Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 32 Nächste Version anzeigen »

Vertragsbedingungen

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag

zwischen dem Verantwortlichen:


im Folgenden "Auftraggeber" oder "Verantwortlicher" genannt

und

Fluxpunkt GmbH
Zementwerk 1
72622 Nürtingen

im Folgenden "Auftragnehmer" oder "Auftragsverarbeiter" genannt.


Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in dieser Vereinbarung und der in "Anlage A: Details zum Inhalt des Auftragsverhältnisses" beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit Dienstleistungen des Auftragnehmers in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

Den Parteien ist bekannt, dass ab dem 25.05.2018 die EU Datenschutz-Grundverordnung (DSGVO: EU-Verordnung 2016/679) gilt und sich die Vorgaben der Auftragsverarbeitung grundsätzlich nach Art. 28 DSGVO richten.

Einzelvereinbarungen in dieser Datenschutzvereinbarung gehen den Allgemeinen Geschäfts­be­dingungen (AGB) der Vertragsparteien vor.

§ 1 Begriffsdefinitionen

Personenbezogene Daten

Nach Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Auftragsverarbeiter

Nach Art. 4 Abs. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Weisung

Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete, in der Regel schriftliche Anordnung des Auftraggebers. Die Weisungen werden vom Auftraggeber erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Die Weisungen des Auftraggebers sind in Text- oder Schriftform zu erteilen.

§ 2 Anwendungsbereich und Verantwortlichkeit

  1. Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten oder es kann im Zusammenhang mit der Dienstleistungserbringung nicht ausgeschlossen werden, dass der Auftragnehmer Zugriff auf personenbezogenen Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DSGVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auftrag erforderlich.

  2. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DSGVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich erteilt, was auch in einem elektronischen Format erfolgen kann. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den Auftrag zur Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 DSGVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung von Dienstleistungen.

§ 3 Gegenstand und Dauer des Auftrags

  1. Der Gegenstand des Auftrages ist in "Anlage A: Details zum Inhalt des Auftragsverhältnisses" beschrieben.

  2. Diese Vereinbarung tritt mit ihrer Unterzeichnung durch beide Parteien in Kraft.

  3. Wird diese Vereinbarung in Verbindung mit einem ein Dauerschuldverhältnis begründenden Vertrag (z.B. Service- und Wartungsverträge, Hosting-Verträge, Analagenüberwachung, etc.) geschlossen, endet sie ohne weitere Erklärung mit dem Ende des verbundenen Vertrags. Der Auftraggeber kann diese Vereinbarung jederzeit ohne Einhaltung einer Kündigungsfrist in Text- oder Schriftform kündigen. Der Auftragnehmer wird durch die Kündigung des Auftraggebers frei von Verpflichtungen, die eine Verarbeitung personenbezogener Daten zum Inhalt haben oder mit der Möglichkeit einer Kenntnisnahme personenbezogener Daten einhergehen. Dem Auftraggeber steht in diesen Fällen kein Ausgleichsanspruch für die nicht mehr zu erbringenden Leistungen aus dem verbundenen Vertrag zu. Dem Auftragnehmer stehen Kündigungsrechte aus dem verbundenen Vertrag sowie Kündigungsrechte nach § 7 Abs. 4 dieser Vereinbarung zu.

  4. Wird diese Vereinbarung nicht in Verbindung mit einem verbundenen Vertrag geschlossen, wird hierdurch ein eigenständiges unbefristetes Dauerschuldverhältnis begründet, das von beiden Parteien jederzeit ohne Einhaltung einer Kündigungsfrist in Text- oder Schriftform gekündigt werden kann.

  5. Das Recht zur außer­ordentlichen Kündigung bleibt unberührt.

§ 4 Beschreibung der Verarbeitung, Daten und betroffener Personen

Umfang, Art und Zweck der Verarbeitung sind, ebenso wie die Art der Daten und der Kreis der betroffenen Personen, in "Anlage A: Details zum Inhalt des Auftragsverhältnisses" beschrieben.

§ 5 Technische und organisatorische Maßnahmen zum Datenschutz

  1. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind.

  2. Da der Auftragnehmer Dienstleistungen für den Auftraggeber auch außerhalb der Geschäftsräume des Auftraggebers durchführt, sind vom Auftragnehmer zwingend die von ihm getroffenen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. c DSGVO, Art. 32 DSGVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DSGVO hierzu zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.

  3. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

  4. Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als "Anlage B: Technische und organisatorische Maßnahmen" dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden.

  5. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. Der Auftragnehmer kann diese auch zum ständigen öffentlichen elektronischen Abruf im Internet unter privacy.fluxpunkt.de zur Verfügung stellen.

§ 6 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber zur Erledigung durch diesen weiterleiten.

  2. Die Umsetzung der Rechte auf Löschung, Berichtigung, Datenübertragbarkeit und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer auszuführen.

  3. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind.

  4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer dem Auftraggeber die Möglichkeit zum Zugriff und zur Sicherung sämtlicher in seinen Besitz gelangter Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, einzuräumen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

  5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 7 Rechte und Pflichten des Auftragnehmers

  1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung der beauftragten Leistung bezieht, ist dem Auftragnehmer untersagt. Es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.

  2. Der Auftragnehmer bestellt, soweit dieser gesetzlich dazu verpflichtet ist, eine(n) betriebliche(n) Datenschutzbeauftragte(n) i.S.d. Art. 38, 39 DSGVO. Der Name des/der Datenschutzbeauftragten und seine/ihre Kontaktdaten werden im Internet unter privacy.fluxpunkt.de veröffentlicht.

  3. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis die Rechtmäßigkeit durch einen Datenschutzbeauftragten des Auftraggebers oder Auftragnehmers, einer vom Auftraggeber bestellten und zur Erbringung von Rechtsdienstleistungen befugten und fachkundigen Person oder einer Aufsichtsbehörde nach Art. 51 DSGVO, bestätigt wurde oder die Weisung derart geändert wird, dass der Auftragnehmer keine Zweifel mehr an der Rechtmäßigkeit hegt.

