Anlage Auftragsdatenverarbeitung
§ 1 Regelungsbereich
1.1 Soweit der Auftragnehmer - z.B. beim Hosting von Daten - im Auftrag des Kunden personenbezogene Daten erhebt, verarbeitet oder nutzt, so gelten für den Auftragnehmer die Regelungen dieser Anlage.
1.2 Weichen diese Regelungen von denjenigen der Beauftragung ab, so gehen die Regelungen dieser Anlage vor.
§ 2 Definitionen
2.1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
2.2 Die Datenverarbeitung im Auftrag umfasst die Erhebung, Verarbeitung (Speichern, Verändern, Übermitteln, Sperren, Löschen) und Nutzung von personenbezogenen Daten durch den Auftragnehmer im Auftrag des Kunden.
§ 3 Obliegenheiten und Pflichten des Kunden
3.1 Für die Beurteilung der Zulässigkeit der Datenverarbeitung ist alleine und ausschließlich der Kunde verantwortlich.
3.2 Der Kunde ist für die Wahrung der Rechte der Betroffenen verantwortlich. Die Rechte des Betroffenen auf Auskunft (§§ 19, 34 BDSG), Berichtigung, Löschung oder Sperrung (§§ 20, 35 BDSG) sowie Schadensersatz (§ 7 BDSG) sind gegenüber dem Kunden geltend zu machen.
3.3 Der Kunde ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers uneingeschränkt vertraulich zu behandeln. Diese Verpflichtung besteht über das Ende der vertraglichen Beziehungen der Parteien hinaus unbefristet fort.
§ 4 Pflichten des Auftragnehmers
4.1 Die auftragsgegenständlichen personenbezogenen Daten unterliegen der konkreten Zweckbindung, die sich aus der schriftlich getroffenen Vereinbarung der Parteien ergibt. Der Auftragnehmer verarbeitet und nutzt die auftragsgegenständlichen personenbezogene Daten ausschließlich im Rahmen dieser konkreten Zweckbindung und nach den näheren Weisungen des Kunden. Der Kunde hat insoweit das Recht, dem Auftragnehmer Weisungen zu erteilen. Diese Weisungen sind schriftlich zu erteilen. Mündliche Weisungen oder auf elektronischem Weg erteilte Weisungen sind unverzüglich schriftlich zu bestätigen.
4.2 Der Auftragnehmer unterrichtet den Kunden unverzüglich, wenn eine vom Kunden erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Kunden geändert oder ausdrücklich bestätigt wird.
4.3 Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt.
4.4 Nicht mehr benötigte Speichermedien mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Kunden datenschutzgerecht vernichtet werden. Nach Abschluss der auftragsgegenständlichen Dienste hat der Auftragnehmer sämtliche in ihren Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Kunden auszuhändigen. Die Datenträger des Kunden sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Kunden auszuhändigen.
§ 5 Einschaltung von Subauftragnehmern
Die Beauftragung von Subunternehmen ist nur mit schriftlicher Zustimmung des Kunden zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber dem jeweiligen Subunternehmer gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von auftragsgegenständlichen personenbezogenen Daten ist erst zulässig, wenn der Subunternehmer sich in einer schriftlichen Vereinbarung mit dem Auftragnehmer den Bedingungen unterwirft, die auch für den Auftragnehmer selbst gelten. Dem Kunden ist auf Verlangen der Abschluss einer entsprechenden schriftlichen Vereinbarung nachzuweisen.
§ 6 Datengeheimnis
6.1 Der Auftragnehmer ist verpflichtet, bei der auftragsgemäßen Verarbeitung und Nutzung der auftragsgegenständlichen personenbezogenen Daten das Datengeheimnis gemäß § 5 BDSG zu wahren.
6.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut sind. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
6.3 Auskünfte darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen.
§ 7 Kontrollrechte der Aufsichtsbehörden
Der Auftragnehmer verpflichtet sich, der für den Datenschutz zuständigen Aufsichtsbehörde und den von der Behörde eingesetzten Bediensteten Zugang zu den Räumen zu gewähren, in denen sich die auftragsgegenständliche Verarbeitung und Nutzung der personenbezogenen Daten vollzieht.
§ 8 Datensicherungsmaßnahmen
8.1 Zu den Regelungstatbeständen des § 9 BDSG werden folgende technische und organisatorische Maßnahmen verbindlich festgelegt:
- a) Zutrittskontrolle
- Maßnahmen, um Unbefugten den Zutritt zu den Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene Daten verarbeitet werden:
- Anlagen, Personal Computer und Terminals werden nur an nicht allgemein zugänglichen Orten aufgestellt;
- es erfolgen keinerlei Hinweise auf Rechenzentren, Verteileranlagen, usw.;
- Räume mit DV-Anlagen oder -Terminals werden abgeschlossen;
- Zutrittsbefugnisse werden festgelegt;
- es werden Regelungen getroffen für Besucher und den Reinigungsdienst, Wartung, Abschließen der Geräte, verschlossene Aufbewahrung der Datenträger;
- es erfolgt eine Fenster- und Türensicherung durch Spezialglas, einbruchhemmende Türen;
- es gibt eine Installation von Überwachungsanlagen und Überwachungspersonal rund um die Uhr an allen Tagen im Jahr.
-
- b) Zugangskontrolle
- Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
- es erfolgt eine Begrenzung der Zugangsberechtigten;
- unberechtigte Nutzer werden mit Protokollierung der Zugangsversuche abgewiesen;
- die Zahl fehlerhafter Zugangsversuche wird begrenzt;
- es existieren Vorgaben zur Passwortgestaltung, -handhabung und -verwaltung;
- es erfolgt eine Dunkelschaltung des Bildschirms mit Passwortschutz;
- Identifikations- und Authentifikationsverfahren werden eingesetzt;
- es gibt eine Überwachung von Netzwerkzugängen (Einsatz von Firewalls);
- eine besondere Absicherung erfolgt bei Fremd- und Fernwartung;
- es gibt einen Verzicht auf Zugriff über Wählleitung auf sensible Daten.
-
- c) Zugriffskontrolle
- Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass diese Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- die zeitliche Zugriffsmöglichkeit wird begrenzt;
- es erfolgt eine Verwendung von sicheren Passwortverfahren, Benutzerkennungen;
- die Anzahl der Zugriffsberechtigungen wird softwaremäßig abgesichert;
- es erfolgt eine Protokollierung von Zugriffen und Zugriffsversuchen des Benutzers;
- Daten werden verschlüsselt, Programme signiert;
- die Personen, die Datenträger nutzen oder entfernen dürfen, werden festgelegt;
- es gibt eine Datenträgerverwaltung (d.h. schriftliche Regelungen über den Umgang mit Datenträgern, automationsgestützte oder manuelle Aufzeichnung über den Verbleib von Datenträgern) mit Kontrollen, ob die Datenträgerverwaltung eingehalten wird;
- Datenträger werden eingeschlossen;
- es besteht das strikte Verbot der Verwendung privater Datenträger im Dienst und der Mitnahme dienstlicher Datenträger nach Hause;
- es gibt organisatorische, softwaremäßige und hardwaremäßige Festlegungen der Befugnisse zum Kopieren;
- es ist ein physikalisches Löschen vorgesehen;
- Sicherheitssoftware wird eingesetzt;
- Kopierschutzmaßnahmen werden eingesetzt;
- überflüssige Ausdrucke und Fehldrucke werden vernichtet.
-
- d) Weitergabekontrolle
- Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
- es gibt eine Dokumentation von Übermittlungsprogrammen;
- die Datenempfänger werden festgelegt;
- Übermittlungen werden protokolliert;
- es erfolgt eine Verschlüsselung der zu übertragenden Daten;
- die elektronische Signatur wird eingesetzt;
- es gibt einen Einsatz von Prüfsummenverfahren;
- der Kommunikationsverkehr wird geregelt;
- die Identität der empfangenden Stelle hinsichtlich der Zulässigkeit von Übermittlungen wird überprüft.
-
- e) Eingabekontrolle
- Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- es gibt ein Protokoll der Eingaben (wer hat wann, was neu aufgenommen, geändert oder gelöscht?);
- Sicherheitssoftware wird eingesetzt.
-
- f) Auftragskontrolle
- Maßnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können:
- es gibt klare schriftliche Vereinbarungen zwischen Auftraggeber und Auftragnehmer über Rechte und Pflichten der Vertragspartner;
- es erfolgt eine Kontrolle der Vertragsausführung (insbesondere hinsichtlich der Einhaltung der Datensicherheitspflichten);
- es gibt arbeitsrechtliche Maßnahmen bei Nichteinhalten der Pflichten;
- Subunternehmen unterliegen der Kontrolle und Genehmigung.
-
- g) Verfügbarkeitskontrolle
- Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- es erfolgen regelmäßige Datensicherungen, Sicherheitskopien befinden sich an einem anderen Ort;
- gespiegelte Festplatten werden eingesetzt;
- die Stromversorgung arbeitet unterbrechungsfrei;
- die Stromversorgung ist in Hinsicht auf ein öffentliches Stromnetz ausfallgesichert;
- Katastrophenschutzmaßnahmen sind implemtierbar;
- Verarbeitungsprogramme werdem dokumentiert;
- es erfolgt der Einsatz von Virenerkennungsprogrammen;
- die Mitarbeiter werden geschult.
-
- h) Zweckbestimmung
- Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
- es gibt eine getrennte Vorhaltung und getrennte Verarbeitung der Daten;
- der Zulässigkeitsrahmens für die Datenverarbeitung wird festgelegt;
- es ist eine Autorisierung bzw. Rechteverwaltung vorgesehen;
- es erfolgt eine Protokollierung bzw. Beweissicherung.
8.2 Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
8.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Der Auftragnehmer ist verpflichtet, dem Kunden Änderungen dieser Maßnahmen anzuzeigen.
8.4 Soweit die bei dem Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Kunden nicht genügen, benachrichtigt er den Auftragnehmer unverzüglich. Entsprechendes gilt für Störungen sowie bei einem Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.
§ 9 Sonstiges
Die Einrede des Zurückbehaltungsrechts i.S.d. § 273 BGB wird nur hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen, bei denen es sich um personenbezogene Daten handelt.
zurück zu AGBs