Datenschutz und Informationssicherheit für die AEB-IT Individual-Software- Entwicklung und IT-Dienstleistungen Den Zielen des Datenschutzes und der Informationssicherheit wird ein hoher Stellenwert eingeräumt. Die damit angestrebte Verlässlichkeit der Zusammenarbeit wird als integraler Bestandteil der Servicequalität verstanden. Die Verpflichtungen und Maßnahmen zur Wahrung, des Datenschutzes und der Informationssicherheit greifen integriert ineinander. Der Auftragnehmer (AN) muss die gesetzlichen Verpflichtungen des Datenschutzes und die Anforderungen des Auftraggebers (AG) zur Gewährleistung des Schutzes von Daten, Informationen und der zugrunde liegenden IV- Infrastruktur entsprechend den Allgemeinen Bestimmungen der AEB-IT, den jeweils einschlägigen besonderen Bestimmungen der AEB-IT und den nachfolgenden Bestimmungen umsetzen. 1 Datenverarbeitung im Auftrag 1.1 Der AN erhebt, verarbeitet und nutzt personenbezogene Daten im Auftrag des AG. Für die Einhaltung der datenschutzrechtlichen Bestimmungen liegt die Verantwortung beim AG. Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, ist der AN gemäß 11 BDSG verpflichtet, ausschließlich den Weisungen des AG zu folgen. Die Weisung bedarf der Schriftform. Außerhalb von Weisungen darf der AN die ihm zur Verarbeitung oder Nutzung überlassenen oder die durch ihn erhobenen Daten weder für seine eigenen Zwecke noch für Zwecke Dritter verwenden. 1.2 Der AN stellt dem AG die für die Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung und unterstützt den AG bei der Erfüllung seiner Meldepflicht. 2 Informationssicherheit 2.1 Der AN hat zur Sicherstellung der Informationssicherheit gemäß Ziffer 7.3 der Allgemeinen Bestimmungen der AEB-IT sowie 9 BDSG nebst Anlage zu 9 BDSG ein Informationssicherheitskonzept im Rahmen eines Informationssicherheitsmanagements zu erstellen und umzusetzen. Auf Verlangen des AG legt der AN diesem das Konzept vor und weist dem AG die Umsetzung nach. Bei Tätigkeit in der Infrastruktur des AG (einschließlich des Fernzugriffs auf die Infrastruktur des AG) sind durch den AN darüber hinaus die Informationssicherheitsrichtlinien des AG umzusetzen. Bei Tätigkeit in der Infrastruktur des AN sind durch den AN die Informationssicherheitsrichtlinien des AG umzusetzen oder ist durch den AN ein vergleichbares und im Verhältnis zur Aufgabe angemessenes Informationssicherheitsniveau zu gewährleisten. Der AG stellt dem AN die jeweils gültigen Informationssicherheitsrichtlinien und standards zur Verfügung (s. Lieferantenportal). Informationssicherheitsschwachstellen, die öffentlich bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom Auftragnehmer unverzüglich zu beheben, soweit mit dem Auftraggeber kein abweichender Zeitplan vereinbart ist. Seite 1 von 5
2.2 Für Informationen und Daten, die der AN für den AG erhebt, in seinen DV-Anlagen speichert, auf sonstige Weise verarbeitet oder nutzt, muss er sicherstellen, dass Dritte (z.b. andere Kunden des AN) nicht auf diese Daten und Informationen zugreifen können. Insbesondere ist die vollständige und nachprüfbare Trennung der Verarbeitung von Daten verschiedener Auftraggeber bei den eingesetzten Datenverarbeitungssystemen und -anwendungen zu gewährleisten (Mandantenfähigkeit). 2.3 Der AN schult regelmäßig seine mit der Leistungserbringung für den AG beschäftigten Mitarbeiter zu relevanten Themen der Informationssicherheit einschließlich ihrer im Zusammenhang mit der Leistungserbringung stehenden Pflichten zur Gewährleistung der Informationssicherheit. 2.4 Alle vom AG als vertraulich oder geheim eingestufte Informationen des AG sind durch den AN durch geeignete kryptographische Maßnahmen nach aktuellem Stand der Technik sowohl bei der Übertragung als auch bei der Speicherung auf mobilen Datenträgern zu schützen. Der Transportkanal-Schutz ist in gesicherten Umgebungen optional, sofern keine personenbezogenen Daten übertragen werden. Der AN muss nachweisen können, dass die Umgebungen für die Verarbeitung vertraulicher oder geheimer Daten nach aktuellem Stand der Technik ausgelegt sind. 2.5 Test- und Ausschussmaterial oder zwischengespeicherte Daten, das bei dem AN anfällt, wird unter Berücksichtigung von Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT vom AN vernichtet. 