Auftragsverarbeitungsvertrag nach DSGVO

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO

 

Präambel

Die Gesellschaft zur Erstellung _ Arzt-abrechnungen (nachfolgend auch GAB) greift im Rahmen _ Erbringung ihrer Beratungs- _ Abrechnungsdienstleistungen auf _ Serverarchitektur _ Serverabrechnungszentrums mit Sitz in SaasGrund in _ Schweiz (nachfolgend auch „Servergesellschaft Schweiz“) zurück. Hierbei werden durch _ Servergesellschaft Schweiz auch personenbezogene Daten, u.a. _ Kunden _ GAB, verarbeitet. Bei diesem Nutzungsverhältnis handelt es sich um _ Auftragsverarbeitungsverhältnis gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO), wobei _ Servergesellschaft Schweiz Auftragsverarbeiter _ GAB Verantwortlicher _ Daten im Sinne _ DSGVO ist. Im Hinblick auf _ mit _ Kunden _ GAB geschlossene Auftragsverarbeitungsvereinbarung gilt diese Vereinbarung als Unterauftragsverarbeitungsvereinbarung.

Um _ Rechte _ Pflichten aus diesem Auftragsverarbeitungsverhältnis gemäß _ gesetzlichen Verpflichtung _ konkretisieren, schließen _ Vertragsparteien _ nachfolgende Vereinbarung, Einzelheiten _ den verarbeiteten Daten sind in _ Anlage zur Leistungsbeschreibung festgelegt.

 

§ 1    Anwendungsbereich

(1)       Gegenstand dieser Vereinbarung ist _ Regelung _ Rechte _ Pflichten _ Verantwortlichen (GAB) _ des Auftragsverarbeiters (Servergesellschaft Schweiz), sofern im Rahmen _ Leistungserbringung _ Verarbeitung personenbezogener Daten durch Servergesellschaft Schweiz für GAB im Sinne _ anwendbaren Datenschutzrechts erfolgt.

(2)       Es gelten _ Begriffsbestimmungen _ Art. 4 DSGVO.

 

§ 2    Konkretisierung _ Auftragsinhalts

(1)       _ Gegenstand _ die Dauer _ Auftragsverarbeitung sowie Umfang, Art, Zweck _ Kategorien _ betroffenen Personen _ vorgesehenen Erhebung, Verarbeitung oder Speicherung _ personenbezogenen Daten ergeben sich aus _ Leistungs­vereinbarung (Anlage _ dieser Vereinbarung). Diese Auftragsverarbeitungs­ver­einbarung gilt ergänzend _ dem zwischen Servergesellschaft Schweiz _ dem GAB geschlossenen Dienstleistungsvertrag (nachfolgend „Vertrag“).

(2)       Im Rahmen dieser Auftragsverarbeitung werden auch Gesundheitsdaten, als per­sonenbezogene Daten _ besonderen Kategorie gem. Art. 9 DSGVO verarbeitet. _ Verarbeitung ist ausnahmsweise gem. Art. 9 Abs. 2 lit. h DSGVO gestattet. _ Auftragsverarbeiter unterliegt _ vertraglich vereinbarten Geheimhaltungspflicht gem. Art. 9 Abs. 3 DSGVO. Soweit nationale Regelungen vorhanden sind, _ die Vergabe _ Auftragsverarbeitung außerhalb _ Praxis _ Kunden _ GAB regeln, ist für deren Befolgung ausschließlich _ Kunde _ GAB verantwortlich (vgl. Art. 9 Abs. 4 DSGVO).

(3)       _ Erbringung _ vertraglich vereinbarten Datenverarbeitung findet ausschließlich in _ Bundesrepublik Deutschland _ in _ Schweiz statt. _ Schweiz wurde _ der Europäischen Kommission als Drittstaat angesehen, _ ein angemessenes Datenschutzniveau gewährleistet. Insofern bestehen seitens _ Europäischen Kommission keine Vorbehalte bei _ Datenübermittlung in _ Schweiz _ die Übermittlung in _ Schweiz ist auf Basis _ Art. 44 DSGVO möglich. _ Übermittlung in weitere Drittländer findet nicht statt _ ist nicht beabsichtigt.

 

§ 3    Weisungen, Rechte _ Pflichten _ GAB

(1)       Für _ Beurteilung _ Zulässigkeit _ Datenverarbeitung sowie für _ Wahrung _ Rechte _ GAB ist allein GAB verantwortlich. Er ist _ verantwortliche Stelle i.S. _ Art. 4 Nr. 7 DSGVO.

(2)       GAB ist verpflichtet, nur solche Daten an Servergesellschaft Schweiz _ übermitteln oder erfassen _ lassen, _ gemäß Art. 6 Abs. 1 DSGVO rechtmäßig erhoben _ zweck­gemäß weiterverarbeitet werden. GAB ist ferner verpflichtet, _ Rechte _ be­troffenen Personen _ wahren, notwendige Einwilligungen in _ Datenverarbeitung einzuholen _ insbesondere gesetzlichen Informationspflichten hierüber nachzu­kommen sowie _ Ausübung _ Widerspruchsrechts _ betroffenen Personen _ ermöglichen. GAB ist insoweit als verantwortliche Stelle für _ Wahrung _ Betroffenenrechte verantwortlich. Betroffenenrechte sind gegenüber GAB wahrzu­nehmen. Für _ Fall, _ eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder _ sonstigen, für GAB geltenden gesetzlichen Meldepflicht besteht, ist GAB für deren Einhaltung verantwortlich. Servergesellschaft Schweiz wird GAB unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber Servergesellschaft Schweiz geltend machen _ dies unmittelbar GAB betrifft.

(3)       Servergesellschaft Schweiz wird personenbezogene Daten nur auf dokumentierte Weisung durch GAB, auch in Bezug auf _ Übermittlung personenbezogener Daten an _ Drittland oder _ internationale Organisation, verarbeiten, sofern Servergesellschaft Schweiz nicht durch _ Recht _ Union oder _ Schweiz, dem es unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt Servergesellschaft Schweiz GAB diese rechtlichen Anforderungen vor _ Verarbeitung mit, sofern _ betreffende Recht _ solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(4)       Als Weisungen im Übrigen sind _ Vertrag zwischen _ Parteien sowie diese Auftragsverarbeitungsvereinbarung _ verstehen. Alle zusätzlichen Weisungen werden schriftlich oder per E‑Mail erteilt. Servergesellschaft Schweiz wird dann unverzüglich _ Umsetzbarkeit _ Weisungen unter Berücksichtigung _ Interessen an _ Funktionsfähigkeit seiner übrigen Leistungen prüfen _ ob es _ Auffassung ist, _ eine Weisung gegen _ geltenden rechtlichen Bestimmungen verstößt.

 

§ 4    Rechte _ Pflichten _ Servergesellschaft Schweiz

(1)       _ Servergesellschaft Schweiz verarbeitet _ personenbezogenen Daten ausschließlich im Rahmen _ mit GAB getroffenen Kooperation _ nach Weisung durch GAB. Servergesellschaft Schweiz verwendet _ personenbezogenen Daten für keine anderen Zwecke _ wird _ ihm überlassenen personenbezogenen Daten nicht an unberechtigte Dritte weitergeben. Kopien _ Duplikate werden ohne vorherige Einwilligung durch GAB oder seiner Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung _ ordnungsgemäßen Datenverarbeitung.

(2)       _ Servergesellschaft Schweiz wird GAB darüber informieren, wenn _ von GAB erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Servergesellschaft Schweiz ist berechtigt, _ Durchführung _ betreffenden Weisung solange auszusetzen, bis diese durch GAB bestätigt oder geändert wird.

(3)       _ Servergesellschaft Schweiz hat gem. Art. 38 DSGVO _ Datenschutzbeauftragten bestellt, dessen Kontaktdaten sind in _ Anlage hinterlegt.

(4)       _ Servergesellschaft Schweiz hat zusätzlich _ der Einhaltung _ Regelungen dieser Vereinbarung gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO einzuhalten; insofern gewährleistet es insbesondere:

a)    _ unverzügliche Information an GAB über Kontrollhandlungen _ Maßnahmen _ Aufsichtsbehörde, sofern diese Auskünfte _ vertragliche Datenverarbeitung betreffen _ soweit GAB dem Auskunftsbegehren nicht selbst nachkommen kann. Dies gilt auch, soweit _ zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf _ Verarbeitung personenbezogener Daten bei _ Auftragsverarbeitung bei Servergesellschaft Schweiz ermittelt. Soweit sich _ Betroffener zwecks Geltend­machung eines Betroffenenrechts unmittelbar an Servergesellschaft Schweiz wendet, leitet es _ Anfragen _ Betroffenen zeitnah an GAB weiter.

b)    Soweit GAB seinerseits _ Kontrolle _ Aufsichtsbehörde, einem Ordnungs­widrigkeits- oder Strafverfahren, dem Haftungsanspruch _ betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit _ vorliegenden Auftragsverarbeitung ausge­setzt ist, wird Servergesellschaft Schweiz GAB bei dessen Pflicht zur Beantwortung _ Anträgen auf Wahrnehmung _ Betroffenenrechte nach Möglichkeit mit geeigneten technischen _ organisa­torischen Maßnahmen unterstützen, sofern diese Auskünfte _ vertragliche Datenverarbeitung betreffen _ soweit GAB dem Auskunftsbegehren nicht selbst nachkommen kann.

c)    _ Servergesellschaft Schweiz kontrolliert regelmäßig _ internen Prozesse sowie _ technischen _ organisatorischen Maßnahmen, um _ gewährleisten, _ die Verarbeitung in seinem Verantwortungsbereich im Einklang mit _ Anforderungen _ geltenden Datenschutzrechts erfolgt _ der Schutz _ Rechte _ betroffenen Personen gewährleistet wird.

(5)       _ Servergesellschaft Schweiz führt nach Maßgabe _ einschlägigen geltenden rechtlichen Bestimmun­gen _ Verzeichnis _ allen Kategorien _ im Auftrag _ GAB durchgeführten Tätigkeiten _ Verarbeitung personenbezogener Daten.  Die Servergesellschaft Schweiz unterstützt GAB auf Anfrage _ stellt GAB _ für _ Führung seines Verzeichnisses _ Verarbeitungstätigkeiten notwendigen Angaben zur Verfügung, soweit diese Angaben im vertraglich umschriebenen Verantwortungs- _ Leistungsbereich _ Servergesellschaft Schweiz als Auftragsverarbeiter liegen _ GAB keinen anderen Zugang _ diesen Informationen hat.

(6)       Nicht mehr benötigte personenbezogene Daten, mit Ausnahme _ aufgrund gesetzlicher Verpflichtung _ Servergesellschaft Schweiz weiter vorzuhaltenden personenbezogenen Daten, werden, soweit nicht im Vertrag bereits geregelt _ soweit nicht anders vereinbart, an GAB zurückgegeben oder auf Kosten _ GAB vernichtet bzw. gelöscht. GAB kann während _ Bestehens _ Vertragsverhältnisses oder mit Vertragsende schriftlich _ personenbezogenen Daten, _ nicht gemäß Satz 1 vernichtet bzw. gelöscht sind, auf seine Kosten _ in einem vorher abgestimmten Format heraus verlangen _ Servergesellschaft Schweiz _ Zeitpunkt (längstens bis Vertragsende) für _ Herausgabe nennen. _ Herausgabeverlangen muss Servergesellschaft Schweiz _ Monat vor dem _ GAB benannten Zeitpunkt bzw. _ Monat vor Vertragsende zugegangen sein.

(7)       _ Servergesellschaft Schweiz unterstützt GAB bei _ Einhaltung _ in _ Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen _ vorherige Konsultationen.

(8)       Unterstützungsleistungen, _ nicht in _ Leistungsbeschreibung enthalten sind _ die nicht auf _ Fehlverhalten _ Servergesellschaft Schweiz zurückzuführen sind, sind _ GAB gesondert _ vergüten.

