Cloud-Verträge. Was Anbieter und Kunden besprechen sollten



Ähnliche Dokumente
Datenschutzvereinbarung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Anlage zur Auftragsdatenverarbeitung

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Wholesale und FTTH. Handbuch Abrechnung 1/5. Ausgabedatum Ersetzt Version 2-0. Swisscom (Schweiz) AG CH-3050 Bern

Online Data Protection

1 Geltungsbereich, Begriffsbestimmungen

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Ende von Vertragsbeziehungen

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

ITIL & IT-Sicherheit. Michael Storz CN8

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Handbuch Vertragsverwaltung oder Verwaltung des Auftragsschreibens

Der Schutz von Patientendaten

1. bvh-datenschutztag 2013

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Netzanschlussvertrag Strom für höhere Spannungsebenen

MyOffice-Exchange Bedingungen der ITAREX GmbH - Stand November 2013

Freie Universität Berlin

Verbrauchertipp! Gesetz zur Button-Lösung

Netzanschlussvertrag Gas (Entnahme hinter Druckregelung in Mittel- oder Hochdruck)

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

A-CERT Certificate Policy

Netzanschlussvertrag Strom (für höhere Spannungsebenen)

IMI datenschutzgerecht nutzen!

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Rechtlicher Rahmen für Lernplattformen

Datenschutz und Schule

Rechtssicher in die Cloud so geht s!

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Datenschutz-Vereinbarung

D i e n s t e D r i t t e r a u f We b s i t e s

Leistungsbeschreibung für Office Pakete (LB Office Pakete)

Cloud Computing und Datenschutz

Sonstige Marktregeln Gas

Cloud Computing - und Datenschutz

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Freier Mitarbeiter Vertrag

10 größten SLA Irrtümer. Seminar: 8663 Service-Level-Agreement. Qualified for the Job

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

1. Vertragsgegenstand

Informationssicherheit als Outsourcing Kandidat

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

über die Beauftragung des Kommunalen Versorgungsverbandes Sachsen-Anhalt als Bezügestelle

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Überprüfung der digital signierten E-Rechnung

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Vereinbarung Auftrag gemäß 11 BDSG

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Service Level Agreement (SLA) für DMD² Streaming Services

Deutsches Forschungsnetz

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh,

Kaufvertrag / Mietvertrag / Leasingvertrag über die Lieferung von Hardware und Systemsoftware

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Beratungsvertrag Was ist zu klären?

Erstellung eines Verfahrensverzeichnisses aus QSEC

Preis- und Leistungsverzeichnis der Host Europe GmbH. Backup Pro 2.0 V 2.0. Stand:

united hoster GmbH Preis- und Leistungsverzeichnis Support

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Monitoring und Datenschutz

Vertrag über die Betreuung und Beratung eines EDV-Netzwerkes

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Nutzung dieser Internetseite

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Bedingungen für die Überlassung von Freeware-Software-Produkten von HIPPSOFT

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Sichere Kapitalanlage in KA-Durlach! Alte Weingartener Straße 46

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Transkript:

Cloud-Verträge Was Anbieter und Kunden besprechen sollten Katalog von empfohlenen Vertragsbestandteilen in Allgemeinen Geschäftsbedingungen (AGB) und Servicelevel-Vereinbarungen (SLA) für Cloud-Service-Anbieter.

Inhaltsangabe Katalog erstellt von: EuroCloud.Austria (Editor) Wirtschaftskammer Wien Fachgruppe Unternehmensberatung und Informationstechnologie Austrian Standards Institute, Arbeitsgruppe 001.38 Cloud Qualitätskriterien IT-Cluster der Wirtschaftsagentur Wien Weiters empfohlen von: ADV Arbeitsgemeinschaft für Datenverarbeitung Rahmenbedingungen des Cloud-Services Regelung betreffend alle an der Leistungserbringung beteiligten Unternehmen Regelung betreffend Änderungen von Vertragsbedingungen von Cloud-Services Regelung betreffend die Vertragsbeendigung von Cloud-Services Leistungserbringung von Cloud-Services Regelung betreffend die eingesetzte Infrastruktur Regelung betreffend den Inhalt der Leistung Regelung betreffend die Implementierung der Leistung Regelung betreffend den Betrieb der Leistung Regelung betreffend die Erreichbarkeit des Cloud-Services Verrechnung von Cloud-Services Sicherheit von Cloud-Services Regelung betreffend den Datenschutz Regelung betreffend die IT-Sicherheit Regelung betreffend die Datensicherung und Datenlöschung 6 6 7 7 9 9 10 10 11 12 13 14 14 16 17 Version 1.0 vom 01.11.2012 2 3

