Datenschutzvereinbarung  DSGVO
Wartung und Pflege von IT-Systemen

AWP M. Fehrle

Murgerstal 4

76437 Rastatt

- Auftragnehmer -

Präambel

Zwischen den Parteien besteht ein Vertragsverhältnis über die Wartung und Pflege von IT-Systemen.

Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG), insbesondere des § 11 BDSG („Auftragsdatenverarbeitung“) geschlossen. Den Parteien ist bekannt, dass ab dem 25.05.2018 die Datenschutz-Grundverordnung (DSGVO - EU-Verordnung 2016/679) gilt und sich die Vorgaben der Auftragsdatenverarbeitung dann grundsätzlich nach Art. 28 DSGVO richten.

 

1. Allgemeines

Der Auftragnehmer führt im Auftrag des Auftraggebers Wartungs- und/oder Pflegearbeiten an IT-Systemen des Auftraggebers durch. In diesem Zusammenhang ist nicht ausgeschlossen, dass der Auftragnehmer Zugriff auf personenbezogene Daten bekommt bzw. Kenntnis erlangt oder personenbezogene Daten verarbeitet, um die Wartung und Pflege von IT-Systemen durchzuführen oder durchführen zu können.

 

2. Dauer und Beendigung des Auftrags

(1) Der Auftragnehmer führt für den Auftraggeber Leistungen (Wartung und/oder Pflege von IT-Systemen) durch. Zwischen den Parteien besteht diesbezüglich ein Vertragsverhältnis („Hauptvertrag“), das entweder auf individuellen vertraglichen Vereinbarungen, allgemeinen Geschäftsbedingungen oder auf gesetzlichen Regelungen (z.B. BGB) basiert. Diese Vereinbarung beginnt ab Unterzeichnung durch beide Parteien und gilt für die Dauer des jeweiligen Hauptvertrages.

(2) Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.

3. Gegenstand des Auftrags

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:

 

Pflege und Wartung der Warenwirtschaftssoftware BBS, sowie die Fehlersuche, Fehlerbeheung und Funktionskontrollen der o.g. Software und der relevanten Hardware Vorort und mittels Fernwartungen.

 

Hierbei ist nicht ausgeschlossen, dass der Auftragnehmer Zugriff auf folgende Daten/Datenarten hat:

Kunden- und Lieferantendaten, Umsatzdaten und Bestandsdaten

 

Kreis der von der Datenverarbeitung Betroffenen:

Auftraggeber oder soweit notwendig Programmierer der WWS

 

4. Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Wartung und Pflege von IT-Systemen gegenüber dem Auftragnehmer zu erteilen. Weisungen können erfolgen:

X schriftlich

X per E-Mail

 

(2) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Wartung und Pflege durch den Auftragnehmer feststellt.

 

5. Allgemeine Pflichten des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, auf die er im Zusammenhang mit den Wartungs-/Pflegearbeiten Zugriff erhält, vor der unbefugten Kenntnisnahme Dritter geschützt sind.

(2) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

(3) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist.

(4) Für den Fall, dass der Auftragnehmer feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Auftraggeber verarbeitete

  • besondere Arten bzw. besondere Kategorien personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG bzw. Art. 9 DSGVO oder
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat der Auftragnehmer den Auftraggeber unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls/der Vorfälle in Schriftform oder Textform (Fax/E-Mail) zu informieren. Die Information muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung enthalten. Die Information soll zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung beinhalten. Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern.

(5) Der Auftragnehmer wird ab dem 25.5.2018 seinen Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.

 

6. Kontrollbefugnisse

(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.

 

7. Fernwartung

(1) Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten auf einem Monitor o.ä. Gerät zu verfolgen.

(2) Für den Fall, dass der Auftraggeber einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt, hat dieser Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durch die Fernwartung nicht erfolgt. Der Auftragnehmer ist diesbezüglich verpflichtet, Technologien einzusetzen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern dem Auftraggeber auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden.

(3) Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Monitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführten Arbeiten in geeigneter Weise dokumentieren.

 

8. Unterauftragsverhältnisse

(1) Die Beauftragung von Subunternehmen durch den Auftragnehmer ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig.

(2) Der Auftragnehmer hat den Subunternehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Subunternehmer die nach § 9 BDSG bzw. ab dem 25.05.2018 nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln. Der Auftragnehmer ist verpflichtet, sich vom Subunternehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. ab dem 25.05.2018 nach Art. 37 DSGVO i.V.m. § 38 BDSG (neu) bestellt hat, soweit dieser gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist.

(3) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Subunternehmer gelten. Der Auftragnehmer hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren.

(4) Die Verpflichtung des Subunternehmens muss schriftlich erfolgen. Dem Auftraggeber ist die schriftliche Verpflichtung auf Anfrage in Kopie zu übermitteln.

(5) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.

 

9. Datengeheimnis

(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des § 5 BDSG bzw. ab dem 25.05.2018 zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.

(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und diese auf das Datengeheimnis i.S.d. § 5 BDSG verpflichtet wurden. Ab dem 25.5.2018 wird der Auftragnehmer stattdessen die in Satz 2 genannten Personen in einer dem Art. 28 Abs. 3 lit. b) genügenden Weise zur Vertraulichkeit verpflichten, sofern diese nicht schon anderweitig einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

 

10. Wahrung von Betroffenenrechten

Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.

 

11. Technische und organisatorische Maßnahmen zur Datensicherheit

(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.

(2) Für den Fall, dass der Auftragnehmer die Wartung und Pflege von IT-Systemen für den Auftraggeber auch außerhalb der Geschäftsräume des Auftraggebers durchführt (z.B. auch im Falle der Fernwartung), sind vom Auftragnehmer zwingend die von ihm getroffenen technischen und organisatorischen Maßnahmen i.S.d. § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG als ANLAGE zu diesem Vertrag zu dokumentieren. Ab dem 25.05.2018 hat der Auftragnehmer eine Beschreibung der von ihm getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO dem Auftraggeber in geeigneter Weise zur Verfügung zu stellen. Dies beinhaltet auf Aufforderung des Auftraggebers auch Nachweise über das nach Art. 32 Abs. 1 lit. d) einzurichtende Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

12. Beendigung

(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Die Löschung ist in geeigneter Weise zu dokumentieren. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder physisch zu löschen.

(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.

 

13. Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird.

(2) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

 

 

, den , den
Ort Datum Ort Datum

 

AWP

- Auftraggeber - - Auftragnehmer -

 

Anlage:

§ 9 BDSG

Durchführung der Fernwartung:

Die Fernwartung wird mittels einer professionellen Software, hier PcVisit durchgeführt. Der Auftraggeber kontaktiert den Auftragnehmer telefonisch, schildert sein Problem und gibt per Fernwartungs-ID, welche er vom Auftragnehmer erhält, und die in jedem einzelnen Verbindungsfall automatisch neu vergeben wird, den Zugriff auf den oder die PC´s frei. Der Auftraggeber kann jederzeit am Monitor mitverfolgen, was der Auftragnehmer macht und kann die Verbindung jederzeit unterbrechen.

Anlage
Technische und organisatorische
Maßnahmen des Auftragnehmers
gemäß § 9 BDSG
[SH1]

 

Hinweis (kann nach vollständiger Angabe der Maßnahmen gelöscht werden):

Diese Anlage muss nur dann ausgefüllt werden, wenn der Auftragnehmer eine Fernwartung vornimmt und/oder IT-Systeme außerhalb der Geschäftsräume des Auftraggebers wartet oder pflegt.

Bitte geben Sie nachfolgend jeweils die getroffenen technischen und organisatorischen Maßnahmen an. Als Unterstützung sind hier bestimmte typische Begriffe als Hilfe und Veranschaulichung angeführt.

Bei einzelnen Maßnahmen kann eine stichwortartige Benennung oder auch nur ein Wort (z.B. „Alarmanlage“) ausreichend sein. Bei anderen Maßnahmen sollte jedoch regelmäßig eine kurze Beschreibung erfolgen, die eine Bewertung durch den Auftraggeber ermöglicht (Beispiel: Im Falle einer Videoüberwachung als Maßnahme der Zutrittskontrolle wäre es erforderlich, zu beschreiben, ob z.B. nur die Eingangstür oder auch andere Gebäudeteile überwacht werden und ob eine Aufzeichnung der Aufnahmen erfolgt). Auch bei einer Maßnahme wie einer „Passwortvergabe“ ist konkret aufzuführen, ob es eine Mindestpasswortlänge und –komplexität gibt und wie Passwortlänge und Komplexität ausgestaltet sind. Außerdem wäre zudem anzugeben, ob die Mindestpasswortlänge und –komplexität technisch erzwungen wird.

Da es hier „nur“ um die Wartung und Pflege von IT-Systemen geht, können Ausführungen im Hinblick auf die Verfügbarkeitskontrolle und das Trennungsgebot ggf. kurz ausfallen.

 

 

1. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Alarmanlage
  • Absicherung von Gebäudeschächten
  • Automatisches Zugangskontrollsystem
  • Chipkarten-/Transponder-Schließsystem
  • Schließsystem mit Codesperre
  • Manuelles Schließsystem
  • Biometrische Zugangssperren
  • Videoüberwachung der Zugänge
  • Lichtschranken / Bewegungsmelder
  • Sicherheitsschlösser
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Personenkontrolle beim Pförtner / Empfang
  • Protokollierung der Besucher
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Wachpersonal
  • Tragepflicht von Berechtigungsausweisen

2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Passwortvergabe
  • Authentifikation mit biometrischen Verfahren
  • Authentifikation mit Benutzername / Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Gehäuseverriegelungen
  • Einsatz von VPN-Technologie
  • Sperren von externen Schnittstellen (USB etc.)
  • Sicherheitsschlösser
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Personenkontrolle beim Pförtner / Empfang
  • Protokollierung der Besucher
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Wachpersonal
  • Tragepflicht von Berechtigungsausweisen
  • Einsatz von Intrusion-Detection-Systemen
  • Verschlüsselung von mobilen Datenträgern
  • Verschlüsselung von Smartphone-Inhalten
  • Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
  • Einsatz von Anti-Viren-Software
  • Verschlüsselung von Datenträgern in Laptops / Notebooks
  • Einsatz einer Hardware-Firewall
  • Einsatz einer Software-Firewall

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Erstellen eines Berechtigungskonzepts
  • Verwaltung der Rechte durch Systemadministrator
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Sichere Aufbewahrung von Datenträgern
  • physische Löschung von Datenträgern vor Wiederverwendung
  • ordnungsgemäße Vernichtung von Datenträgern (DIN 32757)
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Protokollierung der Vernichtung
  • Verschlüsselung von Datenträgern

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Einrichtungen von Standleitungen bzw. VPN-Tunneln
  • Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
  • E-Mail-Verschlüsselung
  • Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
  • Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
  • Beim physischen Transport: sichere Transportbehälter/-verpackungen
  • Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen


5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

 

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
  • schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) i.S.d. § 11 Abs. 2 BDSG
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG)
  • Auftragnehmer hat Datenschutzbeauftragten bestellt
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
  • laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
  • Vertragsstrafen bei Verstößen

 

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

 

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimaanlage in Serverräumen
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Feuerlöschgeräte in Serverräumen
  • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  • Erstellen eines Backup- & Recoverykonzepts
  • Testen von Datenwiederherstellung
  • Erstellen eines Notfallplans
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Serverräume nicht unter sanitären Anlagen
  • In Hochwassergebieten: Serverräume über der Wassergrenze

8. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Typische Maßnahmen (nur Stichworte) sind z.B.:

  • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Logische Mandantentrennung (softwareseitig)
  • Erstellung eines Berechtigungskonzepts
  • Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
  • Versehen der Datensätze mit Zweckattributen/Datenfeldern
  • Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
  • Festlegung von Datenbankrechten
  • Trennung von Produktiv- und Testsystem

 

 

 


[SH1]Ab dem 25.5.2018 kann diese Anlage nicht mehr verwendet werden und muss durch die nach Art. 32 DSGVO erforderlichen Datensicherheitsmaßnahmen ersetzt werden.

