Zusatzvereinbarung zur Auftragsdatenverarbeitung



Ähnliche Dokumente
Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Anlage zur Auftragsdatenverarbeitung

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Zusatzvereinbarung zur Auftragsdatenverarbeitung. zum Vertrag / zu den Verträgen. unter der. Auftragsnummer. zwischen. Name: Straße: PLZ / Ort :

Auftragsdatenverarbeitung

Datenschutz-Vereinbarung

Datenschutz und Systemsicherheit

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Datenschutzvereinbarung

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Anlage zum Scanauftrag. Regelungen zur Auftragsdatenverarbeitung

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Checkliste: Technische und organisatorische Maßnahmen

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

BYOD Bring Your Own Device

Aufstellung der techn. und organ. Maßnahmen

Leseprobe zum Download

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Technische und organisatorische Maßnahmen der

Vereinbarung Auftrag gemäß 11 BDSG

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Vertrag Auftragsdatenverarbeitung

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Vereinbarung über Auftragsdatenverarbeitung im Sinne des 11 Abs. 2 BDSG

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Checkliste: Technische und organisatorische Maßnahmen

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gem. 11 Bundesdatenschutzgesetz

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutzvereinbarung

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Vereinbarung zur Auftragsdatenverarbeitung

Gesetzliche Grundlagen des Datenschutzes

Auftragsdatenverarbeitung nach 11 BDSG

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in Frankfurt am Main ("Auftragnehmer") stellt

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Datenschutz ist Persönlichkeitsschutz

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+! ,# "$$ $ 4 9$ 4 5 )/ )

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Vernichtung von Datenträgern mit personenbezogenen Daten

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Auftragsdatenverarbeitung - Anlage. Hauptvertrages. Präambel

Datenschutz und Schule

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Versicherungsmaklervertrag

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Vereinbarung über den elektronischen Datenaustausch (EDI)

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Checkliste zum Datenschutz in Kirchengemeinden

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Informationen zur Verwendung dieses Vertrags

IT-Compliance und Datenschutz. 16. März 2007

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Vereinbarung über den elektronischen Datenaustausch (EDI) Flughafen München GmbH Nordallee München BDEW Codenummer:

EDI-Vereinbarung Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen

Stand: A. Fernwartungsvereinbarung

Checkliste zum Datenschutz

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Stand 28. September 2010

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Rechtlicher Rahmen für Lernplattformen

Host-Providing-Vertrag

DATENSCHUTZERKLÄRUNG

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Transkript:

Zusatzvereinbarung zur Auftragsdatenverarbeitung zur Kundenanmeldung vom DATUM mit der Kundennummer NUMMER Zwischen - nachfolgend Auftragnehmer genannt - und FIRMA/NAME - nachfolgend Auftraggeber genannt - wird folgender Vertrag geschlossen: Präambel Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem Hauptvertrag (vom DATUM, Angebot / Leistungsbeschreibung, AGB) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieser Zusatzvereinbarung richtet sich nach der Laufzeit des Hauptvertrags. 1 Definitionen 1. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. 2. Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. 3. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des

2 Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). 2 Anwendungsbereich und Verantwortlichkeit 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragnehmer erbringt Hosting-Leistungen für dedizierte und virtuelle Server. Die Leistungen umfassen die Bereitstellung von Speicherplatz, elektronischen Postfächern, Datenbanken und Skripten. Der Auftrag umfasst alle notwendigen Arbeiten zur Erbringung dieser Dienstleistungen. Dies umfasst Tätigkeiten, die in den Angeboten / Leistungsbeschreibung konkretisiert sind. Der Auftraggeber oder die Kunden des Auftraggebers ist/sind im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG). Die Art der personenbezogenen Daten und der Verarbeitungszweck werden in Anlage 1 näher beschrieben. 2. Diese Zusatzvereinbarung enthält den schriftlichen Auftrag zur Auftragsdatenverarbeitung im Sinne des 11 Bundesdatenschutzgesetz (im Folgenden BDSG) und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung. 3. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe seiner Daten verlangen, soweit der Auftraggeber dies mit seinen Zugriffen nicht selbst durchführen kann. 4. Die Inhalte dieser Zusatzvereinbarung gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 3 Pflichten des Auftragnehmers 1. Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Weisungsberechtigte Person des Auftraggebers ist: VORNAME NACHNAME sowie mit entsprechenden Autorisierungsdaten vertraute Mitarbeiter. 2. Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust, die den Forderungen des Bundesdatenschutzgesetzes ( 9 BDSG) entsprechen. Eine Auflistung dieser technischen und organisatorischen Maßnahmen wird als Anlage 2 beigefügt. 3. Der Auftragnehmer stellt dem Auftraggeber auf Anforderung die für die

