loading

Die Bestimmungen zur Datenverarbeitung zum Download als PDF-Dokument .

Bestimmungen zur Datenverarbeitung

im Auftrag der/des

______________________________________________

______________________________________________

- nachstehend "Auftraggeber" genannt -

gegenüber der

Buhl Data Service GmbH, Am Siebertsweiher 3/5, 57290 Neunkirchen, vertreten durch den Geschäftsführer Peter Glowick

- nachstehend "Auftragnehmer" genannt -


§ 1 Gegenstand und Dauer des Auftrags

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von dem Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig gemäß § 11 Bundesdatenschutzgesetz (BDSG) als Vertragspartner ausgewählt.

(2) Gegenstand und Dauer des Auftrags ergeben sich aus der Prdouktbeschreibung der Software WISO Vermieter:Web, den Allgemeinen Geschäftsbedingungen des Auftragnehmers (abrufbar unter http://www.buhl.de/agb) und aus den vorliegenden Bestimmungen zur Datenverarbeitung. Der Auftrag umfasst insbesondere:

- Umfang, Art und Zweck der Auftragsdatenverarbeitung:
Der Auftragnehmer wird im Rahmen des vorstehenden Hauptvertrags dem Auftraggeber Speicherplatz auf einem Server im Rechenzentrum des Auftragnehmers, Am Siebertsweiher 3/5, 57290 Neunkirchen, bereitstellen, damit der Auftraggeber dort über die Software WISO Vermieter:Web personenbezogene Daten erheben, verarbeiten und/oder nutzen, insbesondere speichern und/oder löschen kann. Dabei wird ausschließlich der Auftraggeber die betreffenden personenbezogenen Daten erheben, verarbeiten und/oder nutzen. Lediglich die Speicherung und Sicherung der personenbezogenen Daten erfolgt durch den Auftragnehmer.

- Art der Daten:
Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

  • Mieterdaten (z.B. Namen und Adressen)

  • Mietvertragsdetails (z.B. Miethöhe, Mietbeginn, etc.)

  • Mietneben- und Heizkostenabrechnungsdaten (Zählerstände, Kosten etc.)

- Kreis der Betroffenen:
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst (Aufzählung / Beschreibung der betroffenen Personenkategorien):

  • Mieter

(3) Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben oder mit anderen Daten zusammenzuführen. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.


§ 2 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Die Beurteilung der Zulässigkeit der Datenverarbeitung obliegt dem Auftraggeber. Er ist ebenfalls für die Wahrung der Betroffenenrechte verantwortlich. Der Auftraggeber erteilt sämtliche Aufträge auf zuvor mit dem Auftragnehmer abgestimmte Art und Weise.

(2) Der Auftraggeber hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig, von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber ist berechtigt, das Ergebnis in geeigneter Weise zu dokumentieren. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer festgestellt werden.

(4) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen bezüglich Zweck, Art und Umfang der Verarbeitung von Daten an den Auftragnehmer zu erteilen. Die Weisungen können mündlich erfolgen, sollen aber zumindest nachträglich schriftlich wiederholt werden.

(5) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.


§ 3 Rechte und Pflichten des Auftragnehmers

(1) Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten gemäß §§ 4 f, 4g BDSG bestellt hat. Dessen Kontaktdaten lauten:

Buhl Data Service GmbH, Datenschutz, Am Siebertsweiher 3/5, 57290 Neunkirchen, Tel.02735/776-341, E-Mail: datenschutz@buhl-data.com

(2) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige und gesetzeskonforme Abwicklung aller vereinbarten Maßnahmen zu.

(3) Der Auftragnehmer ist verpflichtet, das Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die im Auftrag des Auftraggebers verarbeitet werden, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Aufragnehmer wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.

(4) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine von dem Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

(5) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden gesetzlich mitteilungspflichtigen Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Er wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG informieren. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG beim Auftragnehmer ermittelt.

(6) Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen.

(7) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

(8) Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(9) Der Auftragnehmer ist zur Begründung von Unterauftragsverhältnissen nur mit schriftlicher Zustimmung des Auftraggebers berechtigt. Der Auftragnehmer hat in diesem Falle sicherzustellen, dass die vereinbarten Regelungen auch gegenüber dem Unterauftragnehmer gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist nicht zulässig, bevor der Unterauftragnehmer die Verpflichtungen gemäß § 11 BDSG erfüllt hat. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.


§ 4 Datengeheimnis

(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des § 5 BDSG verpflichtet.

(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer gewährleistet, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut gemacht werden und diese auf das Datengeheimnis im Sinne des § 5 BDSG verpflichtet werden.


§ 5 Technische und organisatorische Maßnahmen zur Datensicherheit

Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen (siehe hierzu die allgemeinen Hinweise in Anlage 1 und die Beschreibung deren konkreten Umsetzung in Anlage 2), die zur Wahrung der anzuwendenden Datenschutzvorschriften erforderlich sind:

(1) Zutrittskontrolle
Der Auftragnehmer trifft alle erforderlichen Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

(2) Zugangskontrolle
Der Auftragnehmer trifft alle erforderlichen Maßnahmen um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Dies umfasst neben der Verwendung von dem Stand der Technik entsprechender Verschlüsselungsverfahren.

(3) Zugriffskontrolle
Der Auftragnehmer gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können. Er trifft alle hierzu erforderlichen Maßnahmen einschließlich der Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

(4) Weitergabekontrolle
Der Auftragnehmer gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Er trifft alle hierzu erforderlichen Maßnahmen einschließlich der Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

(5) Eingabekontrolle
Der Auftragnehmer gewährleistet, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Er trifft alle hierzu erforderlichen Maßnahmen.

(6) Auftragskontrolle
Der Auftragnehmer gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Er trifft alle hierzu erforderlichen Maßnahmen.

(7) Verfügbarkeitskontrolle
Der Auftragnehmer gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Er trifft alle hierzu erforderlichen Maßnahmen.

(8) Trennungskontrolle
Der Auftragnehmer gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Er trifft alle hierzu erforderlichen Maßnahmen.

Der Auftragnehmer hat dem Auftraggeber auf dessen Anforderung die Beschreibung der konkreten Umsetzung dieser technischen und organisatorischen Maßnahmen zur Datensicherheit gemäß Anlage 2 in der jeweils aktuellen Fassung in Form eines internen Verfahrens gemäß § 4g Abs. 2 S. 1 BDSG in schriftlicher Form zur Verfügung zu stellen.


§ 6 Folgen der Vertragsbeendigung

(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber - spätestens mit Beendigung der Leistungsvereinbarung - hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Die Löschung ist durch den Auftragnehmer in geeigneter Weise zu dokumentieren, das Protokoll der Löschung ist dem Auftraggeber auf Anforderung vorzulegen.


§ 7 Vertraulichkeit, Informationspflichten

(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden.

(2) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber "als verantwortlicher Stelle" im Sinne des Bundesdatenschutzgesetzes liegen.


§ 8 Schlussbestimmungen

(1) Vertragsänderungen bedürfen zu ihrer Wirksamkeit der Schriftform. Das Gleiche gilt für den Verzicht auf das Schrifterfordernis.

(2) Soweit dieser Vertrag keine Regelungen enthält, gelten die allgemeinen gesetzlichen Bestimmungen des Rechts der Bundesrepublik Deutschland, insbesondere das Bundesdatenschutzgesetz (BDSG).

(3) Gerichtsstand für alle eventuellen Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz der Buhl Data Service GmbH, wenn Sie Kaufmann sind, keinen allgemeinen Gerichtsstand im Gebiet der Bundesrepublik Deutschland haben oder eine juristische Person des öffentlichen Rechts sind. Erfüllungsort ist Neunkirchen.

(4) Die Nichtigkeit oder Unwirksamkeit einzelner Bestimmungen dieses Vertrags berührt die Gültigkeit der übrigen Bestimmungen nicht. Die mangelhafte Bestimmung soll einvernehmlich durch eine solche ersetzt werden, deren wirtschaftlicher und juristischer Sinn ihr möglichst nahekommt.

Neunkirchen, den _________________________________ __________, den _________________________________

__________________________
Buhl Data Service GmbH

__________________________
Auftraggeber


Anlage 1

Hinweise zu § 5

(Technische und organisatorische Maßnahmen zur Datensicherheit)


(1) Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten, z.B.

  • Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte (beachte § 6c BDSG)

  • Schlüssel / Schlüsselvergabe

  • Türsicherung (elektrische Türöffner usw.)

  • Werkschutz, Pförtner

  • Überwachungseinrichtung Alarmanlage, Video-/Fernsehmonitor (beachte § 6b BDSG)


(2) ZugangskontrolleDas Eindringen Unbefugter in die DV-Systeme ist zu verhindern.

Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung, z.B.

  • Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)

  • Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)

  • Einrichtung eines Benutzerstammsatzes pro User

  • Verschlüsselung von Datenträgern


(3) Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.

Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung, z.B.

  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)

  • Auswertungen

  • Kenntnisnahme

  • Veränderung

  • Löschung


(4) Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle ...

Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung, z.B.

  • Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)

  • Elektronische Signatur

  • Protokollierung

  • Transportsicherung


(5) Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, z.B.

  • Protokollierungs- und Protokollauswertungssysteme


(6) Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.

Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer, z.B.

  • Eindeutige Vertragsgestaltung

  • Formalisierte Auftragserteilung (Auftragsformular)

  • Kriterien zur Auswahl des Auftragnehmers

  • Kontrolle der Vertragsausführung


(7) Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

Maßnahmen zur Datensicherung (physikalisch / logisch), z.B.

  • Backup-Verfahren

  • Spiegeln von Festplatten, z.B. RAID-Verfahren

  • Unterbrechungsfreie Stromversorgung (USV)

  • Getrennte Aufbewahrung

  • Virenschutz / Firewall

  • Notfallplan


(8) Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken, z.B.

  • "Interne Mandantenfähigkeit" / Zweckbindung

  • Funktionstrennung / Produktion / Test)


Anlage 2

Beschreibung der konkreten Umsetzung der technischen und organisatorischen Maßnahmen zur Datensicherheit gemäß § 5


(1) Zutrittskontrolle

Um Unbefugten den Zutritt zu unseren Datenverarbeitungsanlagen zu verwehren, setzten wir folgende Maßnahmen ein:

  • Zutrittskontrollsystem zu allen Gebäuden mittels Transponderchip

  • Videoüberwachung am Empfang

  • Alarmanlage/Schließsystem mit Codesperre

  • Personenkontrolle beim Empfang

  • Sorgfältige Auswahl von Reinigungspersonal

  • Zusätzliche Sicherheitsschlösser und Berechtigungen zu Serverräumen


(2) Zugangskontrolle

Die Nutzung unserer Datenverarbeitungssysteme durch Unbefugte wird wirkungsvoll verhindert durch:

  • Zuordnung von Benutzerrechten

  • Erstellen von Benutzerprofilen

  • Einsatz von VPN-Technologie

  • Authentifikation mit Benutzername / Passwort

  • Zwang zur regelmäßigen Passwortänderungen

  • Einsatz von Intrusion-Detection-Systemen

  • Einsatz von Anti-Viren-Software

  • Einsatz von Firewalls

  • Einsatz von zentraler Mobile-Device-Administrations-Software (z.B. zum Ändern von Passwörtern)

  • Prüfung durch unabhängige IT-Spezialisten


(3) Zugriffskontrolle

Wir nutzen folgende Möglichkeiten, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Nutzung eines Berechtigungskonzepts

  • Verwaltung der Rechte durch Systemadministrator

  • Trennung von Berechtigungsanforderung und -vergabe

  • Anzahl der Administratoren auf das "Notwendigste" reduziert

  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel

  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

  • Sichere Aufbewahrung von Datenträgern

  • Sichere Vernichtung von Datenträgern durch Zerstörung


(4) Weitergabekontrolle

Wir gewährleisten dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist, durch

  • Einrichtungen von Standleitungen bzw. VPN-Tunneln

  • Sichere Verschlüsselung

  • Protokollierung


(5) Eingabekontrolle

Wir gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch

  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

  • Protokollierung der Eingabe, Änderung und Löschung von Daten

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)


(6) Auftragskontrolle

Falls wir Daten im Auftrag verarbeiten lassen, ergreifen wir Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können durch

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

  • schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) i.S.d. § 11 Abs. 2 BDSG

  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG)

  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

  • Kontrolle der Vertragsausführung


(7) Verfügbarkeitskontrolle

Wir schützen personenbezogene Daten gegen zufällige Zerstörung oder Verlust durch

  • Unterbrechungsfreie Stromversorgung (USV)

  • Klimaanlage in Serverräumen

  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen

  • Schutzsteckdosenleisten in Serverräumen

  • Feuer- und Rauchmeldeanlagen

  • Feuerlöschgeräte in Serverräumen

  • Erstellen eines Backup- un Recoverykonzepts

  • Erstellen eines Notfallplans

  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

  • Serverräume nicht unter sanitären Anlagen


(8) Trennungskontrolle

Wir gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können mit folgenden Festlegungen:

  • Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System

  • Festlegung von Datenbankrechten

  • Trennung von Produktiv- und Testsystem

  • Logische Mandantentrennung (softwareseitig)

TODO MVC asp:Literal runat="server" ID="hiddenadLiteral"