Merkblatt zur Verarbeitung personenbezogener Daten im Auftrag · 2021. 1. 8. · P408-V009-BoAG-AVV fl Sie haben von uns eine Vereinbarung zur Verarbeitung personen-bezogener Daten

P408

-V00

9-Bo

AG

-AV

V

�

Sie haben von uns eine Vereinbarung zur Verarbeitung personen-bezogener Daten im Auftrag erhalten – ein umfangreiches Doku-ment, zu dem wir Ihnen in diesem Merkblatt einige Erläuterungen zusammengestellt haben. Das Wichtigste vorweg:

1. Die Vereinbarung zur Verarbeitung personenbezogener Da-ten im Auftrag enthält keine Änderung unserer vertraglichen Leistungen – auf diese können Sie sich in gewohnter Qualität uneingeschränkt verlassen.2. Das Gesetz verpflichtet uns - Sie als unseren Kunden und uns, die Bornemann AG - dazu, eine Vereinbarung zur Verar-beitung personenbezogener Daten im Auftrag in schriftlicher Form abzuschließen. Ohne eine solche Vereinbarung setzen Sie sich und wir uns dem Risiko empfindlicher Bußgelder und Schadensersatzforderungen aus.

Dieses Risiko sollten wir unbedingt ausschließen! Senden Sie die Vereinbarung zur Verarbeitung personenbezogener Daten im Auf-trag also bitte unverzüglich unterzeichnet an uns zurück.

Sollten Sie Fragen haben, zögern Sie nicht, Ihren Ansprechpart-ner bei der Bornemann AG oder unseren betrieblichen Da-tenschutzbeauftragten, E-Mail: [email protected] zu kontaktieren.

Datenschutz schützt das PersönlichkeitsrechtDie Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag dient – wie das gesamte Datenschutzrecht – dem Schutz des Persönlichkeitsrechts derjenigen Menschen, auf die sich die Daten beziehen. Diese Menschen nennt das Gesetz „betroffene Personen“. Das können z.B. Ihre Kunden oder Mitarbeiter sein. Das Persönlichkeitsrecht gibt jedem Menschen das Recht, grundsätz-lich selbst darüber zu entscheiden, wer was über ihn wissen darf. Beispielsweise darf jeder Ihrer Mitarbeiter grundsätzlich selbst entscheiden, wer erfahren soll, wo er sich gerade befindet, und Ihre Kunden dürfen entscheiden, wer von der Vertragsbeziehung zu Ihnen wissen darf. Es ist deren Entscheidung, ob das geheim bleibt oder sie es bei medial verbreiten.

Ausnahmen, in denen nicht nur der Wille des Betroffenen gilt, muss es natürlich geben – aber jede Ausnahme braucht nach dem Gesetz eine Rechtfertigung. Das kann nach der Regelung in Art. 6 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) entweder ein Gesetz sein oder die (freiwillige) Einwilligung des Betroffenen. Der Einsatz unserer Produkte und Dienstleistungen in Ihrem Unter-nehmen lässt sich nach diesen Vorschriften datenschutzkonform gestalten.

Der Begriff „personenbezogene Daten“Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, Art. 4 Nr. 1 DS-GVO. Personenbezogen kann also die Angabe sein, dass je-mand Kunde Ihres Unternehmens ist, wo er wohnt, welche Vor-lieben er hat, wo er sich befindet oder wie viel Geld er auf dem Konto hat. Personenbezogenes Datum kann aber auch schon die Angabe sein, dass sich das Fahrzeug mit dem Kennzeichen „BO-AG 2018“ zu einem bestimmten Zeitpunkt an einem bestimmten Ort befunden hat. Denn obwohl hier kein Name genannt wird, ist einfach zu ermitteln, wer das betreffende Fahrzeug zum fragli-chen Zeitpunkt benutzt hat: Es handelt sich um Angaben zu einer „identifizierbaren“ Person.

Als identifizierbar wird eine natürliche Person angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standort-

daten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirt-schaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Das heißt, dass eine Person schon dann identifizier-bar ist und Daten also schon dann personenbezogen sind, wenn man – eigene und fremde – Informationen kombinieren kann und dadurch erfährt, um wen es sich handelt. Das geht in Zeiten von Big Data sehr viel einfacher als man denkt – der Begriff des perso-nenbezogenen Datums ist daher sehr weit.

Verarbeitung personenbezogener Daten im AuftragNun zum Kern unseres Anliegens: Mit unseren Produkten und Dienstleistungen ist es Ihnen möglich, personenbezogene Daten Ihrer Kunden oder Mitarbeiter in datenschutzkonformer Art und Weise zu verarbeiten. Diese Daten aber machen Sie auch uns zugänglich, und dies bedarf nochmals einer besonderen Recht-fertigung. Diese können wir nur über den Abschluss einer Verein-barung zur Verarbeitung personenbezogener Daten im Auftrag erreichen. Denn in dieser Vereinbarung geben wir als Bornemann AG Ihnen eine Reihe von verbindlichen Zusagen, die den Umgang mit personenbezogenen Daten betreffen.

Mit dieser Vereinbarung stellen wir auf diese Art und Weise si-cher, dass wir die Daten Ihrer Mitarbeiter oder Kunden nur zu be-stimmten Zwecken (z.B. Datenmigrationen, Hosting, Support o.ä.) verarbeiten. Wir dürfen diese Daten auch nur zu diesen Zwecken und ausschließlich entsprechend Ihren Weisungen verarbeiten. Diese zweck- und weisungsgebundene Datenverarbeitung nennt man Auftragsverarbeitung. Im Rahmen einer solchen Auftrags-verarbeitung ist es gesetzlich vorgeschrieben, dass wir nur solche Personen mit der Datenverarbeitung betrauen dürfen, die vorher zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 Satz 2 lit. b DS-GVO). Diese gesetzliche Vorgabe halten wir selbstverständ-lich ein, was Sie im Rahmen der Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag auch überprüfen können.

Unsere Zusagen im Rahmen der AuftragsverarbeitungIm Rahmen der Vereinbarung zur Verarbeitung personenbezoge-ner Daten im Auftrag machen wir Ihnen eine Vielzahl verbindli-cher Zusagen zum Umgang mit personenbezogenen Daten Ihrer Kunden und Mitarbeiter, die wir von Ihnen erhalten. Hier nur eine beispielhafte Auflistung. Wir sagen Ihnen zu, …

• … dass wir personenbezogene Daten ausschließlich inner-halb Europas verarbeiten, also ausschließlich in solchen Staaten, in denen dieselben strengen rechtlichen Vorgaben zum Datenschutz herrschen wie in Deutschland.

• … dass Sie über dokumentierte Weisungen jederzeit Einfluss darauf nehmen können, wie wir mit personenbezogenen Da-ten umgehen, die wir in Ihrem Auftrag verarbeiten. Hierfür haben wir ein spezielles Verfahren vorgesehen.

• … dass wir die datenschutzkonforme Verarbeitung perso-nenbezogener Daten innerhalb unseres Unternehmens jeder-zeit überprüfen werden.

• … dass wir Sie in vielerlei Hinsicht dabei unterstützen, dass auch Sie in Fragen des Datenschutzes gewappnet sind, z.B. bei Kontrollen durch Aufsichtsbehörden, Anfragen betroffe-ner Personen oder beim datenschutzkonformen Einsatz un-serer Produkte und Dienstleistungen generell.

• … dass wir nur mit Ihrer Zustimmung unsererseits Daten an Unterauftragnehmer weitergeben bzw. diesen Daten zu-gänglich machen werden.

Merkblattzur Verarbeitung personenbezogener Daten im Auftrag

Seite 1 von 4

P408

-V00

9-Bo

AG

-AV

V

�

Die Regelungen im Detail können Sie dem Text der Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag entneh-men.

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsin-struments nach dem Unionsrecht oder dem Recht der Mitglied-staaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der per-sonenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbe-sondere vor, dass der Auftragsverarbeiter

a. die personenbezogenen Daten nur auf dokumentierte Wei-sung des Verantwortlichen – auch in Bezug auf die Über-mittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Inter-esses verbietet;

b. b) gewährleistet, dass sich die zur Verarbeitung der perso-nenbezogenen Daten befugten Personen zur Vertraulich-keit verpflichtet haben oder einer angemessenen gesetzli-chen Verschwiegenheitspflicht unterliegen;

c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;d. die in den Absätzen 2 und 4 genannten Bedingungen für

die Inanspruchnahme der Dienste eines weiteren Auftrags-verarbeiters einhält;

e. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organi-satorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nach-zukommen;

f. f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Ver-antwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;

g. g) nach Abschluss der Erbringung der Verarbeitungsleis-tungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitglied-staaten eine Verpflichtung zur Speicherung der personen-bezogenen Daten besteht;

h. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel nie-dergelegten Pflichten zur Verfügung stellt und Überprüfun-gen – einschließlich Inspektionen –, die vom Verantwortli-chen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftrags-verarbeiter den Verantwortlichen unverzüglich, falls er der Auf-fassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mit-gliedstaaten verstößt.(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungs-tätigkeiten im Namen des Verantwortlichen auszuführen, so wer-den diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Da-tenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auf-tragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbeson-

Was Sie uns noch mitteilen müssen!

Der Vereinbarung zur Auftragsverarbeitung beigefügt fin-den Sie die Anlage 1. Hier sind Sie noch einmal gefordert und müssen uns in dieser Anlage mitteilen, welche Daten Sie uns konkret zur Verfügung stellen und wen diese Daten betreffen

In der Anlage 1 finden Sie einige Hinweise zum Ausfüllen die-ser Anlage.

Folgen von VerstößenVerstöße gegen das Datenschutzrecht können für Sie und auch für uns schwerwiegende Folgen haben. Viele Verstöße gegen das Datenschutzrecht können mit Bußgeldern geahndet werden. Die-ses Bußgeld kann bis zu 20 Mio. EUR pro Verstoß betragen. Und allein die Tatsache, dass wir unsere Leistungen für Sie erbringen, ohne dass wir eine schriftliche Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag abgeschlossen haben, ist mit einem Bußgeld von bis zu 10 Mio. EUR bedroht.

Jede betroffene Person kann außerdem Schadensersatz für eine unzulässige oder unrichtige Verwendung ihrer Daten verlangen. Dieser Schadensersatzanspruch schließt den sogenannten imma-teriellen Schaden mit ein, also eine Art „Schmerzensgeld“ für die durch die unberechtigte Datenverarbeitung erlittenen Nachteile (Art. 82 Abs. 1 DS-GVO).

Unabhängig davon kann es schwere Reputationsschäden für Sie und auch für uns verursachen, wenn eine gesetzeswidrige Daten-verarbeitung öffentlich bekannt wird. Kunden verlieren das Ver-trauen und beauftragen unsere Unternehmen nicht mehr, wenn sie nicht sicher sein können, dass ihre Daten bei unseren Unterneh-men in guten Händen sind. Bitte helfen Sie mit, dass es dazu nicht kommt und senden Sie die Vereinbarung zur Verarbeitung perso-nenbezogener Daten im Auftrag unterzeichnet an uns zurück!

Die relevanten gesetzlichen Vorschriften sind die Artt. 28, 82, 83 DS-GVO sowie § 41 BDSG 2018, die wir hier noch einmal für Sie wiedergeben:

Artikel 28 DS-GVOAuftragsverarbeiter(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organi-satorische Maßnahmen so durchgeführt werden, dass die Verar-beitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person ge-währleistet.(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsver-arbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftrags-verarbeiter den Verantwortlichen immer über jede beabsichtig-te Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

Seite 2 von 4

P408

-V00

9-Bo

AG

-AV

V

�

dere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbei-ters.(5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Ar-tikel 42 durch einen Auftragsverarbeiter kann als Faktor herange-zogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.(6) Unbeschadet eines individuellen Vertrags zwischen dem Ver-antwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Ab-sätzen 7 und 8 des vorliegenden Artikels genannten Standardver-tragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Arti-keln 42 und 43 erteilten Zertifizierung sind.(7) Die Kommission kann im Einklang mit dem Prüfverfahren ge-mäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.(8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzver-fahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.(10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverar-beiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbei-tung als Verantwortlicher.

Artikel 82 DS-GVOHaftung und Recht auf Schadenersatz(1) Jede Person, der wegen eines Verstoßes gegen diese Verord-nung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entspre-chende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferleg-ten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese An-weisungen gehandelt hat.(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftrags-verarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auf-tragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung ver-ursachten Schaden verantwortlich, so haftet jeder Verantwortli-che oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.(5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Ab-satz 4 vollständigen Schadenersatz für den erlittenen Schaden

gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteilig-ten für die Datenverarbeitung Verantwortlichen oder Auftrags-verarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.(6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Ar-tikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.

Artikel 83 DSGVOAllgemeine Bedingungen für die Verhängung von Geldbußen(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Ver-ordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.(2) Geldbußen werden je nach den Umständen des Einzelfalls zu-sätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a. Art, Schwere und Dauer des Verstoßes unter Berücksichti-gung der Art, des Umfangs oder des Zwecks der betreffen-den Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;c. jegliche von dem Verantwortlichen oder dem Auftragsver-

arbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d. d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e. etwaige einschlägige frühere Verstöße des Verantwortli-chen oder des Auftragsverarbeiters;

f. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachtei-ligen Auswirkungen zu mindern;

g. Kategorien personenbezogener Daten, die von dem Ver-stoß betroffen sind;

h. Art und Weise, wie der Verstoß der Aufsichtsbehörde be-kannt wurde, insbesondere ob und gegebenenfalls in wel-chem Umfang der Verantwortliche oder der Auftragsverar-beiter den Verstoß mitgeteilt hat;

i. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverar-beiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wur-den;

j. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k. jegliche anderen erschwerenden oder mildernden Umstän-de im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder

Seite 3 von 4

P408

-V00

9-Bo

AG

-AV

V

�

im Fall eines Unternehmens von bis zu 2 % seines gesamten welt-weit erzielten Jahresumsatzes des vorangegangenen Geschäfts-jahrs verhängt, je nachdem, welcher der Beträge höher ist:

a. die Pflichten der Verantwortlichen und der Auftragsverar-beiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b. die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c. die Pflichten der Überwachungsstelle gemäß Artikel 41 Ab-satz 4.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten welt-weit erzielten Jahresumsatzes des vorangegangenen Geschäfts-jahrs verhängt, je nachdem, welcher der Beträge höher ist:

a. die Grundsätze für die Verarbeitung, einschließlich der Be-dingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b. die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c. die Übermittlung personenbezogener Daten an einen Emp-fänger in einem Drittland oder an eine internationale Orga-nisation gemäß den Artikeln 44 bis 49;

d. alle Pflichten gemäß den Rechtsvorschriften der Mitglied-staaten, die im Rahmen des Kapitels IX erlassen wurden;

e. Nichtbefolgung einer Anweisung oder einer vorübergehen-den oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Ar-tikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde ge-mäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vor-liegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat nieder-gelassen sind, Geldbußen verhängt werden können.(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichts-behörde gemäß diesem Artikel muss angemessenen Verfahrens-garantien gemäß dem Unionsrecht und dem Recht der Mitglied-staaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.(9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geld-bußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffen-den Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes er-lassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.

§41 BDSG 2018Anwendung der Vorschriften über das Bußgeld- undStrafverfahren(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes be-stimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswid-rigkeiten finden keine Anwendung. § 68 des Gesetzes über Ord-nungswidrigkeiten findet mit der Maßgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Be-trag von einhunderttausend Euro übersteigt.(2) Für Verfahren wegen eines Verstoßes nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Ge-setz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 69 Absatz 4 Satz 2 des Gesetzes über Ord-nungswidrigkeiten findet mit der Maßgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der Auf-sichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.

Seite 4 von 4

P408

-V00

9-Bo

AG

-AV

V

�

Vertrag

über die Verarbeitungpersonenbezogener Daten im Auftrag

gemäß Art. 28 DS-GVO

zwischen

– nachfolgend „Auftraggeber“ genannt –

und

Bornemann AGIm Fliegerhorst 10, 38642 Goslar

– nachfolgend „Auftragnehmer“ genannt –

– nachstehend gemeinsam „Parteien“ genannt –

Seite 1 von 7

P408

-V00

9-Bo

AG

-AV

V

�

§1Vertragsgegenstand

Im Rahmen der Leistungserbringung nach den in der Anlage 1 im Einzelnen benannten Verträgen (nachfolgend „Vertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfol-gend „Auftraggeber-Daten“ genannt).

Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit „Auftraggeber-Daten“ zur Durchführung des „Vertrags“.

Verweise auf die Datenschutz-Grundverordnung (DS-GVO 1) und das Bundesdatenschutzgesetz 2018 (BDSG 2018 2) sind bis zum 24.05.2018 als Verweise auf das Bundesdatenschutzgesetz (BDSG 3) auszulegen. Sofern sich diese Vereinbarung auf Regelungen der DS-GVO bezieht, die über die Regelungen des BDSG hinausge-hen oder den Regelungen des BDSG widersprechen, findet die jeweilige Vertragsregelung bis zum 24.05.2018 keine Anwendung.

§2Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

1) Der Auftragnehmer verarbeitet die „Auftraggeber-Daten“ im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DS-GVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Ver-antwortlicher („Herr der Daten“).

2) Die Verarbeitung der „Auftraggeber-Daten“ im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der „Auftraggeber-Daten“ und die dort bestimmten Kate-gorien betroffener Personen.

3) Der Auftragnehmer darf die „Auftraggeber-Daten“ im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung der betroffenen Person das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die „Auftraggeber-Daten“ anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere für statistische Zwecke.

4) Die Verarbeitung der „Auftraggeber-Daten“ findet grundsätzlich im Gebiet der Bundesrepublik Deutsch-land, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Ab-kommens über den Europäischen Wirtschaftsraum statt.

5) Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung des „Vertrags“. Eine Kündigung des „Vertrags“ bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

§3Weisungsbefugnisse des Auftraggebers

1) Der Auftragnehmer verwendet die „Auftraggeber-Daten“ ausschließlich in Übereinstimmung mit den Wei-sungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)2 Bundesdatenschutzgesetz in der Fassung des Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, DSAnpUG-EU)3 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 mit den zuletzt in Kraft getretenen Änderungen Seite 2 von 7

P408

-V00

9-Bo

AG

-AV

V

�

nachfolgend beschriebenen Verfahrens, wenn nicht die Parteien im „Vertrag“ eine abweichende Regelung für ein Änderungsverfahren getroffen haben; in solchen Fällen geht die Regelung im „Vertrag“ in Abweichung von § 12 dieses Vertrags den nachfolgenden Bestimmungen vor.

a. Der Auftraggeber kann jederzeit mittels konkreter Einzelweisungen Änderungen und Ergänzungen der Auftragsverarbeitung durch den Auftragnehmer, insbesondere Änderungen und Ergänzungen der tech-nischen und organisatorischen Maßnahmen verlangen, wenn diese für den Auftragnehmer technisch umsetzbar und zumutbar sind. Der Auftragnehmer prüft solche Änderungsverlangen innerhalb von fünf Arbeitstagen nach Eingang und teilt dem Auftraggeber das Ergebnis zusammen mit den sich ggf. erge-benden einmaligen oder laufenden Mehrkosten und Umsetzungszeiträumen in Form eines verbindlichen Angebots mit.

b. Der Auftraggeber wird das Angebot innerhalb von fünf Werktagen ab Zugang des Angebots prüfen. Nimmt der Auftraggeber das Angebot an, so werden die Änderungen Vertragsbestandteil. Der Auf-tragnehmer wird ggf. die in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen er-gänzen. Nimmt der Auftraggeber das Angebot nicht an, werden die Parteien die Auftragsverarbeitung unverändert fortsetzen, wenn nicht dem Auftraggeber eine Fortsetzung unzumutbar ist.

c. Der Auftragnehmer wird während eines laufenden Änderungsverfahrens die Leistungen im Rahmen der Auftragsverarbeitung planmäßig weiterführen, es sei denn, der Auftraggeber weist ihn schriftlich an, dass die Auftragsverarbeitung bis zur Entscheidung über die Einzelweisung eingestellt oder einge-schränkt werden soll.

2) Einzelweisungen des Auftraggebers sind grundsätzlich schriftlich oder zumindest in Textform durch die hierzu befugten Personen des Auftraggebers zu erteilen. Mündliche Einzelweisungen bedürfen zu ihrer Wirk-samkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch den Auftraggeber. Un-beschadet dessen werden mündliche Einzelweisungen vom Auftragnehmer zur Sicherstellung der Identität des Erteilenden nur nach Nennung eines Kennworts angenommen; das Kennwort wird dem Auftraggeber unverzüglich nach Abschluss der vorliegenden Vereinbarung mitgeteilt. Der Auftraggeber ist selbst dafür verantwortlich dafür zu sorgen, dass das Kennwort lediglich solchen Personen bekannt ist, die zur Erteilung von Einzelweisungen gegenüber dem Auftragnehmer befugt sind.

3) Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber aus-zusetzen.

§4Pflichten des Auftraggebers

1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der „Auftraggeber-Daten“ sowie für die Wah-rung der Rechte der betroffenen Personen verantwortlich. Sollten Dritte oder betroffene Personen gegen den Auftragnehmer aufgrund der Verarbeitung von „Auftraggeber-Daten“ Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen, wenn und soweit den Auftragnehmer nicht gemäß Art. 82 DS-GVO eine eigene Haftung trifft.

2) Der Auftraggeber ist Eigentümer der „Auftraggeber-Daten“ und Inhaber aller etwaigen Rechte, die die „Auftraggeber-Daten“ betreffen.3) Dem Auftraggeber obliegt es, dem Auftragnehmer die „Auftraggeber-Daten“ rechtzeitig zur Leistungser-bringung nach dem „Vertrag“ zur Verfügung zu stellen, und er ist verantwortlich für die Qualität der „Auftrag-geber-Daten“. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

Seite 3 von 7

P408

-V00

9-Bo

AG

-AV

V

�

§5Pflichten des Auftragnehmers

1) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmen der Leistungserbringung nach dem „Vertrag“ in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.

2) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftrags-verarbeitung keine Kopien oder Duplikate der „Auftraggeber-Daten“ anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungs-gemäßen Erbringung der Leistungen gemäß des „Vertrages“ (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

3) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragneh-mer betreffen.

4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen Verpflichtungen gemäß Artt. 32 bis 36 DS-GVO, insbesondere bei einer Datenschutz-Folgenabschätzung des Auftraggebers inklusive einer etwa notwendigen vorherigen Konsultation der zuständigen Aufsichtsbehörde. Hierzu wird der Auf-tragnehmer dem Auftraggeber im Rahmen des Zumutbaren proaktiv Informationen zu den technischen und organisatorischen Maßnahmen sowie den von der Auftragsverarbeitung umfassten Datenverarbeitungsvor-gängen zur Verfügung stellen. Weitere Unterstützungsleistungen bedürfen der ausdrücklichen Vereinbarung der Parteien.

5) Der Auftragnehmer hat die bei der Verarbeitung von „Auftraggeber-Daten“ beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b) DS-GVO schriftlich zur Vertraulichkeit zu verpflichten.

6) Der Auftragnehmer hat einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten be-nannt, dessen Kontaktdaten leicht zugänglich auf der Webseite des Auftraggebers abrufbar sind. Der Auf-tragnehmer verpflichtet sich zur Benennung eines Datenschutzbeauftragten, solange die gesetzlichen Vor-aussetzungen für eine Benennungspflicht gegeben sind.

7) Der Auftragnehmer unterliegt der behördlichen Aufsicht sowie den Bußgeld- und Strafvorschriften in Artt. 82 bis 84 DS-GVO sowie in §§ 41 bis 43 BDSG.

§6Technische und organisatorische Maßnahmen

1) Der Auftragnehmer hat vor Beginn der Verarbeitung der „Auftraggeber-Daten“ die in Anlage 2 dieses Ver-trags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten. Hierbei handelt es sich um Maßnahmen der Datensicherheit und zur Gewähr-leistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungs-kosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahr-scheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologi-schen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maß-nahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht un-terschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragneh-mer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

Seite 4 von 7

P408

-V00

9-Bo

AG

-AV

V

�

§7Mitzuteilende Verstöße des Auftragnehmers

1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er eine Verletzung des Schutzes per-sonenbezogener Daten im Zusammenhang mit diesem Vertrag feststellt.

2) Soweit den Auftraggeber aufgrund eines Vorkommnisses nach § 7 Abs. 1 gesetzliche Informationspflichten wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen (insbesondere nach Art. 33 DS-GVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Er-suchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen.

§8Kontrollrechte des Auftraggebers

1) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von8.00 bis 17.00 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers, die Geschäftsräume des Auftragnehmers, in denen „Auftraggeber-Daten“ verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach § 8 Abs. 1 erfor-derlichen Zugangs-, Auskunfts- und Einsichtsrechte.

3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Ver-pflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäf-te des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten - es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen - zu Qualitäts-prüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auf-tragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

4) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren; insbesondere ist der Termin der Kontrolle mit dem Auftragnehmer abzustimmen. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen auch unangekündigt im Fall von besonderen Vorkommnissen durchzuführen.

5) Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 600,00 EUR netto (8 Stunden zu einem Stundensatz von 75,00 EUR netto) pro Kontrolle/pro Arbeitstag.

6) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von § 8 dieses Vertrags gegen-über dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarun-gen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragneh-mers mit der Kontrolle beauftragen.

7) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt durch eine Vor-Ort-Kontrolle auch durch die Einhaltung genehmig-

Seite 5 von 7

P408

-V00

9-Bo

AG

-AV

V

�

ter Verhaltensregeln gemäß Art. 40 DS-GVO, die Zertifizierung nach einem genehmigten Zertifizierungsver-fahren gemäß Art. 42 DS-GVO sowie die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Si-cherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit - z.B. nach BSI-Grundschutz - („Prüfungsbericht“) erbracht wer-den, wenn und soweit der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

§9Unterauftragsverhältnisse

1) Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von „Auftraggeber-Daten“ begründen. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Unterbeauftragung sowie jede Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern informie-ren, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Einen solchen Einspruch darf der Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden, Grund erheben. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung; das-selbe gilt für die Anlage 3 bezeichneten Unterauftragnehmer des Auftragnehmers zum Zeitpunkt des Ver-tragsschlusses.

2) Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer le-diglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem „Vertrag“ in Anspruch nimmt, auch wenn dabei ein Zugriff auf die „Auftraggeber-Daten“ nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste. Der Auftragnehmer wird mit sol-chen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen.

3) Zur Prüfung eines nach § 9 Abs. 1 möglichen Einspruchs hat der Auftragnehmer dem Auftraggeber auf Ver-langen eine Kopie der Vereinbarung zur Unterauftragsverarbeitung zur Verfügung zu stellen. Der Unterauf-tragsverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsverarbeitungsvertrag gegenüber dem Unterauf-tragnehmer eigene Kontrollrechte nach § 8 dieses Vertrags einzuräumen.

4) Die Regelungen in § 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der „Auftraggeber-Daten“ außerhalb des EWR verarbeitet, einen Vertrag unter Einbe-ziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverar-beiter in Drittländern vom 5.2.2010 oder ggf. später von der EU-Kommission oder der zuständigen Aufsichts-behörde erlassener Standarddatenschutzklauseln zu schließen (Art. 46 Abs. 1, 2 litt. c) und d), 5 DS-GVO). Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 46 DS-GVO im erforderli-chen Maße mitzuwirken.

§10Rechte der betroffenen Personen

1) Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber gel-tend zu machen.

2) Soweit eine betroffene Person sich zwecks Ausübung der ihr nach den Artt. 15 ff. DS-GVO zukommenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüg-lich an den Auftraggeber weiterleiten.

Seite 6 von 7

P408

-V00

9-Bo

AG

-AV

V

�

3) Für den Fall, dass eine betroffene Person die ihr nach den Artt. 15 ff. DS-GVO zukommenden Rechte geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Der Auftragnehmer erhält vom Auftraggeber eine Ent-schädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand in Höhe von 75,00 EUR netto/Stunde zzgl. der jeweils geltenden Umsatzsteuer. Im Falle der Abrechnung hat der Auftragnehmer einen Leistungs-nachweis über die erbrachte Tätigkeit zu erstellen.

4) Der Auftragnehmer wird es dem Auftraggeber ermöglichen, „Auftraggeber-Daten“ zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder die personenbezogenen Daten an die betroffene Person oder einen von dieser benannten Dritten herauszugeben oder auf Verlangen des Auftraggebers die Berichti-gung, Löschung, Einschränkung der Verarbeitung oder Datenübertragung selbst vornehmen, wenn und so-weit das dem Auftraggeber selbst unmöglich ist. Gesetzliche Pflichten, Datensätze nachträglich bis zum Ende gesetzlicher Aufbewahrungspflichten unveränderbar zu halten (z.B. elektronische Fahrtenbücher), bleiben unberührt. Der Auftragnehmer erhält vom Auftraggeber eine Entschädigung für seinen im Rahmen der Mit-wirkung anfallenden Aufwand in Höhe von 75,00 EUR netto/Stunde zzgl. der jeweils geltenden Umsatzsteuer. Im Falle der Abrechnung hat der Auftragnehmer einen Leistungsnachweis über die erbrachte Tätigkeit zu erstellen.

§11Rückgabe und Löschung überlassener Daten und Datenträger

1) Der Auftragnehmer hat sämtliche „Auftraggeber-Daten“ nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des „Vertrags“) zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch „Auftraggeber-Daten“ enthalten, an den Auftraggeber zurückzugeben.

2) Über eine Löschung bzw. Vernichtung von „Auftraggeber-Daten“ hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.

3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder ge-setzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbe-wahrungsfristen über das Vertragsende hinaus aufzubewahren.

§12Verhältnis zum „Vertrag“

Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des „Vertrags“. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbeson-dere aus dem „Vertrag“, gehen die Regelungen aus diesem Vertrag vor.

Seite 7 von 7

Anlagen:

Anlage 1: Zweck, Art und Umfang der Auftragsverarbeitung, Art der Daten und Kategorien betroffener PersonenAnlage 2: Technische und organisatorische Maßnahmen Bornemann AG Anlage 3: Genehmigte UnterauftragnehmerAnlage 4: Technische und organisatorische Maßnahmen des Rechenzentrumbetreibers (mdex)

Ort, Datum Ort, Datum

Unterschrift Auftragnehmer Unterschrift Auftraggeber

✕

P408

-V00

9-Bo

AG

-AV

V

�

1. Der Auftraggeber hat den Auftragnehmer mit der Erbringung von Leistungen beauftragt. Diese bestehen im Einzelnen aus den nachfolgenden Leistungen:

Anlage 1Zweck, Art und Umfang der Auftragsverarbeitung; Art der Daten und Kategorien betroffener Personen[Diese Angaben sind vom Auftraggeber auszufüllen]

Seite 1 von 1

Ort, Datum

Unterschrift Auftraggeber

✕

□ Ortungsdaten □ Personenstammdaten (Name, Anschrift, Geburtsdatum etc.) □ Kommunikationsdaten (wie z. B. Telefon, E-Mail) □ Vertragsstammdaten (Vertragsverhältnis, Produktinteresse

oder Vertragsinteresse)

□ Kundenhistorie □ Vertragliche Abrechnungs- und Zahlungsdaten □ Planungs- und Steuerungsdaten □ Auskunftsangaben (von „Dritten“, z. B. Auskunfteien, oder

aus öffentlichen Verzeichnissen)

[Zutreffendes bitte ankreuzen; z.B. wären anzukreuzen für den Fall eines Unternehmens, das Ortungsgeräte des Auftragnehmers be-schafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt und Supportleistungen des Auftragnehmers in Anspruch nimmt: Ortungsdaten (nämlich die über die Ortungsgeräte verarbeiteten Daten), Personenstammdaten und Kommunikationsdaten (nämlich der Ansprechpartner im Hause des Auftraggebers für die Vertrags- / Rechnungsabwicklung oder für konkrete Supportanfra-gen), Kundenhistorie (nämlich wenn und soweit auch diese Kontaktinformationen beinhalten)]

Der Umfang der Datenverarbeitung erstreckt sich dabei allein und ausschließlich auf das zur Erfüllung der Vertragspflichten Erforder-liche, also regelmäßig lediglich die Kenntnisnahme von Daten im Rahmen von Wartungs- und Supportarbeiten. Insbesondere ist jede Datenverarbeitung für eigene Zwecke des Auftragnehmers ausgeschlossen.

3. Folgende Kategorien betroffener Personen sind von der Auftragsverarbeitung umfasst:

□ Kunden □ Versicherte □ Patienten □ Interessenten

□ Abonnenten □ Beschäftigte i.S.d. § 26 Abs. 8 BDSG □ Lieferanten □ Handelsvertreter

[Zutreffendes bitte ankreuzen; z.B. wären anzukreuzen für den Fall eines Handwerksbetriebs, der Ortungsgeräte des Auftragnehmers beschafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt und Supportleistungen des Auftragnehmers in Anspruch nimmt: Kunden und Interessenten (jeweils über angefahrene Anschriften feststellbar), Beschäftigte (jedenfalls im Rahmen der Vertrags- / Rechnungsabwicklung oder über Supportanfragen mitgeteilt), u.U. auch Lieferanten und Handelsvertreter (wenn z.B. ebenfalls über Anschriften feststellbar); anders z.B. für den Fall eines mobilen Pflegedienstes, der Ortungsgeräte des Auftragnehmers beschafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt und Supportleistungen des Auftragnehmers in Anspruch nimmt: hier wären anstelle von Kunden Patienten auszuwählen.]

- Erhebung von GPS-Ortungsdaten

- Supportleistungen für GPS-Ortungsgeräte

- Hosting von Daten des Auftraggebers im Rechenzentrum

und sind in den Verträgen

Nutzungsvertrag vom

Nutzungsvertrag vom

Nutzungsvertrag vom

im Einzelnen spezifiziert.

2. Im Rahmen der Leistungserbringung nach den vorgenannten Verträgen besteht für den Auftragnehmer die Möglichkeit, zum Zwecke der Vertragserfüllung Einblick in und Zugriff auf folgende „Auftraggeber-Daten“ zu erhalten:

Seite 1 von 7P611-BoAG - Technische und organisatorische Maßnahmen - V 0.3

�

Technische und organisatorische Maßnahmen

der Bornemann AG

04.01.2021

V 0.3

�

Anlage 2Technische und organisatorische Maßnahmen Bornemann AG


�

Technische und organisatorische MaßnahmenÄnderungshistorie

Versionsnummer Vorgenommene Änderung Änderungsdatum Kürzel d. Mitarbeiters

V 0.1Erstellung der technischen und organisatorischen Maßnahmen

14.03.2016 NIE

V 0.2Überarbeitung der kompletten technischen und organi-satorischen Maßnahmen

28.07.2020 WDU

V 0.3Aktualisierung der technischen und organisatorischenMaßnahmen

04.01.2021 ULZ


�

Technische und organisatorische MaßnahmenDefi nitionen

AuftraggeberBei dem Auftraggeber im Sinne des Vertrages über die Verarbeitung personenbezogener Daten gemäß Art. 28 DS-GVO handelt es sich um den Kunden.

AuftragnehmerBei dem Auftragnehmer im Sinne des Vertrages über die Verarbeitung personenbezogener Daten gemäß Art. 28 DS-GVO handelt es sich um die Bornemann AG.

ZutrittskontrolleUnbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

ZugangskontrolleEs ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Zugriff skontrolleEs ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriff sbe-rechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

TrennungskontrolleEs ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

WeitergabekontrolleEs ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und fest-gestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

EingabekontrolleEs ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Daten-verarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

AuftragskontrolleEs ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auf-traggebers verarbeitet werden können.

VerfügbarkeitskontrolleEs ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.


�

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)01. ZutrittskontrolleIn den Niederlassungen der Bornemann AG sind die Türen und Tore der Gebäude mit Sicherheitsschlössern versehen. Türen und Fenster sind außerhalb der Betriebszeiten fest verschlossen.

Außerhalb der Betriebszeiten erfolgt eine Überwachung der Liegenschaften und der darauf befi ndlichen Gebäude mittels Videokame-ras, die außerhalb und innerhalb der Gebäude installiert sind. Die Videokameras verfügen über eine Motion-Detection-Funktion, mittels derer bei defi nierten Anlassarten (z.B. Perimeterschutz, Linienüberquerung, Einbruchserkennung usw.) eine Alarmmeldung an einen hierfür autorisierten Personenkreis versendet wird. Dieser Personenkreis kann per Fernzugriff auf die Livebilddateien der Videokameras zugreifen, die aktuelle Situation prüfen und ggf. Sicherheitskräfte informieren.

Zudem werden die Liegenschaften und Gebäude der Bornemann AG außerhalb der Betriebszeiten mehrfach in unregelmäßigen Ab-ständen durch einen privaten Sicherheitsdienst bestreift und kontrolliert.

Es existieren folgende Maßnahmen zur Zutrittskontrolle:a. Festlegung befugter Personen b. Vorhandensein von Regelungen für Firmenfremde c. Durchführung von Anwesenheitsaufzeichnungen d. Sicherung der Liegenschaften und Gebäude außerhalb der Betriebszeiten durch den Einsatz von Videotechnike. Mehrfache unregelmäßige Bestreifung und Kontrolle der Liegenschaften und Gebäude außerhalb der Betriebszeiten durch einen

privaten Sicherheitsdienstf. Einteilung der Unternehmensgebäude in unterschiedliche Sicherheitsbereiche (z.B. Verwaltung, Entwicklung usw.) g. Ausstattung der Maßnahmen zur Objektsicherung (Einsatz eines privaten Sicherheitsdienstes, Einsatz von Videotechnik, Stahltü-

ren, Umzäunung des Geländes, elektr. Rolltor)

02. Zugangskontrolle Die Schlüssel zu den Räumlichkeiten, in denen die Auftragsdaten verarbeitet bzw. vernichtet werden, befi nden sich in der ausschließ-lichen Obhut der Geschäftsleitung des Auftragnehmers sowie der zuständigen Mitarbeiter. Dritte haben zu den Räumlichkeiten keinen Zutritt. Die Vergabe von Schlüsseln ist schriftlich geregelt. Firmenfremde werden zentral in Empfang genommen und im Gebäude begleitet. Eine Übersicht der Maßnahmen zur Zugangskontrolle:a. Festlegung befugter Personen b. Vorhandensein von Regelungen für Firmenfremde c. Durchführung von Anwesenheitsaufzeichnungen d. Vorhandensein von Passwörtern (bei PC-Arbeitsplätzen) e. Anforderung der regelmäßigen Passwortänderung (bei PC-Arbeitsplätzen)

03. Zugriff skontrolle Der Zugriff auf Systeme ist mit Benutzerkennungen und regelmäßig zu ändernden Passwörtern geschützt. Zugriff e von außen erfolgen durch ausgewählte Mitarbeiter mit Identifi zierung gegenüber dem Datenverarbeitungssystem durch Identifi kation und Authentifi zie-rung. Aktuelle Virenscanner sind installiert. Es wird gewährleistet, dass zur Verarbeitung bestimmte Daten während ihres Transports gegen unberechtigte Einsichtnahme und Verlust geschützt sind (SSL, Verschlüsselung bei Datenfernübertragung): a. Umsetzung von Teilzugriff smöglichkeit auf Datenbestände und Funktionen b. Durchführung einer Identifi zierung gegenüber dem Datenverarbeitungssystem durch Identifi kation und Authentifi zierungc. Überprüfung der Berechtigung, maschinell d. Umsetzung von Regelungen zur Zugriff s- und Benutzerberechtigung e. Durchführung der Auswertung von Protokollen

04. Trennungsgebot Die Trennung der Datensätze erfolgt durch die physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern.Es existieren folgende Maßnahmen zum Trennungsgebot: a. Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern b. Logische Mandantentrennung (softwareseitig)

• Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) ...… ist die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezi� schen betro� enen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbe-wahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen. Unter Berücksichtigung und Wah-rung der durch die jeweiligen Auftraggeber benannten Zwecke der Datenverarbeitung, � ndet eine Pseudonymisierung der personen-bezogenen Daten, die im Zuge der sich aus dem Hauptvertrag zu erbringenden Leistungen ergeben, nicht statt. Bei Verarbeitungen der personenbezogenen Daten, die über den durch den Kunden im Voraus de� nierten Zweck hinausgehen, nämlich konkret der Verarbeitung der Daten zu statistischen Zwecken, � ndet zuvor eine Anonymisierung statt. Hierbei werden nicht personenbezogenen Extrakte einzelner Datensätze aus den Datenbanken entnommen und miteinander vermischt, so dass ein späterer Personenbezug nicht mehr ableitbar ist.


�

II. Integrität (Art. 32 Abs. 1 lit. b DSGVO) 01. Weitergabekontrolle Für die datenschutzgerechte Vernichtung von Fehldrucken und sonstigem Datenabfall stehen für kleine Mengen elektrische Einzelsch-redder sowie für größere Mengen ein Papiervernichtungscontainer eines gewerblichen Vernichters zur Verfügung.

Es existieren folgende Maßnahmen zur Weitergabekontrolle: a. Vorhandensein von Dokumentationen der Abruf- und Übermittlungsprogramme b. Vorhandensein von Dokumentationen zu den Stellen, an die eine Übermittlung vorgesehen ist sowie deren Übermittlungswege c. Durchführung einer Verschlüsselung (SSL, SFTP, SSH) d. Feststellung zur Übermittlung befugter Personen e. Lagerung von Datenträgern in Sicherheitsbereichen (Vorhandensein von Dateiarchiven bzw. Tresoren) f. Durchführung regelmäßiger Bestandskontrollen (Tages-, Wochen-, Monatscheck) g. Kontrollierte Vernichtung von Datenträgern (Papier und elektronische Datenträger) nach DIN 66399 h. Zertifi ziertes Dokumentenvernichtungssystem

02. Eingabekontrolle Um Eingaben, Änderungen und Löschungen nachvollziehen zu können, wird eine Historie der Änderungen erstellt, die die Änderung sowie den Benutzer enthält, der die Änderung vorgenommen hat. Die Rechte der Benutzer sind an die jeweiligen Arbeitsabläufe und Abteilungen angepasst.

Es existieren folgende Maßnahmen zur Eingabekontrolle: a. Protokollierung der Eingabe, Änderung und Löschung von Daten b. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) c. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts


�

III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) 01. VerfügbarkeitskontrolleUm die Verfügbarkeit der Daten zu gewährleisten, werden regelmäßige Backups im Rechenzentrum erstellt (siehe TOM Rechenzent-rum).

Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle: a. Vorhandensein und Umsetzung eines Konzeptes zur Durchführung von regelmäßigen Datensicherungen (Datensicherheitskonzept

gem. IT-Grundschutz)b. Überwachung der Betriebsparameter von Rechenzentren (SNMP, Nagios)

02. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)Sollte das Problem einer korrupten Datenbank hervortreten, so sind geeignete Maßnahmen einer raschen Wiederherstellbarkeit ge-troff en worden, indem die korrupte Datenbank mithilfe eines RAID-10-Systems wiederhergestellt werden kann. Soweit auch dieser automatische Prozess erfolglos bleiben sollte, ist eine manuelle Erstellung von Backups innerhalb einer Stunde möglich.

Der Serverstandort beherbergt weiterhin geeignete Maßnahmen im Falle eines entzündenden Feuers, indem Feuerabsenkungsanlagen installiert worden sind.

Der Serverstandort ist außerdem so ausgestattet, dass er sich für einen Zeitraum von vier Tagen mit einem eigenem Notstromsystem versorgen kann, um so die Funktionalität der Server zu gewährleisten.


�

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung undEvaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) 01. Datenschutz-Management

02. Incident-Response-Management• Identifi zierung zur Zugangsfreischaltung durch die Zusammenführung eines nach SHA1-Standard gehashten Passwortes mit ei-

nem Salt-Hash generierten Passwortes• Sperreinrichtung des Zuganges bei mehrmaligen Fehleingaben• IP-Sperren bei Botangriff en• IP-Blacklist (Drittländer, in die keine Kundenbeziehungen unterhalten werden, werden ausgeschlossen)• Passwortauff orderung nach 30 Tagen (Passwort muss nach 30 Tagen geändert werden und bereits in der Vergangenheit generier-

te Passwörter können nicht mehr genutzt werden)• Nutzername darf sich nicht in dem Passwort wiederfi nden• Vorgabe von Sonderzeichen, Groß- und Kleinschreibung innerhalb der Erstellung von Passwörtern• Erstmalige von dem Auftragnehmer an den Auftraggeber gegebene Passwörter müssen unmittelbar mit der ersten Nutzung des

Zuganges geändert werden• Neu erstellte Passworte werden an die im Portal hinterleget E-Mail-Adresse gesendet• Supportanfragen, die ggf. eine Auskunft von personenbezogenen Daten mit sich ziehen, werden nur nach Nennung eines im Vor-

aus vergebenen PINS beantwortet• Installierte physische und softwaretechnischen Firewalls

03. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) • Privatschalter (Sofern gebucht, werden bei Betätigung des Privatschalters die GPS-Ortungsdaten nicht mehr aufgezeichnet.)• Privattaste Smartphone (Start- und Endpunkt der zurückgelegten Strecke bei dem Produkt Logbook, können im Nachhinein mithil-

fe der Privattaste der Smartphone-App als Privatfahrt deklariert werden. Hierbei werden die aufgezeichneten Punkte unmittelbar unwiderrufl ich gelöscht)

• Optionale Möglichkeit der Nutzung von Zeitfi ltern, um das Life-Tracking von Personen verhindern zu können• Portfreigabe-, Portgruppenmanagement

04. Auftragskontrolle Alle Mitarbeiter des Auftragnehmers sind vertraglich zur Vertraulichkeit verpfl ichtet worden und werden fortlaufend auf den Bereich Datenschutz sensibilisiert.

Der Auftraggeber stimmt der Beauftragung folgender Sub-Dienstleister zu, die der Auftragnehmer entsprechend den Anforderungen von Art. 28 Abs. 4 DS-GVO unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatori-schen Maßnahmen ausgewählt hat. Der Auftragnehmer bestätigt, dass er sich von der Angemessenheit der technischen und organisa-torischen Maßnahmen vorab überzeugt hat.

Anlage 3Genehmigte Unterauftragnehmer

Lfd. Nummer Name, Anschrift Tätigkeitsbeschreibung

01Wireless Logic mdex GmbHBäckerbarg 622889 Tangstedt

Externes Rechenzentrum

Anlage 4Technische und organisatorische Maßnahmen des Rechenzentrumbetreibers (Wireless Logic mdex GmbH)

Wireless Logic mdex GmbH Bäckerbarg 6; D-22889 Tangstedt

Telefon +49 (0)4109 555-0 E-Mail [email protected]

Fax Web

+49 (0)4109 555-55 www.mdex.de

Technische Änderungen sind vorbehalten

TTeecchhnniisscchhee oorrggaanniissaattoorriisscchhee MMaaßßnnaahhmmeenn Gemäß § 32 Absatz 1 DSGVO Version 3.3

Dokumentenhistorie ............................................................................................ 1

Datenschutzbeauftragter ..................................................................................... 2

IT-Sicherheitsbeauftragter ................................................................................... 2

1. Zutrittskontrolle ......................................................................................... 2

2. Zugangskontrolle ........................................................................................ 4

3. Zugriffskontrolle ......................................................................................... 4

4. Weitergabekontrolle .................................................................................... 5

5. Eingabekontrolle ......................................................................................... 5

6. Auftragskontrolle ........................................................................................ 5

7. Verfügbarkeitskontrolle .............................................................................. 6

8. Trennungsgebot ......................................................................................... 7

DDookkuummeenntteennhhiissttoorriiee

VVeerrssiioonn DDaattuumm AAuuttoorr ÄÄnnddeerruunnggeenn

2.1 12.08.2015 Dan • Standort Norderstedt unter Zutrittskontrolle mit aufgenommen

• ic3s korrigiert (mdex) • Dokumentenhistorie angelegt

2.2 03.03.2016 Dan • IT-Sicherheitsbeauftragter aufgenommen • Nagios zu Incinga geändert

2.3 21.03.2016 Dan • Klarstellung der Rechenzentren (Zugehörigkeit)

2.4 04.05.2017 Pja/dan • ITSB erneuert • BIOS-Passwort entfernt • Tripwire entfernt • Manuelle Berechtigungsprüfung ergänzt

2.5 25.07.2017 Dan • Anpassung der E-Mail für ITSB (@mdex.de)

1/7 Stand: Mai 2020



Fax Web

+49 (0)4109 555-55 www.mdex.de


2/7

VVeerrssiioonn DDaattuumm AAuuttoorr ÄÄnnddeerruunnggeenn

2.6 28.09.2017 Dan • Generelle Überarbeitung

2.7 12.04.18 Dan • Verweis von BDSG durch DSGVO ersetzt

2.8 09.05.18 Dan • Prüfung der Entsorgung durchgeführt und auf neue DIN 66399 verwiesen

2.9 29.05.18 Dan • Diverse Verweise auf §32 DS-GVO Abs. 1 • Punkt 9: Regelmäßige Überprüfung

ergänzt 3.0 23.10.18 Dan • Umfirmierung AG zu GmbH

3.1 11.02.19 Dan • Neues Logo 3.2 23.04.20 Dan • Falschen §5 BDSG durch neuen §53 BDSG

neu ersetzt

3.3 20.05.20 Dan • Mdex zu Wireless Logic mdex geändert • Flensburg rausgenommen

DDaatteennsscchhuuttzzbbeeaauuffttrraaggtteerr Schriftlich berufener Datenschutzbeauftragter ist derzeit:

Daniel Kuschow 04109 / 555 201 [email protected]

IITT--SSiicchheerrhheeiittssbbeeaauuffttrraaggtteerr

Zuständig für die IT-Sicherheit im Unternehmen ist derzeit:

Pascal Jarosch 04109 / 555 160 [email protected]

11.. ZZuuttrriittttsskkoonnttrroollllee Die Betriebsgelände/-gebäude liegen im Gewerbegebiet Tangstedt und in Norderstedt (externer Dienstleister). Norderstedt (externer Dienstleister). Sie bilden jeweils nach außen hin eine geschlossene Einheit. In Tangstedt sind



Fax Web

+49 (0)4109 555-55 www.mdex.de


3/7

Türen und Tore der Gebäude mit Sicherheitsschlössern versehen. Türen und Fenster sind außerhalb der Betriebszeiten fest verschlossen. Erdgeschossfenster verfügen über eine gesonderte Sicherung (z.B. Glasbruchsensoren, Magnetkontakte). Das Gebäude ist durch eine Alarmanlage mit Anschluss an eine Notrufzentrale geschützt. In den Innenfluren sind zusätzlich Bewegungsmelder installiert.

Die Schlüssel zu den Räumlichkeiten, in denen die Daten verarbeitet bzw. vernichtet werden, befinden sich in der ausschließlichen Obhut der Geschäftsleitung sowie der zuständigen Mitarbeiter. Dritte haben zu den Räumlichkeiten keinen Zutritt. Über ein einheitliches Schließsystem wird gewährleistet, dass Mitarbeiter neben den allgemeinen Bereichen nur ihre eigenen Räume betreten können. Die Vergabe von Schlüsseln ist schriftlich geregelt. Firmenfremde werden zentral in Empfang genommen und im Gebäude begleitet.

Die Rechenzentren befinden sich in abgeschotteten EDV-Räumen. Die Türen zu diesen Räumen bestehen aus Metall und verfügen jeweils über ein eigenes Sicherheitsschloss. Das Rechenzentrum in Tangstedt verfügt über eine Spezial-Sicherheitsverglasung der Fenster sowie Sichtschutz. Die Zugangsberechtigungen zu den Rechenzentren sind schriftlich geregelt.

Das Rechenzentrum in Tangstedt ist Eigentum der Wireless Logic mdex GmbH. In Norderstedt wird im Rechenzentrum der Stadtwerke Norderstedt eigene Hardware betreiben (Housing).

Es existieren folgende Maßnahmen zur Zutrittskontrolle (Norderstedt): a) Festlegung befugter Personen

b) Ausgabe von Zutrittsberechtigungsausweisen

c) Vorhandensein von Regelungen für Firmenfremde

d) Außenwände aus mehrschichtigem Mauerwerk ohne Fenster

e) Vereinzelungsschleuse

f) Zutrittskontrollsystem mit subjektivem oder biometrischem Merkmal

g) Videoüberwachung mit Speicherung > 2 Monate

Es existieren folgende Maßnahmen zur Zutrittskontrolle (Tangstedt): a) Festlegung befugter Personen

b) Betrieb einer elektronischen Zutrittskontrolle

c) Ausgabe von Zutrittsberechtigungsausweisen



Fax Web

+49 (0)4109 555-55 www.mdex.de


4/7

d) Vorhandensein von Regelungen für Firmenfremde

e) Sicherung durch Alarmanlage außerhalb der Arbeitszeit

f) Einteilung der Unternehmensgebäude in Sicherheitsbereiche (Verwaltung, Entwicklung, Rechenzentrum, Außengelände, …

g) Umsetzung einer Schlüssel- bzw. Chipkartenregelung

h) Vorhandensein einer Türsicherung (elektr. Türöffner, Ausweisleser, PIN-Eingabegerät)

i) Ausstattung der Maßnahmen zur Objektsicherung (Spezialverglasung, Einbruchsmeldesystem, Stahltüren, Umzäunung des Geländes, elektr. Rolltor)

22.. ZZuuggaannggsskkoonnttrroollllee Der Zugang zu Systemen ist mit Benutzerkennungen und abgestuften Passwörtern geschützt. Zugriffe von außen erfolgen durch ausgewählte Mitarbeiter mit Identifizierung gegenüber dem Datenverarbeitungssystem durch Identifikation und Authentisierung (1. Ebene: VPN, 2. Ebene: zusätzliche Verschlüsselung bei Datenfernübertragung). Eine Firewall nach dem Stand der Technik ist implementiert. Aktuelle Virenscanner sind installiert. Es wird gewährleistet, dass zur Verarbeitung bestimmte Daten während ihres Transports gegen unberechtigte Einsichtnahme und Verlust geschützt sind (VPN, Verschlüsselung bei Datenfernübertragung)(vgl. § 32 Abs. 1b DS-GVO).

Eine Übersicht der Maßnahmen zur Zugangskontrolle: a) Festlegung befugter Personen

b) Vorhandensein von Regelungen für Firmenfremde

c) Ausgabe von Ausweisen mit Zugangsfunktionen

d) Anforderung der regelmäßigen Passwortänderung (bei PC-Arbeitsplätzen)

e) Nutzung von VPNs

f) Firewall

33.. ZZuuggrriiffffsskkoonnttrroollllee Der Zugriff auf bzw. die Administration von Produktionssysteme erfolgt ausschließlich über gesonderte Rechner: mdex Security Clients (MSC).

Eine Übersicht der Maßnahmen zur Zugriffskontrolle: a) Vorhandensein einer Zuordnung einzelner Terminals ausschließlich für bestimmte Funktionen

b) Vorhandensein einer funktionellen beschränkten Nutzung von Terminals und Identifizierungsmerkmalen

c) Umsetzung von Teilzugriffsmöglichkeit auf Datenbestände und Funktionen



Fax Web

+49 (0)4109 555-55 www.mdex.de


5/7

d) Durchführung einer Identifizierung gegenüber dem Datenverarbeitungssystem durch Identifikation und Authentisierung

e) Überprüfung der Berechtigung, maschinell (halbjährig manuell)

f) Umsetzung von Regelungen zur Zugriffs- und Benutzerberechtigung

d) Einsatz passwortgeschützter Bildschirmschoner (bei Abwesenheit)

44.. WWeeiitteerrggaabbeekkoonnttrroollllee Bei der Übermittlung und Verarbeitung von Daten sollen diese vor unberechtigtem Zugriff geschützt werden (vgl. § 32 Abs. 1a).

Es existieren folgende Maßnahmen zur Weitergabekontrolle: a) Vorhandensein von Dokumentationen der Abruf- und Übermittlungsprogramme

b) Vorhandensein von Dokumentationen zu den Stellen, an die eine Übermittlung vorgesehen ist, sowie deren Übermittlungswege

c) Durchführung von Protokollierungen jeder Übermittlung

d) Durchführung einer Verschlüsselung (PGP, SFTP, SSH, HTTPS, VPN)

e) Feststellung zur Übermittlung befugter Personen

55.. EEiinnggaabbeekkoonnttrroollllee Das 4-Augen-Prinzip ist vereinbart bei kritischen Eingaben. Change Request Verfahren sind eingeführt. Verfahrensdokumentation und Arbeitsanweisungen dokumentiert in QS Handbuch und IT-Sicherheitsleitlinie (ISO 27001).

Beim Kundenportal, welches einen passwortgeschützten Benutzerzugang voraussetzt, werden Änderungsoperationen protokolliert.

Des Weiteren haben sich alle Mitarbeiter der Wireless Logic mdex GmbH vertraglich zur Einhaltung des Datengeheimnisses nach §53 Bundesdatenschutzgesetz (BDSG)bzw. §5 Abs. 2 DS-GVO und §88 Telekommunikationsgesetz (TKG) verpflichtet.

Die Punkte in der Zusammenfassung: a) Führung von Nachweisen der organisatorisch festgelegten Zuständigkeiten für die Eingabe

(Change Request)

b) Durchführung der Protokollierung von Eingaben (internes Wiki)

c) 4-Augen Prinzip bei kritischen Eingaben

d) Prüfung der Eingabeergebnisse

e) Durchführung von Plausibilitätsprüfungen



Fax Web

+49 (0)4109 555-55 www.mdex.de


6/7

66.. AAuuffttrraaggsskkoonnttrroollllee Mit Hilfe der Auftragskontrolle soll die Vertraulichkeit und Integrität von Daten gem. § 32 Abs. 1b DS-GVO sichergestellt werden.

Es existieren folgende Maßnahmen zur Auftragskontrolle: a) Erstellung einer differenzierten Datenträgerverwaltung (VLAN)

b) Lagerung von Datenträger in Sicherheitsbereichen (Vorhandensein von Dateiarchiven bzw. Tresoren)

c) Durchführung von regelmäßigen Bestandskontrollen (Tages-, Wochen-, Monatscheck)

d) Vorhandensein von Sicherheitsschränken (Data-Safe für magnetische Datenträger -Brandschutz)

e) Kontrollierte Vernichtung von Datenträgern (Papier und elektr. Datenträger) nach DIN 66399- 1:2012 und 66399-2:2012 (Schutzklasse 2)

f) Zertifiziertes Dokumentenvernichtungssystem

g) Umsetzung einer Vorbehandlung (Zerstörung von Datenträgern, Reißwolf )

77.. VVeerrffüüggbbaarrkkeeiittsskkoonnttrroollllee Die Standorte verfügen über unterbrechungsfreie Stromversorgung (USV). In Tangstedt mit Dieselaggregaten, Brandschutz mit Argon-Löschanlage, Überspannungsschutz und Blitzschutzanlage. Regelmäßig wird der Zustand der Datenschutzeinrichtungen sowie Umsetzung des Datensicherheits- konzepts kontrolliert (Tagescheck, online-monitoring). Betriebsparameter der Rechenzentren (SNMP, Icinga) werden überwacht. Es existieren Notfallkonzept (Notfall-Handbuch gem. IT-Grundschutz) und Regelungen zur Aufnahme eines Krisen-bzw. Notfallmanagements (Notbetriebsplan gem. IT-Grundschutz). Alle kritischen Komponenten sind standortredundant(vgl. § 32 Abs. 1c DS-GVO).

Sicherungsbestände der Daten lagern redundant in Stahlschränken an verschiedenen Standorten. Für die datenschutzgerechte Vernichtung von Fehldrucken und sonstigem Datenmüll stehen für kleine Mengen elektrische Einzelschredder sowie für größere Mengen ein Papiervernichtungscontainer eines gewerblichen Vernichters und zur Vernichtung harter Datenträger ein 240l Behälter des gewerblichen Vernichters zur Verfügung.



Fax Web

+49 (0)4109 555-55 www.mdex.de


7/7

Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle: a) Vorhandensein und Umsetzung eines Konzeptes zur Durchführung von regelmäßigen

Datensicherungen (Datensicherheitskonzept gem. IT-Grundschutz)

b) Regelmäßige Kontrolle des Zustandes und der Kennzeichnungen von Datenträger für Datensicherungen (Wochencheck)

c) Gesicherte Lagerung von Datensicherungen in feuer- und wassergeschützten Datensicherheitsschränken (Tresor)

d) Vorhandensein und regelmäßige Prüfung von Notstromaggregaten und Überspannungsschutzeinrichtungen (Monatscheck)

e) Überwachung der Betriebsparameter von Rechenzentren (SNMP, Icinga)

f) Vorhandensein eines Notfallkonzeptes (Notfall-Handbuch gem. IT-Grundschutz)

g) Regelungen zur Aufnahme eines Krisen- bzw. Notfallmanagements (Notbetriebsplan gem. IT-Grundschutz)

h) Standortsredundanz für kritische Komponenten

88.. TTrreennnnuunnggssggeebboott Die Abschottung der Datenbestände verschiedener Auftraggeber werden durch Speicherung in getrennten physischen Dateien bzw. Datenbanken und Netzen erreicht(vgl. § 32 Abs. 1b DS-GVO bzgl. Vertraulichkeit).

Es existieren folgende Maßnahmen zum Trennungsgebot: a) Umsetzung und Dokumentation einer Funktionstrennung

(Vier-Augen-Prinzip)

b) Vorhandensein von Richtlinien und Arbeitsanweisungen (QS Handbuch, IT-Grundschutz)

c) Vorhandensein von Verfahrensdokumentation (QS Handbuch, IT-Sicherheitsleitlinie)

d) Umsetzung von Regelungen zur Programmierung (Styleguide)

e) Regelungen zur System- und Programmprüfung (Freigabeprozeduren)

f) Vorhandensein von Stellenbeschreibungen

99.. RReeggeellmmääßßiiggee ÜÜbbeerrpprrüüffuunngg Dieses Dokument sowie die damit verbundenen Maßnahmen werden durch Prozesse des Information Security Management Systems (ISMS) regelmäßig überprüft und ggf. angepasst, um auch bei technischem Fortschritt ein gleichbleibendes Schutzniveau zu gewährleisten (vgl. § 32 Abs. 1d DS-GVO).

Es existieren folgende Maßnahmen zur regelmäßigen Prüfung: a) Prüfung des Dokuments „Technische organisatorische Maßnahmen“

b) Prüfung der Maßnahmen

Documents

Merkblatt zur Verarbeitung personenbezogener Daten im Auftrag · 2021. 1. 8. · P408-V009-BoAG-AVV fl Sie haben von uns eine Vereinbarung zur Verarbeitung personen-bezogener Daten