3 Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung. 4. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß 5 Bundesdatenschutzgesetz (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. 5. Sofern der Auftragnehmer im Zusammenhang mit den Leistungen für den Auftraggeber an der Erbringung geschäftsmäßiger Telekommunikationsdienste mitwirkt, ist er verpflichtet, die hieran beteiligten Beschäftigten schriftlich auf das Fernmeldegeheimnis i.s.d. 88 TKG zu verpflichten. 6. Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit, soweit die Bestellung eines Datenschutzbeauftragten für den Auftragnehmer gesetzlich vorgeschrieben ist 7. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. 8. Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren und in geeigneter Weise nachzuweisen. 9. Der Auftragnehmer verpflichtet sich, alle ihm im Zusammenhang mit dem Vertrag und dessen Abwicklung zugänglich gewordenen Informationen, die als vertraulich bezeichnet werden oder eindeutig als Geschäftsoder Betriebsgeheimnisse erkennbar sind, unbefristet geheim zu halten. Dies gilt nicht für Daten, die ohnehin allgemein zugänglich sind oder zugänglich werden oder soweit der Auftragnehmer zur Bekanntgabe gesetzlich verbindlich verpflichtet ist. 10. Zugangsdaten, die dem geschützten Datenzugriff durch den Auftraggeber dienen, wird der Auftragnehmer unbefugten Dritten nicht zugänglich machen. Mitarbeiter des Auftragnehmers dürfen nur dann Kenntnis von Zugangsdaten oder Zugriff auf die diesem Vertragsverhältnis zugeordneten Daten erhalten, wenn dies zur Durchführung dieses Vertrages zwingend notwendig ist. 4 Pflichten des Auftraggebers 1. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. 2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 3. Der Auftraggeber ist zur Führung des öffentlichen Verfahrensverzeichnisses gem. 4g Abs. 2 S. 2 BDSG verpflichtet.

4 4. Dem Auftraggeber obliegen die aus 42a BDSG resultierenden Informationspflichten. 5. Alle Daten eines dedizierten oder virtuellen Servers werden nach dem Ende des entsprechenden Vertrages vom Auftragnehmer gelöscht. Der Auftraggeber wird die Daten seiner Kunden nach dem Ende des jeweiligen Vertrages löschen. Es obliegt dem Auftraggeber oder den Kunden des Auftraggebers, Sicherungskopien von ihren Daten anzufertigen. Der Auftraggeber hat selbst Zugriff auf seine Daten. 5 Anfragen Betroffener an den Auftraggeber 1. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben und ist er hierzu auf die Mitwirkung des Auftragnehmers angewiesen, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereitzustellen. Voraussetzung ist, dass der Auftraggeber den Auftragnehmer hierzu schriftlich auffordert. 6 Kontrollpflichten 1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragnehmers einholen oder sich ein Testat eines Sachverständigen vorlegen lassen. 2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind. 7 Subunternehmer 1. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt. 2. Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. 8 Informationspflichten, Schriftformklausel, Rechtswahl 1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim

5 Auftraggeber als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes liegen. 2. Änderungen und Ergänzungen dieser Zusatzvereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 3. Diese Zusatzvereinbarung unterliegt deutschem Recht. Auftragnehmer: Ort, Datum Unterschrift, Firmenstempel Auftraggeber: Ort, Datum Unterschrift, Firmenstempel Anlage 1: Anlage 2: Auflistung der personenbezogenen Daten und Zweck ihrer Verarbeitung Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß 11, 9 BDSG und Anlage

