Mikogo

Vertrag zur Auftragsverarbeitung

Anlage 1 zu den AGB: Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

Verein­ba­rung zwischen dem Kunden – Verant­wort­li­cher – nach­ste­hend Auftrag­geber genannt – und der BSI Busi­ness Systems Inte­gra­tion Deutsch­land GmbH – Auftrags­ver­ar­beiter – nach­ste­hend Auftrag­nehmer genannt.

1. Gegenstand und Dauer des Auftrags

(1) Der Gegen­stand des Auftrags ergibt sich aus der Leis­tungs­ver­ein­ba­rung bei entgelt­li­chem Bezug der Soft­ware (Haupt­ver­trag), auf die hier verwiesen wird (im Folgenden Leis­tungs­ver­ein­ba­rung). (2) Die Dauer dieses Auftrags (Lauf­zeit) entspricht der Lauf­zeit der Leis­tungs­ver­ein­ba­rung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorge­se­henen Verar­bei­tung von Daten. Art und Zweck der Verar­bei­tung perso­nen­be­zo­gener Daten durch den Auftrag­nehmer für den Auftrag­geber sind konkret beschrieben in der Leis­tungs­ver­ein­ba­rung. Die Erbrin­gung der vertrag­lich verein­barten Haupt­leis­tung findet ausschließ­lich in einem Mitglieds­staat der Euro­päi­schen Union oder in einem anderen Vertrags­staat des Abkom­mens über den Euro­päi­schen Wirt­schafts­raum statt. Jede Verla­ge­rung in ein Dritt­land bedarf der vorhe­rigen Zustim­mung des Auftrag­ge­bers und darf nur erfolgen, wenn die beson­deren Voraus­set­zungen der Artt. 44 ff. DS-GVO erfüllt sind. (2) Art der Daten. Gegen­stand der Verar­bei­tung perso­nen­be­zo­gener Daten sind folgende Daten­ar­ten/-kate­go­rien: Perso­nen­stamm­daten, Kommu­ni­ka­ti­ons­daten (z.B. Telefon, E‑Mail), Vertrags­stamm­daten (Vertrags­be­zie­hung, Produkt- bzw. Vertrags­in­ter­esse), Vertrags­ab­rech­nungs- und Zahlungs­daten (Bank­ver­bin­dungs- und Konto­daten), Verbin­dungs­daten (Sitzungs­nummer, Sitzungs­pass­wort sofern vergeben, Start-Datum/-Uhrzeit, End-Datum/-Uhrzeit). (3) Kate­go­rien betrof­fener Personen. Die Kate­go­rien der durch die Verar­bei­tung betrof­fenen Personen umfassen Kunden, Inter­es­senten, Abon­nenten, Beschäf­tigte (Mitar­beiter, Bewerber, Auszu­bil­dende), Liefe­ranten, Handels­ver­treter und Ansprech­partner (bei Kunden, bei Inter­es­senten, bei Dienst­leis­tern).

3. Technisch-organisatorische Maßnahmen

(1) Der Auftrag­nehmer hat die Umset­zung der im Vorfeld der Auftrags­ver­gabe darge­legten und erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen vor Beginn der Verar­bei­tung, insbe­son­dere hinsicht­lich der konkreten Auftrags­durch­füh­rung zu doku­men­tieren und dem Auftrag­geber zur Prüfung zu über­geben. Bei Akzep­tanz durch den Auftrag­geber werden die doku­men­tierten Maßnahmen Grund­lage des Auftrags. Soweit die Prüfung/ein Audit des Auftrag­ge­bers einen Anpas­sungs­be­darf ergibt, ist dieser einver­nehm­lich umzu­setzen. (2) Der Auftrag­nehmer hat die Sicher­heit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbe­son­dere in Verbin­dung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzu­stellen. Insge­samt handelt es sich bei den zu tref­fenden Maßnahmen um Maßnahmen der Daten­si­cher­heit und zur Gewähr­leis­tung eines dem Risiko ange­mes­senen Schutz­ni­veaus hinsicht­lich der Vertrau­lich­keit, der Inte­grität, der Verfüg­bar­keit sowie der Belast­bar­keit der Systeme. Dabei sind der Stand der Technik, die Imple­men­tie­rungs­kosten und die Art, der Umfang und die Zwecke der Verar­bei­tung sowie die unter­schied­liche Eintritts­wahr­schein­lich­keit und Schwere des Risikos für die Rechte und Frei­heiten natür­li­cher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berück­sich­tigen [Einzel­heiten in Anlage 1]. (3) Die tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen unter­liegen dem tech­ni­schen Fort­schritt und der Weiter­ent­wick­lung. Inso­weit ist es dem Auftrag­nehmer gestattet, alter­na­tive adäquate Maßnahmen umzu­setzen. Dabei darf das Sicher­heits­ni­veau der fest­ge­legten Maßnahmen nicht unter­schritten werden. Wesent­liche Ände­rungen sind zu doku­men­tieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftrag­nehmer darf die Daten, die im Auftrag verar­beitet werden, nicht eigen­mächtig, sondern nur nach doku­men­tierter Weisung des Auftrag­ge­bers berich­tigen, löschen oder deren Verar­bei­tung einschränken. Soweit eine betrof­fene Person sich dies­be­züg­lich unmit­telbar an den Auftrag­nehmer wendet, wird der Auftrag­nehmer dieses Ersu­chen unver­züg­lich an den Auftrag­geber weiter­leiten. (2) Soweit vom Leis­tungs­um­fang umfasst, sind Lösch­kon­zept, Recht auf Verges­sen­werden, Berich­ti­gung, Daten­por­ta­bi­lität und Auskunft nach doku­men­tierter Weisung des Auftrag­ge­bers unmit­telbar durch den Auftrag­nehmer sicher­zu­stellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftrag­nehmer hat zusätz­lich zu der Einhal­tung der Rege­lungen dieses Auftrags gesetz­liche Pflichten gemäß Artt. 28 bis 33 DS-GVO; inso­fern gewähr­leistet er insbe­son­dere die Einhal­tung folgender Vorgaben: a) Schrift­liche Bestel­lung eines Daten­schutz­be­auf­tragten, der seine Tätig­keit gemäß Artt. 38 und 39 DS-GVO ausübt. Als Daten­schutz­be­auf­tragter ist beim Auftrag­nehmer Herr Sascha Weller, Rechts­an­walt, IDR Weller – Institut für Daten­schutz­recht, bestellt (Adresse: Ziegel­bräu­straße 7 in 85049 Ingol­stadt, Telefon: +49–89-5880–1133‑8, E‑Mail: dsb@snapview.de). Ein Wechsel des Daten­schutz­be­auf­tragten ist dem Auftrag­geber unver­züg­lich mitzu­teilen. b) Die Wahrung der Vertrau­lich­keit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftrag­nehmer setzt bei der Durch­füh­rung der Arbeiten nur Beschäf­tigte ein, die auf die Vertrau­lich­keit verpflichtet und zuvor mit den für sie rele­vanten Bestim­mungen zum Daten­schutz vertraut gemacht wurden. Der Auftrag­nehmer und jede dem Auftrag­nehmer unter­stellte Person, die Zugang zu perso­nen­be­zo­genen Daten hat, dürfen diese Daten ausschließ­lich entspre­chend der Weisung des Auftrag­ge­bers verar­beiten einschließ­lich der in diesem Vertrag einge­räumten Befug­nisse, es sei denn, dass sie gesetz­lich zur Verar­bei­tung verpflichtet sind. c) Die Umset­zung und Einhal­tung aller für diesen Auftrag erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzel­heiten in Anlage 1]. d) Der Auftrag­geber und der Auftrag­nehmer arbeiten auf Anfrage mit der Aufsichts­be­hörde bei der Erfül­lung ihrer Aufgaben zusammen. e) Die unver­züg­liche Infor­ma­tion des Auftrag­ge­bers über Kontroll­hand­lungen und Maßnahmen der Aufsichts­be­hörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zustän­dige Behörde im Rahmen eines Ordnungs­wid­rig­keits- oder Straf­ver­fah­rens in Bezug auf die Verar­bei­tung perso­nen­be­zo­gener Daten bei der Auftrags­ver­ar­bei­tung beim Auftrag­nehmer ermit­telt. f) Soweit der Auftrag­geber seiner­seits einer Kontrolle der Aufsichts­be­hörde, einem Ordnungs­wid­rig­keits- oder Straf­ver­fahren, dem Haftungs­an­spruch einer betrof­fenen Person oder eines Dritten oder einem anderen Anspruch im Zusam­men­hang mit der Auftrags­ver­ar­bei­tung beim Auftrag­nehmer ausge­setzt ist, hat ihn der Auftrag­nehmer nach besten Kräften zu unter­stützen. g) Der Auftrag­nehmer kontrol­liert regel­mäßig die internen Prozesse sowie die tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen, um zu gewähr­leisten, dass die Verar­bei­tung in seinem Verant­wor­tungs­be­reich im Einklang mit den Anfor­de­rungen des geltenden Daten­schutz­rechts erfolgt und der Schutz der Rechte der betrof­fenen Person gewähr­leistet wird. h) Nach­weis­bar­keit der getrof­fenen tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen gegen­über dem Auftrag­geber im Rahmen seiner Kontroll­be­fug­nisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unter­auf­trags­ver­hält­nisse im Sinne dieser Rege­lung sind solche Dienst­leis­tungen zu verstehen, die sich unmit­telbar auf die Erbrin­gung der Haupt­leis­tung beziehen. Nicht hierzu gehören Neben­leis­tungen, die der Auftrag­nehmer z.B. als Tele­kom­mu­ni­ka­ti­ons­leis­tungen, Post-/Trans­port­dienst­leis­tungen, Wartung und Benut­zer­ser­vice oder die Entsor­gung von Daten­trä­gern sowie sons­tige Maßnahmen zur Sicher­stel­lung der Vertrau­lich­keit, Verfüg­bar­keit, Inte­grität und Belast­bar­keit der Hard- und Soft­ware von Daten­ver­ar­bei­tungs­an­lagen in Anspruch nimmt. Der Auftrag­nehmer ist jedoch verpflichtet, zur Gewähr­leis­tung des Daten­schutzes und der Daten­si­cher­heit der Daten des Auftrag­ge­bers auch bei ausge­la­gerten Neben­leis­tungen ange­mes­sene und geset­zes­kon­forme vertrag­liche Verein­ba­rungen sowie Kontroll­maß­nahmen zu ergreifen. (2) Der Auftrag­geber stimmt der Beauf­tra­gung der nach­fol­genden Unter­auf­trag­nehmer zu unter der Bedin­gung einer vertrag­li­chen Verein­ba­rung nach Maßgabe des Art. 28 Abs. 2–4 DS-GVO: 
Firma Unter­auf­trag­nehmer Sitz/Land Leis­tung
Plus­Server GmbH Köln, Deutsch­land Server Hosting
filoo GmbH Gütersloh, Deutsch­land Server Hosting
grids­cale GmbH Köln, Deutsch­land Managed Service/PaaS & IaaS Cloud Hosting
(3) Die Ausla­ge­rung auf Unter­auf­trag­nehmer oder der Wechsel des bestehenden Unter­auf­trag­neh­mers sind zulässig, soweit zwischen dem Auftrag­nehmer und dem Unter­auf­trag­nehmer eine vertrag­liche Verein­ba­rung nach Maßgabe des Art. 28 Abs. 2–4 DS-GVO zugrunde gelegt wird und der Auftrag­nehmer eine solche Ausla­ge­rung auf Unter­auf­trag­nehmer dem Auftrag­geber vorab schrift­lich oder in Text­form anzeigt und der Auftrag­geber aus wich­tigem Grund nicht inner­halb von 14 Tagen gegen­über dem Auftrag­nehmer schrift­lich oder in Text­form Einspruch gegen die geplante Ausla­ge­rung erhebt. Das Unter­lassen des Einspruchs durch den Auftrag­geber inner­halb der vorge­nannten Zeit gilt als Zustim­mung zur Beauf­tra­gung des neuen Unter­auf­trag­neh­mers. Dem Auftrag­geber ist bekannt, dass die Nicht-Beauf­tra­gung eines neuen Unter­auf­trag­neh­mers zu einer Verspä­tung oder Nicht-Erbrin­gung der Leis­tungen und erhöhten Vergü­tung führen kann. Der Auftrag­nehmer wird den Auftrag­geber schrift­lich oder in Text­form über jede Beein­träch­ti­gung der Leis­tungen oder Erhö­hung der Vergü­tung infor­mieren, die aus einem Einspruch des Auftrag­ge­bers zur Beauf­tra­gung des neuen Unter­auf­trag­neh­mers folgt. Der Auftrag­geber kann dann entweder eine schrift­liche Ergän­zung des Vertrages abschließen, um der Ände­rung zu entspre­chen oder den Vertrag nach den im Vertrag vorge­se­henen Bestim­mungen kündigen. Eine solche Kündi­gung stellt keine Kündi­gung aus wich­tigem Grund oder wegen einer Vertrags­ver­let­zung dar. (4) Die Weiter­gabe von perso­nen­be­zo­genen Daten des Auftrag­ge­bers an den Unter­auf­trag­nehmer und dessen erst­ma­liges Tätig­werden sind erst mit Vorliegen aller Voraus­set­zungen für eine Unter­be­auf­tra­gung gestattet. (5) Erbringt der Unter­auf­trag­nehmer die verein­barte Leis­tung außer­halb der EU/des EWR stellt der Auftrag­nehmer die daten­schutz­recht­liche Zuläs­sig­keit durch entspre­chende Maßnahmen sicher. Glei­ches gilt, wenn Dienst­leister im Sinne von Abs. 1 Satz 2 einge­setzt werden sollen. (6) Eine weitere Ausla­ge­rung durch den Unter­auf­trag­nehmer bedarf der ausdrück­li­chen Zustim­mung des Haupt­auf­trag­neh­mers (mind. Text­form); sämt­liche vertrag­li­chen Rege­lungen in der Vertrags­kette sind auch dem weiteren Unter­auf­trag­nehmer aufzu­er­legen.

7. Kontrollrechte des Auftraggebers

(1) Der Auftrag­geber hat das Recht, im Benehmen mit dem Auftrag­nehmer Über­prü­fungen durch­zu­führen oder durch im Einzel­fall zu benen­nende Prüfer durch­führen zu lassen. Er hat das Recht, sich durch Stich­pro­ben­kon­trollen, die in der Regel recht­zeitig anzu­melden sind, von der Einhal­tung dieser Verein­ba­rung durch den Auftrag­nehmer in dessen Geschäfts­be­trieb zu über­zeugen. (2) Der Auftrag­nehmer stellt sicher, dass sich der Auftrag­geber von der Einhal­tung der Pflichten des Auftrag­neh­mers nach Art. 28 DS-GVO über­zeugen kann. Der Auftrag­nehmer verpflichtet sich, dem Auftrag­geber auf Anfor­de­rung die erfor­der­li­chen Auskünfte zu erteilen und insbe­son­dere die Umset­zung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen nach­zu­weisen. (3) Der Nach­weis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhal­tung geneh­migter Verhal­tens­re­geln gemäß Art. 40 DS-GVO, oder durch Zerti­fi­zie­rung nach einem geneh­migten Zerti­fi­zie­rungs­ver­fahren gemäß Art. 42 DS-GVO; oder durch aktu­elle Testate, Berichte oder Berichts­aus­züge unab­hän­giger Instanzen (z.B. Wirt­schafts­prüfer, Revi­sion, Daten­schutz­be­auf­tragter, IT-Sicher­heits­ab­tei­lung, Daten­schutz­au­di­toren, Quali­täts­au­di­toren); oder durch eine geeig­nete Zerti­fi­zie­rung durch IT-Sicher­heits- oder Daten­schutz­audit (z.B. nach BSI-Grund­schutz). (4) Für die Ermög­li­chung von Kontrollen durch den Auftrag­geber kann der Auftrag­nehmer einen Vergü­tungs­an­spruch geltend machen.

8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftrag­nehmer unter­stützt den Auftrag­geber bei der Einhal­tung der in den Arti­keln 32 bis 36 der DS-GVO genannten Pflichten zur Sicher­heit perso­nen­be­zo­gener Daten, Melde­pflichten bei Daten­pannen, Daten­schutz-Folge­ab­schät­zungen und vorhe­rige Konsul­ta­tionen. Hierzu gehören u.a. a) die Sicher­stel­lung eines ange­mes­senen Schutz­ni­veaus durch tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen, die die Umstände und Zwecke der Verar­bei­tung sowie die prognos­ti­zierte Wahr­schein­lich­keit und Schwere einer mögli­chen Rechts­ver­let­zung durch Sicher­heits­lü­cken berück­sich­tigen und eine sofor­tige Fest­stel­lung von rele­vanten Verlet­zungs­er­eig­nissen ermög­li­chen b) die Verpflich­tung, Verlet­zungen perso­nen­be­zo­gener Daten unver­züg­lich an den Auftrag­geber zu melden c) die Verpflich­tung, dem Auftrag­geber im Rahmen seiner Infor­ma­ti­ons­pflicht gegen­über dem Betrof­fenen zu unter­stützen und ihm in diesem Zusam­men­hang sämt­liche rele­vante Infor­ma­tionen unver­züg­lich zur Verfü­gung zu stellen d) die Unter­stüt­zung des Auftrag­ge­bers für dessen Daten­schutz-Folgen­ab­schät­zung e) die Unter­stüt­zung des Auftrag­ge­bers im Rahmen vorhe­riger Konsul­ta­tionen mit der Aufsichts­be­hörde (2) Für Unter­stüt­zungs­leis­tungen, die nicht in der Leis­tungs­be­schrei­bung enthalten oder nicht auf ein Fehl­ver­halten des Auftrag­neh­mers zurück­zu­führen sind, kann der Auftrag­nehmer eine Vergü­tung bean­spru­chen.

9. Weisungsbefugnis des Auftraggebers

(1) Münd­liche Weisungen bestä­tigt der Auftrag­geber unver­züg­lich (mind. Text­form). (2) Der Auftrag­nehmer hat den Auftrag­geber unver­züg­lich zu infor­mieren, wenn er der Meinung ist, eine Weisung verstoße gegen Daten­schutz­vor­schriften. Der Auftrag­nehmer ist berech­tigt, die Durch­füh­rung der entspre­chenden Weisung solange auszu­setzen, bis sie durch den Auftrag­geber bestä­tigt oder geän­dert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Dupli­kate der Daten werden ohne Wissen des Auftrag­ge­bers nicht erstellt. Hiervon ausge­nommen sind Sicher­heits­ko­pien, soweit sie zur Gewähr­leis­tung einer ordnungs­ge­mäßen Daten­ver­ar­bei­tung erfor­der­lich sind, sowie Daten, die im Hinblick auf die Einhal­tung gesetz­li­cher Aufbe­wah­rungs­pflichten erfor­der­lich sind. (2) Nach Abschluss der vertrag­lich verein­barten Arbeiten oder früher nach Auffor­de­rung durch den Auftrag­geber – spätes­tens mit Been­di­gung der Leis­tungs­ver­ein­ba­rung – hat der Auftrag­nehmer sämt­liche in seinen Besitz gelangten Unter­lagen, erstellte Verar­bei­tungs- und Nutzungs­er­geb­nisse sowie Daten­be­stände, die im Zusam­men­hang mit dem Auftrags­ver­hältnis stehen, dem Auftrag­geber auszu­hän­digen oder nach vorhe­riger Zustim­mung daten­schutz­ge­recht zu vernichten. Glei­ches gilt für Test- und Ausschuss­ma­te­rial. Das Proto­koll der Löschung ist auf Anfor­de­rung vorzu­legen. (3) Doku­men­ta­tionen, die dem Nach­weis der auftrags- und ordnungs­ge­mäßen Daten­ver­ar­bei­tung dienen, sind durch den Auftrag­nehmer entspre­chend der jewei­ligen Aufbe­wah­rungs­fristen über das Vertrags­ende hinaus aufzu­be­wahren. Er kann sie zu seiner Entlas­tung bei Vertrags­ende dem Auftrag­geber über­geben.

Anlage: Technisch-organisatorische Maßnahmen

1. Vertrau­lich­keit (Art. 32 Abs. 1 lit. b DS-GVO) Zutritts­kon­trolle Maßnahmen der Zutritts­kon­trolle, die es Unbe­fugten verwehren, sich den Daten­ver­ar­bei­tungs­an­lagen physisch zu nähern: 
  • Räum­lich­keiten nur Befugten und anderen Personen in Beglei­tung zugänglich
  • abschließ­bare Räum­lich­keiten mit einem manu­ellen Schließ­system wobei nur Mitar­beiter und Reini­gungs­per­sonal über einen Schlüssel verfügen
  • Schlüssel­emp­fang bei Eintritt und Austritt aus dem Unter­nehmen werden quittiert
  • sorg­fäl­tige Auswahl von Reinigungspersonal
Zugangs­kon­trolle Maßnahmen der Zugangs­kon­trolle, die verhin­dern, dass Daten­ver­ar­bei­tungs­sys­teme von Unbe­fugten genutzt werden können: 
  • Zuord­nung von Benutzerrechten
  • Pass­wort­ver­gabe, Authen­ti­fi­ka­tion mit Benut­zer­name und Pass­wort, vertrau­liche Behand­lung von Passwörtern
  • Richt­linie zur Pass­wort­bil­dung für Server
  • Schlüs­sel­re­ge­lung
  • Einsatz von Anti-Viren-Software
  • Erstellen von Benut­zer­pro­filen, Einsatz von VPN-Tech­no­logie; Einsatz einer Software-Firewall
  • Berech­ti­gungs­ver­gabe und deren Doku­men­ta­tion durch den Manager IT Opera­tions gemäß den Weisungen der Geschäftsführung
Zugriffs­kon­trolle Maßnahmen der Zugriffs­kon­trolle, die gewähr­leisten, dass die zur Benut­zung eines Daten­ver­ar­bei­tungs­sys­tems Berech­tigten ausschließ­lich auf die ihrer Zugriffs­be­rech­ti­gung unter­lie­genden Daten zugreifen können: 
  • Berech­ti­gungs­kon­zept
  • Anzahl der Admi­nis­tra­toren auf das Notwen­digste reduziert
  • physi­sche Löschung von Daten­trä­gern vor Wieder­ver­wen­dung; Einsatz von Aktenvernichtern
  • Verwal­tung der Rechte durch Systemadministratoren
  • Ordnungs­ge­mäße Vernich­tung von Datenträgern
Tren­nungs­kon­trolle Maßnahmen zur Tren­nungs­kon­trolle zur Gewähr­leis­tung, dass perso­nen­be­zo­genen Daten so von anderen Daten und Systemen getrennt sind und dadurch eine unge­plante Verwen­dung dieser Daten zu anderen Zwecken ausge­schlossen ist: 
  • Logisch getrennte Spei­che­rung auf geson­derten Systemen oder Datenträgern
  • Erstel­lung eines Berechtigungskonzepts
  • Tren­nung von Produktiv- und Testsystem
Pseud­ony­mi­sie­rung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Die Verar­bei­tung perso­nen­be­zo­gener Daten in einer Weise, dass die Daten ohne Hinzu­zie­hung zusätz­li­cher Infor­ma­tionen nicht mehr einer spezi­fi­schen betrof­fenen Person zuge­ordnet werden können, sofern diese zusätz­li­chen Infor­ma­tionen geson­dert aufbe­wahrt werden und entspre­chende tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen unterliegen: 
  • Die in der Leis­tungs­ver­ein­ba­rung beschrie­benen Systeme können von den Gesprächs­part­nern mit Pseud­onymen verwendet werden („Privacy by Default“).
2. Inte­grität (Art. 32 Abs. 1 lit. b DS-GVO) Weiter­ga­be­kon­trolle Maßnahmen der Weiter­ga­be­kon­trolle, die bei der Über­mitt­lung oder beim Trans­port von perso­nen­be­zo­genen Daten einge­setzt werden, um unbe­rech­tigte Zugriffe, insbe­son­dere zum Lesen, Kopieren, Verän­dern oder Entfernen dieser Daten zu vermeiden: 
  • Einrich­tung von VPN-Tunneln (Virtual Private Networks)
  • beim physi­schen Trans­port: sorg­fäl­tige Auswahl von Trans­port­per­sonal und Trans­port­fahr­zeugen sowie Quit­tie­rung der Abho­lung und des Empfangs
  • perso­nen­be­zo­gene Daten werden nur verschlüs­selt über­tragen bzw. übermittelt
Einga­be­kon­trolle Maßnahme der Einga­be­kon­trolle zur Fest­stel­lung, wer perso­nen­be­zo­gene Daten in Systeme einge­geben, geän­dert oder entfernt hat: 
  • Zugriffe, insbe­son­dere bei der Eingabe, Ände­rung und Löschung von Daten, sowie fehl­ge­schla­gene Anmel­de­ver­suche werden protokolliert
  • ein mehr­stu­figes Berech­ti­gungs­kon­zept sorgt dafür, dass unter­schied­liche Benutzer unter­schied­liche Rechte zur Eingabe, Ände­rung und Löschung von Daten haben
  • Zugriff erfolgt mittels indi­vi­du­eller Benut­zer­namen und Passwörter
3. Verfüg­bar­keit und Belast­bar­keit (Art. 32 Abs. 1 lit. b DS-GVO) Verfüg­bar­keits­kon­trolle Maßnahmen der Verfüg­bar­keits­kon­trolle gegen einen zufäl­ligen Verlust oder eine zufäl­lige Zerstö­rung von elek­tro­ni­schen Daten, Akten und Datenträgern: 
  • Regel­mä­ßiges Testen von Datenwiederherstellung
  • Aufbe­wah­rung von Daten­si­che­rung an einem sicheren, ausge­la­gerten Ort
  • Erstellen eines Backup- & Recoverykonzepts
Rasche Wieder­her­stell­bar­keit (Art. 32 Abs. 1 lit. c DS-GVO);
  • Redun­dante Systeme
  • Load-Balan­cing
  • Fort­lau­fende Backups
  • Laufendes Moni­to­ring der Systeme mit Benach­rich­ti­gung bei Ausfällen
4. Verfahren zur regel­mä­ßigen Über­prü­fung, Bewer­tung und Evalu­ie­rung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) Daten­schutz-Manage­ment; Inci­dent-Response-Manage­ment; Daten­schutz­freund­liche Vorein­stel­lungen (Art. 25 Abs. 2 DS-GVO); Auftrags­kon­trolle Maßnahmen der Auftrags­kon­trolle, die gewähr­leisten, dass perso­nen­be­zo­gene Daten, die im Auftrag verar­beitet werden, nur entspre­chend den Weisungen der Auftrag­ge­berin verar­beitet werden können 
  • Auswahl des Auftrag­neh­mers unter Sorg­falts­ge­sichts­punkten (insbe­son­dere hinsicht­lich Datensicherheit)
  • schrift­liche Weisungen an den Auftrag­nehmer (z.B. durch Vertrag zur Auftragsverarbeitung)
  • Verpflich­tung der Mitar­beiter des Auftrag­neh­mers auf das Datengeheimnis
  • Vergabe von Rechten zur Eingabe
  • forma­li­siertes Auftragsmanagement
  • Vorab­über­zeu­gungs­pflicht
  • Nach­kon­trollen
Datum: 2022-08-05