  4. Der Auftragnehmer hat das Recht, diese Vereinbarung nach vorheriger Mahnung, fristlos zu kündigen, sollte der Auftraggeber wiederholt Weisungen erteilen, die gegen gesetzliche Regelungen verstoßen. Der Auftragnehmer hat das Recht, diese Vereinbarung auch ohne vorherige Mahnung, fristlos zu kündigen, sollte sich bei einer gemeinsamen Verarbeitung personenbezogener Daten durch Handlungen des Auftraggebers ein Haftungsrisiko nach Art. 82 DSGVO für den Auftragnehmer ergeben. Die Kündigung dieser Vereinbarung hat in diesen Fällen keine Auswirkung auf das Bestehen eines verbundenen Vertrags, jedoch wird der Auftragnehmer frei von Verpflichtungen, die eine Verarbeitung personenbezogener Daten zum Inhalt haben oder mit der Möglichkeit einer Kenntnisnahme personenbezogener Daten einhergehen. Dem Auftraggeber steht in diesen Fällen kein Ausgleichsanspruch für die nicht mehr zu erbringenden Leistungen aus dem verbundenen Vertrag zu.

  5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers.

  6. Für den Fall, dass der Auftragnehmer feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Auftraggeber verarbeitete personenbezogene Daten einer Verletzung des gesetzlichen Schutzes personenbezogener Daten gem. Art. 33 DSGVO (Datenschutzverstoß bzw. Datenpanne) unterliegen, z.B. indem diese unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat der Auftragnehmer den Auftraggeber unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls bzw. der Vorfälle in Schrift- oder Textform zu informieren. Die Meldung an den Auftraggeber muss mindestens folgende Informationen enthalten:

    1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
    2. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.
    3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
    4. Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

      Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern.

  7. Der Auftragnehmer stellt auf Anforderung dem Auftraggeber die für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung und führt als Auftragsverarbeiter selbst ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

  8. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten des Auftraggebers befassten Mitarbeiter gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Wahrung der Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen des Datenschutzes vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugriff auf personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

  9. Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren und in geeigneter Weise nachzuweisen.

  10. Desweiteren verpflichtet sich der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in Art. 34 – 36 DSGVO genannten Pflichten zu unterstützen:

    1. Im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen und dem Auftraggeber in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen.
    2. Bei der Durchführung seiner Datenschutz-Folgenabschätzung.
    3. Im Rahmen einer vorherigen Konsultation mit der Aufsichtsbehörde.

  11. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

  12. Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. Eine Information erfolgt nicht, soweit dies gerichtlich oder behördlich untersagt ist.

  13. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

  14. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

§ 8 Rechte und Pflichten des Auftraggebers

  1. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren Auftragsverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können

    1. schriftlich
    2. per Fax
    3. per E-Mail
    4. mündlich

      erfolgen. Der Auftragnehmer bestätigt Weisungen des Auftraggebers in einer Form, die mindestens der Form der Weisung entspricht.

  2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

  3. Dem Auftraggeber obliegen die aus Art. 33 Abs. 1 DSGVO resultierenden Meldepflichten. Bei der gemeinsamen Verarbeitung personenbezogener Daten obliegen dem Auftraggeber die selben Meldepflichten auch gegenüber dem Auftragnehmer.

  4. Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten personenbezogenen Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest.

  5. Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

  6. Dem Auftraggeber obliegt die Pflicht, eine vom Auftragnehmer zum ständigen öffentlichen elektronischen Abruf im Internet unter privacy.fluxpunkt.de zur Verfügung gestellte Auflistung von Unterauftragnehmern sowie beabsichtigter Änderungen regelmäßig zu überprüfen und mögliche Einsprüche gegen die Hinzuziehung einzelner Unterauftragnehmer mitzuteilen (vgl. § 11 Abs. 2).

§ 9 Wahrung von Rechten der betroffenen Person

  1. Der Auftraggeber ist für die Wahrung der Rechte der betroffenen Person verantwortlich.

  2. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Einschränkung, Datenübertragbarkeit oder Löschung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.

  3. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung oder Einschränkung oder Datenübertragbarkeit seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

  4. Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit der Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, sind vom Auftraggeber zu tragen.

§ 10 Kontrollbefugnisse

  1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen sowie die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.

  2. Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Abs. 1 erforderlich ist.

  3. Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Abs. 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden und die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht gestört werden.

  4. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.

  5. Der Auftragnehmer erbringt den Nachweis technischer und organisatorischer Maßnahmen, die nicht nur den konkreten Auftrag betreffen. Dabei kann dies erfolgen durch:

    1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO.
    2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO.
    3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Datenschutzauditoren).
    4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach ISO 27001).

  6. Die Kosten für Aufwände einer Kontrolle beim Auftragnehmer gem. Abs. 3 und 4 können gegenüber dem Auftraggeber geltend gemacht werden.

§ 11 Unterauftragsverhätlnisse

  1. Die bedarfsweise Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers zulässig. Unterauftragsverhältnisse im Sinne dieser Regelung sind solche, die sich unmittelbar auf die Erbringung der Hauptleistung aus dem Auftragsverarbeitungsverhältnis beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit seiner Datenverarbeitungsanlagen oder zur Durchführung seines Geschäftsbetriebs in Anspruch nimmt (z.B. Telekommunikationsleistungen). Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

  2. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen und insbesondere zur Durchführung seines Geschäftsbetriebs Unternehmen zur Leistungserfüllung heranzieht bzw. mit Leistungen unterbeauftragt, die sich nicht unmittelbar auf die Erbringung der Hauptleistung aus dem Auftragsverarbeitungsverhältnis beziehen. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern. Der Auftraggeber erhält hierbei die Möglichkeit, Einspruch gegen eine derartige Änderung zu erheben. Der Auftragnehmer kann eine aktuelle Auflistung seiner derzeit eingesetzten Unterauftragnehmer, sowie beabsichtigter Veränderungen mit einer Ankündigungsfrist von 30 Tagen, auch zum ständigen öffentlichen elektronischen Abruf im Internet unter privacy.fluxpunkt.de zur Verfügung stellen, wobei eine öffentlich gemachte und durch den Auftraggeber abrufbare Ankündigung ohne gesonderte Mitteilung als Information i.S.d. Art. 28 Abs. 2 Satz 2 DSGVO gegenüber dem Auftraggeber gilt. Das Ausbleiben eines Einspruchs innerhalb der Ankündigungsdauer gilt als Genehmigung des Unterauftragnehmers.

  3. Im Falle einer Beauftragung hat der Auftragnehmer den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 28 Abs. 3 lit. c, 32 DSGVO i.V.m. Art. 5 Abs. 1, Abs. 2 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln. Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 37-39 DSGVO bestellt hat, sofern der Unterauftragnehmer hierzu gesetzlich verpflichtet ist.

