Vertrag über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit der Parteien gemäß Art.26 DS-GVO
§1 Konkretisierung der Datenverarbeitung
(1) Dieser Vertrag regelt die gemeinsame Datenverarbeitung durch die BestEffect GmbH, Euro Center, Wörthstraße 13-15, 97082 Würzburg (im Folgenden: „BestEffect“) und dem Partner.
(2) Der Gegenstand der Datenverarbeitung ergibt sich im Einzelnen aus dem Hauptvertrag und dort insbesondere aus Ziff. 6 des Hauptvertrages, wonach die Parteien einen von BestEffect gehosteten und von dem Partner beworbenen Onlineshop zwecks Vermittlung des Verkaufs der Produkte von BestEffect an Endkunden vorhalten. Soweit der Partner Produkte von BestEffect als Händler erwirbt und auf anderem Weg vertreibt, gehen die Parteien gemeinsam davon aus, dass insoweit der Partner allein Verantwortlicher und allein für die Erfüllung aller datenschutzrechtlicher Pflichten verantwortlich ist.
(3) Die jeweiligen Zwecke, Mittel und der Umfang der Datenverarbeitung sowie die Art der verarbeiteten Daten und die Kategorien der betroffenen Personen sind abschließend in Anlage 1 festgelegt. Die die Kategorien betroffener Personen, die Art der personenbezogenen Daten und die Mittel und Zwecke der Datenverarbeitung wurden und werden von BestEffect bestimmt.
(4) Die Parteien stimmen darin überein, dass die Datenverarbeitung ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU) stattfindet.
§ 2 Zuständigkeitsaufteilung und Verantwortung bei der Datenverarbeitung
(1) Die Zuständigkeiten für die Datenverarbeitung im Anwendungsbereich nach § 1 Abs. 1 liegt bei BestEffect.
(2) Die Daten sind in einem gängigen und maschinenlesbaren Format zu speichern.
(3) Im Falle der Löschung von Daten ist die jeweils andere Partei vor der Löschung zu informieren. Ungeachtet der festgelegten Zuständigkeiten kann jede Partei einer Löschung der Daten widersprechen, sofern sie eine gesetzliche Aufbewahrungspflicht trifft.
(4) Beide Parteien dürfen die Daten nur innerhalb ihrer Zuständigkeiten und nur für die in Anlage 1 festgelegten Zwecke verwenden. Ungeachtet der festgelegten Zuständigkeiten sind die Parteien gemeinsam für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
§ 3 Informationspflichten
(1) Die Informationsplichten nach Artikel 13 und 14 DS-GVO werden von BestEffect erfüllt.
(2) Den betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form unentgeltlich zur Verfügung zu stellen. Ferner hat die nach § 3 Absatz 1 dieses Vertrages zuständige Partei der betroffenen Person den wesentlichen Inhalt dieses Vertrags zur Verfügung zu stellen. Die Parteien werden sich hinsichtlich des Inhalts und der Formulierung dieser Informationen im Einzelnen abstimmen.
§ 4 Wahrnehmung sonstiger Betroffenenrechte
(1) Für die Erfüllung der Betroffenenrechte nach Art. 15 ff. ist BestEffect zuständig. Ungeachtet dessen, sind sich die Parteien einig, dass sich betroffene Personen zwecks Wahrnehmung ihrer Betroffenenrechte an beide Parteien wenden können. In diesem Fall wird die jeweils andere Partei das Ersuchen an die nach § 4 Abs. 1 Satz 1 dieses Vertrags zuständige Partei unverzüglich weiterleiten.
(2) Im Falle eines Ersuchens auf Löschung gilt § 2 Abs. 4 dieses Vertrags entsprechend.
§ 5 Datensicherheit
(1) Die Parteien ergreifen die in Anlage 2 spezifizierten technischen und organisatorischen Maßnahmen, die nach Maßgabe der Artikel 32 und 25 DS-GVO geeignet und erforderlich sind, ein dem Risiko für Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und die Datenschutzgrundsätze zu wahren.
(2) Die in Anlage 2 spezifizierten technischen und organisatorischen Maßnahmen sind vor Beginn der Verarbeitung zu implementieren und müssen während der Dauer des Vertrages aufrechtgehalten werden. Alternative Maßnahmen sind nur gestattet, soweit durch die Änderung das angemessene Schutzniveau der in Anlage 2 spezifizierten Maßnahmen nicht unterschritten wird.
(3) Sollten sich die gemäß Anlage 2 umgesetzten Maßnahmen als nicht mehr ausreichend erweisen oder der technische Fortschritt oder gesetzliche Änderungen weitere Maßnahmen erforderlich machen, werden sich die Parteien hierüber unverzüglich informieren und sich hinsichtlich weiterer Maßnahmen abstimmen. Die Umsetzung weiterer Maßnahmen bedarf der schriftlichen Zustimmung beider Parteien und ist entsprechend zu dokumentieren.
