AGB Auftragsdatenverarbeitung (pdf) - badenIT
AGB Auftragsdatenverarbeitung (pdf) - badenIT
AGB Auftragsdatenverarbeitung (pdf) - badenIT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Allgemeine Geschäftsbedingungen zur <strong>Auftragsdatenverarbeitung</strong><br />
nach BDSG - Öffentliches Verfahrensverzeichnis -<br />
(Version: 2.0 Dezember 2011)<br />
Die <strong>AGB</strong> zur Auftragsdatenbearbeitung der <strong>badenIT</strong> (Auftragnehmer) regeln die Umsetzung der Bestimmungen des Bundesdatenschutzgesetzes<br />
mit den Erweiterungen der BDSG-Novelle II mit Angaben und Festlegungen zu<br />
- der verantwortlichen Stelle (§ 4e, Satz 1, Nr. 1-3)<br />
- dem Verfahrensverzeichnis (§ 4e, Satz 1, Nr. 4-9)<br />
- der <strong>Auftragsdatenverarbeitung</strong> (§ 11, §9)<br />
- sonstigen Bestimmungen des BDSG (u. a. § 5, § 28, § 35)<br />
für alle Vertragsverhältnisse der <strong>badenIT</strong> mit ihren Auftraggebern, die durch das Bundesdatenschutzgesetz tangiert sind. Ergänzende Vereinbarungen<br />
werden in den Einzelverträgen abgeschlossen.<br />
1. Verantwortliche Stelle (§ 4e, Satz 1, Nr. 1-3 BDSG)<br />
<strong>badenIT</strong> GmbH, Tullastraße 70, D-79108 Freiburg Verantwortlicher Datenverarbeitung:<br />
Sitz der Gesellschaft: Freiburg im Breisgau Ralf Held, Tullastraße 70, D-79108 Freiburg<br />
Registergericht: Amtsgericht Freiburg Datenschutzbeauftragter:<br />
Registernummer: HRB 5535 Stefan Beyer, Tullastraße 61, D-79108 Freiburg<br />
Geschäftsführer: Peter Lais<br />
2. Verfahrensverzeichnis der <strong>badenIT</strong> nach § 4e BDSG, Satz 1, Nr. 4-9<br />
2.1 <strong>badenIT</strong> ist ein Dienstleister für Informationsdienste, Datenverarbeitung und Telekommunikationsdienste. Diese Dienste werden innerhalb der<br />
badenova-Unternehmensgruppe beauftragt oder mit kommunalen Einrichtungen und mit privaten Unternehmen vertraglich vereinbart.<br />
Zum Leistungsportfolio gehören der Rechenzentrumsbetrieb, SAP-Betriebsführungen, Serversysteme, backend-Systeme zur Datensicherung oder Archivierung,<br />
Kommunikations- und E-Mail-Systeme, Internetdienstleistungen, der Betrieb von TK-Anlagen und gewerbliche Telekommunikationsdienste<br />
für die Öffentlichkeit nach § 6 Telekommunikationsgesetz (TKG), Regist. Nr. 05/152, BNetzA.<br />
2.2 Die Zweckbestimmung der Erhebung, Verarbeitung und Nutzung von Daten ergibt sich aus der Tätigkeit im Auftrag als Hauptzweck. Die konkrete<br />
Ausprägung der <strong>Auftragsdatenverarbeitung</strong> ist in Serviceverträgen (SLA) mit den Kunden vereinbart. Im Rahmen der Kunden-, Lieferanten- und Personalverwaltung<br />
werden für sonstige Zwecke personenbezogene Daten erhoben, verarbeitet oder genutzt.<br />
2.3 Beschreibung der betroffenen Personengruppen, der Daten und Datenkategorien<br />
Zu unterscheiden sind Daten, die im Auftrag bearbeitet werden und Daten, die für eigene Zwecke notwendig sind. Die betroffenen Personengruppen<br />
ergeben sich aus der in 2.1 dargestellten Zweckbestimmung.<br />
2.3.1 Auftragsdaten<br />
Für die Daten, die im Auftrag (<strong>Auftragsdatenverarbeitung</strong>) verarbeitet werden, ist ausschließlich der Auftraggeber verantwortlich. Sie sind von der<br />
Auskunftspflicht ausgenommen.<br />
2.3.2 Daten für eigene Zwecke der <strong>badenIT</strong> (interne Daten) - Typische Datenkategorien<br />
- Debitorendaten: Zahlungs- und Steuerungsdaten, Vertragsabrechnungsdaten<br />
- Kundendaten: z. B. Ansprechpartner, Adress-, Vertragsdaten<br />
- Lieferantendaten/Kreditorendaten: Stammdaten zu Verträgen, Abrechnungsdaten, Informationen zu Dienstleistern<br />
- Personaldaten: Vertragsstamm- und Abrechnungsdaten von Mitarbeitern, Rentnern, Anspruchsberechtigten und von Bewerbern oder Interessenten<br />
- Sonstige personenbezogene Daten: Kooperationspartner, Öffentliche Verwaltungen, Kommunen, Banken, Geschäftspartner<br />
2.3.3 Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten (2.3.2) mitgeteilt werden können<br />
- Öffentliche Stellen, sofern vorrangige Rechtsvorschriften dies erfordern<br />
- Interne Stellen, soweit diese Daten im Rahmen ordnungsgemäßer Aufgabenerfüllung dort benötigt werden<br />
- Dienstleister (§ 11 BDSG), die zur ordnungsgemäßen Geschäftsabwicklung beauftragt werden<br />
- Externe Stellen zur ordnungsgemäßen Erfüllung der unter 2.1 genannten Zwecke<br />
2.3.4 Regelfristen für die Löschung der Daten<br />
Die Löschung der Daten erfolgt nach Ablauf der gesetzlichen oder vertraglich vereinbarten Aufbewahrungsfristen. Sofern Daten hiervon nicht betroffen<br />
sind, werden sie gelöscht, wenn die unter 2.1 genannten Zwecke entfallen sind.<br />
2.3.5 Geplante Datenübermittlung in Drittstaaten<br />
Eine Datenübermittlung in Drittstaaten findet nicht statt. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik<br />
Deutschland statt.<br />
3. Datenschutzpflichten bei der <strong>Auftragsdatenverarbeitung</strong> nach § 11, § 9 und Anlage zu § 9 BDSG<br />
3.1 Berichtigung, Sperrung und Löschung von Daten<br />
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren.<br />
Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer<br />
dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.<br />
Spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs-<br />
und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen<br />
oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist<br />
auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den<br />
Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung<br />
bei Vertragsende dem Auftraggeber übergeben.<br />
3.2 Beauftragung von Subunternehmern<br />
Die Beauftragung von Subunternehmern ist nur mit Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich<br />
sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Subunternehmer können nur beauftragt werden, wenn<br />
sie sich verpflichten, die in § 9 BDSG geforderten Maßnahmen zu erfüllen und ausschließlich Personal einsetzen, das nach § 5 BDSG auf das Datengeheimnis<br />
verpflichtet ist. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer<br />
die Verpflichtung nach § 11 BDSG erfüllt hat.<br />
Seite 1 von 3
Allgemeine Geschäftsbedingungen zur <strong>Auftragsdatenverarbeitung</strong><br />
nach BDSG - Öffentliches Verfahrensverzeichnis -<br />
(Version: 2.0 Dezember 2011)<br />
3.3 Auftraggeber - Auftragskontrolle<br />
Der Auftraggeber behält die Verantwortung für die Einhaltung aller Vorschriften zum Datenschutz. Der Auftragnehmer gewährleistet die weisungsgemäße<br />
<strong>Auftragsdatenverarbeitung</strong>. Der Auftraggeber hat das Recht die Zuverlässigkeit und Eignung der vom Auftragnehmer getroffenen technischen<br />
und organisatorischen Maßnahmen zu überprüfen. Das Recht der Prüfung erstreckt sich auch auf alle Maßnahmen, die in der Umsetzung des §<br />
11 mit Verweis auf § 9 und der Anlage zu § 9, Satz 1 BDSG festgelegt wurden (siehe 4).<br />
3.4 Besondere Vorkommnisse/Störungen<br />
Der Auftragnehmer verpflichtet sich, Störungen bei der Auftragserledigung, Verletzungen des Datengeheimnisses beim Auftragnehmer durch ihn<br />
oder durch bei ihm beschäftigte Personen dem Auftraggeber unverzüglich mitzuteilen.<br />
4. Umsetzung der Maßnahmen zu § 9 und der Anlage zu § 9, Satz 1 BDSG bei <strong>badenIT</strong><br />
Allgemeine technische und organisatorische Maßnahmen<br />
Für den Rechenzentrumsbetrieb und alle IT- oder Telekommunikationsdienste, die <strong>badenIT</strong> im Auftrag ausführt, sind IT-Servicemanagement-<br />
