren und auswerten. Der AN schafft im Verhältnis zu seinen Arbeitnehmern und Subunternehmern die rechtlichen Voraussetzungen, dass der AG Zugriffe protokollieren und auswerten kann. Sofern diese Sicherheitsanforderungen nicht gewährleistet werden können, ist der Fernzugriff unzulässig. 5.3 Der AN verpflichtet sich dafür Sorge zu tragen, dass die Kommunikationsinfrastruktur des AN für den Fernzugriff aktuell und nach dem Stand der Technik gegen Schadsoftware geschützt ist und dass sie regelmäßig auf bekannte Sicherheitsschwachstellen geprüft wird. Schwachstellen sind unverzüglich zu beseitigen. Kann der AN diese Anforderung nicht erfüllen, so ist der AG unverzüglich darüber in Kenntnis zu setzen. Die gleiche Verpflichtung gilt für den Schutz jeglicher Hard- und Software des AN, die in der Infrastruktur des AG bei Onsite-Wartung eingesetzt wird. 6 Kontrolle 6.1 Der AN hat vor Beginn der Datenverarbeitung die Umsetzung der in 2 dargelegten technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung schriftlich zu verfassen, durch Unterschrift zu bestätigen und dem AG auszuhändigen. Hierzu ist die Anlage 1 zu verwenden, die entsprechend der tatsächlich zu erbringenden Leistung ausgefüllt werden muss. Sollten in der Anlage 1 aufgeführte Maßnahmen für die Leistungserbringung nicht relevant sein, so dann dies in der Anlage 1 vermerkt werden. 6.2 Der AG oder dessen Beauftragter ist berechtigt, die Ausführung der datenschutzrechtlichen Bestimmungen und der Informationssicherheitsmaßnahmen gemäß den Anforderungen dieser Vereinbarung zu kontrollieren. Der AN wird die gewünschten Auskünfte erteilen und einen vollständigen Nachweis über die Umsetzung seiner Verpflichtungen innerhalb angemessener Zeit erbringen. Dem AG oder dessen Beauftragten ist nach vorheriger Anmeldung zur Überprüfung der Umsetzung der vertraglichen Vereinbarungen sowie der Angemessenheit der technischen und organisatorischen Datensicherheitsmaßnahmen Zutritt zu den Räumen und DV-Anlagen, in oder auf denen Daten des AG genutzt und verarbeitet werden, zu gewähren. 6.3 Der AN hat den AG bei Verdacht auf Datenschutzverletzungen, Sicherheitsverletzungen und anderen Manipulationen des Verarbeitungsablaufs unverzüglich zu informieren und sofort in Abstimmung mit dem AG alle erforderlichen Schritte zur Aufklärung des Sachverhalts einzuleiten und weitere Datenschutz- und Sicherheitsverletzungen zu verhindern. Informationssicherheitsschwachstellen, die öffentlich oder dem AN bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom AN unverzüglich zu beheben, soweit mit dem AG kein abweichender Zeitplan vereinbart ist. Seite 5 von 6

6.4 Sollten die Daten des AG beim AN durch Pfändung, durch Beschlagnahme oder sonstigen behördlichen Zugriff, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG darüber unverzüglich zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Verfügungsgewalt über die vertragsgegenständlichen Daten beim AG liegt. 7 Datenverarbeitung außerhalb der EU/EWR Erfolgt die Datenverarbeitung außerhalb der Europäischen Union oder der Europäischen Wirtschaftsraumes (EU, Island, Liechtenstein, Norwegen) oder wird außerhalb der genannten Staaten auf personenbezogenen Daten zugegriffen, so müssen vom AN entweder die EU Standardvertragsklauseln eingehalten werden oder der AN muss einem von der EU anerkannten Zertifizierungssystem (z.b. Safe Harbor) entsprechen. Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback