Vereinbarung über Geheimhaltung, Ver-traulichkeit und Datenschutz - IP-VP-Netzwerk für die HIL GmbH - Vergabemarktplatz HIL ...

Die Seite wird erstellt Nicklas Forster
Gesundheit und Fitness
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vereinbarung über Geheimhaltung, Ver-
traulichkeit und Datenschutz -
IP-VP-Netzwerk für die HIL GmbH

                                         Datum: 0.07.2018
                          NDA Systembetreuung, Version 1.4
Vereinbarung
                                      zwischen der

                          HIL Heeresinstandsetzungslogistik GmbH
                                 Josef-Wirmer-Straße 2-8
                                        53123 Bonn

                          - nachstehend Auftraggeberin genannt -

                                         und der

                              _________________________
                              _________________________
                              _________________________

                          - nachstehend Auftragnehmerin genannt

NDA IP VPN, Version 1.1                   Datum: 28.02.2019        Seite 2 von 12
1. Gegenstand und Dauer des Auftrags

(1) Zwischen den Parteien besteht ein Vertragsverhältnis über die Bereitstellung, den Betrieb und die
Wartung eines IP-VP-Netzwerkes.

(2) Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen
Grundsätze analog zu den Anforderungen des Art. 28 der Datenschutz-Grundverordnung (DSGVO)
zwischen den Parteien getroffen.

(3) Die Auftragnehmerin führt im Auftrag der Auftraggeberin die Bereitstellung, den Betrieb und die
Wartung eines IP-VP-Netzwerkes der Auftraggeberin durch. In diesem Zusammenhang ist nicht aus-
geschlossen, dass die Auftragnehmerin personenbezogene Daten verarbeitet, um die Wartung und
Pflege durchzuführen oder durchführen zu können.

(4) Diese Vereinbarung tritt mit Unterzeichnung in Kraft und endet spätestens drei Jahre nach Ende
der Zusammenarbeit, frühestens jedoch nach vollständiger Erfüllung aller Pflichten nach Ziffer 4.
dieser Vereinbarung.

(5) Zudem kann die Vereinbarung von jeder Partei mit einer Frist von drei Monaten zum Ablauf eines
Kalendermonats gekündigt werden. Die Kündigung wird erst mit vertragsgemäßer Rückgabe bzw.
Vernichtung der vertraulichen Daten durch die Auftragnehmerin gemäß Ziffer 4. wirksam. Jede Kün-
digung bedarf der Schriftform.

(6) Die vereinbarten Vertraulichkeitspflichten über die Beendigungszeitpunkte der Ziffer 1. Absätze
(4) und (5) hinaus ihre Gültigkeit.

    2. Konkretisierung des Auftragsinhalts

(1) Der Auftrag der Auftraggeberin an die Auftragnehmerin umfasst folgende Arbeiten und/oder Leis-
tungen und wird in dem zugehörigen Hauptvertrag/der Leistungsbeschreibung vom 09.07.2019 be-
schrieben:

       Anlegen von Benutzern auf Server- oder Applikationsebene
       Einrichtung, Änderung und/oder Löschung von Benutzerberechtigungen
       Eingabe, Änderung oder Löschung von Datenbankfeldern
       Fernwartung von IT-Systemen
(2) Der Auftrag kann auch die Verarbeitung folgender Arten von personenbezogenen Daten beinhal-
ten:

       Name und Kontaktdaten von Nutzern der IT-Systeme
       ggf. weitere Daten von Betroffenen, die im jeweiligen IT-System der Auftraggeberin gespei-
        chert sind.
(3) Kreis der von der Datenverarbeitung Betroffenen:

       Beschäftigte der Auftraggeberin
       ggf. Kunden der Auftraggeberin
       ggf. Dritte

NDA IP VPN, Version 1.1                        Datum: 28.02.2019                      Seite 3 von 12
3. Allgemeine Pflichten der Auftragnehmerin

(1) Die Auftragnehmerin ist verpflichtet, ihr Unternehmen und ihre Betriebsabläufe so zu gestalten,
dass die Daten, die sie im Zusammenhang mit den Wartungs-/Pflegearbeiten im Auftrag verarbeitet,
vor der unbefugten Kenntnisnahme Dritter geschützt sind.

