+49 541 4042-0
info@es2000.de
EnglishEnglish
DeutschDeutschNederlandsNederlands
Help
Login
logo-es2000-by-craftview
Free Advice
Click here for the es2000 online help!

Allgemeine Ergänzungsbedingungen zur Auftragsverarbeitung
(„AErgB Auftragsverarbeitung“)
gemäß Art. 28 DS-GVO

der es2000 Errichter Software GmbH

Herunterladen

1. Vertragsgegenstand

  • Gegenstand dieses Auftragserarbeitungsvertrages gemäß Art. 28 DSGVO (nachstehend „AVV“ genannt) bzw. der Allgemeinen Ergänzungsbedingungen zur Auftragsverarbeitung („AErgB Auftragsverarbeitung“) ist die Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung.
  • Die Beauftragung durch den Auftraggeber wird durch einen oder mehrere Hauptverträge bestimmt. Dies können z.B. Dienstleistungsverträge oder beauftragte Angebote bzw. Leistungsbeschreibungen sein (nachstehend „Hauptvertrag“ genannt).
  • Art und Zweck der Datenverarbeitung, die Art der Daten sowie die Übersicht der Kategorien betroffener Personen sind der Anlage zum AVV zu entnehmen.
  • Der AVV gilt auch für alle verbundenen Unternehmen des Auftraggebers, sofern zutreffend. Verbundene Unternehmen sind eine Unternehmensgruppe im Sinne des Art. 4 Nr. 19 DSGVO.
  • Die Inhalte des AVV gelten entsprechend, wenn der Auftragnehmer bereits vor dem Abschluss eines Hauptvertrages mit erforderlichen Analyse- und/oder Beratungsdienstleistungen durch den Auftraggeber beauftragt wird und ein Zugriff auf Daten des Auftraggebers oder eines verbundenen Unternehmens des Auftraggebers nicht ausgeschlossen werden kann.

2. Verantwortlichkeit

  • Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der gesetzlichen Bestimmungen als Verantwortlicher der Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich. Dieses gilt insbesondere für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte betroffener Personen nach den Artt. 12 bis 22 DSGVO.
  • Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er im Rahmen der Auftragsverarbeitung Abweichungen zu datenschutzrechtlichen Bestimmungen feststellen sollte.
  • Der Auftragnehmer ist für die Einhaltung der jeweils für ihn als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO einschlägigen Datenschutzvorschriften, insbesondere des Art. 28 DSGVO, verantwortlich.

3. Weisungsbefugnis des Auftraggebers

  • Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden.
  • Im Rahmen der täglichen bzw. regulären Zusammenarbeit können Weisungen auch mündlich erteilt werden. Solche Weisungen bestätigt der Auftraggeber im Nachgang unverzüglich (z.B. in Textform per E-Mail oder Ticket-System).
  • Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung, solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

4. Pflichten des Auftragnehmers

  • Vertraulichkeit
    Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der Daten befugten Beschäftigten des Auftragnehmers zur Vertraulichkeit verpflichtet haben. Diese und weitere ggf. einschlägige Vertraulichkeitspflichten bestehen auch nach Beendigung des Hauptvertrages sowie des Beschäftigungsverhältnisses beim Auftragnehmer fort.
  • Sicherheitsmaßnahmen
    Der Auftragnehmer hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen. Die dokumentierten Maßnahmen sind Grundlage des Auftrags und der Anlage zum AVV zu entnehmen.
  • Unterstützung
    Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artt. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit der Datenverarbeitung, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der zuständigen Aufsichtsbehörde.
  • Betroffenenrechte
    Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.
  • Löschung
    Nach Abschluss der vertraglichen Arbeiten – oder früher nach Aufforderung durch den Auftraggeber – hat der Auftragnehmer

    1. sämtliche im Rahmen des Auftrags in seinen Besitz gelangte Unterlagen oder Datenträger,
    2. erstellte Verarbeitungsergebnisse,
    3. Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen

dem Auftraggeber auszuhändigen oder auf Anweisung des Auftraggebers datenschutzkonform zu löschen bzw. zu vernichten, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht. Gleiches gilt für alle Daten, die Betriebs- oder Geschäftsgeheimnisse des Auftraggebers beinhalten. Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, an den vertragsgegenständlichen Daten sowie an evtl. vorhandenen Datenträgern wird ausgeschlossen.

  • Datenschutzbeauftragter
    Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt. Die Kontaktdaten des Datenschutzbeauftragten sind stets auf der Webseite des Auftragnehmers abrufbar.

5. Unterauftragsverhältnisse (weitere Auftragsverarbeiter)

  • Der Auftraggeber ist mit der Unterbeauftragung der in der Anlage zum AVV genannten Unterauftragsverarbeiter einverstanden.
  • Der Auftragnehmer versichert, dass er die Unterauftragsverarbeiter sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unterauftragsverarbeiter entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zum Auftraggeber nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen sicher, dass der Unterauftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Datenverarbeitung getroffen hat.
  • Erfolgt die Unterauftragsverarbeitung außerhalb des Europäischen Wirtschaftsraumes (EU-Staaten zzgl. Island, Liechtenstein, Norwegen), stellt der Auftragnehmer sicher, dass die einschlägigen Anforderungen der Artt. 44 bis 50 DSGVO eingehalten werden.
  • Die Auswahl zusätzlicher Unterauftragsverarbeiter ist zulässig, sofern der Auftragnehmer den Auftraggeber vorab informiert und der Auftraggeber nicht innerhalb von vier Wochen gegenüber dem Auftragnehmer Einspruch gegen die geplante Unterauftragsverarbeitung erhebt.

6. Kontrollrechte des Auftraggebers

  • Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer, Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses AVV durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
  • Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
  • Als Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann der Auftragnehmer auch Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutz-/Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit vorlegen.
  • Soweit dem Auftragnehmer für die Ermöglichung von Kontrollen durch den Auftraggeber Aufwände entstehen, die über einen Tag im Kalenderjahr hinausgehen, kann er hierfür eine angemessene Vergütung verlangen.

7. Haftung

  • Die Haftung im Zusammenhang mit dem AVV richtet sich nach Art 82 DSGVO. Etwaige Haftungsregelungen des Hauptvertrages bleiben hiervon unberührt.
  • Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragsverarbeiters.

8. Schlussbestimmungen

  • Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
  • Sollten einzelne Teile dieses AVV unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des AVV nicht.
  • Im Übrigen gelten die Schlussbestimmungen des Hauptvertrages.

A. Konkretisierung der Datenverarbeitung

Im Folgenden wird näher auf Art und Zweck der Datenverarbeitung, die Art der Daten sowie die Kategorien betroffener Personen eingegangen.

1. Art und Zweck der Datenverarbeitung

  • Der Auftragnehmer stellt im Rahmen eines Software-as-a-Service-Models die Anwendung ESWAWI zur Verfügung.
  • Dies umfasst die Einrichtung und die Wartung für ein ganzheitliches Informations- und Handlungsmanagement, insbesondere die Bereiche: Enterprise Resource-Planning (ERP),
  • Customer-Relationship-Management (CRM), Business Intelligence (BI) und Dokumentenmanagement (DMS).
  • Eine Fernwartung bzw. Remoteunterstützung der Anwenderinnen und Anwender der ESWAWI-Anwendung, welche auf dem lokalen IT-System, des Auftraggebers installiert wird, ist ebenfalls möglich.

2. Art der Daten

  • Die Datenkategorien ergeben sich aus den jeweils eingesetzten Programmmodulen des Auftraggebers und umfassen mindestens die Im Folgenden aufgeführten Kategorien von Daten.
  • Personenstammdaten
  • Kommunikationsdaten
  • Planungs- und Steuerungsdaten
  • Logfiles und Fehlerprotokolle der Serversysteme
  • Weitere Kategorien von Daten kann der Auftraggeber dem Auftragnehmer durch eine Weisung bekanntmachen.

3. Kategorien betroffener Personen

  • Welcher Kreis von Personen betroffen ist, ergibt sich aus dem Nutzungsumfang der Module. In der Regel sind folgende Kategorien von der Datenverarbeitung umfasst.
  • Kunden
  • Interessenten (branchenspezifisch auch Bedarfer genannt)
  • Geschäftspartner / Lieferanten
  • Ansprechpartner
  • Beschäftigte / Personal
  • Weitere Kategorien von betroffener Personen kann der Auftraggeber dem Auftragnehmer durch eine Weisung bekanntmachen.

B. Allgemeine Sicherheitsmaßnahmen

Folgende Sicherheitsmaßnahmen werden beim Auftragnehmer grundsätzlich umgesetzt.

1. Vertraulichkeit

  • Zutrittskontrolle
  • Die Zutrittskontrolle erfolgt über einen Empfangsbereich am Eingang und ein Zugangskontrollsystem am Gebäude.
  • Unterschiedliche Schließgruppen des Schließsystems für Bürobereiche und Serverraum.
  • In allen Bereichen ist eine Einbruchmeldeanalage vorhanden.
  • Transponder werden nach Least-Privileg-Prinzip vergeben.
  • Videoüberwachung des Geländes inkl. Zugangsbereich.
  • Besucher werden protokolliert und begleitet.
  • Zugangskontrolle
  • Individuelle Benutzeraccounts für den Zugriff auf bereitgestellte Systeme.
  • Kennwortkomplexität per Gruppenrichtlinie (u.a. Sonderzeichen, Mindestlänge, Historie).
  • Automatische Sperrung (z.B. Kennwort Fehleingaben oder Pausenschaltung).
  • Mehr-Faktor-Authentifizierung nach dem Besitz und Wissen Prinzip wo möglich.
  • Zugriffskontrolle
  • Differenziertes Berechtigungskonzept (Profile, Rollen, Transaktionen und Objekte).
  • Vergabe der Zugriffsrechte nach Prinzip der minimal erforderlichen Rechte.
  • Protokollierung und Kenntnisnahme der Zugriffe und Veränderungen.
  • Sensible Daten in Papierform werden getrennt verwaltet und sind dauerhaft unter Verschluss.
  • Trennungskontrolle
  • Durchgängige logische Trennung der Daten durch Datenbanken, Tabellen und Ordnerstrukturen.
  • Trennung von Produktiv- und Testsystemen.
  • Berechtigungsgruppen im Active Directory.
  • Datenschutz-Attribute bei Feldern mit personenbezogenen Daten.
  • Pseudonymisierung
  • Eine Pseudonymisierung der Daten ist zum Teil systemimmanent durch die Normalisierung der Relationalen Datenbank.
  • Eine Anonymisierung ist aufgrund des Umfangs und der Art der Datenverarbeitung manuell vorzunehmen. Die Umsetzung obliegt dabei dem Auftraggeber.

2. Integrität

  • Weitergabekontrolle
  • Sämtlicher Datenverkehr wird verschlüsselt (z.B. per HTTPS oder VPN) übertragen.
  • Protokollierung der ein- und ausgehenden Verbindungen über die Firewall.
  • Zertifizierte Datenvernichtung
  • Eingabekontrolle
  • Diverse Protokollierungs- und Protokollauswertungssysteme der eingesetzten Software.
  • Der Datenbestand wird regelmäßig stichprobenartig überprüft, Abweichungen werden umgehend gemeldet, erörtert und behoben.

3. Verfügbarkeit und Belastbarkeit

  • Tägliche Datensicherung der Serversysteme und Datenbereiche
  • Überprüfung der Datenwiederherstellbarkeit
  • Virtualisierte Serversysteme
  • Redundante Internetanbindung
  • Spiegeln von Festplatten, RAID-Verfahren sowie Sicherung der Gesamtsysteme
  • Unterbrechungsfreie Stromversorgung (USV)
  • Virenschutz, Firewall und Intrusion Detection Systeme.
  • Brandmeldeanlage und weitere Brandschutzmaßnahmen.
  • Regelmäßige Wartung der Klimasysteme.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Definierte Vorgaben zum Umgang mit datenschutzrelevanten Gegebenheiten
  • Umsetzung von Schulungsmaßnahmen
  • Vertraulichkeitsverpflichtung zum Datenschutz und Schweigepflicht über Betriebs- und Geschäftsgeheimnisse
  • Vertreter für alle betriebsnotwendigen Funktionen sind definiert und festgelegt
  • Regelmäßige Kontrollen der genannten Maßnahmen
  • Eindeutige Vertragsgestaltung
  • Formalisierte und dokumentierte Auftragserteilung (per Helpdesk/Ticketsystem)
  • Kontrolle der Vertragsausführung

C. Spezifische Sicherheitsmaßnahmen

Folgende Sicherheitsmaßnahmen werden zusätzlich im Rahmen der SaaS-Lösung umgesetzt.

  • Der Austausch der Daten zwischen Auftragnehmer und Auftraggeber erfolgt entweder über zuvor definierte Webservices, oder per ebenfalls zuvor fest definierte EDI-Dateien über SFTP.
  • Eine Änderung der Quell- und Zielwebservices, oder der zuvor genannten EDI-Dateien muss zwischen Auftragnehmer und Auftraggeber kommuniziert und einvernehmlich beschlossen und geplant werden.

D. Fernwartung

Für die Durchführung einer Fernwartung bzw. Remoteunterstützung der Anwenderinnen und Anwender des ESWAWI-Clients, welcher auf dem lokalen IT-System, des Auftraggebers installiert wird, gelten ergänzend folgende Vorgaben.

  • Fernzugriffe werden, sofern ein Zugriff auf Daten nicht sicher ausgeschlossen werden kann, ausschließlich mit Zustimmung des Auftraggebers ausgeführt.
  • Die Beschäftigten des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren.
  • Vor Durchführung von Fernzugriffen werden sich Auftraggeber und Auftragnehmer über etwaig notwendige Datensicherheitsmaßnahmen in ihren jeweiligen Verantwortungsbereichen verständigen.
  • Fernzugriffe werden dokumentiert und protokolliert. Der Auftraggeber ist berechtigt, Prüfungs- und Wartungsarbeiten vor, bei und nach Durchführung zu kontrollieren. Bei Fernzugriffen ist der Auftraggeber – soweit technisch möglich – berechtigt, diese von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen.
  • Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten nur in dem Umfang – auch in zeitlicher Hinsicht – Gebrauch machen, wie dies für die ordnungsgemäße Durchführung der beauftragten Fernwartung notwendig ist.
  • Tätigkeiten zur Fehleranalyse, bei denen eine Übermittlung der Daten außerhalb des Zuständigkeitsbereiches des Auftraggebers erforderlich ist, bedürfen der vorherigen Zustimmung. Bei Datenabzug der Daten wird der Auftragnehmer diese Kopien, unabhängig vom verwendeten Medium, nach Bereinigung des Fehlers löschen.

E. Übersicht Unterauftragsverhältnisse

Die folgende Übersicht enthält alle ausgewählten Unterauftragsverarbeiter, die – ggf. auch nur bei Bedarf – an der Auftragsverarbeitung beteiligt sind.

Unternehmen
Microsoft Corp.
Redmond, Washington
United States of America

Zweck
Bereitstellung von Cloud-Computing-Plattformen

 

Unternehmen
TeamViewer Germany GmbH
Bahnhofsplatz 2
73033 Göppingen

Zweck
Bereitstellung Remotesoftware für die Fernwartung und Unterstützung auf den Clients des Auftraggebers

 

Unternehmen
Q-MEX Networks GmbH
Grenzstr. 4
28832 Achim

Zweck
Bereitstellung Telefonanlage, Disaster Recovery Support

 

A. Konkretisierung der Datenverarbeitung

Im Folgenden wird näher auf Art und Zweck der Datenverarbeitung, die Art der Daten sowie die Kategorien betroffener Personen eingegangen.

