Vertrag zur Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) zwischen dem Kunden - nachfolgend Auftraggeber oder Kunde genannt - und der TecArt GmbH - nachfolgend Auftragnehmer genannt - beide zusammen Parteien genannt
Präambel
Diese Vereinbarung ergänzt und konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im jeweiligen Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen personenbezogene Daten ("Daten") des Auftraggebers durch Mitarbeiter des Auftragnehmers oder durch vom Auftragnehmer Beauftragte verarbeitet werden.
Diese Vereinbarung ist eine Anlage zu den Allgemeinen Geschäftsbedingungen der TecArt GmbH (Ziffer 16.2. der Allgemeinen Geschäftsbedingungen) oder gilt als Anlage zum Hauptvertrag, sofern abweichende Regelungen getroffen wurden.
§1 Spezifizierung der Auftragsverarbeitung und Dauer
1.1. Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung.
1.2. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich innerhalb der Bundesrepublik Deutschland statt. Wurde im Hauptvertrag eine andere Regelung getroffen, ist die Datenverarbeitung darüber hinaus auch in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum möglich. Weiterhin hat der Auftraggeber die Möglichkeit einen eigenen Ort der Datenverarbeitung zu bestimmen und dafür Sorge zu tragen, dass die Bestimmungen dieses Vertrages erfüllt werden können. Jede Verlagerung in ein Drittland durch den Auftragnehmer bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Ausnahmsweise keiner gesonderten Zustimmung bedarf die Beauftragung verbundener Unternehmen in einem Drittland im Rahmen einer Auftragsverarbeitung, sofern für das Drittland ein Angemessenheitsbeschluss nach Art, 45 Abs. 1 DS-GVO besteht.
1.3. Eine genauere Klassifizierung der Daten ist nicht möglich, da es sich bei der vom Auftraggeber genutzten Anwendung um ein frei konfigurierbares System handelt und die Art der erfassten Daten innerhalb der Anwendung vor Inbetriebnahme nicht ersichtlich ist. Hierbei handelt es sich ausschließlich um die vom Kunden selbst in seiner Anwendung erfassten Daten. Der Auftraggeber trägt dafür Sorge die Rechtmäßigkeit der Verarbeitung der Daten, insbesondere personenbezogene Daten nach Art. 9 DS-GVO sicher zu stellen, sofern die Erfassung und Verarbeitung erforderlich ist.
Art der Daten und Kategorien betroffener Personen
- Allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, religiöse oder politische Einstellungen, Sexualität, Gesundheitsdaten, Urlaubsplanung, Vorstrafen usw.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usw.)
- Bankdaten (Kontonummern, Kreditinformationen, Kontostände usw.)
- Online-Daten (IP-Adresse, Standortdaten usw.)
- Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usw.)
- Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usw.)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten usw.)
- Werturteile (Schul- und Arbeitszeugnisse usw.)
- Sachliche Verhältnisse (Einkommen, Kapitalvermögen, Schulden, Eigentum usw.)
- Bestimmbare Daten, die Rückschlüsse auf eine Person zulassen durch die Kombination verschiedener Daten (Personalausweisnummer, IP-Adresse, KFZ-Nummer usw.)
Form der Daten
- Elektronische Datensätze zur Ablage in der Anwendungsdatenbank des Kunden (z.B. MySQL)
- über die Anwendung im Dateisystem abgelegte Dokumente
- über die Anwendung empfangene E-Mails
Art und Zweck der Datenverarbeitung
Erbringung von Dienstleistungen in Zusammenhang mit einem Produkt (Hard- und/oder Software) des Auftragnehmers gemäß des Hauptvertrages oder einer im jeweiligen Einzelfall erfolgten Beauftragung in Form von Dienstleistungen, Wartung und Support, Konzeption und Realisierung von Lösungen des Auftraggebers.
1.4. Die Laufzeit dieser Vereinbarung über Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende Verpflichtungen ergeben
§2 Anwendungsbereich und Verantwortlichkeit
2.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ("Verantwortlicher" im Sinne des Art. 4 Nr. 7 DS-GVO).
2.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem dokumentierten elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
2.3. Die weisungsberechtigten bzw. weisungsempfangsberechtigten Personen der Parteien sind in Anlage 3 festgehalten, sofern diese über die in diesem Punkt festgelegten Personenkreise erweiternd oder einschränkend geregelt werden.
Zu den Personenkreisen zählen die Geschäftsführer bzw. Inhaber der Parteien. Weisungsberechtigt auf Seiten des Auftraggebers sind darüber hinaus alle Personen, welche sich durch Autorisation (z.B. PIN oder Kundenpasswort an der Supporthotline) ausweisen. Weisungsempfangsberechtigt auf Seiten des Auftragnehmers sind die Mitarbeiter des Supports sowie die namentlich benannten Kundenbetreuer und Projektleiter.
§3 Pflichten des Auftragnehmers
3.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er – sofern dies rechtlich zulässig ist – den Auftraggeber vor Beginn der Verarbeitung auf diesen Umstand hin (Artikel 28 Abs. 3 a DS-GVO). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
3.2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Die technischen und organisatorischen Maßnahmen sind in Anlage 1 beschrieben. Sie sind dem Auftraggeber bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Die in dieser Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Maßnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen hat der Auftragnehmer zu dokumentieren.
3.3. Der Auftragnehmer unterstützt, soweit vereinbart, gegen entsprechende Vergütung, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten.
3.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit nach DS-GVO und TKG verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und diese regelmäßig über den Umgang mit den Daten geschult werden. Ferner wurden die Mitarbeiter auf die rechtlichen Konsequenzen aufmerksam gemacht. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
3.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für betroffene Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
3.6. Der Ansprechpartner (Datenschutzbeauftragter der TecArt GmbH) ist unter folgenden Kontaktdaten zu erreichen: datenschutz@tecart.de.
3.7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.8. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.
3.9. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Im Falle von Test- und Ausschussmaterialien ist dies nicht erforderlich. Enthalten diese personenbezogene Daten erfolgt die Vernichtung unmittelbar nach Auftragsende. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
3.10. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§4. Pflichten des Auftraggebers
4.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.**
4.2. Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 10 entsprechend.
4.3. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner und dessen Kontaktdaten für im Rahmen des Vertrages anfallende Datenschutzfragen. Der Auftraggeber trägt Sorge für die Aktualität dieser Informationen
§5 Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§6 Nachweismöglichkeiten
6.1. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmer dem Auftraggeber Zertifikate und Prüfergebnisse Dritter (z.B. nach Art. 42 DS-GVO oder ISO 27001) zur Verfügung stellen oder Prüfberichte des betrieblichen Datenschutzbeauftragten.
6.2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.
6.3. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine angemessene Vergütung verlangen, sofern nicht Anlass der Inspektion der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmers war. In diesem Fall sind die Verdachtsmomente mit der Ankündigung der Inspektion vom Auftraggeber vorzutragen.
6.4. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§7 Subunternehmer (weitere Auftragsverarbeiter)
7.1. Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter ist nur mit vorheriger Zustimmung des Auftraggebers gestattet. Dies gilt in gleicher Weise für den Fall, dass weitere Unterauftragsverhältnisse durch Unterauftragnehmer begründet werden. Ohne gesonderte Zustimmung kann der Auftragnehmer Dritte oder weitere Auftragsverarbeiter einsetzen, sofern diese Nebenleistungen zur Unterstützung der Auftragsdurchführung erbringen (z.B. Telekommunikationsleistungen oder Pflege und Wartung von IT-Systemen).
7.2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt und diese Zugang zu Daten (allgemeine Daten und personenbezogene Daten) erhalten. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
7.3. Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Anlage 2, sofern angefügt, aufgeführten Subunternehmer durchgeführt. Der Auftraggeber erteilt die Zustimmung zu den in Anlage 2 aufgeführten Subunternehmern. Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer holt der Auftragnehmer die Zustimmung des Auftraggebers ein, wobei diese nicht ohne wichtigen datenschutzrechtlichen Grund verweigert werden darf.
7.4. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
§8 Haftung und Schadensersatz
Eine zwischen den Parteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, außer soweit ausdrücklich etwas anderes vereinbart ist.
§9 Informationspflichten, Schriftformklausel
9.1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als "Verantwortlicher" im Sinne der Datenschutz-Grundverordnung liegen.
9.2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
9.3. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam.
9.4. Ist der Kunde Kaufmann oder juristische Person des öffentlichen Rechtes oder öffentlich-rechtliches Sondervermögen, so ist Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag der Sitz von TecArt. Gleiches gilt für den Erfüllungsort, es sei denn, die Vertragspartner haben ausdrücklich eine andere Vereinbarung getroffen.
Anlage 1 zum Vertrag zur Auftragsverarbeitung Allgemeine technische und organisatorische Maßnahmen
Präambel Anlage 1
Die in dieser Anlage 1 aufgeführten technischen und organisatorischen Maßnahmen werden allgemein aufgeführt. Es versteht sich von selbst, dass die TecArt GmbH entsprechende detaillierte Maßnahmen ergreift die Daten des Auftraggebers im Rahmen des Hauptauftrages sowie des Vertrages zur Auftragsverarbeitung besonders sorgfältig durch geeignete Maßnahmen zu schützen. Hierzu zählt insbesondere, dass wir in dieser Anlage nicht alle Details in der Form offen legen, da diese sicherheitsrelevant sind. Die TecArt GmbH hält detaillierte technische und organisatorische Maßnahmen bereit und wird diese im Rahmen von Audits, Prüfungen und Zertifizierungen den entsprechenden Institutionen zur Verfügung stellen.
Hierzu verweisen wir auf die Regelungen des Vertrages § 6 Abs. 2.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) 1.a. Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz, Alarmanlagen, Videoanlagen;
Maßnahmen zur Zutrittskontrolle bei der TecArt
- Die Gebäude der TecArt sind an den systemkritischen Punkten über Zutrittskontrollfunktionen nur den autorisierten Personen zugänglich.
- Alle Etagentüren sind permanent verschlossen, ebenso unbesetzte Büros. Eingangsbereiche und Fenster sind außerhalb der Geschäftszeiten fest verschlossen.
- Zusätzlich hierzu ist der Rechenzentrumsbereich speziell gesichert. Der Zutritt ist nur solchen Mitarbeitern gestattet, deren Aufgabengebiet sich auf die Betreuung des Rechenzentrumsbetriebes erstreckt. Nur diesen Mitarbeitern wird der Zutritt nach vorheriger Anmeldung freigeschaltet. Die Zutritte werden protokolliert.
- Unter Berücksichtigung der geltenden Besucherregelung der TecArt können sich Besucher, Gäste und Schulungsteilnehmer nur im Bereich der TecArt Akademie frei bewegen. Der Zutritt zu den Büroetagen ist nur in Begleitung von TecArt-Personal gestattet. Der Zutritt zum Rechenzentrum ist diesem Personenkreis untersagt.
- Personal von Fremdfirmen ist der Zutritt zu Wartungszwecken nur in Begleitung und unter ständiger Beobachtung befugter Mitarbeiter(innen) der TecArt gestattet. Mit diesen Fremdunternehmen ist eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen.
- Außerhalb der Bürozeiten sind die Gebäude entsprechend gesichert und werden regelmäßig überprüft.
Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: sichere Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
Maßnahmen zur Zugangskontrolle bei der TecArt
- Alle Systeme der TecArt werden ständig aktualisiert und regelmäßig gesichert. Systeme zur Datenverarbeitung unterliegen nochmals besonderen Sicherheitsmechanismen und werden entsprechend geloggt, um bei Bedarf entsprechende Auswertungen vornehmen zu können.
- Das Netzwerk der TecArt ist gegen externe Zugriffe durch eine Firewall abgeschirmt. Aus fremden Netzen kann und darf nur unter bestimmten Voraussetzungen zugegriffen werden.
- Server, die eine Verbindung zum Internet haben stehen in einer DMZ und werden ständig Überwacht mit entsprechender Protokollierung von Ereignissen.
- Alle Rechner sind nur über Useranmeldung mit persönlichem Passwort zugänglich. Die Anmeldungen werden protokolliert und können im Bedarfsfall ausgewertet werden.
- Passwörter werden ausschließlich durch den Benutzer erstellt und können nicht durch Administratoren eingesehen werden.
Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
Maßnahmen zur Zugriffskontrolle bei der TecArt
- Sämtlicher Zugriff auf die Server der TecArt sowie die Arbeitsplatzrechner und Notebooks der Außendienstmitarbeiter erfolgt ausschließlich über persönliche Authentifizierung. Anhand der Userkennung werden spezielle, persönliche Nutzungsrechte für bestimmte Programme und Netzwerkverzeichnisse erteilt.
- Die Zuweisung von Rechten und Rollen erfolgt benutzerindividuell (abgestufte Zugriffsberechtigung).
- TecArt setzt entsprechende Passwortregelungen ein.
- Zugänge werden nach einer entsprechenden Anzahl von Fehlversuchen gesperrt.
- Es ist verboten, Passwörter an andere Personen weiter zu geben.
- Die Zugriffe auf die Server der TecArt werden protokolliert und können bei Bedarf durch berechtigte Personen ausgewertet werden.
- Innerhalb der TecArt werden die Zugriffsmöglichkeiten auf das "Need to Know"-Prinzip beschränkt.
- Es finden regelmäßig Schulungen zum Datenschutz und zur Datensicherheit statt.
Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;
Maßnahmen zur Trennungskontrolle bei der TecArt
- Die unterschiedlichen Anwendungen erfüllen dies auf unterschiedliche Art und Weise, die das Prinzip der Datenminimierung garantieren.
- Für unterschiedliche Anwendungen gibt es separate Verzeichnisstrukturen, deren Verwaltung ebenfalls sicherstellt, dass nur berechtigte Zugriffe erfolgen können.
- Weitergehende Maßnahmen, wie z.B. Netzwerksegmentierung, der Einsatz kundenspezifischer, virtueller Serversysteme, die Vergabe von Zugriffsrechten, sind im Hauptvertrag geregelt.
Pseudonymisierung
(Art. 32 Abs. 1 lit. a) DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Maßnahmen zur Pseudonymisierung bei der TecArt
Da personenbezogene Daten in den Anwendungen der TecArt ursächlich entstehen und im Rahmen der Bearbeitung stets nach den Attributen aufgerufen werden, die als erste zu pseudonymisieren wären, würde eine Pseudonymisierung in diesen Anwendungen zu nicht tragbaren Behinderungen der Sachbearbeitung und mangelhaftem Antwortzeitverhalten führen und wird deshalb nicht durchgeführt.
Integrität
(Art. 32 Abs. 1 lit. b) DS-GVO)
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
Maßnahmen zur Weitergabekontrolle bei der TecArt
- Personenbezogene Daten werden im Online Verfahren ausschließlich über VPN-Verbindungen bzw. über SSL/TLS verschlüsselte Verbindungen übertragen.
- In begründeten Ausnahmefällen kann nach Rücksprache mit und Genehmigung durch den Auftraggeber eine passwortgeschützte oder verschlüsselte Datei per E-Mail versandt werden. Die Übermittlung des Schlüssels erfolgt auf einem anderen Weg.
- Personenbezogene Daten, die über Datenträger weitergegeben werden, werden komprimiert und verschlüsselt gespeichert.
- Mit allen Auftragsverarbeitern wird eine schriftliche Vereinbarung zur Auftragsverarbeitung abgeschlossen.
- Ausschussmaterial, Testausdrucke sowie defekte oder ausgesonderte Speichermedien werden durch ein zertifiziertes Entsorgungsunternehmen bzw. zum Teil durch Schredder der Schutzklasse 2 nach DIN 66399 datenschutzgerecht vernichtet.
- Daten, die aufgrund von gesetzlichen Vorgaben an die entsprechenden Stellen zu übertragen sind, wie zum Beispiel Steuer- und Sozialversicherungsdaten werden auf den durch den Gesetzgeber vorgeschrieben Wegen und mit den dort vorgegeben Verschlüsselungen übertragen.
- Alle Mitarbeiter, die mit personenbezogenen Daten Umgang haben, sind schriftlich zur Verschwiegenheit verpflichtet.
Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
Maßnahmen zur Eingabekontrolle bei der TecArt
- In dem von der TecArt eingesetzten Programm TecArt ist implementiert, dass jederzeit, insbesondere auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in dem System eingegeben, verändert oder gelöscht wurden.
- Hierzu werden diese Informationen in einer speziellen Tabelle innerhalb der Datenbank abgespeichert.
- Bei Fernwartungen hat die Protokollierung auf der Auftraggeberseite zu geschehen.
Verfügbarkeit und Belastbarkeit
(Art. 32 Abs. 1 lit. b) DS-GVO)
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
Maßnahmen zur Verfügbarkeitskontrolle bei der TecArt
- Die Sicherheit der Daten und deren Verfügbarkeit wird durch ein mehrstufiges Backup- und Recovery-Konzept gewährleistet, sowie die redundante Auslegung zentraler Systeme und ihrer Komponenten.
- Systeme und Datenbanken werden online gesichert, um eine größtmögliche Verfügbarkeit im Rahmen der vereinbarten Leistungserbringung zu gewährleisten.
- Die Server der TecArt sind durch intelligente USV gegen einen plötzlichen Ausfall der Stromversorgung geschützt.
- Im gesamten Gebäude existiert eine Brandmeldeanlage. Der Serverraum ist durch eine automatische Feuerlöschanlage gesichert.
- Im gesamten Gebäude besteht Rauchverbot.
- Das gesamte Gebäude ist durch eine Alarmanlage mit automatischer Benachrichtigung des Sicherheitsunternehmens geschützt.
- Es erfolgen regelmäßige Datensicherungen sowie permanente Datenspiegelung.
- Der Zugang zu den Servern ist durch mehrstufige Sicherheitskomponenten abgesichert.
- Die Zugriffe auf die zentrale Anwendung im Rechenzentrumsbetrieb erfolgt über redundante Leitungen.
Rasche Wiederherstellbarkeit
(Art. 32 Abs. 1 lit. c) DS-GVO);
Maßnahmen zur raschen Wiederherstellbarkeit bei der TecArt
- Systeme und Datenbanken werden online gesichert, um eine größtmögliche Verfügbarkeit zu gewährleisten.
- Zusätzlich werden die Daten des Rechenzentrumsbetriebs ohne Zeitversatz auf separaten Systemen gespiegelt gespeichert.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO)
4.a. Datenschutz-Management Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
Es gelten die Grundsätze:
- Datenschutz ist Aufgabe des gesamten Unternehmens.
- Es werden datenschutzfreundliche Technologien eingesetzt, wo immer das möglich und wirtschaftlich ist.
- Die IT-Sicherheit muss auf dem aktuellen Stand der Technik sein.
- Das Unternehmen legt Strategien fest hinsichtlich
- Zuweisung von Zuständigkeiten.
- Risikobewertung.
- Durchführung von Kontrollen.
- Sensibilisierung und Schulung der Mitarbeiter.
- Wenn immer das erforderlich ist, werden die eingesetzten Verfahren einer dokumentierten Datenschutz-Folgenabschätzung unterzogen, bestehend aus:
- Schutzbedarfsfeststellung.
- Risikoanalyse.
- Sicherheitskonzept.
- Durchgeführte Verarbeitungstätigkeiten – auch als Auftragsverarbeiter – werden einheitlich und nachweisbar dokumentiert.
- Weisungen von Kunden im Rahmen einer Auftragsverarbeitung werden kundenbezogen dokumentiert.
- Ausgeführte Tätigkeiten im Rahmen der Auftragsverarbeitung werden kundenbezogen dokumentiert.
- Alle von der TecArt eingesetzten Auftragsverarbeiter werden Prüfungen unterzogen. Dabei werden die gleichen Maßstäbe angesetzt, die für die eigene Verarbeitung auch gelten.
4.b. Incident-Response-Management Es bestehen interne Richtlinien, Handlungsanweisungen und Prozesse zum Datenschutz, die bei Bedarf oder sich ändernden Voraussetzungen erweitert bzw. ergänzt werden.
4.c. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) Das Treffen geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Maßnahmen zu datenschutzfreundlichen Voreinstellungen bei der TecArt
- Es werden von der TecArt für den jeweiligen Verarbeitungszweck geeignete technische und organisatorische Maßnahmen getroffen, die jedem Auftraggeber im Rahmen der Vereinbarung einer Auftragsverarbeitung zugesichert werden. Spätere Änderungen dieser Maßnahmen können nur zu besseren Zuständen führen, niemals zu einer Verschlechterung.
- In den von der TecArt erstellten aktuellen Lösungen gilt stets die höchste Schutzstufe bei der Erstellung neuer Objekte in der Berechtigungs- und Zugriffsverwaltung. So hat beispielsweise eine neu erstellte Kennung zunächst keinerlei Rechte im System und erhält diese erst, wenn ihr ein Profil (Sammlung von Rechten) zugeordnet wird.
- Berechtigungsobjekte ohne Zuordnung einer Satzebenen-Berechtigung dürfen zunächst keine Daten-Inhalte sehen. Erst durch Zuweisung einer Satzebene werden die dort definierten Dateninhalte zur Benutzung freigegeben.
- Erstellte Auswertungsergebnisse und Listen – ob im Einzelfall oder fallübergreifend – können nur von daraufhin berechtigten Personen eingesehen werden.
- Der Betrieb des TecArt-eigenen Rechenzentrums für Application Service Providing (ASP; Daten der Kunden werden im TecArt-Rechenzentrum aufbewahrt und gewartet), ist BSI-Grundschutz zertifiziert nach ISO 27001. Somit gelten für diesen Geschäftsbereich alle Schutz- und Sicherungsmaßnahmen, die diese Norm vorgibt. Es erfolgen jährliche Reviews bzw. Nachprüfungen.
4.d. Auftragskontrolle Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Maßnahmen zur Auftragskontrolle bei der TecArt
- Im Rahmen der Geschäftsprozesse liegt es in der Verantwortung der Führungskräfte der TecArt, in deren Aufgabenbereich die jeweiligen datenschutzrelevanten Dienstleistungen fallen, sicherzustellen, dass personenbezogene Daten nur entsprechend der Weisungen der Auftraggeber (grundsätzlich schriftlich vereinbart) und in Einklang mit den geltenden Rechtsvorschriften verarbeitet werden.
- Darüber hinaus stellt auch der betriebliche Datenschutzbeauftragte der TecArt sicher, dass der Auftragskontrolle genüge getan wird.
- Schriftliche Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO mit Regelungen zum Auftragsablauf.
- Eindeutige Regelung der Zuständigkeiten und Verantwortlichkeiten sowie zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers.
- Sorgfältige Auswahl von Lieferanten und Unterauftragnehmern. Die angemessene Etablierung und die Einhaltung eines Datenschutz-Managements sind – nach Möglichkeit – durch die Einhaltung von Verhaltensregeln und/oder Zertifizierungen nachzuweisen.
- Alle Mitarbeiter werden regelmäßig geschult, um die Einhaltung der Vorschriften der DS-GVO und die Einhaltung von Weisungen sicherzustellen. Es erfolgen regelmäßig Nachschulungen.
- Regelmäßige Prüfung der vereinbarten Regelungen durch den betrieblichen Datenschutzbeauftragten.
- Ansprechpartner und verantwortliche Projektmanager werden für den konkreten Auftrag bestimmt und schriftlich fest gehalten.
- Sind die Anlagen 2 und 3 kein Bestandteil des Vertrages zur Auftragsverarbeitung, gelten die Regelungen, wie in den §§ 2 und 7 dieses Vertrages beschrieben. Werden Regelungen zu Subauftragnehmern (Anlage 2) oder weiteren Weisungsberechtigten bzw. Weisungsempfangsberechtigten (Anlage 3) vereinbart, werden die Parteien entsprechende Anlagen erstellen und diesem Vertrag anhängen.
Downloads
Allgemeine Geschäftsbedingungen
Download AGBVertrag zur Auftragsverarbeitung (AVV)
Download AVV