Auftragsverarbeitungsvertrag nach DSGVO

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO

 

Präambel

Die Gesellschaft zur Erstellung von Arzt-abrechnungen (nachfolgend auch GAB) greift im Rahmen ... Erbringung ihrer Beratungs- ... Abrechnungsdienstleistungen auf ... Serverarchitektur ... Serverabrechnungszentrums mit Sitz in SaasGrund in ... Schweiz (nachfolgend auch „Servergesellschaft Schweiz“) zurück. Hierbei werden durch ... Servergesellschaft Schweiz auch personenbezogene Daten, u.a. ... Kunden von GAB, verarbeitet. Bei diesem Nutzungsverhältnis handelt es sich um ... Auftragsverarbeitungsverhältnis gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO), wobei ... Servergesellschaft Schweiz Auftragsverarbeiter ... GAB Verantwortlicher ... Daten im Sinne ... DSGVO ist. Im Hinblick auf ... mit ... Kunden von GAB geschlossene Auftragsverarbeitungsvereinbarung gilt diese Vereinbarung als Unterauftragsverarbeitungsvereinbarung.

Um ... Rechte ... Pflichten aus diesem Auftragsverarbeitungsverhältnis gemäß ... gesetzlichen Verpflichtung zu konkretisieren, schließen ... Vertragsparteien ... nachfolgende Vereinbarung, Einzelheiten zu ... verarbeiteten Daten sind in ... Anlage zur Leistungsbeschreibung festgelegt.

 

§ 1    Anwendungsbereich

(1)       Gegenstand dieser Vereinbarung ist ... Regelung ... Rechte ... Pflichten ... Verantwortlichen (GAB) ... des Auftragsverarbeiters (Servergesellschaft Schweiz), sofern im Rahmen ... Leistungserbringung ... Verarbeitung personenbezogener Daten durch Servergesellschaft Schweiz für GAB im Sinne ... anwendbaren Datenschutzrechts erfolgt.

(2)       Es gelten ... Begriffsbestimmungen ... Art. 4 DSGVO.

 

§ 2    Konkretisierung ... Auftragsinhalts

(1)       ... Gegenstand ... die Dauer ... Auftragsverarbeitung sowie Umfang, Art, Zweck ... Kategorien ... betroffenen Personen ... vorgesehenen Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten ergeben sich aus ... Leistungs­vereinbarung (Anlage zu dieser Vereinbarung). Diese Auftragsverarbeitungs­ver­einbarung gilt ergänzend zu dem zwischen Servergesellschaft Schweiz ... dem GAB geschlossenen Dienstleistungsvertrag (nachfolgend „Vertrag“).

(2)       Im Rahmen dieser Auftragsverarbeitung werden auch Gesundheitsdaten, als per­sonenbezogene Daten ... besonderen Kategorie gem. Art. 9 DSGVO verarbeitet. ... Verarbeitung ist ausnahmsweise gem. Art. 9 Abs. 2 lit. h DSGVO gestattet. ... Auftragsverarbeiter unterliegt ... vertraglich vereinbarten Geheimhaltungspflicht gem. Art. 9 Abs. 3 DSGVO. Soweit nationale Regelungen vorhanden sind, ... die Vergabe ... Auftragsverarbeitung außerhalb ... Praxis ... Kunden von GAB regeln, ist für deren Befolgung ausschließlich ... Kunde von GAB verantwortlich (vgl. Art. 9 Abs. 4 DSGVO).

(3)       ... Erbringung ... vertraglich vereinbarten Datenverarbeitung findet ausschließlich in ... Bundesrepublik Deutschland ... in ... Schweiz statt. ... Schweiz wurde von ... Europäischen Kommission als Drittstaat angesehen, ... ein angemessenes Datenschutzniveau gewährleistet. Insofern bestehen seitens ... Europäischen Kommission keine Vorbehalte bei ... Datenübermittlung in ... Schweiz ... die Übermittlung in ... Schweiz ist auf Basis von Art. 44 DSGVO möglich. ... Übermittlung in weitere Drittländer findet nicht statt ... ist nicht beabsichtigt.

 

§ 3    Weisungen, Rechte ... Pflichten von GAB

(1)       Für ... Beurteilung ... Zulässigkeit ... Datenverarbeitung sowie für ... Wahrung ... Rechte von GAB ist allein GAB verantwortlich. Er ist ... verantwortliche Stelle i.S. ... Art. 4 Nr. 7 DSGVO.

(2)       GAB ist verpflichtet, nur solche Daten an Servergesellschaft Schweiz zu übermitteln oder erfassen zu lassen, ... gemäß Art. 6 Abs. 1 DSGVO rechtmäßig erhoben ... zweck­gemäß weiterverarbeitet werden. GAB ist ferner verpflichtet, ... Rechte ... be­troffenen Personen zu wahren, notwendige Einwilligungen in ... Datenverarbeitung einzuholen ... insbesondere gesetzlichen Informationspflichten hierüber nachzu­kommen sowie ... Ausübung ... Widerspruchsrechts ... betroffenen Personen zu ermöglichen. GAB ist insoweit als verantwortliche Stelle für ... Wahrung ... Betroffenenrechte verantwortlich. Betroffenenrechte sind gegenüber GAB wahrzu­nehmen. Für ... Fall, ... eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder ... sonstigen, für GAB geltenden gesetzlichen Meldepflicht besteht, ist GAB für deren Einhaltung verantwortlich. Servergesellschaft Schweiz wird GAB unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber Servergesellschaft Schweiz geltend machen ... dies unmittelbar GAB betrifft.

(3)       Servergesellschaft Schweiz wird personenbezogene Daten nur auf dokumentierte Weisung durch GAB, auch in Bezug auf ... Übermittlung personenbezogener Daten an ... Drittland oder ... internationale Organisation, verarbeiten, sofern Servergesellschaft Schweiz nicht durch ... Recht ... Union oder ... Schweiz, dem es unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt Servergesellschaft Schweiz GAB diese rechtlichen Anforderungen vor ... Verarbeitung mit, sofern ... betreffende Recht ... solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(4)       Als Weisungen im Übrigen sind ... Vertrag zwischen ... Parteien sowie diese Auftragsverarbeitungsvereinbarung zu verstehen. Alle zusätzlichen Weisungen werden schriftlich oder per E‑Mail erteilt. Servergesellschaft Schweiz wird dann unverzüglich ... Umsetzbarkeit ... Weisungen unter Berücksichtigung ... Interessen an ... Funktionsfähigkeit seiner übrigen Leistungen prüfen ... ob es ... Auffassung ist, ... eine Weisung gegen ... geltenden rechtlichen Bestimmungen verstößt.

 

§ 4    Rechte ... Pflichten von Servergesellschaft Schweiz

(1)       ... Servergesellschaft Schweiz verarbeitet ... personenbezogenen Daten ausschließlich im Rahmen ... mit GAB getroffenen Kooperation ... nach Weisung durch GAB. Servergesellschaft Schweiz verwendet ... personenbezogenen Daten für keine anderen Zwecke ... wird ... ihm überlassenen personenbezogenen Daten nicht an unberechtigte Dritte weitergeben. Kopien ... Duplikate werden ohne vorherige Einwilligung durch GAB oder seiner Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung ... ordnungsgemäßen Datenverarbeitung.

(2)       ... Servergesellschaft Schweiz wird GAB darüber informieren, wenn ... von GAB erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Servergesellschaft Schweiz ist berechtigt, ... Durchführung ... betreffenden Weisung solange auszusetzen, bis diese durch GAB bestätigt oder geändert wird.

(3)       ... Servergesellschaft Schweiz hat gem. Art. 38 DSGVO einen Datenschutzbeauftragten bestellt, dessen Kontaktdaten sind in ... Anlage hinterlegt.

(4)       ... Servergesellschaft Schweiz hat zusätzlich zu ... Einhaltung ... Regelungen dieser Vereinbarung gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO einzuhalten; insofern gewährleistet es insbesondere:

a)    ... unverzügliche Information an GAB über Kontrollhandlungen ... Maßnahmen ... Aufsichtsbehörde, sofern diese Auskünfte ... vertragliche Datenverarbeitung betreffen ... soweit GAB dem Auskunftsbegehren nicht selbst nachkommen kann. Dies gilt auch, soweit ... zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf ... Verarbeitung personenbezogener Daten bei ... Auftragsverarbeitung bei Servergesellschaft Schweiz ermittelt. Soweit sich ... Betroffener zwecks Geltend­machung eines Betroffenenrechts unmittelbar an Servergesellschaft Schweiz wendet, leitet es ... Anfragen ... Betroffenen zeitnah an GAB weiter.

b)    Soweit GAB seinerseits ... Kontrolle ... Aufsichtsbehörde, einem Ordnungs­widrigkeits- oder Strafverfahren, dem Haftungsanspruch ... betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit ... vorliegenden Auftragsverarbeitung ausge­setzt ist, wird Servergesellschaft Schweiz GAB bei dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung ... Betroffenenrechte nach Möglichkeit mit geeigneten technischen ... organisa­torischen Maßnahmen unterstützen, sofern diese Auskünfte ... vertragliche Datenverarbeitung betreffen ... soweit GAB dem Auskunftsbegehren nicht selbst nachkommen kann.

c)    ... Servergesellschaft Schweiz kontrolliert regelmäßig ... internen Prozesse sowie ... technischen ... organisatorischen Maßnahmen, um zu gewährleisten, ... die Verarbeitung in seinem Verantwortungsbereich im Einklang mit ... Anforderungen ... geltenden Datenschutzrechts erfolgt ... der Schutz ... Rechte ... betroffenen Personen gewährleistet wird.

(5)       ... Servergesellschaft Schweiz führt nach Maßgabe ... einschlägigen geltenden rechtlichen Bestimmun­gen ... Verzeichnis zu allen Kategorien von im Auftrag von GAB durchgeführten Tätigkeiten ... Verarbeitung personenbezogener Daten.  Die Servergesellschaft Schweiz unterstützt GAB auf Anfrage ... stellt GAB ... für ... Führung seines Verzeichnisses von Verarbeitungstätigkeiten notwendigen Angaben zur Verfügung, soweit diese Angaben im vertraglich umschriebenen Verantwortungs- ... Leistungsbereich von Servergesellschaft Schweiz als Auftragsverarbeiter liegen ... GAB keinen anderen Zugang zu diesen Informationen hat.

(6)       Nicht mehr benötigte personenbezogene Daten, mit Ausnahme ... aufgrund gesetzlicher Verpflichtung von Servergesellschaft Schweiz weiter vorzuhaltenden personenbezogenen Daten, werden, soweit nicht im Vertrag bereits geregelt ... soweit nicht anders vereinbart, an GAB zurückgegeben oder auf Kosten von GAB vernichtet bzw. gelöscht. GAB kann während ... Bestehens ... Vertragsverhältnisses oder mit Vertragsende schriftlich ... personenbezogenen Daten, ... nicht gemäß Satz 1 vernichtet bzw. gelöscht sind, auf seine Kosten ... in einem vorher abgestimmten Format heraus verlangen ... Servergesellschaft Schweiz einen Zeitpunkt (längstens bis Vertragsende) für ... Herausgabe nennen. ... Herausgabeverlangen muss Servergesellschaft Schweiz einen Monat vor dem von GAB benannten Zeitpunkt bzw. ... Monat vor Vertragsende zugegangen sein.

(7)       ... Servergesellschaft Schweiz unterstützt GAB bei ... Einhaltung ... in ... Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen ... vorherige Konsultationen.

(8)       Unterstützungsleistungen, ... nicht in ... Leistungsbeschreibung enthalten sind ... die nicht auf ... Fehlverhalten von Servergesellschaft Schweiz zurückzuführen sind, sind von GAB gesondert zu vergüten.

 

§ 5    Technisch-organisatorische Maßnahmen ... deren Kontrolle

(1)       GAB ... Servergesellschaft Schweiz werden geeignete technische ... organisatorische Sicherheitsmaßnahmen gem. Art. 28 Abs. 3 c), 32 DSGVO treffen, um ... dem Risiko angemessenes Schutzniveau hinsichtlich ... Vertraulichkeit, ... Inte­grität, ... Verfügbarkeit sowie ... Belastbarkeit ... Systeme zu gewährleisten. Dabei sind ... Stand ... Technik, ... Implementierungskosten ... die Art, ... Umfang ... die Zwecke ... Verarbeitung sowie ... unterschiedliche Eintrittswahrscheinlichkeit ... Schwere ... Risikos für ... Rechte ... Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. ... derzeit als geeignet angesehenen Maßnahmen von Servergesellschaft Schweiz sind in ... Anlage beschrieben. GAB hat ... technischen ... organisatorischen Maßnahmen vor dem Hintergrund seiner konkreten Datenverarbeitung in Hinblick auf ... angemessenes Schutzniveau bewertet ... als angemessen akzeptiert.

(2)       ... technischen ... organisatorischen Maßnahmen können im Laufe dieser Vereinbarung an ... technische ... organisatorische Weiterentwicklung angepasst werden. Dabei darf ... Schutzniveau ... vereinbarte Schutzniveau nicht unterschreiten. ... Sicherheit ... Verarbeitung ... die Angemessenheit ... Schutzniveaus wird GAB regelmäßig prüfen ... Servergesellschaft Schweiz unverzüglich mitteilen, sollten ... technischen ... organisatorischen Maßnahmen seinen Anforderungen nicht mehr genügen. GAB wird Servergesellschaft Schweiz hierzu alle erforderlichen Informationen zur Verfügung stellen. Servergesellschaft Schweiz kontrolliert seinerseits regelmäßig ... internen Prozesse sowie ... technischen ... organisatorischen Maßnahmen, um zu gewährleisten, ... die Verarbeitung in seinem Verantwortungsbereich im Einklang mit ... Anforderungen ... DSGVO erfolgt ... der Schutz ... Rechte ... betroffenen Person gewährleistet wird. Zusätzliche technische ... organisatorische Maßnahmen, ... über ... vertraglich vereinbarten Maßnah­men hinausgehen, sind - soweit nicht ausdrücklich anders vereinbart - bei Mehraufwand für Servergesellschaft Schweiz gesondert zu vergüten. ... Vertragsparteien werden sich in diesem Fall über ... angemessene Vergütung gesondert verständigen. Bei Maßnahmen, deren Umsetzung für Servergesellschaft Schweiz nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann Servergesellschaft Schweiz ... Vertrag außerordentlich kündigen.

(3)       GAB kann auf eigene Kosten ... Einhaltung ... Vorschriften über ... Daten­schutz ... der in dieser Vereinbarung niedergelegten Pflichten durch ... Einholung von Auskünften ... Abfrage ... in dieser Vereinbarung angeführten Nachweise bei Servergesellschaft Schweiz in Hinblick auf ... GAB betreffende Verarbeitung kontrollieren. GAB wird vorrangig prüfen, ob ... in Satz 1 dieses Absatzes eingeräumte Möglichkeit ... Überprüfung ausreicht. GAB kann darüber hinaus in besonders zu begründenden Ausnahmefällen auf eigene Kosten ... Einhaltung ... Vorschriften über ... Datenschutz vor Ort kontrollieren. GAB wird bei Durchführung von Kontrollen auf ... Geschäftsbetrieb ... Betriebsablauf von Servergesellschaft Schweiz Rücksicht nehmen. GAB verpflichtet sich, ... durch ... Kontrolle verursachten ... über ... vereinbarte Pauschale / ... vereinbarten Betrag hinausgehenden tatsächlich angefallenen Kosten zu tragen. ... Höhe ... tatsächlich angefallenen höheren Kosten hat ... Servergesellschaft Schweiz nachzuweisen. Für ... Berechnung wird ... im Hauptvertrag vereinbarte Stundensatz zugrundegelegt.

