Technische und Organisatorische Maßnahmen
Vertrag zur Auftragsdatenverarbeitung
Artikel 28 / Artikel 32 DSGVO
Technische und Organisatorische Maßnahmen
zwischen
dem Kunden
– nachstehend Auftraggeber genannt –
und
Torsten Doppler
c/o thinksave
Graf-Preysing Straße 7 – 85461 Bockhorn
(TS.Hinweisgebersystem )
– nachstehend Auftragnehmer genannt –
Präambel
Der Auftragnehmer stellt dem Auftraggeber die Anwendung TS.Hinweisgebersystem zur Verfügung und erbringt in diesem Zusammenhang Leistungen auf Grundlage einer zwischen den Parteien geschlossenen Vereinbarung bestehend aus dem Bestellformular und den Allgemeinen Geschäftsbedingungen (nachfolgend „Hauptvertrag“ genannt). Im Rahmen dieser Leistungserbringung ist es erforderlich oder zumindest nicht auszuschließen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftragsdaten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftragsdaten zur Durchführung des Hauptvertrags.
§ 1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung
Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Auftragsdaten im Rahmen dieser Auftragsverarbeitung in Berührung kommen können. Keine Anwendung findet diese Datenschutzvereinbarung, wenn der Auftraggeber als natürliche Person die Anwendung TS.Hinweisgebersystem zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten einsetzt.
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers bei der Zurverfügungstellung der Anwendung TS.Hinweisgebersystem und der Erbringung der im Hauptvertrag definierten Leistungen; Details hierzu ergeben sich aus dem Hauptvertrag (Gegenstand der Verarbeitung). Es werden hierbei personenbezogene Daten zum Zweck der Bereitstellung der Anwendung TS.Hinweisgebersystem und Dienste entsprechend des Hauptvertrages verarbeitet als auch personenbezogene Daten, welche die Nutzer bei Verwendung von TS.Hinweisgebersystem in den Online-Meetings eingeben oder erfassen (Umfang, Art und Zweck der Verarbeitung).
Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
Personenbezogene Daten, welche zur Bereitstellung der Anwendung TS.Hinweisgebersystem und Herstellung der Kommunikation erforderlich sind (Nutzerprofil):
Zugangsdaten von registrierten Benutzern wie Name und E-Mail-Adresse; optional können die Nutzer im Nutzerprofil auch weitere Angaben machen wie etwa Titel, Initialen, Ort.
5. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber (bei der Nutzung der Anwendung durch Privatpersonen), Mitarbeiter oder sonstige nutzungsberechtigte Personen auf Seiten des Auftraggebers (z.B. freie Mitarbeiter, Dozenten, Lehrbeauftragte) und die jeweiligen Kommunikationspartner der nutzungsberechtigten Personen sowie Personen, über die kommuniziert wird.
6. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
§ 2 Verantwortlichkeit für die Datenverarbeitung
Der Auftraggeber ist im Rahmen dieses Vertrages für die Rechtmäßigkeit der Verarbeitung der Auftragsdaten sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verarbeitet personenbezogene Daten nur im Auftrag des Auftraggebers auf dessen Weisung hin.
§ 3 Technische und organisatorische Maßnahmen
Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die Auftragsdaten nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftragsdaten gem. Art. 32 DS-GVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
§ 4 Pflichten des Auftragnehmers
Der Auftragnehmer hat Auftragsdaten nur nach Weisung des Auftraggebers unter Beachtung von § 6 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat die Auftragsdaten ausschließlich nach Weisung des Auftraggebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftragsdaten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind.
Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Der Auftragnehmer kann für diese Unterstützungsleistung die ihm hierdurch entstehenden, nachzuweisenden Aufwände und Kosten ersetzt verlangen (reiner Aufwandsersatz), es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welchen der Auftragnehmer zu vertreten hat.
Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit und zur Geheimhaltung entsprechend § 203 StGB zu verpflichten.
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen und Verstöße des Auftragnehmers, der bei ihm beschäftigten Personen oder eines eingesetzten Unterauftragnehmers gem. § 9 gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchführen.
§ 5 Pflichten des Auftraggebers
Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
Dem Auftraggeber obliegen die aus Art. 33 und Art.34 DSGVO resultierenden Meldepflichten.
§ 6 Weisungsbefugnis des Auftraggebers
Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie insbesondere in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber kann in schriftlicher Form oder in Textform einzelne Weisungen ändern, ergänzen oder ersetzten (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten. Eine Vergütungspflicht besteht nicht, wenn die Weisung aufgrund eines Verstoßes gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag notwendig ist, welche der Auftragnehmer zu vertreten hat.
Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
§ 7 Unterstützungspflichten
Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Pflichten mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
Der Auftragnehmer unterstützt den Auftraggeber entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten.
Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehende und nachzuweisende Aufwände und Kosten (reiner Aufwandsersatz) sind vom Auftraggeber zu ersetzen, es sei denn, die Unterstützungsleistungen stehen in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.
§ 8 Kontrollrechte des Auftraggebers
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung, die nur in besonderen Ausnahmefällen entfallen darf – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber, es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.
§ 9 Weitere Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)
Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“ genannt) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anlage 2, für welche der Auftragnehmer die Genehmigung mit Abschluss dieser Vereinbarung erteilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Wochen zu kündigen.
Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann. Insbesondere wird der Auftragnehmer solche Unterauftragnehmer zur Geheimhaltung entsprechend §203 StGB verpflichten, welchen Privatgeheimnissen des Auftraggebers gem. §203 StGB offenbart werden könnten.
§ 10 Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach dessen Wahl auszuhändigen oder datenschutzgerecht zu vernichten.. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Haftung
Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdrücklich etwas anderes vereinbart.
§ 12 Schlussvorschriften
Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Die Rechte und Pflichten des Vertrages bleiben so lange bestehen wie der Auftragnehmer die Daten des Auftraggebers verarbeitet.
Ausschließlicher Gerichtsstand für alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.
Es gilt deutsches Recht.
Anlage 1
Übersicht über die technisch-organisatorischen Maßnahmen
I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1. Zutrittkontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
Einsatz von Magnet- bzw. Chipkarten für Zutrittsberechtigte
Videoüberwachung
Festlegung der zugangsberechtigten Personen
Closed Shop-Betrieb
Revisionsfähigkeit der Zugangsberechtigungen
Einsatz eines Zugangskontrollsystems
Schlüsselregelung und aktuelle Schlüsselliste
Protokollierung der Zu- und Abgänge
Empfang/Pförtner
Verschlossene Bürotüren und Fenster bei Abwesenheit
2. Zugangs- und Zugriffskontrolle
Bei der Zugangskontrolle ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Bei der Zugriffskontrolle ist Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
Identifikation und Authentifizierung der Benutzer/ Passwortschutz
Maschinelle Überprüfung der Berechtigungen
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung)
Zeitliche Begrenzung der Zugriffsmöglichkeiten
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe
Einsatz von Verschlüsselungsverfahren
Zentrale Vergabestelle von Benutzerrechten
3. Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Trennung von Test- und Produktivsystem
Mandantentrennung – Logische Trennung der Daten (z.B. unterschiedliche Dateiverzeichnisse)
Einsatz unterschiedlicher Verschlüsselungen
4. Pseudonymisierung
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorische Maßnahmen unterliegen.
Definition der Pseudonymisierungsregel, ggf. anknüpfend an Personal-, Kunden- oder Patienten-Kennziffern (Verwendung von UUID v4)
Autorisierung: Festlegung der Personen, die zur Verwaltung der Pseudonymisierungs-verfahren, zur Durchführung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind
zufällige Erzeugung der Zuordnungstabellen oder der in eine algorithmische Pseudony-misierung eingehenden geheimen Parameter
Schutz der Zuordnungstabellen bzw. geheimen Parameter sowohl gegen unautorisierten Zugriff als auch gegen unautorisierte Nutzung
Trennung der zu pseudonymisierenden Daten in die zu ersetzenden identifizierenden und die weiteren Angaben
II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1. Weitergabekontrolle
Es ist Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Dokumentation der Abruf- und Übermittlungsprogramme
Festlegung der für die Übermittlung oder den Transport Berechtigten
Regelungen für die Versandart und Festlegung des Transportweges
Verwendung sicherer Transportbehälter
Sicherung des Übertragungs- und Transportweges
Verschlüsselung der Daten
Überwachung der Transportzeit
Vollständigkeits- und Richtigkeitsprüfung (nach der Übertragung)
Nutzung eines VPN
2. Eingabekontrolle
Es ist Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Festlegung von Eingabebefugnissen
Protokollierung der Logins
III. Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit
(Art. 32 Abs. 1 lit. c DSGVO)
1. Verfügbarkeit
Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen
USV (Unterbrechungsfreie Stromversorgung)
Redundante Leitungsversorgung
Notstromaggregat
Brandschutz- und Katastrophenordnung
Brandmelder
Räumlich getrennte Aufbewahrung der erstellten Datensicherungen
Redundante Serverstruktur
Objektsicherung insb. der Serverräume
Virenschutzkonzept
Klimatisierung
2. Rasche Wiederherstellbarkeit
Es sind geeignete Maßnahmen zu ergreifen, um im Falle eines Verlusts, einer Zerstörung oder einer nicht gewünschten Veränderung von personenbezogenen Daten die Daten wiederherzustellen.
Backup-Systeme zur Wiederherstellung verlorener Daten
Testen der Wiederherstellung
Notfallkonzept mit Wiederanlaufplan
3. Belastbarkeit/Resilienz
Es sind geeignete Maßnahmen zu ergreifen, um im Falle von Zwischenfällen die Funktionsfähigkeit der Systeme aufrechtzuerhalten.
Update- bzw. Patchmanagement
Intrusion-Detection-and-Response-System
Schulung der Beschäftigten zur Erkennung von Zwischenfällen sowie zur Vermeidung zukünftiger Zwischenfälle
Wechsel auf Fail-Safe-Modus im Falle eines Zwischenfalls
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d
DSGVO; Art. 25 Abs. 1 DSGVO)
1. Auftragskontrolle
Es ist eine auftrags- und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten.
Klare Vertragsgestaltung und –ausführung
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
Sorgfältige Auswahl des Auftragnehmers
Formalisierung der Auftragserteilung
Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung
Sanktionen bei Vertragsverletzung
Information über neu auftretende Schwachstellen und andere Risikofaktoren, ggf. Überarbeitung der Risikoanalyse und –bewertung
Audits durch den Datenschutzbeauftragten
2. Externe Prüfungen, Audits, Zertifizierungen
Es werden ausschließlich ISO 27001 zertifizierte Rechenzentren eingesetzt. Die ISO 27001 ist eine internationale Norm für Informationssicherheit. Sie dokumentiert die Sicherheit und Qualität des jeweiligen Rechenzentrums nach internationalen Standards unter anderem in Bezug auf das Sicherheitsmanagement, die Sicherheitspolitik, Zugriffs- und Zugangskontrollen, das IT-Störungsmanagement sowie die Einhaltung rechtlicher Verpflichtungen.