1. Art und Zweck der Datenverarbeitung

  • Der Auftragnehmer stellt im Rahmen eines Software-as-a-Service-Models die Anwendung ESWAWI zur Verfügung.
  • Dies umfasst die Einrichtung und die Wartung für ein ganzheitliches Informations- und Handlungsmanagement, insbesondere die Bereiche: Enterprise Resource-Planning (ERP),
  • Customer-Relationship-Management (CRM), Business Intelligence (BI) und Dokumentenmanagement (DMS).
  • Eine Fernwartung des ESWAWI-Servers und die Remoteunterstützung der Anwenderinnen und Anwender des ESWAWI-Clients, welcher auf dem lokalen IT-System, des Auftraggebers installiert wird, ist ebenfalls möglich.

2. Art der Daten

  • Die Datenkategorien ergeben sich aus den jeweils eingesetzten Programmmodulen des Auftraggebers und umfassen mindestens die Im Folgenden aufgeführten Kategorien von Daten.
  • Personenstammdaten
  • Kommunikationsdaten
  • Planungs- und Steuerungsdaten
  • Logfiles und Fehlerprotokolle der Serversysteme
  • Weitere Kategorien von Daten kann der Auftraggeber dem Auftragnehmer durch eine Weisung bekanntmachen.

3. Kategorien betroffener Personen

  • Welcher Kreis von Personen betroffen ist, ergibt sich aus dem Nutzungsumfang der Module. In der Regel sind folgende Kategorien von der Datenverarbeitung umfasst.
  • Kunden
  • Interessenten (branchenspezifisch auch Bedarfer genannt)
  • Geschäftspartner / Lieferanten
  • Ansprechpartner
  • Beschäftigte / Personal
  • Weitere Kategorien von betroffener Personen kann der Auftraggeber dem Auftragnehmer durch eine Weisung bekanntmachen.

B. Allgemeine Sicherheitsmaßnahmen

Folgende Sicherheitsmaßnahmen werden beim Auftragnehmer grundsätzlich umgesetzt.

1. Vertraulichkeit

  • Zutrittskontrolle
  • Die Zutrittskontrolle erfolgt über einen Empfangsbereich am Eingang und ein Zugangskontrollsystem am Gebäude.
  • Unterschiedliche Schließgruppen des Schließsystems für Bürobereiche und Serverraum.
  • In allen Bereichen ist eine Einbruchmeldeanalage vorhanden.
  • Transponder werden nach Least-Privileg-Prinzip vergeben.
  • Videoüberwachung des Geländes inkl. Zugangsbereich.
  • Besucher werden protokolliert und begleitet.
  • Zugangskontrolle
  • Individuelle Benutzeraccounts für den Zugriff auf bereitgestellte Systeme.
  • Kennwortkomplexität per Gruppenrichtlinie (u.a. Sonderzeichen, Mindestlänge, Historie).
  • Automatische Sperrung (z.B. Kennwort Fehleingaben oder Pausenschaltung).
  • Mehr-Faktor-Authentifizierung nach dem Besitz und Wissen Prinzip wo möglich.
  • Zugriffskontrolle
  • Differenziertes Berechtigungskonzept (Profile, Rollen, Transaktionen und Objekte).
  • Vergabe der Zugriffsrechte nach Prinzip der minimal erforderlichen Rechte.
  • Protokollierung und Kenntnisnahme der Zugriffe und Veränderungen.
  • Sensible Daten in Papierform werden getrennt verwaltet und sind dauerhaft unter Verschluss.
  • Trennungskontrolle
  • Durchgängige logische Trennung der Daten durch Datenbanken, Tabellen und Ordnerstrukturen.
  • Trennung von Produktiv- und Testsystemen.
  • Berechtigungsgruppen im Active Directory.
  • Datenschutz-Attribute bei Feldern mit personenbezogenen Daten.
  • Pseudonymisierung
  • Eine Pseudonymisierung der Daten ist zum Teil systemimmanent durch die Normalisierung der Relationalen Datenbank.
  • Eine Anonymisierung ist aufgrund des Umfangs und der Art der Datenverarbeitung manuell vorzunehmen. Die Umsetzung obliegt dabei dem Auftraggeber.