 

§ 6    Vertraulichkeit

(1)       ... Servergesellschaft Schweiz wird im Zusammenhang mit ... hier vereinbarten Verarbeitung personen­bezogener Daten ... Vertraulichkeit wahren gem. Art. 28 Abs. 3 S. 2 b), 29, 32 Abs. 4 DSGVO. Servergesellschaft Schweiz setzt bei ... Durchführung ... Arbeiten nur Beschäftigte ein, ... auf ... Vertraulichkeit verpflichtet ... zuvor mit ... für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht worden sind. Servergesellschaft Schweiz ... jede ihm unterstellte Person, ... Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend ... Weisung von GAB verarbeiten einschließlich ... in diesem Vertrag eingeräumten Befugnisse, es sei denn, sie sind nach dem Recht ... Union oder ... Mitgliedstaaten zur Verarbeitung verpflichtet.

(2)       Vertragliche Verpflichtungen zur Wahrung ... Vertraulichkeit ... zum Schutz von nicht personenbezogenen Daten bleiben unberührt. Soweit vertraglich hierzu keine Vereinbarung getroffen wurden, verpflichten sich beide Parteien, alle nicht allgemein offenkundigen Informationen aus dem Bereich ... anderen Partei, ... ihnen durch ... Geschäftsbeziehung bekannt werden, geheim zu halten ... nicht für eigene Zwecke außerhalb dieses Vertrages oder Zwecke Dritter zu verwenden.

 

§ 7    Unterauftragsverarbeiter

(1)       ... Servergesellschaft Schweiz darf zur Erfüllung ... in diesem Vertrag beschriebenen Aufgaben weitere Auftragsverarbeiter (Unterauftragsverarbeiter ... Sub-Unter­auftragsverarbeiter) einsetzen. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Aufträge zu verstehen, ... Servergesellschaft Schweiz bei Dritten als Nebenleistung zur Unterstützung bei ... Auftragsdurchführung erteilt ... die keine Auftragsverarbeitungsleistung personenbezogener Daten für GAB beinhalten.

(2)       Für ... in ... Anlage konkret aufgeführten Unterauftragsverarbeiter sowie Sub-Unter­auftragsverarbeiter ... die dort genannten Aufgabenbereiche gilt ... Genehmigung von GAB als erteilt.

(3)       ... Parteien stimmen ... Einsatz weiterer Unterauftragsverarbeiter miteinander ab, dabei achtet ... Servergesellschaft Schweiz bei ... Auswahl etwaiger Unterauftrags­verarbeiter ... Sub-Unterauftragsverarbeiter, ... diese hinreichende Garantien dafür bieten, ... die vereinbarten geeigneten technischen ... organisatorischen Maßnahmen so durchgeführt werden, ... die Verarbeitung entsprechend ... Anforderungen ... einschlägigen geltenden rechtlichen Bestimmungen erfolgt.

 

§ 8    Vertragsdauer

Diese Vereinbarung gilt für ... Dauer ... tatsächlichen Leistungserbringung durch Servergesellschaft Schweiz.

 

§ 9    Schlussbestimmungen

(1)       Sämtliche Änderungen dieser Vereinbarung sowie Nebenabreden bedürfen ... Textform (einschließlich ... elektronischen Form). Dies gilt auch für ... Abbedingen dieser Schriftformklausel selbst.