Ziele Ziele dieses Kataloges Für einen Nutzer von Cloud-Services sind diese Services ähnlich zu betrachten wie ein klassisches Outsourcing von IT-Leistungen. Daher sollten Cloud-Services Vereinbarungen enthalten, die auch bei einem klassischen IT-Outsourcing-Vertrag durchaus üblich sind. Dies ist ein Katalog von empfohlenen Vertragselementen, die in Allgemeinen Geschäftsbedingungen (AGB) oder Servicelevel-Vereinbarungen (SLA) von Cloud-Service-Unternehmen berücksichtigt sein sollten. Es sind jedoch keine Musterklauseln formuliert, denn diese müssen immer den jeweiligen Kontext des Cloud-Services berücksichtigen. Beispielsweise sind Cloud-Services für den privaten Foto-Upload mit Sicherheit anders in den Vertragsvereinbarungen zu behandeln als eine Cloud- Rechnungslegungssoftware für Unternehmen. Diese Zusammenstellung erhebt keinen Anspruch auf Vollständigkeit. 4 5

Rahmenbedingungen Rahmenbedingungen 1 Rahmenbedingungen des Cloud-Services In diesem inhaltlichen Bereich sollten sämtliche wesentlichen Informationen und erforderlichen Regelungen angeführt werden, die bei Vertragsabschluss und bei der Vertragsbeendigung eines Cloud-Services wichtig sind. Insbesondere sind dies Informationen über die an der Leistungserbringung beteiligten Unternehmen. subunternehmer unterworfen sind, welche Datenschutzrechte die subunternehmer beachten müssen, welche wesentlichen Insolvenzrechte gelten (Zugriff auf Daten, Aussonderungsrechte, Zwangsbestimmungen, Insolvenzverwalter usw.). 1.1.5 Darstellung, dass Subauftragnehmer vom Auftragnehmer an dieselben Verpflichtungen gebunden werden, die der Auftragnehmer mit dem auftraggeber eingeht. 1.1 Regelung betreffend alle an der leistungserbringung beteiligten Unternehmen Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: 1.1.1 Relevante Informationen zum Unternehmen, mit dem der Vertrag abgeschlossen werden soll, entsprechend den öffentlichen Registern wie z.b. Firmenbuch, Gewerberegister oder Vereinsregister. 1.1.2 Darstellung, woher der Anbieter des Services kommt und welche nationalen Rechte betroffen sein können (Headoffice und Niederlassungen). 1.1.3 Informationen zu bestehenden Zertifizierungen des Vertragspartners. detaillierte Beschreibung der bestehenden, gültigen Zertifizierungen des Rechenzentrums. 1.1.4 Informationen zu Unternehmen, die an der Leistungserbringung beteiligt sind. Auch Subunternehmen, Rechenzentren oder Cloud-Services anderer unternehmen, die in den eigenen gesamten Service integriert sind. insbesondere Darstellung, welche Unterauftragnehmer in Österreich oder in Ländern mit vergleichbaren Datenschutzgesetzen eingesetzt werden. beispielsweise: welcher Rechtsordnung (wenn auch nur teilweise) die 1.2 Regelung betreffend Änderungen von Vertragsbedingungen von Cloud-Services Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: 1.2.1 Klärung, in welcher Form der Vertrag zur Verfügung gestellt wird (z.b. elektronisch signiertes PDF oder Papierform) sowie der Vorgehensweise, die im Falle von Vertragsänderungen angewendet wird. 1.2.2 Bestätigung, dass keine einseitigen Änderungen an den Vertragsinhalten vorgenommen werden. 1.2.3 Auflistung jener Subunternehmer, bei deren Wechsel die ausdrückliche Zustimmung des Kunden eingeholt werden muss. 1.3 Regelung betreffend die Vertragsbeendigung von Cloud-Services Regelungen betreffend das Vertragsende sollten im Vertrag ausreichend detailliert berücksichtigt, bestätigt bzw. deutlich dargestellt werden: 1.3.1 Darstellung der Laufzeit des Vertrages und der Regelung von eindeutigen Kündigungsgründen und deren Fristen für beide Seiten. Sonderkündigungsrecht des Auftraggebers, wenn der Anbieter wichtige Subunternehmer wechselt 6 7

