Auftragsverarbeitung

verantwortliches Unternehmen:

resment UG (haftungsbeschränkt)
Hohe Straße 69-71
50667 Köln

Inhaltsverzeichnis

Auftragsverarbeitung

§ 1 Auftrag und Festlegungen zur Verarbeitung

1. Dieser Vertrag über die Auftragsverarbeitung (nachfolgend AVV) gem. Art. 28 DSGVO konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien für die Verarbeitung personenbezogener Daten im Sinne der DSGVO im Rahmen der jeweils bestehenden Verträge (i.d.R. Angebot und AGB) (nachfolgend einzeln bzw. gemeinsam Hauptvertrag).
2. Die Erbringung der vertraglich vereinbarten Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stat. Jede Verlagerung in ein Dritland bedarf der vorherigen Zusstmmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
3. Bei Widersprüchen geht dieser AVV dem Hauptvertrag vor und die Anlagen des AVV gehen diesem AVV vor.

§ 2 Verantwortlichkeit und Verarbeitung auf Weisung

1. Der Verantwortliche trägt Sorge für die Einhaltung der anwendbaren gesetzlichen Besstmmungen (Art. 4 Nr.7 DSGVO) und trifft die alleinige Entscheidung über Zwecke und wesentliche Mitel der Verarbeitung.
2. Der Auftragsverarbeiter handelt weisungsgebunden, es sei denn es liegt ein Ausnahmefall gemäß Art. 28 Abs. 3 S. 2 Buchst. a DSGVO vor (anderweitige gesetzliche Verarbeitungspflicht). Mündliche Weisungen sind in Textform zu bestätigen. Die vom Verantwortlichen bereits getroffenen Weisungen ergeben sich aus dem anwendbaren Hauptvertrag in seiner jeweils gülltgen Fassung.
3. Der Auftragsverarbeiter berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein, wenn der Verantwortliche dies anweist. Eine Löschung erfolgt nicht, soweit der Auftragsverarbeiter gesetzlich zur weiteren Speicherung der personenbezogenen Daten verpflichtet ist.
4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz oder diesen AVV verstößt. Der Auftragsverarbeiter darf die Umsetzung der Weisung so lange aussetzen, bis diese vom Verantwortlichen in Textform bestätigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger
Weisungen darf der Auftragsverarbeiter ablehnen.
(5) 2.5 Der Auftragsverarbeiter gewährleistet, dass die bei ihm zur Verarbeitung der Daten befugten Personen
(a) die Weisungen des Verantwortlichen kennen und diese beachten, sowie
(b) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung im Rahmen des arbeitsvertraglich Zulässigem fort.

§ 3 Sicherheit der Verarbeitung

1. Die Parteien vereinbaren technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (nachfolgend TOM) zum angemessenen Schutz der Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintritswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen in einer Anlage zu diesem AVV (nachfolgend Anlage TOM).
2. Änderungen der TOM bleiben dem Auftragsverarbeiter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschriten wird. Neue Fassungen der Anlage TOM werden dem Verantwortlichen auf dessen Verlangen in Textform mitgeteilt.

§ 4 Unterrichtung bei Datenschutzverletzungen, Fehlern der Verarbeitung und Insolvenz- bzw. vergleichbaren Verfahren; weitere Vorgehensweise

1. Die Parteien unterrichten einander unverzüglich,
• wenn ihnen Verletzungen des Schutzes der von dem Auftragsverarbeiter verarbeiteten Daten im Sinne
• des Art. 4 Nr. 12 DSGVO und Art. 33 Abs. 2 DSGVO bekannt werden oder ein konkreter Verdacht einer solchen Datenschutzverletzung besteht;
• wenn von ihnen Fehler bei der Verarbeitung personenbezogener Daten durch den
Auftragsverarbeiter festgestellt werden.
2. Der Verantwortliche erteilt auf die Information hin unverzüglich Weisungen zur Behebung der Datenschutzverletzung bzw. der Verarbeitungsfehler. Der Auftragsverarbeiter ist, sofern eine unverzügliche Weisung des Verantwortlichen nicht erfolgt und der Auftragsverarbeiter davon ausgehen darf, dass ein unverzügliches Handeln erforderlich ist zur Vermeidung weiterer Verletzungen bzw. des Auftretens weiterer Fehler, berechtigt, die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung oder der Fehler sowie zur Minderung nachteiliger Folgen
vorzunehmen, insbesondere, die Datenverarbeitung einzustellen. Er stimmt sich sodann mit dem Verantwortlichen ab.
3. Ist der Auftragsverarbeiter der Ansicht, dass eine Vereinbarung oder Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Auftraggeber hierüber unverzüglich schriftlich informieren. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung, solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
4. Mündliche Unterrichtungen beider Parteien gemäß den vorgenannten Absätzen sind unverzüglich in Textform nachzureichen.
5. Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Driter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich in Textform zu informieren. Der Auftragsverarbeiter wird alle Driten darüber informieren.

§ 5 Übermitlung von Daten an einen Empfänger in einem Dritland oder in einer internationalen Organisation

Die Übermitlung von Daten an einen Empfänger in einem Dritland außerhalb von EU und EWR ist unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Bedingungen zulässig.

§ 6 Unterbeauftragungen durch den Auftragsverarbeiter

1. Der Auftragsverarbeiter darf die Verarbeitung personenbezogener Daten nur mit Zustimmung des Verantwortlichen ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragsverarbeiter“) erbringen lassen.
2. Der Auftragsverarbeiter informiert den Verantwortlichen vorab in Textform über die beabsichtigte Beauftragung von Unterauftragsverarbeitern oder beabsichtigte Änderungen in der Unterbeauftragung. Der Verantwortliche kann bei Vorliegen eines wichtigen Grundes der Unterbeauftragung widersprechen. Im Fall eines begründeten Widerspruchs räumt der Verantwortliche dem Auftragsverarbeiter zwei Wochen ein, um den vom Widerspruch betroffenen Unterauftragsverarbeiter durch einen anderen Unterauftragsverarbeiter zu ersetzen oder die Verarbeitung im Auftrag sonst so anzupassen, dass diese ohne den vom Widerspruch betroffenen Unterauftragsverarbeiter erfolgen kann.
3. Der Auftragsverarbeiter wird dem Unterauftragsverarbeiter die gleichen Datenschutzpflichten, soweit gesetzlich verpflichtend, auferlegen, die in diesem AVV für den Auftragsverarbeiter festgelegt sind. Insbesondere müssen die mit dem Unterauftragsverarbeiter vereinbarten TOM ein gleichwertiges Schutzniveau aufweisen.
4. Leistungen, die der Auftragsverarbeiter als reine Nebenleistung zur Unterstützung seiner geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt, sind keine Unterbeauftragungen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleistungen angemessene Vorkehrungen zu ergreifen.

§ 7 Rechte betroffener Personen und Unterstützung des Verantwortlichen

Macht eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO bei einer Partei geltend, so informiert dieser die andere Partei darüber unverzüglich. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

§ 8 Kontroll- und Informationsrechte des Verantwortlichen

1. Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung seiner Pflichten aus diesem AVV mit geeigneten Miteln nach.
2. Geeignete Mitel können insbesondere angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise sein. Angemessen sind insbesondere Zertifizierungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Das gesetzliche Inspektionsrecht des Verantwortlichen bleibt hiervon unberührt.
3. Der Verantwortliche ist berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs sowie nach vorheriger Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit, Inspektionen beim Auftragsverarbeiter zur Prüfung der Einhaltung der Verpflichtungen aus diesem AVV durchzuführen. Der Auftragsverarbeiter darf die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden von effectem und der TOM abhängig machen.
4. Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch, so informieren sich die Parteien hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich bei Erfüllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.

§ 9 Über gesetzliche Verpflichtungen hinausgehende Leistungen

Der für die Erfüllung der gesetzlichen Verpflichtungen des Auftragsverarbeiters entstehende Aufwand ist mit dem gemäß dem Hauptvertrag gezahlten Entgelt abgegolten. Hinsichtlich des Aufwandes für Personalleistungen, der anfällt für die Unterstützung nach Maßgabe von Ziffer 7 Satz 2 und für solche Kontrollen vor Ort nach Ziffer 8.3 und 8.4, die über eine jährliche Kontrolle hinausgehen oder die bei anlassbezogenen Kontrollen anfallen, die im Zuge der Kontrolle keine datenschutzrechtlichen Auffälligkeiten bzw. Verstöße ergeben, behält sich der Auftragsverarbeiter vor, sich seinen Aufwand nach
seinen jeweils aktuellen Sätzen vergüten zu lassen.

§ 10 Haftung und Schadenersatz

1. Macht eine betroffene Person gegenüber einer Partei Schadenersatzansprüche wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren.
2. Die Parteien haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

§ 11 Zustandekommen, Laufzeit

Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrags, längstens solange der Auftragsverarbeiter noch Daten für den Verantwortlichen verarbeitet. Mit Beendigung des Hauptvertrags hat der Auftragsverarbeiter nach Wahl des Verantwortlichen die im Auftrag verarbeiteten Daten herauszugeben oder datenschutzkonform zu löschen sowie etwaig vorhandene Kopien der Daten zu löschen, sofern nicht eine Verpflichtung zur Speicherung vorliegt. Nach Beendigung dieser Vereinbarung wird der Auftragsverarbeiter, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder sonstiger ihn zur Aufbewahrung berechtigenden Vorschriften, die für den Verantwortlichen im Rahmen dieser Vereinbarung verarbeiteten Daten an den Verantwortlichen herausgeben bzw. vernichten oder löschen.

§ 12 Schlussbestimmungen

1. Änderungen, Ergänzungen oder Kündigung des AVV bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für eine Änderung dieser Formklausel. Eine Änderung wird wirksam, wenn dem Verantwortlichen eine Miteilung über die entsprechende Änderung in Textform mitgeteilt wird und er der Änderung nicht innerhalb einer Frist von 4 Wochen widerspricht. Widerspricht der Verantwortliche der Änderung in Textform, gilt der frühere AVV weiter. Die Parteien werden sich in diesem Fall einvernehmlich auf die erforderlichen Anpassungen dieses AVV verständigen. Finden
die Parteien keine Einigung, hat jeder das Recht, den AVV mit einer Frist von vier Wochen zu kündigen.
2. Abweichende mündliche Abreden der Parteien sind unwirksam.
3. Sollte eine Bestimmung des AVV unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen hiervon unberührt.
4. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des
Kollisionsrechts.

Anlage zum Auftragsverarbeitungsvertrag - Technisch-organisatorische Maßnahmen

Beschreibung der technischen und organisatorischen Maßnahmen des Auftragnehmerszum angemessenen Schutz der Daten des Kunden nach Art. 32 DSGVO –

Durch die technischen und organisatorischen Maßnahmen werden die Belastbarkeit, Integrität Pseudonymisierung, Verfügbarkeit, Verschlüsselung, Vertraulichkeit und Wiederherstellbarkeit der Systeme und Dienste von resment und dessen Unterauftragnehmer im Zusammenhang mit diesem
AV-Vertrag sichergestellt.

Zusätzlich hierzu ist der Kunde nach Art. 24 DSGVO eigenverantwortlich für die Erarbeitung und Umsetzung eigener geeigneter Maßnahmen verantwortlich. Entsprechende Richtlinien, wie zum Beispiel ISO 27002, sollten durch den Kunden beim Bundesamt für Sicherheit in der Informationstechnik erfragt und eingehalten werden.

§ 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Maßnahmen, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.

1. Für alle relevanten Standorte sind Sicherheitszonen und deren physischer Schutz in einem Sicherheitszonenkonzept definiert, dokumentiert und kann auf Anfrage vorgelegt werden. Inhaltliche Punkte des Konzeptes sind zum Beispiel:
Beaufsichtigung von Fremdpersonen innerhalb der Sicherheitszonen, kontrollierte Zugangsvergabe, Einsatz von DSGVO-konformen Serverstrukturen nach ISO 27001 etc.
2. Das definierte Sicherheitszonenkonzept ist für alle relevanten Standorte umgesetzt.
3. Das Sicherheitszonenkonzept wird min. 1x pro Jahr überprüft.
4. Die Sicherheitszonen sind für alle relevanten Standorte durch physische Barrieren (Zaun, feste Wände, Türen, Zutritskontrollanlage, Einbruchmeldeanlage etc.) geschützt, um nur autorisierten Personen Zutrit zu gewährleisten. Besucher in Sicherheitszonen werden durch autorisiertes Personal begleitet.
5. Es existiert ein dokumentiertes und wirksames Verfahren zur Vergabe, Änderung und Entzug von Zutritsrechten inkl. Rückgabe der Zutritsmitel. Diese Vergabe wird nach dem “Need-to-Know”-Prinzip durchgeführt.

§ 2 Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutztwerden können

1. Es existiert ein dokumentiertes und wirksames Zugangskontrollkonzept inkl.
2. Netzwerksicherheitszonen und Netzsegmentierung.
3. Das Zugangskontrollkonzept definiert die Vergabe, Änderungen und den Entzug von Zugangsrechten sowie deren Freigabe für interne und externe Mitarbeiter.
4. Jeder Verbindungsaufbau erfolgt ausschließlich über verschlüsselte Protokolle wie HTTPS, SSL/TLS, SSH oder Protokolle eines ähnlichen oder höheren Sicherheitsstandards.
5. Die Vorgänge für die Vergabe, Änderungen und den Entzug von Zugangsrechten sowie deren Freigabe werden nachvollziehbar protokolliert.
6. Das Zugangskontrollkonzept wird mindestens 2x pro Jahr durch den Auftragnehmer überprüft.
7. Jede Benutzerkennung ist zu jedem Zeitpunkt eindeutig einer natürlichen Person zugeordnet und darf nicht weitergegeben oder geteilt werden.
8. Es werden sichere Passworte verwendet. Aufbau und Handhabung erfolgt gemäß einer dokumentierten Passwortrichtlinie, die für alle Mitarbeiter bei allen Systemen ausschließlich eine 2-Faktor-Authentifizierung vorsieht. Hierbei muss das selbst gewählte Passwort den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik entsprechen (min. 8 Zeichen, Nutzung von allen verfügbaren Zeichen inkl. Groß- und Kleinschreibung, Ziffern und Sonderzeichen)
9. Default Passwörter von Systemen und Applikationen (z.B. Oracle, SAP) werden grundsätzlich geändert.
10. Es wird sichergestellt, dass Initialkennwörter für Benutzer nach einer kurzen Frist unbrauchbar, sofern sie nicht unverzüglich geändert wurden.
11. Passwörter dürfen nur von dafür berechtigten Personen gemäß definiertem Prozess zurückgesetzt oder geändert werden.
12. Administratoren nutzen separate Zugänge für das Management von Systemen und deren privilegierte Aktivitäten werden protokolliert.
13. Die Delegation von Rechten (Vertretungsregelung) erfolgt ausschließlich gemäß definierter Vorgaben.
14. Alle Mitarbeiter sind angewiesen, ihre Arbeitsplätze zu sperren, wenn sie diese verlassen.
15. Standardmäßig werden Arbeitsplätze mit automatischer Sperre konfiguriert.
16. Alle Zugänge zu Systemen (Applikationen, Betriebssystemen, BIOS, Boot-Devices etc.) sind mit Passwort gesichert oder gesperrt.
17. Geräte von Mitarbeitern werden bei Inaktivität oder einer Nicht-Nutzung von 10 Minuten automatisch gesperrt. Alle Mitarbeiter sind angewiesen, beim Verlassen des Arbeitsplatzes alle Geräte unverzüglich zu sperren. Weitere Details sind der Datenschutzschulung zu entnehmen.
18. Der externe Zugriff (Remote Access) wird über eine Firewall, mitels starker Verschlüsselung und 2-Faktor Authentisierung gesichert.

§ 3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entferntwerden können.

1. Es wird sichergestellt, dass nur die Zugriffsrechte vergeben werden, die zur Erfüllung der jeweiligen Aufgabenstellung erforderlich sind.
2. Die Vergabe und Freigabe von Zugriffsrechten ist nachvollziehbar dokumentiert, sodass festgestellt werden kann, wer auf die Daten Zugriff hat.
3. Das Vergabeverfahren und die Zugriffsrechte werden regelmäßig geprüft und bestätigt. Zugriffsrechte werden unverzüglich entzogen, sofern sie nicht mehr erforderlich sind.
4. Für alle Daten ist jeweils ein Verantwortlicher festgelegt, der entscheidet, wer welchen Zugriff erhalten darf.
5. Zugriffsrechte werden angepasst, wenn sich die Aufgabenstellungen in den Geschäftsabläufen ändern.
6. In den Applikationen ist sichergestellt, dass die zugeteilten Zugriffsrechte technisch umgesetzt sind.
7. In allen Umgebungen, die Produktionsdaten enthalten (auch Entwicklung, Test etc.), wird der unbefugte Zugriff ausgeschlossen.

§ 4 Trennungskontrolle

Maßnahmen, die gewährleisten, dasszu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

1. Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden so separiert (physisch oder logisch), dass diese dem Zweck entsprechend getrennt verarbeitet, gespeichert und gelöscht werden (Rollen und Berechtigungskonzept). Dies gilt für alle verwendeten Systeme des Auftragnehmers.
2. Entwicklungs-, Test- und Produktivumgebungen sind getrennt.

§ 5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

1. Sofern angemessen, erfolgt die Verarbeitung mit pseudonymisierten Daten.
2. Die Verarbeitung personenbezogener Daten erfolgt dann in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

§ 6 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Transport- und Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischenÜbertragung, ihrer
Speicherung auf Datenträger oder während ihres Transportes nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

1. Die Daten werden bei Transport, Speicherung, Übertragung und Verarbeitung außerhalb des geschützten Bereiches des Unternehmens mit Verfahren wie starker Verschlüsselung,
2. Zwei-Faktor-Authentifizierung gesichert (z. B. Festplatenverschlüsselung).
3. Es sind Anweisungen für die Handhabung von Informationen festgelegt und die Mitarbeiter werden geschult, um den Missbrauch der Daten zu verhindern (z.B. zertifizierte Entsorgung von Papier und Datenträger, Auswahl der Übermitlungsverfahren, Verschlüsselung von alle Datenträgern vor der offiziellen Nutzung). Insbesondere werden hier Richtlinien zur Teleheimarbeit im Remote Office und zur datenschutzkonformen Nutzung von Internet, IT und Kommunikationsmedien. Die entsprechenden Anweisungen und Schulungen werden vor dem offiziellen Arbeitsbeginn, spätestens jedoch am ersten Arbeitstag durchgeführt. Die Verpflichtung zur Einhaltung aller Anweisungen wird schriftlich durch die Mitarbeiter bestätigt. Gleiches gilt für die Zusammenarbeit mit externen Mitarbeitern (z. B. Freelancer), die zusätzlich noch ein Non-Disclosure-Agreement unterschreiben.
4. Kryptografische Schlüssel zum Schutz der Daten werden sicher in einem entsprechenden Managementsystem verwaltet.
5. Der Auftragnehmer nutzt eine REST API, um einen Austausch von Daten zu realisieren. Wir sichern die gesamte Kommunikation zwischen den Systemen von unseren Partnern und uns über zwei Verschlüsselungen ab: RSA (2048 bit) und AES-256.
Hierbei vergeben wir unterschiedliche Rollen, um Zugänge stets auf ein Minimum zu beschränken. Dies trifft für das Übertragen von allen in diesem Dokument genannten Daten zu.

§ 7 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in Systeme eingegeben, verändert oder entfernt worden sind.

1. Die folgenden Ereignisse werden protokolliert (systemseitig oder anderweitig):
a. Allgemeine Personendaten: Name, Vorname, Geschlecht, Alter, Audio, Video, Dokumente
b. An- und abmelden
c. Konfigurationsänderungen
d. Passwortänderungen
e. Erstellen, Ändern und Löschen von Konten und Gruppen
f. Änderungen in der Protokollkonfiguration
g. Aktivierung und Deaktivierung von Sicherheitssoftware wie Virenscanner oder lokaler Firewall
h. Änderungen von personenbezogenen Daten in Applikationen
2. Der Grad der Überwachung von System- und Netzwerkressourcen ist dem Risiko entsprechend festgelegt. Dabei werden relevante rechtliche Aspekte berücksichtigt.
3. Log-Systeme und Logging-Informationen werden vor unbefugtem Zugriff, Änderung und Löschung geschützt und regelmäßig ausgewertet.
4. Die Uhren aller kritischen Systeme werden mit einem zuverlässigen und vereinbarten Zeitserver synchronisiert.

§ 8 Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können:
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Kunden, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

1. Es existieren formelle Vereinbarungen über den Informationsaustausch zwischen den o.g.
2. Vertragsparteien, die die Sicherheit der Daten berücksichtigen.
3. Vor Aufnahme einer Auftragsverarbeitung wird mit jedem Dienstleister rechtsverbindlich im Rahmen einer AV festgelegt, wie Informationen / Daten zu handhaben sind.
4. Vor der Beauftragung externer Dienstleister erfolgt eine Bewertung hinsichtlich ihrer Reputation, Qualifikation, Software, Hardware, personellen und finanziellen Ressourcen und Sicherheitsaspekten in Bezug auf ihre zukünftigen Aufgaben.
5. Die Einhaltung der Verträge wird durch regelmäßige Kontrolle der Vertragsausführung überwacht. Bei Abweichungen werden die definierten Ansprechpartner für Informationssicherheit / Datenschutz involviert und ggf. der Vertrag oder die Vertragsausführung angepasst.
6. Im Falle einer fristlosen Kündigung werden zusätzliche Maßnahmen ergriffen, die den vorsätzlichen Missbrauch von Infrastruktur oder Daten durch den externen Dienstleister verhindern (z. B. durch Sperren von Zugängen).
7. Weisungsgeber aufseiten des Kunden bzw. Weisungsempfänger aufseiten des Auftragnehmers sind namentlich (oder als Rolle) bekannt.

§ 9 Verfügbarkeit, inkl. Belastbarkeit und Wiederherstellbarkeit

(Art. 32 Abs. 1 lit. b+c DSGVO) Maßnahmen, die gewährleisten, dass personenbezogene Daten, gegen zufällige Zerstörung oder Verlust geschützt sind.

1. Es sind Schutzmaßnahmen (USV, Netzersatzanlage, Feuerlöscher, Branderkennung etc.) gegen elementare Gefährdungen – insb. Feuer, Wasser, Ausfall von Versorgungsnetzen, Denial of Service – vorhanden.
2. Die Daten werden in physisch geschützten Bereichen verarbeitet, die Maßnahmen zur Absicherung des Bereiches sind dokumentiert und werden regelmäßig geprüft.
3. Anlagen zur Versorgung der Datenverarbeitungssysteme werden regelmäßig gewartet.
4. Die Auslastung von (System-)Ressourcen wird überwacht und ggf. angepasst, um eine ausreichende Systemkapazität sicherzustellen.
5. Auf allen Informationssystemen ist ein aktueller Schutz vor Malware, Zero-DayExploits oder böswilligem Verhalten von Software installiert, wird zentral verwaltet und auf dem aktuellen Stand gehalten.
6. Serversysteme werden in sicheren Umgebungen betrieben (z.B. Serverräume oder Rechenzentren) und die Installation in Büros wird unterbunden.
7. Daten werden so gesichert, dass sie dem Zweck entsprechend separiert in einer definierten Zeit wiederhergestellt werden können.
8. Bei der Datensicherung werden der Umfang, die Häufigkeit, die Art (voll, differentiell, inkrementell), der Zeitrahmen, eine Verschlüsselung und physisch getrennte Aufbewahrung berücksichtigt und nachvollziehbar dokumentiert.
9. Bei jeder Änderung des Datensicherungsverfahrens wird die Wiederherstellbarkeit der Daten aus der Datensicherung geprüft.
10. Eingerichtete Redundanzen (z.B. RAID, Cluster, Load-Balancer) werden, sofern diese nicht kontinuierlich in Betrieb sind, regelmäßig auf Funktion überprüft. Durchgeführte Prüfungen werden dokumentiert.

§ 10 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

Maßnahmen, die gewährleisten, dass die Datenschutzanforderungen umgesetzt werden und diese auch nachweisbar sind (Datenschutz-Management).

1. Relevante interne und externe Mitarbeiter werden in den Datenschutz eingewiesen und auf diesen verpflichtet.
2. Interne und externe Mitarbeiter werden für Verarbeitungstätigkeiten / Anwendungen geschult und auf die Folgen von Verletzungen des Datenschutzes hingewiesen.
3. Die Austritsverfahren für Mitarbeiter gewährleisten, dass Sicherheitsverletzungen vermieden werden und zur Verfügung gestellte Ausstatung zurückgegeben wird.
4. Geräte werden so entsorgt, dass keine Daten rekonstruiert werden können.
5. Die IT-Betriebsverfahren (z. B. User Management, Backup, Netzwerkmanagement) sind nachvollziehbar dokumentiert, werden regelmäßig geprüft und bei Bedarf angepasst.
6. Alle Änderungen werden im Rahmen eines nachvollziehbar dokumentierten ChangeManagement Prozesses abgewickelt.
7. Das Risiko von Datenpannen wird durch Trennung von Verantwortlichkeiten (z. B. System- getrennt von Datenadministration) reduziert.
8. Identifizierung, Bereitstellung und Test von Updates sind Bestandteil des Regelbetriebs.
9. Sicherheitsfunktionen von Systemen und Anwendungen sind konfiguriert und aktiviert.
10. Es existiert ein Regelwerk für Informationssicherheit und Datenschutz.
11. Das Regelwerk für Informationssicherheit und Datenschutz sowie die Sicherheitsmaßnahmen werden regelmäßig auf Einhaltung und Wirksamkeit geprüft.
12. Es gibt eine System- und Softwareentwicklungsrichtlinie, die die Aspekte des Datenschutzes beinhaltet.

§ 11 Incident-Response-Management

Maßnahmen, die gewährleisten, dass Datenpannen schnell erkannt und gemeldet werden.

1. Es ist ein an „best practices“ ausgerichteter Prozess (ITIL) eingerichtet, der sicherstellt, dass Sicherheitsvorfälle identifiziert, bewertet und angemessen behandelt werden.
2. Mit allen relevanten Parteien sind Eskalationsverfahren und organisatorische Schnitstellen definiert und der Datenschutzbeauftragte wird unverzüglich involviert.
3. Alle Informationssicherheitsvorfälle, die über eine typische geringfügige Störung im Tagesgeschäft hinausgehen, werden unverzüglich ohne weitere Prüfung an festgelegte Stellen gemeldet.
4. Mitarbeiter, die für die Verwaltung von IT-Systemen / Anwendungen zuständig sind, werden geschult, um Sicherheitsvorfälle zu erkennen, zu klassifizieren und zu melden.
5. Es ist ein Prozess etabliert, der auch während einer Krise oder eines Desasters für alle kritischen Geschäftsprozesse die Informationssicherheit gewährleistet.
6. Für einen Notfall / eine Krise sind Prozesse und Verantwortlichkeiten definiert und es finden entsprechende Übungen stat.

§ 12 Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DSGVO)

Maßnahmen, die gewährleisten, dass Privacy by Design und by Default berücksichtigtsind.

1. Bestandteil eines neuen oder zu ändernden Datenverarbeitungsvorgangs ist eine Bewertung der Risiken der Betroffenen und davon abhängig die Identifikation und Realisierung technischer und organisatorischer Sicherheitsmaßnahmen. Frühzeitig wird berücksichtigt, dass die Grundsätze des Datenschutzes wie Datenminimierung, Integrität, Richtigkeit der Datenverarbeitung, Speicherbegrenzung, Transparenz, Verarbeitung nach Treu und Glauben und Zweckbindung eingehalten werden.
2. Vor Produktionsaufnahme eines neuen oder geänderten Datenverarbeitungsvorgangs wird im Rahmen einer Abnahme geprüft, ob der Datenschutz durch entsprechende Voreinstellungen gegeben ist. Dies wird durch den technischen Leiter durchgeführt.