Anlage zur Auftragsdatenverarbeitung

Präambel

Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsdatenverarbeitungsverhältnis gemäß § 11 Bundesdatenschutzgesetz (BDSG) eingegangen. Um die Rechte und Pflichten aus dem Auftragsdatenverarbeitungsverhältnis gemäß der gesetzlichen Verpflichtung zu konkretisieren, vereinbaren die Vertragsparteien ergänzend die nachfolgenden Regelungen:

§ 1 Anwendungsbereich

Die Vereinbarung findet Anwendung auf alle Tätigkeiten, die Gegenstand der Leistungsvereinbarung sind und bei deren Verrichtung Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer nach Maßgabe dieser Vereinbarung beauftragte Dritte mit personenbezogenen Daten in Berührung kommen, für die der Auftraggeber die gemäß § 3 Abs. 7 BDSG verantwortliche Stelle ist.

2 Begriffsbestimmung

Diese Vereinbarung bezieht sich nur auf die Durchführung der technischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach einem vom Auftraggeber vorgegebenen Algorithmus (Auftragsdatenverarbeitung). Eine inhaltliche Aufgabenübertragung wird mit dieser Vereinbarung nicht getroffen.

§ 3 Konkretisierung des Auftragsinhalts

(1) Der Gegenstand und die Dauer der Auftragsdatenverarbeitung (§ 11 Abs. 2 S. 2 Nr. 1 BDSG) sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten (§ 11 Abs. 2 S. 2 Nr. 2 BDSG) sind in der Leistungsvereinbarung niedergelegt.

(2) Die Art der verwendeten personenbezogenen Daten ist in der Leistungsbeschreibung konkret beschrieben.

(3) Der Kreis der durch den Umgang mit ihren personenbezogenen Daten Betroffenen ist in der Leistungsbeschreibung konkret beschrieben.

§ 4 Verantwortlichkeit und Weisungsbefugnis

(1) Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (§ 3 Abs. 7 BDSG). Er kann jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten verlangen (§ 11 Abs. 2 S. 2 Nr. 4 und 10 BDSG). Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden zunächst durch die Leistungsvereinbarung definiert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (§ 11 Abs. 2 S. 2 Nr. 9
BDSG).

(3) Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

(4) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

(5) Der Auftraggeber führt das Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 2 BDSG. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch Informationen zur Aufnahme in das Verfahrensverzeichnis zur Verfügung.

(6) Die Daten werden ausschließlich im Gebiet der Bundesrepublik Deutschland gespei-chert. Eine Verlagerung in einen Staat außerhalb der Bundesrepublik Deutschland bedarf der vorherigen Zustimmung des Auftraggebers. Die Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers findet ausschließlich durch Mitarbeiter der Kroll Ontrack GmbH oder mit ihr direkt oder indirekt i. S.d. § 15 AktG verbundenen Unternehmen (Kroll Konzern) innerhalb des europäischen Wirtschaftsraums (EWR) statt. Ein Zugriff auf die Daten von Mitarbeitern des Kroll Konzerns außerhalb des EWR ist nur zulässig, sofern eine konzernweite Datenschutzrichtlinie nach den europäischen Datenschutzstandards oder eine Selbstverpflichtungserklärung des jeweiligen Konzernunternehmens nach dem EU US Privacy Shield-Abkommen (erst ab dessen Inkrafttreten) vorliegt. Die besonderen Voraus-setzungen der §§ 4b, 4c BDSG bleiben unberührt.

§ 5 Beachtung zwingender gesetzlicher Pflichten durch den Auftragnehmer

(1) Neben den vertraglichen Regelungen dieser Vereinbarung und der Leistungsvereinbarung treffen den Auftragnehmer gemäß § 11 Abs. 4 BDSG die nachfolgenden gesetzlichen Pflichten.

(2) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsdatenverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.

(3) Der Auftragnehmer hat nach Maßgabe des § 4f BDSG einen Datenschutzbeauftragten bestellt, der seine Tätigkeit gemäß §§ 4f und 4g BDSG ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitzuteilen.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden nach § 38 BDSG oder falls eine Aufsichtsbehörde nach §§ 43, 44 BDSG bei dem Auftragnehmer ermittelt.

§ 6 Technisch-organisatorische Maßnahmen und deren Kontrolle

(1) Die Vertragsparteien vereinbaren die in dem Anhang „Technisch-organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG in Verbindung mit § 9 BDSG. Er ist Gegenstand dieser Vereinbarung.

(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang „Technisch-organisatorische Maßnahmen“ festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(3) Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die entsprechenden Nachweise verfügbar machen. Aufgrund der Kontrollverpflichtung des Auftraggebers gemäß § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.

(4) Der Auftraggeber kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des Auftragnehmers zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen (§ 11 Abs. 2 S. 2 Nr. 7 BDSG).

§ 7 Mitteilung bei Verstößen durch den Auftragnehmer

(1) Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen vertragliche oder gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers (§ 11 Abs. 2 S. 2 Nr. 8 BDSG).

(2) Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

§ 8 Löschung und Rückgabe von Daten

(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.

(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch des Auftraggebers, jedoch spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten (§ 11 Abs. 2 S. 2 Nr. 10 BDSG). Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Auftraggeber auf Anforderung vorzulegen.

(3) Der Auftragnehmer kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 9 Subunternehmer

(1) Aufträge an Subunternehmer durch den Auftragnehmer dürfen nur mit vorheriger ausdrücklicher schriftlicher Genehmigung des Auftraggebers vergeben werden (§ 11 Abs.2 S. 2 Nr. 6 BDSG). Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen und Wartungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

(2) Wenn Subunternehmer durch den Auftragnehmer eingeschaltet werden, hat der Auftragnehmer sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmer so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer entspricht und alle gesetzlichen und vertraglichen Pflichten beachtet werden.

(3) Dem Auftraggeber sind in der vertraglichen Vereinbarung mit dem Subunternehmer Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten.

§ 10 Nebenleistungen

Die §§ 1 bis 8 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (§ 11 Abs. 5 BDSG).

§ 11 Datenschutzkontrolle

Der Auftragnehmer verpflichtet sich, dem/der Betrieblichen Datenschutzbeauftragten des Auftraggebers zur Erfüllung seiner jeweiligen gesetzlichen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Der Anhang „Technisch-organisatorische Maßnahmen“ ist Bestandteil dieser Vereinbarung.

Anhang „Technisch-organisatorische Maßnahmen nach § 9 BDSG

§ 5 der Vereinbarung zur Auftragsdatenvereinbarung verweist zur Konkretisierung der technisch-organisatorischen Datenschutzmaßnahmen auf diesen Anhang.

§ 1 Technische und organisatorische Sicherheitsmaßnahmen
Gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG in Verbindung mit § 9 BDSG sind die Vertragspartner verpflichtet, die technischen und organisatorischen Sicherheitsmaßnahmen festzulegen.

§ 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragnehmers
Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

§ 3 Konkretisierung der Einzelmaßnahmen

Im Einzelnen werden folgende Maßnahmen bestimmt:

1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  • Festlegung befugter Personen (Betriebsangehörige und Betriebsfremde)
  • Access-Chip Regelung
  • Regelung für Firmenfremde
  • Sicherung auch außerhalb der Arbeitszeit durch Alarmanlage
  • Türsicherung (elektrischer Türschließer, Ausweisleser)
  • Entsprechende Ausgestaltung der Maßnahmen zur Objektsicherung (z.B. Einbruchmeldesystem, Geländebewachung

2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Teilweise Verschlüsselung
  • Vergabe und Sicherung von Identifizierungsschlüsseln (User ID)
  • Regelung der Benutzerberechtigung
  • Verpflichtung auf das Datengeheimnis nach § 5 BDSG
  • Differenzierte Zugriffsregelung (z. B. durch Segmentzugriffsperren)
  • Protokollierung und Auswertung der Dateibenutzung
  • Kontrollierte Vernichtung von Datenträgern

3 Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Verschlüsselung
  • Regelung der Zugriffsberechtigung
  • Auswertung von Protokollen
  • Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen

4 Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Verschlüsselung
  • Feststellung befugter Personen
  • Gesicherter RZ Eingang für An und Ablieferung
  • Ausgabe von Datenträgern nur an autoisierte Personen (z. B. Auftragsquittung, Begleitpapier)
  • Datenträger Verwaltung
  • Bestandskontrolle
  • Gesonderter Verschluss vertraulicher Datenträger
  • Sicherheitsschränke
  • Kontrollierte Vernichtung von Datenträgern (z. B. Fehldrucke)
  • Regelung der Anfertigung von Kopien
  • Dokumentation der Abruf und Übermittlungsprogramme
  • Bestimmte autorisierte Benutzer
  • Verpackungs- und Versandvorschriften (Versandart z. B. in verschlossenen Behältnissen
  • Direktabholung, Kurierdienst, Transportbegleitung
  • Löschung von Datenresten vor Datenträgeraustausch

5 Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe
  • Protokollierung von Eingaben
  • Protokollierung der Dateibenutzung
  • Verfahrens-, Programm- und Arbeitsablauforganisation
  • Verpflichtung auf das Datengeheimnis

6 Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Erfüllung von Datenverarbeitungsverträgen
  • Sicherer Daten-und Datenträgertransport (i.d.R. DHL)
  • Sichere Datenverarbeitung
  • Sichere Datenlöschung nach erfülltem Auftrag
  • Interne Prozesse zur Auftragserfüllung und Überwachung der Prozesse
  • Standard Change Management Prozess (nach ITIL)

7 Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Maßnahmen zur Datensicherung (physikalisch / logisch)
  • Backups
  • Sicherungsverfahren und Archivierung
  • Wiederherstellung der Infrastruktur (Desaster Recovery)
  • Schutz gegen „malicious code“

8 Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken.
  • Mandantentrennung
  • Funktionstrennungen
  • Trennung von Test-und Produktivsystemen