2. Integrität

  • Weitergabekontrolle
  • Sämtlicher Datenverkehr wird verschlüsselt (z.B. per HTTPS oder VPN) übertragen.
  • Protokollierung der ein- und ausgehenden Verbindungen über die Firewall.
  • Zertifizierte Datenvernichtung
  • Eingabekontrolle
  • Diverse Protokollierungs- und Protokollauswertungssysteme der eingesetzten Software.
  • Der Datenbestand wird regelmäßig stichprobenartig überprüft, Abweichungen werden umgehend gemeldet, erörtert und behoben.

3. Verfügbarkeit und Belastbarkeit

  • Tägliche Datensicherung der Serversysteme und Datenbereiche
  • Überprüfung der Datenwiederherstellbarkeit
  • Virtualisierte Serversysteme
  • Redundante Internetanbindung
  • Spiegeln von Festplatten, RAID-Verfahren sowie Sicherung der Gesamtsysteme
  • Unterbrechungsfreie Stromversorgung (USV)
  • Virenschutz, Firewall und Intrusion Detection Systeme.
  • Brandmeldeanlage und weitere Brandschutzmaßnahmen.
  • Regelmäßige Wartung der Klimasysteme.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Definierte Vorgaben zum Umgang mit datenschutzrelevanten Gegebenheiten
  • Umsetzung von Schulungsmaßnahmen
  • Vertraulichkeitsverpflichtung zum Datenschutz und Schweigepflicht über Betriebs- und Geschäftsgeheimnisse
  • Vertreter für alle betriebsnotwendigen Funktionen sind definiert und festgelegt
  • Regelmäßige Kontrollen der genannten Maßnahmen
  • Eindeutige Vertragsgestaltung
  • Formalisierte und dokumentierte Auftragserteilung (per Helpdesk/Ticketsystem)
  • Kontrolle der Vertragsausführung

C. Fernwartung

Für die Durchführung einer Fernwartung bzw. Remoteunterstützung der Anwenderinnen und Anwender des ESWAWI-Clients, welcher auf dem lokalen IT-System, des Auftraggebers installiert wird, gelten ergänzend folgende Vorgaben.

  • Fernzugriffe werden, sofern ein Zugriff auf Daten nicht sicher ausgeschlossen werden kann, ausschließlich mit Zustimmung des Auftraggebers ausgeführt.
  • Die Beschäftigten des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren.
  • Vor Durchführung von Fernzugriffen werden sich Auftraggeber und Auftragnehmer über etwaig notwendige Datensicherheitsmaßnahmen in ihren jeweiligen Verantwortungsbereichen verständigen.
  • Fernzugriffe werden dokumentiert und protokolliert. Der Auftraggeber ist berechtigt, Prüfungs- und Wartungsarbeiten vor, bei und nach Durchführung zu kontrollieren. Bei Fernzugriffen ist der Auftraggeber – soweit technisch möglich – berechtigt, diese von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen.
  • Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten nur in dem Umfang – auch in zeitlicher Hinsicht – Gebrauch machen, wie dies für die ordnungsgemäße Durchführung der beauftragten Fernwartung notwendig ist.
  • Tätigkeiten zur Fehleranalyse, bei denen eine Übermittlung der Daten außerhalb des Zuständigkeitsbereiches des Auftraggebers erforderlich ist, bedürfen der vorherigen Zustimmung. Bei Datenabzug der Daten wird der Auftragnehmer diese Kopien, unabhängig vom verwendeten Medium, nach Bereinigung des Fehlers löschen.

D. Übersicht Unterauftragsverhältnisse

Die folgende Übersicht enthält alle ausgewählten Unterauftragsverarbeiter, die – ggf. auch nur bei Bedarf – an der Auftragsverarbeitung beteiligt sind.

Unternehmen
TeamViewer Germany GmbH
Bahnhofsplatz 2
73033 Göppingen

Zweck
Bereitstellung Remotesoftware für die Fernwartung und Unterstützung der Anwenderinnen und Anwender

 

Unternehmen
Q-MEX Networks GmbH
Grenzstr. 4
28832 Achim

Zweck
Bereitstellung Telefonanlage, Disaster Recovery Support