 

Nach Art. 32 Abs. 1 lit. d) ist Datensicherheitsmanagementsystem im Unternehmen einzurichten. Hier bietet sich an eine Anlehnung an bzw. eine Einhaltung der Standards von ISO 27001, BSI-Standard oder VdS 3473 an. Die daraus folgenden Dokumente sollten nicht einfach versendet werden. Es bietet sich an hier ggf. ein „High-Level-Dokument“ als „Aggregat“ des Managementsystems zu erstellen, das die grundlegende Sicherheitskonzeption aufzeigt, nicht aber zwingend jedes Detail von Richtlinien offenbart.

Die Praxis wird hier letztlich noch zeigen, welche Art von Dokumenten sich durchsetzen wird.

 

 

 

Erklärung zum vertraulichen Umgang mit kundenspezifischen Daten

§ 1 Geheimhaltungsverpflichtung

Die Firma AWP Peter Fehrle verpflichtet sich hiermit, alle Informationen, die sie direkt oder indirekt im Rahmen einer Zusammenarbeit, insbesondere durch Überlassung/Einsicht von Firmendaten zum Zwecke der Fehlerbehebung im EDV System, von Kunden erlangt, vertraulich zu behandeln und nur im Zusammenhang mit den vom Kunden vereinbarten Zwecke zu verwenden. AWP Peter Fehrle sichert dem Kunden insbesondere zu, diese Informationen weder an Dritte weiterzugeben noch in anderer Form Dritten zugänglich zu machen und alle angemessenen Vorkehrungen zu treffen, um einen Zugriff Dritter auf diese Informationen zu vermeiden.

§ 2 Geheimhaltungsumfang und betroffener Personenkreis

(1) Die Geheimhaltungsverpflichtung bezieht sich auf alle Informationen, die AWP Peter Fehrle oder einer seiner Mitarbeiter im Zusammenhang mit dem in Ziffer 1. beschriebenen Projekt erlangt hat oder erlangen wird, insbesondere auf

l Know-how sowie Ergebnisse, die im Rahmen dieses Projektes erzielt oder verwendet werden,

l die Beschreibung des Projektes,

l die in Aussicht genommenen Zeitpläne, Ziele und Ideen für die Ausführung des Projektes,

l andere nicht öffentlich verfügbare Informationen, die der Partner im Rahmen des Projektes über den Know-how-Inhaber

erlangt.

(2) Die Geheimhaltungsverpflichtung nach diesem Vertrag erstreckt sich auch auf sämtliche Mitarbeiter und Beauftragte von AWP Peter Fehrle, ohne Rücksicht auf die Art und rechtliche Ausgestaltung der Zusammenarbeit. AWP Peter Fehrle verpflichtet sich, diesem Personenkreis entsprechende Geheimhaltungsverpflichtungen aufzuerlegen, soweit dies noch nicht geschehen ist.

§ 4 Zeitraum

(1) Die Geheimhaltungspflichten nach diesem Vertrag bleiben über die Beendigung des in § 1 beschriebenen Projektes hinaus bestehen.

(2) Die Geheimhaltungspflichten nach diesem Vertrag bestehen nicht bzw. nicht mehr, wenn und soweit die betreffenden Informationen nachweislich

l allgemein bekannt sind bzw. geworden sind oder

l ohne Verschulden des Partners allgemein bekannt werden oder

l rechtmäßig von einem Dritten erlangt wurden oder werden

§ 5 Vertragsstrafe und Schadensersatz

Dem Partner ist bekannt, daß

l die Verletzung von Betriebs- und Geschäftsgeheimnissen nach den §§ 17, 18 UWG strafbar ist und mit Freiheitsstrafe bis

zu 5 Jahren geahndet werden kann, und

l derjenige, der Geschäfts- und Betriebsgeheimnisse verletzt, zum Ersatz des daraus entstehenden Schadens nach § 19

UWG verpflichtet ist.

§ 5 Gerichtsstand

Der Gerichtsstand für Streitigkeiten aus dieser Erklärung ist der Firmensitz von AWP M.  Fehrle

Dieser Erklärung unterliegt deutschem Recht.

Rastatt, 23.11.2012

Gez. AWP Peter Fehrle