Rahmenbedingungen Leistungserbringung (falls Beibehaltung des bisherigen Subunternehmers nicht möglich ist). 1.3.2 Darstellung der Regelungen, die die Mitwirkung des Auftragnehmers bei der datenbereitstellung nach einer Vertragskündigung festlegen. 1.3.3 Regelungen zum Schutz der Daten des Auftraggebers und der Verfügbarkeit der Anwendung bei Insolvenz des Auftragnehmers, z.b. durch vorbeugende Maßnahmen. 1.3.4 Ausreichend detaillierte Beschreibung der Prozesse bei Vertragsbeendigung wie z.b. Datenrückgabe, Datenlöschung, Zugangsbeendigung, finale abrechnung, technische Formate der Datenübermittlung, Fristen, Übergabe der elektronischen Schlüssel usw. 2 Leistungserbringung von Cloud-Services In diesem inhaltlichen Bereich sollten sämtliche wesentlichen Informationen und erforderlichen Regelungen angeführt werden, die für die Leistungserbringung eines Cloud-Services wichtig sind. Insbesondere sind dies alle Informationen zur verwendeten Infrastruktur, zur Leistung und deren Implementierung und zum Betrieb. 2.1 Regelung betreffend die eingesetzte Infrastruktur Folgende Punkte sollten bestätigt bzw. in ausreichender Detaillierung angeführt werden: 2.1.1 Explizite Nennung aller Rechenzentren (samt Ortsanagabe), die für die anwendung zum Einsatz kommen. Die rechtlichen Konsequenzen des einsatzes von Rechenzentren außerhalb des EU-Rechtsrahmens sollten transparent gemacht werden. 2.1.2 Darstellung, wie das Rechenzentrum mit möglichen Risiken (Naturkatastrophen, technischen Gebrechen, Kriminalität und menschlichen Fehlleistungen) umgeht und welche Maßnahmen und Prozesse zur Minimierung möglicher Folgen angewendet werden. 2.1.3 Detaillierte Darstellung der Verfügbarkeit der Infrastruktur im Rechenzentrum, der Anbindung an einen oder mehrere Internet-Carrier, der handbücher zu Betriebsführung & Notfällen, der Zertifizierungen und der Verfügbarkeit von redundanter Stromversorgung und Kühlung. 8 9

Leistungserbringung Leistungserbringung 2.2 Regelung betreffend den Inhalt der Leistung Der Bedeutung der Leistungsbeschreibung als wesentliches Element des Vertrages sollte durch eine detaillierte Beschreibung ausreichend Raum gegeben werden. Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: 2.3.3 Schulungskonzepte, Betriebshandbücher und Anwenderhandbücher. 2.3.4 Abnahmeprozesse und deren Konsequenzen (z.b. Leistungsbeginn, Gewährleistung, Zahlungsverpflichtungen). 2.4 Regelung betreffend den Betrieb der Leistung 2.2.1 Ausreichend detaillierte Beschreibung der Cloud-Leistung selbst und der Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. art des Cloud-Services, z.b. Infrastructur as a Services (IaaS) usw. in ausreichender Detaillierung angeführt werden: 2.2.2 Informationen zu Herkunft und Hersteller der Leistung und zu bestehenden Zertifizierungen. 2.4.1 Ausreichend detaillierte Darstellung des Release Managements 2.2.3 Klare Aussagen zu Regelungen, für welche Länder der Betrieb der Anwendung (Zeitpunkt, Vorlauf, Wechselpflicht, kundenspezifische Konfigurationen). zugesichert wird, der angebotenen Sprachversionen und Lokalisierungen, der 2.4.2 Ausreichend detaillierte Darstellung des Fehler- bzw. Mängelmanagements eingesetzten Standards, welche Browser und welche Schnittstellen (Meldepflicht, Kommunikationsstrategie wie z.b. Ticketsystem, unterstützt werden. telefonservices [Hotline], Eskalationsprozesse, Patch-Termine usw.). 2.2.4 Deutliche Beschreibung der angebotenen Möglichkeiten der Verwaltung 2.4.3 Ausreichend detaillierte Darstellung, welche Verfügbarkeitswerte der eigenen Rechte, der Authentifizierungsmöglichkeiten und der zugesichert werden und wie die laufenden Performancemessungen erfolgen Benutzerverwaltung. sowie wie der Auftraggeber vom Stand der Serviceerfüllung informiert wird (wie erfolgen Monitoring und Reporting?). 2.4.4 Ausreichend detaillierte Darstellung, welche Servicelevels (SLA) angeboten 2.3 Regelung betreffend die Implementierung der Leistung werden und wie die Einhaltung der Servicelevels kontrolliert, dokumentiert und kommuniziert wird. Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. 2.4.5 Ausreichend detaillierte Darstellung, wie die Störungsbehebung in ausreichender Detaillierung angeführt werden: organisiert ist. 2.4.6 Ausreichend detaillierte Darstellung, wie die Kapazitätsplanung für die 2.3.1 Ausreichend detaillierte Beschreibung der Trial-Versionen erforderliche Infrastruktur des Services erfolgt. (Kosten, Dauer, Funktionen) und Darstellung der Umstiegsszenarien 2.4.7 Ausreichend detaillierte Darstellung aller Möglichkeiten des Datenexports auf Vollversionen. sowie der dafür erforderlichen Schnittstellen und Programme. 2.3.2 Sämtliche Optionen bei der Implementierung und bei den Customizing- 2.4.8 Regelungen für elektronische Dokumente (Rechnungen und sonstige Möglichkeiten und damit verbundene Kosten. geschäftsrelevante Belege), die zu Verpflichtungen seitens des auftraggebers gegenüber der Finanzbehörde führen. 10 11