  4. Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten. Der Auftragnehmer hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren.

  5. Die Verpflichtung des Unterauftragnehmers muss schriftlich erfolgen. Dem Auftraggeber ist die schriftliche Verpflichtung auf Anfrage in Kopie zu übermitteln.

  6. Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (§ 10 dieser Vereinbarung) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat oder alternativ Garantien in Form anerkannter Zertifizierungen unabhängiger Auditoren vorweist.

§ 12 Datengeheimnis und Geheimhaltungspflichten

  1. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.

  2. Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist.

  3. Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den oben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

  4. Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

§ 13 Haftung

Es wird auf die Haftungsregelungen des Art. 82 DSGVO verwiesen.

§ 14 Informationspflichten

Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DSGVO liegen.

§ 15 Salvatorische Klausel

  1. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

  2. Bei Unwirksamkeit einer Bestimmung in diesen Vertragsbedingungen bleiben die übrigen Bestimmungen gleichwohl wirksam. Die Vertragsparteien verpflichten sich, eine unwirksame Bestimmung oder eine planwidrig fehlende Bestimmung nach Treu und Glauben durch eine Bestimmung zu ersetzen, die dem gemeinsam verfolgten Zweck der Vertragsparteien am nächsten kommt.
Anlage A: Details zum Inhalt des Auftragsverhältnisses

Gegenstand des Auftrags

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst die folgenden Arbeiten/Leistungen

Hosting/Betrieb von IT/TK-Systemen

  • Hosting/Betrieb von Serversystemen und darauf ausgeführten Anwendungen (Webserver, Datenbanken, Backupserver, Storage, Azure/AzureStack)
    • zusätzlich: technische Administration der IT-Systeme (Managed Services)
  • Hosting/Betrieb von Telefoniesystemen (Managed-/Hosted-PBX)
    • zusätzlich: technische Administration der TK-Systeme (Managed PBX)
  • Hosting/Betrieb von Email-Diensten
    • zusätzlich: technische Administration des Email-Servers

Managed Services/Administrative Tätigkeiten

  • Technische Administration für vom Auftraggeber betriebener IT/TK-Systeme (einschließlich Firewalls)
  • Technischer Support, Reparatur und Wartung für vom Auftraggeber betriebener IT/TK-Systeme (einschließlich Firewalls)
  • Netzwerk- und Geräteüberwachung für vom Auftraggeber betriebener IT/TK-Systeme (Monitoring)
  • Verwaltung und Administration von SaaS-Verträgen und Lizenzen (z.B. Office 365, Adobe Creative Cloud, Geräte- und Benutzerlizenzen diverser Systeme)

Die vorgenannten Leistungen werden vom Auftragnehmer

  • im Rahmen des Service- und Wartungsvertrags mit Nummer __________________ erbracht.
  • im Rahmen eines Hosting-Vertrags erbracht.
  • auf individualvertraglicher Basis, "on-demand" – ohne ein auf unbestimmte Zeit angelegtes Dauerschuldverhältnis –, erbracht.

Umfang, Art und Zweck der Verarbeitung

Im Zuge der Leistungserbringung kann ein Zugriff auf personenbezogene Daten durch den Auftragnehmer nicht ausgeschlossen werden. Die Erbringung von vertraglich vereinbarten Datenverarbeitungen finden ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen des Art. 44 ff. DSGVO erfüllt sind.

Art der Daten

Die Verarbeitung umfasst die folgenden Arten von Daten:

  • Nutzungsdaten (Protokolle, Ruflisten, Nutzeraktivitäten; inkl. Namen, Rufnummern, IP-Adressen, Datum/Uhrzeit)
  • Beschäftigtendaten (Fotos, Namen, Kontaktdaten, Accountdaten von Zugangssystemen, Geburtsdaten, Personaldaten)
  • Kundendaten (Namen, Kontaktdaten, Bestelldaten, Umsätze, Accountdaten von Zugangssystemen, Geburtsdaten)
  • Vertragsdaten
  • Sonstige elektronische Dokumente
  • Steuerdaten
  • Emails
  • Sonstige Daten:


Kategorien der betroffenen Personen

  • Beschäftigte und ehemalige Beschäftigte des Auftraggebers
  • Website-Besucher des Auftraggebers
  • Kunden und Interessenten des Auftraggebers
  • Lieferanten des Auftraggebers
  • Sonstige Handelspartner des Auftraggebers
  • Email-Kontakte
  • Schüler
  • Patienten
  • Bewerber
  • Sonstige Personen (Kategorien):


Anlage B: Technische und organisatorische Maßnahmen

Maßnahmen zur Umsetzung der Anforderungen des Bundesdatenschutzgesetzes und der DSGVO

Vorwort

Die Einhaltung datenschutzrechtlicher Vorschriften liegt uns sehr am Herzen. Wir sind kontinuierlich bestrebt, geeignete Maßnahmen zu implementieren, um dies zu gewährleisten.

Sofern keine gesetzlichen Normen entgegenstehen, verfolgen wir das Prinzip der Datensparsamkeit und beachten bei der Erhebung, Speicherung, Verarbeitung, Veränderung oder Übermittlung personenbezogener Daten die Zulässigkeitsvoraussetzungen und Interessensabwägungen des § 28 BDSG und Art. 6 DSGVO. Bei der Planung und Konzeption informationstechnischer Sicherungseinrichtungen orientieren wir uns an den Empfehlungen des BSI.

Um unnötige Redundanzen in der Aufzählung von Schutzmaßnahmen zu vermeiden, haben wir im vorliegenden Dokument die Kategorien der Anlage zu § 9 BDSG sowie die Umsetzungsmaßnahmen der Schutzziele aus Art. 32 DSGVO teilweise zusammengefasst. Technische Maßnahmen, wie der Einsatz von Verschlüsselungs- und Pseudonymisierungsverfahren sind in der Regel integraler Bestandteil verschiedenster Datenverarbeitungsvorgänge und Kontrollmechanismen, weshalb die konkrete Ausgestaltung innerhalb der jeweiligen Abschnitte beschrieben wird.

Bei der Beschreibung organisatorischer Maßnahmen, kennzeichnen die Begriffe „dürfen“ und „können“ optionale Mitarbeiterverhaltensweisen. Begriffe wie „sollen“ oder „sind aufgefordert“ kennzeichnen empfohlene Mitarbeiterverhaltensweisen, von denen nur nach einer Interessensabwägung abgewichen werden darf. Begriffe wie „müssen“ oder „dürfen nicht“ stellen verbindliche Anweisungen an unsere Mitarbeiter dar.

Das vorliegende Dokument beschreibt den aktuellen Zustand der implementierten technischen und organisatorischen Maßnahmen sowie interne Verhaltensrichtlinien und Mitarbeiteranweisungen. Technische Details entsprechen einem garantierten Mindestschutzumfang. Ein höheres Schutzniveau kann umgesetzt/implementiert sein, aus Sicherheitsgründen jedoch der Geheimhaltung unterliegen.

Zugangs- und Zutrittskontrolle

Wir unterhalten keine öffentlich zugänglichen Räume oder Ladenflächen.

Der Zutritt von betriebsfremden Personen (z.B. Gäste) ist nur in Begleitung eines autorisierten Mitarbeiters gestattet.

Der Aufenthalt externer Dienstleister in unseren Räumlichkeiten ist nicht unbeaufsichtigt gestattet.

Unsere Räumlichkeiten verfügen über ein elektronisches Schließsystem des Herstellers DOM Sicherheitstechnik und sind nur über nummerierte und auf einzelne Mitarbeiter ausgestellte Zutrittskarten bzw. -chips (RFID) zugänglich, wobei jeder Öffnen-/Schließen-Vorgang protokolliert wird. Die Protokollierung dient der Gefahrenabwehr, nicht der Zeiterfassung oder Mitarbeiterkontrolle. Zutrittskarten bzw. -chips können einzeln gesperrt oder im Zugangsumfang – zeitlich und/oder räumlich – eingeschränkt werden. Die Ausgabe von Zutrittskarten bzw. -chips an einzelne Mitarbeiter wird dokumentiert. Gleiches gilt für die Rückgabe und den Verlust. Verloren gegangene Zutrittskarten werden unverzüglich gesperrt.

Die Zugänge zu unseren Räumlichkeiten, sowie der Bereich vor dem Serverraum werden von einem Videoüberwachungssystem des Herstellers Axis 24 Stunden am Tag überwacht, wobei eine tatsächliche Aufzeichnung/Speicherung bei Bewegungen innerhalb definierter Bereiche stattfindet. Bei Dunkelheit wird automatisch eine Infrarotbeleuchtung aktiviert. Die Aufzeichnungen werden sowohl lokal, für die Dauer von vier Tagen, als auch an einem externen Standort, für eine Dauer von 21 Tagen aufbewahrt. Die Aufzeichnungen dienen der Gefahrenabwehr, nicht der Zeiterfassung oder Mitarbeiterkontrolle.

Unsere Server-, Speicher- und Netzwerksysteme befinden sich in einem separaten, abschließbaren Raum ohne Fenster (Serverraum), der sich örtlich zentral (Gebäudemitte) in unseren Räumlichkeiten befindet.

Unsere Server- und Speichersysteme des Herstellers HP verfügen über mechanisch abschließbare Blenden, die den physikalischen Zugriff auf Festplatten einschränken. Die Systeme befinden sich in einem Serverschrank mit seitlich verschraubten Wänden und abschließbaren Türen an Vorder- und Rückseite.

Die Mehrscheiben-Isolierglas-Fenster des Erdgeschosses sind mit zusätzlichen Fensterriegeln/-schlössern gegen Aufstemmen gesichert.

In den Büro- und Präsentationsräumen öffentlich zugängliche Netzwerkports sind mit RJ45-Port-Blockern gegen unberechtigte Nutzung physikalisch gesichert. Netzwerkkabel zwischen berechtigten nicht-mobilen Endgeräten und Netzwerkdosen sind mit RJ45-Secure-Clips gegen unberechtigtes Abziehen gesichert.
In den Büro- und Präsentationsräumen öffentlich zugängliche USB-A-Ports sind mit USB-Port-Blockern gegen unberechtigte Nutzung physikalisch gesichert.
Schlüssel zum Öffnen von Port-Blockern und Secure-Clips stehen berechtigtem Personal zur Anbringung an einen Schlüsselbund zur Verfügung.

Datenträgerkontrolle

Für Datenträger gelten die im Abschnitt Zugriffskontrolle aufgeführten Anforderungen an Verschlüsselung.

Ausgemusterte Datenträger werden mit Hilfe eines speziellen Kiosk-Systems vollständig und mehrfach mit Zufallszahlen überschrieben und anschließend formatiert. Sollte dies aufgrund eines Hardwaredefekts des Datenträgers nicht möglich sein, so wird dieser disassembliert und zerstört.

Wie im Abschnitt Verfügbarkeitskontrolle beschrieben, dürfen mobile Datenträger nicht mit Endgeräten verbunden werden. Entsprechend sind keine leicht zu entfernenden Datenträger vorhanden, die gelesen, kopiert, entfernt oder verändert werden könnten.

Speicherkontrolle

Die Kenntnisnahme personenbezogener Daten wird über die im Abschnitt Zugriffskontrolle beschriebenen Mechanismen gesteuert und unbefugte Kenntnisnahme verhindert.

Mitarbeiter sind auf den Umgang mit personenbezogenen Daten sensibilisiert und angewiesen, Unterstützungsleistungen gegenüber Dritten abzulehnen oder abzubrechen, wenn es hierdurch zu einer Übermittlung, unbefugten Kenntnisnahme oder sonstigen Verarbeitung personenbezogener Daten kommen sollte. Verantwortliche Dritte sind in diesem Zusammenhang aufgefordert, die Rechtmäßigkeit einer Verarbeitung glaubhaft zu machen, bevor Unterstützungsleistungen erbracht werden, bei denen personenbezogene Daten verarbeitet oder zur Kenntnis genommen werden.

Benutzerkontrolle

Die Benutzerkontrolle wird über die im Abschnitt Zugriffskontrolle beschriebenen Mechanismen durchgesetzt, unabhängig davon, ob es sich um einen Zugriff per Datenfernübertragung oder standortlokal handelt.

Zugriffskontrolle

Für die Zugriffssteuerung setzen wir ein differenziertes Berechtigungskonzept ein, das auf der Mitgliedschaft einzelner Mitarbeiter in verschiedenen Berechtigungsgruppen beruht (Role-Based Access Control (RBAC); Active Directory Benutzer und Gruppen). Die Standardrechte unterliegen hierbei maximalen Einschränkungen und werden nur bei Bedarf erweitert. Die Entscheidung über Vergabe und Entzug von Rechten obliegt der Geschäftsführung. Sofern Mitarbeiter das Unternehmen verlassen, werden unverzüglich alle Rechte entzogen – der zugehörige Active Directory Benutzer wird gesperrt.

Für jeden Kunden – und bei Bedarf auch für einzelne Projekte – wird eine eigene Active Directory Sicherheitsgruppe erstellt. Der Zugriff auf die Daten eines Kunden wird auf Mitarbeiter eingeschränkt, die Mitglied in dieser Sicherheitsgruppe sind.

Bei der Implementierung neuer Datenverarbeitungssysteme wird darauf geachtet, dass diese das zentralisierte Berechtigungskonzept unmittelbar für die jeweiligen Systemrechte umsetzen (Active Directory Anbindung) und Zugriffe protokolliert werden.

Für die Active Directory Benutzer-Authentifizierung werden individuelle Benutzerpasswörter mit mindestens 11 Zeichen verwendet, die Groß-/Kleinbuchstaben und Zahlen enthalten müssen. Die Verwendung von Sonderzeichen ist optional. Mitarbeiter sind aufgefordert, ihre individuellen Benutzerpasswörter nicht mehrfach zu verwenden. Für Windows-Anmeldungen darf Windows Hello (Anmeldung mittels biometrischer Merkmale, wie Fingerabdruck, Gesichts- oder Iriserkennung) verwendet werden. Zusätzlich ist für administrative Accounts ein weiterer Authentifizierungsfaktor (Microsoft Authenticator App) erforderlich. Für besonders sensible Bereiche werden zusätzlich Benutzerzertifikate und/oder DATEV mIDentity USB-Sticks des Herstellers KOBIL Systems zur Authentifizierung verwendet (Drei-Faktor Authentifizierung). Die Umsetzung dieser Anforderungen wird per Active Directory Gruppenrichtlinie durchgesetzt. Eine Drei-Faktor Authentifizierung stellt keinen garantierten Mindestschutzumfang dar – die Zwei-Faktor Authentifizierung hingegen schon.

Für mobile Geräte und Arbeitsplatz-PCs (Client-Systeme) zugelassene Hersteller sind: HP, Microsoft, Lenovo, Apple. Die Geräte müssen über ein Trusted Platform Module (TPM) zur Speicherung sensibler Schlüssel und Gewährleistung der Systemintegrität verfügen. Alle Windows Systeme müssen UEFI Secure Boot verwenden.

Client-Systeme sollen bei der Inbetriebnahme neu installiert werden. Hierfür soll ein Fluxpunkt-Basis-Image verwendet werden. Ziel ist ein sauberes System ohne Backdoors.

Client-Systeme müssen mit einer Laufwerksverschlüsselung (BitLocker oder FileVault) gesichert sein. Dies wird außerdem per Richtlinie beim Domänenbeitritt durchgesetzt. Die Schlüssel für die Laufwerksverschlüsselung werden zentral in Azure AD gespeichert.

Client-Systeme müssen bei Verlassen des Arbeitsplatzes gesperrt werden. Eine automatische Sperrung muß zudem nach längerer Inaktivität erfolgen.

Zugangsdaten für Fremdsysteme (Kundensysteme, Online-Portale, Lieferantenshops, etc.) werden in einem zentralen multi-plattform und multi-user Passwortserver des Herstellers Pleasant Solutions (zertifiziert nach FIPS, FOIP, FISMA, PCI DSS, HIPAA) gespeichert. Verbindungen zum Passwortserver sind SSL-verschlüsselt. Der Zugriff erfolgt entweder über eine interne Website oder über eine Client-Anwendung (KeePass). Zugangsdaten werden nur in der Serverdatenbank, FIPS 140-2 compliant (AES256-verschlüsselt), gespeichert – eine lokale Speicherung findet nicht statt. Das System verschlüsselt Passwörter im Arbeitsspeicher und löscht nach wenigen Sekunden automatisch die Zwischenablage, falls diese für eine Kennwortübergabe verwendet wurde. Der Passwortserver setzt die Rechtesteuerung des Active Directory um und erlaubt die gezielte Freigabe bestimmter Zugangsdaten mit Zeitsteuerung, Proxy-Funktionalität für Web und SSH (so dass Zugangsdaten ohne deren Preisgabe verwendet werden können), Protokollierung und Zugriffs-Reporting, Zwei-Faktor Authentifizierung, Lockout bei mehrfachen Authentifizierungsfehlern und automatischem Zeitablauf für Kennwörter. Je nach Benutzerrecht, dürfen einzelne Zugangsdaten verwendet (ohne Preisgabe), gelesen, verändert oder neu angelegt werden.

Die Erstellung von Zugangsdaten für Fremdsysteme unterliegt den folgenden Richtlinien:

  1. Passwörter müssen zufallsgeneriert werden. Für die Erstellung soll der Passwort Generator des Passwortservers verwendet werden. Für die Verwaltung und Speicherung muß der Passwortserver verwendet werden. Passwörter sollen, wenn möglich, mit einem Verfallsdatum versehen werden.
  2. Passwörter dürfen nicht mehrfach für verschiedene Dienste verwendet werden.
  3. Falls der jeweilige Dienst dies unterstützt, sollen Passwörter mit mindestens 20 Zeichen, bestehend aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen generiert werden.
  4. Zugriffsrechte müssen unmittelbar bei der Erstellung explizit gesetzt werden.

Die Anbindung unseres internen Netzwerks (vertrauenswürdiges Netz) an öffentliche Netzwerke (nicht-vertrauenswürdige Netze) erfolgt durch einen Multi-WAN-VPN-Router mit Paketfilter des Herstellers Viprinet in Kombination mit zweifach-redundant ausgelegten UTM Next Generation Firewall-Appliances des Herstellers Rohde & Schwarz. Jeder Host unseres internen Netzes ist darüberhinaus mit einem weiteren Paketfilter (z.B. Windows Firewall, Linux iptables,...) versehen, so dass – in Anlehnung an die Empfehlung des BSI – ein dreistufiger Aufbau aus Paketfilter, Application-Level-Gateway und Paketfilter (P-A-P) entsteht.

Die Basis der Firewall-Regelwerke sieht zunächst ein vollständiges Blockieren der gesamten Netzwerkkommunikation vor. Notwendige Kommunikation wird explizit freigegeben. Hierbei muß auf eine möglichst genaue Spezifikation der Kommunikationseigenschaften geachtet werden. Gewährende Firewall-Regeln sollen auf die zu erwartenden Nutzungszeiten eingeschränkt werden.

Unser internes Netzwerk ist durch VLAN-Separierung in mindestens die folgenden Segmente unterteilt:

  1. Client-/Arbeitsplatznetzwerk
  2. Scanner und Drucker
  3. Voice
  4. Videoüberwachung und Gebäudeautomatisierung
  5. Server und IT-Infrastruktur
  6. DMZ
  7. Lab/Testing
  8. Deployment
  9. Datenschleuse

Die Netzwerkkommunikation von Geräten über eine VLAN-Grenze hinweg muß explizit in den UTM-Firewalls freigegeben werden. An dieser Stelle erfolgen inhaltliche Analysen des Traffics zur Angriffserkennung und -vermeidung. Freigaben erfolgen entweder für definierte Protokolle bestimmer Hosts und/oder aufgrund eines Identitätsnachweises durch Anmeldung eines Benutzers an einem Portal oder einer Client-Applikation der Firewall (auch im Rahmen eines Single-Sign-On-Prozesses bei der Anmeldung).

Serverdienste wie zum Beispiel Webservices oder Datenbanken müssen – je nachdem ob eine Nutzung von intern, extern oder intern/extern erfolgen soll – auf unterschiedlichen Container-Hosts (Docker) ausgeführt werden. Container-Hosts sind eigenständige virtuelle Maschinen, auf denen ein minimales Linux-System zur Container-Virtualisierung ausgeführt wird. Diese Trennung ermöglicht die Durchsetzung von Zugriffsbeschränkungen auf Netzwerkebene und verhindert Zugriffe auf interne Systeme durch Rechteeskalation eines öffentlich zugänglichen Systems.

Kundennetze, mobile Mitarbeiter und Home Offices werden per VPN angebunden. Für die Transportsicherung kommen IPsec oder TLS (SSL-VPN) zum Einsatz. VPN-Verbindungen mobiler Mitarbeiter und Home Offices müssen Perfect Forward Secrecy (PFS) sowie gegenseitige X.509-zertifikatsbasierte Authentifizierung verwenden. Für die Anbindung von Kundennetzen soll PFS sowie zertifikatsbasierte Authentifizierung, vor dem Einsatz von Preshared-Keys, verwendet werden. Beim Einsatz von Preshared-Keys gelten die Richtlinien für die Erstellung von Zugangsdaten für Fremdsysteme sinngemäß für die Erstellung des Preshared-Key. Konkrete Verschlüsselungsalgorithmen und Hashfunktionen werden unter Abwägung eines zu erreichenden Sicherheitslevels und des benötigten Rechenaufwands ausgewählt.

Kundennetze werden als nicht-vertrauenswürdige Netze betrachtet und entsprechend behandelt.

Weitergabekontrolle, Transportkontrolle und Übertragungskontrolle

Systeme, die zur Übertragung personenbezogener oder vertraulicher Daten eingesetzt werden, müssen mindestens eine Transportverschlüsselung einsetzen. Die damit zwingend einhergehenden Fehlererkennungs- und -korrekturverfahren sichern die Integrität der zu übermittelnden Daten. Mitarbeiter sollen Übertragungsweisen bevorzugen, die eine Ende-zu-Ende-Verschlüsselung unterstützen (z.B. Bereitstellung von Daten per Download über unsere flux.cloud-Plattform oder Microsoft OneDrive).

Protokolle ohne Transportsicherung dürfen nicht verwendet werden, wenn ein alternatives Protokoll mit Transportsicherung verfügbar ist (z.B für FTP, HTTP).

Für die Sicherung der Emailübertragung (IMAP und SMTP) setzen wir TLS ein. Für die Ende-zu-Ende-Sicherung von Übertragungen per flux.cloud setzen wir HTTPS (SSL) ein. Unsere Identität weisen wir dabei über ein, von einem vertrauenswürdigen Drittanbieter signiertes, RSA-Webserverzertifikat nach. Die Identität des Empfängers wird über die Kenntnis einer Zufallszeichenfolge innerhalb einer bereitgestellten URL sichergestellt. Bei der Bereitstellung soll ein Zeitablauf sowie ein zusätzliches Kennwort vergeben werden. Beim Zugriff auf unser öffentliches Wiki, sowie Dokumentations- und Ticketsystem, werden HTTP-Anfragen gezielt auf HTTPS umgeleitet (vorgeschalteter SSL-Reverse-Proxy).

Für die Übermittlung besonders sensibler oder vertraulicher Daten soll eine persönliche oder telefonische Kontaktaufnahme zur Verifikation der Empfängeridentität und Übermittlung einer Bereitstellungs-URL der zu übermittelnden Daten stattfinden. Bei telefonischer Übermittlung sensibler oder vertraulicher Daten muß die Telefonieverbindung mindestens bis zum Telefonieprovider verschlüsselt erfolgen (SIP-TLS/SRTP). Für verschlüsselte Telefonieverbindungen stehen uns die Provider STARFACE Connect und QSC zur Verfügung, die für ausgehende Gespräche explizit ausgewählt werden können. Für die Übermittlung besonders sensibler oder vertraulicher Daten sind Mitarbeiter außerdem angewiesen, für die per flux.cloud oder Microsoft OneDrive zum Download bereitgestellten Daten, eine Dokumentenverschlüsselung (verschlüsseltes PDF) zu verwenden. Das Dokumentenkennwort soll dabei im Rahmen der persönlichen oder telefonischen Kontaktaufnahme übermittelt werden.

Daten, bei denen ein Betroffener einen Löschungsanspruch hat und bei denen gesetzliche Aufzeichnungspflichten nicht entgegenstehen, müssen von Mitarbeitern per flux.cloud-Plattform oder Microsoft OneDrive (mit entsprechender Kategorisierung) übertragen werden, da nur so eine revisionssichere Email-Archivierung ausgeschlossen wird und einem Löschungsanspruch nachgekommen werden kann.

Aufgrund geänderter rechtlicher Rahmenbedingungen (DSGVO-Compliance) wird auf eine grundsätzliche revisionssichere Emailarchivierung verzichtet (da Löschpflichten ansonsten nicht nachgekommen werden kann). Stattdessen werden Dokumenten und Emails über Kategorisierungen/Labels entsprechende Aufbewahrungsrichtlinien (Retention-Policies) zugewiesen, die neben der Sicherstellung der Einhaltung einer Aufbewahrungsdauer auch eine automatische Löschung von Daten vorsehen.

Die Übermittlung von Daten per Email oder flux.cloud-Plattform wird protokolliert. Im Falle von aufbewahrungspflichtigen Emails, erfolgt eine revisionssichere Speicherung (Archivierung) der Emails für eine Dauer von 6 respektive 10 Jahren (zur Erfüllung gesetzlicher Anforderungen der GoBD aus HGB und AO). Diese Speicherung/Archivierung wird über Office 365 Retention-Policies umgesetzt.

Die Verwendung mobiler Datenträger (USB-Sticks, CDs/DVDs, mobile Festplatte, etc.) zum Transport personenbezogener Daten ist Mitarbeitern nicht gestattet. Die Annahme fremder mobiler Datenträger und deren Verwendung an unseren Datenverarbeitungssystemen ist Mitarbeitern ebenfalls untersagt.

Für Remote-Unterstützung/-Support beim Kunden setzen wir die Software TeamViewer, der TeamViewer GmbH aus Göppingen ein. Übertragungen sind hierbei durch Public-Key-Kryptographie (RSA 2048-Bit; Authentifizierung) und symmetrischer AES 256 Bit-Verschlüsselung (Transportsicherung) geschützt. Details unter: https://www.teamviewer.com/de/security/ und https://dl.tvcdn.de/docs/de/TeamViewer-Security-Statement-de.pdf.

Mitarbeiter sind im Rahmen ihres Arbeitsvertrags zur Geheimhaltung und auf das Datengeheimnis nach § 5 BDSG verpflichtet. Diese Verpflichtung überdauert das Arbeitsverhältnis und besteht auch nach dessen Beendigung fort.

Eingabekontrolle

Die von uns eingesetzten Systeme zur Erhebung, Verarbeitung, Speicherung und Nutzung von Daten bestehen hauptsächlich aus unserem Ticketsystem (Jira) und Wiki (Confluence) des Herstellers Atlassian sowie unserem Dokumentenmanagement- bzw. Enterprise Content Management System des Herstellers bitfarm Informationssysteme GmbH. Die Systeme protokollieren vollumfänglich jede Änderung an Daten sowie administrative Tätigkeiten inklusive des durchführenden Benutzers.

Daten (wie Dokumente, Emails oder allgemein Dateien), die im Dokumentenmanagementsystem abgelegt werden, werden mit Hilfe von Subversion (SVN) versioniert und mit Prüfsummen versehen. Eine Veränderung der Daten setzt voraus, dass ein berechtigter Mitarbeiter ein Dokument zur Bearbeitung auscheckt bzw. in einen Bearbeitungsmodus überführt und nach der Bearbeitung eincheckt bzw. die Änderung speichert und den Bearbeitungsmodus dadurch verlässt. Übergänge in den oder aus dem Bearbeitungsmodus werden protokolliert. Außerdem ist gewährleistet, dass ein Dokument zeitgleich nur durch einen Mitarbeiter verändert werden kann – im Bearbeitungsmodus ist das Dokument für andere Mitarbeiter gesperrt.

Die zur Erhebung, Verarbeitung, Speicherung und Nutzung von Daten verwendeten System werden mindestens zwei Mal pro Tag im Rahmen eines Backups gesichert und mindestens einmal am Tag an einen weiteren externen Ort zur Sicherung übermittelt, wodurch eine Sicherung der Protokolle gegen Verlust oder Veränderung umgesetzt wird. Hierfür verwenden wir eine Software des Herstellers Veeam. Für die Übermittlung und Speicherung der extern gesicherten Daten wird neben einer Transportverschlüsselung auch eine Datenverschlüsselung eingesetzt.

Auftragskontrolle

Wir setzen derzeit keine externen Auftragnehmer für die Betreuung unserer eigenen Datenverarbeitungsanlagen ein. Alle von uns eingesetzten Dienste und System werden – mit Ausnahme von Microsoft Office 365-Diensten (Exchange Online, Azure AD Verzeichnisdienst, Azure Virtualisierungsplattform für Hosting, OneDrive for Business, Skype for Business, SharePoint Online) – "on premise", auf unseren eigenen Servern an unserem Hauptstandort in Nürtingen betrieben. An einem weiteren eigenen Standort in Nürtingen, werden verschlüsselte Offsite-Backups aufbewahrt.

Unser externer Mailserver (Exchange Online) wird von Microsoft am Standort Wien (Österreich) betrieben. Weitere von uns genutzte Microsoft-Dienste, wie OneDrive for Business, SharePoint Online oder Skype for Business, werden in Rechenzentren in Irland oder den Niederlanden bereitgestellt. Die Datenschutzvereinbarung, Zertifizierungen und Compliance-Informationen befindet sich abrufbar unter: https://www.microsoft.com/de-de/trustcenter/about/transparency

Für den Betrieb unserer Hosting-/Monitoring- und Managed-Services-Plattformen nehmen wir Leistungen von Dritten, als Unterauftragnehmer, in Anspruch:

Nur auf ausdrücklichen Wunsch oder nach Zustimmung durch den Auftraggeber, werden Auftragsdaten zur Erbringung von Servicedienstleistungen (zum Beispiel für Support und Fehleranalysezwecke) an Soft- und Hardwareherstellers eines betroffenen Produkts übermittelt. Übermittelte Log-Dateien und Endkundeninformationen können als Nebenfolge hierbei personenbezogene Daten enthalten, die jedoch für keine anderen Zwecke als die Erbrigung der konkreten Servicedienstleistung verwendet werden dürfen. Mit diversen Herstellern haben wir zu diesem Zweck Auftrags(daten)verarbeitungsverträge (AV-Verträge) geschlossen. Im Rahmen der Prüfung der technischen und organisatorischen Maßnahmen (TOM) der Hersteller wurde uns jeweils ein ausreichendes Schutzniveu zugesichert, welches jedoch nicht notwendigerweise dem von uns in diesem Dokument aufgeführten Schutzniveu entsprechen muß.

Wie unter Weitergabekontrolle, Absatz 8 beschrieben, fallen beim Anbieter TeamViewer GmbH Verkehrsdaten an. Darüberhinaus hätte der Anbieter die Möglichkeit eines Man-in-the-Middle-Angriffs auf TeamViewer-Sitzungen. TeamViewer wurde einer sicherheitstechnischen Prüfung der FIDUCIA IT AG sowie einem BISG-Gutachten unterzogen. Darüberhinaus ist TeamViewer SOC 2 zertifiziert.

Weitere Kommunikationsverkehrsdaten fallen bei den Anbietern QSC, STARFACE Connect, HFO Telecom und sipgate an. Die Anbieter erbringen öffentlich zugängliche Telekommunikationsdieste und Telefondienste im Sinne des Telekommunikationsgesetzes (TKG) und unterliegen den besonderen Datenschutzanforderungen und dem Fernmeldegeheimnis des TKG.

Zum Zwecke der Buchführung und Erstellung von Jahresabschlüssen und deren Prüfung, ist nicht auszuschließen, dass personenbezogene Daten auf Belegen (Lieferscheine, Rechnungen, etc.) oder aus Fahrtenbüchern (Ansprechpartner eines Termins) an die Steuerberatungskanzlei Schlüter + Kollegen GmbH (Pfullingen) und die DATEV eG (Nürnberg) übermittelt werden. Die Datenschutzvereinbarung und das Verfahrensverzeichnis der DATEV eG befindet sich abrufbar unter: https://www.datev.de/web/de/m/ueber-datev/datenschutz/.
Mitarbeiter der Schlüter + Kollegen GmbH sind als Berufsgeheimnisträger zu besonderer Sorgfalt und Geheimhaltung verpflichtet. Das Unternehmen hat einen Datenschutzbeauftragten zur Prüfung und ordnungsgemäßen Umsetzung von Anforderungen aus Datenschutzgesetzen bestellt.

Verfügbarkeitskontrolle, Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität

Unsere Datenverarbeitungsanlagen sind vollständig mindestens zweifach-redundant ausgelegt. Jeweils zwei Online-USVs versorgen die redundanten Netzteile eines Servers oder PoE-Switches und sichern diese gegen Überspannung und Stromausfälle ab. Netzwerkverbindungen zu Servern sind durch Link-Aggregationen mindestens vierfach-redundant. Betriebssystemspeicher sind RAID-1 datengespiegelt. Alle weiteren Datenspeicher befinden sich auf RAID-5 Volumes mit einem Hotspare-Laufwerk oder auf RAID-6 Volumes.

Daten werden nach dem „3-2-1“-Prinzip gesichert: Mindestens 3 Kopien, auf mindestens zwei verschiedenen Medientypen, an mindestens einem weiteren Standort.

Das Backupkonzept sieht mindestens zwei Sicherungen pro Tag aller produktiven VMs vor und erlaubt die Wiederherstellung selbst einzelner Dateien innerhalb von VMs. Einmal pro Woche findet eine Vollsicherung statt. Die täglichen Differenzabbilder werden rückwärts-inkrementell erstellt um eine schnellstmöglich Wiederherstellung eines aktuellen Backups zu garantieren. Datenbanken auf Windows-Hosts unterstützen VSS und damit die Erstellung konsistenter Snapshots. Für Linux-basierte Datenbanken setzen wir individuelle pre-freeze- und post-thaw-Skripte ein, die die Konsistenz der Datenbank durch Anlegen eines Datenbanklocks vor dem Snapshot und Aufheben des Locks nach dem Snapshot sicherstellen.

Das Virenschutzkonzept sieht eine Perimetersicherung durch die UTM-Firewalls vor und setzt auf den in Windows integrierten Windows Defender. Die Mitarbeiter sind darüberhinaus sensibilisiert und geschult, auf den Umgang mit Daten unbekannter Herkunft, die Verifizierung von Datei-Prüfsummen und die Verwendung von Plattformen wie VirusTotal zur Prüfung fremder Dateien.

Für den Umgang mit mobilen Datenträgern (CD/DVD, USB-Sticks, SD-Karten, mobile Festplatten, etc.) kommt zur Perimetersicherung eine Datenschleuse PROVAIA des Herstellers PRESENSE zum Einsatz. Mobile Datenträger dürfen nicht mit Endgeräten verbunden werden (was darüberhinaus durch USB-Port-Locker verhindert wird), sondern müssen durch die Datenschleuse auf Viren, Skripte, Autostart-Funktionen geprüft und freigegeben werden. Dokumente werden von der Datenschleuse in portable und sichere Formate ohne Skripte und ohne eingebettete Schriften konvertiert. Der Inhalt freigegebener Datenträger wird anschließend auf ein spezielles Netzlaufwerk gespeichert.

Windows-Updates und Updates der Firewall (Firm-/Software, Signaturdateien, etc.) werden regelmäßig durchgeführt. Diverse Quellen für Zero-Day-Exploit-Informationen (Mailinglisten, Twitter, Websites) werden von uns überwacht, um schnellstmöglich auf mögliche Sicherheitslücken reagieren zu können.

Die externe Netzwerkanbindung wird über einen Multi-WAN-Router realisiert, der einen Kabelnetzanschluss, DSL und zwei LTE-Verbindungen bündelt.

Umsetzung des Trennungsgebots

Wie unter Zugriffskontrolle, Absatz 15 beschrieben, setzen wir auf eine hostbasierte Dienstetrennung (Trennung nach internen und externen Daten). Darüberhinaus sind einzelne Dienste innerhalb der Hosts jeweils containervirtualisiert (Docker) und ermöglichen so eine sehr differenzierte Trennung der Dienste (wie Ticketsystem, Wiki, Buchhaltung/Warenwirtschaft, Dokumentenmanagement, etc.).

Die containervirtualisierten Dienste bekommen individuellen Zugriff auf datenhaltende Docker-Volumes. Der Dienste-Container selbst enthält keine Daten und kann so leicht ausgetauscht, aktualisiert oder zurückgesetzt werden.

Mitarbeiter sind in Rechtegruppen unterteilt (z.B. Buchhaltung, Service/Support, Geschäftsführung, etc.), die mit unterschiedlichen Zugriffsrechten unterschiedlichem Funktionsumfang innerhalb einzelner Dienste einhergehen.

Zukunftsplanung

Wir planen die Einführung von 802.1x Authentifizierung und Autorisierung von Netzwerkgeräten und -benutzern (Network Access Control; NAC) zur Verbesserung der Zugriffskontrolle. Unsere Netzwerkhardware ist hierfür bereits vorbereitet.

Vertragsdaten des Auftraggebers




  • Keine Stichwörter