§ 6 Vorgehen bei Datenschutzverletzungen/Kommunikation mit Aufsichtsbehörden
(1) Für die Prüfung und Bearbeitung aller Verletzungen des Schutzes personenbezogener Daten, einschließlich der Erfüllung deshalb bestehender Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Artikel 33 DS-GVO) bzw. den Betroffenen (Artikel 34 DS-GVO) ist BestEffect zuständig.
(2) Wird einer der Parteien eine Verletzung des Datenschutzes bekannt oder tritt eine sicherheitsrelevante Störung des Datenverarbeitungsprozesses auf, sind die Parteien ungeachtet der Zuständigkeitsverteilung verpflichtet, innerhalb ihrer Organisation unverzüglich Maßnahmen zu ergreifen, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen erforderlich sind. Der Vorfall ist der jeweils anderen Partei unverzüglich zu melden.
(3) Ungeachtet der Zuständigkeitsverteilung gemäß § 6 Abs. 1 dieses Vertrages werden die Parteien der jeweils anderen Partei unverzüglich anzeigen, wenn sich eine Aufsichtsbehörde im Zusammenhang mit diesem Vertrag an sie wendet. Die Parteien stimmen darin überein, dass sie den Aufforderungen zuständiger Aufsichtsbehörden grundsätzlich Folge leisten werden, insbesondere in Bezug auf Anfragen und die Überlassung von Informationen.
(4) Bevor eine Meldung iSd § 6 Abs. 1 erfolgt oder einer Anfrage iSd § 6 Abs. 3 dieses Vertrages Folge geleistet wird, werden sich die Parteien hinsichtlich des Vorgehens abstimmen.
§ 7 Sonstige Pflichten
(1) Die Parteien werden alle mit der Datenverarbeitung beschäftigten Personen schriftlich zur Vertraulichkeit im Hinblick auf die Daten verpflichten.
(2) Die Parteien führen jeweils ein Verzeichnis zu allen Kategorien von in gemeinsamer Verantwortung durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben nach Art. 30 Abs. 2 DS-GVO enthält.
(3) Sofern und solange die gesetzlichen Voraussetzungen gegeben sind, werden die Parteien einen fachkundigen und zuverlässigen Datenschutzbeauftragten gemäß Art. 37 DS-GVO bestellen.
§ 8 Einschaltung von Auftragsverarbeitern
(1) Die Parteien dürfen Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DS-GVO für Verarbeitungen im Rahmen dieser Vereinbarung nur für die ihnen nach diesem Vertrag jeweils zugewiesenen Aufgaben und nur nach vorheriger schriftlicher Zustimmung der anderen Partei einschalten.
(2) Die Einschaltung von Auftragsverarbeitern erfolgt durch schriftliche Vereinbarung, die den Anforderungen der Artikel 28 und 29 DS-GVO entsprechen muss. Zur Prüfung der Erteilung einer Zustimmung i.S.d. § 8 Abs. 1 dieses Vertrags hat die beauftragungswillige Partei der jeweils anderen Partei vorab eine Kopie der abzuschließenden Vereinbarung zur Datenverarbeitung zur Verfügung zu stellen.
(3) Zudem hat die beauftragungswillige Partei der jeweils anderen Partei schriftlich und unter Vorlage einer entsprechenden Ergebnisdokumentation zu bestätigen, dass sie den Auftragsverarbeiter unter besonderer Berücksichtigung seiner Eignung sorgfältig ausgewählt und sich von der Einhaltung der seitens des Auftragsverarbeiters getroffenen technischen und organisatorischen Maßnahmen überzeugt hat.
(4) Auftragsverarbeiter sind von der beauftragungswilligen Partei mindestens einmal jährlich in geeigneter Form zu prüfen. Der dabei erstellte Prüfbericht ist der jeweils anderen Partei unverzüglich zur Verfügung zu stellen.
(5) Die Parteien werden einander in regelmäßigen Abständen über das Datenschutzniveau bei der Auftragsverarbeitung Rechenschaft ablegen. Werden Umstände bekannt, die auf eine Datenschutzverletzung hinweisen, ist dies unverzüglich der anderen Partei anzuzeigen.
§ 9 Haftung
(1) Die Parteien haften gegenüber den Betroffenen nach Art. 82 DS-GVO.
(2) Im Innenverhältnis haften die Parteien einander nur für ihren Anteil an der haftungsauslösenden Ursache. § 9 Abs. 2 Satz 1 dieses Vertrages gilt entsprechend im Falle einer gegen eine Partei wegen eines Verstoßes gegen Datenschutzvorschriften verhängten Geldbuße, sofern die mit der Geldbuße belegte Partei die Rechtsmittel gegen den Bußgeldbescheid ausgeschöpft hat. Bleibt eine Partei mit einer Geldbuße belastet, die nicht ihrem Verantwortungsanteil an dem Verstoß entspricht, ist die jeweils andere Partei verpflichtet, sie von der Geldbuße in dem Umfang freizustellen, in dem sie die Verantwortung für den sanktionierten Verstoß trägt. Ungeachtet dessen bleibt durch diesen Vertrag die volle Eigenverantwortung der Parteien gegenüber Betroffenen unberührt (Art. 26 Abs. 3 DS-GVO).
§ 10 Schlussbestimmungen
(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages vor.
(2) Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam erweisen oder eine Lücke enthalten, bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrages im Ganzen hiervon unberührt. An die Stelle der unwirksamen Regelung soll eine gesetzlich zulässige Regelung treten, die dem Sinn und Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art 26 DS-GVO entspricht.
(3) Der Vertrag unterliegt deutschem Recht einschließlich der DS-GVO. Gerichtsstand ist der Sitz von BestEffect.
Zwecke, Mittel und der Umfang der Datenverarbeitung sowie die Art der verarbeiteten Daten und die Kategorien der betroffenen Personen
Zwecke:
- Darstellung des Unternehmens nach außen
- Anbahnung und Abwicklung von Bestellungen bzw. sonstigen Verträgen
Art der Daten/Kategorien von betroffenen Personen
- persönliche Daten (Name, Geburtstag, gesetzlich Vertretungsberechtigte)
- Kontaktdaten (Adresse, E-Mail-Adresse, Ansprechpartner)
- Finanzdaten (Name des Kontoinhabers, IBAN, BIC)
- Vertragsdaten (Vertragslaufzeit, erworbene Leistungen, Stornierungen)
I. |
Zutrittskontrolle |
A |
Räumlichkeiten, in denen aufgrund hoher Konzentration von Datenverarbeitungen bzw. sonstiger Verwendung personenbezogener Daten ein erhöhtes Risiko für Datenschutzverstöße besteht, sind als Sicherheitsbereiche zu ermitteln. |
B |
Die ermittelten Bereiche sind gegen unbefugten Zutritt Dritter durch technisch-organisatorische Maßnahmen zu schützen, beispielsweise durch Schließanlagen, einen Pförtner, Einbruchwarnsystemen, Drehkreuze samt Chipkartensystem, Vereinzelungsanlagen oder Ähnliches. Die über die Zutrittskontrolle gewonnenen Aufzeichnungen sind über einen Zeitraum von mindestens drei Monaten zur Wiedereinsicht aufzubewahren. Um einem Missbrauch vorzubeugen, sind die Protokollierungen in regelmäßigen Abständen dahingehend zu evaluieren. |
C |
Der Zutritt ohne Berechtigung ist grundsätzlich zu verwehren. Allgemeine Zutrittskriterien müssen anhand von Berechtigtenkreisen festgelegt werden. Daneben dürfen die ausgemachten Sicherheitsbereiche nur nach dem „Prinzip der minimalen Berechtigung“ zugänglich gemacht werden. Schlüssel bzw. andere Zutrittsmittel sind einzeln pro Person zu verteilen, wobei eine Weitergabe an Dritte ausgeschlossen ist. Hierauf sind Zugangsberechtigte aufmerksam zu machen. |
E |
Beantragung, Genehmigung und Ausgabe der Zutrittsberechtigung sind ebenso wie die generelle Verwaltung und die eventuelle Rücknahme in allgemeinen Verfahren festzuhalten. Die Befolgung dieser Vorgaben ist sicherzustellen. Dazu gehört auch ein Verfahren zum Blockieren von Berechtigungen. Sollte ein Zutrittsberechtigter sein Amt niederlegen, seinen Einsatzbereich wechseln oder aus dem Unternehmen ausscheiden, so ist ihm schnellstmöglich der Zutritt zu sämtlichen bzw. den für die bisherige Tätigkeit relevanten Bereichen abzuerkennen. Mit der Überwachung der Sicherheitsbereiche vertraute Personen sind über diese Änderungen in Kenntnis zu setzen. |
F |
Betriebsfremde Personen erhalten nur nach den dafür vorgesehenen Vorgaben Zutritt. Diese Vorgaben müssen zumindest verlangen, dass Betriebsfremde auf Anfordern ihre Legitimation für den Aufenthalt vorzeigen können, was beispielsweise in Form eines speziellen Ausweises für Gäste- bzw. Lieferanten erfolgen kann. Bei der Ausgabe dieser Ausweise sind dabei Name sowie Herkunft (Auftraggeber bzw. Geschäfts- oder Privatadresse) zu notieren. Mitarbeiter des Verantwortlichen sind vereinzelt zu Kontrollen der Legitimation des Betriebsfremden angehalten. Sofern dies aus Sicherheitsgründen notwendig erscheint, muss Betriebsfremden während ihrer Tätigkeit gefolgt werden. |
G |
Eine Bewachung der oben genannten Gebäude bzw. Räumlichkeiten ist auch in der Zeit zu gewährleisten in welcher der Betrieb ruht. |
|
|
II. |
Zugangskontrolle |
A |
Die Datenverarbeitungsanlagen dürfen nur nach vorheriger Identifikation und Authentisierung der jeweiligen Personen zugänglich gemacht werden. Dafür ist eine Kontrolle nach dem Stand der Technik erforderlich (beispielsweise in Form von Benutzerkennung samt Passwortkontrollen oder Chipkarten samt abzufragender PIN) |
B |
Sofern eine besonderer Schutzbedürftigkeit wie oben beschrieben nicht notwendig ist, müssen dennoch minimale Anforderungen an die Authentisierung gestellt werden. Dazu gehören u.a. die Festlegung einer Mindestpasswortlänge, was durch Voreinstellungen gewährleistet wird. Solche Passwörter müssen aus zumindest 8 Zeichen bestehen, die drei der folgenden vier Zeichenelemente enthalten, nämlich eine Kombination aus Groß- bzw. Kleinbuchstaben (abcde.../ABCDE…), Ziffern (1,2,3,4…) sowie Sonderzeichen (!,”,§,$,%...). |
C |
Versuche, Zugang zu erhalten, seien sie erfolgreich oder nicht, sind mit Angabe der verwendeten Zugangsdaten, der benutzten Datenverarbeitungsanlage sowie der IP-Adresse aufzuzeichnen. Diese Daten sind für 6 Monate aufzubewahren und zur Missbrauchsprävention regelmäßig stichprobenartig nachzuprüfen. |
D |
Die Weitergabe der Zugangsdaten über das Netzwerk darf nicht ungesichert erfolgen. |
E |
Sollte die Authentisierung mehrfach erfolglos versucht werden, muss der jeweilige Zugang blockiert werden. Zum Zurücksetzen der Kennung bzw. erneuten Aktivieren des Zugangs wird ein Verfahren eingerichtet und verwendet. Für den Fall, dass ein Zugang über mehr als 180 Tage nicht aktiv ist, ist er ebenfalls technisch selbstständig zu blockieren. |
F |
Zugänge zu Datenverarbeitungsanlagen müssen nach dem Prinzip der minimalen Berechtigung auf die Bereiche beschränkt werden, die für die Bewältigung der jeweiligen Aufgaben- bzw. Funktionsbereiche der Berechtigten erforderlich sind. Sofern Personen nur vorübergehend Zugang zu Datenverarbeitungsanlagen erhalten sollen (bspw. im Zuge von Praktika, Ausbildungen bzw. Beratertätigkeiten), müssen diese pro Person einzeln vergeben werden und die jeweilige Kennung darf nach Ende der Tätigkeit nicht erneut verwendet werden (Praktikant 1, Praktikant 2 etc.). |
G |
Für die Beantragung, Genehmigung, Vergabe und Rücknahme von Zugängen zu Datenverarbeitungsanlagen und den dazugehörigen plastischen Authentifizierungsmittel werden Verfahren eingerichtet und verwendet. |
H |
Die Benutzer sind wirksam dahingehend anzuweisen, dass Datenverarbeitungsanlagen (insb. PC-Arbeitsplätze) auch bei kurzzeitigem Verlassen zu sperren sind, wobei für die Wiederaktivierung zumindest die Eingabe eines Passworts erforderlich sein muss. |
|
|
III. |
Zugriffskontrolle |
A |
Ein Verfahren muss eingerichtet werden, welches die Berechtigungen von Nutzern und Administrationen regelt, sodass der Zugriff auf Daten des Systems nur soweit möglich ist, wie die jeweiligen Benutzer dies für die Bewältigung ihrer Tätigkeit benötigen. Die Reichweite bestimmt dabei die Aufgaben- und Funktionsgliederung. Dabei muss auch ein Prozess zum Anlegen, zur Änderung und dem Entfernen von Berechtigungen erstellt werden. Es muss dezidiert aufgezeigt werden können, welche Aufgabenträger die Administration des Systems übernehmen und welche Benutzergruppen einzelne Maßnahmen im System vornehmen können. |
B |
Sofern eine Zugangsberechtigung erteilt wird, muss damit eine Zugriffsberechtigung verbunden sein. Dies kann insbesondere durch die Benennung von vordefinierten Rollen im System erfolgen. Die Benutzer dürfen nur Programme und die damit verbundenen Daten verwenden, auf die sie für ihren konkreten Auftrag bzw. die dabei notwendigen Prozesse angewiesen sind und für die sie individuell durch ihre Rolle legitimiert sind. |
C |
Zum Ablauf der Beantragung, Genehmigung, Vergabe und Rücknahme von Zugangsberechtigungen wird ein Verfahren eingeführt, welches u.a. auch regelt, wie diese Vorgänge kontrolliert werden können. Dabei sind gesondert das Erteilen bzw. Entziehen von Berechtigungen sowie die Zuteilung zu Rollengruppen zu regeln. Die Verwaltung der Rechte des IT-Systems sorgt dann für die Umsetzung der Zugriffsrechte. |
D |
Der Häufung von Rollen und, damit verknüpft, der Kumulierung von Funktionen muss entgegengearbeitet werden. Es muss verhindert werden, dass sich in einer Person mehrere Rollen des Zugriffssystems vereinen und somit ein Einzelner Zugriffsmöglichkeiten erlangt, die in einer Gesamtschau eine zu mächtige Rolle ergeben, welche wiederum in einer Gefahr für eine effektive Kontrolle münden kann. Bspw.: Wenn ein Anwendungsbenutzer zeitgleich als Verwalter des Datenbanksystems diese Informationen im Zuge von Transaktionen missbraucht bzw. auf Daten zugreifen kann, die nicht seiner Berechtigung entsprechen. Insb. die Protokollierungsverwaltung hinsichtlich Zugriffen auf persönliche Daten darf aufgrund eines möglichen Interessenkonflikts nicht mit einer Anwendungsbenutzer-Rolle zusammenfallen, bei der eventuell unberechtigte Zugriffe auftreten könnten. |
E |
Es hat eine Aufzeichnung sämtlicher Lese-, Eingabe, Veränderungs- bzw. Löschaktionen zu erfolgen, aus denen zumindest der jeweilige Systembenutzer und die entsprechende Transaktion erkennbar ist. Die aufgezeichneten Daten sind für 3 Monate revisionssicher aufzubewahren, es sei denn, es liegen anderweitige Vereinbarungen vor. Stichprobenartig müssen Kontrollen und, sofern Anlass dazu besteht, Evaluationen durch geeignete, mit dem Datenschutz abgestimmte Prozesse erfolgen |
|
|
IV. |
Weitergabekontrolle |
A |
Die Aufzeichnung der Übertragung von personenbezogenen Daten, sei es ein IT-System oder NT-System, ist sicherzustellen. Der Aufzeichnungsumfang wird anhand der Angemessenheit des hiermit verbundenen Aufwands bestimmt, sowie danach, zwischen wem die Daten verschickt werden bzw. wie die Daten versendet werden. Hieran ist zu bestimmen, ob die Übertragung vollständig oder nur anhand von Kennzeichen (wie etwa Art der Daten; Sender; Empfänger) dokumentiert wird. Die aufgezeichneten Daten sind für 3 Monate revisionssicher aufzubewahren, es sei denn, es wurden andere Fristen definiert. Stichprobenartig müssen Kontrollen und, sofern Anlass dazu besteht, Evaluationen durch geeignete, mit dem Datenschutz abgestimmte Prozesse erfolgen |
B |
Da personenbezogene Daten hauptsächlich in Netzen übertragen werden, muss die Sicherheit von Übertragungen und der Schutz vor unbefugtem Vervielfältigen bzw. Abändern durch Authentisierung, Verschlüsselung und eine entsprechende Netzarchitektur gesteigert werden. Die Maßnahmen sind immer nach dem Stand der Technik auszurichten. |
C |
Es ist gesondert zu prüfen, wie eine Übertragung von personenbezogenen Daten innerhalb des Backends zwischen einzelnen Systemen vor unbefugtem Zugriff gesichert werden kann. Sofern der Transfer innerhalb desselben Rechenzentrums erfolgt und die Verwaltung der Netzinfrastruktur nicht auf übertragene Daten zugreifen kann, bedarf es beim Austausch von Daten mit gewöhnlichem, nicht erhöhten Schutzbedarf keiner Verschlüsselung. Findet die Übertragung jedoch über längere Strecken, insbesondere zwischen verschiedenen Rechenzentren statt, so muss immer eine Verschlüsselung erfolgen. |
D |
Zur Sicherheitssteigerung ist der logische Zugang des Systems auf ein Minimum herunterzufahren. So sind insbesondere Kommunikationsbeziehungen auf das Nötigste herabzusetzen und zu überwachen. |
E |
Um dem Risiko von unbefugten Zugriffen bzw. Datenströmen, sei es aus dem eigenen oder aus einem fremden Netzen, entgegenzuwirken, sind Vorrichtungen nach dem Stand der Technik einzurichten, insbesondere Firewalls auf IT-/NT-Systemen. Diese Firewalls sind ständig im aktiven Zustand zu halten, ohne Rücksicht darauf, ob sie auf der Hardware, dem Netzwerk oder hostbasiert betrieben werden. Es muss gewährleistet sein, dass eine Deaktivierung bzw. Umgehung durch die Verwender der Systeme nicht möglich ist. Sofern Kommunikationsbeziehungen länger nicht aktiv waren, müssen diese automatisch blockiert werden, wenn sie gegenwärtig nicht für Aufgaben notwendig sind. |
F |
Eine Aufzeichnung sämtlicher Schnittstellen zu anderen IV-Verfahren muss unter Einbezug der folgenden Angaben geführt werden: Arten personenbezogener Daten; Richtung der Datenübermittlung (Erhalten / Versendet); Zweck der Übermittlung; Exportziel der Daten (IV-Verfahren bzw. Schnittstelle); Authentisierungsverfahren der Schnittstelle; Übermittlungsschutz (bspw. Verschlüsselung) |
G |
Es ist sicherzustellen, dass jedes IT-/NT-System mit einer zuzuordnenden und nachvollziehbaren Kennung ausgestattet wird, um zu verhindern, dass personenbezogene Daten durch nicht autorisierte Systeme, die ersatzweise auftreten, empfangen werden, insbesondere indem sie ihre Autorisierung nur vortäuschen. |
H |
Sichere Datenablagen für personenbezogene Daten mit hohem Schutzniveau sind einzurichten. Diese und entsprechende Backups sind zu verschlüsseln. |
I |
Sofern temporäre Zwischenspeicher vorhanden sind (insb. Cachespeicher des Browsers bzw. TEMP-Ordner im Betriebssystem), sind diese so einzurichten, dass sie entweder unverzüglich nach Schließen oder vor erneutem Ausführen der Anwendung bzw. des Betriebssystems selbstständig gelöscht werden. Gleiches gilt für etwaige Bildschirmdaten bzw. Browser-Cookies, die mindestens in Abständen von 24 Stunden zu löschen sind. |
J |
Es muss verhindert werden, dass ein Zugriff auf Kundendaten, die sich auf lokalen Zwischenspeichern bzw. Datenbanken des Auftraggebers befinden, mit einer vom Auftraggeber nicht genehmigten Zielsetzung bzw. Anwendung stattfindet. Dies ist, falls möglich, auch technisch sicherzustellen. |
K |
Hinsichtlich des häufigen Schwunds mobiler Datenträger ist die Verwendung dieser zu vermeiden. Sofern es dennoch notwendig ist, muss der Verwendungsrahmen festgelegt und für eine technische Verschlüsselung der personenbezogenen Daten gesorgt werden. Sobald die Daten für die Bearbeitung nicht mehr notwendig sind, müssen sie unverzüglich von dem mobilen Datenträger gelöscht werden. Daneben sind mobile Datenträger gegen einen möglichen Verlust, auch auf kriminellem Wege, zu schützen (verschließbare Behälter, Kabelschlösser etc.) |
L |
Eine qualifizierte Verwaltung der mobilen Datenträger trägt Sorge dafür, dass eine Protokollierung über die Anzahl, den Aufgabenbereich sowie die jeweils vorgenommenen Verarbeitungen personenbezogene Daten geführt wird. Zudem ist für die Verwahrung bis zur Vernichtung Sorge zu tragen und der allgemeine Bestand inventurmäßig zu überprüfen. Für die nötige Absicherung der Aufbewahrung in einem überwachten Bereich ist zu sorgen. Sofern die Aufgabenerfüllung dies notwendig macht, sind für die sichere Lagerung Sicherheitsschränke zu verwenden (bspw. Datasafes). Eine gegebenenfalls vorgenommene Vervielfältigung ist aufzuzeichnen und revisionssicher bis zu 3 Monate nach Abschluss des Auftrags aufzubewahren. |
M |
Verfahren über Verpackung und Versand im Zuge eines Transports personenbezogener Daten via mobiler Datenträger sind einzurichten. Dabei ist auf das Sicherheitsbedarf der versendeten Daten Rücksicht zu nehmen. In jedem Fall müssen die personenbezogenen Daten vor dem Versand verschlüsselt werden. Daneben werden Personen bestimmt, die zum Versand von personenbezogenen Daten berechtigt sind. Der Versand wird dabei stets von zwei Personen zusammen vorbereitet und dokumentiert. Bei Zuhilfenahme von Versandunternehmen sind diese vom Auftraggeber zunächst zu genehmigen. Überaus große Mengen an personenbezogenen Daten im Rahmen von über 250.000 Datensätzen müssen im Zuge des Transports mitverfolgt werden. Generell ist die Übergabe an das Transportunternehmen aufzuzeichnen. Nach Durchführung des Versands sind die Datenmengen hinsichtlich Vollständigkeit und Integrität zu überprüfen |
N |
Für Datenträger, die personenbezogene Daten enthalten bzw. Informationsträger in Papierform ist ein Verfahren einzurichten, dass deren Sammlung, Entsorgung sowie Vernichtung bzw. Löschung festhält. Dieses Verfahren enthält explizite Anweisungen dazu, wie eine sichere Sammlung angelegt und das interne Bereithalten sowie das Lagern, Transportieren und Vernichten ablaufen wird. Dabei sind im Bezug auf das Löschen zügige Maßnahmen, wenn möglich noch am Arbeitsplatz selbst, zu ergreifen, sodass es nicht zu weiterem Zwischenlagern kommt, was wiederum den Kreis der mit den Daten in Kontakt kommenden und damit das Risiko eines unbefugten Zugriffs verringert. Mitarbeiter sollen mit dem oben genannten Verfahren möglichst nachdrücklich vertraut gemacht werden. |
O |
Sofern Datenträger nicht verschlüsselt wurden, für den internen Gebrauch aber weiterhin vorgesehen sind oder an eine fremde Stelle übermittelt werden sollen, sind sie zuvor datenschutzgerecht zu löschen. Dabei stellt die bloße Formatierung kein ausreichendes Mittel dar. Es sind alternative Vorgehensweisen zum vollständigen Löschen der Datenträger zu nutzen, die eine Wiederherstellung der gelöschten Daten unmöglich machen oder nur unter schwierigsten Umständen ermöglichen. |
|
|
V. |
Eingabekontrolle |
A |
Eingaben in Datenverarbeitungsanlagen dürfen nur von dazu berechtigten Personen vorgenommen werden. Es ist festzuhalten, wer zu Eingaben autorisiert ist und Verantwortung trägt. |
|
|
VI. |
Auftragskontrolle |
A |
Um dem Auftraggeber das Erteilen von Weisungen zu ermöglichen, sind die für den Empfang bzw. Umsetzung solcher Anweisungen vorgesehenen Personen auf Seiten des Auftragnehmers festzusetzen und ggf. anhand der Verantwortlichkeitshierarchie des Auftragnehmers zu veranschaulichen. Vor Auftragsbeginn bzw. bei Veränderungen auf Seiten des Unternehmers ist dem Auftraggeber die (neue) empfangsberechtigte Person zu nennen. Dem Auftraggeber ist durch die vom Auftragnehmer bestimmte Person die Legitimation zum Weisungsempfang vorzulegen. Gleiches gilt grundsätzlich während der Umsetzung der Anweisungen. |
B |
Bei der Ausführung des Auftrags muss sich an die festgelegten Vorgaben gehalten werden. Für weitere vertraglich bindende Erweiterungen des ursprünglichen Auftrages ist die Textform (schriftlich, Fax, Email und Ticket System) vorzusehen. Mündliche Abreden sind unwirksam. Grundsätzlich wird ein Zeitplan des Auftrags vor Beginn der Durchführung in Zusammenarbeit mit dem Auftraggeber erstellt. Sofern es zu Störungen in der Auftragsausführung kommt, sei es aufgrund von Unterbrechungen des Betriebsablauf, Anhaltspunkten einer Verletzung der Datenschutzvorgaben oder sonstigen Fehlern bzw. Besonderheiten in Bezug auf personenbezogenen Daten, ist der Auftraggeber darauf schnellstmöglich aufmerksam zu machen und der Auftragnehmer zur Beseitigung verpflichtet. |
C |
Grundsätzlich ist der Auftragnehmer verpflichtet, das durch die Datenschutz-Grundverordnung verlangte Niveau an Datenschutzsicherheit im Zuge des Auftrags zu gewährleisten. Der Auftragnehmer führt keine unbeaufsichtigten Wartungen bzw. Support durch. Er wird via Freischaltung durch den Auftraggeber auf das jeweilige System gelassen. Dabei muss dem Auftraggeber die Kontrolle der Durchführung des Auftrags über dessen Monitore ermöglicht werden (Kundenansicht). META-Daten der Auftragsdurchführung sind zu protokollieren. Kundendaten dürfen vom Auftraggeber weder direkt noch als Bild-Datei oder ähnliche Aufnahmen von Daten, auf die er Zugriff hat, erstellt werden. |
D |
Der Auftraggeber ist befugt, nach vorheriger Ankündigung, die grundsätzlich einen angemessenen Zeitraum zuvor erfolgen muss, die Einhaltung der in diesem Maßnahmenkatalog beschriebenen Anforderungen beim Auftragnehmer zu kontrollieren. |
|
|
VII. |
Verfügbarkeitskontrolle |
A |
Daten sind in festgelegten Abständen zu sichern, um ihren plötzlichen Verlust zu verhindern. Der Auftraggeber hat dafür eine Person zu benennen, die durch ein Backup-Konzept die Möglichkeit schafft, verlorengegangene Daten nach deren Verlust mit verhältnismäßigem Zeitaufwand wiederherzustellen. |
B |
Sollte es zu einem systeminternen bzw -externen, beabsichtigten Angriff auf personenbezogene Daten bzw. einem Aussetzen der Datenverarbeitung kommen, ist der Auftraggeber davon schnellstmöglich zu unterrichten. Um einen möglichen Schaden zu minimieren bzw. vollständig abzuwehren ist bei Vorliegen von Indizien einer Bedrohung nach einem Notfallplan zu verfahren, der festhält, wie in dieser Situation vorzugehen ist und welche Stellen beim Auftraggeber zu informieren sind. |
|
|
VIII. |
Trennungsgebot |
A |
Eine Datenerhebung hat nur in dem Umfang zu erfolgen, die für die Zielsetzung des Auftrags bzw. eines einzelnen Teils des Auftrags erforderlich ist. Gleiches gilt für die Speicherung sowie Verarbeitung. auch nach den oben genannten Schritten bleibt die Auftragsbewältigung stets die Zielsetzung im Umgang mit personenbezogenen Daten bleiben. |
B |
Es ist zu regeln, dass das Speichern, Verändern, Löschen bzw. Übertragen von der Lagerung der Daten bzw. der Datenträger zu trennen ist. |
|
|
IX. |
Organisationskontrolle |
A |
Verfahren für die Verarbeitung von Daten müssen beschrieben, angewendet und kontrolliert werden. |
B |
Es hat eine Schulung des Personals, welches mit personenbezogenen Daten in Berührung kommt oder sonst an dem Auftrag mitwirkt, zu erfolgen. Dabei sind folgende Sachgebiete des Datenschutzes zu behandeln.
Schulungen sind in einem zeitlichen Abstand von maximal 2 Jahren und durch fördernde, der Bedeutung des Auftrags entsprechende Maßnahmen durchzuführen. |
C |
Zwei Arten von Rollen sind bei der Auftragsdurchführung bzw. Datenverarbeitung/IT-Verwendung zu unterscheiden. Auf der einen Seite muss die Auftragsdurchführung bzw. der IT-Einsatz vorbereitet bzw. begleitet werden (Arbeitsvorbereitung, Datennachbereitung, Operating, Programmierung, Netzadministration, Rechteverwaltung, Revision), auf der anderen Seite müssen die zuvor bereitgestellten Anwendungen zur Durchführung verwendet werden (z.B. Fachverantwortlicher, IT-Anwendungsbetreuer, Datenerfasser, Sachbearbeiter, Zahlungsanordnungsbefugter, …). Diese beiden Aufgaben dürfen in der Aufgabenverteilung nicht von derselben Person besetzt werden. |
D |
Die oben genannten Maßnahmen sind ohne Einschränkung auf Betriebsfremde anzuwenden. Sie haben die Vorgaben hinsichtlich des Zugangs zu Räumen mit Datenverarbeitungsanlagen zu beachten. Sie sind auf ihre Bindung an Daten- und Fernmeldegeheimnisse sowie Verschwiegenheitspflichten hinzuweisen. Dies hat im Zuge einer Schulung des betriebsfremden Personals zu erfolgen. Betriebsfremd ist jeder, der nur willkürlich in die Nähe der Daten bzw. der Datenverarbeitungsanlagen kommt. Im Gegensatz dazu sind Subunternehmer bzw. andere Personen, die gerade auch mit personenbezogenen Daten Kontakt haben sollen, nach den Vorgaben dieser Regelungen zu verpflichten. |
E |
Der Auftragnehmer hat durch interne Audits die Dokumentation der Zugriffe auf personenbezogene Daten in einem Abstand von maximal zwei Monaten zu kontrollieren. Sollten Unregelmäßigkeiten auftreten, ist der Auftraggeber darüber zu informieren und die Unterlagen sind 12 Monate nach Abschluss des Auftrags revisionssicher aufzuheben. |