Vertrag zur Auftragsdatenverarbeitung bei Hosting und Fernwartung

 

zwischen

ColorGATE Digital Output Solutions GmbH, Große Düwelstraße 1, 30171 Hannover

  • nachfolgend „Auftragnehmer“ genannt -

und

dem Endkunden

  • nachfolgend „Auftraggeber“ genannt -

 

Präambel

Der Auftraggeber möchte den Auftragnehmer mit den im Rahmen des Vertragsgegenstandes näher dargestellten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung:

 

  1. Begriffsbestimmungen

1.1    Verantwortlicher ist gemäß Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

1.2    Auftragsverarbeiter ist gemäß Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1.3    Personenbezogene Daten sind gemäß Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

1.4    Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

1.5    Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

1.6    Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.

 

2.     Angabe der zuständigen Datenschutz-Aufsichtsbehörde

2.1    Zuständige Aufsichtsbehörde für den Auftragnehmer und Auftraggeber sind die jeweiligen Landesbeauftragten für den Datenschutz.

2.2    Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

3.     Vertragsgegenstand

3.1    Der Auftraggeber hat den Auftragnehmer damit beauftragt, die vom Auftragnehmer an den Auftraggeber im Rahmen eines Softwarelizenzvertrages lizensierte Software über seinen Server zur Verfügung zu stellen („Hosting“).

3.2    Der Auftragnehmer führt ausschließlich die Tätigkeiten durch, die zur Erfüllung der beauftragten Leistungen erforderlich sind. Er führt sie ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Änderungen des Tätigkeitsfeldes und Verfahrensänderungen sind schriftlich zu vereinbaren. Der Auftragnehmer speichert oder verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Auftraggebers.

3.3    Eine Verarbeitung erfolgt nur, soweit es zwischen den Parteien vereinbart worden ist. Hierunter fallen ebenfalls Tätigkeiten, bei denen Daten von einem System in ein anderes migrieren.

 

4.     Weisungsrecht

4.1    Der Auftragnehmer darf Daten nur im Rahmen der Vereinbarung mit dem Auftraggeber erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, denen er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

4.2    Die Weisungen des Auftraggebers werden durch diese Vereinbarung festgelegt und können vom Auftraggeber in schriftlicher Form oder in Textform durch einzelne Weisungen jederzeit geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

4.3    Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

 

5.     Art der verarbeiteten Daten und Kreis der Betroffenen

5.1    Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf folgenden personenbezogenen Daten:

        - vollständiger Name

        - Land

        - Firmenname

        - Email-Adresse

5.2    Von der Verarbeitung betroffen sind folgende Kategorien von Personen:

- Arbeitnehmer des Auftraggebers

 

6.     Schutzmaßnahmen des Auftragnehmers

6.1    Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

6.2    Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gemäß Art. 32 DS-GVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen der

a) Zutrittskontrolle

b) Zugangskontrolle

c) Zugriffskontrolle

d) Weitergabekontrolle/Übermittlungskontrolle

e) Eingabekontrolle/Plausibilitätskontrolle

f) Auftragskontrolle/Vertragskonformitätskontrolle

g) Verfügbarkeitskontrolle

h) Datentrennungskontrolle/Mandantentrennungskontrolle

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

6.3    Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden „Mitarbeiter“ genannt), entsprechend verpflichten und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

 

7.     Informationspflichten des Auftragnehmers

7.1    Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

        a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;

        b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

7.2    Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.

7.3    Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Ziff. 7.1 betroffen sind.

7.4    Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DS-GVO liegen.

7.5    Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.

 

8.     Kontrollrechte des Auftraggebers

8.1    Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.

8.3    Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit.

 

9.     Einsatz von Subunternehmern

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung des folgenden Subunternehmers durchgeführt: ColorLogic GmbH, Robberkamp 40, 48432 Rheine. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmen befugt. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung, insbesondere seine Prüf- und Kontrollrechte, auch direkt gegenüber den Subunternehmen wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmen in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist.

 

10.   Haftung

10.1  Auftragnehmer und Auftraggeber haften im Außenverhältnis als Gesamtschuldner für den Ersatz von Schäden, die eine Person wegen einer unrichtigen oder unzulässigen Datenverarbeitung im Rahmen der Ausführung dieser Vereinbarung erleidet.

10.2  Sollte der Auftragnehmer sich darauf berufen, dass ein Schaden nicht die Folge eines von ihm zu vertretenden Umstandes ist, trägt er die Beweislast, soweit die relevanten Daten von ihm im Rahmen des Auftragsverhältnisses verarbeitet wurden. Der Auftragnehmer wird den Auftraggeber von allen Ansprüchen freistellen, die gegen diesen im Zusammenhang mit der Auftragsvereinbarung erhoben werden, solange der Auftragnehmer den in S. 1 genannten Beweis nicht erbracht hat, und wird ihm sämtliche entstandenen Kosten der Rechtsverteidigung ersetzen.

 10.3 Im Innenverhältnis haftet der Auftragnehmer gegenüber dem Auftraggeber für solche Schäden, die der Auftragnehmer oder von ihm beauftragte Subunternehmer im Rahmen der Ausführung dieser Vereinbarung schuldhaft verursacht.

 

11.   Laufzeit des Vertrages und außerordentliches Kündigungsrecht

11.1  Die Laufzeit dieser Vereinbarung richtet sich nach den Regelungen des zwischen den Parteien abgeschlossenen Softwarelizenzvertrages.

11.2  Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen oder grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

 

12.   Beendigung des Vertrages

12.1  Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Vertrages oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten bestehen – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.

12.2  Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

12.3  Der Auftragnehmer ist verpflichtet, auch über das Ende des Vertrages hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrages hinaus so lange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

 

13.   Schlussbestimmungen

13.1  Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne des § 273 BGB hinsichtlich der verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

13.2  Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

13.3  Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt.

13.4 Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Hannover.

 

Anlage 1: Technische und organisatorische Maßnahmen

 

Zutrittskontrolle:

  • Dokumentation der Zugriffsrechte
  • Keine Zutrittsberechtigungen für nicht angestellte Personen
  • Externe werden in den Gebäuden beaufsichtigt
  • Besucher werden zum Besuchten begleitet bzw. von ihm abgeholt
  • Fenster und nach außen gehende Türen werden verschlossen, wenn die Räume, in denen Daten verarbeitet werden, nicht besetzt sind
  • Einstiegsgefährdete Fenster und Türen in Gebäuden, in denen Daten verarbeitet werden, sind gegen Einbruch abgesichert
  • Folgende Personen dürfen die Serverräume und/oder das Rechenzentrum betreten: Haustechnik, IT-Systemtechniker, Geschäftsführung
  • Serverräume bzw. das Rechenzentrum sind vor dem Zutritt unberechtigter Personen – insbesondere auch außerhalb der Geschäftszeiten – geschützt
  • Durch folgende Maßnahmen wird der Zutritt zu DV-, TK-Systemen für Unbefugt verwehrt: Sicherheitszonen/Sperrbereiche, Closed Shop Betrieb, Schlüsselregelung,

 

Zugangskontrolle:

  • Folgende Maßnahmen schützen IT-Systeme vor unbefugter Nutzung: Passwortvergabe, Protokollierung der Passwortnutzung
  • Für Mitarbeiter(innen) des Auftragnehmers, die Daten des Auftraggebers verarbeiten und/oder speichern bzw. Systeme betreuen, existieren Hinweise über den Umgang mit administrativen Passwörtern
  • Jeder Berechtigte verfügt über ein eigenes, nur ihm bekanntes Passwort
  • Es existiert eine Passwortrichtlinie, die die Struktur eines Passwortes, sowie die Änderungsintervalle und Nutzung beschreibt.
  • Mitarbeiter des Auftragnehmers, die Daten des Auftraggebers verarbeiten/speichern, sind aufgefordert komplexe Passwörter einzusetzen
  • Für IT-Systeme/Nutzer existiert eine Passwort-Historie, um zu vermeiden, dass alte Passwörter weiterverwendet werden
  • Administrationspasswörter für IT-Systeme werden gesichert aufbewahrt
  • Im Falle der Sperrung eines Administrationszugangs wird die Entsperrung durch ein dokumentiertes Verfahren vorgenommen
  • IT-Systeme werden wie folgt gegen unbefugte Nutzung abgesichert: Standleistung, Wählleitung mit automatischem Rückruf, Teilnehmererkennung, 2-Faktor-Authentifizierung, funktionelle Zuordnung einzelner Datenendgeräte, Protokollierung der Systemnutzung und Protokollauswertung
  • Die Einstellungen im BIOS-Setup können nur vom IT-Administrator vorgenommen werden. Es ist kein unbefugter Zugang zum BIOS-Setup möglich.
  • Bei Arbeitsunterbrechungen wird ein passwortgeschützter Bildschirmschoner aktiviert.

 

Zugriffskontrolle:

  • Datenträger werden durch folgende Maßnahmen vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen geschützt: es gibt einen Verantwortlichen für Datenträgerverwaltung, Verschlüsselung, Bestandskontrolle, Mehraugenprinzip, kontrollierte Vernichtung
  • Durch eine Zugriffskontrolle wird sichergestellt, dass Mitarbeiter nur auf solche Programme und Daten zugreifen können, die sie zur Aufgabenerfüllung benötigen.
  • Die Einschränkung der Zugriffsmöglichkeit, der zur Benutzung eines IT-Systems Berechtigten auf ausschließlich die seiner Zugriffsberechtigung unterliegenden Daten, wird durch folgende Maßnahmen gewährleistet: funktionale Zuordnung einzelner Datenendgeräte, Protokollierung der Zugriffsberechtigung, Protokollierung der Systemnutzung
  • Zugriffsrechte für IT-Systeme werden nur auf Veranlassung der Geschäftsleitung vergeben.
  • Genehmigte Konfigurationsänderungen dürfen nur vom IT-Administrator vorgenommen werden

 

Weitergabekontrolle/Übermittlungskontrolle:

  • Kontrolle des Versands von Datenträgern durch Registrierung, Begleitzettel und/oder Lieferscheine
  • Unbenutzte Datenträger finden sich in einem Safe/Tresor oder gleichwertig gesicherten Behältnis
  • Magnetische Datenträger, optische Datenträger und defekte Festplatten werden vernichtet durch: mehrfaches Überschreiben durch sicheres Verfahren, physische Vernichtung oder einen zertifizierten Entsorger
  • Papier sowie Mikrofilme werden vernichtet durch einen bereitgestellten Aktenvernichter oder einen zertifizierten Entsorger.
  • Schutz von Daten auf dem Übertragungsweg und beim Transport gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen durch folgende Maßnahmen: Standleitung, Wählleitung mit automatischem Rückruf, Datenverschlüsselung, Transportbegleitung, Vollständigkeits-/Richtigkeitsprüfung
  • Verschlüsselung von zum Transport vorgesehene Daten mit sensitivem Inhalt gemäß Art. 32 DS-GVO
  • Folgende Sicherheitsmaßnahmen existieren: Firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Virtual Private Network (VPN), Content Filter
  • IT-Systeme befinden sich in verschlossenen Räumen.
  • Sperrung der Server-Konsolen
  • Berechtigungskonzept vorhanden, in dem Netzwerkfreigaben und Zugriffsberechtigungen auf Ordner und Dateien für einzelne Benutzergruppen festgelegt sind
  • Regelmäßige Prüfung und Aktualisierung des o.g. Konzepts
  • Bei Versetzung eines Mitarbeiters werden nicht mehr benötigte Zugangsberechtigungen entzogen
  • Sperrung von Zugängen zu IT-Systemen bei Ausscheiden eines Mitarbeiters
  • Folgende Maßnahmen werden realisiert, wenn Rechner oder Datenträger von externen Dienstleistern mitgenommen werden müssen: logische Löschung bzw. Überschreibung oder Verschlüsselung von Daten
  • Schriftliche Datenschutzverpflichtung für externe Dienstleister
  • Schutz von geschäfts-/personenbezogene Daten bei Wartungs-/Reparaturarbeiten vor dem Zugriff durch externe Dienstleister
  • Wechsel von Passwörtern, falls sie einem externen Dienstleister bekannt geworden sind
  • Nur fallbezogene Freigabe der Möglichkeiten zur Fernwartung
  • Genehmigung der Fernwartung durch die Geschäftsleitung

 

Eingabekontrolle/Plausibilitätskontrolle:

  • Durch folgende Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind: Erfassungsbelege mit Erfassungs- und Prüfbestätigungen, Protokollierung eingegebener Daten, Verarbeitungskontrolle (Transaktionskontrolle) der Anwendung
  • Schadsoftwareschutz vorhanden
  • Tägliche Prüfung durch Schadsoftwareschutz und des Prüfsummenprogramms
  • Automatische Updates des Schadsoftwareschutzes
  • Einspielung von sicherheitsrelevanten Updates und Patches für Betriebssysteme und Anwendungsprogramme spätestens 3 Tage nach Veröffentlichung durch den Hersteller
  • Abspeicherung von Daten und Programme in unterschiedlichen Verzeichnissen
  • vollständige und aktuelle Netzwerkdokumentation vorhanden
  • Überprüfung von Integrität und Installation von erhaltenen Programmen
  • Ausreichend starke Löschung vorheriger Dateien bei Wiederverwendung bereits beschriebener Datenträger
  • Dokumentation der durchgeführten Wartungs-, Fernwartungs- oder Reparaturarbeiten
  • Komplette Sicherung der betroffenen Systeme vor Durchführung größerer Wartungs-, Fernwartungs- oder Reparaturarbeiten

 

Auftragskontrolle/Vertragskonformitätskontrolle:

  • Durch folgende Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind: Erfassungsbelege mit Erfassungs- und Prüfbestätigungen, Protokollierung eingegebener Daten, Verarbeitungskontrolle (transaktionsbasiert)
  • Durch folgende Maßnahmen wird gewährleistet, dass die Verarbeitung personenbezogener Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers erfolgt: schriftliche Weisung, vertraglich festgelegte Verantwortlichkeiten, Auftraggeber erhält alle Datenausgaben zur Kontrolle
  • Information des Auftraggebers über Programmabbrüche/Programmfehler
  • Anwendung folgender Maßnahmen zur Sicherung der Fernwartung/Fernadministration: Einmal-Passwort, Protokollierung, Virtual Private Network (VPN)

 

Verfügbarkeitskontrolle

  • Daten werden durch zufällige Zerstörung oder Verlust geschützt durch wöchentliche Backups, SAN-Snapshots, Festplattenspiegelung (RAID o.ä.), unterbrechungsfreie Stromversorgung (USV), Überspannungsfilter
  • Backup-Rechenzentrum vorhanden
  • Zuständigkeit für die Sicherung der Daten beim Unternehmer oder Backup-Administrator
  • Regelmäßige Kontrolle des allgemeinen Backup-Verfahrens
  • Erstellung und Prüfung von Sicherungsprotokollen
  • Dokumentation des Backup-Verfahrens
  • Beachtung von gesetzlichen Aufbewahrungsfristen
  • Einhaltung der gesetzlichen Vorgaben zur Löschung und Einschränkung
  • Regelmäßige Archivierung von E-Mails, die die Geschäftsbeziehung mit dem Auftraggeber betreffen bzw. Daten enthalten und die für die Auftragsabwicklung notwendig sind
  • Keine störenden Einflüsse beim Auftragnehmer in Räumen bzw. Gebäuden, in denen der Auftragnehmer Daten des Auftraggebers verarbeitet
  • Installation von Feuchtigkeits-, Rauch-, Wärmesensoren in den Serverräumen
  • Zugelassene Feuerlöscher/löschanlagen in den Serverräumen vorhanden
  • Erreichbarkeit eines zuständigen Mitarbeiters im Katastrophenfall jederzeit gewährleistet
  • Ausreichender Schutz der Serverräume vor Einbruch
  • Ausreichende Klimatisierung der Serverräume entsprechend der technischen Spezifikation
  • Verantwortlichkeit für die Einhaltung von Wartungsintervallen sowie der Auswahl und Beauftragung von Wartungsunternehmen klar geregelt

 

Datentrennungskontrolle/Mandantentrennungskontrolle:

  • Durch folgende Maßnahmen wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Dateiseparierung, Trennung von Test- und Produktivdaten

 

Prüfung der Betriebsorganisation und Rechenschaftspflicht:

  • schriftliche Arbeitsanweisungen/Richtlinien/Merkblätter
  • Funktionstrennung im IT-Bereich
  • Es ist sichergestellt, dass bei der Übermittlung personenbezogener Daten außerhalb der EU in Drittstaaten ein angemessenes Datenschutzniveau nach Art. 44, 46, 49 DS-GVO eingehalten wird.