(2)       ... zwischen ... Parteien geschlossene Servicevertrag nebst Anlagen sowie ... Anlagen dieses Vertrags zur Leistungsbeschreibung ... „Technisch-organisa­torische Maßnahmen“ sind Bestandteile dieser Vereinbarung.

(3)       Für diese Vereinbarung gilt deutsches Recht. Ausschließlicher Gerichtsstand für sämtliche Rechtsstreitigkeiten ... Parteien aus oder in Zusammenhang mit diesem Vertrag ist ... Sitz von ____.

GABhausen, ... ____________

 

____________________________________

GAB

SaasGrund, ... ____________

 

 

 

____________________________________

Servergesellschaft Schweiz

Anlage zu Auftragsverarbeitungsvereinbarung Servergesellschaft Schweiz ... GAB

 

Leistungsbeschreibung / Technisch organisatorische Maßnahmen

 

§ 1    Umfang ... Datenverarbeitung

(Art ... Verarbeitung, Art ... Daten, Zweck ... Erhebung ... Nutzung ... Daten, Kreis ... Betroffenen)

 

a.    Art ... personenbezogenen Daten:

□    Geschlecht

□    Vor- ... Nachname

□    Titel

□    Akademischer Grad

□    Privatanschrift

□    Kontaktdaten (z.B. Telefon, E-Mail-Adresse)

□    Versichertenstatus

□    Vertragsabrechnungs- ... Zahlungsdaten

□    Freiwille Angaben ... Betroffenen

□    Daten, ... der Verantwortliche in seinem Ermessen abspeichert

□    ___________________________

□    ___________________________

□    ___________________________

 

b.    Kategorien betroffener Personen:

□    Patienten

□    Beschäftigte

□    Ansprechpartner

□    ___________________

□    ___________________

 

c.     Nutzung ... erhobenen Daten:

□    Erfassen, Organisation, Speicherung, Auslesen ... Abfragen von Daten

□    Erstellen von Abrechnungen für kieferorthopädische Behandlungsleistungen

□    ___________

□    ___________

 

d.    Besondere Kategorie von personenbezogenen Daten nach Art. 9 DSGVO;

□    Gesundheitsdaten ... Patienten (insbesondere zur Zahngesundheit)

□    ___________________________

□    ___________________________

□    ___________________________

Die Verarbeitung ist gem. Art. 9 Abs. 2 lit. h) für Zwecke ... Gesundheitsvorsorge für Behandlungen im Gesundheitsbereich erforderlich. ... Anforderungen ... Art. 9 Abs. 3 DSGVO, insbesondere zur Geheimhaltungspflicht, werden gewahrt.

 

§ 2    Ansprechpartner/ Datenschutzbeauftragter bei Servergesellschaft Schweiz

Ansprechpartner:

Name, Vorname, Kontaktdaten

 

Datenschutzbeauftragter:

Name, Vorname, Kontaktdaten

 

□    Es wurde kein Datenschutzbeauftragter bestellt.

 

§ 3    Ansprechpartner bei GAB

Ansprechpartner:

Name, Vorname, Kontaktdaten

 

Datenschutzbeauftragter:

Name, Vorname, Kontaktdaten

 

□    Es wurde kein Datenschutzbeauftragter bestellt.

 

§ 4    Verarbeitungsort

□    Geschäftssitz ... Rechenzentrum von Servergesellschaft Schweiz, -----

□    ___________________________

□    ___________________________

 

§ 5    Genehmigte Unterauftragsverarbeiter

§ 6    Genehmigte Sub-Unterauftragsverarbeiter

xx

§ 7    Technische ... organisatorische Sicherheitsmaßnahmen

Gemäß Art. 28 Abs. 3 c), 32 DSGVO sind ... Vertragspartner verpflichtet, ... technischen ... organisatorischen Sicherheitsmaßnahmen festzulegen. Servergesellschaft Schweiz ... GAB gestalten ihre innerbetriebliche Organisation so, ... sie ... besonderen Anforderungen ... Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, ... je nach ... Art ... zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

 

a.      Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

[In ... rechten Tabellenspalte sind beispielhaft mögliche Maßnahmen aufgeführt, diese sollten Sie an ... von Ihnen getroffenen Sicherheitsmaßnahmen anpassen.]

