Vereinbarung über Geheimhaltung, Ver-traulichkeit und Datenschutz - IP-VP-Netzwerk für die HIL GmbH - Vergabemarktplatz HIL ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vereinbarung über Geheimhaltung, Ver- traulichkeit und Datenschutz - IP-VP-Netzwerk für die HIL GmbH Datum: 0.07.2018 NDA Systembetreuung, Version 1.4
Vereinbarung zwischen der HIL Heeresinstandsetzungslogistik GmbH Josef-Wirmer-Straße 2-8 53123 Bonn - nachstehend Auftraggeberin genannt - und der _________________________ _________________________ _________________________ - nachstehend Auftragnehmerin genannt NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 2 von 12
1. Gegenstand und Dauer des Auftrags (1) Zwischen den Parteien besteht ein Vertragsverhältnis über die Bereitstellung, den Betrieb und die Wartung eines IP-VP-Netzwerkes. (2) Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen Grundsätze analog zu den Anforderungen des Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen den Parteien getroffen. (3) Die Auftragnehmerin führt im Auftrag der Auftraggeberin die Bereitstellung, den Betrieb und die Wartung eines IP-VP-Netzwerkes der Auftraggeberin durch. In diesem Zusammenhang ist nicht aus- geschlossen, dass die Auftragnehmerin personenbezogene Daten verarbeitet, um die Wartung und Pflege durchzuführen oder durchführen zu können. (4) Diese Vereinbarung tritt mit Unterzeichnung in Kraft und endet spätestens drei Jahre nach Ende der Zusammenarbeit, frühestens jedoch nach vollständiger Erfüllung aller Pflichten nach Ziffer 4. dieser Vereinbarung. (5) Zudem kann die Vereinbarung von jeder Partei mit einer Frist von drei Monaten zum Ablauf eines Kalendermonats gekündigt werden. Die Kündigung wird erst mit vertragsgemäßer Rückgabe bzw. Vernichtung der vertraulichen Daten durch die Auftragnehmerin gemäß Ziffer 4. wirksam. Jede Kün- digung bedarf der Schriftform. (6) Die vereinbarten Vertraulichkeitspflichten über die Beendigungszeitpunkte der Ziffer 1. Absätze (4) und (5) hinaus ihre Gültigkeit. 2. Konkretisierung des Auftragsinhalts (1) Der Auftrag der Auftraggeberin an die Auftragnehmerin umfasst folgende Arbeiten und/oder Leis- tungen und wird in dem zugehörigen Hauptvertrag/der Leistungsbeschreibung vom 09.07.2019 be- schrieben: Anlegen von Benutzern auf Server- oder Applikationsebene Einrichtung, Änderung und/oder Löschung von Benutzerberechtigungen Eingabe, Änderung oder Löschung von Datenbankfeldern Fernwartung von IT-Systemen (2) Der Auftrag kann auch die Verarbeitung folgender Arten von personenbezogenen Daten beinhal- ten: Name und Kontaktdaten von Nutzern der IT-Systeme ggf. weitere Daten von Betroffenen, die im jeweiligen IT-System der Auftraggeberin gespei- chert sind. (3) Kreis der von der Datenverarbeitung Betroffenen: Beschäftigte der Auftraggeberin ggf. Kunden der Auftraggeberin ggf. Dritte NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 3 von 12
3. Allgemeine Pflichten der Auftragnehmerin (1) Die Auftragnehmerin ist verpflichtet, ihr Unternehmen und ihre Betriebsabläufe so zu gestalten, dass die Daten, die sie im Zusammenhang mit den Wartungs-/Pflegearbeiten im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind. (2) Die Auftragnehmerin wird die Auftraggeberin unverzüglich darüber informieren, wenn eine von der Auftraggeberin erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt. Die Auftragnehmerin ist berechtigt, die Durchführung der betreffenden Weisung solange auszuset- zen, bis diese durch die Auftraggeberin bestätigt oder geändert wird. (3) Die Auftragnehmerin ist verpflichtet, der Auftraggeberin jeden Verstoß gegen datenschutzrechtli- che Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen der Auftraggeberin unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch sie oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Diese Meldung hat schriftlich und vorab per E-Mail an datenschutz@hilgmbh.de zu erfolgen. (4) Für den Fall, dass die Auftragnehmerin feststellt oder Tatsachen die Annahme begründen, dass von ihr für die Auftraggeberin verarbeitete besondere Arten bzw. besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO oder personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten o- der den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat die Auftragnehmerin die Auftraggeberin unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls/der Vorfälle in Schriftform und vorab per E-Mail (datenschutz@hilgmbh.de) zu informieren. Die Information muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung enthalten. Die Information soll zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrecht- mäßigen Kenntniserlangung beinhalten. Die Auftragnehmerin ist darüber hinaus verpflichtet, unver- züglich mitzuteilen, welche Maßnahmen durch die Auftragnehmerin getroffen wurden, um die un- rechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. (5) Die Auftragnehmerin wird ihren Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbei- tungsverzeichnisses nachkommen. 4. Kontrollbefugnisse (1) Die Auftraggeberin hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen der Auftraggeberin durch die Auftragnehmerin jederzeit im erforderli- chen Umfang zu kontrollieren. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 4 von 12
(2) Die Auftragnehmerin ist der Auftraggeberin gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Ziffer 4. Absatz (1) erforderlich ist. (3) Die Auftraggeberin kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle i.S.d. Ziffer 4. Absatz (1) in der Betriebsstätte der Auftragnehmerin zu den jeweils üblichen Geschäftszeiten vornehmen. Die Auftraggeberin wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderli- chen Umfang durchgeführt werden, sofern die Betriebsabläufe der Auftragnehmerin durch die Kon- trollen gestört werden könnten. (4) Die Auftragnehmerin ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber der Auftraggeberin i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an die Auftraggeberin zu erteilen. 5. Datengeheimnis (1) Die Auftragnehmerin ist bei der Verarbeitung von Daten für die Auftraggeberin zur Wahrung der Vertraulichkeit verpflichtet. Die Auftragnehmerin verpflichtet sich, die Daten (einschließlich der be- reits erhaltenen) streng vertraulich zu behandeln und vor unbefugtem Zugriff zu schützen. Die Auf- tragnehmerin verpflichtet sich, die von der Auftraggeberin erhaltenen vertraulichen Daten mit einer dem Risiko und der Vertraulichkeit der empfangenen Informationen entsprechenden angemessenen und üblichen Sorgfalt zu behandeln. Die Auftragnehmerin verpflichtet sich, die gleichen Geheimnis- schutzregeln zu beachten, wie sie der Auftraggeberin obliegen. Die Auftraggeberin ist verpflichtet, der Auftragnehmerin etwaige besondere Geheimnisschutzregeln mitzuteilen. (2) Die Auftragnehmerin wird die vertraulichen Daten ausschließlich dazu nutzen, die Auftraggeberin bei den im Auftrag festgelegten Aufgaben gemäß Ziffer 2. Absatz (1) und Absatz (2) zu unterstützen. Jede Nutzung für andere oder weitergehende Zwecke bedarf der vorherigen schriftlichen Zustim- mung durch die Auftraggeberin. Etwaige Rechte an den vertraulichen Daten verbleiben vollumfäng- lich bei der Auftraggeberin. (3) Die Auftragnehmerin sichert zu, dass ihr die jeweils geltenden datenschutzrechtlichen Vorschrif- ten bekannt sind und sie mit der Anwendung dieser vertraut ist. Die Auftragnehmerin sichert ferner zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeb- lichen Bestimmungen des Datenschutzes vertraut macht und diese zur Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet hat, sofern diese nicht schon anderweitig einer angemes- senen gesetzlichen Verschwiegenheitspflicht unterliegen. Eine Überlassung von vertraulichen Daten an Mitarbeiter der Auftragnehmerin darf nur insoweit erfolgen, als dies zur Erfüllung der übernom- menen Pflichten erforderlich ist. (4) Die Auftragnehmerin ist verpflichtet, alle verhältnismäßigen und zumutbaren Vorkehrungen ge- gen Verlust und unerlaubten Zugriffen auf Daten der Auftraggeberin zu treffen und laufend dem jeweils bewährten Stand der Technik anpassen. (5) Im Fall der Überlassung sowie hinsichtlich der bereits erfolgten oder noch erfolgenden Weiterga- be von vertraulichen Informationen durch die HIL an die Auftragnehmerin haftet die Auftragsnehme- rin für Verstöße gegen Vertraulichkeitspflichten durch die dort genannten Empfänger von Vertrauli- chen Informationen wie für eigene Pflichtverstöße. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 5 von 12
6. Ausnahmen vom Datengeheimnis (1) Die gemäß Ziffer 8. bestehenden Datenschutz- und Geheimhaltungspflichten gelten nicht für sol- che vertrauliche Daten, die (a) durch die Auftragnehmerin ohne Rückgriff auf oder Verwendung der Informationen der HIL unabhängig entwickelt wurden; (b) durch die Auftragnehmerin aufgrund zwingender gesetzlicher, behördlicher oder gericht- licher Anordnung offen zu legen sind; in diesem Fall hat die Auftragnehmerin die HIL vor der Offenlegung zu informieren und den Umfang einer etwaigen Offenlegung soweit wie möglich einzuschränken sowie mit der HIL abzustimmen. (2) Von den vorstehenden Ausnahmen unberührt bleibt der Schutz der Vertraulichen Informationen nach anderen Gesetzen, einschließlich solcher zum Schutz dienstlicher und militärischer Geheimnis- se, zum Schutz der Rechte geistigen und gewerblichen Eigentums sowie zum Schutz personenbezo- gener Daten. (3) Die Auftragnehmerin trägt jeweils die Beweislast für das Vorliegen einer Ausnahme von der Da- tenschutz- und Geheimhaltungsverpflichtung. 7. Fernwartung (1) Sofern die Auftragnehmerin die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fernwartung durchführt, ist sie verpflichtet, der Auftraggeberin eine wirksame Kontrolle der Fern- wartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die der Auftraggeberin ermöglicht, die von der Auftragnehmerin durchgeführten Arbeiten auf einem Moni- tor o.ä. Gerät zu verfolgen. (2) Für den Fall, dass die Auftraggeberin einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt, hat diese Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durch die Fernwar- tung nicht erfolgt. Die Auftragnehmerin ist diesbezüglich verpflichtet, Technologien einzusetzen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern der Auftraggeberin auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden. (3) Wenn die Auftraggeberin bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Mo- nitor o.ä. Gerät zu beobachten, wird die Auftragnehmerin die von ihr durchgeführten Arbeiten in geeigneter Weise dokumentieren. 8. Unterauftragsverhältnisse (1) Die Beauftragung von Unterauftragnehmer durch die Auftragnehmerin ist nur mit vorheriger schriftlicher Zustimmung der Auftraggeberin zulässig. (2) Die Auftragnehmerin hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftra- gung zu prüfen, dass dieser die zwischen Auftraggeberin und Auftragnehmerin getroffenen Vereinba- rungen einhalten kann. Die Auftragnehmerin hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 6 von 12
technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist von der Auftragnehmerin zu dokumentieren und auf Anfrage der Auftraggeberin zu übermitteln. Die Auftragnehmerin ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten benannt hat, sofern dies nach Art. 37 DSGVO i.V.m. § 38 BDSG erforderlich ist. (3) Die Auftragnehmerin hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen der Auftraggeberin auch gegenüber dem Unterauftragnehmer gelten. Die Auftragnehmerin hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren. Kommt der Unterauftragnehmer seinen Pflichten nicht nach, so haftet die Auftragnehmerin gegenüber der Auf- traggeberin für die Verletzung der Pflichten jenes Unterauftragnehmers wie für eigene Pflichtverstö- ße. (4) Die Verpflichtung des Unterauftragnehmers muss den Anforderungen von Art. 28 Abs. 4 DSGVO entsprechen. (5) Die Auftragnehmerin ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 4 dieses Vertrages) der Auftraggeberin und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftragge- berin und Aufsichtsbehörden vereinbart werden. Es ist zudem von der Auftragnehmerin vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat. 9. Technische und organisatorische Maßnahmen zur Datensicherheit (1) Die Auftragnehmerin verpflichtet sich gegenüber der Auftraggeberin zur Einhaltung der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. (2) Für den Fall, dass die Auftragnehmerin die Wartung und Pflege von IT-Systemen für die Auftrag- geberin auch außerhalb der Geschäftsräume der Auftraggeberin durchführt (z.B. im Falle der Fern- wartung), sind von der Auftragnehmerin zwingend die in der ANLAGE zu diesem Vertrag genannten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten einzuhalten. 10. Beendigung - Rückgabe und Vernichtung (1) Nach Beendigung des Vertrages hat die Auftragnehmerin sämtliche in ihren Besitz gelangten Un- terlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Auftraggeberin auszuhändigen. Die Datenträger der Auftragneh- merin sind danach physisch zu löschen. Dies betrifft auch etwaige Datensicherungen bei der Auftrag- nehmerin. Die Löschung ist in geeigneter Weise zu dokumentieren. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder physisch zu löschen. (2) Die Auftraggeberin hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten bei der Auftragnehmerin zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen zu den jeweils üblichen Geschäftszeiten in der Betriebsstätte der Auftragnehmerin erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch die Auftraggebe- rin angekündigt werden. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 7 von 12
(3) Die vorstehenden Verpflichtungen zur Rückgabe oder Vernichtung gelten insoweit nicht, als zwin- gende gesetzliche Aufbewahrungspflichten bestehen oder elektronische Daten betroffen sind, die aufgrund von routinemäßig abgespeicherten BackUp-Archivierungsverfahren entstanden sind. (4) Die Auftragnehmerin ist dafür verantwortlich, dass die in Ziffer 10. Absatz (1) genannten Hand- lungen auch von den in Ziffer 8. und Ziffer 5. Absatz (3) genannten Personen und Stellen vorgenom- men werden. (5) Der Haftungsmaßstab der Auftragnehmerin nach Ziffer 8. Absatz (3) gilt entsprechend für die vor- genannten Rückgabe- und Vernichtungspflichten. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 8 von 12
11. Schlussbestimmungen / Vertragsstrafe (1) Für jeden einzelnen Verstoß gegen Pflichten nach Ziffer 3 und Ziffer 5 wird die Auftragnehmerin an die Auftraggeberin eine Vertragsstrafe in Höhe von EUR [10.000,-] (in Worten: [zehntausend] Eu- ro) zahlen. Die Grundsätze des Fortsetzungszusammenhangs sind ausgeschlossen. Weitergehende Ansprüche der Auftraggeberin bleiben unberührt. Für den Fall, dass die Unwirksamkeit dieser Klausel rechtswirksam festgestellt wird, gilt sie mit der Maßgabe, dass die Auftragnehmerin an die Auftrag- geberin eine Vertragsstrafe in angemessener Höhe zahlen wird. (2) Sollte das Eigentum der Auftraggeberin bei der Auftragnehmerin durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die Auftragnehmerin der Auftraggeberin unverzüglich zu benachrichtigen. Zurückbehaltungs- und Leistungsverweigerungsrechte der Auftragnehmerin im Sinne der §§ 273, 320 ff. BGB sind ausgeschlossen. (3) Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen. (4) Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertra- ges im Übrigen unberührt. (5) Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. (6) Als ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinba- rung wird Bonn vereinbart. Die Auftraggeberin ist ferner berechtigt, die Auftragnehmerin am Gericht des Sitzes der Auftragnehmerin zu verklagen. (7) Die Rechte und Pflichten aus dieser Vereinbarung sind nicht übertragbar. _______________________ __________________________ Ort, Datum HIL Heeresinstandsetzungslogistik GmbH (Auftraggeberin) _______________________ __________________________ Ort, Datum (Auftragnehmerin) NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 9 von 12
Anlage – Technisch-organisatorische Maßnahmen (TOM) Die Auftragnehmerin ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO einzuhalten: 1. Vertraulichkeit Zutrittskontrolle Die Auftragnehmerin trägt Sorge dafür, dass ihre Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind. Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhal- ten könnten. Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der so- wohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt. Zugangskontrolle Um Zugang zu IT-Systemen zu erhalten, müssen die Auftragnehmerin und ihre Beschäftigten über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberech- tigungen von einem oder mehreren Administratoren vergeben. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Passwörter werden nach einem vorgegebenen Turnus von 90 Tagen gewechselt. Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht noch einmal verwendet werden können. Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts. Remote-Zugriffe auf IT-Systeme der Auftragnehmerin erfolgen stets über verschlüsselte Verbindun- gen. Alle Server- und Client-Systeme, die bei der Erbringung von Leistungen für die Auftraggeberin im Einsatz sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches versorgt werden. Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen. Passwörter, die die Auftragnehmerin von der Auftraggeberin erhält oder für deren IT-Systeme ver- wendet, werden grundsätzlich verschlüsselt gespeichert und sind nur den Beschäftigten zugänglich zu machen, die konkret mit der Erbringung von Leistungen für die Auftraggeberin betraut sind. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 10 von 12
Zugriffskontrolle Berechtigungen für IT-Systeme und Applikationen der Auftragnehmerin werden nach dem Need-to- Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenban- ken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind. Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet. Trennung Soweit die Auftragnehmerin personenbezogene Daten von der Auftraggeberin im Zusammenhang mit der Auftragsverarbeitung erhält, wird sie diese getrennt von Daten anderer Kunden verarbeiten. Pseudonymisierung & Verschlüsselung Ein administrativer Zugriff auf IT-Systeme der Auftraggeberin erfolgt grundsätzlich über verschlüssel- te Verbindungen, soweit dieser nicht innerhalb der Räumlichkeiten der Auftraggeberin erfolgt. 2. Integrität Eingabekontrolle Die Auftragnehmerin wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die sie im Auftrag der Auftraggeberin durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt. Weitergabekontrolle Eine Weitergabe von personenbezogenen Daten, die im Auftrag der Auftraggeberin erfolgt, darf je- weils nur in dem Umfang erfolgen, wie und soweit dies mit der Auftraggeberin abgestimmt ist. Die Nutzung von privaten Datenträgern ist der Auftragnehmerin im Zusammenhang mit der Auf- tragsverarbeitung für die Auftraggeberin untersagt. 3. Verfügbarkeit und Belastbarkeit Soweit die Auftragnehmerin personenbezogene Daten oder Zugangsdaten für die Auftraggeberin speichert oder verwaltet, trägt sie Sorge dafür, dass diese Daten mindestens täglich inkrementell und wöchentlich „voll“ gesichert werden. Es gibt ein Datensicherungskonzept, das auch das erfolgreiche Testen der Wiederherstellung von Daten beinhaltet. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 11 von 12
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Die Auftragnehmerin trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforde- rungen der DSGVO entspricht. Dies beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maß- nahmen zum Schutz personenbezogener Daten und ggf. der Anpassung. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und un- verzüglich der Auftraggeberin gemeldet werden, wenn diese Vorfälle Daten betreffen, die im Rah- men der Auftragsverarbeitung für die Auftraggeberin verarbeitet werden. Auftragskontrolle Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auf- tragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Etwaige nach Art. 25 DSGVO erforderliche Maßnahmen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch die Auftraggeberin sind von der Auftraggeberin zu treffen bzw. durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin festzulegen. NDA IP VPN, Version 1.1 Datum: 28.02.2019 Seite 12 von 12
Sie können auch lesen