Auftragsverarbeitung

Vertrag zur beauftragten Verarbeitung von personenbezogenen Daten entsprechen der DSGVO Art. 28 (Auftragsverarbeitung)

Diese Vereinbarung ergänzt die gegenseitig bestehenden Verpflichtungen um die gesetzlichen Vorgaben und deren gültigen Richtlinien zur EU-DSGVO (EU - Datenschutzgrundverordnung) im Kontext zum neuen BDSG (Bundesdatenschutzgesetz - neu) ab dem 25.05.2018.

Die bisher vereinbarten gegenseitigen Verpflichtungen bleiben vollumfänglich bestehen, sofern sie nicht durch diese Vereinbarung betroffen, im Sinne von ersetzt und/oder ergänzt, werden.

  1. Vereinbarung zum Gegenstand der beauftragten Auftragsverarbeitung (Art. 28 Abs.1 DSGVO)
    • Der vereinbarte Gegenstand dieses Vertrages bezieht sich auf die Bereitstellung technischer Infrastruktursysteme zur ausgelagerten personenbezogenen Datenverarbeitung durch den Auftraggeber unter räumlichen und technischen Aspekten im Rahmen von IT-Dienstleistungen; ohne dass ein inhaltlicher Datenzugriff des Auftragnehmers in seiner Funktion als IT-Dienstleister (IT-Hoster) grundsätzlich erforderlich ist.
    • Diese Dienstleistung umfasst die Bereitstellung von Hosting- und Infrastrukturdienstleistungen, wie z.B. Colocation, Dedizierte-, Virtuelle- und Physische-Server, Web-Hosting sowie den damit im Zusammenhang stehenden Leistungen, wie z.B. Bereitstellung von Diensten für den Empfang Versand und Speicherung E-Mails, Domainregistrierungen, Support- und administrative Leistungen etc. , welche dem Auftraggeber eine eigenverantwortliche Verarbeitung von personenbezogene Daten (pb-Daten entsprechend Art. 4 Abs. 1), wie zum Beispiel zu speichern, zu verändern, offenzulegen, zu übermitteln, zu löschen etc. (Art. 4 Abs. 2 – DSGVO), voll umfänglich ermöglicht.
    • Der Auftragnehmer ist in die Verarbeitung von pb-Daten gemäß den Vorgaben zum Art. 28 – DSGVO und den Ausführungen im Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung als Auftragsverarbeiter einbezogen. Hierzu unterliegen alle Dienstleistungen des Auftragnehmers den gesetzlichen Datenschutz- und Datensicherheitsbestimmungen im Sinne der DSGVO und des BDSGneu.
    • Der Vertrag schließt ausdrücklich die ursprüngliche Nutzung und/oder Verarbeitung von jeglichen personenbezogenen Daten durch den Auftragnehmer, die durch den Auftraggeber im Rahmen der Nutzung von bereitgestellten Infrastrukturen einbezogenen und/oder offengelegt werden, aus.
    • Im Zuge der vereinbarten Leistungen des IT-Hostings (siehe o.g. Ausführungen) und diesbezüglich notwendige Tätigkeiten zum Support und/oder der Administration von Server-Systemen des Auftraggebers, kann jedoch ein faktisch situativer Zugriff auf personenbezogene Daten durch den Auftragnehmer letztendlich nicht ausgeschlossen werden.
    • Die zur Kenntnis gelangten personenbezogenen Daten des Auftraggebers, wie zum Beispiel Kontakt- und Adressdaten etc., im Rahmen der Rechtsgeschäfte zur Ausführung von getroffenen Vereinbarungen werden durch den Auftragnehmer getrennt von dieser Vereinbarung nach datenschutzrechtlichen Aspekten behandelt und sind somit nicht Gegenstand dieser Vereinbarung.
  2. Vereinbarung zur Dauer der personenbezogenen Datenverarbeitung
    • Die Laufzeit des Vertrages endet durch die rechtswirksame Kündigung aller übergeordneten Verträge zwischen den Vertragsparteien, die für Leistungen gemäß Abs 1. vom Auftragnehmers zur Erfüllung des Auftrags erforderlich sind. Das Recht zur außerordentlichen Kündigung dieser Vereinbarung sowie zu deren konkreter Einzelvereinbarungen bleibt unberührt
  3. Vereinbarung zum Zweck der personenbezogenen Datenverarbeitung
    • Der Zweck einer situativ möglichen Verarbeitung von personenbezogenen Daten durch den Auftragnehmer während des Auftragsverhältnisses beruht ausschließlich in der Pflicht zur Erfüllung der vertraglichen geschuldeten Dienstleistung dem Auftraggeber gegenüber. Des Weiteren zur Gewährleistung der gesetzlichen Anforderungen an die Sicherheit der Datenverarbeitung nach Art. 32 -DSGVO und hier in erster Linie zur Dienstleistung des IT-Hosting, im Sinne einer Bereitstellung und Nutzungsüberlassung von technischer Infrastruktur sowie auch der einbezogenen Support- und Administrationsleistungen.