Verfahren (ITSM) eingerichtet nach der Norm ISO20000. Die ITSM-Instanzen und -Prozesse, wie Securitymanager/-management oder Continuity-<br />
/Availibility-manager/-management unterliegen jährlichen Audits (intern und extern).<br />
Für den Betrieb in den eigenen Einrichtungen (Rechenzentren) und für den Zugang bzw. Zugriff auf die (Kunden-) Systeme gelten folgende organisatorischen<br />
und technischen Maßnahmen als Standard. In einzelnen Serviceverträgen können weitere Maßnahmen nach dem Stand der Technik vereinbart<br />
werden.<br />
4.1 Zutrittskontrolle<br />
Der Zugang zum Rechenzentrum (RZ) der <strong>badenIT</strong> wird durch ein Zutrittskontrollsystem gesteuert: Kontrollierte Schlüsselvergabe an einen eng begrenzten<br />
Personenkreis, Zugang mit Code-Karte (Ausweisleser) und Protokollierung des Zugangs, Videoüberwachung des Eingangsbereiches zum RZ.<br />
Einrichtungen der Objektsicherung: Vorfeldsicherung durch abgesperrtes Betriebsgelände und Zugang über Pförtnerdienst, Einbruchmeldeanlagen<br />
und Einsatz des Sicherheitsdienstes.<br />
4.2 Zugangskontrolle zu den Anlagen<br />
Der Zugang zu den Systemen ist reglementiert und begrenzt auf Administratoren. Berechtigungen werden beschränkt auf die Tätigkeit im Rahmen<br />
ihres Administrationsauftrags vergeben. Die Identifikation und Authentifizierung erfolgt über persönliche Kennwortzugänge und verschlüsselte<br />
Kommunikation. Die Kennwortverfahren sind reglementiert (Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts).<br />
Bei Fehlversuchen erfolgt die automatische Sperrung, der Anmeldevorgang wird protokolliert. Die Verschlüsselungsverfahren entsprechen dem Stand<br />
der Technik.<br />
4.3 Zugriffskontrolle<br />
Werden im Einzelfall eines Auftrages Daten einer DV-Anlage durch Mitarbeiter der <strong>badenIT</strong> bearbeitet - im Sinne der Benutzung des Datenverarbeitungsverfahren<br />
– erfolgt die Benutzerverwaltung, Identifikation und Authentifizierung grundsätzlich nach den selben Prinzipien wie unter 4.2 mit der<br />
notwendigen Eingrenzung der Zugriffsberechtigung nach Vorgaben des Auftraggebers (bedarfsgerechte Rechtevergabe). In Abhängigkeit des Datenverarbeitungsverfahrens<br />
erfolgt die Vergabe differenzierter Berechtigungen über Benutzerprofile und/oder Rollen. Sofern nicht anders vereinbart,<br />
übernimmt <strong>badenIT</strong> bei Online-Zugriffen des Auftraggebers die Verantwortung für Ausgabe und Verwaltung von Zugriffssicherungscodes und Verschlüsselungsmechanismen.<br />
4.4 Weitergabekontrolle<br />
Ein physischer Transport der Daten erfolgt nur zum Auftraggeber selbst, wenn dies im Auftrag vorgesehen ist. Der Transport wird nur durch Mitarbeiter<br />
der <strong>badenIT</strong> ausgeführt - mit Übergabe direkt an die vereinbarte Dienststelle des Auftraggebers. Elektronische, automatisierte Übertragung von<br />
Daten erfolgt grundsätzlich nur verschlüsselt (z. B. Protokoll SFTP) in einer geschlossenen Prozesskette. Elektronische, manuelle Datenübertragung erfolgt<br />
ebenfalls verschlüsselt (HTTPS) nach Identifikation und Authentifizierung des Benutzers. Datenübertragungen über ISDN-Verbindungen fordern<br />
zuerst eine Rückrufverbindung des Empfängers an. Verbindungen über das Internet werden nur über gesicherte VPN-Tunnel zugelassen.<br />
Einrichtungen zum rechtsgültigen Signieren elektronischer Dokumente nach dem Signaturgesetz und der Signaturverordnung in Verbindung mit<br />
Trustcenter-Dienstleistungen stehen bei Bedarf zur Verfügung.<br />
4.5 Eingabekontrolle<br />
Sofern der Auftrag die Pflege und Verwaltung von Benutzerdaten, Benutzerkonten und/oder Benutzerberechtigungen enthält, werden Änderungen<br />
protokolliert. Darüber hinausgehende Datenverwaltung oder Datenpflege innerhalb eines Datenverarbeitungsverfahrens findet nicht statt, sofern es<br />
der jeweilige Vertrag nicht explizit vorsieht und die Vorgaben definiert.<br />
4.6 Auftragskontrolle<br />
Siehe 3.3<br />
4.7 Verfügbarkeitskontrolle<br />
- Technische Einrichtungen im RZ:<br />
Das Rechenzentrum der <strong>badenIT</strong> ist mit einer Brandmeldeanlage ausgestattet und es besteht eine direkte Brandmeldekette bis zur Freiburger Feuerwehr.<br />
Löschanlage, Temperaturüberwachung, redundante USV-Anlage (Cluster), Notstromgenerator, Klimatisierung und Wassereinbruchsschutz sind<br />
nach dem Stand der Technik eingerichtet. Zentrale Komponenten und Knoten sind in die Monitoring-Systeme einbezogen.<br />
- Securitymanagement:<br />
Nach den Normvorgaben der ISO20000 ist das Securitymanagement installiert und basiert auf den Vorgaben des Bundesamtes für Sicherheit in der<br />
Informationstechnik (BSI) zur Kritikalitätskategorisierung. Mehrstufige zentrale Firewallsysteme verschiedener Hersteller sind in Betrieb. Alle Kundennetze<br />
sind separat gesichert, Zugriffe erfolgen über Systeme in der DMZ des Kunden. Ein mehrstufiges Virenschutzkonzept (mindestens zwei<br />
Scan-Instanzen) sichert die Systeme.<br />
- Continuity-, Capacity- und Availabilitymanagement:<br />
Die Umsetzung ist ebenfalls nach der Norm ISO20000 realisiert. Wiederanlaufpläne liegen vor, werden aktualisiert und sind getestet. Die Kapazitäten<br />
auf den Kundensystemen können überwacht werden (Monitoring), abhängig von der Einstufung der Systeme.<br />
Datensicherungverfahren werden nach Anforderungen in den vereinbarten SLAs eingerichtet. Standard ist ein tägliches Backup, Monatssicherungen<br />
und Quartalssicherungen für Systeme, die ein Datenverarbeitungsverfahren bedienen. Zu sichernde Systeme und Backup-Systeme/Medien befinden<br />
sich in getrennten RZ-Lokationen. Duplizierung der Bänder und zusätzliche Auslagerung in einen externen Tresor nach Servicevereinbarung.<br />
Seite 2 von 3
Allgemeine Geschäftsbedingungen zur <strong>Auftragsdatenverarbeitung</strong><br />
nach BDSG - Öffentliches Verfahrensverzeichnis -<br />
(Version: 2.0 Dezember 2011)<br />
4.8 Trennungskontrolle<br />
Der Auftraggeber verarbeitet nur Daten innerhalb ihrer Zweckbestimmung. In Abhängigkeit der Systemumgebung werden dedizierte Systeme eingesetzt<br />
oder Einrichtungen der internen Mandantenfähigkeit genutzt. Die Systemgestaltung wird so realisiert, dass Daten für unterschiedliche Zwecke<br />
getrennt verarbeitet werden. In der Anwendungsentwicklung erfolgt dazu die Funktionstrennung von Produktions- und Testumgebungen.<br />
5 Qualitätssicherung der Schutzmaßnahmen - ISO20000-1: 2005<br />
Die Schutzmaßnahmen werden regelmäßig überprüft. Dies wird wie folgt gewährleistet:<br />
Softwareentwicklung:<br />
- Verbindliches Vorgehen bei der Neu- und Weiterentwicklung von Software<br />
- Dokumentationsrichtlinien und Freigabeverfahren<br />
IT-Betrieb, interne Maßnahmen:<br />
- Risikomanagement mit Eskalationsmechanismen nach Festlegungen im Servicemanagementplan (SMP)<br />
- Richtlinien für alle IT-Serviceprozesse (ISO20000) und Qualitätssicherungsverfahren<br />
- Interne Audits 2x/Jahr (IT-Revision) durch den verantwortlichen Servicemanager nach Vorgaben der ISO20000<br />
IT-Betrieb, externe Prüfungen:<br />
- Jährliches Überwachungsaudit (ISO/IEC20000-1: 2005) durch den TÜV-Süd, Informatikservice<br />
- Rezertifizierung im Abstand von drei Jahren (ISO/IEC20000-1: 2005), zuletzt März 2010<br />
- IT-Systemprüfungen der jeweils beauftragten Wirtschaftsprüfungsgesellschaften (jährlich)<br />
- Bericht des Datenschutzbeauftragten der <strong>badenIT</strong> (jährlich)<br />
Dem Auftraggeber wird das Recht eingeräumt, die Ergebnisse der Prüfungen einzusehen.<br />
Seite 3 von 3
Change language