2.6 Für den AN besteht die Verpflichtung, Daten des AG auch nach Beendigung der entsprechenden Servicevereinbarung für die Dauer von zwei Jahren aufzubewahren. Innerhalb der 2 Jahre sind die Daten zurückzugeben oder auf Weisung zu löschen. Im Fall der Löschung bzw. der Rückgabe von Unterlagen und Daten gilt Ziffer 7.1 Abs. 2 S. 2 der Allgemeinen Bestimmungen der AEB-IT. Der AG kann jederzeit einen früheren Zeitpunkt der Löschung bestimmen. Unabhängig hiervon ist der AN verpflichtet, jederzeit auf Verlangen die Daten herauszugeben. 2.7 Im Rahmen von Spezifikations- und Konzeptionsleistung stellt der AN sicher, dass Informationssicherheitsaspekte frühzeitig im Rahmen der Projektplanung berücksichtigt werden. Die Ergebnisse der Sicherheitsprüfung bedürfen sowohl der Bestätigung durch den lokal zuständigen Informationssicherheitsbeauftragten (ISO) des AG und durch den Projektleiter des AG, als auch der Zustimmung des Dateneigners. (s. Richtlinie über Sicherheitsaspekte in der Projektplanung) 2.8 Der AN stellt sicher, dass alle notwendigen Information zur Erstellung eines adäquaten Sicherheitskonzeptes einbezogen werden (Informationsklassifizierung, Informationssicherheitsrichtlinien und standards des AG) 2.9 Der AN stellt sicher, dass ein Verantwortlicher benannt ist, der gewährleistet, dass unangemessene Informationsrisiken während der Systemgestaltung adressiert werden und technologische, Architektur- oder Design- Entscheidungen nicht zu einer Verletzung von Informationssicherheitsrichtlinien führen. (s. Richtlinie zum Entwurf sicherer Systeme, Standard zu Anforderungen für sichere Systeme, Standard für sicheres Programmieren) 2.10 Der AN stellt sicher, dass Entwicklungsprojekte im Rahmen definierter Prozesse und kontrollierter Umgebungen erfolgen. Diese sind gegebenenfalls an die Sicherheitserfordernisse anzupassen. (s. Richtlinie Sicherheitsaspekte bei der Systementwicklung, Standard für Änderungskontrolle in der Entwicklung, Standard zur Zugriffskontrolle für den Quellcode) Seite 2 von 5
2.11 Der AN verpflichtet sich, dass die Qualität des Source Codes bzgl. Informationssicherheit dem aktuellen Stand der Technik entspricht. Auf Verlangen des AG unterstützt der AN Source Code Audits durch den AG oder einen vom AG beauftragten Dritten durch entsprechende Zugriffsmöglichkeiten auf die Software Entwickler und Hilfsdokumentation. (s. Position Paper Securing Application through Coding Guidelines and Code Reviews) 2.12 Handelt es sich bei der zu erbringenden Leistungen um Individual-Software-Entwicklung, -Pflege und Anpassung im Sinne der Besonderen Bestimmungen H. der AEB-IT ist der AG berechtigt automatisierte Application Security Scans und Reviews bei der Abnahmeprüfung gemäß Ziffer 9 der Besonderen Bestimmungen H. der AEB-IT und innerhalb der Gewährleistungszeit durchzuführen. Werden hierbei Sicherheitsmängel festgestellt kann der AG die Abnahme verweigern bzw. eine Nacherfüllung von AN fordern. Der AN ist verpflichtet, Sicherheitsmängel in Abstimmung mit dem AG im Rahmen seiner Nacherfüllungspflicht zu beheben. Hierbei erfolgt folgende Zuordnung zwischen der Daimler Risikoeinstufung der Sicherheitsmängel und den Fehlerklassen im Rahmen der funktionalen Abnahmetests. Daimler Risikoeinstufung Fehlerklasse Extrem / Kritisch Klasse 1 Hoch Klasse 2 Mittel Klasse 3 Niedrig Klasse 4 3 Subunternehmer und Zugriffsschutz 3.1 Sofern der AN Subunternehmer oder freie Mitarbeiter nach erfolgter Zustimmung des AG einschaltet, so hat er die vertraglichen Vereinbarungen zwischen dem AN und dem Subunternehmer oder freien Mitarbeiter so zu gestalten, dass sie den Vereinbarungen im Vertragsverhältnis zwischen AG und AN entsprechen. Insbesondere ist durch den AN sicherzustellen, dass der AG Kontrollen gemäß 5 dieser Anlage auch bei Subunternehmern oder freien Mitarbeitern durchführen kann. Der AG ist berechtigt, vom AN Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der in 3 Abs. 1 S. 1 und 2 dieser Anlage genannten Verpflichtungen erforderlichenfalls auch durch Einsicht in die relevanten Vertragsdokumente - zu erhalten.. 3.2 Der AN darf Zugriffsberechtigungen auf die Daten des AG nur an eigene Mitarbeiter in dem für die jeweilige Aufgabe im Zusammenhang mit der Vertragserfüllung erforderlichen Umfang vergeben. Ist die Vergabe von Zugriffsberechtigungen an Mitarbeiter von Subunternehmen oder an freie Mitarbeiter zur Vertragserfüllung erforderlich, so darf dies erst nach der vorherigen schriftlichen Zustimmung des AG im für die jeweilige Aufgabe zur Vertragserfüllung erforderlichen Umfang erfolgen. 3.3 Auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen darf der AN nur mit Zustimmung des AG zugreifen bzw. eine Verbindung zwischen Hardware des AN und diesen herstellen. Er verpflichtet sich, nur auf die für die Vertragserfüllung notwendigen Daten und Informationen zuzugreifen. Er wird darüber hinaus sicherstellen, dass nur die berechtigten Mitarbeiter auf die DV-Anlagen des AG, dessen Beauftragte Seite 3 von 5
oder Subunternehmen zugreifen können. Die zugriffsberechtigten Personen sind dem AG vorab in jedem Fall und während der Vertragslaufzeit auf Anfrage des AG einschließlich des Umfangs der jeweiligen Zugriffsberechtigung zu benennen. Der AN verpflichtet sich, keinem Unbefugten die ihm zur Nutzung des Systems zugeteilten Zugriffsberechtigungen bekannt zu geben. Dem AN ist es nur mit Zustimmung des AG gestattet, etwaigen Subunternehmern oder freien Mitarbeitern im vertragserforderlichen Umfang den Zugriff auf die DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen zu ermöglichen. Unverzüglich muss der AN dem AG mitteilen, wenn Mitarbeiter des AN, Subunternehmer oder freie Mitarbeiter, welche Zugangs- und Zugriffsberechtigungen für DV-Anlagen des AG, dessen Beauftragte oder Subunternehmen erhalten haben, nicht mehr mit der Erfüllung der vertragsgegenständlichen Leistung befasst sind, damit der AG die Zugangs- und Zugriffsberechtigungen entziehen kann. 4 Fernzugriff und Onsite-Wartung 4.1 Ein Fernzugriff auf Hard- und Software des AG, sowie des durch diese Vereinbarung geschützten Datenbestands, ist nur zulässig, wenn der AG in den Fernzugriff eingewilligt hat und dieser über durch den AG freigegebene Fernzugriffszugänge erfolgt. Die IT-Systeme des AN, die dem Fernzugriff dienen, sind umfassend gegen unberechtigten und missbräuchlichen Zutritt, Zugang und Zugriff zu schützen. 4.2 Der AG darf den Fernzugriff innerhalb seiner IT-Systeme bzw. der IT-Systeme seiner Kunden im Rahmen der Auftragskontrolle protokollieren und auswerten. Der AN schafft im Verhältnis zu seinen Arbeitnehmern und Subunternehmern die rechtlichen Voraussetzungen, dass der AG Zugriffe protokollieren und auswerten kann. Sofern diese Sicherheitsanforderungen nicht gewährleistet werden können, ist der Fernzugriff unzulässig. 4.3 Der AN verpflichtet sich dafür Sorge zu tragen, dass die Kommunikationsinfrastruktur des AN für den Fernzugriff aktuell und nach dem Stand der Technik gegen Schadsoftware geschützt ist und dass sie regelmäßig auf bekannte Sicherheitsschwachstellen geprüft wird. Schwachstellen sind unverzüglich zu beseitigen. Kann der AN diese Anforderung nicht erfüllen, so ist der AG unverzüglich darüber in Kenntnis zu setzen. Die gleiche Verpflichtung gilt für den Schutz jeglicher Hard- und Software des AN, die in der Infrastruktur des AG bei Onsite-Wartung eingesetzt wird. 5 Kontrolle 5.1 Der AG oder dessen Beauftragter ist berechtigt, die Ausführung der datenschutzrechtlichen Bestimmungen und der Informationssicherheitsmaßnahmen gemäß den Anforderungen dieser Vereinbarung zu kontrollieren. Der AN wird die gewünschten Auskünfte erteilen und einen vollständigen Nachweis über die Umsetzung seiner Verpflichtungen innerhalb angemessener Zeit erbringen. Dem AG oder dessen Beauftragten ist nach vorheriger Anmeldung zur Überprüfung der Umsetzung der vertraglichen Vereinbarungen sowie der Angemessenheit der technischen und organisatorischen Datensicherheitsmaßnahmen Zutritt zu den Räumen und DV-Anlagen, in oder auf denen Daten des AG genutzt und verarbeitet werden, zu gewähren. Seite 4 von 5
5.2 Der AN hat den AG bei Verdacht auf Datenschutzverletzungen, Sicherheitsverletzungen und anderen Manipulationen des Verarbeitungsablaufs unverzüglich zu informieren und sofort in Abstimmung mit dem AG alle erforderlichen Schritte zur Aufklärung des Sachverhalts einzuleiten und weitere Datenschutz- und Sicherheitsverletzungen zu verhindern. Informationssicherheitsschwachstellen, die öffentlich oder dem AN bekannt werden oder auf die der AN durch den AG hingewiesen wird, sind vom AN unverzüglich zu beheben, soweit mit dem AG kein abweichender Zeitplan vereinbart ist. 5.3 Sollten die Daten des AG beim AN durch Pfändung, durch Beschlagnahme oder sonstigen behördlichen Zugriff, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG darüber unverzüglich zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Verfügungsgewalt über die vertragsgegenständlichen Daten beim AG liegt. Seite 5 von 5