Vereinbarung

zwischen dem/der

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

- nachstehend „Auftragnehmer“ oder „Auftragsverarbeiter“ genannt -

gegenüber ihren Kunden

- nachstehend „Auftraggeber“ genannt –

Hinweis

Dieses Dokument enthält Bedingungen des Auftragnehmers für die Vereinbarung zur Auftragsverarbeitung zwischen Auftraggeber und Auftragnehmer nach Art. 28 Abs. 3 DSGVO. Der Auftraggeber erklärt sein Einverständnis mit diesen Bedingungen im Rahmen des Abschlusses eines Nutzungsvertrags über Online- oder sonstige Informationsdienste des Auftragnehmers (die „Leistungsvereinbarung“) oder – falls eine Leistungsvereinbarung schon besteht – im Rahmen einer nachträglichen Erklärung.

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand

Der Gegenstand des Auftrags zum Datenumgang ergibt sich aus der zugrundeliegenden Leistungsvereinbarung.

(2) Dauer

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der zugrundeliegenden Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten
Der Auftrag umfasst folgende Verarbeitungen:

  1. Verarbeitung personenbezogener Daten, die vom Auftraggeber im Rahmen der Nutzung der jeweiligen Online- und sonstigen Informationsdienste eingegeben werden und zur Bereitstellung der Produktfunktionen vom Auftragnehmer verarbeitet werden müssen.
  2. Verarbeitung personenbezogener Daten, für die eine Zugriffsmöglichkeit durch den Auftragnehmer im Rahmen anderer Tätigkeiten nicht ausgeschlossen werden kann.
    • Zum einen kann ein Zugriff auf die unter a) genannten personenbezogenen Daten im Rahmen eigener Auswertungen des Auftragnehmers, insb. der Analyse von Produktfunktionalitäten zur Produktoptimierung und Erfolgs- und Nutzungsmessung, bestehen. In diesem Fall sind die vom Auftrag betroffenen Daten nicht Teil der Auswertung und werden vom Auftragnehmer entfernt oder pseudonymisiert/anonymisiert
    • Zum anderen kann im Rahmen von Pflege- und/oder Supportleistungen ein Zugriff auf beim Auftraggeber lokal gespeicherte andere personenbezogene Daten bestehen.
  3. Darüber hinaus kann es zur Teileabfrage nach FIN erforderlich sein, dass der Auftragnehmer die FIN an Server des jeweiligen Herstellers weiterleitet. Der Hersteller reichert die FIN um bestimmte Informationen an, die zur Teileauskunft erforderlich sind und spielt sie an den Auftragnehmer zurück. Der Hersteller verarbeitet die FIN auch zu eigenen Zwecken und ist somit eigenständiger Verantwortlicher im Sinne der DSGVO. Der Auftraggeber gestattet dem Auftragnehmer hiermit, die FIN zu diesem Zwecke an den Hersteller weiterzuleiten.

(2) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)

  • Vom Auftraggeber in den Onlinedienst eingetragene Fahrzeugidentifikationsnummern (FIN) und/oder KFZ-Kennzeichen
  • Vom Auftraggeber in den Onlinedienst eingetragene Endkundendaten, darunter insb.:
    • Adressdaten im Rahmen von Teilebestellungen
    • E-Mail-Adressen für die Versendung von Bild-Text-Seiten
  • Vom Endkunden im Rahmen der Registrierung in den Onlinedienst eingetragene Kundendaten sowie
  • Lokal beim Auftraggeber gespeicherte Kundendaten (im Rahmen der Fernwartung durch den Kundenservice)
    • Personenstammdaten
    • Kommunikationsdaten (z.B. Telefon, E-Mail)

(3) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Endkunden des Auftraggebers

(4) Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

(5) Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

3. Ort der Verarbeitung

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet in erster Linie in Deutschland oder in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Sofern Daten durch einen Unterauftragnehmer auch in einem Drittland verarbeitet werden, erfolgt dies ausschließlich unter Erfüllung der besonderen Voraussetzungen der Artt. 44 ff. DSGVO.

4. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer dokumentiert die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung, und stellt diese Dokumentation dem Auftraggeber gemeinsam mit dieser Erklärung zur Prüfung bereit. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Anderenfalls werden die Parteien keine Leistungsvereinbarung treffen.

(2) Der Auftragnehmer wird die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herstellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei berücksichtigt der Auftragnehmer den Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO [Einzelheiten in Anlage 1].

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei wird er das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten. Wesentliche Änderungen wird er dokumentieren.

5. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer wird die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, wird der Auftragnehmer Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar sicherstellen. Einzelweisungen, die von der Leistungsvereinbarung abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Hierbei ist zu berücksichtigen, dass die vom Auftragnehmer bereitgestellten Onlinedienste Standardprodukte sind, deren Anpassung an datenschutzrechtliche Anforderungen des Auftraggebers hohe Kosten verursachen kann. Diese Kosten sind nach entsprechender individueller Vereinbarung in vollem Umfang vom Auftraggeber zu tragen.

6. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DSGVO ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.
  2. Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].
  4. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  5. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  6. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, wird ihn der Auftragnehmer nach besten Kräften unterstützen.
  7. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
  8. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

7. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen.

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:

Firma Unterauftragnehmer

Anschrift/Land

Leistung

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 München
DEUTSCHLAND

Bereitstellung des gesamten internen und externen IT-Betriebs

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Bereitstellung von Kundensupport

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Bereitstellung von Kundensupport

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Bereitstellung von Kundensupport

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANKREICH

Bereitstellung von Kundensupport

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRASILIEN

Bereitstellung von Kundensupport

Element1 Media GmbH

Rüdesheimer Str. 21
80686 München
DEUTSCHLAND

Verarbeitung von im Rahmen der Registrierung eingetragenen Kundendaten


Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung bzw. Bindende Erklärung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

8. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die im Rahmen der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs beim Auftragnehmer unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers stattfinden und rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Auftraggeber darf in der Regel eine Kontrolle im Kalenderjahr durchführen; im Fall von besonderen Vorkommnissen sind weitere Kontrollen zulässig.

(3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder vertragliche Pflichten verstoßen würde.

(4) Nach Wahl des Auftragnehmers kann der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, anstatt einer Vor-Ort-Kontrolle erfolgen durch

  1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
  2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
  3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

Voraussetzung hierfür ist, diese es diese Maßnahme dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.

(5) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

9. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
  2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
  3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
  4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
  5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

10. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Für Aufwände, die dem Auftragnehmer hierdurch entstehen, kann er gegen den Auftraggeber einen Vergütungsanspruch geltend machen.

11. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, wird der Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

1. Vertraulichkeit (Art. 32 (1) b) DSGVO)

Zutrittskontrolle

  • Berechtigungsausweise
  • Zutrittscodekarten/ Zutrittstransponder
  • Zutrittsberechtigungskonzept
  • Überwachungseinrichtungen (z.B. Videoüberwachung)
  • Schlüsselregelung
  • Regelung für Firmenfremde, Besucherausweise
  • Begleitung von Besucherzutritten durch eigene Mitarbeiter
  • Anwesenheitsaufzeichnungen von Besucherzutritten
  • Sicherung auch außerhalb der Arbeitszeit durch Alarmanlage und/oder Werkschutz
  • Definierte Sicherheitsbereiche und kontrollierter Zutritt
  • Gesicherter Eingang für An- und Ablieferung
  • Türsicherung (elektrischer Türschließer, Ausweisleser, Fernsehmonitor, Pförtner)
  • Kontrolle durch die Mitarbeiter (4 Augen Prinzip)
  • Maßnahmen zur Objektsicherung (z. B. Spezialverglasung, Alarmanlage, Geländebewachung)
  • Gesondert gesicherter Zutritt zum Rechenzentrum
  • Aufbewahrung der Server in abschließbaren Räumen
  • Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen Räumen
  • Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im Safe
  • Anweisung zur Ausgabe von Schlüsseln
  • Sonstiges/Spezifizierung der o.g. Maßnahmen:

Zugangskontrolle

  • Verschlüsselung von Netzwerken
  • Verschluss von Datenverarbeitungsanlagen
  • Identifizierung eines Benutzers gegenüber der DV-Anlage
  • Vergabe und Sicherung von Identifizierungsschlüsseln
  • Passwortsicherung von Bildschirmarbeitsplätzen
  • Funktionelle und/oder zeitlich beschränkte Nutzung von Arbeitsplatzrechnern und ldentifizierungsmerkmalen
  • Regelung der Benutzerberechtigung
  • Verwendung von individuellen Passwörtern
  • Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern
  • Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)
  • Passwortrichtlinie mit Mindestvorgaben zur Passwortkomplexität und Aktualisierungsintervall
  • Hashing von gespeicherten Passwörtern
  • Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern
  • Prozess zum Rechteentzug bei Abteilungswechseln von Mitarbeitern
  • Prozess zum Rechteentzug bei Austritt von Mitarbeitern
  • Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO
  • Richtlinien für die Dateiorganisation
  • Protokollierung und Auswertung der Systembenutzung
  • Kontrollierte Vernichtung von Datenträgern
  • Arbeitsanweisung und Bearbeitungsverfahren für Datenerfassung
  • Programmprüfungs- und Freigabeverfahren
  • Sonstiges/Spezifizierung der o.g. Maßnahmen:

Zugriffskontrolle

  • Festlegung der Zugriffsberechtigung, Berechtigungskonzept
  • Festlegung der Befugnis zur Dateneingabe, -änderung, -löschung
  • Trennung von Berechtigungsbewilligung (organisatorisch) und
  • Berechtigungsvergabe (technisch)
  • Konzept der Laufwerksnutzung und -zuordnung
  • Regelung zur Wiederherstellung von Daten aus Backups (wer,
  • wann, auf wessen Anforderung)
  • Regelmäßige Überprüfung der Berechtigungen
  • Beschränkung der freien und unkontrollierten
  • Abfragemöglichkeit von Datenbanken
  • Regelmäßige Auswertung von Protokollen (Log-Dateien)
  • Ausweisleser am Terminal
  • Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Lesen, Schreiben, Ausführen)
  • Protokollieren von Dateizugriffen, -löschungen, -veränderungen
  • Schadsoftware-Scanner auf Arbeitsplatzrechnern
  • Schadsoftware-Filterung für Web
  • Schadsoftware-/Spam-Filterung für E-Mail
  • Firewalls
  • Intrusion Detection/Prevention (IDS/IPS)
  • Beschränkter Zugriff auf Log-Daten (nur Log-Administratoren)
  • Speicherung von Log-Daten auf dediziertem Log-Server
  • Sonstiges/Spezifizierung der o.g. Maßnahmen

Trennungskontrolle

  • Trennung von Kunden/Mandanten
  • Trennung von Entwicklungs-, Test- und Produktivsystem

2. Integrität (Art. 32 (1) b) DSGVO)

Weitergabekontrolle

  • Sicherer Dateiaustausch (SFTP/FTPS)
  • Datenaustausch über HTTPS-Verbindung (TLS 1.1 und 1.2)
  • Festlegung der Weitergabeberechtigung, Berechtigungskonzept
  • Kontrolle durch Mitarbeiter (4-Augen-Prinzip)
  • Gesicherter Eingang für An- und Ablieferung
  • Verwaltung von Datenträgern, Bestandskontrolle
  • Festlegung der Bereiche, in dem sich Datenträger befinden müssen
  • Verschlüsselung vertraulicher Datenträger
  • Verschlüsselung von Laptops
  • Aufbewahrung personenbezogener Daten in verschließbaren
  • Sicherheitsschränken
  • Verbot der Mitnahme von Taschen und sonstigen Gepäckstücken in Sicherheitsbereiche
  • Sichere Löschung von Datenträgern (z.B. physikalische Zerstörung, Mehrfachüberschreibung)
  • Sichere Papierentsorgung: Verschlossene Behältnisse aus Metall (sog. Datenschutztonnen)
  • Regelung zur Anfertigung von Kopien
  • Sicherungskopien von Datenträgern, die transportiert werden müssen
  • Verpackungs- und Versandvorschriften
  • Direktabholung, Kurierdienst, Transportbegleitung
  • Vollständigkeits- und Richtigkeitsprüfung

Eingabekontrolle

  • Kennzeichnung/Klassifizierung erfasster Daten
  • Festlegung von Benutzerberechtigungen (Rollen/Profile)
  • Differenzierte Benutzerberechtigungen (Lesen, Ändern, Löschen von Daten, Teilzugriff auf Daten bzw. Funktionen)
  • Organisatorische Festlegung von Eingabezuständigkeiten
  • Protokollierung von Dateneingaben/-löschungen
  • Regelung zu Aufbewahrungsfristen für Revision/Nachweiszwecke

3. Verfügbarkeit und Belastbarkeit (Art. 32 (1) b) DSGVO)

Verfügbarkeitskontrolle

  • Datensicherungs- und Backupkonzept
  • Regelmäßige Überprüfung des Datensicherungs- und Backupkonzepts
  • Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges Personal
  • Brandmeldeanlagen in Serverräumlichkeiten
  • Automatische Brandlöschanlagen in Serverräumlichkeiten
  • Wasserlose Brandlöschmittel (z.B. CO2-Löscher) in Serverräumlichkeiten
  • Klimatisierte Serverräumlichkeiten
  • Blitz-/Überspannungsschutz
  • Unterbrechungsfreie Stromversorgung (USV)
  • Netzersatzanlage (NEA)
  • Wassersensoren in Serverräumlichkeiten
  • Unterbringung von Backupsystemen in separaten Räumlichkeiten und Brandabschnitten
  • Aufbewahrung der Daten in Datensicherungsschränken, Tresoren
  • Regelmäßige Überprüfung der Wiederherstellbarkeit der Backup-Speichermedien
  • Gewährleistung der technischen Lesbarkeit von Backup-Speichermedien für die Zukunft
  • Lagerung von Backup-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)
  • Vereinbarung zur Übergabe der (Daten-)Sicherungen
  • Regelmäßige Schwachstellenanalyse (Geländeschutz, Gebäudeschutz, Eindringen in Netze und IT-Systeme)
  • Redundantes Speichersystem
  • Ausweich-Rechenzentren

4. Wiederherstellung von Verfügbarkeit und Zugang (Art. 32 (1) c) DSGVO)

  • Krisen- bzw. Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben)

5. Überprüfung, Bewertung und Evaluierung (Art. 32 (1) d) DSGVO; Art. 25 (1) DSGVO)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Definierter Prozess zum Datenschutzmanagement
  • Definierter Prozess zum Incident-Response-Management
  • Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Auftragskontrolle

  • Auswahl des Subauftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • Vertragsgestaltung gemäß gesetzlicher Vorgaben (Art. 28 DSGVO)
  • Zentrale Erfassung vorhandener Subauftragnehmer (einheitliches Vertragsmanagement)
  • Vorabkontrollen vor Ort beim Subauftragnehmer vor Vertragsbeginn
  • Regelmäßige Vor-Ort-Kontrollen beim Subauftragnehmer nach Vertragsbeginn (während Vertragsdauer)
  • Überprüfung des Datensicherheitskonzepts beim Subauftragnehmer
  • Sichtung vorhandener Informationssicherheitszertifikate des Subauftragnehmers
  • Erteilung von Weisungen zur Verbesserung des Datenschutzes gegenüber Subauftragnehmer
  • Verpflichtung der Mitarbeiter des Subauftragnehmers auf Einhaltung der Datenschutzvorschriften