Zutrittskontrolle

Unbefugten ist ... Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder ge­nutzt werden, zu verwehren.

Die vom Rechenzentrum getroffenen Maßnahmen:

bspw. Zutrittskontrollsystem, Ausweisleser, Mag­netkarte, Chipkarte, Schlüssel, Schlüsselvergabe, Alarmanlage, Werkschutz/ Pförtner

Zugangskontrolle

Es ist zu verhindern, ... Daten­verarbeitungssysteme von Unbe­fugten genutzt werden können.

 

Getroffene Maßnahmen:

Keine unbefugte Systembenutzung, z.B. (sichere) Kennwörter, automatische Sperrmechanismen

Technische (Kennwortschutz) ... organisa­torische (Benutzer­stammsatz) Maßnahmen hinsichtlich ... Benut­zer­identi­fikation ... Authentifizierung, Verwendung von tech­nisch aktuellen Verschlüs­selungsverfahren

Zugriffskontrolle

Nur Berechtigte dürfen ... ihnen freigegebenen personen­bezogenen Daten verarbeiten ... nutzen, währenddessen Unbefugte diese Daten weder lesen noch verändern können.

 

Getroffene Maßnahmen:

Bedarfsorientierte Ausgestaltung ... Be­rechti­gungskonzepts ... der Zu­griffs­rechte sowie deren Überwachung ... Pro­to­kol­lierung, Verwendung technisch aktuellen Verschlüsselungsverfahren

Trennungskontrolle

Es ist zu gewährleisten, ... zu unterschiedlichen Zwecken erho­be­ne Daten getrennt verarbeitet werden können.

 

Getroffene Maßnahmen:

Mandantenfähigkeit, Sandboxing, Logische Trennung von Kundendaten auf Daten­bank­ebene, Trennung von Produktiv- ... Testsystem, Verschlüsselung von Daten­banken

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Daten sollen so verarbeitet werden, ... ohne Hinzuziehung zusätzlicher In­formationen diese nicht mehr ... spezifischen betroffenen Person zugeordnet werden könnensofern diese zusätzlichen Informationen ge­sondert aufbewahrt werden ... entsprechende techni­schen ... organisatorischen Maßnahmen unterliegen.

 

Getroffene Maßnahmen:

Zugriff auf Serversysteme erfolgt über verschlüsselte Verbindungen, Daten werden auf Server- ... Clientsystemen auf verschlüsselten Datenträgern gespeichert. Einsatz entspre­chen­der Festplattenverschlüsselungssysteme

 

b.      Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Bei ... elektronischen Übertra­gung oder dem Transport sollen personenbezogene Daten nicht gelesen, kopiert, verändert oder entfernt werden ... der Empfän­ger ... Daten soll jederzeit bekannt sein.

Getroffene Maßnahmen:

Verwendung von dem Stand ... Technik entsprechenden Verschlüsse­lungsver­fah­ren, elektronische Signatur, Virtual Private Networks (VPN), Logische Trennung von Kundendaten, Protokollierung ... Useraktivitäten in ... Anwendung

Eingabekontrolle

Die Kontrolle ... Eingabe, Veränderung ... Entfernung bzw. Löschung von personen­be­zogenen Daten soll sichergestellt werden.

 

Getroffene Maßnahmen:

Dokumentation ... Datenverwaltung durch Protokollierung, Anlegen von individuellen User-Accounts, Erstellung von Berechti­gungs­konzepten, Protokollierung von Useraktivitäten

 

c.       Verfügbarkeit ... Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle:

Die verarbeiteten Daten sol­len gegen zufällige Zerstörung oder Verlust geschützt werden.

Maßnahmen ... Rechenzentrums:

Tägliche Datensicherung, Backup-Strategie (online/offline; on-site/off-site), unterbre­chungs­freie Stromversorgung (USV), Virenschutz, Firewall, Meldewege ... Not­fallpläne, Klimaanlage in Serverräumen, Feuer- ... Rauchmeldeanlagen, automati­sches Benachrichtigungssystem, regelmä­ßige Tests ... Datenwiederherstellung

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Die Wiederherstellung ... Daten, ihre Verfügbarkeit ... der Zugang ... der Zugriff soll nach einem physischen oder technischen Zwi­schenfall wieder rasch möglich sein.

Maßnahmen ... Rechenzentrums:

Backup-Konzept, redundante Datenspei­cherung, Cloud-Services, doppelte IT-Infrastruktur, Schatten-Rechenzentrum

 

d.      Überprüfung, Bewertung ... Evaluierung ... Wirksamkeit umgesetzter Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

 

Getroffene Maßnahmen:

Einsetzen eines Kernbestands an langjährig ... dauerhaft beschäftigtem Technikerpersonal mit DV-technischer Erfahrung ... Expertise

·         regelmäßige Schulung ... Beschäftigten

·         Implementierung eines Datenschutz­manage­ments mit bspw. Leitlinie zu Datenschutz ... Daten­si­cherheit ... Richtlinien, mit denen ... Um­set­zung ... Ziele ... Leitlinie gewährleistet wird

·         Einrichtung eines Datenschutz- ... Informationssicherheits-Team (DST) eingerichtet, ... Maßnahmen im Bereich von Datenschutz ... Datensicherheit plant, umsetzt, evaluiert ... Anpassungen vornimmt.

·         ... Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert ... angepasst.

·         Es ist insbesondere sichergestellt, ... Datenschutzvorfälle von allen Mitarbeitern erkannt ... unverzüglich dem DST gemeldet werden. Dieses wird ... Vorfall sofort untersuchen. Soweit Daten betroffen sind, ... im Auftrag von Kunden verar­beitet werden, wird Sorge dafür getragen, ... diese unverzüglich über Art ... Umfang ... Vorfalls informiert werden.

·         Bei ... Verarbeitung von Daten für eigene Zwecke wird im Falle ... Vorliegens ... Voraussetzungen ... Art. 33 DSGVO ... Meldung an ... Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.

Auftragskontrolle

Es ist zu gewährleisten, ... per­so­nenbezogene Daten, ... im Auftrag verarbeitet werden, nur entspre­chend ... Weisungen ... Auf­trag­gebers verarbeitet werden können

Getroffene Maßnahmen:

Entwicklung eines Sicherheitskonzepts, Daten­schutz­freundliche Voreinstellungen, Verpflich­tung ... Mitarbeiter auf ... Daten­geheimnis, Duldung ... Unterstützung von Prüfungen durch ... Kunden (Auftrag­geber), Dokumen­tation ... Auskunft über ... vorhandene IT-Infrastruktur, Entgegen­nehmen ausschließlich schriftlicher Weisungen von befugten Mitarbeitern ... Auftraggebers

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

 

Getroffene Maßnahmen:

Bsp: Berechtigungen auf Daten oder Applikationen können flexibel ... granular gesetzt werden.

 

 

 

 

Das vollständige Dokument können Sie nach dem Kauf sehen, als Word-Dokument (.docx) speichern und bearbeiten.

49,00 EUR Zugang zu allen Dokumenten kaufen

zzgl. MwSt., garantiert keine Folgekosten, zeitlich unbeschränkt

Sie haben bereits einen Zugang? Bitte hier einloggen.



Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!