personenbezogener Daten im Auftrag zur ... - bornemann… · Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag Bornemann AG 11/02/2018 Merkblatt zur Verarbeitung personenbezogener

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag Bornemann AG

11/02/2018

Merkblatt zur Verarbeitung

personenbezogener Daten im Auftrag

Sie haben von uns eine Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag erhalten – ein umfangreiches Dokument, zu dem wir Ihnen in diesem Merkblatt einige Erläuterungen zusammengestellt haben. Das Wichtigste vorweg:

1. Die Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag enthält keine Änderung unserer vertraglichen Leistungen – auf diese können Sie sich in gewohnter Qualität uneingeschränkt verlassen.

2. Das Gesetz verpflichtet uns – Sie als unseren Kunden und uns, die Bornemann AG – dazu, eine Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag in schriftlicher Form abzuschließen. Ohne eine solche Vereinbarung setzen Sie sich und setzen wir uns dem Risiko empfindlicher Bußgelder und Schadensersatzforderungen aus.

Dieses Risiko sollten wir unbedingt ausschließen! Senden Sie die Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag also bitte unverzüglich unterzeichnet an uns zurück.

Sollten Sie Fragen haben, zögern Sie nicht, Ihren Ansprechpartner bei der Bornemann AG oder unseren betrieblichen Datenschutzbeauftragten, E-Mail: [email protected] zu fragen.

Datenschutz schützt das Persönlichkeitsrecht

Die Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag dient – wie das gesamte Datenschutzrecht – dem Schutz des Persönlichkeitsrechts derjenigen Menschen, auf die sich die Daten beziehen. Diese Menschen nennt das Gesetz „betroffene Personen“. Das können z.B. Ihre Kunden oder Mitarbeiter sein. Das Persönlichkeitsrecht gibt jedem Menschen das Recht, grundsätzlich selbst darüber zu entscheiden, wer was über ihn wissen darf. Beispielsweise darf jeder Ihrer Mitarbeiter grundsätzlich selbst entscheiden, wer erfahren soll, wo er sich gerade befindet, und Ihre Kunden dürfen entscheiden, wer von der Vertragsbeziehung zu Ihnen wissen darf. Es ist deren Entscheidung, ob das geheim bleibt oder sie es bei Facebook posten.

Ausnahmen, in denen nicht nur der Wille des Betroffenen gilt, muss es natürlich geben – aber jede Ausnahme braucht nach dem Gesetz eine Rechtfertigung. Das kann nach der Regelung in Art. 6 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) entweder ein Gesetz sein oder die (freiwillige) Einwilligung des Betroffenen. Der Einsatz unserer Produkte und Dienstleistungen in Ihrem Unternehmen lässt sich nach diesen Vorschriften datenschutzkonform gestalten.

Der Begriff „personenbezogene Daten“

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, Art. 4 Nr. 1 DS-GVO. Personenbezogen kann also die Angabe sein, dass jemand Kunde Ihres Unternehmens ist, wo er wohnt, welche Vorlieben er hat, wo er sich befindet oder wie viel Geld er auf dem Konto hat. Personenbezogenes Datum kann aber auch schon die Angabe sein, dass sich das Fahrzeug mit dem Kennzeichen „BO-AG 2018“ zu einem bestimmten Zeitpunkt an einem bestimmten Ort befunden hat. Denn obwohl hier kein Name genannt wird, ist einfach zu ermitteln, wer das betreffende Fahrzeug zum fraglichen Zeitpunkt benutzt hat: Es handelt sich um Angaben zu einer „identifizierbaren“ Person.

Als identifizierbar wird eine natürliche Person angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Das heißt, dass eine Person schon dann identifizierbar ist und Daten also schon dann personenbezogen sind, wenn man – eigene und fremde – Informationen kombinieren kann und dadurch erfährt, um wen es sich handelt. Das geht in Zeiten von Big Data sehr viel einfacher als man denkt – der Begriff des personenbezogenen Datums ist daher sehr weit.

Verarbeitung personenbezogener Daten im Auftrag

1 Bornemann AG | Oberer Triftweg 18 | 38640 Goslar


11/02/2018

Nun zum Kern unseres Anliegens: Mit unseren Produkten und Dienstleistungen ist es Ihnen möglich, personenbezogene Daten Ihrer Kunden oder Mitarbeiter in datenschutzkonformer Art und Weise zu verarbeiten. Diese Daten aber machen Sie auch uns zugänglich, und dies bedarf nochmals einer besonderen Rechtfertigung. Diese können wir nur über den Abschluss einer Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag erreichen. Denn in dieser Vereinbarung geben wir als Bornemann AG Ihnen eine Reihe von verbindlichen Zusagen, die den Umgang mit personenbezogenen Daten betreffen. Mit dieser Vereinbarung stellen wir auf diese Art und Weise sicher, dass wir die Daten Ihrer Mitarbeiter oder Kunden nur zu bestimmten Zwecken (z.B. Datenmigrationen, Hosting, Support o.ä.) verarbeiten. Wir dürfen diese Daten auch nur zu diesen Zwecken und ausschließlich entsprechend Ihren Weisungen verarbeiten. Diese zweck- und weisungsgebundene Datenverarbeitung nennt man Auftragsverarbeitung. Im Rahmen einer solchen Auftragsverarbeitung ist es gesetzlich vorgeschrieben, dass wir nur solche Personen mit der Datenverarbeitung betrauen dürfen, die vorher zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 Satz 2 lit. b DS-GVO). Diese gesetzliche Vorgabe halten wir selbstverständlich ein, was Sie im Rahmen der Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag auch überprüfen können. Unsere Zusagen im Rahmen der Auftragsverarbeitung Im Rahmen der Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag machen wir Ihnen eine Vielzahl verbindlicher Zusagen zum Umgang mit personenbezogenen Daten Ihrer Kunden und Mitarbeiter, die wir von Ihnen erhalten. Hier nur eine beispielhafte Auflistung:

● Wir sagen Ihnen zu, dass wir personenbezogene Daten ausschließlich innerhalb Europas verarbeiten, also ausschließlich in solchen Staaten, in denen dieselben strengen rechtlichen Vorgaben zum Datenschutz herrschen wie in Deutschland.

● Wir sagen Ihnen zu, dass Sie über dokumentierte Weisungen jederzeit Einfluss darauf nehmen können, wie wir mit personenbezogenen Daten umgehen, die wir in Ihrem Auftrag verarbeiten. Hierfür haben wir ein spezielles Verfahren vorgesehen.

● Wir sagen Ihnen zu, dass wir die datenschutzkonforme Verarbeitung personenbezogener Daten innerhalb unseres Unternehmen jederzeit überprüfen werden.

● Wir sagen Ihnen zu, dass wir Sie in vielerlei Hinsicht dabei unterstützen, dass auch Sie in Fragen des Datenschutzes gewappnet sind, z.B. bei Kontrollen durch Aufsichtsbehörden, Anfragen betroffener Personen oder beim datenschutzkonformen Einsatz unserer Produkte und Dienstleistungen generell.

● Wir sagen Ihnen zu, dass wir nur mit Ihrer Zustimmung unsererseits Daten an Unterauftragnehmer weitergeben bzw. diesen Daten zugänglich machen werden.

Die Regelungen im Detail können Sie dem Text der Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag entnehmen.

Folgen von Verstößen Verstöße gegen das Datenschutzrecht können für Sie und auch für uns, die Bornemann AG, schwerwiegende Folgen haben. Viele Verstöße gegen das Datenschutzrecht können mit Bußgeldern geahndet werden. Dieses Bußgeld kann bis zu 20 Mio. EUR pro Verstoß betragen. Und allein die Tatsache, dass wir unsere Leistungen für Sie erbringen, ohne dass wir eine schriftliche Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag abgeschlossen haben, ist mit einem Bußgeld von bis zu 10 Mio. EUR bedroht. Jede betroffene Person kann außerdem Schadensersatz für eine unzulässige oder unrichtige Verwendung ihrer Daten verlangen. Dieser Schadensersatzanspruch schließt den sogenannten immateriellen Schaden mit ein, also eine Art „Schmerzensgeld“ für die durch die unberechtigte Datenverarbeitung erlittenen Nachteile (Art. 82 Abs. 1 DS-GVO). Unabhängig davon kann es schwere Reputationsschäden für Sie und auch für uns, die Bornemann AG, verursachen, wenn eine gesetzeswidrige Datenverarbeitung öffentlich bekannt wird. Kunden verlieren das Vertrauen und beauftragen unsere Unternehmen nicht



11/02/2018

mehr, wenn sie nicht sicher sein können, dass ihre Daten bei unseren Unternehmen in guten Händen sind. Bitte helfen Sie mit, dass es dazu nicht kommt und senden Sie die Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag unterzeichnet an uns zurück! Die relevanten gesetzlichen Vorschriften sind die Artt. 28, 82, 83 DS-GVO sowie § 41 BDSG 2018, die wir hier noch einmal für Sie wiedergeben:

Artikel 28 Auftragsverarbeiter (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht; h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. (4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen



11/02/2018

Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. (5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. (6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. (7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. (10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 82 DS-GVO Haftung und Recht auf Schadenersatz (1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. (5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. (6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Artikel 83 DS-GVO Allgemeine Bedingungen für die Verhängung von Geldbußen (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:



11/02/2018

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. (3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. (4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. (5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. (8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. (9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen



11/02/2018

der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. § 41 BDSG 2018 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren (1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 68 des Gesetzes über Ordnungswidrigkeiten findet mit der Maßgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro übersteigt. (2) Für Verfahren wegen eines Verstoßes nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 69 Absatz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten findet mit der Maßgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.


Vertrag

über die Verarbeitungpersonenbezogener Daten im Auftrag

gemäß Art. 28 DS-GVO

zwischen

XX GmbHAdresse, PLZ/Ort

– nachfolgend „Auftraggeber“ genannt –

und

Bornemann AGOberer Triftweg 18, 38640 Goslar

– nachfolgend „Auftragnehmer“ genannt –

1 von 9

§ 1Vertragsgegenstand

Im Rahmen der Leistungserbringung nach den in der Anlage 1 im Einzelnen benannten Verträgen(nachfolgend „Vertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt).

Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien imZusammenhang mit dem Umgang des Auftragnehmers mit „Auftraggeber-Daten“zur Durchführung des „Vertrags“.

Verweise auf die Datenschutz-Grundverordnung (DS-GVO1) und das Bundesdatenschutzgesetz 2018 (BDSG 20182) sind bis zum 24.05.2018 als Verweise auf das Bundesdatenschutzgesetz (BDSG3) auszu-legen. Sofern sich diese Vereinbarung auf Regelungen der DS-GVO bezieht, die über die Regelungen des BDSG hinausgehen oder den Regelungen des BDSG widersprechen, findet die jeweilige Vertragsre-gelung bis zum 24.05.2018 keine Anwendung.

§ 2Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

1) Der Auftragnehmer verarbeitet die „Auftraggeber-Daten“ im Auftrag und nach Weisung desAuftraggebers i.S.v. Art. 28 DS-GVO (Auftragsverarbeitung). Der Auftraggeber bleibt imdatenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“).

2) Die Verarbeitung der „Auftraggeber-Daten“ im Rahmen der Auftragsverarbeitung erfolgt entsprechendden in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck derDatenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der „Auftraggeber-Daten“ und diedort bestimmten Kategorien betroffener Personen.

3) Der Auftragnehmer darf die „Auftraggeber-Daten“ im Rahmen des datenschutzrechtlich Zulässigen füreigene Zwecke auf eigene Verantwortung verarbeiten, wenn eine gesetzliche Erlaubnisvorschrift odereine Einwilligungserklärung der betroffenen Person das gestattet. Auf solche Datenverarbeitungen findetdieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die „Auftraggeber-Daten“anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere fürstatistische Zwecke.

4) Die Verarbeitung der „Auftraggeber-Daten“ findet grundsätzlich im Gebiet der BundesrepublikDeutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderenVertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

2 Bundesdatenschutzgesetz in der Fassung des Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, DSAnpUG-EU)

3 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 mit den zuletzt in Kraft getretenen Änderungen

2 von 9

5) Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündi-gung des „Vertrags“. Eine Kündigung des „Vertrags“ bewirkt automatisch auch eine Kündigung diesesVertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

§ 3Weisungsbefugnisse des Auftraggebers

1) Der Auftragnehmer verwendet die „Auftraggeber-Daten“ ausschließlich in Übereinstimmung mit denWeisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruckfinden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzlicheAnforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nachMaßgabe des nachfolgend beschriebenen Verfahrens, wenn nicht die Parteien im „Vertrag“ eineabweichende Regelung für ein Änderungsverfahren getroffen haben; in solchen Fällen geht die Regelungim „Vertrag“ in Abweichung von § 12 dieses Vertrags den nachfolgenden Bestimmungen vor.

a) Der Auftraggeber kann jederzeit mittels konkreter Einzelweisungen Änderungen und Ergänzungen derAuftragsverarbeitung durch den Auftragnehmer, insbesondere Änderungen und Ergänzungen dertechnischen und organisatorischen Maßnahmen verlangen, wenn diese für den Auftragnehmer technischumsetzbar und zumutbar sind. Der Auftragnehmer prüft solche Änderungsverlangen innerhalb von fünfWerktagen nach Eingang und teilt dem Auftraggeber das Ergebnis zusammen mit den sich ggf.ergebenden einmaligen oder laufenden Mehrkosten und Umsetzungszeiträumen in Form einesverbindlichen Angebots mit.

b) Der Auftraggeber wird das Angebot innerhalb von fünf Werktagen ab Zugang des Angebots prüfen.Nimmt der Auftraggeber das Angebot an, so werden die Änderungen Vertragsbestandteil. DerAuftragnehmer wird ggf. die in Anlage 2 festgelegten technischen und organisatorischen Maßnahmenergänzen. Nimmt der Auftraggeber das Angebot nicht an, werden die Parteien die Auftragsverarbeitungunverändert fortsetzen, wenn nicht dem Auftraggeber eine Fortsetzung unzumutbar ist.

c) Der Auftragnehmer wird während eines laufenden Änderungsverfahrens die Leistungen im Rahmen derAuftragsverarbeitung planmäßig weiterführen, es sei denn der Auftraggeber weist ihn schriftlich an, dassdie Auftragsverarbeitung bis zur Entscheidung über die Einzelweisung eingestellt oder eingeschränktwerden soll.

2) Einzelweisungen des Auftraggebers sind grundsätzlich schriftlich oder zumindest in Textform durch diehierzu befugten Personen des Auftraggebers zu erteilten. Mündliche Einzelweisungen bedürfen zu ihrerWirksamkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch denAuftraggeber. Unbeschadet dessen werden mündliche Einzelweisungen vom Auftragnehmer zurSicherstellung der Identität des Erteilenden nur nach Nennung eines Kennworts angenommen; dasKennwort wird dem Auftraggeber unverzüglich nach Abschluss der vorliegenden Vereinbarung mitgeteilt.Der Auftraggeber ist selbst dafür verantwortlich dafür zu sorgen, dass das Kennwort lediglich solchenPersonen bekannt ist, die zur Erteilung von Einzelweisungen gegenüber dem Auftragnehmer befugt sind.

3) Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendesDatenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist

3 von 9

der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen.

§ 4Pflichten des Auftraggebers

1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der „Auftraggeber-Daten“ sowie für dieWahrung der Rechte der betroffenen Personen verantwortlich. Sollten Dritte oder betroffene Personengegen den Auftragnehmer aufgrund der Verarbeitung von „Auftraggeber-Daten“ Ansprüche geltendmachen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordernfreistellen, wenn und soweit den Auftragnehmer nicht gemäß Art. 82 DS-GVO eine eigene Haftung trifft.

2) Der Auftraggeber ist Eigentümer der „Auftraggeber-Daten“ und Inhaber aller etwaigen Rechte, die die„Auftraggeber-Daten“ betreffen.

3) Dem Auftraggeber obliegt es, dem Auftragnehmer die „Auftraggeber-Daten“ rechtzeitig zur Leistungser-bringung nach dem „Vertrag“ zur Verfügung zu stellen, und er ist verantwortlich für die Qualität der „Auf-traggeber-Daten“. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren,wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten be-züglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

§ 5Pflichten des Auftragnehmers

1) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmender Leistungserbringung nach dem „Vertrag“ in seinem Verantwortungsbereich, der Unterauftragnehmernach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.

2) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen derAuftragsverarbeitung keine Kopien oder Duplikate der „Auftraggeber-Daten“ anfertigen. Hiervonausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßenDatenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem „Vertrag“(einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicherAufbewahrungspflichten erforderlich sind.

3) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde imRahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch denAuftragnehmer betreffen.

4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen Verpflichtungen gemäßArtt. 32 bis 36 DS-GVO, insbesondere bei einer Datenschutz-Folgenabschätzung des Auftraggebersinklusive einer etwa notwendigen vorherigen Konsultation der zuständigen Aufsichtsbehörde. Hierzu wirdder Auftragnehmer dem Auftraggeber im Rahmen des Zumutbaren proaktiv Informationen zu dentechnischen und organisatorischen Maßnahmen sowie den von der Auftragsverarbeitung umfasstenDatenverarbeitungsvorgängen zur Verfügung stellen. Weitere Unterstützungsleistungen bedürfen derausdrücklichen Vereinbarung der Parteien.

4 von 9

5) Der Auftragnehmer hat die bei der Verarbeitung von „Auftraggeber-Daten“ beschäftigten Personengemäß Art. 28 Abs. 3 lit. b) DS-GVO schriftlich zur Vertraulichkeit zu verpflichten.

6) Der Auftragnehmer hat einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragtenbenannt, dessen Kontaktdaten leicht zugänglich auf der Webseite des Auftraggebers abrufbar sind. DerAuftragnehmer verpflichtet sich zur Benennung eines Datenschutzbeauftragten, solange die gesetzlichenVoraussetzungen für eine Benennungspflicht gegeben sind.

7) Der Auftragnehmer unterliegt der behördlichen Aufsicht sowie den Bußgeld- und Strafvorschriften inArtt. 82 bis 84 DS-GVO sowie in §§ 41 bis 43 BDSG.

§ 6Technische und organisatorische Maßnahmen

1) Der Auftragnehmer hat vor Beginn der Verarbeitung der „Auftraggeber-Daten“ die in Anlage 2 diesesVertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und währenddes Vertrags aufrechtzuerhalten. Hierbei handelt es sich um Maßnahmen der Datensicherheit und zurGewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, derIntegrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, dieImplementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie dieunterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheitennatürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.

2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und dertechnologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und ad-äquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maß-nahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentli-che Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebersund sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zustellen.

§ 7Mitzuteilende Verstöße des Auftragnehmers

1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er eine Verletzung des Schutzespersonenbezogener Daten im Zusammenhang mit diesem Vertrag feststellt.

2) Soweit den Auftraggeber aufgrund eines Vorkommnisses nach § 7 Abs. 1 gesetzlicheInformationspflichten wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen(insbesondere nach Art. 33 DS-GVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllungder Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegenErstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zuunterstützen.

5 von 9

§ 8Kontrollrechte des Auftraggebers

1) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von8.00 bis 17.00 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikterGeheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers, die Geschäftsräume desAuftragnehmers, in denen „Auftraggeber-Daten“ verarbeitet werden, zu betreten, um sich von derEinhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zuüberzeugen.

2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach § 8 Abs. 1erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichenVerpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf dieGeschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegengesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt,Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationenhinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufendenAufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichenanderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbartenKontrollzwecke sind, zu erhalten.

4) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher)über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren;insbesondere ist der Termin der Kontrolle mit dem Auftragnehmer abzustimmen. Der Auftraggeber darf inder Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht desAuftraggebers, weitere Kontrollen auch unangekündigt im Fall von besonderen Vorkommnissendurchzuführen.

5) Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen die-ser Kontrollen anfallenden Aufwand in Höhe von 600,00 EUR netto (8 Stunden zu einem Stundensatz von75,00 EUR netto) pro Kontrolle/pro Arbeitstag.

6) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber denDritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser § 8 diesesVertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten aufVerschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichenVerschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeberdiesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darfkeinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

6 von 9

7) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen undorganisatorischen Maßnahmen gemäß Anlage 2 anstatt durch eine Vor-Ort-Kontrolle auch durch dieEinhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO, die Zertifizierung nach einemgenehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO sowie die Vorlage eines geeigneten,aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer,Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oderQualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit –z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn und soweit der Prüfungsberichtes dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen undorganisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

§ 9Unterauftragsverhältnisse

1) Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von „Auftraggeber-Da-ten“ begründen. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Unterbeauftragung sowie jede Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern informieren, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Einen solchen Einspruch darf der Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erheben. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung; dasselbe gilt für die Anlage 3 bezeichneten Unterauftragnehmer des Auftragnehmers zum Zeitpunkt des Vertragsschlusses.

2) Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem „Vertrag“ in Anspruch nimmt, auch wenn dabei ein Zugriff auf die „Auftraggeber-Daten“ nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste. Der Auftragnehmer wird mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen.

3) Zur Prüfung eines nach § 9 Abs. 1 möglichen Einspruchs hat der Auftragnehmer dem Auftraggeber auf Verlangen eine Kopie der Vereinbarung zur Unterauftragsverarbeitung zur Verfügung zu stellen. Der Un-terauftragsverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen die-ses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsverarbeitungsvertrag gegen-über dem Unterauftragnehmer eigene Kontrollrechte nach § 8 dieses Vertrags einzuräumen.

4) Die Regelungen in diesem § 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der „Auftraggeber-Daten“ außerhalb des EWR verarbeitet, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 oder ggf. später von der EU-Kommission oder der zuständigen Aufsichtsbehörde erlassener Standarddatenschutzklauseln zu schließen (Art. 46 Abs. 1, 2 litt. c) und d), 5 DS-GVO). Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 46 DS-GVO im erforderlichen Maße mitzuwirken.

7 von 9

§ 10Rechte der betroffenen Personen

1) Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggebergeltend zu machen.

2) Soweit eine betroffene Person sich zwecks Ausübung der ihr nach den Artt. 15 ff. DS-GVOzukommenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesesErsuchen unverzüglich an den Auftraggeber weiterleiten.

3) Für den Fall, dass eine betroffene Person die ihr nach den Artt. 15 ff. DS-GVO zukommenden Rechtegeltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche inangemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeberdie Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Der Auftragnehmer erhält vomAuftraggeber eine Entschädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand in Höhe von75,00 EUR netto/Stunde zzgl. der jeweils geltenden Umsatzsteuer. Im Falle der Abrechnung hat derAuftragnehmer einen Leistungsnachweis über die erbrachte Tätigkeit zu erstellen.

4) Der Auftragnehmer wird es dem Auftraggeber ermöglichen, „Auftraggeber-Daten“ zu berichtigen oderzu löschen oder die Verarbeitung einzuschränken oder die personenbezogenen Daten an die betroffenePerson oder einen von dieser benannten Dritten herauszugeben oder auf Verlangen des Auftraggebersdie Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragung selbst vornehmen,wenn und soweit das dem Auftraggeber selbst unmöglich ist. Gesetzliche Pflichten, Datensätzenachträglich bis zum Ende gesetzlicher Aufbewahrungspflichten unveränderbar zu halten (z.B.elektronische Fahrtenbücher), bleiben unberührt. Der Auftragnehmer erhält vom Auftraggeber eineEntschädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand in Höhe von 75,00 EURnetto/Stunde zzgl. der jeweils geltenden Umsatzsteuer. Im Falle der Abrechnung hat der Auftragnehmereinen Leistungsnachweis über die erbrachte Tätigkeit zu erstellen.

§ 11Rückgabe und Löschung überlassener Daten und Datenträger

1) Der Auftragnehmer hat sämtliche „Auftraggeber-Daten“ nach Beendigung dervertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigungdes „Vertrags“) zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunktnoch „Auftraggeber-Daten“ enthalten, an den Auftraggeber zurückzugeben.

2) Über eine Löschung bzw. Vernichtung von „Auftraggeber-Daten“ hat der Auftragnehmer ein Protokollzu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.

3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder ge-setzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Auf-bewahrungsfristen über das Vertragsende hinaus aufzubewahren.

8 von 9

§ 12Verhältnis zum „Vertrag“

Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des„Vertrags“. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigenVereinbarungen, insbesondere aus dem „Vertrag“, gehen die Regelungen aus diesem Vertrag vor.

______________________________ __________________________________(Ort, Datum) (Ort, Datum)

______________________________ __________________________________(Auftraggeber) (Auftragnehmer)

Anlagen:Anlage 1: Zweck, Art und Umfang der Auftragsverarbeitung, Art der Daten und Kategorien betroffener PersonenAnlage 2: Technische und organisatorische Maßnahmen Bornemann AGAnlage 3: Genehmigte UnterauftragnehmerAnlage 4: Technische und organisatorische Maßnahmen des Rechenzentrumbetreibers

9 von 9

Anlage 1:Zweck, Art und Umfang der Auftragsverarbeitung; Art der Daten und Kategorien betroffener Personen[Diese Angaben sind vom Auftraggeber auszufüllen]

1. Der Auftraggeber hat den Auftragnehmer mit der Erbringung von Leistungen beauftragt. Diese bestehen im Einzelnen aus den nachfolgenden Leistungen: ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ [z.B. Hosting von Daten des Auftraggebers im Rechenzentrum, Supportleistungen für Ortungs-Geräte]

und sind in den Verträgen

Nutzungsvertrag vom _____________________________Nutzungsvertrag vom _____________________________Nutzungsvertrag vom _____________________________

im Einzelnen spezifiziert.

2. Im Rahmen der Leistungserbringung nach den vorgenannten Verträgen besteht für den Auftragnehmer die Möglichkeit, zum Zwecke der Vertragserfüllung Einblick in und Zugriff auf folgende „Auftraggeber-Daten“ zu erhalten:

□ Ortungsdaten

□ Personenstammdaten (Name, Anschrift, Geburtsdatum etc.)

□ Kommunikationsdaten (wie z. B. Telefon, E-Mail)

□ Vertragsstammdaten (Vertragsverhältnis, Produktinteresse oder Vertragsinteresse)

□ Kundenhistorie

□ Vertragliche Abrechnungs- und Zahlungsdaten

□ Planungs- und Steuerungsdaten

□ Auskunftsangaben (von „Dritten“, z. B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

[Zutreffendes bitte ankreuzen; z.B. wären anzukreuzen für den Fall eines Unternehmens, das Ortungsgeräte des Auftragnehmers beschafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt und Supportleistungen des Auftragnehmers in Anspruch nimmt: Ortungsdaten (nämlich die über die Ortungsgeräte verarbeiteten Daten), Personenstammdaten und Kommunikationsdaten (nämlich der Ansprechpartner im Hause des Auftraggebers für die Vertrags-/Rechnungsabwicklung oder für konkrete Supportanfragen), Kundenhistorie (nämlich wenn und soweit auch diese Kontaktinformationen beinhalten)]

Der Umfang der Datenverarbeitung erstreckt sich dabei allein und ausschließlich auf das zur Erfül-lung der Vertragspflichten Erforderliche, also regelmäßig lediglich die Kenntnisnahme von Daten

im Rahmen von Wartungs- und Supportarbeiten. Insbesondere ist jede Datenverarbeitung für eige-ne Zwecke des Auftragnehmers ausgeschlossen.

3. Folgende Kategorien betroffener Personen sind von der Auftragsverarbeitung umfasst:

□ Kunden

□ Versicherte

□ Patienten

□ Interessenten

□ Abonnenten

□ Beschäftigte i.S.d. § 26 Abs. 8 BDSG

□ Lieferanten

□ Handelsvertreter

[Zutreffendes bitte ankreuzen; z.B. wären anzukreuzen für den Fall eines Handwerksbetriebs, der Ortungsgeräte des Auftragnehmers beschafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt und Supportleistungen des Auftragnehmers in Anspruch nimmt: Kunden und Interessenten (jeweils über angefahrene Anschriften feststellbar), Beschäftigte (jedenfalls im Rahmen der Vertrags-/Rechnungsabwicklung oder über Supportanfragen mitgeteilt), u.U. auch Lieferanten und Handelsvertreter (wenn z.B. ebenfalls über Anschriften feststellbar); andersz.B. für den Fall eines mobilen Pflegedienstes, der Ortungsgeräte des Auftragnehmersbeschafft hat, diese im Rechenzentrum des Auftragnehmers verarbeiten lässt undSupportleistungen des Auftragnehmers in Anspruch nimmt: hier wären anstelle vonKunden Patienten auszuwählen.

Anlage 2

Technische und organisatorische Maßnahmen Bornemann AG

Technische und organisatorische Maßnahmen

der Bornemann AG

01.02.2018v0.1

Technische und organisatorische Maßnahmen

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

01.Zutrittskontrolle

In den Niederlassungen der Bornemann AG sind Türen und Tore der Gebäude mit Sicher-heitsschlössern versehen. Türen und Fenster sind außerhalb der Betriebszeiten fest ver-schlossen. Erdgeschossfenster verfügen über eine gesonderte Sicherung (z.B. Glasbruch-sensoren, Magnetkontakte). Das Gebäude ist durch eine Alarmanlage mit Anschluss an eine Notrufzentrale geschützt. In den Innenbereichen sind zusätzlich Bewegungsmelder installiert.

Es existieren folgende Maßnahmen zur Zutrittskontrolle:

a. Festlegung befugter Personenb. Vorhandensein von Regelungen für Firmenfremdec. Durchführung von Anwesenheitsaufzeichnungend. Sicherung durch Alarmanlage außerhalb der Arbeitszeitene. Einteilung der Unternehmensgebäude in Sicherheitsbereiche (Verwaltung,Entwick-

lung)f. Ausstattung der Maßnahmen zur Objektsicherung (Einbruchsmeldesystem,Stahltü-

ren, Umzäunung des Geländes, elektr. Rolltor)

02.Zugangskontrolle

Die Schlüssel zu den Räumlichkeiten, in denen die Auftragsdaten verarbeitet bzw. vernich-tet werden, befinden sich in der ausschließlichen Obhut der Geschäftsleitung des Auftrag-nehmers sowie der zuständigen Mitarbeiter. Dritte haben zu den Räumlichkeiten keinen Zutritt. Die Vergabe von Schlüsseln ist schriftlich geregelt. Firmenfremde werden zentral inEmpfang genommen und im Gebäude begleitet.

Eine Übersicht der Maßnahmen zur Zugriffskontrolle:

a. Festlegung befugter Personenb. Vorhandensein von Regelungen für Firmenfremdec. Durchführung von Anwesenheitsaufzeichnungend. Vorhandensein von Passwörtern (bei PC-Arbeitsplätzen)e. Anforderung der regelmäßigen Passwortänderung (bei PC-Arbeitsplätzen)

03.Zugriffskontrolle

Der Zugriff auf Systeme ist mit Benutzerkennungen und abgestuften Passwörtern ge-schützt. Zugriffe von außen erfolgen durch ausgewählte Mitarbeiter mit Identifizierung ge-genüber dem Datenverarbeitungssystem durch Identifikation und Authentifizierung. Aktuel-le Virenscanner sind installiert. Es wird gewährleistet, dasszur Verarbeitung bestimmte Daten während ihres Transports gegen unberechtigte Ein-sichtnahme und Verlust geschützt sind (SSL, Verschlüsselung bei Datenfernübertragung):

a. Umsetzung von Teilzugriffsmöglichkeit auf Datenbestände und Funktionen

b. Durchführung einer Identifizierung gegenüber dem Datenverarbeitungssystemdurch Identifikation und Authentifizierung

c. Überprüfung der Berechtigung, maschinelld. Umsetzung von Regelungen zur Zugriffs- und Benutzerberechtigunge. Durchführung der Auswertung von Protokollen

04.Trennungsgebot

Die Trennung der Datensätze erfolgt durch die Physikalisch getrennte Speicherungauf gesonderten Systemen oder Datenträgern.

Es existieren folgende Maßnahmen zum Trennungsgebot:

a. Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgernb. Logische Mandantentrennung (softwareseitig)

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohneHinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Personzugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrtwerden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.Unter Berücksichtigung und Wahrung der durch die jeweiligen Auftraggeber benanntenZwecke der Datenverarbeitung, findet eine Pseudonymisierung der personenbezogenenDaten, die im Zuge der sich aus dem Hauptvertrag zu erbringenden Leistungen ergeben,nicht statt. Bei Verarbeitungen der personenbezogenen Daten, die über den durch denKunden im Voraus definierten Zweck hinausgehen, nämlich konkret der Verarbeitung derDaten zu statistischen Zwecken, findet zuvor eine Anonymisierung statt. Hierbei werdennicht personenbezogenen Extrakte einzelner Datensätze aus den Datenbankenentnommen und miteinander vermischt, so dass ein späterer Personenbezug nicht mehrableitbar ist.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Für die datenschutzgerechte Vernichtung von Fehldrucken und sonstigem Datenabfall ste-hen für kleine Mengen elektrische Einzelschredder sowie für größere Mengen ein Papier-vernichtungscontainer eines gewerblichen Vernichters zur Verfügung.

Es existieren folgende Maßnahmen zur Weitergabekontrolle:

a. Vorhandensein von Dokumentationen der Abruf- und Übermittlungsprogrammeb. Vorhandensein von Dokumentationen zu den Stellen, an die eine Übermittlung vor-

gesehen ist, sowie deren Übermittlungswegec. Durchführung einer Verschlüsselung (SSL, SFTP, SSH)d. Feststellung zur Übermittlung befugter Personen

e. Lagerung von Datenträgern in Sicherheitsbereichen (Vorhandensein von Dateiar-chiven bzw.Tresoren)

f. Durchführung von regelmäßigen Bestandskontrollen (Tages-, Wochen-, Monats-check)

g. Kontrollierte Vernichtung von Datenträgern (Papier und el. Datenträger) nach DIN32757-1

h. Zertifiziertes Dokumentenvernichtungssystem

Eingabekontrolle

Um Eingaben, Änderungen und Löschungen nachvollziehen zu können, wird eine Historie der Änderungen erstellt, die die Änderung sowie den Benutzer enthält, der die Änderung vorgenommen hat. Die Rechte der Benutzer sind an die jeweiligen Ar-beitsabläufe und Abteilungen angepasst.

Es existieren folgende Maßnahmen zur Eingabekontrolle:

a. Protokollierung der Eingabe, Änderung und Löschung von Datenb. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch indivi-

duelle Benutzernamen (nicht Benutzergruppen)c. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis

eines Berechtigungskonzepts

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

.Verfügbarkeitskontrolle

Um die Verfügbarkeit der Daten zu Gewährleisten, werden regelmäßige Backups imRechenzentrum erstellt (siehe TOM Rechenzentrum).

Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:

a. Vorhandensein und Umsetzung eines Konzeptes zur Durchführung von regelmäßi-gen Datensicherungen (Datensicherheitskonzept gem. IT Grundschutz)

b. Überwachung der Betriebsparameter von Rechenzentren (SNMP, Nagios).

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

Sollte das Problem einer korrupten Datenbank hervortreten, so sind geeignete Maßnahmen einerraschen Wiederherstellbarkeit getroffen worden, indem die korrupte Datenbank mithilfe einesRAID-10-Systems wiederhergestellt. Soweit auch dieser automatische Prozess erfolglos bleibensollte, ist eine manuelle Erstellung von Backups innerhalb einer Stunde möglich. Der Serverstandort beherbergt weiterhin geeignete Maßnahmen im Falle eines entzündenden Feu-ers, indem Feuerabsenkungsanlagen installiert worden sind. Der Serverstandort ist außerdem so ausgestattet, dass er für einen Zeitraum von vier Tagen sichmit einem eigenem Notstromsystem versorgen kann, um so die Funktionalität der Server zu ge-währleisten.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. dDS-GVO; Art. 25 Abs. 1 DS-GVO)

● Datenschutz-Management;● Incident-Response-Management;

- Identifizierung zur Zugangsfreischaltung durch die Zusammenführung eines nach SHA1-Standard gehashten Passwortes mit einem Salt-Hash generierten Passwortes,

- Sperreinrichtung des Zuganges bei mehrmaligen Fehleingaben,- IP-Sperren bei Botangriffen,- IP-Blacklist (Drittländer, aus denen die BoAG keinen Kunden hat, werden ausgeschlossen),- Passwortaufforderung nach 30 Tagen (Passwort muss nach 30 Tagen geändert werden und

bereits in der Vergangenheit generierte Passwörter können nicht mehr genutzt werden),- Nutzername darf sich nicht in dem Passwort wiederfinden,- Vorgabe von Sonderzeichen, Groß- und Kleinschreibung innerhalb der Erstellung von

Passwörtern,- Erstmalige von der Bornemann AG an den Kunden gegebene Passwörter müssen

unmittelbar mit der ersten Nutzung des Zuganges geändert werden,- Neu erstelle Passwörter werden an die im Portal hinterleget E-Mail-Adresse gesendet,- Supportanfragen, die ggf. eine Auskunft von personenbezogenen Daten mit sich ziehen,

werden nur nach Nennung eines im Voraus vergebenen PINS beantwortet,- Installierte physische und softwaretechnischen Firewalls.

● Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);- Privatschalter (bei Betätigung werden die GPS-Ortungsdaten nicht mehr aufgezeichnet),- Privattaste Smartphone (Start- und Endpunkt der zurückgelegten Strecke bei dem Log-

book, können im Nachinein mithilfe der Privattaste der Smartphone-App als Privatfahrt de-klariert werden. Hierbei werden die aufgezeichneten Punkte unmittelbar unwiderruflich ge-löscht),

- Optionale Möglichkeit der Nutzung von Zeitfiltern, um das Life-Tracking von Personen ver-hindern zu können,

- Portfreigabe-, Portgruppenmanagement

Auftragskontrolle

Alle Mitarbeiter der Bornemann AG sind vertraglich zur Einhaltungdes Datengeheimnisses nach §5 Bundesdatenschutzgesetz (BDSG) und §88Telekommunikationsgesetz (TKG) verpflichtet.

Weitere Maßnahmen siehe ADV Rechenzentrum.

Anlage 3

Genehmigte Unterauftragnehmer

Der Auftraggeber stimmt der Beauftragung folgender Sub-Dienstleister zu, die der Auftragnehmer entsprechend den Anforderungen von Art. 28 Abs. 4 DS-GVO unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen ausgewählt hat. Der Auftragnehmer bestätigt, dass er sich von der Angemessenheit der technischen und organisatorischen Maßnahmen vorab überzeugt hat.

Lfd.Nr. Name, Anschrift Tätigkeitsbeschreibung1 mdex AG, Bäckerbarg 6, externes Rechenzentrum

22889 Tangstedt

Technische organisatorische MaßnahmenTechnische organisatorisch Maßnahmen (TOM) nach §9 BDSG

Version 2.6

Stand: September 2017 1/7

mdex AG Telefon +49 (0)4109 555-0 Fax +49 (0)4109 555-55

Bäckerbarg 6; D-22889 Tangstedt E-Mail [email protected] Web www.mdex.deTechnische Änderungen sind vorbehalten

Dokumentenhistorie ............................................................................................ 1

Datenschutzbeauftragter ..................................................................................... 2

IT-Sicherheitsbeauftragter ................................................................................... 2

1. Zutrittskontrolle ......................................................................................... 2

2. Zugangskontrolle ........................................................................................ 3

3. Zugriffskontrolle ......................................................................................... 4

4. Weitergabekontrolle .................................................................................... 4

5. Eingabekontrolle ......................................................................................... 5

6. Auftragskontrolle ........................................................................................ 5

7. Verfügbarkeitskontrolle .............................................................................. 6

8. Trennungsgebot ......................................................................................... 6

Dokumentenhistorie

Version Datum Autor Änderungen

2.1 12.08.2015 Dan • Standort Norderstedt unter

Zutrittskontrolle mit aufgenommen

• ic3s korrigiert (mdex)

• Dokumentenhistorie angelegt

2.2 03.03.2016 Dan • IT-Sicherheitsbeauftragter aufgenommen

• Nagios zu Incinga geändert

2.3 21.03.2016 Dan • Klarstellung der Rechenzentren

(Zugehörigkeit)

2.4 04.05.2017 Pja/dan • ITSB erneuert

• BIOS-Passwort entfernt

• Tripwire entfernt

• Manuelle Berechtigungsprüfung ergänzt

2.5 25.07.2017 Dan • Anpassung der E-Mail für ITSB

(@mdex.de)

Anlage 4

mailto:[email protected]



2/7


Bäckerbarg 6; D-22889 Tangstedt E-Mail [email protected] Web www.mdex.de Technische Änderungen sind vorbehalten

Version Datum Autor Änderungen

2.6 28.09.2017 Dan • Generelle Überarbeitung

Datenschutzbeauftragter

Schriftlich berufener Datenschutzbeauftragter ist derzeit:

Daniel Kuschow

04109 / 555 201

[email protected]

IT-Sicherheitsbeauftragter

Zuständig für die IT-Sicherheit im Unternehmen ist derzeit:

Pascal Jarosch

04109 / 555 160

[email protected]

1. Zutrittskontrolle

Die Betriebsgelände/-gebäude liegen im Gewerbegebiet Tangstedt und in

Norderstedt (externer Dienstleister). Sie bilden jeweils nach außen hin eine

geschlossene Einheit. In Tangstedt sind Türen und Tore der Gebäude mit

Sicherheitsschlössern versehen. Türen und Fenster sind außerhalb der

Betriebszeiten fest verschlossen. Erdgeschossfenster verfügen über eine

gesonderte Sicherung (z.B. Glasbruchsensoren, Magnetkontakte). Das Gebäude

ist durch eine Alarmanlage mit Anschluss an eine Notrufzentrale geschützt. In den

Innenfluren sind zusätzlich Bewegungsmelder installiert.

Die Schlüssel zu den Räumlichkeiten, in denen die Daten verarbeitet bzw.

vernichtet werden, befinden sich in der ausschließlichen Obhut der

Geschäftsleitung sowie der zuständigen Mitarbeiter. Dritte haben zu den

Räumlichkeiten keinen Zutritt. Über ein einheitliches Schließsystem wird

gewährleistet, dass Mitarbeiter neben den allgemeinen Bereichen nur ihre eigenen

Räume betreten können. Die Vergabe von Schlüsseln ist schriftlich geregelt.

Firmenfremde werden zentral in Empfang genommen und im Gebäude begleitet.

Die Rechenzentren befinden sich in abgeschotteten EDV-Räumen. Die Türen zu






3/7



diesen Räumen bestehen aus Metall und verfügen jeweils über ein eigenes

Sicherheitsschloss. Das Rechenzentrum in Tangstedt verfügt über eine Spezial-

Sicherheitsverglasung der Fenster sowie Sichtschutz. Die Zugangsberechtigungen

zu den Rechenzentren sind schriftlich geregelt.

Das Rechenzentrum in Tangstedt ist Eigentum der mdex AG. In Norderstedt wird

im Rechenzentrum der Stadtwerke Norderstedt eigene Hardware betrieben

(Housing). Im Rechenzentrum Flensburg wird Hardware durch die Firma MR-Net

betrieben (Housing).

Es existieren folgende Maßnahmen zur Zutrittskontrolle (Norderstedt):

a) Festlegung befugter Personen

b) Ausgabe von Zutrittsberechtigungsausweisen

c) Vorhandensein von Regelungen für Firmenfremde

d) Außenwände aus mehrschichtigem Mauerwerk ohne Fenster

e) Vereinzelungsschleuse

f) Zutrittskontrollsystem mit subjektivem oder biometrischem Merkmal

g) Videoüberwachung mit Speicherung > 2 Monate

Es existieren folgende Maßnahmen zur Zutrittskontrolle (Tangstedt):

h) Festlegung befugter Personen

i) Betrieb einer elektronischen Zutrittskontrolle

j) Ausgabe von Zutrittsberechtigungsausweisen

k) Vorhandensein von Regelungen für Firmenfremde

l) Sicherung durch Alarmanlage außerhalb der Arbeitszeit

m) Einteilung der Unternehmensgebäude in Sicherheitsbereiche (Verwaltung, Entwicklung, Rechenzentrum, Außengelände, …

n) Umsetzung einer Schlüssel bzw. Chipkartenregelung

o) Vorhandensein einer Türsicherung (elektr. Türöffner, Ausweisleser, PIN Eingabegerät)

p) Ausstattung der Maßnahmen zur Objektsicherung (Spezialverglasung, Einbruchsmeldesystem, Stahltüren, Umzäunung des Geländes, elektr. Rolltor)

2. Zugangskontrolle

Der Zugang zu Systemen ist mit Benutzerkennungen und abgestuften Passwörtern

geschützt. Zugriffe von außen erfolgen durch ausgewählte Mitarbeiter mit

Identifizierung gegenüber dem Datenverarbeitungssystem durch Identifikation




4/7



und Authentisierung (1. Ebene: VPN, 2. Ebene: zusätzliche Verschlüsselung bei

Datenfernübertragung). Eine Firewall nach dem Stand der Technik ist

implementiert. Aktuelle Virenscanner sind installiert. Es wird gewährleistet, dass

zur Verarbeitung bestimmte Daten während ihres Transports gegen unberechtigte

Einsichtnahme und Verlust geschützt sind (VPN, Verschlüsselung bei

Datenfernübertragung).

Eine Übersicht der Maßnahmen zur Zugangskontrolle:

a) Festlegung befugter Personen

b) Vorhandensein von Regelungen für Firmenfremde

c) Ausgabe von Ausweisen mit Zugangsfunktionen

d) Anforderung der regelmäßigen Passwortänderung (bei PC-Arbeitsplätzen)

e) Nutzung von VPNs

f) Firewall

3. Zugriffskontrolle

Der Zugriff auf bzw. die Administration von Produktionssysteme erfolgt

ausschließlich über gesonderte Rechner: mdex Security Clients (MSC).

Eine Übersicht der Maßnahmen zur Zugriffskontrolle:

a) Vorhandensein einer Zuordnung einzelner Terminals ausschließlich für bestimmte Funktionen

b) Vorhandensein einer funktionellen beschränkten Nutzung von Terminals und Identifizierungsmerkmalen

c) Umsetzung von Teilzugriffsmöglichkeit auf Datenbestände und Funktionen

d) Durchführung einer Identifizierung gegenüber dem Datenverarbeitungssystem durch Identifikation und Authentisierung

e) Überprüfung der Berechtigung, maschinell (halbjährig manuell)

f) Umsetzung von Regelungen zur Zugriffs- und Benutzerberechtigung

g) Einsatz passwortgeschützter Bildschirmschoner (bei Abwesenheit)

4. Weitergabekontrolle

Es existieren folgende Maßnahmen zur Weitergabekontrolle:

a) Vorhandensein von Dokumentationen der Abruf- und Übermittlungsprogramme

b) Vorhandensein von Dokumentationen zu den Stellen, an die eine Übermittlung vorgesehen ist, sowie deren Übermittlungswege




5/7



c) Durchführung von Protokollierungen jeder Übermittlung

d) Durchführung einer Verschlüsselung (PGP, SFTP, SSH)

e) Feststellung zur Übermittlung befugter Personen

5. Eingabekontrolle

Das 4-Augen-Prinzip ist vereinbart bei kritischen Eingaben. Change Request

Verfahren sind eingeführt. Verfahrensdokumentation und Arbeitsanweisungen

dokumentiert in QS Handbuch und IT Sicherheitsleitlinie (ISO 27001).

Beim Kundenportal, welches einen passwortgeschützten Benutzerzugang

voraussetzt, werden Änderungsoperationen protokolliert.

Des Weiteren haben sich alle Mitarbeiter der mdex AG vertraglich zur Einhaltung

des Datengeheimnisses nach §5 Bundesdatenschutzgesetz (BDSG) und §88

Telekommunikationsgesetz (TKG) verpflichtet.

Die Punkte in der Zusammenfassung:

a) Führung von Nachweisen der organisatorisch festgelegten Zuständigkeiten für die Eingabe (Change Request)

b) Durchführung der Protokollierung von Eingaben (internes Wiki)

c) 4-Augen Prinzip bei kritischen Eingaben

d) Prüfung der Eingabeergebnisse

e) Durchführung von Plausibilitätsprüfungen

6. Auftragskontrolle

Es existieren folgende Maßnahmen zur Auftragskontrolle:

a) Erstellung einer differenzierten Datenträgerverwaltung (VLAN)

b) Lagerung von Datenträger in Sicherheitsbereichen (Vorhandensein von Dateiarchiven bzw. Tresoren)

c) Durchführung von regelmäßigen Bestandskontrollen (Tages-, Wochen-, Monatscheck)

d) Vorhandensein von Sicherheitsschränken (Data-Safe für magnetische Datenträger -Brandschutz)

e) Kontrollierte Vernichtung von Datenträgern (Papier und elektr. Datenträger) nach DIN 32757-1

f) Zertifiziertes Dokumentenvernichtungssystem

g) Umsetzung einer Vorbehandlung (Zerstörung von Datenträgern, Reißwolf )




6/7



7. Verfügbarkeitskontrolle

Die Standorte verfügen über unterbrechungsfreie Stromversorgung (USV). In

Tangstedt mit Dieselaggregaten, Brandschutz mit Argon-Löschanlage,

Überspannungsschutz und Blitzschutzanlage. Regelmäßig wird der Zustand der

Datenschutzeinrichtungen sowie Umsetzung des Datensicherheitskonzepts

kontrolliert. (Tagescheck, online-monitoring). Betriebsparameter der

Rechenzentren (SNMP, Icinga) werden überwacht. Es existieren Notfallkonzept

(Notfall-Handbuch gem. IT Grundschutz) und Regelungen zur Aufnahme eines

Krisen- bzw. Notfallmanagements (Notbetriebsplan gem. IT Grundschutz). Alle

kritischen Komponenten sind standortredundant.

Sicherungsbestände der Daten lagern redundant in Stahlschränken an

verschiedenen Standorten. Für die datenschutzgerechte Vernichtung von

Fehldrucken und sonstigem Datenmüll stehen für kleine Mengen elektrische

Einzelschredder sowie für größere Mengen ein Papiervernichtungscontainer eines

gewerblichen Vernichters und zur Vernichtung harter Datenträger ein 240l

Behälter des gewerblichen Vernichters zur Verfügung.

Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:

a) Vorhandensein und Umsetzung eines Konzeptes zur Durchführung von regelmäßigen Datensicherungen (Datensicherheitskonzept gem. IT Grundschutz)

b) Regelmäßige Kontrolle des Zustandes und der Kennzeichnungen von Datenträger für Datensicherungen (Wochencheck)

c) Gesicherte Lagerung von Datensicherungen in feuer- und wassergeschützten Datensicherheitsschränken (Tresor)

d) Vorhandensein und regelmäßige Prüfung von Notstromaggregaten und Überspannungsschutzeinrichtungen (Monatscheck)

e) Überwachung der Betriebsparameter von Rechenzentren (SNMP, Icinga)

f) Vorhandensein eines Notfallkonzeptes (Notfall-Handbuch gem. IT Grundschutz)

g) Regelungen zur Aufnahme eines Krisen bzw. Notfallmanagements (Notbetriebsplan gem. IT Grundschutz)

h) Standortsredundanz für kritische Komponenten

8. Trennungsgebot

Die Abschottung der Datenbestände verschiedener Auftraggeber werden durch

Speicherung in getrennten physischen Dateien bzw. Datenbanken und Netzen

erreicht.




7/7



Es existieren folgende Maßnahmen zum Trennungsgebot:

a) Umsetzung und Dokumentation einer Funktionstrennung (Vier-Augen-Prinzip)

b) Vorhandensein von Richtlinien und Arbeitsanweisungen (QS Handbuch, IT Grundschutz)

c) Vorhandensein von Verfahrensdokumentation (QS Handbuch, IT Sicherheitsleitlinie)

d) Umsetzung von Regelungen zur Programmierung (Styleguide)

e) Regelungen zur System- und Programmprüfung (Freigabeprozeduren)

f) Vorhandensein von Stellenbeschreibungen




Documents

personenbezogener Daten im Auftrag zur ... - bornemann… · Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag Bornemann AG 11/02/2018 Merkblatt zur Verarbeitung personenbezogener