    • Die Art und Weise einer situativ möglichen Verarbeitung von personenbezogenen Daten durch den Auftragnehmer geschieht ausschließlich durch Tätigkeiten im Rahmen der vertraglich und/oder gesetzlich notwendigen Maßnahmen zum Support- und/oder der Administration. Dem Auftragnehmer ist es dazu gestattet, entsprechend den notwendigen verfahrens- und sicherheitstechnischen Anforderungen, Zwischen- und/oder Temporärdateien (Kopien) zu erstellen, soweit dies zu einer inhaltlichen Umgestaltung führt. Dem Auftragnehmer ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
  4. Vereinbarung zur Art der verarbeitenden personenbezogenen Daten
    • Die Daten, welche mittels Infrastrukturnutzung durch den Auftragnehmer einbezogen verarbeitet werden und welche situativ möglicherweise auch durch den Auftragnehmer verarbeitet werden könnten, umfassen die in Anlage 1 zu diesem Vertrag genannten personenbezogenen Daten.
  5. Vereinbarung zu den Kategorien betroffener Personen
    • Die Einzelpersonen und/oder -gruppen, die durch eine Verarbeitung von Daten, welche mittels Infrastrukturnutzung durch den Auftragnehmer einbezogen verarbeitet werden und welche situativ möglicherweise auch durch den Auftragnehmer verarbeitet werden könnten, umfassen die in Anlage 2 zu diesem Vertrag genannten Personenkategorien.
  6. Vereinbarung zu inhaltlichen Details mit Bezug zum Art. 28 Abs. 3 der DSGVO
    • Der Auftraggeber beauftragt den Auftragnehmer mit Bezug zu dem in Abs. 1 festgelegten Gegenstand dieses Vertrages und unter Beachtung der Vorgaben zum Art. 28 Satz 1.
    • Als somit Verantwortlicher der Verarbeitung beachtet und befolgt er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen wie nachfolgend beschrieben:
      • … die Vorgaben zur Anwendung und der erforderlichenfalls Überprüfung und/oder Aktualisierung von geeigneten technischen und organisatorischen Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Vereinbarung, mit Blick auf die Vertraulichkeit, Integrität und Verfügbarkeit von verarbeiteten Daten als auch auf die Belastbarkeit der einbezogenen Systeme und Dienste, erfolgt.
      • … die Vorgaben zur Einhaltung der gesamtrechtlichen Bestimmungen zum nationalen und europäischen Datenschutz, wie zu:
        • … erteilenden Informationen, im Rahmen der eigenverantwortlichen und/oder ggf. beauftragten Datenerhebung, gemäß Art. 13 und Art. 14 der DSGVO;
        • … zur Information und/oder Gewährung zu (von) Betroffenenrechten, gemäß den Art. 15 – 22. - DSGVO;
        • … den Dokumentations- und Nachweispflichten gemäß Art. 5 Abs. 2 – DSGVO und
        • … zur Gewährleistung der sicheren Datenverarbeitung, zur Meldung an Aufsichtsbehörden und/oder Benachrichtigung von Betroffenen im Fall von Verletzungen des Schutzes von personenbezogener Daten sowie zu möglichen Datenschutz-Folgeabschätzungen, gemäß den Art. 32. – 36. Der DSGVO.
    • Der vertraglich gebundenen Auftragnehmer übernimmt die Verpflichtung, wie:
      1. … die Verarbeitung nur auf eine dokumentierte Anweisung durch den Auftraggeber hin umzusetzen.Die Verarbeitung findet gemäß des Art. 3 der DSGVO ihren „räumlichen Anwendungsbereich“ in der Europäischen Union. Eine Übertragung von personenbezogenen Daten in ein Drittland und/oder zu einer internationalen Organisation bedarf der vorherigen Zustimmung des Auftraggebers und erfolgt im Fall auch nur unter der Beachtung der Vorgaben zum Art. 44 ff. der DSGVO;
      2. … die zur Verarbeitung der personenbezogenen Daten befugten Personen einschließlich der einbezogenen Mitarbeiter sowie durch den Auftragnehmer beauftragte Dritte auf die notwendigen Vertraulichkeit zu verpflichten und den Vorgaben des Art. 32 Abs. 4 der DSGVO entsprechend, nur auf Anweisung handeln zu lassen;
      3. … unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen (siehe: derzeit aktuell gültige Technische und Organisatorische Maßnahmen) (Anhang 3: Technische und Organisatorische Maßnahmen) zur vereinbarten Leistungserbringung einzusetzen, um ein angemessenes Schutzniveau in der Verarbeitung gewährleisten zu können;
      4. … die in dem Absatz 8 (s.u.) genannten Bedingungen für die Inanspruchnahme der Dienste eines und/oder weiteren(r) Auftragsverarbeiter einzuhalten;
      5. … den Auftraggeber nach besten Möglichkeit mit geeigneten technischen und/oder organisatorischen Maßnahmen bei eventuellen Tätigkeiten im Rahmen der Betroffenenrechte (Kap. III DSGVO) zu unterstützen;
      6. … unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten zu unterstützen;
      7. … nach der rechtsverbindlichen Vertragsbeendigung die personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder sofern möglich, unter Berücksichtigung der der allgemeinen Grundsätze zur Datenübermittlung, gemäß dem Art. 44 der DSGVO, zurückzugeben. Diese Verpflichtung zur Rückgabe unterliegt dem Vorbehalt einer rechtlichen Verpflichtung zur Speicherung der personenbezogenen Daten;
      8. … dem Auftraggeber alle notwendigen Informationen, zum Nachweis der Einhaltung der in diesem Vertrag festgelegten Verpflichtungen, zur Verfügung zu stellen. Überprüfungen und/oder Inspektionen, die vom Auftraggeber und/oder einer dritten autorisierten Stelle durchgeführt werden, zu ermöglichen und zu unterstützen.
    • Der Auftragnehmer verpflichtet sich zur Benennung eines sachkundigen Datenschutzbeauftragten für sein Unternehmen gemäß den Art. 37. Und 38. – DSGVO, um die vertraglichen Vereinbarungen unter Einbezug weiterer Expertise bestmöglich erfüllen zu können.
    • Entsprechende Kontaktdaten werden auf Wunsch dem Auftraggeber mitgeteilt.
  7. Vereinbarungen zu Weisungsbefugnissen und den Anwendungs- und/oder Nutzungsrechten
    • Das Weisungsrecht zur Verarbeitung der pb-Daten wird entsprechend dem Art. 29 DSGVO, mit der Regelung zum Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragnehmers, umgesetzt. Mündliche Weisungen durch den Auftraggeber an den Auftragnehmer bedürfen einer sofortigen, im Sinne von zeitnah, schriftlichen Bestätigung, um Gültigkeit zu erlangen.
    • Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn seiner Meinung nach, eine Weisung nicht im Einklang zur DSGVO und/oder zum BDSGn sowie auch zu anderen Bestimmungen der Union oder der Mitgliedstaaten steht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung zu verweigern, bis sie durch den Verantwortlichen beim Auftraggeber rechtssicher bestätigt und/oder geändert wird.
    • Aufgrund der technischen Gegebenheiten zu den gewährten Infrastrukturleistungen durch den Auftragnehmer besteht situativ zu jeder Zeit ein vollständiger und umfassender Zugriff auf die einbezogenen pb-Daten durch den Auftraggeber ohne und unabhängig vom Auftragnehmer.
    • Dieser Umstand entbindet den Auftragnehmer von einem direkten und aktiven Einbezug zur Verarbeitung der pb-Daten gemäß Art. 4 Satz 2 der DSGVO, und hier insbesondere zur Berichtigung, Sperrung, Löschung etc., durch den Auftraggeber.
    • Im Fall, dass im Rahmen der vertraglich geschuldeten Support- und Administrationsleistungen durch den Auftragnehmer direkt und/oder indirekt einbezogene pb-Daten verarbeitet werden, gelten die bisher vereinbarten Bestimmungen.
    • Der Auftraggeber verpflichtet sich seinerseits, im Rahmen der direkten und/oder indirekten Nutzung der Ihm zugänglichen IT- und DV-Infrastruktur, keinerlei und unter keinen Umständen Software und /oder ähnliche nutzbare technische Hilfsmittel zum Einsatz zu bringen, welche die Sicherheit der Datenverarbeitung insgesamt und der personenbezogenen Daten im Besonderen direkt und/oder indirekt gefährden könnte. Im Zweifelsfall ist eine Ab- und Zustimmung mit dem Auftragnehmer, als verantwortlicher Infrastrukturbetreiber und für die Sicherheit mitverantwortlich, vorzunehmen.
    • Weiterhin verpflichtet sich der Auftraggeber die von Ihm installierte Software zu pflegen und ggf. entdecket Sicherheitslücken zeitnah zu beseitigen. Sollte der Auftraggeber Dritten einen Zugang für die Installation von Software einräumen so hat er sicherzustellen, dass die von Dritten installierte Software ebenfalls gepflegt und die Sicherheit dieser zu jederzeit gewährleistet ist.
  8. Vereinbarung zu weiteren dritten Verarbeitern mit Bezug zum Art. 28 Abs.2 und Abs.4 der DSGVO
    • Als Unterauftragsverhältnisse zur unterstützenden Realisierung der vertraglich vereinbarten Leistungen werden die zusätzlichen Leistungen definiert, welche den Auftragnehmer, in der Erbringung seiner Leistungen dem Auftraggeber gegenüber, unterstützen. Dazu gehören situativ alle die spezifizierten Leistungen, welche den Auftragnehmer insgesamt fachspezifisch und/oder logistisch in seiner Kernkompetenz ergänzend unterstützen.
    • Der Auftraggeber stimmt hiermit ausdrücklich und als genehmigt zu, dass der Auftragnehmer gegebenenfalls zur schnellstmöglichen Erfüllung seiner Dienstleistung(en) einen oder weitere Subunternehmer in Anspruch nehmen kann. Er überträgt somit die sich aus dem Art 28 Satz 1 -DSGVO ergebenden Vorabkontrollverpflichtungen zur Qualifikation von Subunternehmern auf den Auftragnehmer.
      Einbezogene Subunternehmer sind durch den beauftragenden Auftragnehmer auf die Regelungen aus diesem Vertrag im Sinne der DSGVO und dem BDSGn zu verpflichten.
      Dem Auftragnehmer obliegt weiter dazu die Pflicht, bei einbezogenen Subleistungen diese im angemessenen und zumutbaren Umfang auf deren Konformität zu gesetzlichen Vorgaben sowie auf die aus diesem Vertrag abzuleitende Ansprüche des Auftraggebers hin zu kontrollieren.
    • Im Fall, dass im Rahmen der Vertragserfüllung, gegebenenfalls auch durch hierzu situativ in Anspruch genommene Subleistungen, Serverstandorte außerhalb Deutschlands einbezogen werden würden, ist eine solches Vorgehen zuvor durch die ausdrückliche Genehmigung des Auftraggebers sowie durch die Abklärung der rechtlichen Bedingungen abzusichern.
    • Sollte der Auftragnehmer nachweislich seinen Verpflichtungen im Rahmen der festgelegten Leistungen aus diesem Vertrag nicht entsprechen, so hat der Auftraggeber im Rahmen seiner Geltendmachung von Rechtsansprüchen auch das Recht zur Auskunft über den einen oder mehrere eventuell in den Vorgang einbezogene Subunternehmer.
      Unbenommen von einer Entscheidung zur Frage der nicht- oder mindererbrachten Leistung durch den Auftragnehmer kann der Auftraggeber Einspruch gegen den weiteren Einbezug von den zur strittigen Leistung einbezogenen Subleistungsverantwortlichen einlegen.
  9. Vereinbarung zu den Kontrollrechten des Auftraggebers
    • Im Rahmen seiner Kontrollverpflichtungen nach Art. 28 Abs. 1 DSGVO vor Beginn der personenbezogenen Datenverarbeitung und zur Umsetzung der beiderseitigen Vertragspflichten besteht für den Auftraggeber das Recht, sich von der Einhaltung der Vereinbarungen sowie auch von den dazu einbezogenen technischen und/oder organisatorischen Maßnahmen zu überzeugen.
      Der Datenschutzbeauftragten des Auftragnehmers stellt dazu dann die aktuelle Dokumentation über die jeweils technischen und organisatorischen Maßnahmen zur Verfügung.
    • Der Auftraggeber hat das Recht eigenverantwortlich, durch einen nachgewiesen autorisierten Vertreter und/oder oder durch im Einzelfall zu benennende externen Prüfer eine Überwachung durchführen zu lassen; gleichzeitig besteht für ihn die Verpflichtung diese Überwachung im Be- und Einvernehmen mit dem Auftragnehmer durchzuführen.
      Tätigkeiten zur Überwachung sind in diesem Sinne immer rechtzeitig (mindestens 3 Wochen) anzumelden und während der Umsetzung zu üblichen Geschäftszeiten ohne Störung des Betriebsablaufs abzuwickeln.
    • Dem autorisierten Prüfer sind auf Anforderung jeweils die zur Umsetzung der Prüfung notwendigen Informationen und Gegebenheiten offen- und /oder darzulegen. Dies gilt auch für Nachweise zu eventuellen Kontrollen, die der Auftragnehmer für den Auftraggeber bei den einbezogenen dritten Auftragsverarbeitern durchführt.
    • Sollten dem Auftragnehmer durch seine Unterstützungshandlung zu Kontrollen Kosten entstehen, sind diese durch ihn nachzuweisen und ihm in einem angemessenen Umfang zu erstatten.
  10. Vereinbarung zur Salvatorische Klausel und dem Gerichtsstand
    • Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsabschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des gesamten Vertrages im Übrigen unberührt.
    • An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der gemeinsam vereinbarten und angestrebten Zielsetzung am nächsten kommen, die beide Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben.
    • Die vorstehenden Bestimmungen gelten entsprechend auch für den Fall, dass sich der Vertrag als lückenhaft erweist.
    • Als Durchführungsort einer eventuellen gerichtlichen Auseinandersetzung der Vertragsparteien gilt der Firmensitz des Auftragnehmers als vereinbart.

Der Auftragnehmer bestätigt nachfolgend aufgeführte technische und organisatorische Maßnahmen, welche in seinem Unternehmen zur Gewährleistung, der nach Art. 32 – DSGVO geforderten Sicherheit in der personenbezogenen Datenverarbeitung umgesetzt werden und somit Bestandteil dieses Vertrages sind.

Damit unterstützt er die Kontrollverpflichtung des Auftraggebers nach Art. 28 Abs. 1 DSGVO sich vor Beginn der personenbezogenen Datenverarbeitung und während der Umsetzung von der geforderten Qualifizierung des Auftragnehmers zu überzeugen.

Anlagen:

Anhang 1: Art der verarbeitenden personenbezogenen Daten
Anhang 2: Kategorien betroffener Personen
Anhang 3: Technische und Organisatorische Maßnahmen

Technische und organisatorische Massnahmen nach Art. 32 DS-GVO und Anlage

  1. Verfahren zur Vertraulichkeit – Art. 32 Abs. 1 lit. b.

    Die erforderliche Vertraulichkeit im o.g. Sinn, zu den durch unser Unternehmen verantwortlich be- und verarbeiteten pb-Daten, wird gewährleistet durch:

    1. Zutrittskontrolle (Gebäude /Räume) zur Verhinderung unbefugten Zutritts mit dem Ziel: … nicht zur pb-Datenverarbeitung befugten Personen Zutritt zu unserer DV-Infrastruktur zu verwehren.
      • Hauptverwaltung – Naumannstr. 64, 10829 Berlin
        • Alarmgesicherte Türen und Fenster
        • Videoüberwachung
        • Alarmanlage
        • Sicherheitsschloss
      • Rechenzentrum – Nonnendammallee 15, 13599 Berlin
        • Elektronisches Zutrittskontrollsystem (Zugang mit PIN) mit Protokollierung
        • Hochsicherheitszaun um das Rechenzentrum
        • Schranke und Tor am Eingang zum Rechenzentrum
        • Personenvereinzelungsanlage
        • 24/7 Wachschutz am Rechenzentrum
        • Videoüberwachung an den Ein- und Ausgängen, Türen, Fluren und Serverräumen
        • Richtlinien zur Begleitung von Gästen / Wartungspersonal im Gebäude
        • Unterteilung des Rechenzentrums in unterschiedliche Sicherheitszonen mit individuellen Zutrittsberechtigungen über personalisierte ID-Karte
        • Dokumentierte Schlüssel- und ID-Kartenvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für sein(e) Colocation Rack(s))
      • Rechenzentrum – Gradestrasse 64, 12347 Berlin
        • Elektronisches Zutrittskontrollsystem (Zugang mit PIN und biometrischen Merkmalen) mit Protokollierung
        • Zaun um das Rechenzentrum
        • Richtlinie zur Begleitung von Gästen und Wartungsprotokoll im Gebäude
        • Videoüberwachung an den Ein- und Ausgängen
        • Unterteilung des Rechenzentrums in unterschiedliche Sicherheitszonen mit individuellen Zutrittsberechtigungen über personalisierte ID-Karte
        • Dokumentierte Schlüssel- und ID-Kartenvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für sein(e) Colocation Rack(s))
    2. Zugangskontrolle zur DV-Infrastruktur zur Verhinderung der unbefugten Benutzung mit dem Ziel: … nicht zur pb-Datenverarbeitung befugten Personen die Nutzung unserer DV-Infrastruktur zu verwehren.
      • Allgemein
        • Der Auftragnehmer vermietet die DV-Infrastruktur an den Auftraggeber. Dies beinhaltet die Vermietung von Hard- und Software, sowie die Bereitstellung von Anbindungen an das Internet sowie weitere Dienste entsprechend der jeweiligen Vereinbarung. Durch den Auftragnehmer findet keine Verarbeitung von personenbezogenen Daten statt und es ist ihm auch nicht möglich dies beim Auftraggeber zu kontrollieren. Der Auftraggeber entscheidet allein und ausschließlich darüber, welche pb-Daten in welcher Weise verarbeitetet werden.
      • Managed-Systeme und Services
        • Bei Managed-Systemen und Services erhalten nur für dieses System / Applikation berechtigte Administratoren einen Zugang. Jeder Administrator hat hierfür einen individuellen VPN-Zugang. Jeder Zugriff eines Administrator wird protokolliert. Es bestehen Regeln zum Schutz und regelmäßigen Austauschs der Zugangsdaten.
      • Unmanaged-Systeme und Services
        • Bei Unmanaged-Systeme und Services obliegt es dem Auftraggeber entsprechende Maßnahmen zu ergreifen, die dazu geeignet sind, unbefugten die Nutzung der Datenverarbeitungssysteme zu verwehren.
      • Colocation
        • Der Auftragnehmer stellt hierbei nur die Zutrittskontrolle zum Rechenzentrum, wie in Abs. A genannt sicher. Weitere Maßnahmen zur Sicherung obliegen ausschließlich dem Auftraggeber.
    3. Zugriffskontrolle zur Verhinderung von unbefugten Datenzugriff durch DV-Systembenutzer mit dem Ziel: … zu gewährleisten, dass die berechtigten DV-Systembenutzer, durch Zugriffsrechte gesteuert, nur die für sie bestimmten pb-Daten verarbeiten können; und somit pb-Daten bei deren Be- und Verarbeitung (bei der Anwendung und nach der Speicherung) nicht durch Unbefugte gelesen, kopiert, verändert oder entfernt werden können.
      • Interne Verwaltungssysteme des Auftragsnehmers
        • Ein unberechtigter Zugriff wird durch regelmäßige Sicherheitsupdates, nach dem jeweiligen Stand der Technik durch den Auftragnehmer verhindert.
        • Ausschließlich berechtigte Mitarbeiter erhalten Zugriff und jeder Zugriff eines Mitarbeiters wird protokolliert.
      • Managed-Systeme und Services
        • Ein unberechtigter Zugriff wird durch regelmäßige Sicherheitsupdates der vom Auftraggeber installierten Software, nach dem jeweiligen Stand der Technik durch den Auftragnehmer verhindert.
        • Ausschließlich berechtigte Mitarbeiter erhalten Zugriff und jeder Zugriff eines Mitarbeiters wird protokolliert.
        • Für die Sicherheit der vom Auftraggeber installierten Dienste und Software ist allein der Auftraggeber verantwortlich.
      • Unmanaged-Systeme und Services
        • Die Verantwortung der Zugriffskontrolle obliegt allein dem Auftraggeber.
      • Colocation
        • Die Verantwortung der Zugriffskontrolle obliegt allein dem Auftraggeber.
    4. Datenträgerkontrolle zur Gewährleistung der sicheren Benutzung von Datenträgern mit dem Ziel: … technisch nicht mehr sichere und/oder nicht mehr zu verwendende Datenträger mit pb-Daten entweder gebrauchsfähig wiederherzustellen oder vollständig zu vernichten.
      • Wenn Datenträger nach Beendigung eines Vertragsverhältnisses wiederverwendet werden sollen, wird durch ein definiertes Verfahren mit mehrfachem Überschreiben sichergestellt, dass die Daten unwiederbringlich gelöscht werden.
      • Nicht mehr verwendbare Datenträger werden vernichtet
    5. Datentrennungskontrolle zur Gewährleistung der getrennten Verarbeitung von pb-Daten mit dem Ziel: … zu gewährleisten, dass pb-Daten, welche zu unterschiedlichen Zwecken erhoben werden und/oder erhoben wurden, getrennt verarbeiten werden.
      • Interne Verwaltungssysteme des Auftragsnehmers
        • Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert. Dies gilt auch für die Datensicherung.
      • Managed-Systeme und Services
        • Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert. Dies gilt auch für die Datensicherung.
      • Unmanaged-Systeme und Services
        • Die Datentrennungskontrolle obliegt allein dem Auftraggeber. Bei virtualisierten Servern findet eine logische Trennung der Gastsysteme statt. Ab Betriebssystemebene des Gast Systems obliegt die Datentrennungskontolle wieder allein dem Auftraggeber.
      • Colocation
        • Die Datentrennungskontrolle obliegt allein dem Auftraggeber.
  2. Verfahren zur Integrität – Art. 32 Abs. 1 lit. b.

    Die erforderliche Integrität im o.g. Sinn, zu den durch unser Unternehmen verantwortlich be- und verarbeiteten pb-Daten, wird gewährleistet durch:

    1. Übertragungs – und Transportkontrolle zur Gewährleistung der sicheren Weitergabe von pb-Daten mit dem Ziel: … zu gewährleisten, dass pb-Daten bei einer elektronischen oder manuell logistischen Übertragung während eines solchen Transports als auch bei der Speicherung auf jegliche Art von lokalen und/oder mobilen Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Des Weiteren ist zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung der pb-Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
      • Allgemein
        • Eine theoretische und technische Zugriffsmöglichkeit auf alle übertragenen Daten zuzugreifen besteht im Rahmen der Verwaltung der Netzwerkhardware wie z.B. von Routern und Switches. Ein Zugriff auf diese Systeme ist nur für geschultes Personal möglich, dass für eine Sicherstellung des Netzwerkbetriebs autorisiert wurde. Die Selektierung von pb-Daten ist hierbei nicht möglich. Es obliegt dem Auftraggeber eine dem technischen Standard entsprechende Verschlüsselung einzusetzen, um dafür Sorge zu tragen, dass die übertragenen Daten nicht lesbar sind.
      • Interne Verwaltungssysteme des Auftragsnehmers
        • Werden pb-Daten aus Interne Verwaltungssysteme übertragen, sorgt der Auftragnehmer für eine dem technischen Standard entsprechende Verschlüsselung des Übertragungsweges.
      • Managed-Systeme und Services
        • Der Zugriff auf Managed-Systeme und Services wird durch ein vom Auftragnehmer definiertes Berechtigungskonzept geregelt. Ein Zugriff erfolgt ausschließlich durch nach Art. 32 Abs.4 DSGVO unterwiesenes und verpflichtetes Personal. Jeder Zugriff durch das Personal des Auftragnehmers wird protokolliert. Werden pb-Daten vom Auftragnehmer übertragen, sorgt der Auftragnehmer für eine dem technischen Standard entsprechende Verschlüsselung des Übertragungsweges.
      • Unmanaged-Systeme und Services
        • Der Auftragnehmer hat bei unmanaged-Systeme und Services keinen Zugriff auf die durch den Auftraggeber verarbeiteten pb-Daten. Werden im Falle einer gesonderten Beauftragung durch den Auftraggeber Daten vom Auftragnehmer übertragen, sorgt der Auftragnehmer für eine dem technischen Standard entsprechende Verschlüsselung des Übertragungsweges.
    2. Eingabekontrolle zur Gewährleistung der nachträglichen Überprüfung von Eingaben in DV-Systeme zu pb-Daten mit dem Ziel: … zu gewährleisten, dass überprüft und festgestellt werden kann, ob und von wem pb-Daten in DV-Systeme eingegeben, verändert, gespeichert oder entfernt wurden.
      • Interne Verwaltungssysteme des Auftragsnehmers
        • Die Daten werden vom Auftraggeber im Kundenportal selbst eingegeben bzw. erfasst. Eine Eingabe und Erfassung kann auch durch den Auftragnehmer durch Beauftragung des Auftraggebers erfolgen.
        • Zugriffe und Änderungen der pb-Daten werden protokolliert.
      • Managed-Systeme und Services
        • Die Daten werden vom Auftraggeber im Kundenportal selbst eingegeben bzw. erfasst. Eine Eingabe und Erfassung kann auch durch den Auftragnehmer durch Beauftragung des Auftraggebers erfolgen.
        • Zugriffe und Änderungen der pb-Daten werden protokolliert.
      • Unmanaged-Systeme und Services
        • Die Eingabekontrolle obliegt allein dem Auftraggeber.
      • Colocation
        • Die Eingabekontrolle obliegt allein dem Auftraggeber.
  3. Verfahren zur Verfüg- und Belastbarkeit – Art. 32 Abs. 1 lit. b.

    Die erforderliche Verfüg- und Belastbarkeit der einbezogenen DV-Infrastruktur im o.g. Sinn, zu den durch unser Unternehmen verantwortlich be- und verarbeiteten pb-Daten, wird gewährleistet durch:

    1. Verfüg- und Belastbarkeitskontrolle zur Gewährleistung der unbeeinflussten Bearbeitung von pb-Daten mit dem Ziel: … zu gewährleisten, dass pb-Daten gegen eventuelle Zerstörung und/oder Verlust geschützt sind und im Schadensfall eine schnellstmögliche Wiederherstellung realisiert werden kann.
      • Allgemein
        • Die Stromversorgung der unter A. genannten Rechenzentren erfolgt über mindestens eine n+1 USV-Anlage sowie einer Netzersatzanlage die den Betrieb der Rechenzentren im Fall eines längeren Stromausfalls sicherstellt.
        • Eine n+1 Klimaanlage.
        • Alle Serverracks werden mit zwei separate Stromzuführungen versorgt.
        • Überwachung der Temperatur der unter A. genannten Rechenzentren.
        • Flächendeckendes Brandfrühwarnsystem in den unter A. genannten Rechenzentren mit direkter Aufschaltung zur örtlichen Feuerwehr. Sowie einer geeigneten Feuerbekämpfungseinrichtung.
      • Interne Verwaltungssysteme des Auftragsnehmers
        • Die Festplatten-Systeme der IT-Infrastruktur werden grundsätzlich in einem Raid-Verbund konfiguriert, der eine redundante Speicherung der Daten gewährleistet.
        • Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten und Konfigurationen wird durchgeführt und regelmäßig kontrolliert.
        • Die internen Verwaltungssysteme des Auftragsnehmers werden 24/7 überwacht und gemäß des vereinbarten Service Level Agreements im Falle eines Ausfalls entsprechend entstört.
        • Sachgerechter Einsatz von dem technischen Standort entsprechender Sicherheitssoftware (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
      • Managed-Systeme und Services
        • Die Festplatten-Systeme der IT-Infrastruktur werden grundsätzlich in einem Raid-Verbund konfiguriert, der eine redundante Speicherung der Daten gewährleistet.
        • Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten und Konfigurationen wird durchgeführt und regelmäßig kontrolliert.
        • Die vom Auftragnehmer installierten auftragsrelevanten Dienste werden 24/7 überwacht und gemäß des vereinbarten Service Level Agreements im Falle einer Störung entsprechend entstört.
        • Sachgerechter Einsatz dem technischen Standard entsprechende Sicherheitssoftware (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
      • Unmanaged-Systeme und Services
        • Die Verfüg- und Belastbarkeitskontrolle obliegt allein dem Auftraggeber, hiervon ausgenommen sind die unter Allgemein genannten Dienste.
      • Colocation
        • Die Verfüg- und Belastbarkeitskontrolle obliegt allein dem Auftraggeber, hiervon ausgenommen sind die unter Allgemein genannten Dienste.
  4. Verfahren zur weisungsgebunden Sicherheit - Art. 32 Abs. 4
    1. Auftragskontrolle zur Gewährleistung einer weisungsgebundenen Verarbeitung von pb-Daten mit dem Ziel: … zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers im Sinne der DSGVO verarbeitet werden können.
      • Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß §52 BDSGneu
      • Es wurde ein externer Datenschutzbeauftragter bestellt.
      • Sofern Subunternehmen mit Aufgaben betraut werden, gelten für diese die gleichen Bestimmungen wir für den Auftragnehmer.
  5. Verfahren der Überprüfung, Bewertung und Analyse - Art. 32 Abs. 1 lit. d - Art. 25
    1. Überprüfung, Bewertung und Analyse zum Datenschutz zum Wirksamkeitsnachweis der einbezogenen datenschutzfreundlichen Voreinstellungen sowie der organisatorischen und technischen Maßnahmen mit dem Ziel: … zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, mit einer best- und größtmöglichen Sicherheit mit Bezug zu den Vorgaben der DSGVO und dem BDSGn verarbeitet werden.
      • Unsere technischen und organisatorischen Maßnahmen sowie die einbezogene Technikgestaltung und datenschutzfreundliche Voreinstellungen dienen zur Gewährleistung eines sicheren und rechtskonformen Datenschutzes.
      • Ein solches Maßnahmenpaket bedarf naturgemäß einer regelmäßigen Überprüfung auf die tatsächliche Wirksamkeit einzelner Komponenten, um deren Effektivität und Effizienz gewährleisten zu können.
      • Eine solche Überprüfung geschieht im Rahmen von regelmäßigen Auditierungen im Jahresverlauf durch den bestellten Datenschutzbeauftragten unter dem Einbezug von Mitteln des Qualitätsmanagements entsprechend der DIN EN ISO 9001.
      • Weiter sind unsere aufgaben- und prozessbezogenen Aufzeichnungen zum Verzeichnis zu den Verarbeitungstätigkeiten ( Art. 30 - DSGVO) im Aufbau ebenfalls an einem qualitätsmanagementbezogenen Auditformat angelehnt, so dass sich bei deren Anwendung jeweils auch Einzelauditierungen mit Wirksamkeitsprüfungscharakter ergeben.
      • Insgesamt sind so umfassende und fortlaufende Prüfungen der einbezogenen Maßnahmen auf deren Wirksamkeit zum sicheren Datenschutz gegeben.