AGB Auftragsdatenverarbeitung (pdf) - badenIT
AGB Auftragsdatenverarbeitung (pdf) - badenIT
AGB Auftragsdatenverarbeitung (pdf) - badenIT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Allgemeine Geschäftsbedingungen zur <strong>Auftragsdatenverarbeitung</strong><br />
nach BDSG - Öffentliches Verfahrensverzeichnis -<br />
(Version: 2.0 Dezember 2011)<br />
3.3 Auftraggeber - Auftragskontrolle<br />
Der Auftraggeber behält die Verantwortung für die Einhaltung aller Vorschriften zum Datenschutz. Der Auftragnehmer gewährleistet die weisungsgemäße<br />
<strong>Auftragsdatenverarbeitung</strong>. Der Auftraggeber hat das Recht die Zuverlässigkeit und Eignung der vom Auftragnehmer getroffenen technischen<br />
und organisatorischen Maßnahmen zu überprüfen. Das Recht der Prüfung erstreckt sich auch auf alle Maßnahmen, die in der Umsetzung des §<br />
11 mit Verweis auf § 9 und der Anlage zu § 9, Satz 1 BDSG festgelegt wurden (siehe 4).<br />
3.4 Besondere Vorkommnisse/Störungen<br />
Der Auftragnehmer verpflichtet sich, Störungen bei der Auftragserledigung, Verletzungen des Datengeheimnisses beim Auftragnehmer durch ihn<br />
oder durch bei ihm beschäftigte Personen dem Auftraggeber unverzüglich mitzuteilen.<br />
4. Umsetzung der Maßnahmen zu § 9 und der Anlage zu § 9, Satz 1 BDSG bei <strong>badenIT</strong><br />
Allgemeine technische und organisatorische Maßnahmen<br />
Für den Rechenzentrumsbetrieb und alle IT- oder Telekommunikationsdienste, die <strong>badenIT</strong> im Auftrag ausführt, sind IT-Servicemanagement-<br />
Verfahren (ITSM) eingerichtet nach der Norm ISO20000. Die ITSM-Instanzen und -Prozesse, wie Securitymanager/-management oder Continuity-<br />
/Availibility-manager/-management unterliegen jährlichen Audits (intern und extern).<br />
Für den Betrieb in den eigenen Einrichtungen (Rechenzentren) und für den Zugang bzw. Zugriff auf die (Kunden-) Systeme gelten folgende organisatorischen<br />
und technischen Maßnahmen als Standard. In einzelnen Serviceverträgen können weitere Maßnahmen nach dem Stand der Technik vereinbart<br />
werden.<br />
4.1 Zutrittskontrolle<br />
Der Zugang zum Rechenzentrum (RZ) der <strong>badenIT</strong> wird durch ein Zutrittskontrollsystem gesteuert: Kontrollierte Schlüsselvergabe an einen eng begrenzten<br />
Personenkreis, Zugang mit Code-Karte (Ausweisleser) und Protokollierung des Zugangs, Videoüberwachung des Eingangsbereiches zum RZ.<br />
Einrichtungen der Objektsicherung: Vorfeldsicherung durch abgesperrtes Betriebsgelände und Zugang über Pförtnerdienst, Einbruchmeldeanlagen<br />
und Einsatz des Sicherheitsdienstes.<br />
4.2 Zugangskontrolle zu den Anlagen<br />
Der Zugang zu den Systemen ist reglementiert und begrenzt auf Administratoren. Berechtigungen werden beschränkt auf die Tätigkeit im Rahmen<br />
ihres Administrationsauftrags vergeben. Die Identifikation und Authentifizierung erfolgt über persönliche Kennwortzugänge und verschlüsselte<br />
Kommunikation. Die Kennwortverfahren sind reglementiert (Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts).<br />
Bei Fehlversuchen erfolgt die automatische Sperrung, der Anmeldevorgang wird protokolliert. Die Verschlüsselungsverfahren entsprechen dem Stand<br />
der Technik.<br />
4.3 Zugriffskontrolle<br />
Werden im Einzelfall eines Auftrages Daten einer DV-Anlage durch Mitarbeiter der <strong>badenIT</strong> bearbeitet - im Sinne der Benutzung des Datenverarbeitungsverfahren<br />
– erfolgt die Benutzerverwaltung, Identifikation und Authentifizierung grundsätzlich nach den selben Prinzipien wie unter 4.2 mit der<br />
notwendigen Eingrenzung der Zugriffsberechtigung nach Vorgaben des Auftraggebers (bedarfsgerechte Rechtevergabe). In Abhängigkeit des Datenverarbeitungsverfahrens<br />
erfolgt die Vergabe differenzierter Berechtigungen über Benutzerprofile und/oder Rollen. Sofern nicht anders vereinbart,<br />
übernimmt <strong>badenIT</strong> bei Online-Zugriffen des Auftraggebers die Verantwortung für Ausgabe und Verwaltung von Zugriffssicherungscodes und Verschlüsselungsmechanismen.<br />
4.4 Weitergabekontrolle<br />
Ein physischer Transport der Daten erfolgt nur zum Auftraggeber selbst, wenn dies im Auftrag vorgesehen ist. Der Transport wird nur durch Mitarbeiter<br />
der <strong>badenIT</strong> ausgeführt - mit Übergabe direkt an die vereinbarte Dienststelle des Auftraggebers. Elektronische, automatisierte Übertragung von<br />
Daten erfolgt grundsätzlich nur verschlüsselt (z. B. Protokoll SFTP) in einer geschlossenen Prozesskette. Elektronische, manuelle Datenübertragung erfolgt<br />
ebenfalls verschlüsselt (HTTPS) nach Identifikation und Authentifizierung des Benutzers. Datenübertragungen über ISDN-Verbindungen fordern<br />
zuerst eine Rückrufverbindung des Empfängers an. Verbindungen über das Internet werden nur über gesicherte VPN-Tunnel zugelassen.<br />
Einrichtungen zum rechtsgültigen Signieren elektronischer Dokumente nach dem Signaturgesetz und der Signaturverordnung in Verbindung mit<br />
Trustcenter-Dienstleistungen stehen bei Bedarf zur Verfügung.<br />
4.5 Eingabekontrolle<br />
Sofern der Auftrag die Pflege und Verwaltung von Benutzerdaten, Benutzerkonten und/oder Benutzerberechtigungen enthält, werden Änderungen<br />
protokolliert. Darüber hinausgehende Datenverwaltung oder Datenpflege innerhalb eines Datenverarbeitungsverfahrens findet nicht statt, sofern es<br />
der jeweilige Vertrag nicht explizit vorsieht und die Vorgaben definiert.<br />
4.6 Auftragskontrolle<br />
Siehe 3.3<br />
4.7 Verfügbarkeitskontrolle<br />
- Technische Einrichtungen im RZ:<br />
Das Rechenzentrum der <strong>badenIT</strong> ist mit einer Brandmeldeanlage ausgestattet und es besteht eine direkte Brandmeldekette bis zur Freiburger Feuerwehr.<br />
Löschanlage, Temperaturüberwachung, redundante USV-Anlage (Cluster), Notstromgenerator, Klimatisierung und Wassereinbruchsschutz sind<br />
nach dem Stand der Technik eingerichtet. Zentrale Komponenten und Knoten sind in die Monitoring-Systeme einbezogen.<br />
- Securitymanagement:<br />
Nach den Normvorgaben der ISO20000 ist das Securitymanagement installiert und basiert auf den Vorgaben des Bundesamtes für Sicherheit in der<br />
Informationstechnik (BSI) zur Kritikalitätskategorisierung. Mehrstufige zentrale Firewallsysteme verschiedener Hersteller sind in Betrieb. Alle Kundennetze<br />
sind separat gesichert, Zugriffe erfolgen über Systeme in der DMZ des Kunden. Ein mehrstufiges Virenschutzkonzept (mindestens zwei<br />
Scan-Instanzen) sichert die Systeme.<br />
- Continuity-, Capacity- und Availabilitymanagement:<br />
Die Umsetzung ist ebenfalls nach der Norm ISO20000 realisiert. Wiederanlaufpläne liegen vor, werden aktualisiert und sind getestet. Die Kapazitäten<br />
auf den Kundensystemen können überwacht werden (Monitoring), abhängig von der Einstufung der Systeme.<br />
Datensicherungverfahren werden nach Anforderungen in den vereinbarten SLAs eingerichtet. Standard ist ein tägliches Backup, Monatssicherungen<br />
und Quartalssicherungen für Systeme, die ein Datenverarbeitungsverfahren bedienen. Zu sichernde Systeme und Backup-Systeme/Medien befinden<br />
sich in getrennten RZ-Lokationen. Duplizierung der Bänder und zusätzliche Auslagerung in einen externen Tresor nach Servicevereinbarung.<br />
Seite 2 von 3