Vereinbarung über die Verarbeitung personenbezogener Daten

Vereinbarung über die Verarbeitung personenbezogener Daten

im Auftrag von

(in Folge: „Merchant“ oder „Verantwortlicher“)

durch

Webgains Deutschland – ad pepper media GmbH

Frankenstrasse 150C

90461 Nürnberg

(in Folge: „Webgains“ oder „Auftragsverarbeiter“)

jeweils einzeln oder gemeinsam: „Partei“ oder „Parteien“

Durch Ankreuzen des Felds „Ich stimme der Vereinbarung für die Verarbeitung personenbezogener Daten zu“ gilt zwischen den Parteien die folgende Vereinbarung über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Merchants.

Präambel

Diese Vereinbarung über die Verarbeitung personenbezogener Daten (in Folge „Vereinbarung“) bestimmt die Verpflichtungen der Parteien im Zuge der Verarbeitung personenbezogener Daten (in Folge „personenbezogene Daten“) durch Webgains im Auftrag des Merchants als Verantwortlichen und in Verbindung mit der zwischen den Parteien geltenden Provisionsplan und den Allgemeinen Geschäftsbedingungen für Merchants (zusammen der „Merchantvertrag“). Die Bestimmungen gelten für sämtliche Verarbeitungen personenbezogener Daten in Verbindung mit dem Merchantvertrag, in dessen Anwendungsbereich die Angestellten des Auftragsverarbeiters die personenbezogenen Daten des Verantwortlichen im Auftrag des Merchants verarbeiten.

 

  1. Gegenstand / Art, Zweck und Umfang der Verarbeitung personenbezogener Daten

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Anweisung des Merchants. Die Verpflichtungen der Parteien laut dieser Vereinbarung ergeben sich aus dem Merchantvertrag. Die Vereinbarung und einzelne Anweisungen sind ein Anhang des besagten Vertrags. Angesicht der obigen Angaben und gemäß den Prinzipien der EU-Datenschutz-Grundverordnung Nr. 2016/679 (in Folge „DSGVO“) ist Webgains der Auftragsverarbeiter und der Merchant der Verantwortlicher.

(2) Art und Zweck der geplanten Datenverarbeitung sowie die entsprechenden personenbezogenen Daten und Gruppen betroffener Personen sind in Anhang 1 angeführt.

 

  1. Verpflichtungen des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet lediglich die personenbezogenen Daten innerhalb des Rahmens dieser Vereinbarung sowie nach den spezifischen Anweisungen des Merchants. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen nicht in einer diesen Vorgaben entgegenstehenden Weise.

(2) Abschnitt 1 unterliegt den Einschränkungen des Unionsrechts bzw. des Rechts des Mitgliedstaats, das für den Auftragsverarbeiter gilt. In diesem Fall muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung der Daten entsprechend in Kenntnis setzen, sofern dies nicht dem öffentlichen Interesse widerspricht, z. B. durch steuerliche oder gewerbliche Meldepflichten.

(3) Der Verantwortliche oder ein Bevollmächtigter muss die Anweisungen per E-Mail oder über das Online-Ticketing-System auf der Webgains-Plattform übersenden. Mündliche Anweisungen sind unverzüglich per E-Mail oder über das besagte Ticketing-System zu bestätigen.

(4) Der Auftragsverarbeiter darf personenbezogene Daten nicht berichtigen, löschen oder sperren, sofern keine entsprechenden Anweisungen erteilt wurden oder die Löschung gemäß Klausel 14 dieser Vereinbarung erfolgt (Kündigung dieser Vereinbarung). Kunden-/ Nutzeranwendungen für die Berichtigung, Löschung oder das Sperren personenbezogener Daten müssen unverzüglich an den Verantwortlichen übermittelt werden, der seinerseits ohne Verzögerung dem Auftragsverarbeiter entsprechende Anweisungen erteilt.

(5) Die Datenverarbeitung erfolgt ausschließlich innerhalb von EU-/EWR-Mitgliedstaaten und im Vereinigten Königreich (sofern dieses nicht mehr Teil der EU ist). Für die Verarbeitung in einem Drittland ist die Einwilligung des Verantwortlichen erforderlich. Ist die Einwilligung erfolgt, müssen die Sicherheitsstandards gewährleistet werden.

(6) Der Auftragsverarbeiter muss Aufzeichnungen über alle Kategorien von Verarbeitungen führen, die im Auftrag des Verantwortlichen ausgeführt werden. Diese müssen alle in Artikel 30, Abschn. 2 DSGVO aufgelisteten Informationen enthalten. Der Auftragsverarbeiter muss dem Verantwortlichen auf Anfrage innerhalb einer angemessenen Frist alle Informationen, die für die Aufzeichnungen erforderlich sind, zur Verfügung stellen.

 

  1. Weisungsbefugte Personen

(1) Sofern Anweisungen oder Mitteilungen im Zusammenhang mit dieser Vereinbarung gegenüber der jeweils anderen Partei erfolgen müssen, werden diese dem im Merchantvertrag angegebenen Ansprechpartner übermittelt bzw. den Personen, die für die Ausführung des Werbeprogramms des Merchants auf der Webgains-Plattform verantwortlich sind (z. B. der Kundenbetreuer von Webgains), sollte dieser Ansprechpartner nicht erreichbar sein.

(2) Die Parteien können jeweils einen neuen spezifischen Ansprechpartner bestimmen, dazu müssen sie der anderen Partei eine entsprechende schriftliche Mitteilung per E-Mail oder über das Online-Ticketing-System von Webgains senden. Besagte Änderungen sind sofort bei Empfang der Mitteilung bzgl. der Änderung wirksam.

 

  1. Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist der einzige Verantwortliche für die Bewertung der rechtlichen Zulässigkeit gemäß den Bestimmungen der DSGVO im Rahmen dieser Vereinbarung.

 

  1. An die Anweisungen gebundene und der Geheimhaltungspflicht unterworfene Arbeitnehmer des Auftragsverarbeiters

(1) Der Auftragsverarbeiter garantiert, dass allen an der Verarbeitung der personenbezogenen Daten des Verantwortlichen beteiligten Angestellten die Verarbeitung personenbezogener Daten außerhalb des Umfangs dieser Vereinbarung und des Merchantvertrags untersagt ist.

(2) Der Auftragsverarbeiter ergreift Maßnahmen, um sicherzustellen, dass alle Mitarbeiter die Rechtsvorschriften in Bezug auf den Schutz personenbezogener Daten einhalten.

(3) Außerdem garantiert der Auftragsverarbeiter, dass alle Personen, die mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt sind, zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.

 

  1. Benennung eines Datenschutzbeauftragten – Ansprechpartner für den Schutz personenbezogener Daten

(1) Gemäß seinen Verpflichtungen gemäß DSGVO ernennt der Auftragsverarbeiter einen Datenschutzbeauftragten, dessen Kontaktangaben auf der Website des Auftragsverarbeiters unter www.webgains.com/public/de/datenschutzerklaerung angeführt sind.

(2) Ist der Verantwortliche nicht in einem Mitgliedstaat der EU/des EWR ansässig, muss er gemäß Artikel 27, Abschn.1 DSGVO einen Vertreter in der EU benennen und dies angemessen zu Kenntnis geben.

 

  1. Anfragen von Datensubjekten

Der Auftragsverarbeiter muss den Verantwortlichen per E-Mail über den Erhalt von Anfragen seitens der Datenschutzbehörde über den Gegenstand dieser Vereinbarung informieren. Der Auftragsverarbeiter muss gemäß Art. 12 a und ff. DSGVO angemessene Maßnahmen für die Vorlage von Informationen ergreifen, die den Datensubjekten in der Ausübung ihrer Rechte nutzen.  Sofern ein Datensubjekt vom Auftragsverarbeiter die Berichtigung, Löschung oder den Zugang fordert, muss der Auftragsverarbeiter die Forderung des Datensubjekts ohne schuldhaftes Verzögern an den Verantwortlichen weiterleiten. Der Verantwortliche muss ohne Verzögerung alle gemäß DSGVO erforderlichen Maßnahmen ergreifen. Die Parteien unterstützen sich, sofern möglich, sowie auf der Grundlage der Anweisungen des Verantwortlichen, sofern abgesprochen.

 

  1. Unterauftragnehmer

(1) Der Auftragsverarbeiter kann für die Verarbeitung der personenbezogenen Daten Unterauftragnehmer beauftragen (zusätzliche Auftragsverarbeiter). Der Auftragsverarbeiter muss den Verantwortlichen über geplante Änderungen in Bezug auf die Anstellung oder den Wechsel von Unterauftragnehmern informieren und ihm die Möglichkeit geben, gegen besagte Änderungen Einwand zu erheben. Sofern der Verantwortliche nicht innerhalb von 7 Tagen Einwand erhebt, gilt dies als Zustimmung. Bei Einwand des Verantwortlichen gegen besagte Änderung – wobei der Einwand unter genauer Angabe der Gründe vorzubringen ist – besprechen die Parteien in gutem Glauben angemessene Maßnahmen, um dem Verantwortlichen Änderungen im Rahmen der Dienstleistung zur Verfügung zu stellen, wobei die Nutzung von personenbezogenen Daten durch den beanstandeten neuen Unter-Auftragsverarbeiter vermieden wird. Finden die Parteien innerhalb von 60 Tagen nach Erhalt des Einwands durch Webgains keine Einigung über besagte Maßnahmen, kann jede Partei diese Vereinbarung und den Merchantvertrag mit einer Frist von 60 Tagen kündigen.

(2) Bei der Vergabe von Aufträgen an Dritte muss der Auftragsverarbeiter die Unterauftragnehmer mit der gebührenden Sorgfalt auswählen und die Vertragsvereinbarungen so gestalten, dass sie die Anforderungen an den Datenschutz in den Vertragsbeziehungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfüllen.

(3) Der Auftragsverarbeiter muss dem Verantwortlichen die aktuelle Liste der Unter-Auftragsverarbeiter für die in Anhang 2 dieses Vertrags unter www.webgains.com/en/privacy/subcontractors genannten Dienstleistungen zur Verfügung stellen

(4) Nebenleistungen sind nicht zustimmungspflichtig. Diese umfassen vor allem Telekommunikationsdienstleistungen, einschließlich Kundenservice, Wartung, Audit-Service oder Entsorgung von Datenträgern. Webgains kann diese nach eigenem Ermessen benennen.

 

  1. Definition der technischen und organisatorischen Maßnahmen

(1) Der Auftragsverarbeiter wurde ausgewählt, weil davon ausgegangen wird, dass er innerhalb seines Verantwortungsbereichs angemessene technische und organisatorische Maßnahmen für die Einhaltung der Datenschutzbestimmungen ergreifen wird.

(2) Der Auftragsverarbeiter garantiert die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und die ausreichende Kapazität der Verarbeitungssysteme der personenbezogenen Daten. Bei physischen oder technischen Störungen stellt er durch Nutzung von Verschlüsselung für die Übertragung und Speicherung der personenbezogenen Daten den Zugang und die Verfügbarkeit der personenbezogenen Daten unverzüglich wieder her. Der Auftragsverarbeiter ergreift innerhalb seines Verantwortungsbereichs angemessene technische und organisatorische Maßnahmen und befolgt dabei die in Anhang 3 angeführten Vorschriften.

(3) Auf Anfrage muss der Auftragsverarbeiter die Einhaltung der in Anhang 3 angeführten Sicherheitsmaßnahmen bestätigen. Besagte Maßnahmen werden von einem unabhängigen Auditor (IT-Sicherheit, Datenschutzbeauftragter, Auditor oder ähnliches) schriftlich per Fax oder E-Mail vorgelegt.

(4) Die technischen und organisatorischen Maßnahmen werden technischen und sonstigen Weiterentwicklungen angepasst. Dementsprechend behält sich der Auftragsverarbeiter jeweils das Recht auf Implementierung angemessener alternativer Maßnahmen und auf angemessene Aktualisierung von Anhang 3 vor.

 

  1. Kontroll- und Mitteilungspflichten des Auftragsverarbeiters

(1) Ist der Auftragsverarbeiter der Meinung, dass eine Anweisung des Verantwortlichen gegen die DSGVO oder sonstige Datenschutzbestimmungen verstößt, muss der Auftragsverarbeiter den Verantwortlichen darüber unverzüglich informieren. Bis der Verantwortliche dies bestätigt oder ändert, kann der Auftragsverarbeiter die Implementierung der jeweiligen Anweisungen aussetzen.

(2) Ist der Auftragsverarbeiter der Meinung, dass die Anweisung des Verantwortlichen die Datenschutzbestimmungen nicht ausreichend einhalten, muss der Auftragsverarbeiter den Verantwortlichen darüber unverzüglich informieren und der Verantwortliche muss unverzüglich entsprechende Maßnahmen für die Einhaltung der DSGVO ergreifen.

 

  1. Mitteilung von Verstößen durch den Auftragsverarbeiter

(1) Sofern der Auftragsverarbeiter den Verstoß gegen Datenschutzbestimmungen in seinem eigenen Unternehmen bemerkt, teilt er dies ohne schuldhafte Verzögerung dem Verantwortlichen mit.

(2) Bei meldepflichtigen Verstößen gegen die Datenschutzbestimmungen, die der Verantwortliche der Aufsichtsbehörde melden muss, teilt der Auftragsverarbeiter ohne schuldhafte Verzögerung mit, ob der Verlust oder die unrechtmäßige Weitergabe oder der Zugang zu personenbezogenen Daten ggf. nicht ausgeschlossen werden kann. Die Parteien kooperieren ohne schuldhafte Verzögerung und in gutem Glauben für die Einhaltung der DSGVO.

(3) Bei einem tatsächlichen oder vermuteten Verstoß gegen die Datenschutzbestimmungen, darunter Verlust, Löschung, unrechtmäßige Änderung von oder Zugang zu einer signifikanten Menge an personenbezogener Daten („Datenschutzverstöße“) muss die betroffene Partei die andere Partei darüber unverzüglich schriftlich in Kenntnis setzen. In der Mitteilung sind die Art der Datenschutzverstöße sowie die wahrscheinlichen Folgen klar und deutlich zu beschreiben. Sind die personenbezogenen Daten des Verantwortlichen betroffen, muss der Auftragsverarbeiter alle Datenschutzverstöße dokumentieren und deren Verfügbarkeit auf Anfrage im Auftrag des Verantwortlichen garantieren.

 

  1. Überwachungsrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, einmal pro Kalenderjahr Audits bezüglich der Einhaltung der gesetzlichen Datenschutzbestimmungen und der Bestimmungen dieser Vereinbarung durchzuführen (direkt oder durch beauftragte Fachauditoren), auch am Standort des Lieferanten, vor allem durch Einholung von Informationen und die Inspektion gespeicherter Daten und der Datenverarbeitungsprogramme in den Räumlichkeiten des Auftragsverarbeiters. Der Verantwortliche muss die Inspektion oder das Audit 20 Tage im Voraus schriftlich ankündigen.

(2) Die Parteien verpflichten sich, dass der Datenschutzbeauftragte des Auftragsverarbeiters vom Verantwortlichen vor der Beauftragung einer anderen Person mit besagtem Audit betraut wird. Wenn der Audit-Bericht des Datenschutzbeauftragten des Auftragsverarbeiters ungenügend oder unvollständig erscheint, kann der Verantwortliche einen anderen Auditor mit der Kontrolle beauftragen.

(3) Während des Audits muss der Auftragsverarbeiter diesbezügliche Informationen vorlegen und kooperieren. Der Auftragsverarbeiter unterstützt den Verantwortlichen vor allem bei Datenschutzkontrollen durch die Aufsichtsbehörde, in Bezug auf die Datenverarbeitung gemäß dieser Vereinbarung.

 

  1. Dauer der Vereinbarung, Kündigungsrechte

(1) Die Dauer dieser Vereinbarung entspricht der Dauer des Merchantvertrags.

(2) Bei schwerem Verstoß gegen diese Vereinbarung oder die Bestimmungen der DSGVO durch eine Partei sowie bei deren fehlgeschlagenen Behebung innerhalb von 30 Tagen nach Erhalt der Mitteilung durch die Partei, die den Verstoß nicht begangen hat, können beide Parteien diese Vereinbarung und folglich den Merchantvertrag kündigen.

 

  1. Leistung von Aufträgen/ Kündigung der Vertragsbeziehung

(1) Bei Kündigung dieser Vereinbarung muss der Auftragsverarbeiter die Verarbeitung der personenbezogenen Daten im Auftrag des Verantwortlichen unverzüglich beenden. Auf Anfrage übermittelt der Auftragsverarbeiter dem Verantwortlichen eine Kopie der in seinem Besitz befindlichen personenbezogenen Daten. Der Auftragsverarbeiter behält sich das Recht vor, die personenbezogenen Daten gemäß den gesetzlichen Vorschriften als Beleg für seine Dienstleistungen gemäß dem Merchantvertrag zu archivieren.

 

  1. Anhänge

Die folgenden Anhänge sind wesentlicher Bestandteil dieser Vereinbarung.

  • Anhang 1: Beschreibung der Pflichten des Verantwortlichen, einschl. der Beschreibung der Art der personenbezogenen Daten und der Gruppe der betroffenen Personen
  • Anhang 2: Liste der Unterauftragsverarbeiter
  • Anhang 3: Anforderungen an die Datensicherheit

 

Personenbezogene Daten und Zweck ihrer Verarbeitung durch Webgains im Auftrag des Merchants:

Diese Liste zeigt den Umfang, die Beschaffenheit und den Zweck der erwogenen Erfassung, Verarbeitung und Verwendung personenbezogener Daten, die Art der Daten und den Kreis der Datensubjekte.

 

Art der personenbezogenen Daten

  • IP Adresse
  • Bestelldetails
  • Transaktions-ID

 

Datensubjekte

  • Kunde
  • potentielle Kunden

 

Zweck der Datenverarbeitung und Verwendung der personenbezogenen Daten

  • Erbringung von Dienstleistungen gemäß dem Hauptvertrag
  • Controlling

 

Anhang 2: Liste der Unterauftragsverarbeiter

  • Experian Information Solutions, Inc. (41st Parameter) – Erkennung und Abwehr von Betrug;
  • Afilias Technologies Limited (Device Atlas) – Fingerprinting für alle Transaktionen im Netzwerk;
  • QuBit Digital Limited (Niederlassung im Vereinigten Königreich) – Container Tag Lösungen und Transaktions-ID;
  • Tech Essence Ltd – Tracking Lösung;
  • Neory GmbH – Container Tag Lösungen und Transaktions-ID;
  • Amazon Web Services, Inc. – Hosting Service;
  • OVH – Hosting Service;
  • Pulsant Ltd – Hosting Service.
  • Periscope, Inc. – Enterprise Reporting Tool.

 

 

Anhang 3

Implementierte technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO:

Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen und garantiert so das Sicherheitsniveau, das für die Gefährdung der gemäß dieser Vereinbarung verarbeiteten personenbezogenen Daten angemessen ist. Dabei sind der Stand der Technik, die Implementierungskosten sowie die Art, der Umfang, der Kontext und der Zweck der Verarbeitung sowie die jeweils unterschiedliche Schwere des Risikos für die Rechte und Freiheit natürlicher Personen zu berücksichtigen. Besagte Maßnahmen müssen konstant die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienste garantieren.

 

  1. IT-Sicherheitsgestaltung

Der Auftragsverarbeiter muss einen Prozess für die ordnungsgemäße Prüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen für die Garantie der Sicherheit der Verarbeitung implementieren.

 

  1. Technische und organisatorische Maßnahmen für die Garantie der Verarbeitungssicherheit

Der Auftragsverarbeiter muss die folgenden technischen und organisatorischen Maßnahmen für die Garantie der Sicherheit der personenbezogenen Daten implementieren. Er überwacht deren Einhaltung durch Überwachung organisatorischer Maßnahmen.

 

Ziel: Vertraulichkeit

Natürlichen Personen – Angestellten oder Dritten – ist das Aufzeichnen von Notizen personenbezogener Daten gemäß dieser Vereinbarung untersagt, sofern ihnen dies nicht erlaubt wurde.

 

1   Zulassungskontrolle:

 

Anforderungen
Die Zulassungskontrolle für externe Personen wird z. B. wie folgt implementiert:
  • Dokumentierung und Registrierung von Zutritt und Verlassen des Geländes externer Personen / Besucher
  • Allgemeiner Empfangsbereich (Rezeption, Türwärter)
  • Ausgabe der Besucherausweise
  • Externe Personen haben nur in Begleitung von Mitarbeitern Zutritt auf das Gelände
  • Nach Ablauf der Genehmigung werden die Genehmigungen unverzüglich eingezogen
Die Zulassungskontrolle für Mitarbeiter wird z. B. wie folgt implementiert:
  • Dokumentation von Zutritt und Verlassen des Geländes durch die Mitarbeiter
  • Codetastatur mit regelmäßig geändertem Code
  • Chipkarten mit Protokollfunktionen
Implementierung von Berechtigungsregelungen für Computer-/Serverräume
Implementierung von Zutrittsgenehmigungsmaßnahmen für Computer-/Serverräume
Nutzung von verschließbaren Behältern für Angestellte
Verwendung von Schlüsseln (abgeschlossene Türen, Aushändigung von Schlüsseln nur an Befugte; Verwendung und Lagerung eines Generalschlüssels)
Sicherheitsbereiche/Maßnahmen für den Schutz von Eigentum (z.B. Fensterschutz, Objektüberwachung)

 

 

2   Zugangskontrolle:

 

Anforderungen
Identifizierungsmaßnahmen für Nutzer für den Zugang zu Datenverarbeitungssystemen, d.h. Identifizierung per Schlüsselwort, Passwort oder biometrischer Identifizierung
Implementierung der Passwort-Regelung

·        Individuelles Passwort – vom Nutzer zugewiesen

·        Mindestens 10 Zeichen, einschließlich zusätzlicher Zeichen/Nummern

·        Vergabe durch den Nutzer

·        Läuft nach einem bestimmten Zeitraum aus (spätestens nach 6 Monaten)

·        Nach drei gescheiterten Login-Versuchen werden die Accounts gesperrt

·        Keine Weitergabe an Dritte

·        Abwesenheitsregelung (Urlaub, Krankheit usw.)

·        Sperre der 5 zuletzt verwendeten Passwörter

Sofortige Sperre des Zugangs zu den Datenverarbeitungssystemen mit Stilllegung der Teammitglieder
Regelmäßige Evaluation der Zugangsrechte, mindestens einmal pro Jahr
Automatische Aktivierung eines passwortgeschützten Bildschirmschoners (Abstände von 5 bis 15 Minuten, je nach Risiko)
Schutz des internen Netzwerks gegen Angriffe von außen durch Implementierung von Firewalls, Verschlüsselung, VPN usw.

 

3   Zugangsberechtigungskontrolle:

 

Anforderungen
Implementierung von Benutzerprofilen, d.h. Zugangsberechtigungsbestimmungen
Spezifizierte Berechtigungsbestimmungen zum Lesen, Ändern und Löschen von personenbezogenen Daten
Berechtigungen für Angestellte und Assistenten gemäß dem Grundsatz der Minimierung; der Zugang zu Anwendungen und Systemkomponenten darf nur gestattet werden, sofern dies für die Arbeit der Angestellten unbedingt erforderlich ist.
Festsetzung eines Berechtigungskonzepts

  • Implementierung von Administratorrechten
  • Verwaltung von Berechtigungsbestimmungen durch den Systemadministrator
Trennung von Test- und Produktionsmodus
Konfiguration der IT-Komponenten für die sichere Deaktivierung der Komponenten, die nicht für die Ausführung der vertraglich festgelegten Aufgaben benötigt werden. Jährliche Überprüfung der korrekten Konfiguration.
Entsorgung von personenbezogenen Datenträgern und Zerstörung gemäß geltenden Datenschutzgrundsätzen und modernster Technik (DIN 66399:2012) oder Beauftragung eines auf die Zerstörung von Datenträgern spezialisierten Dienstleisters mit dem gleichen Sicherheitsniveau. Datenträger, deren Zerstörung geplant ist, müssen sicher gelagert und transportiert werden.
Schriftliche Bestimmungen für Maßnahmen beim Kopieren personenbezogener Daten
Deaktivieren von USB-Ports und sonstiger tragbarer Medien an Arbeitsstationen, an denen der Zugang zu personenbezogenen Kundendaten möglich ist
Implementierung von Maßnahmen gegen unberechtigte Datenflüsse (Einschränkung von USB-Ports, Software für Ermittlung/Vorbeugung/Schutz von Datenverlust usw.)

 

4   Zweck Kontrolle:

 

Anforderungen
Implementierung von Berechtigungskonzepten durch Spezifizierung von Zugangsrechten
Multiclient-fähige Datenbank

 

Ziel: Integrität

Der Lieferant muss sicherstellen, dass die IT-Prozesse und -Systeme durchgehend den kodifizierten Spezifikationen entsprechen. Die personenbezogenen Daten müssen unversehrt, vollständig und aktuell sein.

 

5   Steuerung der Übertragungsverfahren:

 

Anforderungen
Dokumentation von Datenempfängern, Transportwegen, der zur Datenübertragung befugten Personen
Bei unsicheren Transportwegen Verschlüsselung personenbezogener Daten vor der Übertragung

 

6   Eingangskontrolle:

 

Anforderungen
Alle eingegebenen personenbezogenen Daten sind durch revisionssichere, schriftliche Zugangsrechte protokolliert
Protokollierung der Eingabe, Änderung und Löschung personenbezogener Daten
Es gelten Zugangsrechte zu protokollierten Daten
Es gelten Bestimmungen für die Löschung protokollierter Daten

 

Ziel: Verfügbarkeit

7   Steuerung der Datenverfügbarkeit:

 

Anforderungen
Formalisierte Genehmigungsprozesse für die Implementierung neuer Datenverarbeitungssysteme und die Implementierung wesentlicher Änderungen am vorangegangenen System
Alle Systeme haben eine unterbrechungsfreie Stromversorgung (UPS)
Automatische Feuer- und Rauchmelder
Feuerlöscher in den Serverräumen
Back-up von Datenbanken

  • Konzept für den Erhalt des Status quo
  • Lagerung von Sicherungskopien an einem sicheren Ort (Auslagerung)
  • Erstellung von Sicherungskopien in angemessenen Abständen nach dem Generationenprinzip
Rekonstruktion von Datenbanken

  • Testläufe

 

Ziel: Kapazität

8   Kontrolle gemäß den Anweisungen des Kunden:

 

Anforderungen
Kontrolle der Einhaltung der Datenschutzbestimmungen des Lieferanten und Verpflichtung zur Inkenntnisset fehlgeschlagenen Behebung des Kunden über Störungen bei der Datensicherheit
Alle Mitglieder des Teams des Kunden, die mit personenbezogenen Kundendaten arbeiten, sind vertraglich zur Einhaltung der Datenschutzprinzipien verpflichtet
Die Anweisungen des Lieferanten an seine Angestellten, die Zugang zu personenbezogenen Daten haben, über die Verarbeitung personenbezogener Daten

 

9 Verfahren für gesicherte regelmäßige Untersuchungen:

 

Anforderungen
Implementierung eines Systems, das den Grundsatz der Rechenschaftspflicht und der IT Security Governance garantiert
Störungs-Management
Maßnahmen, die standardmäßig sicherstellen, dass nur personenbezogene Daten, die für den jeweiligen spezifischen Zweck erforderlich sind, verarbeitet werden, z. B. durch:

  • Trennung von Befugnissen in Bezug auf Informationen unter den Verantwortlichen
  • Verringerung der Zugangsmöglichkeiten zu personenbezogenen Daten
  • Bevorzugung automatisierter Verarbeitung (keine Entscheidungsprozesse), die auf unnötig verarbeitete personenbezogene Daten und die Einschränkung von Verarbeitungsvorgängen hinweisen
  • Implementierung automatisierter Routinevorgänge für die Einschränkung der Verarbeitung und Löschung von personenbezogenen Daten
  • Pseudonymisierung- und Anonymisierungsprozeduren
  • Prozesskontrollprozeduren bei Änderung der Prozeduren
Umfassende Prozeduren für die Pseudonymisierung und Verschlüsselung personenbezogener Daten
Meldung von Datenschutzverstößen
Regelmäßige Überwachung der implementierten Maßnahmen, mindestens einmal pro Jahr
Sichere, ausreichende Standardeinstellungen der Server für einen sicheren Neustart des Serversystems innerhalb des geplanten Zeitrahmens