AGB Auftragsdatenverarbeitung (pdf) - badenIT

Weitere Magazine

Empfehlungen

Info

Allgemeine Geschäftsbedingungen zur Auftragsdatenverarbeitung nach BDSG - Öffentliches Verfahrensverzeichnis - (Version: 2.0 Dezember 2011) 3.3 Auftraggeber - Auftragskontrolle Der Auftraggeber behält die Verantwortung für die Einhaltung aller Vorschriften zum Datenschutz. Der Auftragnehmer gewährleistet die weisungsgemäße Auftragsdatenverarbeitung. Der Auftraggeber hat das Recht die Zuverlässigkeit und Eignung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Das Recht der Prüfung erstreckt sich auch auf alle Maßnahmen, die in der Umsetzung des § 11 mit Verweis auf § 9 und der Anlage zu § 9, Satz 1 BDSG festgelegt wurden (siehe 4). 3.4 Besondere Vorkommnisse/Störungen Der Auftragnehmer verpflichtet sich, Störungen bei der Auftragserledigung, Verletzungen des Datengeheimnisses beim Auftragnehmer durch ihn oder durch bei ihm beschäftigte Personen dem Auftraggeber unverzüglich mitzuteilen. 4. Umsetzung der Maßnahmen zu § 9 und der Anlage zu § 9, Satz 1 BDSG bei badenIT Allgemeine technische und organisatorische Maßnahmen Für den Rechenzentrumsbetrieb und alle IT- oder Telekommunikationsdienste, die badenIT im Auftrag ausführt, sind IT-Servicemanagement- Verfahren (ITSM) eingerichtet nach der Norm ISO20000. Die ITSM-Instanzen und -Prozesse, wie Securitymanager/-management oder Continuity- /Availibility-manager/-management unterliegen jährlichen Audits (intern und extern). Für den Betrieb in den eigenen Einrichtungen (Rechenzentren) und für den Zugang bzw. Zugriff auf die (Kunden-) Systeme gelten folgende organisatorischen und technischen Maßnahmen als Standard. In einzelnen Serviceverträgen können weitere Maßnahmen nach dem Stand der Technik vereinbart werden. 4.1 Zutrittskontrolle Der Zugang zum Rechenzentrum (RZ) der badenIT wird durch ein Zutrittskontrollsystem gesteuert: Kontrollierte Schlüsselvergabe an einen eng begrenzten Personenkreis, Zugang mit Code-Karte (Ausweisleser) und Protokollierung des Zugangs, Videoüberwachung des Eingangsbereiches zum RZ. Einrichtungen der Objektsicherung: Vorfeldsicherung durch abgesperrtes Betriebsgelände und Zugang über Pförtnerdienst, Einbruchmeldeanlagen und Einsatz des Sicherheitsdienstes. 4.2 Zugangskontrolle zu den Anlagen Der Zugang zu den Systemen ist reglementiert und begrenzt auf Administratoren. Berechtigungen werden beschränkt auf die Tätigkeit im Rahmen ihres Administrationsauftrags vergeben. Die Identifikation und Authentifizierung erfolgt über persönliche Kennwortzugänge und verschlüsselte Kommunikation. Die Kennwortverfahren sind reglementiert (Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts). Bei Fehlversuchen erfolgt die automatische Sperrung, der Anmeldevorgang wird protokolliert. Die Verschlüsselungsverfahren entsprechen dem Stand der Technik. 4.3 Zugriffskontrolle Werden im Einzelfall eines Auftrages Daten einer DV-Anlage durch Mitarbeiter der badenIT bearbeitet - im Sinne der Benutzung des Datenverarbeitungsverfahren – erfolgt die Benutzerverwaltung, Identifikation und Authentifizierung grundsätzlich nach den selben Prinzipien wie unter 4.2 mit der notwendigen Eingrenzung der Zugriffsberechtigung nach Vorgaben des Auftraggebers (bedarfsgerechte Rechtevergabe). In Abhängigkeit des Datenverarbeitungsverfahrens erfolgt die Vergabe differenzierter Berechtigungen über Benutzerprofile und/oder Rollen. Sofern nicht anders vereinbart, übernimmt badenIT bei Online-Zugriffen des Auftraggebers die Verantwortung für Ausgabe und Verwaltung von Zugriffssicherungscodes und Verschlüsselungsmechanismen. 4.4 Weitergabekontrolle Ein physischer Transport der Daten erfolgt nur zum Auftraggeber selbst, wenn dies im Auftrag vorgesehen ist. Der Transport wird nur durch Mitarbeiter der badenIT ausgeführt - mit Übergabe direkt an die vereinbarte Dienststelle des Auftraggebers. Elektronische, automatisierte Übertragung von Daten erfolgt grundsätzlich nur verschlüsselt (z. B. Protokoll SFTP) in einer geschlossenen Prozesskette. Elektronische, manuelle Datenübertragung erfolgt ebenfalls verschlüsselt (HTTPS) nach Identifikation und Authentifizierung des Benutzers. Datenübertragungen über ISDN-Verbindungen fordern zuerst eine Rückrufverbindung des Empfängers an. Verbindungen über das Internet werden nur über gesicherte VPN-Tunnel zugelassen. Einrichtungen zum rechtsgültigen Signieren elektronischer Dokumente nach dem Signaturgesetz und der Signaturverordnung in Verbindung mit Trustcenter-Dienstleistungen stehen bei Bedarf zur Verfügung. 4.5 Eingabekontrolle Sofern der Auftrag die Pflege und Verwaltung von Benutzerdaten, Benutzerkonten und/oder Benutzerberechtigungen enthält, werden Änderungen protokolliert. Darüber hinausgehende Datenverwaltung oder Datenpflege innerhalb eines Datenverarbeitungsverfahrens findet nicht statt, sofern es der jeweilige Vertrag nicht explizit vorsieht und die Vorgaben definiert. 4.6 Auftragskontrolle Siehe 3.3 4.7 Verfügbarkeitskontrolle - Technische Einrichtungen im RZ: Das Rechenzentrum der badenIT ist mit einer Brandmeldeanlage ausgestattet und es besteht eine direkte Brandmeldekette bis zur Freiburger Feuerwehr. Löschanlage, Temperaturüberwachung, redundante USV-Anlage (Cluster), Notstromgenerator, Klimatisierung und Wassereinbruchsschutz sind nach dem Stand der Technik eingerichtet. Zentrale Komponenten und Knoten sind in die Monitoring-Systeme einbezogen. - Securitymanagement: Nach den Normvorgaben der ISO20000 ist das Securitymanagement installiert und basiert auf den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Kritikalitätskategorisierung. Mehrstufige zentrale Firewallsysteme verschiedener Hersteller sind in Betrieb. Alle Kundennetze sind separat gesichert, Zugriffe erfolgen über Systeme in der DMZ des Kunden. Ein mehrstufiges Virenschutzkonzept (mindestens zwei Scan-Instanzen) sichert die Systeme. - Continuity-, Capacity- und Availabilitymanagement: Die Umsetzung ist ebenfalls nach der Norm ISO20000 realisiert. Wiederanlaufpläne liegen vor, werden aktualisiert und sind getestet. Die Kapazitäten auf den Kundensystemen können überwacht werden (Monitoring), abhängig von der Einstufung der Systeme. Datensicherungverfahren werden nach Anforderungen in den vereinbarten SLAs eingerichtet. Standard ist ein tägliches Backup, Monatssicherungen und Quartalssicherungen für Systeme, die ein Datenverarbeitungsverfahren bedienen. Zu sichernde Systeme und Backup-Systeme/Medien befinden sich in getrennten RZ-Lokationen. Duplizierung der Bänder und zusätzliche Auslagerung in einen externen Tresor nach Servicevereinbarung. Seite 2 von 3
Allgemeine Geschäftsbedingungen zur Auftragsdatenverarbeitung nach BDSG - Öffentliches Verfahrensverzeichnis - (Version: 2.0 Dezember 2011) 4.8 Trennungskontrolle Der Auftraggeber verarbeitet nur Daten innerhalb ihrer Zweckbestimmung. In Abhängigkeit der Systemumgebung werden dedizierte Systeme eingesetzt oder Einrichtungen der internen Mandantenfähigkeit genutzt. Die Systemgestaltung wird so realisiert, dass Daten für unterschiedliche Zwecke getrennt verarbeitet werden. In der Anwendungsentwicklung erfolgt dazu die Funktionstrennung von Produktions- und Testumgebungen. 5 Qualitätssicherung der Schutzmaßnahmen - ISO20000-1: 2005 Die Schutzmaßnahmen werden regelmäßig überprüft. Dies wird wie folgt gewährleistet: Softwareentwicklung: - Verbindliches Vorgehen bei der Neu- und Weiterentwicklung von Software - Dokumentationsrichtlinien und Freigabeverfahren IT-Betrieb, interne Maßnahmen: - Risikomanagement mit Eskalationsmechanismen nach Festlegungen im Servicemanagementplan (SMP) - Richtlinien für alle IT-Serviceprozesse (ISO20000) und Qualitätssicherungsverfahren - Interne Audits 2x/Jahr (IT-Revision) durch den verantwortlichen Servicemanager nach Vorgaben der ISO20000 IT-Betrieb, externe Prüfungen: - Jährliches Überwachungsaudit (ISO/IEC20000-1: 2005) durch den TÜV-Süd, Informatikservice - Rezertifizierung im Abstand von drei Jahren (ISO/IEC20000-1: 2005), zuletzt März 2010 - IT-Systemprüfungen der jeweils beauftragten Wirtschaftsprüfungsgesellschaften (jährlich) - Bericht des Datenschutzbeauftragten der badenIT (jährlich) Dem Auftraggeber wird das Recht eingeräumt, die Ergebnisse der Prüfungen einzusehen. Seite 3 von 3
Seite 1: Allgemeine Geschäftsbedingungen zu

AGB Auftragsdatenverarbeitung (pdf) - badenIT

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?