Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung Bitte beachten Sie vor Vertragsunterzeichnung folgende datenschutzrechtlichen Hinweise: Beachten Sie bitte den Grundsatz der Datenvermeidung. Die Planung, Gestaltung und Auswahl informationstechnischer Produkte und Verfahren haben sich an dem Ziel auszurichten, sowenig personenbezogene Daten wie möglich zu erheben und weiter zu verarbeiten (vgl. 4 Abs. 2 DSG NRW). Der Vertrag ist im Einzelfall aufgabenspezifisch anzupassen. An nicht öffentliche Stellen darf ein Auftrag nicht gegeben werden, wenn gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse oder überwiegende schutzwürdige Belange entgegenstehen. Soweit spezialgesetzliche Regelungen für Datenverarbeitung bzw. Wartung Anwendung finden, ist zunächst zu prüfen, ob eine Auftragsdatenverarbeitung überhaupt zulässig ist. Ggf. sind die spezialrechtlichen Regelungen bei der Vertragsgestaltung (z. B. Beihilfe-, Personal-, Sozial- und Gesundheitsdaten) zu berücksichtigen. Wenn der Auftragnehmer Fernwartung/Wartung in sensiblen Bereichen, beispielsweise bei Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, wahrnimmt, sind nur festangestellte Mitarbeiter einzusetzen, die nach dem Verpflichtungsgesetz verpflichtet sind (vgl. 6). Die Verpflichtung kann selbständig durch das Amt/Institut vorgenommen werden. Die dazugehörigen Formulare befinden sich auf der Homepage von II-02. 2
Anlage zu EVB IT Instandhaltung (Wartung Hardware) BVB Pflege (Wartung/Software) Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung *nicht zutreffendes streichen zwischen der Oberbürgermeisterin der Stadt Duisburg, vertreten durch... (im Folgenden Auftraggeber genannt), und..., vertreten durch... (im Folgenden Auftragnehmer genannt) 1 Vertragsgegenstand Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten im Rahmen der Wartung vor Ort Fernwartung für... 1 (genaue Bezeichnung des zu wartenden Programms, der Software, Standort des Rechners usw.). 2 Bereitstellung von Daten (1) Der Auftraggeber stellt nachfolgende Daten (*Bezeichnung der Daten) über Datenleitung (Fernwartung) bzw. im Gebäude, vor Ort, d. h. in Duisburg zum Zwecke der Wartung zur Verfügung: 1 Vertragstext ergänzen 3
(Hier sind Daten, Art und Umfang der durchzuführenden Wartungsarbeiten, die davon betroffenen EDV-Systeme genau zu beschreiben.) (2) Änderungen des Verarbeitungsgegenstandes und des Verfahrens sind schriftlich zu vereinbaren. 3 - Datenschutzbestimmungen Der Auftragnehmer unterwirft sich bei der Verarbeitung von Daten im Zusammenhang mit der Wartung denselben Anforderungen, die für den Auftraggeber gelten. Er hat insbesondere die einschlägigen Vorschriften des Bundesdatenschutzgesetzes (BDSG), Datenschutzgesetzes des Landes Nordrhein-Westfalen (DSG NRW) und des Sozialgesetzbuches (Erstes und Zehntes Buch, SGB I, X) zu beachten. 4 Rechte und Pflichten des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der Wartung sowie für die Wahrung der Rechte der Betroffenen bleibt der Auftraggeber verantwortlich. (2) Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Der Auftraggeber ist jederzeit berechtigt, im Rahmen der Beauftragung Einzelweisungen zum Schutz personenbezogener Daten zu erteilen und die Einhaltung der Vorschriften über den Datenschutz und der von ihm getroffenen Weisungen zu überprüfen. Er darf ungeachtet der Anwendbarkeit dieser Vorschrift die Rechte nach 80 Abs. 2 Sozialgesetzbuch X (SGB X) wahrnehmen. Weisungsberechtigte Personen des Auftraggebers sind: (Namen einfügen)... Beauftragte Personen des Auftragnehmers sind (Namen einfügen)... Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners wird dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitgeteilt. Weisungsempfänger beim Auftragnehmer sind vor Beginn der Wartung dem Auftraggeber schriftlich mitzuteilen. 4
(3) Im System des Auftraggebers werden die Zugriffe, die für Wartungsarbeiten erfolgen, protokolliert. Die Protokollierung erfolgt so, dass sie in einer Revision nachvollzogen werden kann. Die Protokollierung darf vom Auftragnehmer nicht abgeschaltet werden. (4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten feststellt, die bei der Wartung aufgefallen sind oder die einen Zugriff durch Unbefugte möglich machen. (5) Der Auftraggeber verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherungsmaßnahmen des Auftragnehmers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen. (6) Der Auftraggeber ist berechtigt, einmal jährlich oder in begründeten Fällen auf Wunsch des Auftragnehmers die Datenverarbeitung beim Auftragnehmer zu überprüfen. 5 Pflichten des Auftragnehmers (1) Die Wartung ist grundsätzlich von dem Auftragnehmer selbst zu erbringen. Die Beauftragung Dritter bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer führt die Wartung ausschließlich im Rahmen der getroffenen Vereinbarung und nach Weisung des Auftraggebers durch. (2) Der Auftragnehmer sichert die datenschutzkonforme Abwicklung aller Maßnahmen zu. Er stellt sicher, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. (3) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften. (4) Der Auftragnehmer verwendet Daten, die ihm im Rahmen der Erfüllung dieses Vertrages bekannt geworden sind, nur für Zwecke der Wartung. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Soweit möglich, erfolgt die Wartung am Bildschirm ohne gleichzeitige Speicherung. (5) Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherungs-maßnahmen des Auftraggebers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu geben. 5
(6) Der Beginn der Wartung ist anzukündigen, um den Beauftragten des Auftraggebers die Möglichkeit zu geben, die Maßnahmen der Wartung zu verfolgen. Der Verbindungsaufbau erfolgt stets durch den Auftraggeber. (7) Bei der Datenverarbeitung insbesondere durch Fernwartung sind die technischen und organisatorischen Maßnahmen im Sinne des 10 DSG NRW sicherzustellen. (vgl. Anlage Technische u. organisatorische Maßnahmen nach 10 DSG NRW) (8) Die Fernwartung von Privatwohnungen aus ist nicht gestattet. Soll im Einzelfall davon abgewichen werden, bedarf dies einer gesonderten vorherigen schriftlichen Zustimmung des Auftraggebers. (9) Der Auftragnehmer erklärt sich damit einverstanden, dass die Wartung durch IT-Sachverständige des Auftraggebers beobachtet werden kann. (10) Der Auftragnehmer unterrichtet den Auftraggeber umgehend über technische und organisatorische Unzulänglichkeiten der Datensicherung. (11) Sollte der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa durch Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber sofort zu verständigen. Das Eigentum des Auftraggebers an den Daten (z. B. Datenträger, Arbeitskopien, Behältnisse) ist rechtzeitig zu kennzeichnen. (12) Notwendige Datenübertragungen zu Zwecken der Wartung sind hinreichend zu verschlüsseln. Ausnahmen sind besonders zu begründen. 6 Verpflichtung zur Geheimhaltung (1) Der Auftragnehmer lässt die Wartung bzw. Fernwartung nur von Beschäftigten durchführen, die auf das Datengeheimnis ( 5 BDSG bzw. 6 DSG NRW) verpflichtet sind. (2) Der Auftragnehmer verpflichtet sich, bei Wartung bzw. Fernwartung in sensiblen Bereichen, soweit beispielsweise Daten, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, nur Mitarbeiter einzusetzen, die nach dem Bundesverpflichtungsgesetz verpflichtet sind. (3) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. 6
7 Zweckbindung Der Auftragnehmer verpflichtet sich, die Daten ausschließlich zu dem in 1 und 2 dieser Vereinbarung genannten Zwecke zu verwenden, sie insbesondere nicht zu anderen Zwecken zu verarbeiten oder an Dritte zu übermitteln. 8 Löschung von Daten Der Auftragnehmer verpflichtet sich, spätestens nach Beendigung des Vertragsverhältnisses sämtliche erhaltene Daten auf Datenträgern zu löschen und alle etwa noch verbliebenen Arbeitskopien und Arbeitsergebnisse im eigenen Besitz, die mit diesen personenbezogenen Daten verbunden sind, zu vernichten. Dies ist nach Beendigung der Arbeiten schriftlich der Stadt zu bestätigen. 9 Kontrolle durch den Datenschutzbeauftragten vor Ort Der Auftragnehmer unterwirft sich im Rahmen der Wartung vor Ort der Kontrolle der zuständigen Landesdatenschutzbeauftragten bzw. der zuständigen Aufsichtsbehörde und des Datenschutzbeauftragten der Stadt. 10 Schadensersatz Der Auftragnehmer stellt den Auftraggeber frei von Ansprüchen, nach Maßgabe der 7 BDSG, 20 DSG NRW, 82 SGB X, die ihr als datenverarbeitende Stelle in Durchführung dieses Vertrages durch den Auftragnehmer entstehen, soweit er diese zu vertreten hat. 11 Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Änderungen des Vertrages bedürfen der Schriftform. Dies gilt auch für das Schriftformerfordernis selbst. 7