6 Anlage 1 - Auflistung der personenbezogenen Daten und Zweck ihrer Verarbeitung 1. Umfang, Art und Zweck Datenverarbeitungszweck ist die Erbringung der technischen Leistungen für die Bereitstellung der Dienstleistungen des Auftragnehmers wie sie in den Angeboten / Leistungsbeschreibungen und den AGB des Auftragnehmers beschrieben werden: Produkt: BEZEICHNUNG SERVER inkl. detaillierter Beschreibung 2. Art der Daten Daten, die der Auftraggeber oder von ihm autorisierte Nutzer (die Kunden des Auftraggebers) auf den bereitgestellten Servern speichern (Inhalt der Webseiten, des Online-Speichers, der E-Mail-Postfächer, der Datenbanken etc.) Abrechnungsdaten Adressdaten Authentifizierungsdaten Befragungsdaten Bestandsdaten E-Mail- / Chatdaten Interessen / Profile Kontaktdaten Leistungsdaten Nutzungsdaten Video- / Bilddateien 3. Kreis der Betroffenen Der Kreis der Betroffenen wird durch den Auftraggeber, aber auch direkt durch die Kunden des Auftraggebers ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG) bestimmt. Interessenten / Besucher der Websites Empfänger und Absender der E-Mails Geschäftspartner, Kunden Kontaktpersonen

7 Anlage 2 - Beschreibung der technischen und organisatorischen Maßnahmen gemäß 11, 9 BDSG und Anlage Im Folgenden werden die technischen und organisatorischen Maßnahmen gemäß 11, 9 BDSG und Anlage festgelegt, die bei der Datenverarbeitung vom Auftragnehmer umzusetzen sind. Dies beinhaltet insbesondere 1. Zutrittskontrolle Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten: Rechenzentrumsgebäude sind durch Sicherheitsschlösser, vergitterte Fenster oder Rollos gesichert der Zutritt ist nur autorisierten Personen mit Magnetkarte und Schlüssel möglich die Zutrittswege sind durch Wachschutz, Video- und Alarmanlagen gesichert zutrittsberechtigte Mitarbeiter sind organisatorisch festgelegt Magnetkarten und Schlüssel werden nur entsprechend der Organisationsanweisung vergeben über den Zutritt werden Anwesenheitslisten geführt, Regelungen für Fremdpersonal und Richtlinien zu Begleitung von Gästen sind vorhanden 2. Zugangskontrolle zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: der Zugang zu Systemen erfolgt mit Authentifizierung durch individuelle Benutzerkennung und sicherem Passwort Berechtigungen werden nach einem Zugangsberechtigungskonzept vergeben die Systeme sind gegen unberechtigten Zugang z.b. durch eine Firewall gesichert

8 3. Zugriffskontrolle dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung: Berechtigungen sind in den IT-Systemen festgelegt differenzierte Zugriffe und differenzierte Berechtigungen werden festgelegt Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (technisch) sind getrennt der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt Test- und Produktionsumgebung wird getrennt Fernwartungen werden mit eindeutiger Benutzerkennung vorgenommen und protokolliert 4. Weitergabekontrolle dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung: Mitarbeiter werden auf das Datengeheimnis nach 5 BSDG verpflichtet soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenexport gesichert 5. Eingabekontrolle dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Die Daten werden vom Auftraggeber selbst eingegeben Mitarbeiter dürfen nur nach schriftlicher Weisung durch den

9 Auftraggeber auf die Daten des Auftraggebers zugreifen bzw. Daten eingeben, verändern oder löschen 6. Auftragskontrolle dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Weisungsrechte des Auftraggebers ergeben sich aus dieser Zusatzvereinbarung Mitarbeiter erhalten eine schriftliche Weisung zum Umgang mit den personenbezogenen Daten Unterauftragsverhältnisse werden schriftlich beauftragt 7. Verfügbarkeitskontrolle dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind Maßnahmen zur Datensicherung (physikalisch / logisch): die Rechenzentren verfügen über eine unterbrechungsfreie Stromversorgung durch Batterien und Dieselaggregate die Primärtechnik und die wesentliche Sekundärtechnik sind redundant aufgebaut alle Daten werden in einem zweifachen Backup-System täglich für 2 Tage gesichert Wiederherstellungsmöglichkeiten bei Datenverlust sind vorhanden Brandmeldeanlagen, Löschanlagen und ein Notfallplan sind vorhanden 8. Trennungskontrolle dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: die Daten werden je nach Nutzung physikalisch oder logisch von anderen Daten getrennt die Datensicherung erfolgt auf virtuell getrennten Einheiten

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback