Nachweis EU-DSGVO und Datenschutz im Rahmen der Auftragsverarbeitung

Auftragnehmer/Auftragsverarbeiter

Matheretter, Kai Noack, Bogenstraße 6, D-15366 Hoppegarten

§ 1 Vertragsgegenstand

(1) Der Auftragnehmer erbringt für die Auftraggeberin Leistungen im Bereich „Lernplattform für Mathematik“. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung der Auftraggeberin. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag. Der Auftraggeberin obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.

(2) Bestandteil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen sichert der Auftragnehmer die Einhaltung der EU-DSGVO zu. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen beide Parteien diese Vereinbarung nach Art. 28 Abs. 3 DS-GVO.

(3) Die Bestimmungen dieses Vertrags finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die von der Auftraggeberin stammen oder für die Auftraggeberin erhoben wurden.

(4) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 2 Begriffsbestimmungen

(1) Verantwortliche/r ist nach Art. 4 Nr. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

(2) Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten nach Art. 9 Abs. 1 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten nach Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten nach Art. 4 Nr. 13 DS-GVO, biometrische Daten nach Art. 4 Nr. 14 DS-GVO, Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

(5) Verarbeitung ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(6) Aufsichtsbehörde ist nach Art. 4 Nr. 21 DS-GVO eine von einem Mitgliedstaat nach Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.

§ 3 Angabe der zuständigen Datenschutz-Aufsichtsbehörde

(1) Zuständige Aufsichtsbehörde für die Auftraggeberin ist der Landesbeauftragte für den Datenschutz und Informationsfreiheit im jeweiligen Bundesland.

(2) Zuständige Aufsichtsbehörde für den Auftragnehmer ist: Der Landesbeauftragte für den Datenschutz in Brandenburg.

(3) Die Auftraggeberin und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

§ 4 Weisungsrecht

(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen der Auftraggeberin erheben, verarbeiten oder nutzen. Dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen ausdrücklichen Zustimmung der Auftraggeberin und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44ff. DS-GVO erfüllt sind. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er der Auftraggeberin diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Die Weisungen der Auftraggeberin werden anfänglich durch diesen Vertrag festgelegt und können von der Auftraggeberin danach in schriftlicher Form oder in Textform (z. B. durch E-Mail) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Die Auftraggeberin ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich die Nachfolge bzw. Vertretung in Textform zu benennen.

(3) Alle erteilten Weisungen sind sowohl von der Auftraggeberin als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung der Auftraggeberin gegen datenschutzrechtliche Bestimmungen verstößt, hat er die Auftraggeberin unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch die Auftraggeberin bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 5 Art der verarbeiteten Daten, Kreis der Betroffenen

(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf folgende spezifizierte personenbezogenen Daten:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Schulzugehörigkeit
  • Rolle des Nutzers (Schüler/Lehrer)
  • Daten der Lernstandsanalyse

(2) Der Kreis der von der Datenverarbeitung Betroffenen sind:

  • Alle berechtigten Nutzer, die sich aus dem Hauptvertrag ergeben
  • Insbesondere Lehrer/Lehrerinnen und Schüler/Schülerinnen
  • Berechtigte Nutzer des Schulportals bzw. der Mediathek etc. (via Single-Sign-On)

§ 6 Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Dazu gehören: Schulgesetz für das Bundesland und Personalaktenrecht.

(2) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich der Auftraggeberin erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(3) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten der Auftraggeberin nach Art. 32 DS-GVO. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt:

Der Auftragnehmer trifft insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen der

a) Zutrittskontrolle

b) Zugangskontrolle

c) Zugriffskontrolle

d) Weitergabekontrolle

e) Eingabekontrolle

f ) Auftragskontrolle

g) Verfügbarkeitskontrolle

h) Trennungskontrolle

i) Speicherbegrenzungskontrolle

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(4) Beim Auftragnehmer ist ein betrieblicher Datenschutzbeauftragter nach Art. 37 Abs. 1 DS-GVO bestellt: Kai Noack, Bogenstraße 6, D-15366 Hoppegarten, E-Mail: info@matheretter.de

Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde nach § 2 Abs. 1 und 2 mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung der Auftraggeberin in geeigneter Weise nach.

(5) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrags betraut werden, entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrags oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Der Auftraggeberin sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

§ 7 Informationspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer die Auftraggeberin unverzüglich in Schriftform oder Textform informieren.

Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;

b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber die Auftraggeberin und ersucht um weitere Weisungen.

(3) Der Auftragnehmer ist darüber hinaus verpflichtet, der Auftraggeberin jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Abs. 1 betroffen sind.

(4) Sollten die Daten der Auftraggeberin beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer die Auftraggeberin unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich bei der Auftraggeberin als Verantwortlichem im Sinne der DS-GVO liegt.

(5) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 3 hat der Auftragnehmer die Auftraggeberin unverzüglich zu unterrichten.

(6) Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten oder Ansprechpartners für den Datenschutz ist der Auftraggeberin unverzüglich mitzuteilen.

(7) Der Auftragnehmer führt ein Verzeichnis zu allen im Auftrag der Auftraggeberin durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben nach Art. 30 Abs. 2 DS-GVO enthält. Die Kopie dieser Verzeichnisblätter zu allen im Auftrag der Auftraggeberin durchgeführten Tätigkeiten der Verarbeitung ist der Auftraggeberin zur Verfügung zu stellen.

§ 8 Kontrollrechte der Auftraggeberin

(1) Die Auftraggeberin kann sich vor der Aufnahme der Datenverarbeitung und nach Bedarf von den technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen. Hierfür kann sie Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen oder Zertifizierungen vorlegen lassen. Die Auftraggeberin wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

(2) Der Auftragnehmer verpflichtet sich, der Auftraggeberin auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.

(3) Die Auftraggeberin dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die die Auftraggeberin insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt die Auftraggeberin dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

(4) Der Auftragnehmer weist der Auftraggeberin die Verpflichtung der Mitarbeiter nach § 6 Abs. 5 DS-GVO auf Verlangen nach.

§ 9 Einsatz von Subunternehmern

(1) Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen nicht zur Begründung von Unterauftragsverhältnissen mit Subunternehmern befugt.

(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für die Auftraggeberin erbringt. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für die Auftraggeberin genutzt werden.

§ 10 Anfragen und Rechte Betroffener

(1) Der Auftragnehmer unterstützt die Auftraggeberin nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten nach Art. 12 bis 22 sowie 32 und 36 DS-GVO.

(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an die Auftraggeberin und wartet dessen Weisungen ab.

§ 11 Haftung

(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine die Auftraggeberin gegenüber dem Betroffenen verantwortlich.

(2) Die Parteien stellen sich gegenseitig von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

§ 12 Beendigung des Hauptvertrags

(1) Der Auftragnehmer wird der Auftraggeberin nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch der Auftraggeberin, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.

(2) Die Auftraggeberin hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 13 Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen stets der Schriftform. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

(4) Diese Vereinbarung unterliegt deutschem Recht.


Anlage 1: Technische und organisatorische Maßnahmen beim Auftragnehmer

Maßnahmenübersicht und deren risikobasierte Bewertung bei der Auftragsverarbeitung

Überprüfung ausreichender Zusagen des Auftragsverarbeiters

Anhand der Zusagen des Auftragsverarbeiters kann die Auftraggeberin prüfen, ob jeweils ein ausreichender Schutz in Bezug auf die Schutzziele besteht.

Sind für das zu betrachtende Auftragsverhältnis weitere Schutzmaßnahmen erforderlich, sind diese weiteren Maßnahmen an passender Stelle zu ergänzen oder als weiterer Paragraph einzufügen.

§ 1 Standortbezogene Maßnahmen

Der Auftragsverarbeiter sichert folgende standortbezogene Maßnahmen zu (in der Spalte „zugesichert“ angekreuzt):

  betrifft Schutzziel
Nr. Maßnahme Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit
1.1 Alle Standorte, an denen personenbezogene Daten des Verantwortlichen gespeichert werden, befinden sich in der EU. x   x  
1.2 Alle Standorte, von denen aus auf personenbezogene Daten des Verantwortlichen zugegriffen werden, befinden sich entweder in der EU oder im EWR. x   x  
1.3 Der Zutritt zum Gebäude, von dem heraus auf personenbezogene Daten des Verantwortlichen zugegriffen wird, ist nur befugten Personen gestattet bzw. möglich. x   x  
1.4 Vergabe und Entzug von Zutrittsmitteln ist vollständig dokumentiert. x      
1.5 Besucher, die Zutritt zum Gebäude erhalten, in dem personenbezogene Daten des Verantwortlichen verarbeitet werden, werden begleitet oder auf Vertraulichkeit verpflichtet. x      
1.6 Am Standort eingesetztes Fremdpersonal (z. B. Reinigungskräfte, Sicherheitskräfte, Hausmeister) ist auf Vertraulichkeit verpflichtet worden. x      
1.7 Soweit die Auftragstätigkeit für den Verantwortlichen eine Verarbeitung in einer besonderen Schutzzone erfordert, ist sichergestellt, dass für die zugehörigen Räume dieser Schutzzone besondere Zutrittsmittel nötig sind, die dazu beitragen, dass nur Befugte Zutritt zu diesen Schutzzonen erhalten. x      
1 Anzahl erfüllter Schutzziele 7 0 3 0

§ 2 Maßnahmen zum Schutz der Verarbeitungsanlage

Der Auftragsverarbeiter hat folgende verarbeitungsanlagenbezogene Maßnahmen ergriffen (in der Spalte „zugesichert“ angekreuzt):

  betrifft Schutzziel
Nr. Maßnahme Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit
2.1 Die zur Verarbeitung eingesetzten Server befinden sich in einem Serverraum, der als besondere Schutzzone behandelt wird. x x    
2.2 Im Serverraum, in dem sich Server befinden, mit deren Hilfe personenbezogene Daten des Verantwortlichen verarbeitet werden, befinden sich keine Wasserleitungen ohne ausreichenden überlaufschutz und keine unnötigen Brandlasten.     x  
2.3 Wartungstätigkeiten durch Fremdpersonal erfolgen im Serverraum nur unter Beaufsichtigung. x x x  
2.4 Der Serverraum verfügt über einen Mechanismus, der einen unbefugten Zutritt deutlich erschwert (z. B. Knauf an der Außentür, Zuzieher). x x x  
2.5 Der Server wird nur mit personalisierten Administratoren-Accounts betrieben. x x x  
2.6 Für den administrativen Zugang zum Server besteht ein besonderer Schutz (z. B. dedizierter Zugang, Zugang nur aus Administrationsnetzwerk, Zwei-Faktor-Authentifizierung, Transportverschlüsselung). x x x  
2.7 Administrator-Accounts gewährleisten eine höhere Sicherheit als normale Nutzer-Accounts (z. B. durch signifikant längeres Kennwort, umfassende Kennworthistorie). x x x  
2.8 Bei den eingesetzten Servern und zur Verarbeitung genutzten Netzwerkkomponenten wurden etwaige Standardpasswörter neu gesetzt. x x x  
2.9 Soweit zur Administration des Servers funktionale Accounts genutzt werden, werden die Kennwörter dieser Accounts neu gesetzt, sobald ein zugangsbefugter Admin aus dem Team ausgeschieden ist. x x x  
2.10 Erforderliche Sicherheitspatches werden zeitnah eingespielt. x x x  
2.11 Für die Server besteht eine sichere und ausreichend robuste Default-Einstellung, um einen abgesicherten Wiederanlauf des Serversystems in der vorgesehenen Zeit durchführen zu können.       x
2 Anzahl erfüllter Schutzziele 9 9 9 1

§ 3 Maßnahmen für einen ordnungsgemäßen Betrieb

Der Auftragsverarbeiter hat folgende Maßnahmen für den laufenden Betrieb der vereinbarten Tätigkeit ergriffen (in der Spalte „zugesichert“ angekreuzt):

 

betrifft Schutzziel

Nr. Maßnahme Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit
3.1 Für die beim Auftragsverarbeiter gespeicherten personenbezogenen Daten des Verantwortlichen besteht eine Datensicherung nach dem Stand der Technik.   x x x
3.2 Server, auf denen personenbezogene Daten des Verantwortlichen gespeichert werden, verfügen über eine ausreichend dimensionierte unterbrechungsfreie Stromversorgung.   x x  
3.3 Die beim Auftragsverarbeiter gespeicherten personenbezogenen Daten des Verantwortlichen werden nach Ablauf der festgelegten Speicherdauer gelöscht. x      
3.4 Die zur Auftragserledigung genutzte Infrastruktur wird mit tagesaktuellen Virenscannern vor Malware geschützt.   x    
3.5 Beim Auftragsverarbeiter besteht eine ausreichende Netzwerksegmentierung und Netzwerksegregation. x x x  
3.6 Wenn das Serversystem insgesamt oder für den Betrieb des Serversystems eingesetzte Komponenten ausgewechselt werden sollen, ist sichergestellt, dass sich auf zu entsorgenden Datenträgern keine lesbaren Daten des Verantwortlichen mehr befinden. x      
3.7 Wenn Datenträger entsorgt werden sollen, die Daten des Verantwortlichen enthalten, welche mittels des eingesetzten Serversystems gespeichert, übertragen oder ausgewertet werden, werden diese Datenträger entweder physisch zerstört oder mittels einer Löschungssoftware so überschrieben, dass eine Rekonstruktion der Daten mit vertretbarem Aufwand nicht mehr möglich ist. x      
3.8 Benutzerpasswörter der zur Auftragserledigung eingesetzten Personen weisen eine hohe Passwortkomplexität mit mindestens acht Zeichen und unter Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen auf. x x x  
3.9 Zugangsberechtigungen werden mit Ende der Gültigkeit der Berechtigungen unverzüglich gesperrt. x x x  
3.10 Personen, die personenbezogene Daten des Verantwortlichen verarbeiten, werden über die von ihnen einzuhaltenden Pflichten informiert. x x x  
3.11 Im laufenden Betrieb festgestellte Sicherheitsvorfälle, die personenbezogene Daten des Verantwortlichen betreffen, werden dem Verantwortlichen unverzüglich gemeldet.       x
3 Anzahl erfüllter Schutzziele 7 7 6 2