Leistungserbringung Verrechnung 2.5 Regelung betreffend die Erreichbarkeit des Cloud-Services 3 Verrechnung von Cloud-Services Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: 2.5.1 Detaillierte Regelungen für die Kommunikationskanäle für den Support zum Endkunden und Regelung der verfügbaren Sprachen für den Support. 2.5.2 Regelungen für 1st und 2nd Level Support und für die jeweilige Verfügbarkeit und die garantierten Antwortzeiten. 2.5.3 Darstellung des Kundensupports und des Einsatzes eines unterstützenden Systems wie z.b. eines Ticketsystems. In diesem inhaltlichen Bereich sollten sämtliche wesentlichen Informationen und erforderlichen Regelungen angeführt werden, die für die Leistungsverrechnung eines Cloud-Services wichtig sind. 3.1. Detaillierte Darstellung des Inhalts und der Form der Leistungsmessung und leistungsverrechnung sowie aller möglichen Abweichungen von diesen Regelungen, insbesondere von separat zu verrechnenden Sonderleistungen, Mengenrabatten und dem Preis von Sonderleistungen. 3.2. Klärung der Vorgangsweise betreffend mögliche zukünftige Preisanpassungen. 3.3. Detaillierte Beschreibung der Möglichkeiten im Falle von Leistungsstörungen wie Entgeltminderung, Pönalen und Schadenersatz. 3.4. Detaillierte Beschreibung der Regelungen bei Streitigkeiten über leistungserbringung oder Zahlungsverzug. Ausschluss von Regelungen betreffend die Zurückbehaltung oder Löschung von Daten des auftraggebers ohne dessen ausdrückliche Zustimmung. 12 13

Sicherheit Sicherheit 4 Sicherheit von Cloud-Services In diesem inhaltlichen Bereich sollten sämtliche wesentlichen Informationen und erforderlichen Regelungen angeführt werden, die für die Sicherheit der Daten des Auftraggebers eines Cloud-Services wichtig sind. 4.1 Regelung betreffend den Datenschutz Folgende Punkte sollten im Vertrag zur nachweislichen Einhaltung des Datenschutzes in ausreichender Detaillierung angeführt werden: 4.1.1 Beschreibung des Dienstes im Zusammenhang mit datenschutzrelevanten Aspekten, Beschreibung des Umfangs und von Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen sowie die Definition der Dauer der Verarbeitung und der Löschung der Daten. 4.1.2 Darstellung der Regelungen für personenbezogene Datenbestände (Registereintrag oder gleichwertige Regelungen). Insbesondere die Nennung einer Ansprechstelle, die gegenüber dem Auftraggeber für alle Belange des Datenschutzes beim Auftragnehmer und seinen Unterauftragnehmern als Ansprechpartner zur Verfügung steht. Diese Belange betreffen insbesondere die Unterstützung bei der Ausübung von Betroffenenrechten (Auskunft, Berichtigung, Löschung von Daten von Betroffenen). 4.1.3 Darstellung, wie Mitarbeiter des Auftragnehmers und aller Subunternehmer, die auf Daten Zugriff haben könnten, auf das Datengeheimnis und andere anzuwendende Vertraulichkeitsregelungen verpflichtet werden. 4.1.4 Regelung der Verantwortlichkeiten zwischen dem Auftraggeber, der die grundsätzliche datenschutzrechtliche Verantwortlichkeit trägt, und dem Auftragnehmer, der für die Umsetzung von datenschutzrelevanten Weisungen des Auftraggebers verantwortlich ist und die technischen schutzmaßnahmen etc. zu etablieren hat. 4.1.5 Definitionen von Sachverhalten, die als mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen dem Auftraggeber anzeigt werden müssen. 4.1.6 Regelung über rechtlich zulässige und verpflichtende Information des auftragnehmers an den Auftraggeber, wenn Zugriffe durch strafverfolgungsbehörden und andere staatliche Stellen erfolgt sind. 14 15

