ADV

Vertrag zur Auftragsdatenverarbeitung
6. Dezember 2018
Jugendtreff Holdorf vertreten durch Andrea Stangenberg Badberger Straße 2b 49451 Holdorf Kd-Nr. 333368 – Auftraggeber –
und
TrafficPlex GmbH Konsul-Smidt-Str. 90 28217 Bremen – Auftragnehmer –
schließen den folgenden Vertrag:
1 Gegenstand und Dauer des Auftrags
1. Gegenstand und Dauer des Auftrags bestimmen sich vollumf¨anglich nach den unter der oben genannten Kundennummer im jeweiligen Vertragsverh¨altnis gemachten Angaben. Diese Vereinbarung ist abh¨angig vom Bestand eines der folgenden Hauptvertragsverh¨altnisse: • Webhosting-Dienstleistung (Shared Hosting u. Managed Hosting) • E-Mail-Dienstleistungen • Cloud-VPS Der Auftragnehmer verarbeitet dabei personenbezogene Daten f¨ur den Auftraggeber im Sinne des Art. 4 Nr.2 und Art. 28 DS-GVO auf Grundlage dieses Auftrags.
2. Die K¨undigung oder anderweitige Beendigung des Hauptvertragsverh¨altnisses beendet gleichzeitig diese Vereinbarung.
3. Das Recht zur isolierten, außerordentlichen K¨undigung dieser Vereinbarung sowie die Aus¨ubung gesetzlicher R¨ucktrittsrechte konkret f¨ur die Vereinbarung bleiben hierdurch unber¨uhrt.
4. Dieser Vertrag bezieht sich nur auf das unter der oben genannten Kundennummer gef¨uhrte Kundenkonto. Sofern der Auftraggeber beim Auftragnehmer mehrere Kundenkonten unterh¨alt, ist dieser Vertrag f¨ur jedes Kundenkonto gesondert abzuschließen.
2 Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten
1. Der Umfang, die Art und der Zweck einer etwaigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, die Art der Daten und der Kreis der Betroffenen werden dem Auftragnehmer durch den Auftraggeber gem¨aß der vom Auftraggeber ausgef¨ullten Anlage I und II beschrieben, soweit sich das nicht aus dem Vertragsinhalt der in Ziffer 1 beschriebenen Vertragsverh¨altnisse ergibt.
2. Gegenstand des Vertrags ist nicht die origin¨are Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Bei der Administration der Serversysteme kann ein Zugriff auf sowie die Erhebung, Nutzung und Verarbeitung von personenbezogene Daten jedoch nicht ausgeschlossen werden. Dies beinhaltet unter anderem: • Aufzeichnen und Pr¨ufen von Zugriffen und deren IP-Adressen zu Sicherheitszwecken (Firewall-Protokolle, fehlgeschlagene Login-Versuche, etc.) • Fehlerbehebung im Kundenauftrag • System¨uberwachung und Monitoring 3. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europ¨aischen Union oder in einem anderen Vertragsstaat des Abkommens ¨uber den Europ¨aischen Wirtschaftsraum statt.
4. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erf¨ullt sind.
3 Technisch-organisatorische Maßnahmen nach Art. 32 DS-GVO (Art.28 Abs.3 Satz 2 lit.c DS-GVO)
1. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchf¨uhrung zu dokumentieren und dem Auftraggeber zur Pr¨ufung zu ¨ubergeben (siehe Anlage III). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags.
2. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs.3 Satz 2 lit.c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gew¨ahrleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrit¨at, der Verf¨ugbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
2
und Schwere des Risikos f¨ur die Rechte und Freiheiten nat¨urlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu ber¨ucksichtigen.
3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative ad¨aquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche ¨Anderungen sind zu dokumentieren.
4 Berichtigung, Sperrung und L¨oschung von Daten
1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenm¨achtig l¨ oschen oder deren Verarbeitung einschr¨anken. Soweit eine betroffene Person sich diesbez¨uglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverz¨uglich an den Auftraggeber weiterleiten.
2. Soweit vom Leistungsumfang umfasst, sind L¨oschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilit¨at und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
3. Soweit der Auftraggeber Unterst¨utzung nach Ziffer 4 f¨ur die Beantwortung von Anfragen Betroffener ben¨otigt, hat er die hierdurch entstehenden Kosten zu erstatten.
5 Qualit¨atssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zus¨atzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gem¨aß Art. 28 bis 33 DS-GVO; insofern gew¨ahrleistet er insbesondere die Einhaltung folgender Vorgaben: • Die Bestellung eines Datenschutzbeauftragten, sobald dies gesetzlich erforderlich ist. Eine Bestellung sowie ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverz¨uglich mitzuteilen. Ist ein Datenschutzbeauftragter bestellt, sind dessen Kontaktdaten auf der Homepage des Auftragnehmers leicht zug¨anglich hinterlegt. • Die Wahrung der Vertraulichkeit gem¨aß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchf¨uhrung der Arbeiten nur Besch¨aftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den f¨ur sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, d¨urfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag einger¨aumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. • Die Umsetzung und Einhaltung aller f¨ur diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DS-GVO und Anlage III. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbeh¨orde bei der Erf¨ullung ihrer Aufgaben zusammen. • Die unverz¨ugliche Information des Auftraggebers ¨uber Kontrollhandlungen und Maßnahmen der Aufsichtsbeh¨orde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch,
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
3
soweit eine zust¨andige Beh¨orde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbeh¨orde, einem Ordnungswidrigkeitsoder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kr¨aften zu unterst¨utzen. • Der Auftragnehmer kontrolliert regelm¨aßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gew¨ahrleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gew¨ahrleistet wird. • Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gegen¨uber dem Auftraggeber laut Anlage III.
6 Unterauftragsverh¨altnisse
1. Als Unterauftragsverh¨altnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu geh¨oren Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verf¨ugbarkeit, Integrit¨at und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gew¨ahrleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
2. Im Rahmen der Vertragserf¨ullung wird der Auftragnehmer Subunternehmer beauftragen. Der Auftragnehmer wird ein Verzeichnis von Subunternehmern, die an der Auftragserf¨ullung beteiligt sind, ver¨offentlichen und aktuell halten: https://www.lima-city.de/ usercp/data_processing_contracts/contractors.pdf
7 Kontrollrechte des Auftraggebers
1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer ¨Uberpr¨ufungen durchzuf¨uhren oder durch im Einzelfall zu benennende Pr¨ufer durchf¨uhren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Gesch¨aftsbetrieb zu ¨uberzeugen.
2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO ¨uberzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Ausk¨unfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
4
3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann wahlweise erfolgen durch die Einhaltung genehmigter Verhaltensregeln gem¨aß Art. 40 DS-GVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem¨aß Art. 42 DS-GVO, aktuelle Testate, Berichte oder Berichtsausz¨uge unabh¨angiger Instanzen (z.B. Wirtschaftspr¨ufer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit¨atsauditoren) und/oder eine geeignete Zertifizierung durch ITSicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
4. F¨ur die Erm¨oglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Verg¨utungsanspruch geltend machen und Ersatz der ihm entstehenden Kosten und Aufw¨ande verlangen.
5. Soweit der Auftraggeber nach Ziffer 7 Kontrollrechte aus¨uben wird, orientiert sich die vorab zu vereinbarende H¨ohe des Entgelts an einem festzulegenden Stundensatz des f¨ ur die Betreuung vom Auftragnehmer abgestellten Mitarbeiters.
8 Mitteilung bei Verst¨oßen des Auftragnehmers
1. Der Auftragnehmer unterst¨utzt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabsch¨atzungen und vorherige Konsultationen. Hierzu geh¨oren u.a.: • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umst¨ande und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer m¨oglichen Rechtsverletzung durch Sicherheitsl¨ucken ber¨ucksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen erm¨oglichen • die Verpflichtung, Verletzungen personenbezogener Daten unverz¨uglich an den Auftraggeber zu melden • die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegen¨uber dem Betroffenen zu unterst¨utzen und ihm in diesem Zusammenhang s¨amtliche relevante Informationen unverz¨uglich zur Verf¨ugung zu stellen • die Unterst¨utzung des Auftraggebers f¨ur dessen Datenschutz-Folgenabsch¨atzung • die Unterst¨utzung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbeh¨orde
2. F¨ur Unterst¨utzungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zur¨uckzuf¨uhren sind, kann der Auftragnehmer eine Verg¨utung beanspruchen.
9 Weisungsbefugnis des Auftraggebers
1. M¨undliche Weisungen best¨atigt der Auftraggeber unverz¨uglich (mind. Textform). Eine nicht best¨atigte bzw. nicht dokumentierte Weisung gilt als nicht erteilt.
2. Der Auftragnehmer hat den Auftraggeber unverz¨uglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
5
berechtigt, die Durchf¨uhrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber best¨atigt oder ge¨andert wird.
10 L¨oschung und R¨uckgabe von personenbezogenen Daten
1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gew¨ahrleistung einer ordnungsgem¨aßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder fr¨uher nach Aufforderung durch den Auftraggeber – sp¨atestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer s¨amtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungsund Nutzungsergebnisse sowie Datenbest¨ande, die im Zusammenhang mit dem Auftragsverh¨altnis stehen, dem Auftraggeber auszuh¨andigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt f¨ur Test- und Ausschussmaterial. Der Auftragnehmer gibt dem Auftraggeber auf Anfrage hin Auskunft zur Natur und dem Zeitpunkt der L¨oschung.
3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem¨aßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen ¨uber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber ¨ubergeben.
4. Erteilt der Auftraggeber dem Auftragnehmer Weisungen nach Ziffer 9, so hat er durch diese Weisung entstehende Kosten zu erstatten.
11 Sonstige Vereinbarungen
1. Es gilt das Recht der Bundesrepublik Deutschland.
2. Die Parteien vereinbaren als Gerichtsstand den Sitz des f¨ur Bremen zust¨andigen Gerichts.
………………………………….. Auftraggeber, Ort, Datum
Bremen, 6. Dezember 2018 ………………………………….. Auftragnehmer, Ort, Datum
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
6
Anlage I Daten-Typen
• Personenstammdaten • Kommunikationsdaten • Vertragsstammdaten • Protokolldaten
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
7
Anlage II Betroffene
• Kunden und Interessenten • Mitarbeiter • Lieferanten
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
8
Anlage III Technische und organisatorische Maßnahmen
Die folgenden technischen und organisatorischen Maßnahmen (kurz TOMs) werden vom Auftragnehmer umgesetzt:
1 Vertraulichkeit: Zutrittskontrolle
Telehouse Frankfurt, Main (Rechenzentrum) • elektronisches Zutrittskontrollsystem mit Protokollierung • Hochsicherheitszaun um das Gel¨ande • durchgehend besetzter Leitstand • Bewachung durch zertifiziertes Werksschutzpersonal • Video¨uberwachung insbesondere der Ein- und Ausg¨ange • organisatorisch getrennte Berechtigungsvergabe f¨ur den Rechenzentrums-Zutritt
Bremen (B¨uro) • durchgehende Besetzung des Empfangs durch Pf¨ortner • Manuelle Schließanlage
2 Vertraulichkeit: Zugangskontrolle
Kundenmen¨ u • Das Passwort f¨ur das Kundenmen¨u (”Verwaltung“) wird vom Auftraggeber selbst vergeben. Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen. • Die Login-Versuche zum Kundenmen¨u werden innerhalb eines Zeitfensters begrenzt (,,Rate limiting“).
Leistung ,,Cloud-VPS“ • Standardm¨aßige Deaktivierung von Server-Passw¨ortern f¨ur den Login, Zugang nur mit kryptografischem Schl¨ussel ( ” SSH-Keys“). F¨ur die Inbetriebnahme wird eine einmalige Berechtigungsvergabe von kryptografischen Schl¨usseln des Auftraggebers durchgef¨uhrt und protokolliert.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
9
• Der Auftraggeber kann auf Wunsch f¨ur die erstmalige Inbetriebnahme ein Server-Passwort vergeben, das verschl¨usselt gespeichert wird und dem Auftragnehmer nicht bekannt ist. Der Auftraggeber wird ein eventuell gesetztes Server-Passwort bei der Inbetriebnahme ¨ andern und die Vergabe und Dokumentation von Berechtigungen selbst verantworten. • F¨ur die Zugangskontrolle f¨ur auf dem Cloud-VPS installierter Software und Daten ist der Auftraggeber verantwortlich.
Leistung ,,Webhosting“ • Der Administrator-Zugang ist ausschließlich per kryptografischem Schl¨ussel (”SSH-Keys“) durch berechtigte Mitarbeiter des Auftragsnehmers m¨oglich. • Der Kunden-Zugang (SSH) ist ausschließlich mit kryptografischem Schl¨ussel (”SSH-Keys“) m¨oglich. Berechtigungen f¨ur kryptografische Schl¨ussel werden vom Auftraggeber vergeben und durch den Auftragnehmer protokolliert. • Der Kunden-Zugang zu Datenbanken ist mit einem vom Auftragnehmer erzeugten Benutzernamen und vom Auftraggeber gew¨ahlten Passwort m¨oglich. Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen. • Der Kunden-Zugang per FTP-Protokoll ist mit einem vom Auftragnehmer erzeugten Benutzernamen und vom Auftraggeber gew¨ahlten Passwort m¨oglich. Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen. • Die Login-Versuche f¨ur FTP-, MySQL- und SSH-Zug¨ange werden innerhalb eines Zeitfensters begrenzt (,,Rate limiting“). • F¨ur die Zugangskontrolle f¨ur auf dem Webspace installierter Software und Daten ist der Auftraggeber verantwortlich.
Leistung ,,E-Mail“ • Administrator-Zugang nur per kryptografischem Schl¨ussel (”SSH-Keys“) durch berechtigte Mitarbeiter des Auftragsnehmers • Kunden-Zugang (E-Mail-Abruf und -Versand) durch ein vom Kunden zu vergebendes, dem Auftragnehmer nicht bekanntes, Passwort. Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen. • Mit Zustimmung des Auftraggebers wird der Auftragnehmer f¨ur bestimmte Operationen (derzeit: E-Mail-Import) ein tempor¨ares, dem Auftragnehmer bekanntes, Passwort setzen. Nach Abschluss der Operation wird das Passwort auf den urspr¨unglichen kryptografischen Hash zur¨uckgesetzt. • Die Login-Versuche f¨ur E-Mail-Accounts werden innerhalb eines Zeitfensters begrenzt (,,Rate limiting“).
3 Vertraulichkeit: Zugriffskontrolle
Leistung ,,Cloud-VPS“ Die Zugriffskontrolle liegt in der Verantwortung des Auftraggebers.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
10
Leistung ,,Webhosting“ • Der Auftragnehmer wird durch zeitnahes Einspielen von Sicherheitsupdates die Zugriffskontrolle sicherstellen • F¨ur die ¨ubertragenen Daten und installierte Software ist der Auftraggeber in Bezug auf Zutrittskontrolle und Updates verantwortlich
Leistung ,,E-Mail“ Der Auftragnehmer wird durch zeitnahes Einspielen von Sicherheitsupdates die Zugriffskontrolle sicherstellen
4 Vertraulichkeit: Datentr¨agerkontrolle
Festplatten werden bei Außerbetriebnahme einzelner Festplatten oder gesamter Serversysteme mehrfach ¨uberschrieben und damit sicher gel¨oscht. Defekte Festplatten, die nicht sicher gel¨oscht werden k¨onnen, werden physikalisch unbrauchbar gemacht bzw. vernichtet.
5 Vertraulichkeit: Trennungskontrolle • F¨ur interne Verwaltungs- und Administrationssysteme des Auftragnehmers werden Daten physisch oder logisch getrennt von anderen Daten gespeichert. Die Datensicherung erfolgt ebenfalls physisch oder logisch getrennt. • Test- und Produktionssysteme sind logisch getrennt.
Hauptauftrag
” Cloud-VPS“ Die Trennungskontrolle ist vom Auftragnehmer zu verantwor
ten.
Hauptauftrag
” Webhosting“ und
” E-Mail“ • Die Daten werden physisch oder logisch getrennt von anderen Daten gespeichert. Die Datensicherung erfolgt ebenfalls physisch oder logisch getrennt. • Test- und Produktionssysteme sind logisch getrennt.
6 Vertraulichkeit: Pseudonymisierung
Der Auftraggeber ist f¨ur die Pseudonymisierung der Daten verantwortlich.
7 Integrit¨at: Weitergabekontrolle
Der Auftragnehmer unterrichtet alle Mitarbeiter, die mit der Verarbeitung von personenbezogenen Daten beauftragt sind, im datenschutzkonformen Umgang mit personenbezogenen Daten und verpflichtet diese zur Einhaltung der gesetzlichen Bestimmungen. • Der Auftragnehmer wird die Daten nach Auftragsbeendigung datenschutzgerecht l¨oschen. Die L¨oschung von Daten aus Archiv- und Recovery-Systemen kann technisch bedingt mit extremem Aufwand verbunden sein. Sofern eine vorzeitige L¨oschung von Daten in
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
11
Archiv- und Recovery-Systemen nicht zumutbar ist wird der Auftragnehmer die Daten als gel¨oscht markieren und f¨ur den Zugriff sperren, bis die L¨oschung durch den im Archivund Recovery-System definierten L¨osch-Prozess stattfindet. • Der Auftraggeber wird im Rahmen der technischen M¨oglichkeiten und der Verh¨altnism¨aßigkeit f¨ur alle ¨Ubertragungswege personenbezogener Daten eine ad¨aquate Verschl¨usselung bereitstellen. Der Auftragnehmer wird Daten ausschließlich ¨uber verschl¨usselte Verbindungen ¨ubertragen, sofern diese bereitstehen.
8 Integrit¨at: Eingabekontrolle
Kundenmen¨ u • Personenbezogene Daten werden im Rahmen des Kundenmen¨us vom Kunden selbst eingegeben. • ¨Ubermittelt der Kunde auf anderem Wege Daten (u.a. m¨undlich, schriftlich) hat er die Korrektheit der Daten selbstst¨andig zu pr¨ufen und notwendige ¨Anderungen unverz¨uglich mitzuteilen.
Leistung
” Cloud-VPS“, ,,Webhosting“, ,,E-Mail“ Die Eingabekontrolle obliegt dem Auftraggeber.
9 Verf¨ugbarkeit und Belastbarkeit: Verf¨ugbarkeitskontrolle
Kundenmen¨ u • Backup- und Recovery-Konzept mit mindestens t¨aglicher Sicherung aller relevanten Daten • Sachkundiger Einsatz von Sicherheitsmaßnahmen • Einsatz von Festplattenspiegelung bei allen relevanten Servern • Monitoring aller relevanten Systeme • Einsatz unterbrechungsfreier Stromversorgung • On-Demand-DDoS-Protection
Leistung ,,Cloud-VPS“ • Die Datensicherung obliegt dem Auftraggeber • Einsatz von Festplattenspiegelung • Einsatz unterbrechungsfreier Stromversorgung • Der Auftragnehmer stellt dem Auftraggeber, sofern vereinbart, eine M¨oglichkeit f¨ur eine physikalisch getrennte und verschl¨usselte Sicherung ( ” Snapshots“) zur Verf¨ugung. Der Auftraggeber bleibt auch bei Nutzung dieser M¨oglichkeit weiterhin f¨ur die Datensicherung verantwortlich. Sofern vereinbart besorgt der Auftragnehmer f¨ur den Auftraggeber die t¨ agliche Durchf¨uhrung von ” Snapshots“.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
12
• Ein Layer 3/4-DDoS-Schutz wird nach Vereinbarung bereitgestellt, der Layer-7-DDoSSchutz obliegt dem Auftraggeber
Leistung ,,Webhosting“ • Backup- und Recovery-Konzept mit t¨aglicher Sicherung der Daten, Aufbewahrungszeitraum je nach Produktbeschreibung • Einsatz von Festplattenspiegelung • Einsatz von Netzersatzanlagen und unterbrechungsfreier Stromversorgung • Einsatz von Softwarefirewalls und Portbeschr¨ankungen • Dauerhaft aktiver Layer 3/4-DDoS-Schutz • Dauerhaft aktiver Layer 7-DDoS-Schutz
Leistung ,,E-Mail“ • Backup- und Recovery-Konzept mit t¨aglicher Sicherung der Daten • Einsatz von Festplattenspiegelung • Einsatz unterbrechungsfreier Stromversorgung • Einsatz von Softwarefirewalls und Portbeschr¨ankungen
10 Verf¨ugbarkeit und Belastbarkeit: Rasche Wiederherstellbarkeit
Kundenmen¨ u Der Auftragnehmer h¨alt interne Prozesse und/oder Systeme vor, welche die rasche Wiederherstellbarkeit erm¨oglichen.
Leistung ,,Cloud-VPS“ Die Verantwortung f¨ur die rasche Wiederherstellbarkeit obliegt dem Auftraggeber. Sofern der Auftragnehmer dem Kunden die M¨oglichkeit ” Snapshots“ zu erstellen einr¨aumt wird zus¨atzlich die M¨oglichkeit bereitgestellt, Snapshots ¨uber das Kundenmen¨u selbst wiederherzustellen.
Leistung ,,Webhosting“ Der Auftragnehmer stellt dem Auftraggeber im Kundenmen¨u die M¨oglichkeit zur Verf¨ugung, Sicherungen von Datenbanken und Dateien selbst wiederherzustellen.
Leistung ,,E-Mail“ Der Auftragnehmer h¨alt interne Prozesse und/oder Systeme vor, welche die rasche Wiederherstellbarkeit erm¨oglichen.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
13
11 Verfahren zur regelm¨aßigen ¨Uberpr¨ufung, Bewertung und Evaluierung • Die Mitarbeiter werden regelm¨aßig im Datenschutz geschult, insbesondere im Hinblick auf die Verarbeitung von personenbezogenen Daten im Auftrag. • Datenschutzfreundliche Voreinstellungen werden bei der Softwareentwicklung ber¨ucksichtigt. Bestehende Systeme werden laufend auf ihre Datenschutzfreundlichkeit evaluiert.
Vertrag zur Auftragsdatenverarbeitung 06.12.2018, Kd-Nr. 333368
14