(2) Die Auftragnehmerin wird die Auftraggeberin unverzüglich darüber informieren, wenn eine von
der Auftraggeberin erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt.
Die Auftragnehmerin ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset-
zen, bis diese durch die Auftraggeberin bestätigt oder geändert wird.

(3) Die Auftragnehmerin ist verpflichtet, der Auftraggeberin jeden Verstoß gegen datenschutzrechtli-
che Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten
Weisungen der Auftraggeberin unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten
durch sie oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Diese Meldung hat
schriftlich und vorab per E-Mail an datenschutz@hilgmbh.de zu erfolgen.

(4) Für den Fall, dass die Auftragnehmerin feststellt oder Tatsachen die Annahme begründen, dass
von ihr für die Auftraggeberin verarbeitete

       besondere Arten bzw. besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO
        oder
       personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder
       personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten o-
        der den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
       personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind,
hat die Auftragnehmerin die Auftraggeberin unverzüglich und vollständig über Zeitpunkt, Art und
Umfang des Vorfalls/der Vorfälle in Schriftform und vorab per E-Mail (datenschutz@hilgmbh.de) zu
informieren. Die Information muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung
enthalten. Die Information soll zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrecht-
mäßigen Kenntniserlangung beinhalten. Die Auftragnehmerin ist darüber hinaus verpflichtet, unver-
züglich mitzuteilen, welche Maßnahmen durch die Auftragnehmerin getroffen wurden, um die un-
rechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern.

(5) Die Auftragnehmerin wird ihren Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbei-
tungsverzeichnisses nachkommen.

    4. Kontrollbefugnisse

(1) Die Auftraggeberin hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz
und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder
die Einhaltung der Weisungen der Auftraggeberin durch die Auftragnehmerin jederzeit im erforderli-
chen Umfang zu kontrollieren.

NDA IP VPN, Version 1.1                       Datum: 28.02.2019                      Seite 4 von 12
(2) Die Auftragnehmerin ist der Auftraggeberin gegenüber zur Auskunftserteilung verpflichtet, soweit
dies zur Durchführung der Kontrolle i.S.d. Ziffer 4. Absatz (1) erforderlich ist.

(3) Die Auftraggeberin kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle i.S.d.
Ziffer 4. Absatz (1) in der Betriebsstätte der Auftragnehmerin zu den jeweils üblichen Geschäftszeiten
vornehmen. Die Auftraggeberin wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderli-
chen Umfang durchgeführt werden, sofern die Betriebsabläufe der Auftragnehmerin durch die Kon-
trollen gestört werden könnten.

(4) Die Auftragnehmerin ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber
der Auftraggeberin i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts-
und Kontrollpflichten die erforderlichen Auskünfte an die Auftraggeberin zu erteilen.

    5. Datengeheimnis

(1) Die Auftragnehmerin ist bei der Verarbeitung von Daten für die Auftraggeberin zur Wahrung der
Vertraulichkeit verpflichtet. Die Auftragnehmerin verpflichtet sich, die Daten (einschließlich der be-
reits erhaltenen) streng vertraulich zu behandeln und vor unbefugtem Zugriff zu schützen. Die Auf-
tragnehmerin verpflichtet sich, die von der Auftraggeberin erhaltenen vertraulichen Daten mit einer
dem Risiko und der Vertraulichkeit der empfangenen Informationen entsprechenden angemessenen
und üblichen Sorgfalt zu behandeln. Die Auftragnehmerin verpflichtet sich, die gleichen Geheimnis-
schutzregeln zu beachten, wie sie der Auftraggeberin obliegen. Die Auftraggeberin ist verpflichtet,
der Auftragnehmerin etwaige besondere Geheimnisschutzregeln mitzuteilen.

(2) Die Auftragnehmerin wird die vertraulichen Daten ausschließlich dazu nutzen, die Auftraggeberin
bei den im Auftrag festgelegten Aufgaben gemäß Ziffer 2. Absatz (1) und Absatz (2) zu unterstützen.
Jede Nutzung für andere oder weitergehende Zwecke bedarf der vorherigen schriftlichen Zustim-
mung durch die Auftraggeberin. Etwaige Rechte an den vertraulichen Daten verbleiben vollumfäng-
lich bei der Auftraggeberin.

(3) Die Auftragnehmerin sichert zu, dass ihr die jeweils geltenden datenschutzrechtlichen Vorschrif-
ten bekannt sind und sie mit der Anwendung dieser vertraut ist. Die Auftragnehmerin sichert ferner
zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeb-
lichen Bestimmungen des Datenschutzes vertraut macht und diese zur Vertraulichkeit im Umgang
mit personenbezogenen Daten verpflichtet hat, sofern diese nicht schon anderweitig einer angemes-
senen gesetzlichen Verschwiegenheitspflicht unterliegen. Eine Überlassung von vertraulichen Daten
an Mitarbeiter der Auftragnehmerin darf nur insoweit erfolgen, als dies zur Erfüllung der übernom-
menen Pflichten erforderlich ist.

(4) Die Auftragnehmerin ist verpflichtet, alle verhältnismäßigen und zumutbaren Vorkehrungen ge-
gen Verlust und unerlaubten Zugriffen auf Daten der Auftraggeberin zu treffen und laufend dem
jeweils bewährten Stand der Technik anpassen.

(5) Im Fall der Überlassung sowie hinsichtlich der bereits erfolgten oder noch erfolgenden Weiterga-
be von vertraulichen Informationen durch die HIL an die Auftragnehmerin haftet die Auftragsnehme-
rin für Verstöße gegen Vertraulichkeitspflichten durch die dort genannten Empfänger von Vertrauli-
chen Informationen wie für eigene Pflichtverstöße.

NDA IP VPN, Version 1.1                        Datum: 28.02.2019                       Seite 5 von 12
6. Ausnahmen vom Datengeheimnis

(1) Die gemäß Ziffer 8. bestehenden Datenschutz- und Geheimhaltungspflichten gelten nicht für sol-
che vertrauliche Daten, die

        (a) durch die Auftragnehmerin ohne Rückgriff auf oder Verwendung der Informationen der
        HIL unabhängig entwickelt wurden;

        (b) durch die Auftragnehmerin aufgrund zwingender gesetzlicher, behördlicher oder gericht-
        licher Anordnung offen zu legen sind; in diesem Fall hat die Auftragnehmerin die HIL vor der
        Offenlegung zu informieren und den Umfang einer etwaigen Offenlegung soweit wie möglich
        einzuschränken sowie mit der HIL abzustimmen.

(2) Von den vorstehenden Ausnahmen unberührt bleibt der Schutz der Vertraulichen Informationen
nach anderen Gesetzen, einschließlich solcher zum Schutz dienstlicher und militärischer Geheimnis-
se, zum Schutz der Rechte geistigen und gewerblichen Eigentums sowie zum Schutz personenbezo-
gener Daten.

(3) Die Auftragnehmerin trägt jeweils die Beweislast für das Vorliegen einer Ausnahme von der Da-
tenschutz- und Geheimhaltungsverpflichtung.

    7. Fernwartung

(1) Sofern die Auftragnehmerin die Wartung und/oder Pflege der IT-Systeme auch im Wege der
Fernwartung durchführt, ist sie verpflichtet, der Auftraggeberin eine wirksame Kontrolle der Fern-
wartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die der
Auftraggeberin ermöglicht, die von der Auftragnehmerin durchgeführten Arbeiten auf einem Moni-
tor o.ä. Gerät zu verfolgen.

(2) Für den Fall, dass die Auftraggeberin einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt, hat
diese Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durch die Fernwar-
tung nicht erfolgt. Die Auftragnehmerin ist diesbezüglich verpflichtet, Technologien einzusetzen, die
nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern der Auftraggeberin
auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden.

(3) Wenn die Auftraggeberin bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Mo-
nitor o.ä. Gerät zu beobachten, wird die Auftragnehmerin die von ihr durchgeführten Arbeiten in
geeigneter Weise dokumentieren.

    8. Unterauftragsverhältnisse

(1) Die Beauftragung von Unterauftragnehmer durch die Auftragnehmerin ist nur mit vorheriger
schriftlicher Zustimmung der Auftraggeberin zulässig.

(2) Die Auftragnehmerin hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftra-
gung zu prüfen, dass dieser die zwischen Auftraggeberin und Auftragnehmerin getroffenen Vereinba-
rungen einhalten kann. Die Auftragnehmerin hat insbesondere vorab und regelmäßig während der
Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen

NDA IP VPN, Version 1.1                         Datum: 28.02.2019                        Seite 6 von 12
technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen
hat. Das Ergebnis der Kontrolle ist von der Auftragnehmerin zu dokumentieren und auf Anfrage der
Auftraggeberin zu übermitteln. Die Auftragnehmerin ist verpflichtet, sich vom Unterauftragnehmer
bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten benannt hat, sofern
dies nach Art. 37 DSGVO i.V.m. § 38 BDSG erforderlich ist.

(3) Die Auftragnehmerin hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und
ggf. ergänzende Weisungen der Auftraggeberin auch gegenüber dem Unterauftragnehmer gelten.
Die Auftragnehmerin hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren. Kommt der
Unterauftragnehmer seinen Pflichten nicht nach, so haftet die Auftragnehmerin gegenüber der Auf-
traggeberin für die Verletzung der Pflichten jenes Unterauftragnehmers wie für eigene Pflichtverstö-
ße.

(4) Die Verpflichtung des Unterauftragnehmers muss den Anforderungen von Art. 28 Abs. 4 DSGVO
entsprechen.

(5) Die Auftragnehmerin ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen,
dass die Kontrollbefugnisse (Ziff. 4 dieses Vertrages) der Auftraggeberin und von Aufsichtsbehörden
auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftragge-
berin und Aufsichtsbehörden vereinbart werden. Es ist zudem von der Auftragnehmerin vertraglich
zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen
zu dulden hat.

    9. Technische und organisatorische Maßnahmen zur Datensicherheit

(1) Die Auftragnehmerin verpflichtet sich gegenüber der Auftraggeberin zur Einhaltung der nach
Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.

(2) Für den Fall, dass die Auftragnehmerin die Wartung und Pflege von IT-Systemen für die Auftrag-
geberin auch außerhalb der Geschäftsräume der Auftraggeberin durchführt (z.B. im Falle der Fern-
wartung), sind von der Auftragnehmerin zwingend die in der ANLAGE zu diesem Vertrag genannten
technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten einzuhalten.

    10. Beendigung - Rückgabe und Vernichtung

(1) Nach Beendigung des Vertrages hat die Auftragnehmerin sämtliche in ihren Besitz gelangten Un-
terlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit
dem Auftragsverhältnis stehen, der Auftraggeberin auszuhändigen. Die Datenträger der Auftragneh-
merin sind danach physisch zu löschen. Dies betrifft auch etwaige Datensicherungen bei der Auftrag-
nehmerin. Die Löschung ist in geeigneter Weise zu dokumentieren. Test- und Ausschussmaterial ist
unverzüglich zu vernichten oder physisch zu löschen.

(2) Die Auftraggeberin hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung
der Daten bei der Auftragnehmerin zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme
der Datenverarbeitungsanlagen zu den jeweils üblichen Geschäftszeiten in der Betriebsstätte der
Auftragnehmerin erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch die Auftraggebe-
rin angekündigt werden.

NDA IP VPN, Version 1.1                        Datum: 28.02.2019                      Seite 7 von 12
(3) Die vorstehenden Verpflichtungen zur Rückgabe oder Vernichtung gelten insoweit nicht, als zwin-
gende gesetzliche Aufbewahrungspflichten bestehen oder elektronische Daten betroffen sind, die
aufgrund von routinemäßig abgespeicherten BackUp-Archivierungsverfahren entstanden sind.

(4) Die Auftragnehmerin ist dafür verantwortlich, dass die in Ziffer 10. Absatz (1) genannten Hand-
lungen auch von den in Ziffer 8. und Ziffer 5. Absatz (3) genannten Personen und Stellen vorgenom-
men werden.

(5) Der Haftungsmaßstab der Auftragnehmerin nach Ziffer 8. Absatz (3) gilt entsprechend für die vor-
genannten Rückgabe- und Vernichtungspflichten.

NDA IP VPN, Version 1.1                       Datum: 28.02.2019                      Seite 8 von 12
11. Schlussbestimmungen / Vertragsstrafe

(1) Für jeden einzelnen Verstoß gegen Pflichten nach Ziffer 3 und Ziffer 5 wird die Auftragnehmerin
an die Auftraggeberin eine Vertragsstrafe in Höhe von EUR [10.000,-] (in Worten: [zehntausend] Eu-
ro) zahlen. Die Grundsätze des Fortsetzungszusammenhangs sind ausgeschlossen. Weitergehende
Ansprüche der Auftraggeberin bleiben unberührt. Für den Fall, dass die Unwirksamkeit dieser Klausel
rechtswirksam festgestellt wird, gilt sie mit der Maßgabe, dass die Auftragnehmerin an die Auftrag-
geberin eine Vertragsstrafe in angemessener Höhe zahlen wird.

(2) Sollte das Eigentum der Auftraggeberin bei der Auftragnehmerin durch Maßnahmen Dritter (etwa
durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse
gefährdet werden, so hat die Auftragnehmerin der Auftraggeberin unverzüglich zu benachrichtigen.
Zurückbehaltungs- und Leistungsverweigerungsrechte der Auftragnehmerin im Sinne der §§ 273, 320
ff. BGB sind ausgeschlossen.

(3) Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen.

(4) Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach
Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertra-
ges im Übrigen unberührt.

(5) Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland.

(6) Als ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinba-
rung wird Bonn vereinbart. Die Auftraggeberin ist ferner berechtigt, die Auftragnehmerin am Gericht
des Sitzes der Auftragnehmerin zu verklagen.

(7) Die Rechte und Pflichten aus dieser Vereinbarung sind nicht übertragbar.

_______________________                                       __________________________
Ort, Datum                                                    HIL Heeresinstandsetzungslogistik
                                                              GmbH (Auftraggeberin)

_______________________                                       __________________________
Ort, Datum                                                    (Auftragnehmerin)

NDA IP VPN, Version 1.1                        Datum: 28.02.2019                     Seite 9 von 12
Anlage – Technisch-organisatorische Maßnahmen (TOM)

Die Auftragnehmerin ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur
Datensicherheit i.S.d. Art. 32 DSGVO einzuhalten:

    1. Vertraulichkeit

        Zutrittskontrolle

Die Auftragnehmerin trägt Sorge dafür, dass ihre Büro- und Geschäftsräume grundsätzlich außerhalb
der Büro- und Geschäftszeiten geschlossen sind.

Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich
nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhal-
ten könnten.

Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der so-
wohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung
bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.

        Zugangskontrolle

Um Zugang zu IT-Systemen zu erhalten, müssen die Auftragnehmerin und ihre Beschäftigten über
eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberech-
tigungen von einem oder mehreren Administratoren vergeben.

Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort aus
Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.

Passwörter werden nach einem vorgegebenen Turnus von 90 Tagen gewechselt.

Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht
noch einmal verwendet werden können.

Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung
des jeweiligen Benutzer-Accounts.

Remote-Zugriffe auf IT-Systeme der Auftragnehmerin erfolgen stets über verschlüsselte Verbindun-
gen.

Alle Server- und Client-Systeme, die bei der Erbringung von Leistungen für die Auftraggeberin im
Einsatz sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches
versorgt werden.

Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

Passwörter, die die Auftragnehmerin von der Auftraggeberin erhält oder für deren IT-Systeme ver-
wendet, werden grundsätzlich verschlüsselt gespeichert und sind nur den Beschäftigten zugänglich
zu machen, die konkret mit der Erbringung von Leistungen für die Auftraggeberin betraut sind.

NDA IP VPN, Version 1.1                        Datum: 28.02.2019                       Seite 10 von 12
Zugriffskontrolle

Berechtigungen für IT-Systeme und Applikationen der Auftragnehmerin werden nach dem Need-to-
Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenban-
ken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw.
in der Entwicklung tätig sind.

Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung
nach DIN 66399 gewährleistet.

        Trennung

Soweit die Auftragnehmerin personenbezogene Daten von der Auftraggeberin im Zusammenhang
mit der Auftragsverarbeitung erhält, wird sie diese getrennt von Daten anderer Kunden verarbeiten.

        Pseudonymisierung & Verschlüsselung

Ein administrativer Zugriff auf IT-Systeme der Auftraggeberin erfolgt grundsätzlich über verschlüssel-
te Verbindungen, soweit dieser nicht innerhalb der Räumlichkeiten der Auftraggeberin erfolgt.

    2. Integrität

        Eingabekontrolle

Die Auftragnehmerin wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten,
die sie im Auftrag der Auftraggeberin durchführt, in geeigneter Weise dokumentieren, sofern nicht
sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten
durchführt.

         Weitergabekontrolle

Eine Weitergabe von personenbezogenen Daten, die im Auftrag der Auftraggeberin erfolgt, darf je-
weils nur in dem Umfang erfolgen, wie und soweit dies mit der Auftraggeberin abgestimmt ist.

Die Nutzung von privaten Datenträgern ist der Auftragnehmerin im Zusammenhang mit der Auf-
tragsverarbeitung für die Auftraggeberin untersagt.

        3. Verfügbarkeit und Belastbarkeit

Soweit die Auftragnehmerin personenbezogene Daten oder Zugangsdaten für die Auftraggeberin
speichert oder verwaltet, trägt sie Sorge dafür, dass diese Daten mindestens täglich inkrementell und
wöchentlich „voll“ gesichert werden. Es gibt ein Datensicherungskonzept, das auch das erfolgreiche
Testen der Wiederherstellung von Daten beinhaltet.

NDA IP VPN, Version 1.1                         Datum: 28.02.2019                       Seite 11 von 12
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Die Auftragnehmerin trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei,
dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforde-
rungen der DSGVO entspricht.

Dies beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maß-
nahmen zum Schutz personenbezogener Daten und ggf. der Anpassung.

Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und un-
verzüglich der Auftraggeberin gemeldet werden, wenn diese Vorfälle Daten betreffen, die im Rah-
men der Auftragsverarbeitung für die Auftraggeberin verarbeitet werden.

        Auftragskontrolle

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des
jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auf-
tragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

        Datenschutz durch Technikgestaltung und durch datenschutzfreundliche
        Voreinstellungen

Etwaige nach Art. 25 DSGVO erforderliche Maßnahmen im Zusammenhang mit der Verarbeitung von
personenbezogenen Daten durch die Auftraggeberin sind von der Auftraggeberin zu treffen bzw.
durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin festzulegen.

NDA IP VPN, Version 1.1                       Datum: 28.02.2019                      Seite 12 von 12
Sie können auch lesen
Digitale Schule - Digitales Lernen - Organisatorisch-rechtliche Rahmenbedingungen der Geräteinitiative
Digitale Schule - Digitales Lernen - Organisatorisch-rechtliche Rahmenbedingungen der Geräteinitiative
Merkblatt zur Bewerbung für das 38. Parlamentarische Patenschafts-Programm
Merkblatt zur Bewerbung für das 38. Parlamentarische Patenschafts-Programm
PUMPEN KUPFER-FITTINGE / PUMPEN - coolair
PUMPEN KUPFER-FITTINGE / PUMPEN - coolair
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO - für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von ...
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO - für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von ...
Netzführungsvereinbarung - für den Netzanschluss an die Mittelspannung - Syna GmbH
Netzführungsvereinbarung - für den Netzanschluss an die Mittelspannung - Syna GmbH
Prüfstandskatalog - (IKA), RWTH Aachen
Prüfstandskatalog - (IKA), RWTH Aachen
EINFACH KOCH(EN) LERNEN - FACHPRAKTIKER KÜCHE ARBEITSHEFT BAND 2 FACHSTUFEN SCHÜLERAUSGABE - Angelika Kettmann Martin Koch 1. Auflage
EINFACH KOCH(EN) LERNEN - FACHPRAKTIKER KÜCHE ARBEITSHEFT BAND 2 FACHSTUFEN SCHÜLERAUSGABE - Angelika Kettmann Martin Koch 1. Auflage
Leitfaden Salmonellenmonitoring und -reduzierungsprogramm für die Geflügelfleischerzeugung
Leitfaden Salmonellenmonitoring und -reduzierungsprogramm für die Geflügelfleischerzeugung
Leitfaden Broker Fleisch und Fleischwaren - QS Qualität und ...
Leitfaden Broker Fleisch und Fleischwaren - QS Qualität und ...
ORIENTIERUNGSRAHMEN ZUR PRÜFUNG GEMÄß BKRFQV - D1, D1E, D, DE
ORIENTIERUNGSRAHMEN ZUR PRÜFUNG GEMÄß BKRFQV - D1, D1E, D, DE
Ausgewählte Beiträge zur Schweizer Politik - Année politique Suisse
Ausgewählte Beiträge zur Schweizer Politik - Année politique Suisse
2020 Schweizerischer Turnverband
2020 Schweizerischer Turnverband
Bildungsprogramm 2018/2019 des Vereins "Die Bäuerinnen im Gebiet Mank" - Die Bäuerinnen
Bildungsprogramm 2018/2019 des Vereins "Die Bäuerinnen im Gebiet Mank" - Die Bäuerinnen
Jahresprogramm 2020 - Wanderplan Odenwaldklub Dieburg e.V - OWK Dieburg
Jahresprogramm 2020 - Wanderplan Odenwaldklub Dieburg e.V - OWK Dieburg
DATENSCHUTZERKLÄRUNG UNWETTERZENTRALE ÖSTERREICH - Ubimet
DATENSCHUTZERKLÄRUNG UNWETTERZENTRALE ÖSTERREICH - Ubimet
SEBASTIAN HERZAU - kunst-raum Schulte-Goltz+noelte
SEBASTIAN HERZAU - kunst-raum Schulte-Goltz+noelte
PROGRAMM 17.-18. November 2016 Carl Benz Arena Stuttgart - KONGRESS FÜR INTERVENTIONELLE HERZMEDIZIN - Heart Live
PROGRAMM 17.-18. November 2016 Carl Benz Arena Stuttgart - KONGRESS FÜR INTERVENTIONELLE HERZMEDIZIN - Heart Live
TUCar Technische Dokumentation - Fakultät für Elektrotechnik und Informationstechnik - TU Chemnitz
TUCar Technische Dokumentation - Fakultät für Elektrotechnik und Informationstechnik - TU Chemnitz
LA VIE EN ROSEROCK THORSTEN BRINKMANN
LA VIE EN ROSEROCK THORSTEN BRINKMANN
Auswahl 19 Aargauer Künstlerinnen und Künstler Gast: Jan Hofer *Aargauer Kunsthaus / Aargauer Kuratorium 16.11.2019 5.1.2020
Auswahl 19 Aargauer Künstlerinnen und Künstler Gast: Jan Hofer *Aargauer Kunsthaus / Aargauer Kuratorium 16.11.2019 5.1.2020
THIOVIT JET Formulierungsbeschreibung: wasserdispergierbares Granulat mit 800 g/kg (80,0 Gew ) Netzschwefel
THIOVIT JET Formulierungsbeschreibung: wasserdispergierbares Granulat mit 800 g/kg (80,0 Gew ) Netzschwefel
Handbuch für die Errichtung und den Betrieb von Pärken von nationaler Bedeutung - Mitteilung des BAFU als Vollzugsbehörde an Gesuchsteller
Handbuch für die Errichtung und den Betrieb von Pärken von nationaler Bedeutung - Mitteilung des BAFU als Vollzugsbehörde an Gesuchsteller
Telearbeit in den Thüringer Finanzämtern - Sicherheitskonzept für den Einsatz von IT-Geräten und den Umgang mit dienstlichen Informationen am ...
Telearbeit in den Thüringer Finanzämtern - Sicherheitskonzept für den Einsatz von IT-Geräten und den Umgang mit dienstlichen Informationen am ...
Workplace@Home Advanced Configuration Guide zum Self support
Workplace@Home Advanced Configuration Guide zum Self support
Kommentiertes Vorlesungsverzeichnis Master Kommunikationsdesign, HTWG Konstanz Sommersemester 2018
Kommentiertes Vorlesungsverzeichnis Master Kommunikationsdesign, HTWG Konstanz Sommersemester 2018
Neue EU-Standardvertragsklauseln für den internationalen Datentransfer - Funktionsprinzip, wesentliche Neuerungen & Umsetzungsempfehlungen
Neue EU-Standardvertragsklauseln für den internationalen Datentransfer - Funktionsprinzip, wesentliche Neuerungen & Umsetzungsempfehlungen
TWINGI LAND ART 2021 - Landschaftspark Binntal
TWINGI LAND ART 2021 - Landschaftspark Binntal
Digitales Besuchermanagement mit biometrischer Identitätsverifikation - Essentry
Digitales Besuchermanagement mit biometrischer Identitätsverifikation - Essentry
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
Berichterstattung im Fall Kachelmann
Berichterstattung im Fall Kachelmann
Bayerisches Ministerialblatt - Landkreis Würzburg
Bayerisches Ministerialblatt - Landkreis Würzburg
Organisations- und Geschäftsreglement der Kuoni Reisen Holding AG - KUONI REISEN HOLDING AG
Organisations- und Geschäftsreglement der Kuoni Reisen Holding AG - KUONI REISEN HOLDING AG
Business. Messe. Event. Private Feier - Nieß Catering
Business. Messe. Event. Private Feier - Nieß Catering
Antwort der Bundesregierung - Deutscher Bundestag - DIP von Bundestag und Bundesrat
Antwort der Bundesregierung - Deutscher Bundestag - DIP von Bundestag und Bundesrat
HYGIENEKONZEPT SV Breitenberg/Martinsmoos 1950 e.V. Informationen für den Trainings- und Spielbetrieb im Verein
HYGIENEKONZEPT SV Breitenberg/Martinsmoos 1950 e.V. Informationen für den Trainings- und Spielbetrieb im Verein
Wehrha&e poli,sche Bildung in Zeiten des Populismus - Halle, 10.10.2019, ein Tag danach
Wehrha&e poli,sche Bildung in Zeiten des Populismus - Halle, 10.10.2019, ein Tag danach
Der ultimative Leitfaden für das Online-Reputationsmanagement - TripAdvisor
Der ultimative Leitfaden für das Online-Reputationsmanagement - TripAdvisor
Sri Lanka Kurze Einführung in das Hochschulsystem und die DAAD-Aktivitäten
Sri Lanka Kurze Einführung in das Hochschulsystem und die DAAD-Aktivitäten
Grosser Gemeinderat, Vorlage - Stadt Zug
Grosser Gemeinderat, Vorlage - Stadt Zug
ZIPSENDORFER FUSSBALLCLUB - zcontent.de
ZIPSENDORFER FUSSBALLCLUB - zcontent.de
Alterssiedlung Bodmer Chur - Modernisierung und Erweiterung Schlussbericht zuhanden Age Stiftung
Alterssiedlung Bodmer Chur - Modernisierung und Erweiterung Schlussbericht zuhanden Age Stiftung
Countdown Durchstarten nach der Schule - AUSBILDUNG - VRM Media Sales
Countdown Durchstarten nach der Schule - AUSBILDUNG - VRM Media Sales
ZUSATZANLEITUNG LEON - Seat
ZUSATZANLEITUNG LEON - Seat
STADTMARKETING NEUIGKEITEN-BRIEF - DEZEMBER 2018 - Stadt Krefeld
STADTMARKETING NEUIGKEITEN-BRIEF - DEZEMBER 2018 - Stadt Krefeld
Patagonien Faszinierender Süden / Argentinien und Chile - Reiner Harscher
Patagonien Faszinierender Süden / Argentinien und Chile - Reiner Harscher
Lyttos Beach - ITS Coop Travel
Lyttos Beach - ITS Coop Travel
COVID-19-Impfung: Information für Impfbeauftragte im niedergelassenen Bereich - Version 2.0, Stand: 29.03.2021
COVID-19-Impfung: Information für Impfbeauftragte im niedergelassenen Bereich - Version 2.0, Stand: 29.03.2021
CAS Kriminalprävention - Weiterbildung
CAS Kriminalprävention - Weiterbildung
"DEUX IM SCHNEE" - AUSGABE 2022 KONZEPT UND BESCHREIBUNG
"DEUX IM SCHNEE" - AUSGABE 2022 KONZEPT UND BESCHREIBUNG
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.