Vertrag zur Auftragsverarbeitung

Zwischen netgenia GmbH, Bahnhofstr. 9, 85665 Moosach als Verantwortlicher (im Folgenden „Auftraggeber“) und der Kunde als Auftragsverarbeiter (im Folgenden „Auftragnehmer“)

Präambel

Der Auftraggeber beauftragt den Auftragnehmer mit der Durchführung von Leistungen, wobei die Vertragsdurchführung auch die Verarbeitung von personenbezogenen Daten im Auftrag und für Zwecke des Auftraggebers umfasst (sog. Auftragsverarbeitung). Der Auftraggeber muss sicherstellen, dass er nur mit solchen Auftragsverarbeitern zusammenarbeitet, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit datenschutz-rechtlichen Bestimmungen erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zur Wahrung der Anforderungen an eine solche Auftragsverarbeitung schließen die Parteien die nachfolgende Vereinbarung (kurz: AV-Vertrag), die die Rechte und Pflichten im Zusammenhang mit der Datenverarbeitung regelt. Die Verarbeitung kann dann ohne vorherige Einbeziehung der Betroffenen durchgeführt werden.

1 Gegenstand des Auftrags

1.1. Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß Ziffer 2.1. dieses Vertrages. Hinsichtlich der Zweckbestimmungen wird auf diejenigen der einzelnen Verträge und Nebenabreden verwiesen. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrages vor.

1.2. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden. Der Auftragnehmer verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Daten-verarbeitung.

1.3. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

2 Konkretisierung des Auftragsinhalts

Kreis der Betroffenen und Art der verarbeiteten Daten

2.1. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag, wobei insbesondere die folgenden Arbeiten und/oder Leistungen umfasst werden:

Der Auftragnehmer bietet Leistungen der digitalen Rechnungsverarbeitung bzw. des Datenimports in Buchhaltungssoftware an und stellt dem Kunden die dafür erforderliche technische Umgebung zur Verfügung. Der Gegenstand der Auftragsverarbeitung ergibt sich aus den Tarifinhalten, die der Auftraggeber im Vertrag gewählt hat. Der Auftraggeber ist für die Verarbeitung von Daten auf dem ihm überlassenen Speicherplatz in erster Linie selbst verantwortlich bzw. bestimmt, ob und wie er dort personenbezogene Daten verarbeitet. Neben der regelmäßigen Prüfung und Wartung erfolgen Zugriffe des Auftragnehmers auf Daten des Auftraggebers ggf. im Rahmen der Ersteinrichtung und bei technischen Hilfestellungen, die der Auftraggeber verlangt.

Der Kreis der von der Datenverarbeitung Betroffenen im Umfeld des Auftraggebers stellt sich regelmäßig wie folgt dar, wobei auch dies durch den Auftraggeber je nach Nutzung bestimmt wird:

  • Kunden sowie deren Beschäftigte
  • Dienstleister

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

  • Rechnungsdaten

gemäß § 14 Abs. 4 i.V.m. § 14a Abs. 5 UStG

  • Bestandsdaten von Werbepartnern/ Plattformbetreibern

2.2. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland, auch im Rahmen von Unterauftragsverhältnissen, bedarf der vorherigen Zustimmung des Auftraggebers. Dem Auftraggeber ist bekannt, dass die Internetkommunikation sich teilweise nicht steuern lässt und einer Kontrolle entzieht. Die Gewährleistung eines angemessenen Datenschutzniveaus setzt daher stets voraus, dass auch der Auftraggeber die ihm möglichen ergänzenden Maßnahmen zum Schutz der Datenverarbeitung trifft.

Soweit ein Subunternehmer, insbesondere der Hosting-Anbieter, die Datenverarbeitung nachträglich in ein Drittland verlagert, wird der Auftragnehmer dies dem Auftraggeber unverzüglich mitteilen. Soweit daraufhin ein angemessenes Datenschutzniveau nicht mehr gewährleistet ist, sind die Parteien sich einig, dass zu angemessenen Kosten ein Anbieterwechsel durchgeführt wird oder dies anderenfalls einen Grund zur außerordentlichen Kündigung darstellt.

3 Rechte und Pflichten des Auftraggebers, insb. Weisungsrecht

3.1. Der Auftraggeber ist verantwortliche Stelle bzw. Verantwortlicher im Sinne der DS-GVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Der Auftragnehmer darf dieser Daten demnach nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

3.2. Die Weisungen des Auftraggebers werden anfänglich vertraglich festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Zu Weisungen berechtigt sind der Auftraggeber selbst oder die Geschäftsleitung (Geschäftsführer/Vorstand, Prokurist, Handlungsbevollmächtigter. Bei einem Wechsel oder einer längerfristigen Verhinderung ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.

3.3. Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

4 Rechte und Pflichten des Auftragnehmers

4.1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern (siehe Ziffer 5, technisch-organisatorische Maßnahmen).

4.2. Der Auftragsnehmer benennt einen Datenschutzbeauftragten oder, sofern ein solcher nicht bestellt werden muss, einen Ansprechpartner für den Datenschutz und teilt dem Auftraggeber dessen Kontaktdaten mit.

4.3. Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

4.4. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder Gefährdungen (auch Pfändung, Beschlagnahme, Insolvenz) oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers durch den Auftrag-nehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen durch die Aufsichtsbehörde, wenn diese auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
Die Meldung über eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers enthält zumindest Informationen über die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze, sowie eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DS-GVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht.

4.5. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

4.6. Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, welches alle Angaben gemäß Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen. Soweit der Auftraggeber für die Erstellung seines Verfahrensverzeichnisses erforderliche Angaben benötigt, hat der Auftragnehmer mitzuwirken bzw. ihm diese auf Anfrage in geeigneter Weise mitzuteilen.

4.7. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Rahmen des Vertragsverhältnisses bekannt gewordenen Daten vertraulich zu behandeln.

5 Technische und organisatorische Maßnahmen

5.1. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird.
Er verpflichtet sich alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers und zur Einhaltung der anzuwendenden Datenschutzvorschriften zu treffen.

5.2 Die konkret zu ergreifenden technischen und organisatorischen Maßnahmen sind im Vorfeld der Auftragsvergabe festzulegen und zu dokumentieren. Sie werden als Anlage 1 zu dieser Vereinbarung genommen und damit Grundlage des Vertrages.

5.3. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer vorab mit dem Auftraggeber abstimmen.

5.4. Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen erforderlichenfalls auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren und diesen einvernehmlich umsetzen. Selbiges gilt einen Änderungsbedarf, der sich aus einer Prüfung des Auftraggebers ergibt.

6 Kontrollrechte des Auftraggebers

6.1. Der Auftragnehmer stellt sicher, dass eine Kontrolle durch den Auftraggeber erfolgen kann. Der Auftragnehmer verpflichtet sich insbesondere, dem Auftraggeber auf Anforderung die hierzu erforderlichen Auskünfte zu erteilen und die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

6.2. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer mit angemessener Frist Überprüfungen durchzuführen, durch im Einzelfall zu benennende Prüfer durchführen zu lassen oder sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen zu lassen und damit die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer in dessen Geschäftsbetrieb jederzeit im erforderlichen Umfang zu kontrollieren. Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen. Die Betriebsabläufe des Auftragnehmers dürfen jedoch durch Kontrollen nicht unverhältnismäßig gestört werden. Für die Ermöglichung von Kontrollen kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

6.3. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Die Parteien haben sich über entsprechende geplante Maßnahmen gegenseitig zu informieren.

7 Unterauftragsverhältnisse

7.1. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in der Anlage 2 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtung zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt, soweit er den Auftraggeber hiervon vorab in Kenntnis setzt und dieser der Beauftragung zugestimmt hat.

7.2. Der Auftragnehmer ist verpflichtet einen Subunternehmer sorgfältig nach dessen Eignung und Zuverlässigkeit auszuwählen. Er hat sicherzustellen, dass diesem dieselben Datenschutz-pflichten auferlegt werden, die in diesem Vertrag festgelegt sind. Wobei insbesondere hinreichende Garantien gegeben sein müssen, dass der Subunternehmer durch geeignete technische und organisatorische Maßnahmen eine verordnungskonforme Verarbeitung sicherstellt. Der Auftragnehmer hat dies erforderlichenfalls auch während der Vertragsdauer zu kontrollieren. Er ist ferner verpflichtet, sich vom Subunternehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten bestellt hat. Für den Fall, dass dies nicht geschehen ist, hat der Auftragnehmer den Auftraggeber hierauf hinzuweisen. Für die Ermöglichung von Kontrollen können der Auftragnehmer und der Subunternehmer einen Vergütungsanspruch geltend machen; Ziffer 6.2. dieses Vertrages gilt entsprechend.

7.3. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungs-anlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

8 Wahrung von Betroffenenrechten

8.1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Macht ein Betroffener Rechte hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

8.2. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten, insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung, durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.

9 Löschung und Rückgabe von personenbezogenen Daten

9.1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

9.2. Nach Abschluss vertraglich vereinbarter Arbeiten oder früher nach Aufforderung durch den Auftraggeber –spätestens mit Beendigung des Vertrages– hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungs-ergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Vereinbarung dem Auftraggeber auszuhändigen oder datenschutzgerecht zu vernichten. Die Löschung ist in geeigneter Weise zu dokumentieren. Die Dokumentation der Löschung ist auf Anforderung vorzulegen. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.

9.3. Die Parteien sind sich einig, dass die Pflicht des Auftragnehmers zur Löschung nicht Datenverarbeitungen durch Dritte und Ähnliches betrifft. Der Auftragnehmer wird dem Auftraggeber auf Anfrage mitteilen, welche technische Möglichkeiten zur Löschung von Daten etwaig bestehen.

9.4. Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.

9.5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

10 Haftung

10.1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutz-gesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

10.2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

11 Außerordentliches Kündigungsrecht

Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, anzuwendende datenschutzrechtliche Bestimmungen vorsätzlich oder grob fahrlässig verletzt, eine Weisung des Auftraggebers nicht ausführen kann oder will oder der den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert. Bei einfachen, also weder vorsätzlichen noch grob fahrlässigen, Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

12 Schlussbestimmungen

12.1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne des § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

12.2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt. Selbiges gilt, soweit nach diesem Vertrag die Textform zugelassen ist.

Anlage 1

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit im Sinne des Art. 32 DS-GVO:

1 Vertraulichkeit

Im Rahmen der Vertraulichkeit als Teil der Informationssicherheit wird durch geeignete Maßnahmen sichergestellt, dass Informationen nur einem bestimmten Empfängerkreis zugänglich sind.

Zugangskontrolle i. w. S. bzw. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden.

  • Festlegung des Schutzbedarfs
  • Zutrittssicherung und Zutrittskontrollsystem, auch für einzelne Bereiche
  • Schlüsselvergabe und Verzeichnis zur Vergabe, Verwaltung und Entzug der individuellen Zutrittsberechtigungen
  • Zutritt betriebsfremder Personen nur nach vorheriger Identifikation
  • Begleitung betriebsfremder Personen soweit notwendig
  • Schutzmechanismen gegen Einbruch

Zugangskontrolle i. e. S., Speicher-, Benutzer-, Datenträgerkontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen bzw. darin eindringen.

  • Zugangssicherung bzw. Zugangskontrollsystem
  • Berechtigung über individuelle Benutzerkonten mit Kennwortschutz
  • Passwortrichtlinie
  • manuelle und automatische Zugangssperre, insb. Arbeitsanweisung zur Bildschirmsperre sowie automatischer Logout und Bildschirmsperre
  • Einsatz einer Firewall
  • Einsatz von Virenschutzsoftware und Malware-Erkennung nebst Gewährleistung der Versorgung mit Signaturupdates
  • Trennung von Gast-WLAN und Firmennetzwerk
  • Remote-Zugriffe zum Firmennetzwerk nur über verschlüsselte Verbindungen
  • Datenträger werden soweit notwendig verschlüsselt
  • BYOD-Richtlinie
  • Richtlinie Home-Office/Mobile Office (Telearbeit)

Zugriffskontrolle, Speicherkontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personen-bezogenen Daten zugreifen können und unerlaubte Handlungen verhindert werden.

  • Zugriff erfolgt durch Authentifizierung unter differenzierter Zugriffsberechtigung
  • Erstellung eines Berechtigungskonzepts, Regelung der Vergabe und des Entzugs von Berechtigungen
  • Vergabe minimal notwendiger Berechtigungen nach dem Need-to-Know-Prinzip
  • Passwortrichtlinie
  • Vernichtung von Daten gemäß DIN 32757-1 und DIN 66399

insb. Auftragskontrolle

Gewährleistung der weisungsgemäßen Auftragsverarbeitung

  • Prüfung der Zuverlässigkeit von Auftragsverarbeitern
  • Abschluss eines Auftragsverarbeitungs-Vertrages

Trennung

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

  • Datensparsamkeit im Umgang mit personenbezogenen Daten
  • Daten sind im Rahmen der Zugriffskontrolle getrennt
  • getrennte Verarbeitung verschiedener Datensätze durch mandantenfähige Software

Pseudonymisierung & Verschlüsselung

  • elektronische Kommunikation erfolgt verschlüsselt
  • Datenträger werden soweit notwendig verschlüsselt
  • Backups werden nur soweit unbedingt notwendig verschlüsselt

2 Integrität

Im Rahmen der Integrität als Teil der Informationssicherheit wird durch geeignete Maßnahmen sichergestellt, dass die Unversehrtheit von Daten und die korrekte Funktionsweise der Systeme gewährleistet wird.

Speicherkontrolle i. e. S., Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

  • individuelle Benutzerkonten
  • die Software verfügt soweit möglich über Protokollfunktionen

Übertragungskontrolle, Transportkontrolle i. e. S.

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • alle Daten- und Datenträger werden verschlossen aufbewahrt
  • Verwendung einer verschlüsselten elektronischen Verbindung
  • Verschlüsselung der Daten je nach Klassifizierung der Informationen

3 Verfügbarkeit und Belastbarkeit

Im Rahmen der Verfügbarkeit und Belastbarkeit als Teil der Informationssicherheit wird durch geeignete Maßnahmen sichergestellt, dass IT-Systeme die an sie gestellten Anforderungen erfüllen und unempfindlich gegen Einwirkungen von außen sind.

Zuverlässigkeit, Datenintegrität, Verfügbarkeitskontrolle,

Wiederherstellbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind bzw. nach einem Ausfall in angemessener Zeit die Funktionsfähigkeit wiederhergestellt werden kann.

  • Schutz vor Diebstahl
  • RAID
  • Backup- und Wiederherstellungskonzept
  • Backup mit Aufbewahrung in getrenntem Brandabschnitt
  • Virenschutzkonzept
  • Brandschutzmaßnahmen

4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Darstellung der dokumentierten Regelungen, die sicherstellen, dass der Stand der Informationssicherheit regelmäßig geprüft und aktualisiert wird.

  • Leitlinie zum Datenschutz/ Datenschutz-Management-System
  • Verpflichtung auf Vertraulichkeit
  • Schulung der Mitarbeiter
  • Auftragskontrolle

Anlage 2

Die nachfolgenden Unternehmen sind genehmigte Subunternehmer im Sinne von Ziffer 7 des Vertrages:

  • Amazon Web Services, Inc. 410 Terry Avenue North, Seattle, WA 98109, USA
    https://aws.amazon.com/de/
    E-Mail Empfang und Versand (SES)
  • Stripe, Inc. 185, Berry Street, Suite 550, San Francisco, CA 94107
    https://stripe.com/
    Abwicklung der Gebührenzahlung je nach gewählter Zahlungsart
  • Digitalocean LLC, 101 Avenue of Americas, 2nd Floor, New York, NY 10013
    https://www.digitalocean.com/
    Bereitstellung der technischen Infrastruktur (Applikation)
  • netcup GmbH Daimlerstraße 25 D-76185 Karlsruhe
    Bereitstellung der Infrastruktur (Webseite)

Stand: 28. März 2024