DSGVO

1. Einleitung, Geltungsbereich, Definitionen

1.1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. In diesem Sinne ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“.

2. Art der Daten:

2.1. Daten, die der Auftraggeber oder von ihm autorisierte Nutzer in den bereit gestellten Paketen (Webhosting-Pakete, StorageSpace, dedizierte, virtuelle Server und Root Server, managed Server und vServer, E-Mail-Pakete, Groupware) speichern (Inhalt der Webseiten, des Online-Speichers, der Datenbanken etc.)

  • Bestandsdaten (z.B., Namen, Adressen).

  • Kontaktdaten (z.B., E-Mail, Telefonnummern).

  • Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).

  • Vertragsdaten (z.B., Vertragsgegenstand, Laufzeit).

  • Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie).

  • Nutzungsdaten (z.B., Interessen, besuchte Webseiten, Kaufverhalten, Zugriffszeiten, Protokolldaten).

  • Meta-/Kommunikationsdaten (z.B., Geräte-IDs, IP-Adressen, Standortdaten).

  • Beschäftigtenstammdaten (z.B., Namen, Adressen, Lohngruppe, Steuermerkmale).

  • Bewerberdaten (z.B., Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen).

2.2. Kategorien der Betroffenen:

  • Kunden / Interessenten / Nutzer des Auftraggebers.

  • Mitarbeiter des Auftraggebers.

  • Lieferanten des Auftraggebers.

2.3. Zweck der Verarbeitung:

  • Speicherplatz (Webhosting).

  • Software as a Service -Leistungen (Rechenkapazitäten, Datenbanken, Software).

  • Telekommunikationsdienstleistungen (E-Mails).

  • Registrierung von Domains.

  • Software- und Designentwicklung/-beratung oder Pflege.

  • Projektumsetzung, zB für Besprechung der Anforderungen und möglicher Lösungswege (in schriftlicher oder mündlicher Form).

  • Serveradministration/ Hardwarewartung.

  • Datenanalyse/ Beratungsleistungen.

  • Werbung/ Marketing.

3. Dauer des Auftrags, Vertragsbeendigung und Datenlöschung

3.1. Dieser AV-Vertrag wird mit dessen Abschluß gültig, wird auf unbestimmte Zeit geschlossen und endet spätestens mit der Laufzeit des Hauptvertrags.

3.2. Das Recht auf außerordentliche Kündigung bleibt den Vertragsparteien vorbehalten, insbesondere im Fall eines chwerwiegenden Verstoßes gegen die Vorgaben dieses AV-Vertrages und geltendes Datenschutzrecht. Der außerordentlichen Kündigung hat grundsätzlich eine Abmahnung der Verstöße mit angemessener Frist vorauszugehen, wobei sie nicht erforderlich ist, wenn nicht damit zu rechnen ist, daß die beanstandeten Verstöße behoben werden oder diese derart schwer wiegen, daß ein Festhalten am AV-Vertrag der kündigenden Vertragspartei nicht zuzumuten ist.

3.3. Nach Abschluß der Erbringung der Verarbeitungsleistungen im Rahmen dieses AV-Vertrages, wird der Auftragnehmer alle personenbezogenen Daten und deren Kopien (sowie sämtliche im Zusammenhang mit dem Auftragsverhältnis in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände), nach Wahl des Auftraggebers entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 1 S. 2 lit. g DSGVO). Die Einrede eines Zurückbehaltungsrechts, wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Im Hinblick auf die Löschung oder Rückgabe, gelten die Auskunfts-, Nachweis und Kontrollrechte des Auftraggebers entsprechend diesem AV-Vertrag.

3.4. Im Übrigen bleiben die Verpflichtungen aus diesem AV-Vertrag im Hinblick auf die im Auftrag verarbeiteten Daten auch nach Beendigung des AV-Vertrages bestehen.

3.5. Gehen die Löschung, bzw. die Rückgabe der Daten über die Leistungspflicht des Auftragnehmers nach dem Hauptvertrag hinaus und beruhen sie nicht auf einem Fehlverhalten des Auftragnehmers, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gesondert zu vergüten.

4. Pflichten des Auftragnehmers

4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

4.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung nach Art 32 DSGVO ergriffen hat.

4.3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

4.4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

4.5. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

4.6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

4.7. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

4.8. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

4.9. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

4.10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

5. Rechte und Pflichten des Auftraggebers

5.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

5.2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

5.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

5.4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

5.5. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen bezüglich Zweck, Art und Umfang der Verarbeitung von Daten an den Auftragnehmer zu erteilen (Einzelweisung). Der Auftraggeber trägt hierdurch anfallende Mehrkosten; der Auftragnehmer kann einen Vorschuss verlangen. Der Auftragnehmer darf die Ausführung zusätzlicher oder geänderter Datenverarbeitungen verweigern, wenn sie zu einer erheblichen Änderung des Arbeitsaufwands führen würden oder wenn der Auftraggeber die Erstattung der Mehrkosten oder den Vorschuss verweigert.

5.6. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.

5.7. Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund von angeblich unrechtmäßigen Datenverarbeitungen Ansprüche geltend machen, wird der Auftraggeber, soweit diese angeblich unrechtmäßigen Verarbeitungen auf Vorsatz oder Fahrlässigkeit des Auftraggebers beruhen, den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen. Soweit der Auftragnehmer den Auftraggeber bei der Erfüllung der Ansprüche Betroffener unterstützt (insbesondere hinsichtlich Berichtigung, Löschung und Sperrung von Daten), erstattet der Auftraggeber dem Auftragnehmer Kosten und Aufwand. Die Parteien verständigen sich über den erwarteten Umfang von Kosten und Aufwand.

6. Verantwortlichkeit und Weisungsrecht

6.1. Der Auftraggeber ist als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere für die Auswahl des Auftragnehmers, die an diesen übermittelten Daten sowie erteilte Weisungen verantwortlich (Art. 28 Abs. 3 lit. a, 29 u. 32 Abs. 4 DSGVO).

6.2. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten (was insbesondere auch für deren Berichtigung, Löschung oder Einschränkung der Verarbeitung gilt) und nur insoweit die Verarbeitung hierzu erforderlich ist, außer wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

6.3. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen im Hinblick auf die Verarbeitung der Daten und die Sicherheitsmaßnahmen zu erteilen.

6.4. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. In diesem Fall ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zur Bestätigung der Weisung durch den Auftraggeber auszusetzen und im Fall offensichtlich rechtswidriger Weisungen abzulehnen.

6.5. Gehen ergänzende Weisungen des Auftraggebers über die Leistungspflicht des Auftragnehmers nach dem Hauptvertrag hinaus und beruhen sie nicht auf einem Fehlverhalten des Auftragnehmers, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gesondert zu vergüten.

7. Subunternehmer (weitere Auftragsverarbeiter)

7.1. Der Auftragnehmer kann und wird Sub-Auftragsverarbeiter hinzuziehen. Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht.

7.2. Der Auftraggeber erklärt sich unbeschadet etwaiger Einschränkungen durch den Hauptvertrag ausdrücklich damit einverstanden, daß der Auftragnehmer im Rahmen der Auftragsverarbeitung Unterauftragsverarbeiter einsetzen darf

7.3. Die bereits zum Abschluß dieses AV-Vertrages bestehenden Unterauftragsverhältnisse gelten vom Auftragnehmer als genehmigt.

7.4. Der Auftragnehmer informiert den Auftraggeber im Hinblick auf Änderungen bei den Unterauftragsverarbeitern, die für die Auftragsverarbeitung maßgeblich sind. Der Auftraggeber macht von seinem Recht auf Einspruch im Hinblick auf die Änderungen oder neue Unterauftragsverarbeiter nur unter Beachtung der Grundsätze von Treu und Glauben sowie der Angemessenheit und Billigkeit Gebrauch.

7.5. Nimmt der Auftragnehmer die Dienste eines Unterauftragsverarbeiters (d.h. Unterauftragnehmer oder Subunternehmer) inAnspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muß er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines nach der DSGVO zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten zu denen sich der Auftragnehmer in diesem AV-Vertrag verpflichtet hat, auferlegen. Ferner hat der Auftragnehmer den Unterauftragsverarbeiter sorgfältig auszuwählen, auf dessen Zuverlässigkeit zu prüfen und diese, als auch dessen Einhaltung der vertraglichen und gesetzlichen Vorgaben zu überwachen (Art. 28 Abs. 2 u. 4 DSGVO).

8. Ort der Durchführung der Datenverarbeitung

8.1. Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zwar in der Ukraine.Das angemessene Datenschutzniveau ergibt sich aus verbindlichen internen Datenschutzvorschriften nach Art. 47 DSGVO.

9. Anfragen betroffener Personen

9.1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

10. Haftung

10.1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmeralleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

10.2. Die Vertragsparteien stellen sich jeweils von der Haftung frei, wenn eine der Vertragsparteien nachweist, daß sie für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, in keinerlei Hinsicht verantwortlich ist.

11. Sonstiges

11.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

11.2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz-oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

11.3. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile –einschließlich etwaiger Zusicherungen des Auftragnehmers –bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

11.4. Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts sowie der Verweisungsnormen des internationalen Privat-rechts.

11.5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

ANLAGE1.Technisch-organisatorische Maßnahmen

Folgende Maßnahmen wurden getroffen:

Zutrittskontrolle

Der allgemeine Zutritt zum Gebäude erfolgt über ein Zutrittskontrollsystem. Besucher müssen sich am Empfang anmelden und dürfen nur in Begleitung die Räumlichkeiten betreten. Der Zutritt zur IT-Abteilung wird über eine Zutrittskontrollanlage gesteuert. Der Zutritt zum Serverraum wird über einen Zutrittskontrollsystem reguliert. Es haben nur ausgewählte IT-Nutzer den IT Zugang. Die Räumlichkeiten sind mittels Alarmanlage gesichert. Alarmbereitschaft eines Wachschutzes ist gegeben.

Zugangskontrolle

Für die Anmeldung an das Netzwerk ist ein Kennwort erforderlich. Dabei sind Zahlen und Sonderzeichen zu verwenden sowie Groß-und Kleinschreibung zu beachten. Eine Aktivierung des Bildschirmschoners erfolgt automatisch nach 15 Minuten und kann nur wieder über Passworteingabe freigegeben werden. Benutzerauthentifizierung wird mittels eines zentralen Verzeichnisdienstes abgebildet. Grundsätzlich und soweit nicht technisch notwendig, ist ein Zugang zu Auftragsdaten nur mittels personifizierten Accounts zugelassen. IT-Systeme des Auftragnehmers werden ständig überwacht. Die Entwickler und Systemadministratoren nutzen ausschließlich Linux-Systeme, um hoheSicherheitsstandards zu erfüllen. Auf den Windows-Rechnern der sonstigen IT-Nutzer ist eine Antivirus-Software je Client installiert. Es werden ausschließlich IT-Systeme eingesetzt, die vom Hersteller durch regelmäßige Sicherheitsupdates unterstützt werden.

Zugriffskontrolle

Es ist kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems möglich. Berechtigungen werden auf der Basis der Standard-Berechtigungsprofile auf „need to know-Basis“vergeben. Der Auftragnehmer hat einen Standardprozess für Berechtigungsvergabe und protokolliert die Zugriffe. Periodisch erfolgt die Überprüfung der vergebenen Berechtigungen, insbesondere von administrativen Benutzerkonten.

Pseudonymisierung

Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

Weitergabekontrolle

Der Transport außerhalb des jeweiligen Netzwerks erfolgt verschlüsselt. Hierzu werden starke Verschlüsselungsalgorithmen eingesetzt. Es ist kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport möglich. Bei Bedarf werden Private Networks (VPN) verwendet.

Eingabekontrolle

Alle Netzwerkan-und -abmeldungen sowie sämtliche Transaktionen (z.B. Neuanlagen, Veränderungen, Löschungen) werden protokolliert. Die Protokolle werden nach 6 Monaten gelöscht. Die Protokolle werden hinsichtlich unberechtigter Zugriffe analysiert.

Verfügbarkeitskontrolle

Es wird ein tägliches Backup (Vollsicherung) durchgeführt. Bei einigen Systemen wird ein RAID-Verfahren bei den Festplatten eingesetzt. Unterbrechungsfreie Stromversorgung (USV) samt Überspannungsschutz ist vorhanden. Durch den Einsatz der Firewall und der Antivirus-Software für das Mail-System und alle Server, sowie Antivirus-Software je Client (wo notwendig) wird die Verfügbarkeit sichergestellt. Der Auftragnehmer hat Standardprozesse bei Wechsel/Ausscheiden von Berechtigten.

Löschungsfristen

Löschungsfristen werden sowohl für Daten selbst als auch Metadaten wie Logfiles, usw. definiert. Die nicht mehr notwendigen Daten werden regelmäßig gelöscht.

Trennungsgebot

Soweit eine getrennte Verarbeitung und Auswertung der Datenbestände erforderlich ist, wird diese entsprechendeingerichtet.

ANLAGE2.Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz Management

  • Es gelten die Grundsätze.

    • Datenschutz ist Aufgabe des gesamten Unternehmens.

    • Es werden datenschutzfreundliche Technologien eingesetzt.

    • Die IT-Sicherheit muss auf dem aktuellen Stand der Technik sein.

  • Das Unternehmen legt Strategien fest hinsichtlich:

    • Zuweisung von Zuständigkeiten

    • Risikobewertung

    • Durchführung von Kontrollen

    • Sensibilisierung und Schulung der Mitarbeiter

  • Wenn immer das erforderlich ist, werden die eingesetzten Verfahren einer dokumentierten Datenschutz-Folgenabschätzung unterzogen, bestehend aus: Schutzbedarfsfeststellung. Risikoanalyse. Sicherheitskonzept.

  • Durchgeführte Verarbeitungstätigkeiten –auch als Auftragsverarbeiter –werden einheitlich und nachweisbar dokumentiert.

  • Weisungen von Kunden im Rahmen einer Auftragsverarbeitung werden kundenbezogen dokumentiert.

Incident-Response-Management

Es bestehen interne Richtlinien, Handlungsanweisungen und Prozesse zum Datenschutz, die bei Bedarf oder sich ändernden Voraussetzungen erweitert bzw. ergänzt werden.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

  • Es werden für den jeweiligen Verarbeitungszweck geeignete technische und organisatorische Maßnahmen getroffen, die jedem Auftraggeber im Rahmen der Vereinbarung einer Auftragsverarbeitung zugesichert werden.

  • Es gilt stets die höchste Schutzstufe bei der Erstellung neuer Objekte in der Berechtigungs-und Zugriffsverwaltung.

  • Berechtigungsobjekte ohne Zuordnung einer Satzebenen-Berechtigung dürfen zunächst keine Daten-Inhalte sehen. Erst durch Zuweisung einer Satzebene werden die dort definierten Dateninhalte zur Benutzung freigegeben.

  • Erstellte Auswertungsergebnisse und Listen –ob im Einzelfall oder fallübergreifend –können nur von daraufhin berechtigten Personen eingesehen werden.

  • Es erfolgen jährliche Reviews bzw. Nachprüfungen.

Auftragskontrolle

  • IT-Nutzer kennen den Datenverarbeitungszweck. Sie erhalten Weisungen zum Umgang mit personenbezogenen Daten.

  • Spezielle Unterauftragsverhältnisse werden schriftlich beauftragt.

  • Darüber hinaus stellt auch der betriebliche Datenschutzbeauftragte sicher, dass der Auftragskontrolle genüge getan wird.

  • Sorgfältige Auswahl von Lieferanten und Unterauftragnehmern. Die angemessene Etablierung und die Einhaltung eines Datenschutz-Managements sind –nach Möglichkeit –durch die Einhaltung von Verhaltensregeln nachzuweisen.

  • Alle Mitarbeiter werden regelmäßig geschult, um die Einhaltung der Vorschriften der DS-GVO und die Einhaltung von Weisungen sicherzustellen. Es erfolgen regelmäßig Nachschulungen.

  • Es erfolgt keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers.

  • Es erfolgt eine regelmäßige Prüfung der vereinbarten Regelungen durch den betrieblichen Datenschutzbeauftragten.

  • Ansprechpartner und verantwortliche Projektmanager werden für den konkreten Auftrag bestimmt.