Auftrags­verarbeitungs­vereinbarung

im Sinne des Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO)

(Stand: 29.06.2020)

 

zwischen

dem Auftraggeber/Unterschreiber Angebot

– nachfolgend „Auftraggeber“ genannt –

und

 

Crosscan GmbH

Ruhrstr. 48

58452 Witten

 

– nachfolgend „Auftragnehmer“ genannt –

– nachfolgend gemeinsam „Parteien“ und je einzeln „Partei“ genannt –

 

Präambel

Aufgrund des zwischen den Parteien abgeschlossenen Vertrags (nachfolgend „Hauptvertrag“ genannt) wird der Auftragnehmer u.a. zur Erbringung von Leistungen wie folgt verpflichtetIm Rahmen der Leistungserbringung gegenüber dem Auftraggeber nimmt der Auftragnehmer zu diesem Zweck Zugriff auf personenbezogene Daten. 

Die Leistung desVertrages/Auftrages ist:

Crosscan Connect:

  • Einrichtung des Kunden, der Filialen mit Adresse, Ansprechpartner mit Position, Email und Telefonnummer 
  • Auswertung via Webinterface inkl. Advanced KPI – Graphische und tabellarische Darstellung aller Zählereignisse, PDF-Standardreports via E-Mail Automatisierter Versand von Tages- und Wochenberichten, Rechte basierte Zugangssteuerung Reglementierungen der Zugang- und Zugriffsberechtigungen, Metadatenanbindung Integration von Kassen- und Personaldaten

Die Parteien schließen daher diese Auftrags­verarbeitungs­vereinbarung (nachfolgend „Vereinbarung“ genannt), um die rechtmäßige Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch den Auftragnehmer zu gewährleisten. Die Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen des Auftragnehmers.

 

§ 1 Anwendungsbereich

1.1 Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers zur Erfüllung der ihm aufgrund des Hauptvertrags obliegenden Leistungspflichten. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO). 

1.2 Umfang und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer sowie die Art der betroffenen Daten ergeben sich aus Anlage 1 und werden bei Bedarf durch entsprechende Weisungen des Auftraggebers ergänzt. Eine Verarbeitung oder Nutzung der personenbezogenen Daten für andere Zwecke, insbesondere eine Nutzung für oder Weitergabe an Dritte sowie eine Nutzung für eigene Zwecke, ist dem Auftragsverarbeiter ausdrücklich untersagt.

1.3 Weisungen des Auftraggebers sind vom Auftragnehmer zu dokumentieren und bedürfen im Regelfall der Schriftform oder der Textform. Der Auftraggeber kann seine Weisungen jederzeit bei Bedarf ändern, ergänzen oder ersetzen.

1.4 Ist der Auftragnehmer der Ansicht, eine Weisung des Auftraggebers verstoße gegen die DS-GVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten, hat er den Auftraggeber schriftlich darauf hinzuweisen. Der Auftragnehmer ist in diesen Fällen berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt oder abändert.

 

§ 2 Pflichten des Auftragnehmers

2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten im Rahmen des Hauptvertrags sowie der speziellen Einzelweisungen des Auftraggebers. 

2.2 Der Auftragnehmer hat im Zusammenhang mit der Erfüllung der Meldepflicht des Auftraggebers entsprechend Art. 33 und 34 DS-GVO diesem unverzüglich schriftlich Meldung zu erstatten in allen Fällen, in denen durch ihn oder die bei ihm beschäftigten Personen oder Unterauftragsverarbeiter Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Dies gilt auch im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten und bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Dies gilt weiter auch für den Fall von Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 58 DS-GVO. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82, 83 DS-GVO beim Auftragnehmer ermittelt.

2.3 Verstößt der Auftragnehmer schuldhaft gegen seine Mitwirkungspflichten oder kommt er darüber hinaus seinen gesetzlichen Pflichten als Auftragnehmer nicht nach, beachtet er rechtmäßig erteilte Anweisungen des Auftraggebers nicht oder handelt er gegen diese Anweisungen, ist er zum Ersatz des dem Auftraggeber hierdurch entstehenden Schadens sowie zur Freistellung von hierdurch gegen ihn gerichteten Ansprüchen Dritter verpflichtet. Dies gilt nicht, wenn der Auftragnehmer nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

2.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeiten- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

2.5 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, unterstützt ihn der Auftragnehmer nach besten Kräften.

2.6 Der Auftragnehmer wird unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber unentgeltlich  bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten gesetzlichen Pflichten unterstützen. Hierzu gehören u.a.

a. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,

b. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

c. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen

d. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung

e. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

2.7 Der Auftraggeber ist jederzeit berechtigt, eine Berichtigung, Löschung und Sperrung von personenbezogenen Daten zu verlangen. Der Auftragnehmer hat entsprechende Weisungen des Auftraggebers unverzüglich umzusetzen, sofern nicht eine gesetzliche Verpflichtung des Auftragnehmers zur Speicherung der personenbezogenen Daten besteht. 

2.8 Nach Beendigung der Datenverarbeitung sind personenbezogene Daten bzw. Datenträger, die dem Auftragnehmer zur Erfüllung seiner Pflichten aus dem Hauptvertrag übergeben wurden, nach Weisung des Auftraggebers datenschutzgerecht zu vernichten oder zurückzugeben.Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

2.9 Der Auftragnehmerdokumentiert die Datenverarbeitung und stellt dem Auftraggeber die Dokumentation auf Wunsch unverzüglich zur Verfügung.

2.10 Der Auftragnehmer verpflichtet sich zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO. Das Verzeichnis ist schriftlich oder in einem elektronischen Format zu führen und dem Auftraggeber und/oder dessen Datenschutzbeauftragten jederzeit auf Verlangen vorzulegen.

 

§ 3 Technisch-organisatorische Maßnahmen

3.1 Der Auftragnehmer gestaltet die innerbetriebliche Organisation in der Weise, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c. sowie gem. Art. 32 DS-GVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Der Auftragnehmer trifft hierzu insbesondere die in Anlage 2 definierten technischen und organisatorischen Maßnahmen zur angemessenen Sicherung der personenbezogenen Daten vor Missbrauch und Verlust.

3.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber schriftlich anzuzeigen. Der Auftragnehmer verpflichtet sich zudem die technischen und organisatorischen Maßnahmen an die jeweils geltenden gesetzlichen Regelungen anzupassen. Verlangt der Auftraggeber im Übrigen eine Änderung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen, werden sich die Parteien über das weitere Vorgehen einvernehmlich verständigen. Im Falle einer Änderung ist Anlage 2 entsprechend anzupassen.

 

§ 4 Auftragskontrolle

4.1 Der Auftraggeber hat das Recht, vor Beginn der Datenverarbeitung durch den Auftragnehmer und sodann regelmäßig, eine Auftragskontrolle in Bezug auf die vom Auftragnehmer vorzunehmenden Datenverarbeitungsprozesse durchzuführen. Er hat das Recht, sich durch Stichprobenkontrollen von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Im Rahmen der Auftragskontrolle gewährt der Auftragnehmer dem Auftraggeber alle notwendigen Auskunfts-, Einsichts- und Zugangsrechte. Die Durchführung einer Vor-Ort-Kontrolle darf der Auftragnehmer von einer vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber bestellte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. 

4.2 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Durchführung einer umfassenden Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Nachweis der Umsetzung geeigneter Maßnahmen kann auch durch Vorlage aktueller Testate sowie von Berichten unabhängiger Prüfer (Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, etc.) erbracht werden.

4.3 Stellt der Auftraggeber im Rahmen der Auftragskontrolle Mängel bei der Einhaltung der technischen und organisatorischen Maßnahmen fest, beseitigt der Auftragnehmer die Mängel unverzüglich. Die zur Mangelbeseitigung erforderlichen Kosten trägt der Auftragnehmer.

 

§ 5 Unterauftragsverhältnisse

5.1 Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ohne Genehmigung des Auftraggebers ist unzulässig. Sie darf ausschließlich mit vorheriger schriftlicher Zustimmung des Auftraggebers für den Einzelfall erfolgen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht dazu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessen und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

5.2 Stimmt der Auftraggeber dem Einsatz eines Subunternehmens zu, stellt der Auftragnehmer sicher, dass das Subunternehmen entsprechend den ihm obliegenden Verpflichtungen aus dieser Vereinbarung verpflichtet wird. Auf Verlangen des Auftraggebers weist der Auftragnehmer die entsprechende Verpflichtung des Subunternehmers in geeigneter Weise nach. Der Auftragnehmer stellt durch Einholung hinreichender Garantien des Subunternehmers sicher, dass dieser die Einhaltung der technischen und organisatorischen Maßnahmen gewährleistet. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten jedes Subunternehmers. 

5.3 Der Auftraggeber genehmigt den Einsatz der in Anlage 3 bezeichneten Unterauftragnehmer für die dort beschriebenen Tätigkeitsbereiche. 

 

§ 6 Datengeheimnis

6.1 Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Wahrung des Datengeheimnisses und zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

6.2 Es ist sicherzustellen, dass die Verpflichtung zur Wahrung des Datengeheimnisses und zur Vertraulichkeit auch nach Beendigung dieser Vereinbarung fortbesteht.

 

§ 7 Übermittlung in Nicht-EWR Staaten

7.1 Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch den Auftragnehmer ist räumlich auf einen Mitgliedsstaat der Europäischen Union oder einen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Die Übermittlung von personenbezogenen Daten durch den Auftragnehmer an eine im EWR-Ausland belegene Stelle, d.h. ein Unternehmen mit Sitz außerhalb des EWR, ist nur unter Einhaltung der gesetzlichen Vorschriften und der gesonderten schriftlichen Zustimmung des Auftraggebers möglich. Ausnahmen hiervon sind nur in den in Art. 28 Abs. 3 lit a. DS-GVO genannten Fällen unter den dort genannten zusätzlichen Voraussetzungen möglich.

7.2 Ist der Auftragnehmer nach dem anwendbaren Recht eines Mitgliedstaates oder der Europäischen Union verpflichtet, Daten an eine im EWR-Ausland belegene Stelle zu übermitteln, teilt der Auftragnehmer dies entsprechend seiner Verpflichtung aus Art. 28  Abs. 3 lit. a DS-GVO dem Auftraggeber vor der Verarbeitung mit, sofern das anwendbare Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

 

§ 8 Rechte von betroffenen Personen

8.1 Der Auftragnehmer darf personenbezogene Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

8.2 Der Auftragnehmer wird den Auftraggeber auf dessen Aufforderung nach besten Kräften bei der Erfüllung der Rechte der betroffenen Personen unterstützen, insb. im Hinblick auf das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit.

 

§ 9 Datenschutzbeauftragter 

Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt. Zum Zeitpunkt des Vertragsschlusses ist dies:

Dipl. Inform. Olaf Tenti

GDI

Gesellschaft für Datenschutz und Informationssicherheit mbH

Fleyer Str. 61

58097 Hagen

Tel.: + 49 (0) 2331  / 35 68 32 - 0

Email: tenti@gdi-mbh.eu

Der Auftragnehmer wird den Auftraggeber von einer Abberufung bzw. einer Neubestellung des Datenschutzbeauftragten unverzüglich schriftlich in Kenntnis zu setzen. 

 

§ 10 Vertragsdauer

10.1 Die Vereinbarung tritt nach ihrer Unterzeichnung zum 25.05.2018 in Kraft und läuft auf unbestimmte Zeit. Die Vereinbarung endet mit Beendigung des Hauptvertrags, der der Datenverarbeitung durch den Auftragnehmer zugrunde liegt, ohne dass es einer gesonderten Kündigung der Vereinbarung bedarf.

10.2 Sämtliche bereits bestehende Auftragsdatenverarbeitungsvereinbarungen werden durch Inkrafttreten dieser Vereinbarung vollumfänglich abgelöst.

 

§ 11 Sonstiges

11.1 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegen.

11.2 Bei Änderungen der tatsächlichen Ausgestaltung der Leistungsbeziehungen zwischen den Parteien werden die Parteien die Anlagen entsprechend anpassen und einvernehmlich austauschen. Mit Unterzeichnung der geänderten Anlage durch die Parteien wird diese wirksam und ersetzt insoweit die bislang geltende Anlage.

11.3 Auf die Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist Witten.

11.4 Änderungen oder Ergänzungen der Vereinbarung bedürfen der Schriftform. Dies gilt für Änderung oder Aufhebung des vorstehenden Schriftformerfordernisses entsprechend.

11.5 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die in ihrem wirtschaftlichen Gehalt der unwirksamen Bestimmung möglichst nahe kommt. Entsprechendes gilt im Falle von Regelungslücken.

Witten, 29.06.2020

 

Anlage 1: Betroffene Personenbezogene Daten und Zweck der Datenverarbeitung

Anlage 2: Technische und organisatorische Maßnahmen

Anlage 3: Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers

Anlage 1

Betroffene personenbezogene Daten und Zweck der Datenverarbeitung

 

Der Auftragnehmer verarbeitet die Personenbezogenen Daten folgender betroffener Personen:

  • Ansprechpartner in den Filialen 
  • Ansprechpartner in der Zentrale

Der Auftragnehmer verarbeitet im Rahmen des Hauptvertrags die folgenden Personenbezogenen Daten:

  • Kundendaten: Kontaktperson, Titel, Straße, Hausnummer, Postleitzahl, Ort, Telefonnummer…
  • Adressen und sonstige Daten von Mitarbeitern: Name, Adresse, E-Mail, Telefonnummer

Die Datenverarbeitung durch den Auftragnehmer erfolgt ausschließlich für folgende Zwecke:

  • Zur Kontaktierung gemäß Serviceauftrag des Hauptvertrages.

Anlage 2

Technische und organisatorische Maßnahmen (Stand 12.04.2018 )

Der Auftragnehmer ist zur Sicherstellung des Datenschutzes verpflichtet. Er hat die folgenden technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrages zu ergreifen und aufrechtzuerhalten:

 

1. Zutrittskontrolle 

Angemessene Maßnahmen zur Verhinderung des Zutritts unautorisierter Personen zum Datenverarbeitungsequipment, durch 

  • Zutrittskontrolle für Mitarbeiter und Dritte; 
  • Schlüsselregelung;
  • Sicherung des Gebäudes auch außerhalb der Arbeitszeit durch Alarmanlage.
  • Festlegung von Sicherheitsbereichen
  • Sicherheitsschlösser
  • Fenstersicherung (insbes. Erdgeschoss)

 

2. Zugangskontrolle

          Angemessene Maßnahmen, die sicherstellen, dass diejenigen, die bei der Datenverarbeitung eingesetzt werden, lediglich Zugang zu solchen Daten haben, die von ihrer jeweiligen    Zugangsautorisierung abgedeckt sind, durch:

  • Regelungen für die Benutzerberechtigung;
  • Einsatz von Verschlüsselungsverfahren.
  • Firewalls
  • Identifizierung und Authentifizierung einschließlich Verfahrensregelungen zur Kennwortvergabe (Mindestlänge, Sonderzeichen, regelmäßiger Wechsel des Kennworts)  
  • Protokollierung der Zugriffe

 

3. Zugriffskontrolle

Angemessene Maßnahmen, die den Zugriff unautorisierter Personen auf die Datenverarbeitungssysteme verhindern, durch:

  • Automatische Abschaltung der User ID bei mehrmaliger fehlerhafter Eingabe des Passworts;
  • Einsatz von Verschlüsselungsverfahren.
  • Kontrolle der Dateien, kontrollierte und dokumentierte Vernichtung von Datenträgern;
  • Verschließbarkeit der Einrichtungen zur Datenverarbeitung (Räume, Gebäude, Computerhardware und zugehöriges Equipment);

 

4​​​. Weitergabekontrolle 

Angemessene Maßnahmen, die bei einer weiteren Übermittlung der Daten (elektronisch oder auch Transport auf Datenträgern) sicherstellen, dass keine unbefugten Dritten die Daten     lesen, löschen, ändern, kopieren durch:

  • Bestimmung der befugten Personen und Autorisierungsrichtlinien,
  • Dokumentation der Stellen, an die eine Übermittlung vorgesehen ist, sowie der Übermittlungswege; 
  • Einsatz von Verschlüsselungsverfahren.

 

5. Eingabekontrolle

Der Auftragnehmer trägt dafür Sorge, dass nachträglich geprüft und festgestellt werden kann, ob und wann personenbezogene Daten in Datenverarbeitungssysteme eingegeben worden sind, durch:

  • Nachweis der bei dem Auftragnehmer organisatorisch festgelegten Zuständigkeiten für die Eingabe;
  • Verwendung von Logfiles.

 

6. Auftragskontrolle

Die von dem Auftragnehmer verarbeiteten und genutzten Daten dürfen ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers verarbeitet werden. Dies wird sichergestellt durch: 

  • Eindeutige vertragliche Regelungen;
  • Überprüfung der Einhaltung der vertraglichen Regelungen;
  • Bindende Richtlinien und Verfahren, die vorab von dem Auftraggeber freigegeben worden sind.

 

7. Verfügbarkeitskontrolle

Angemessene Maßnahmen, die die Daten gegen zufällige Zerstörung oder Verlust schützen, durch:

  • Interne Datenverarbeitungsrichtlinien und -verfahren, Guidelines, Arbeitsanweisungen;
  • Tägliche Backups;
  • USVs
  • Spieglung von Festplatten

 

8. Kontrolle der Trennung von Daten

Angemessene Maßnahmen, die die separate Verarbeitung von Daten, die für verschiedene Zwecke übermittelt wurden bzw. auf die zugegriffen wird, gewährleisten, durch:

  • Backup der Daten
  • Einrichtung von Anti-virus/ Firewall-Systemen

 

9. Pseudonymisierung und Verschlüsselung

Maßnahmen zur Pseudonymisierung und Verschlüsselung

 

10. Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu Ihnen bei einem physischen oder technischen Zwischenfall

Wiederherstellungsplan durch

  • Tägliche Backups;
  • Spiegelung von Festplatten

 

11. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

  • Jährliches Datenschutzaudit durch externe Firma
  • Kontinuierliche Sensibilisierung der Mitarbeiter zum Thema Datenschutz

Anlage 3

Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers


Hetzner Online GmbH

  • Unterauftragnehmer: Hetzner Online GmbH / Registergericht Ansbach / HRB 6089
  • Verarbeitungsstandort: Industriestr. 25 / 91710 Gunzenhausen / support@hetzner.com / +49 (0)9831 505 0
  • Art der Dienstleistung: Server Hosting

Setech Service GmbH

  • Unterauftragnehmer: Setech Service GmbH
  • Verarbeitungsstandort: Bahnhofstr. 40 / 86971 Peiting /  service@setech.de / +49 8861 9080 73 0
  • Art der Dienstleistung: Installation und Hardware Versand

credativ GmbH

  • Unterauftragnehmer: credativ GmbH
  • Verarbeitungsstandort: Trompeterallee 108 / 41189 Mönchengladbach /  info@credativ.de / +49 2166 9901-0
  • Art der Dienstleistung: Server Wartung