Sicherheit Sicherheit 4.1.7 Regelung von Kontrollrechten des Auftraggebers und/oder eines vom 4.2.2 Beschreibung von Security-Checks bzw. Penetration-Tests, die beim Auftraggeber beauftragten Dritten vor Ort beim Auftragnehmer oder Auftragnehmer durchgeführt werden. seinen Unterauftragnehmern. Regelungen für (kumulativ oder alternativ 4.2.3 Beschreibung der Verschlüsselungsmethoden und des Key-Managements zu Kontrollen durch den Auftraggeber) regelmäßige Kontrollen/Audits für den Datenverkehr zwischen Auftraggeber und Auftragnehmer, der und Zertifizierungen, die den Datenschutz beim Auftragnehmer und Verschlüsselung auf den Speichermedien und einer End-to-End- die Einhaltung der Verpflichtungen gegenüber dem Auftraggeber kontrollieren Verschlüsselung, die einen Dateneinblick durch Personal des Anbieters und zertifizieren. Regelung zur Mitwirkung des Auftragnehmers bei diesen vollständig ausschließt. Aktivitäten und den damit verbundenen Kosten. 4.2 Regelung betreffend die IT-Sicherheit 4.2.4 Detaillierte Beschreibung der sicheren Authentifizierung zur Nutzung des Services, der Auditierbarkeit von Login-Vorgängen (vom Kunden einsehbar) und der Möglichkeit, ein Kundensystem zur Authentifizierung zu integrieren. 4.3 Regelung betreffend die Datensicherung und Datenlöschung Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Detaillierung angeführt werden: 4.2.1 Beschreibung der eingesetzten IT-Sicherheitslösungen wie der Einsatz von Firewallsystemen, Virenscannern zum Schutz vor Viren, Trojanern, Folgende Punkte sollten im Vertrag berücksichtigt, bestätigt bzw. in ausreichender Malware, Schutz vor DoS usw. Detaillierung angeführt werden: 4.3.1 Ausreichend detaillierte Regelung betreffend die Spiegelung von Anwendungsdaten und die Failover-Verfahren, um Daten permanent verfügbar zu halten. 4.3.2 Ausreichend detaillierte Regelung von Datensicherung und -archivierung (z.b. wann, wie oft, wie lange, Dauer der Rücksicherung, Lagerung der Speichermedien), Regelung der Verwahrung der Sicherungsmedien (z.b. räumliche Trennung, Regelung der Verschlüsselung der Sicherungen und Regelungen des Zugriffs des Kunden auf Datensicherungen), Regelungen zur Löschung der Daten und zur Rückgabe von Datenträgern 16 nach Beendigung des Vertrags, Regelung zur nachweislichen Löschung von Daten des Auftraggebers. 17

Adressen Adressen EuroCloud EuroCloud.Austria - gemeinnütziger Verein für Förderung von Cloud Computing Museumstraße 5/14 1070 Wien info@eurocloud.at www.eurocloud.at ADV ADV Arbeitsgemeinschaft für Datenverarbeitung Trattnerhof 2 1010 Wien office@adv.at www.adv.at IT Cluster IT-Cluster der Wirtschaftsagentur Wien Ebendorferstraße 2 A-1010 Wien info@wirtschaftsagentur.at www.clusterwien.at Austrian Standards Institute Austrian Standards Institute / Österreichisches Normungsinstitut (ON) Heinestraße 38 1020 Wien office@as-institute.at www.as-institute.at UBIT Wiedner Hauptstraße 63 1045 Wien ubit@wko.at www.ubit.at 18 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback