Vertrag über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit der Parteien gemäß Art.26 DS-GVO

Präambel
BestEffect betreibt für den Partner gemäß den zwischen den Parteien zustande gekommenen Partnervertrag (nachfolgend "Hauptvertrag" genannt) einen Onlineshop, indem der Partner die Produkte von BestEffect vertreibt. Der Vertrieb über den Onlineshop bringt es mit sich, dass die Parteien gemeinsam über die Zwecke und/oder Mittel der Verarbeitung von bestimmten personenbezogenen Daten (nachfolgend nur "Daten" oder "Datenverarbeitung" genannt) bestimmen und im Rahmen dieser Zusammenarbeit als gemeinsame Verantwortliche iSv Art.26 iVm Art4 Nr.7 DS-GVO agieren. Dies vorausgeschickt, regeln die Parteien ihre datenschutzrechtlichen Rechte und Pflichten in Bezug auf die gemeinsame Verarbeitung der Daten iSd Art26 DS-GVO wie folgt:

§1 Konkretisierung der Datenverarbeitung

(1) Dieser Vertrag regelt die gemeinsame Datenverarbeitung durch die BestEffect GmbH, Euro Center, Wörthstraße 13-15, 97082 Würzburg (im Folgenden: „BestEffect“) und dem Partner.
(2) Der Gegenstand der Datenverarbeitung ergibt sich im Einzelnen aus dem Hauptvertrag und dort insbesondere aus Ziff. 6 des Hauptvertrages, wonach die Parteien einen von BestEffect gehosteten und von dem Partner beworbenen Onlineshop zwecks Vermittlung des Verkaufs der Produkte von BestEffect an Endkunden vorhalten. Soweit der Partner Produkte von BestEffect als Händler erwirbt und auf anderem Weg vertreibt, gehen die Parteien gemeinsam davon aus, dass insoweit der Partner allein Verantwortlicher und allein für die Erfüllung aller datenschutzrechtlicher Pflichten verantwortlich ist.
(3) Die jeweiligen Zwecke, Mittel und der Umfang der Datenverarbeitung sowie die Art der verarbeiteten Daten und die Kategorien der betroffenen Personen sind abschließend in Anlage 1 festgelegt. Die die Kategorien betroffener Personen, die Art der personenbezogenen Daten und die Mittel und Zwecke der Datenverarbeitung wurden und werden von BestEffect bestimmt.
(4) Die Parteien stimmen darin überein, dass die Datenverarbeitung ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU) stattfindet.

§ 2 Zuständigkeitsaufteilung und Verantwortung bei der Datenverarbeitung

(1) Die Zuständigkeiten für die Datenverarbeitung im Anwendungsbereich nach § 1 Abs. 1 liegt bei BestEffect.
(2) Die Daten sind in einem gängigen und maschinenlesbaren Format zu speichern.
(3) Im Falle der Löschung von Daten ist die jeweils andere Partei vor der Löschung zu informieren. Ungeachtet der festgelegten Zuständigkeiten kann jede Partei einer Löschung der Daten widersprechen, sofern sie eine gesetzliche Aufbewahrungspflicht trifft.
(4) Beide Parteien dürfen die Daten nur innerhalb ihrer Zuständigkeiten und nur für die in Anlage 1 festgelegten Zwecke verwenden. Ungeachtet der festgelegten Zuständigkeiten sind die Parteien gemeinsam für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
 
§ 3    Informationspflichten
(1) Die Informationsplichten nach Artikel 13 und 14 DS-GVO werden von BestEffect erfüllt.
(2) Den betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form unentgeltlich zur Verfügung zu stellen. Ferner hat die nach § 3 Absatz 1 dieses Vertrages zuständige Partei der betroffenen Person den wesentlichen Inhalt dieses Vertrags zur Verfügung zu stellen. Die Parteien werden sich hinsichtlich des Inhalts und der Formulierung dieser Informationen im Einzelnen abstimmen.
 
§ 4    Wahrnehmung sonstiger Betroffenenrechte
(1) Für die Erfüllung der Betroffenenrechte nach Art. 15 ff. ist BestEffect zuständig. Ungeachtet dessen, sind sich die Parteien einig, dass sich betroffene Personen zwecks Wahrnehmung ihrer Betroffenenrechte an beide Parteien wenden können. In diesem Fall wird die jeweils andere Partei das Ersuchen an die nach § 4 Abs. 1 Satz 1 dieses Vertrags zuständige Partei unverzüglich weiterleiten.
(2) Im Falle eines Ersuchens auf Löschung gilt § 2 Abs. 4 dieses Vertrags entsprechend.
 
 § 5    Datensicherheit
(1) Die Parteien ergreifen die in Anlage 2 spezifizierten technischen und organisatorischen Maßnahmen, die nach Maßgabe der Artikel 32 und 25 DS-GVO geeignet und erforderlich sind, ein dem Risiko für Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und die Datenschutzgrundsätze zu wahren.
(2) Die in Anlage 2 spezifizierten technischen und organisatorischen Maßnahmen sind vor Beginn der Verarbeitung zu implementieren und müssen während der Dauer des Vertrages aufrechtgehalten werden. Alternative Maßnahmen sind nur gestattet, soweit durch die Änderung das angemessene Schutzniveau der in Anlage 2 spezifizierten Maßnahmen nicht unterschritten wird.
(3) Sollten sich die gemäß Anlage 2 umgesetzten Maßnahmen als nicht mehr ausreichend erweisen oder der technische Fortschritt oder gesetzliche Änderungen weitere Maßnahmen erforderlich machen, werden sich die Parteien hierüber unverzüglich informieren und sich hinsichtlich weiterer Maßnahmen abstimmen. Die Umsetzung weiterer Maßnahmen bedarf der schriftlichen Zustimmung beider Parteien und ist entsprechend zu dokumentieren.
 
§ 6    Vorgehen bei Datenschutzverletzungen/Kommunikation mit Aufsichtsbehörden
(1) Für die Prüfung und Bearbeitung aller Verletzungen des Schutzes personenbezogener Daten, einschließlich der Erfüllung deshalb bestehender Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Artikel 33 DS-GVO) bzw. den Betroffenen (Artikel 34 DS-GVO) ist BestEffect zuständig.
(2) Wird einer der Parteien eine Verletzung des Datenschutzes bekannt oder tritt eine sicherheitsrelevante Störung des Datenverarbeitungsprozesses auf, sind die Parteien ungeachtet der Zuständigkeitsverteilung verpflichtet, innerhalb ihrer Organisation unverzüglich Maßnahmen zu ergreifen, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen erforderlich sind. Der Vorfall ist der jeweils anderen Partei unverzüglich zu melden.
(3) Ungeachtet der Zuständigkeitsverteilung gemäß § 6 Abs. 1 dieses Vertrages werden die Parteien der jeweils anderen Partei unverzüglich anzeigen, wenn sich eine Aufsichtsbehörde im Zusammenhang mit diesem Vertrag an sie wendet. Die Parteien stimmen darin überein, dass sie den Aufforderungen zuständiger Aufsichtsbehörden grundsätzlich Folge leisten werden, insbesondere in Bezug auf Anfragen und die Überlassung von Informationen.
(4) Bevor eine Meldung iSd § 6 Abs. 1 erfolgt oder einer Anfrage iSd § 6 Abs. 3 dieses Vertrages Folge geleistet wird, werden sich die Parteien hinsichtlich des Vorgehens abstimmen.
 
§ 7    Sonstige Pflichten
(1) Die Parteien werden alle mit der Datenverarbeitung beschäftigten Personen schriftlich zur Vertraulichkeit im Hinblick auf die Daten verpflichten.
(2) Die Parteien führen jeweils ein Verzeichnis zu allen Kategorien von in gemeinsamer Verantwortung durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben nach Art. 30 Abs. 2 DS-GVO enthält.
(3) Sofern und solange die gesetzlichen Voraussetzungen gegeben sind, werden die Parteien einen fachkundigen und zuverlässigen Datenschutzbeauftragten gemäß Art. 37 DS-GVO bestellen.
 
§ 8    Einschaltung von Auftragsverarbeitern
(1) Die Parteien dürfen Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DS-GVO für Verarbeitungen im Rahmen dieser Vereinbarung nur für die ihnen nach diesem Vertrag jeweils zugewiesenen Aufgaben und nur nach vorheriger schriftlicher Zustimmung der anderen Partei einschalten.
(2) Die Einschaltung von Auftragsverarbeitern erfolgt durch schriftliche Vereinbarung, die den Anforderungen der Artikel 28 und 29 DS-GVO entsprechen muss. Zur Prüfung der Erteilung einer Zustimmung i.S.d. § 8 Abs. 1 dieses Vertrags hat die beauftragungswillige Partei der jeweils anderen Partei vorab eine Kopie der abzuschließenden Vereinbarung zur Datenverarbeitung zur Verfügung zu stellen.
(3) Zudem hat die beauftragungswillige Partei der jeweils anderen Partei schriftlich und unter Vorlage einer entsprechenden Ergebnisdokumentation zu bestätigen, dass sie den Auftragsverarbeiter unter besonderer Berücksichtigung seiner Eignung sorgfältig ausgewählt und sich von der Einhaltung der seitens des Auftragsverarbeiters getroffenen technischen und organisatorischen Maßnahmen überzeugt hat.
(4) Auftragsverarbeiter sind von der beauftragungswilligen Partei mindestens einmal jährlich in geeigneter Form zu prüfen. Der dabei erstellte Prüfbericht ist der jeweils anderen Partei unverzüglich zur Verfügung zu stellen.
(5) Die Parteien werden einander in regelmäßigen Abständen über das Datenschutzniveau bei der Auftragsverarbeitung Rechenschaft ablegen. Werden Umstände bekannt, die auf eine Datenschutzverletzung hinweisen, ist dies unverzüglich der anderen Partei anzuzeigen.
 
§ 9    Haftung
(1) Die Parteien haften gegenüber den Betroffenen nach Art. 82 DS-GVO.
(2) Im Innenverhältnis haften die Parteien einander nur für ihren Anteil an der haftungsauslösenden Ursache. § 9 Abs. 2 Satz 1 dieses Vertrages gilt entsprechend im Falle einer gegen eine Partei wegen eines Verstoßes gegen Datenschutzvorschriften verhängten Geldbuße, sofern die mit der Geldbuße belegte Partei die Rechtsmittel gegen den Bußgeldbescheid ausgeschöpft hat. Bleibt eine Partei mit einer Geldbuße belastet, die nicht ihrem Verantwortungsanteil an dem Verstoß entspricht, ist die jeweils andere Partei verpflichtet, sie von der Geldbuße in dem Umfang freizustellen, in dem sie die Verantwortung für den sanktionierten Verstoß trägt. Ungeachtet dessen bleibt durch diesen Vertrag die volle Eigenverantwortung der Parteien gegenüber Betroffenen unberührt (Art. 26 Abs. 3 DS-GVO).
 
§ 10    Schlussbestimmungen
(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages vor.
(2) Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam erweisen oder eine Lücke enthalten, bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrages im Ganzen hiervon unberührt. An die Stelle der unwirksamen Regelung soll eine gesetzlich zulässige Regelung treten, die dem Sinn und Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art 26 DS-GVO entspricht.
(3) Der Vertrag unterliegt deutschem Recht einschließlich der DS-GVO. Gerichtsstand ist der Sitz von BestEffect.
Anlage 1

Zwecke, Mittel und der Umfang der Datenverarbeitung sowie die Art der verarbeiteten Daten und die Kategorien der betroffenen Personen

Zwecke:
  • Darstellung des Unternehmens nach außen
  • Anbahnung und Abwicklung von Bestellungen bzw. sonstigen Verträgen

Art der Daten/Kategorien von betroffenen Personen
-    persönliche Daten (Name, Geburtstag, gesetzlich Vertretungsberechtigte)
-    Kontaktdaten (Adresse, E-Mail-Adresse, Ansprechpartner)
-    Finanzdaten (Name des Kontoinhabers, IBAN, BIC)
-    Vertragsdaten (Vertragslaufzeit, erworbene Leistungen, Stornierungen)
Anlage 2

Technisch-organisatorische Maßnahmen

I.

Zutrittskontrolle
Der Zutritt zu Gebäuden, Büros bzw. sonstigen Räumen, die mit IT-Systemen ausgestattet sind, insbesondere Rechenzentren für den Betrieb von Datenbanken, Speichersysteme oder Web-Server, ist zu kontrollieren. Davon erfasst sind auch mit Arbeitsplätzen von Mitarbeitern versehene Räume sowie Räume mit Netzkomponenten bzw. -verkabelungen.

A
Sicherheitsbereiche

Räumlichkeiten, in denen aufgrund hoher Konzentration von Datenverarbeitungen bzw. sonstiger Verwendung personenbezogener Daten ein erhöhtes Risiko für Datenschutzverstöße besteht, sind als Sicherheitsbereiche zu ermitteln.

B
Zutrittsschutz & dessen Protokollierung

Die ermittelten Bereiche sind gegen unbefugten Zutritt Dritter durch technisch-organisatorische Maßnahmen zu schützen, beispielsweise durch Schließanlagen, einen Pförtner, Einbruchwarnsystemen, Drehkreuze samt Chipkartensystem, Vereinzelungsanlagen oder Ähnliches. Die über die Zutrittskontrolle gewonnenen Aufzeichnungen sind über einen Zeitraum von mindestens drei Monaten zur Wiedereinsicht aufzubewahren. Um einem Missbrauch vorzubeugen, sind die Protokollierungen in regelmäßigen Abständen  dahingehend zu evaluieren.

C
Zutrittsberechtigte Personen

Der Zutritt ohne Berechtigung ist grundsätzlich zu verwehren. Allgemeine Zutrittskriterien müssen anhand von Berechtigtenkreisen festgelegt werden. Daneben dürfen die ausgemachten Sicherheitsbereiche nur nach dem „Prinzip der minimalen Berechtigung“ zugänglich gemacht werden. Schlüssel bzw. andere Zutrittsmittel sind einzeln pro Person zu verteilen, wobei eine Weitergabe an Dritte ausgeschlossen ist. Hierauf sind Zugangsberechtigte aufmerksam zu machen.

E        
Verfahren bzgl. Zutritts-berechtigung

Beantragung, Genehmigung und Ausgabe der Zutrittsberechtigung sind ebenso wie die generelle Verwaltung und die eventuelle Rücknahme in allgemeinen Verfahren festzuhalten. Die Befolgung dieser Vorgaben ist sicherzustellen. Dazu gehört auch ein Verfahren zum Blockieren von Berechtigungen. Sollte ein Zutrittsberechtigter sein Amt niederlegen, seinen Einsatzbereich wechseln oder aus dem Unternehmen ausscheiden, so ist ihm schnellstmöglich der Zutritt zu sämtlichen bzw. den für die bisherige Tätigkeit relevanten Bereichen abzuerkennen. Mit der Überwachung der Sicherheitsbereiche vertraute Personen sind über diese Änderungen in Kenntnis zu setzen.

F
Betriebsfremde

Betriebsfremde Personen erhalten nur nach den dafür vorgesehenen Vorgaben Zutritt. Diese Vorgaben müssen zumindest verlangen, dass Betriebsfremde auf Anfordern ihre Legitimation für den Aufenthalt vorzeigen können, was beispielsweise in Form eines speziellen Ausweises für Gäste- bzw. Lieferanten erfolgen kann. Bei der Ausgabe dieser Ausweise sind dabei Name sowie Herkunft (Auftraggeber bzw. Geschäfts- oder Privatadresse) zu notieren. Mitarbeiter des Verantwortlichen sind vereinzelt zu Kontrollen der Legitimation des Betriebsfremden angehalten. Sofern dies aus Sicherheitsgründen notwendig erscheint, muss Betriebsfremden während ihrer Tätigkeit gefolgt werden.

G
Beaufsichtigung außerhalb der Betriebszeiten

Eine Bewachung der oben genannten Gebäude bzw. Räumlichkeiten ist auch in der Zeit zu gewährleisten in welcher der Betrieb ruht.

 

 

II.

Zugangskontrolle
Neben dem körperlichen Zutritt zu Datenverarbeitungsanlagen muss auch die Befugnis der Nutzung von Datenverarbeitungsanlagen überprüft werden. 

A
Zugangsschutz allgemein & erhöhtes Sicherheitsniveau

Die Datenverarbeitungsanlagen dürfen nur nach vorheriger Identifikation und Authentisierung der jeweiligen Personen zugänglich gemacht werden. Dafür ist eine Kontrolle nach dem Stand der Technik erforderlich (beispielsweise in Form von Benutzerkennung samt Passwortkontrollen oder Chipkarten samt abzufragender PIN)
Sollte eine verschärfte Authentisierung aufgrund der Schutzbedürftigkeit der Daten notwendig sein, kann dies einerseits durch Kombination verschiedener Elemente (bspw. physische Karte mit kognitivem PIN; einmalig verwendbare TAN mit beständigem Benutzerpasswort etc.) oder andererseits durch eine einmalige Eigenschaft der zugangsberechtigten Person (bspw. biometrische Merkmale) erfolgen.

B
Grundsätzliche Anforderungen an Zugangsschutz

Sofern eine besonderer Schutzbedürftigkeit wie oben beschrieben nicht notwendig ist, müssen dennoch minimale Anforderungen an die Authentisierung gestellt werden. Dazu gehören u.a. die Festlegung einer Mindestpasswortlänge, was durch Voreinstellungen gewährleistet wird. Solche Passwörter müssen aus zumindest 8 Zeichen bestehen, die drei der folgenden vier Zeichenelemente enthalten, nämlich eine Kombination aus Groß- bzw. Kleinbuchstaben (abcde.../ABCDE…), Ziffern (1,2,3,4…) sowie Sonderzeichen (!,”,§,$,%...).
Dabei dürfen keine thematisch oder auf sonstige Weise einfach zu erschließenden Passwortvarianten verwendet werden. Während der Eingabe darf das Passwort auf dem Bildschirm nicht im sog. “Klartext” sichtbar sein.
Eine Pflicht zur turnusmäßigen Änderung der Passwörter wird nicht vorgegeben. Lässt sich jedoch nicht ausschließen, dass im Rahmen eines Angriffs auf das System Zugriff auf Passwörter bestand, sind sämtliche möglicherweise betroffenen Passwörter unverzüglich zu ändern.
Zwischenzeitlich gegebenenfalls erteilte Ersatzpasswörter werden schnellstmöglich ersetzt. Die Erstpasswörter müssen sicher an die Empfänger übermittelt werden, welche Sie nach erstmaliger Nutzung durch andere ersetzen. 

C
Aufzeichnung der Zugangs-
versuche

Versuche, Zugang zu erhalten, seien sie erfolgreich oder nicht, sind mit Angabe der verwendeten Zugangsdaten, der benutzten Datenverarbeitungsanlage sowie der IP-Adresse aufzuzeichnen. Diese Daten sind für 6 Monate aufzubewahren und zur Missbrauchsprävention regelmäßig stichprobenartig nachzuprüfen.

D
Sicherer Umgang mit Zugangsmitteln

Die Weitergabe der Zugangsdaten über das Netzwerk darf nicht ungesichert erfolgen.
Auf dem Speicher der Datenverarbeitungsanlage bzw. in deren unmittelbaren Umfeld dürfen Passwörter nicht hinterlassen werden (bspw. Formulareingabe im Browser, Passworttabellen auf Systemspeicher, Notizen am Arbeitsplatz).

E
Sperren des Zugangs

Sollte die Authentisierung mehrfach erfolglos versucht werden, muss der jeweilige Zugang blockiert werden. Zum Zurücksetzen der Kennung bzw. erneuten Aktivieren des Zugangs wird ein Verfahren eingerichtet und verwendet. Für den Fall, dass ein Zugang über mehr als 180 Tage nicht aktiv ist, ist er ebenfalls technisch selbstständig zu blockieren.

F
Beschränkungen der Befugnis

Zugänge zu Datenverarbeitungsanlagen müssen nach dem Prinzip der minimalen Berechtigung auf die Bereiche beschränkt werden, die für die Bewältigung der jeweiligen Aufgaben- bzw. Funktionsbereiche der Berechtigten erforderlich sind. Sofern Personen nur vorübergehend Zugang zu Datenverarbeitungsanlagen erhalten sollen (bspw. im Zuge von Praktika, Ausbildungen bzw. Beratertätigkeiten), müssen diese pro Person einzeln vergeben werden und die jeweilige Kennung darf nach Ende der Tätigkeit nicht erneut verwendet werden (Praktikant 1, Praktikant 2 etc.).

G
Verfahren bzgl. Zugangsberechtigungen

Für die Beantragung, Genehmigung, Vergabe und Rücknahme von Zugängen zu Datenverarbeitungsanlagen und den dazugehörigen plastischen Authentifizierungsmittel werden Verfahren eingerichtet und verwendet.
In welchem Umfang eine Vergabe des Zugangs erfolgt, richtet sich dabei stets nach dem jeweiligen Aufgabenbereich, für den der Zugang zu Datenverarbeitungsanlagen benötigt wird. Dabei sind die Zugänge samt Authentifizierungsmittel für jede Person gesondert mit individueller Zugangskombination vergeben. Im Übrigen dürfen Zugänge nicht an Dritte weitergegeben werden, worüber die berechtigten Personen in besonderer Weise aufmerksam gemacht werden müssen.
Daneben muss ein Prozess zur Sperrung bzw. Löschung der Zugangsberechtigungen samt Kennungen und Authentifizierungsmedien eingerichtet werden. Dabei müssen schnellstmöglich sämtliche bzw., bei einer Verschiebung des Aufgabenbereichs, die nicht mehr benötigten Zugangsberechtigungen und insbesondere die Authentifizierungsmittel zurückgenommen werden. Sämtliche betroffenen Abteilungen sind zudem über Änderungen zu informieren (insb. die Berechtigungsverwaltung).

H
Schutz der Datenverarbeitungsanlagen am Arbeitsplatz

Die Benutzer sind wirksam dahingehend anzuweisen, dass Datenverarbeitungsanlagen (insb. PC-Arbeitsplätze) auch bei kurzzeitigem Verlassen zu sperren sind, wobei für die Wiederaktivierung zumindest die Eingabe eines Passworts erforderlich sein muss.
Die Datenverarbeitungsanlagen sind so einzustellen, dass nach spätestens fünf Minuten ohne Aktivität der Benutzers eine automatische Sperrung mit dem Erfordernis der Eingabe des Passworts erfolgt.

 

 

III.

Zugriffskontrolle
Den Zugangsberechtigten zu den jeweiligen Datenverarbeitungsanlagen ist nur der Zugriff auf die für sie notwendigen Daten zu gestatten. Ziel der Kontrolle ist, dass personenbezogene Daten nicht ohne Befugnis gelesen, kopiert, verändert oder gelöscht werden dürfen.

A
Verfahren bzgl. Berechtigung

Ein Verfahren muss eingerichtet werden, welches die Berechtigungen von Nutzern und Administrationen regelt, sodass der Zugriff auf Daten des Systems nur soweit möglich ist, wie die jeweiligen Benutzer dies für die Bewältigung ihrer Tätigkeit benötigen. Die Reichweite bestimmt dabei die Aufgaben- und Funktionsgliederung. Dabei muss auch ein Prozess zum Anlegen, zur Änderung und dem Entfernen von Berechtigungen erstellt werden. Es muss dezidiert aufgezeigt werden können, welche Aufgabenträger die Administration des Systems übernehmen und welche Benutzergruppen einzelne Maßnahmen im System vornehmen können.

B
Zugriffsbeschränkungen

Sofern eine Zugangsberechtigung erteilt wird, muss damit eine Zugriffsberechtigung verbunden sein. Dies kann insbesondere durch die Benennung von vordefinierten Rollen im System erfolgen. Die Benutzer dürfen nur Programme und die damit verbundenen Daten verwenden, auf die sie für ihren konkreten Auftrag bzw. die dabei notwendigen Prozesse angewiesen sind und für die sie individuell durch ihre Rolle legitimiert sind.
Sind im System Daten aus mehreren Quellen, insbesondere mehrerer Auftraggeber, eingespeichert bzw. von Datenverarbeitungsanlagen aus zugänglich, so sind (logische) Beschränkungen einzurichten, sodass allein auf den bearbeiteten Auftraggeber Zugriff gewährt wird. Daneben ist die Verarbeitung auf das mindeste für die Bearbeitung notwendige Maß zu reduzieren.
Die Datenverarbeitungsanlagen sind als solche zu kennzeichnen und zudem als authentisch erkennbar zu gestalten. Auch beim Zugriff auf die Datenverarbeitungsanlagen muss sich der Berechtigte durch eindeutige Kennzeichen identifizieren bzw. authentisieren (Bspw.: durch Ausweisleser/Benutzername-Passwort-Kombination).
Im Hinblick auf die Gewährung des Zugriffs auf Daten gilt ebenfalls das Prinzip der minimalen Berechtigung. Es darf nur Zugriff auf einen zur Aufgaben- bzw. Funktionserfüllung unabdingbaren Umfang von Daten gewährt werden. Dabei muss der Zugriff auch zeitlich begrenzt werden, sofern qualitativ keine Einbußen entstehen.

C
Verfahren bzgl.
Zugriffsberechtigungen

Zum Ablauf der Beantragung, Genehmigung, Vergabe und Rücknahme von Zugangsberechtigungen wird ein Verfahren eingeführt, welches u.a. auch regelt, wie diese Vorgänge kontrolliert werden können. Dabei sind gesondert das Erteilen bzw. Entziehen von Berechtigungen sowie die Zuteilung zu Rollengruppen zu regeln. Die Verwaltung der Rechte des IT-Systems sorgt dann für die Umsetzung der Zugriffsrechte.
Da Berechtigungen je an eine einzelne Person mit individueller Benutzerkennung bzw. Account gebunden sind, ist die Nutzung von Gruppenkennungen bzw. Gruppenpasswörtern nicht möglich.
Nach dem Need-to-know-Prinzip sind Zugriffsrechte per Verteilung von Berechtigungen bzw. Zuweisung von Benutzerrollen nur insofern zu vergeben, wie dies für die zu bewältigende Aufgabe erforderlich ist.
Sollte ein vorher Berechtigter aus dem Betrieb bzw. aus einem bestimmten Tätigkeitsbereich ausscheiden, werden die Zugriffsberechtigungen aller Datenverarbeitungsanlagen und Speicheranlagen bzw. derjenigen, die in den nicht mehr bearbeiteten Bereich fallen, unverzüglich zurückgenommen. Sämtliche betroffenen Abteilungen sind zudem über Änderungen zu informieren (insb. die Berechtigungsverwaltung). Diese Daten sind für 6 Monate aufzubewahren. 

D
Keine Umgehung von Zugangsbeschränkungen

Der Häufung von Rollen und, damit verknüpft, der Kumulierung von Funktionen muss entgegengearbeitet werden. Es muss verhindert werden, dass sich in einer Person mehrere Rollen des Zugriffssystems vereinen und somit ein Einzelner Zugriffsmöglichkeiten erlangt, die in einer Gesamtschau eine zu mächtige Rolle ergeben, welche wiederum in einer Gefahr für eine effektive Kontrolle münden kann. Bspw.: Wenn ein Anwendungsbenutzer zeitgleich als Verwalter des Datenbanksystems diese Informationen im Zuge von Transaktionen missbraucht bzw. auf Daten zugreifen kann, die nicht seiner Berechtigung entsprechen. Insb. die Protokollierungsverwaltung hinsichtlich Zugriffen auf persönliche Daten darf aufgrund eines möglichen Interessenkonflikts nicht mit einer Anwendungsbenutzer-Rolle zusammenfallen, bei der eventuell unberechtigte Zugriffe auftreten könnten.

E
Aufzeichnung der Zugriffe

Es hat eine Aufzeichnung sämtlicher Lese-, Eingabe, Veränderungs- bzw. Löschaktionen zu erfolgen, aus denen zumindest der jeweilige Systembenutzer und die entsprechende Transaktion erkennbar ist. Die aufgezeichneten Daten sind für 3 Monate revisionssicher aufzubewahren, es sei denn, es liegen anderweitige Vereinbarungen vor. Stichprobenartig müssen Kontrollen und, sofern Anlass dazu besteht, Evaluationen durch geeignete, mit dem Datenschutz abgestimmte Prozesse erfolgen

 

 

IV.

Weitergabekontrolle
Es sind Regelungen zu treffen um sicherzustellen, dass personenbezogene Daten während der Übermittlung, sei es elektronisch, sei es auf sonstige Art und Weise, nicht ohne Befugnis gelesen, kopiert, verändert oder entfernt werden können. Daneben wird eine Dokumentation eingerichtet, die festhält, an wen bzw. welche Stellen eine Übertragung von personenbezogenen Daten stattgefunden hat und von welcher Stelle sie ausging.

A
Allgemeine Anforderung an die Weitergabe von Daten

Die Aufzeichnung der Übertragung von personenbezogenen Daten, sei es ein IT-System oder NT-System, ist sicherzustellen. Der Aufzeichnungsumfang wird anhand der Angemessenheit des hiermit verbundenen Aufwands bestimmt, sowie danach, zwischen wem die Daten verschickt werden bzw. wie die Daten versendet werden. Hieran ist zu bestimmen, ob die Übertragung vollständig oder nur anhand von Kennzeichen (wie etwa Art der Daten; Sender; Empfänger) dokumentiert wird. Die aufgezeichneten Daten sind für 3 Monate revisionssicher aufzubewahren, es sei denn, es wurden andere Fristen definiert. Stichprobenartig müssen Kontrollen und, sofern Anlass dazu besteht, Evaluationen durch geeignete, mit dem Datenschutz abgestimmte Prozesse erfolgen
Im Ausland ist die Erhebung bzw. Verarbeitung von Daten lediglich nach Einholen der Genehmigung des Auftraggebers in Schriftform möglich.

B
Sicherer Transport über Netze

Da personenbezogene Daten hauptsächlich in Netzen übertragen werden, muss die Sicherheit von Übertragungen und der Schutz vor unbefugtem Vervielfältigen bzw. Abändern durch Authentisierung, Verschlüsselung und eine entsprechende Netzarchitektur gesteigert werden. Die Maßnahmen sind immer nach dem Stand der Technik auszurichten.
Zwischen Client und Server hat im Zuge von Datenübertragungen eine Verschlüsselung nach dem Stand der Technik zu erfolgen, beispielsweise durch die Verschlüsselung der Übertragungsstrecke.
Bei einem Transport von personenbezogenen Daten in ein fremdes System hat immer eine Verschlüsselung zu erfolgen.
Auf Verlangen ist dem Auftraggeber Auskunft über die Art der Verschlüsselung zu erteilen.

C
Übertragungen im Backend

Es ist gesondert zu prüfen, wie eine Übertragung von personenbezogenen Daten innerhalb des Backends zwischen einzelnen Systemen vor unbefugtem Zugriff gesichert werden kann. Sofern der Transfer innerhalb desselben Rechenzentrums erfolgt und die Verwaltung der Netzinfrastruktur nicht auf übertragene Daten zugreifen kann, bedarf es beim Austausch von Daten mit gewöhnlichem, nicht erhöhten Schutzbedarf keiner Verschlüsselung. Findet die Übertragung jedoch über längere Strecken, insbesondere zwischen verschiedenen Rechenzentren statt, so muss immer eine Verschlüsselung erfolgen.

D
Unterteilung der Systeme

Zur Sicherheitssteigerung ist der logische Zugang des Systems auf ein Minimum herunterzufahren. So sind insbesondere Kommunikationsbeziehungen auf das Nötigste herabzusetzen und zu überwachen.
IT-Systeme sind zur Absicherung vor unbefugten Mitlesen beim Übertragen von personenbezogenen Daten im Netz durch Netzsegmente zu trennen. Diese können durch Switches bzw. Router eingerichtet werden. Diese Segmente dienen dazu, dass Datenpakete ausschließlich via Schnittstellen an die IT-Systeme gelangen bzw. von diesen abgehen, von denen aus die Weitergabe der Daten überprüft werden kann. Mindestanforderung ist dabei geringstenfalls eine Segmentierung zwischen Frontend- und Backendsystem. Doch auch eine weitere Unterteilung im Backend ist für eine Erhöhung des Sicherheitsniveau ausdrücklich anzuraten.

E
Schutz der Systeme

Um dem Risiko von unbefugten Zugriffen bzw. Datenströmen, sei es aus dem eigenen oder aus einem fremden Netzen, entgegenzuwirken, sind Vorrichtungen nach dem Stand der Technik einzurichten, insbesondere Firewalls auf IT-/NT-Systemen. Diese Firewalls sind ständig im aktiven Zustand zu halten, ohne Rücksicht darauf, ob sie auf der Hardware, dem Netzwerk oder hostbasiert betrieben werden. Es muss gewährleistet sein, dass eine Deaktivierung bzw. Umgehung durch die Verwender der Systeme nicht möglich ist. Sofern Kommunikationsbeziehungen länger nicht aktiv waren, müssen diese automatisch blockiert werden, wenn sie gegenwärtig nicht für Aufgaben notwendig sind.
Um potentiellen Einbruchsstellen eines unberechtigten Zugriffs effektiv entgegenzutreten, sind die Backendsysteme zum Schutz der personenbezogenen Daten nach dem Stand der Technik zu härten.

F
Protokollierung bzgl. Schnittstellen

Eine Aufzeichnung sämtlicher Schnittstellen zu anderen IV-Verfahren muss unter Einbezug der folgenden Angaben geführt werden: Arten personenbezogener Daten; Richtung der Datenübermittlung (Erhalten / Versendet); Zweck der Übermittlung; Exportziel der Daten (IV-Verfahren bzw. Schnittstelle); Authentisierungsverfahren der Schnittstelle; Übermittlungsschutz (bspw. Verschlüsselung)
Dabei müssen vor allem auch Import- bzw. Exportschnittstellen aus bzw. in Dateien dokumentiert werden sowie deren technische bzw. organisatorische Schutz bei der Anwendung. Gleichsam sind auch Datenmigrationen als Schnittstelle aufzuzeichnen.

G
Identifizierbarkeit von Systemen

Es ist sicherzustellen, dass jedes IT-/NT-System mit einer zuzuordnenden und nachvollziehbaren Kennung ausgestattet wird, um zu verhindern, dass personenbezogene Daten durch nicht autorisierte Systeme, die ersatzweise auftreten, empfangen werden, insbesondere indem sie ihre Autorisierung nur vortäuschen.

H
Sichere Datenablagen

Sichere Datenablagen für personenbezogene Daten mit hohem Schutzniveau sind einzurichten. Diese und entsprechende Backups sind zu verschlüsseln.

I
Voreinstellungen bzgl. Zwischenspeichern

Sofern temporäre Zwischenspeicher vorhanden sind (insb. Cachespeicher des Browsers bzw. TEMP-Ordner im Betriebssystem), sind diese so einzurichten, dass sie entweder unverzüglich nach Schließen oder vor erneutem Ausführen der Anwendung bzw. des Betriebssystems selbstständig gelöscht werden. Gleiches gilt für etwaige Bildschirmdaten bzw. Browser-Cookies, die mindestens in Abständen von 24 Stunden zu löschen sind.

J
Zugriff auf lokale Zwischenspeicher

Es muss verhindert werden, dass ein Zugriff auf Kundendaten, die sich auf lokalen Zwischenspeichern  bzw. Datenbanken des Auftraggebers befinden, mit einer vom Auftraggeber nicht genehmigten Zielsetzung bzw. Anwendung stattfindet. Dies ist, falls möglich, auch technisch sicherzustellen.

K
Benutzung mobiler Datenträger

Hinsichtlich des häufigen Schwunds mobiler Datenträger ist die Verwendung dieser zu vermeiden. Sofern es dennoch notwendig ist, muss der Verwendungsrahmen festgelegt und für eine technische Verschlüsselung der personenbezogenen Daten gesorgt werden. Sobald die Daten für die Bearbeitung nicht mehr notwendig sind, müssen sie unverzüglich von dem mobilen Datenträger gelöscht werden. Daneben sind mobile Datenträger gegen einen möglichen Verlust, auch auf kriminellem Wege, zu schützen (verschließbare Behälter, Kabelschlösser etc.)

L
Protokollierung & Lagerung mobiler Datenträger

Eine qualifizierte Verwaltung der mobilen Datenträger trägt Sorge dafür, dass eine Protokollierung über die Anzahl, den Aufgabenbereich sowie die jeweils vorgenommenen Verarbeitungen personenbezogene Daten geführt wird. Zudem ist für die Verwahrung bis zur Vernichtung Sorge zu tragen und der allgemeine Bestand inventurmäßig zu überprüfen. Für die nötige Absicherung der Aufbewahrung in einem überwachten Bereich ist zu sorgen. Sofern die Aufgabenerfüllung dies notwendig macht, sind für die sichere Lagerung Sicherheitsschränke zu verwenden (bspw. Datasafes). Eine gegebenenfalls vorgenommene Vervielfältigung ist aufzuzeichnen und revisionssicher bis zu 3 Monate nach Abschluss des Auftrags aufzubewahren.

M
Versand von mobilen Daten-trägern

Verfahren über Verpackung und Versand im Zuge eines Transports personenbezogener Daten via mobiler Datenträger sind einzurichten. Dabei ist auf das Sicherheitsbedarf der versendeten Daten Rücksicht zu nehmen. In jedem Fall müssen die personenbezogenen Daten vor dem Versand verschlüsselt werden. Daneben werden Personen bestimmt, die zum Versand von personenbezogenen Daten berechtigt sind. Der Versand wird dabei stets von zwei Personen zusammen vorbereitet und dokumentiert. Bei Zuhilfenahme von Versandunternehmen sind diese vom Auftraggeber zunächst zu genehmigen. Überaus große Mengen an personenbezogenen Daten im Rahmen von über 250.000 Datensätzen müssen im Zuge des Transports mitverfolgt werden. Generell ist die Übergabe an das Transportunternehmen aufzuzeichnen. Nach Durchführung des Versands sind die Datenmengen hinsichtlich Vollständigkeit und Integrität zu überprüfen

N
Sammeln und Löschen mobiler Daten- bzw. Informationsträgern

Für Datenträger, die personenbezogene Daten enthalten bzw. Informationsträger in Papierform ist ein Verfahren einzurichten, dass deren Sammlung, Entsorgung sowie Vernichtung bzw. Löschung festhält. Dieses Verfahren enthält explizite Anweisungen dazu, wie eine sichere Sammlung angelegt und das interne Bereithalten sowie das Lagern, Transportieren und Vernichten ablaufen wird. Dabei sind im Bezug auf das Löschen zügige Maßnahmen, wenn möglich noch am Arbeitsplatz selbst, zu ergreifen, sodass es nicht zu weiterem Zwischenlagern kommt, was wiederum den Kreis der mit den Daten in Kontakt kommenden und damit das Risiko eines unbefugten Zugriffs verringert. Mitarbeiter sollen mit dem oben genannten Verfahren möglichst nachdrücklich vertraut gemacht werden.

O
datenschutz-
konformes Löschen & dessen Aufzeichnung

Sofern Datenträger nicht verschlüsselt wurden, für den internen Gebrauch aber weiterhin vorgesehen sind oder an eine fremde Stelle übermittelt werden sollen, sind sie zuvor datenschutzgerecht zu löschen. Dabei stellt die bloße Formatierung kein ausreichendes Mittel dar. Es sind alternative Vorgehensweisen zum vollständigen Löschen der Datenträger zu nutzen, die eine Wiederherstellung der gelöschten Daten unmöglich machen oder nur unter schwierigsten Umständen ermöglichen.
Sofern personenbezogene Daten bzw. Datenträger mit solchen Daten nach den obigen Regeln endgültig gelöscht werden, ist dies aufzuzeichnen und für eine Zeit von mindestens 3 Monaten zur Überprüfung bereitzuhalten.

 

 

V.

Eingabekontrolle
Es muss möglich sein, im Nachhinein die Eingabe, Veränderung bzw. das Entfernen von personenbezogenen Daten in die Systeme und die dafür verantwortlichen Personen nachvollziehen zu können.

A
Eingabeberechtigung &
-protokollierung

Eingaben in Datenverarbeitungsanlagen dürfen nur von dazu berechtigten Personen vorgenommen werden. Es ist festzuhalten, wer zu Eingaben autorisiert ist und Verantwortung trägt.
Eine Aufzeichnung sämtlicher Eingaben in die Systeme hat zu erfolgen, welche bis zu 3 Monate revisionssicher bereitzuhalten.

 

 

VI.

Auftragskontrolle
Um sicherzustellen, dass personenbezogene Daten bei Auftragsdurchführung nur nach den Vorgaben des Auftraggebers verwendet werden, muss eine Auftragskontrolle stattfinden.

A
Weisungen an Auftragnehmer

Um dem Auftraggeber das Erteilen von Weisungen zu ermöglichen, sind die für den Empfang bzw. Umsetzung solcher Anweisungen vorgesehenen Personen auf Seiten des Auftragnehmers festzusetzen und ggf. anhand der Verantwortlichkeitshierarchie des Auftragnehmers zu veranschaulichen. Vor Auftragsbeginn bzw. bei Veränderungen auf Seiten des Unternehmers ist dem Auftraggeber die (neue) empfangsberechtigte Person zu nennen. Dem Auftraggeber ist durch die vom Auftragnehmer bestimmte Person die Legitimation zum Weisungsempfang vorzulegen. Gleiches gilt grundsätzlich während der Umsetzung der Anweisungen.

B
Ausführung des Auftrags & dessen Protokollierung

Bei der Ausführung des Auftrags muss sich an die festgelegten Vorgaben gehalten werden. Für weitere vertraglich bindende Erweiterungen des ursprünglichen Auftrages ist die Textform (schriftlich, Fax, Email und Ticket System) vorzusehen. Mündliche Abreden sind unwirksam. Grundsätzlich wird ein Zeitplan des Auftrags vor Beginn der Durchführung in Zusammenarbeit mit dem Auftraggeber erstellt. Sofern es zu Störungen in der Auftragsausführung kommt, sei es aufgrund von Unterbrechungen des Betriebsablauf, Anhaltspunkten einer Verletzung der Datenschutzvorgaben oder sonstigen Fehlern bzw. Besonderheiten in Bezug auf personenbezogenen Daten, ist der Auftraggeber darauf schnellstmöglich aufmerksam zu machen und der Auftragnehmer zur Beseitigung verpflichtet.
Nach Abschluss des Auftrags ist eine geordnete Überführung der Ergebnisse sowie die sachgemäße Handhabung zwischenzeitlich ausgetauschter Daten bzw. Unterlagen zu gewährleisten.
Anhand von Aufzeichnungen des Auftragnehmers muss sichergestellt werden, dass der Auftraggeber die Ausführung des Auftrags nachverfolgen und die Notwendigkeit einzelner Schritte sowie das Handeln nach den Vorgaben des Auftraggebers überprüfen kann. Dabei müssen jedenfalls der Auftraggeber bzw. Kunde, der jeweilige Vorgang samt genauer Vorgaben hinsichtlich der Verarbeitung von Daten, die ausführenden Bearbeiter sowie der Terminplan festgehalten werden.

C          
Konkrete Verhaltensanforderungen an Auftragnehmer

Grundsätzlich ist der Auftragnehmer verpflichtet, das durch die Datenschutz-Grundverordnung verlangte Niveau an Datenschutzsicherheit im Zuge des Auftrags zu gewährleisten. Der Auftragnehmer führt keine unbeaufsichtigten Wartungen bzw. Support durch. Er wird via Freischaltung durch den Auftraggeber auf das jeweilige System gelassen. Dabei muss dem Auftraggeber die Kontrolle der Durchführung des Auftrags über dessen Monitore ermöglicht werden (Kundenansicht). META-Daten der Auftragsdurchführung sind zu protokollieren. Kundendaten dürfen vom Auftraggeber weder direkt noch als Bild-Datei oder ähnliche Aufnahmen von Daten, auf die er Zugriff hat, erstellt werden.
 

D
Kontrolle durch Auftraggeber

Der Auftraggeber ist befugt, nach vorheriger Ankündigung, die grundsätzlich einen angemessenen Zeitraum zuvor erfolgen muss, die Einhaltung der in diesem Maßnahmenkatalog beschriebenen Anforderungen beim Auftragnehmer zu kontrollieren.

 

 

VII.

Verfügbarkeitskontrolle

Der Schutz vor zufälliger Zerstörung bzw. Verlust muss sichergestellt werden.

A
Wiederherstellungsmöglichkeit

Daten sind in festgelegten Abständen zu sichern, um ihren plötzlichen Verlust zu verhindern. Der Auftraggeber hat dafür eine Person zu benennen, die durch ein Backup-Konzept die Möglichkeit schafft, verlorengegangene Daten nach deren Verlust mit verhältnismäßigem Zeitaufwand wiederherzustellen.

B
Notfallvorkehrungen

Sollte es zu einem systeminternen bzw -externen, beabsichtigten Angriff auf personenbezogene Daten bzw. einem Aussetzen der Datenverarbeitung kommen, ist der Auftraggeber davon schnellstmöglich zu unterrichten. Um einen möglichen Schaden zu minimieren bzw. vollständig abzuwehren ist bei Vorliegen von Indizien einer Bedrohung nach einem Notfallplan zu verfahren, der festhält, wie in dieser Situation vorzugehen ist und welche Stellen beim Auftraggeber zu informieren sind.
Um in Notfallsituationen die Datensicherheit gewährleisten zu können sind vorhandene Notstromaggregate bzw. Überspannungsschutzeinrichtungen turnusmäßig zu überprüfen. Daneben müssen allgemeine Kennziffern des Betriebs der Anlagen stetig kontrolliert werden.
Backups müssen in speziellen, gegen Feuer- und Wasserschäden abgesicherten Datensicherheitsschränken aufbewahrt werden.

 

 

VIII.

Trennungsgebot
Sofern Daten zu unterschiedlichen Zwecken erhoben wurden, muss eine getrennte Verarbeitung ermöglicht werden können.

A
Umfang der Datenerhebung

Eine Datenerhebung hat nur in dem Umfang zu erfolgen, die für die Zielsetzung des Auftrags bzw. eines einzelnen Teils des Auftrags erforderlich ist. Gleiches gilt für die Speicherung sowie Verarbeitung. auch nach den oben genannten Schritten bleibt die Auftragsbewältigung stets die Zielsetzung im Umgang mit personenbezogenen Daten bleiben.

B  
Trennung Verarbeitung / Lagerung

Es ist zu regeln, dass das Speichern, Verändern, Löschen bzw. Übertragen von der Lagerung der Daten bzw. der Datenträger zu trennen ist.

 

 

IX.

Organisationskontrolle
Grundlegend ist der Datenschutz im Unternehmen folgendermaßen in die Organisation als solche zu integrieren

A
Verfahren bzgl. Verarbeitung

Verfahren für die Verarbeitung von Daten müssen beschrieben, angewendet und kontrolliert werden.

B
Schulungen

Es hat eine Schulung des Personals, welches mit personenbezogenen Daten in Berührung kommt oder sonst an dem Auftrag mitwirkt, zu erfolgen. Dabei sind folgende Sachgebiete des Datenschutzes zu behandeln.
 - die grundsätzliche Bedeutung des Datenschutz im Unternehmen und der Durchführung technisch-organisatorischer Maßnahmen.

  1. die Pflicht, Datengeheimnisse zu bewahren und über Betriebs- bzw. Geschäftsgeheimnisse zu schweigen.
  2. Die Notwendigkeit eines rücksichtsvollen und pflichtbewussten Handhabung der erhaltenen personenbezogenen Daten bzw. dazugehörigen Datenträgern.
  3. Fernmeldegeheimnis §88 TKG
  4. falls gegeben schärfere Verpflichtungen hins. Verschwiegenheit
  5. falls gegeben schärfere Verpflichtungen hins. sonstigen Regelungen bzgl. des Umgangs mit personenbezogenen Daten aus Vertrag bzw. diesen Anforderung

Schulungen sind in einem zeitlichen Abstand von maximal 2 Jahren und durch fördernde, der Bedeutung des Auftrags entsprechende Maßnahmen durchzuführen.

C
Aufgaben-/
Rollentrennung

Zwei Arten von Rollen sind bei der Auftragsdurchführung bzw. Datenverarbeitung/IT-Verwendung zu unterscheiden. Auf der einen Seite muss die Auftragsdurchführung bzw. der IT-Einsatz vorbereitet bzw. begleitet werden (Arbeitsvorbereitung, Datennachbereitung, Operating, Programmierung, Netzadministration, Rechteverwaltung, Revision), auf der anderen Seite müssen die zuvor bereitgestellten Anwendungen zur Durchführung verwendet werden (z.B. Fachverantwortlicher, IT-Anwendungsbetreuer, Datenerfasser, Sachbearbeiter, Zahlungsanordnungsbefugter, …). Diese beiden Aufgaben dürfen in der Aufgabenverteilung nicht von derselben Person besetzt werden.
Im Anschluss an die Aufgabenverteilung müssen Rollen dahingehend ausgestaltet werden, dass erkennbar ist, welche Teilaufgaben nicht von derselben Person besetzt werden dürfen. Dies folgt in der Regel aus der Tätigkeit als solche, den Anforderungen dieses Katalogs sowie sonstiger Vorgaben des Gesetzgebers. Die Verbindung von operativer und kontrollierender Rolle ist dabei in aller Regel nicht möglich. Auf Basis dieser Rollentrennung sind die Rollen einzelnen Personen zuzuweisen. Die Rollenzuweisung muss dabei auch Vorkehrungen für Situationen enthalten, in denen Personen vertreten werden müssen.

D
Betriebsfremde

Die oben genannten Maßnahmen sind ohne Einschränkung auf Betriebsfremde anzuwenden. Sie haben die Vorgaben hinsichtlich des Zugangs zu Räumen mit Datenverarbeitungsanlagen  zu beachten. Sie sind auf ihre Bindung an Daten- und Fernmeldegeheimnisse sowie Verschwiegenheitspflichten hinzuweisen. Dies hat im Zuge einer Schulung des betriebsfremden Personals zu erfolgen. Betriebsfremd ist jeder, der nur willkürlich in die Nähe der Daten bzw. der Datenverarbeitungsanlagen kommt. Im Gegensatz dazu sind Subunternehmer bzw. andere Personen, die gerade auch mit personenbezogenen Daten Kontakt haben sollen, nach den Vorgaben dieser Regelungen zu verpflichten.

E
Kontrolle der Zugriffe über Audits

Der Auftragnehmer hat durch interne Audits die Dokumentation der Zugriffe auf personenbezogene Daten in einem Abstand von maximal zwei Monaten zu kontrollieren. Sollten Unregelmäßigkeiten auftreten, ist der Auftraggeber darüber zu informieren und die Unterlagen sind 12 Monate nach Abschluss des Auftrags revisionssicher aufzuheben.