 

§ 5    Technisch-organisatorische Maßnahmen _ deren Kontrolle

(1)       GAB _ Servergesellschaft Schweiz werden geeignete technische _ organisatorische Sicherheitsmaßnahmen gem. Art. 28 Abs. 3 c), 32 DSGVO treffen, um _ dem Risiko angemessenes Schutzniveau hinsichtlich _ Vertraulichkeit, _ Inte­grität, _ Verfügbarkeit sowie _ Belastbarkeit _ Systeme _ gewährleisten. Dabei sind _ Stand _ Technik, _ Implementierungskosten _ die Art, _ Umfang _ die Zwecke _ Verarbeitung sowie _ unterschiedliche Eintrittswahrscheinlichkeit _ Schwere _ Risikos für _ Rechte _ Freiheiten natürlicher Personen im Sinne _ Art. 32 Abs. 1 DSGVO _ berücksichtigen. _ derzeit als geeignet angesehenen Maßnahmen _ Servergesellschaft Schweiz sind in _ Anlage beschrieben. GAB hat _ technischen _ organisatorischen Maßnahmen vor dem Hintergrund seiner konkreten Datenverarbeitung in Hinblick auf _ angemessenes Schutzniveau bewertet _ als angemessen akzeptiert.

(2)       _ technischen _ organisatorischen Maßnahmen können im Laufe dieser Vereinbarung an _ technische _ organisatorische Weiterentwicklung angepasst werden. Dabei darf _ Schutzniveau _ vereinbarte Schutzniveau nicht unterschreiten. _ Sicherheit _ Verarbeitung _ die Angemessenheit _ Schutzniveaus wird GAB regelmäßig prüfen _ Servergesellschaft Schweiz unverzüglich mitteilen, sollten _ technischen _ organisatorischen Maßnahmen seinen Anforderungen nicht mehr genügen. GAB wird Servergesellschaft Schweiz hierzu alle erforderlichen Informationen zur Verfügung stellen. Servergesellschaft Schweiz kontrolliert seinerseits regelmäßig _ internen Prozesse sowie _ technischen _ organisatorischen Maßnahmen, um _ gewährleisten, _ die Verarbeitung in seinem Verantwortungsbereich im Einklang mit _ Anforderungen _ DSGVO erfolgt _ der Schutz _ Rechte _ betroffenen Person gewährleistet wird. Zusätzliche technische _ organisatorische Maßnahmen, _ über _ vertraglich vereinbarten Maßnah­men hinausgehen, sind - soweit nicht ausdrücklich anders vereinbart - bei Mehraufwand für Servergesellschaft Schweiz gesondert _ vergüten. _ Vertragsparteien werden sich in diesem Fall über _ angemessene Vergütung gesondert verständigen. Bei Maßnahmen, deren Umsetzung für Servergesellschaft Schweiz nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann Servergesellschaft Schweiz _ Vertrag außerordentlich kündigen.

(3)       GAB kann auf eigene Kosten _ Einhaltung _ Vorschriften über _ Daten­schutz _ der in dieser Vereinbarung niedergelegten Pflichten durch _ Einholung _ Auskünften _ Abfrage _ in dieser Vereinbarung angeführten Nachweise bei Servergesellschaft Schweiz in Hinblick auf _ GAB betreffende Verarbeitung kontrollieren. GAB wird vorrangig prüfen, ob _ in Satz 1 dieses Absatzes eingeräumte Möglichkeit _ Überprüfung ausreicht. GAB kann darüber hinaus in besonders _ begründenden Ausnahmefällen auf eigene Kosten _ Einhaltung _ Vorschriften über _ Datenschutz vor Ort kontrollieren. GAB wird bei Durchführung _ Kontrollen auf _ Geschäftsbetrieb _ Betriebsablauf _ Servergesellschaft Schweiz Rücksicht nehmen. GAB verpflichtet sich, _ durch _ Kontrolle verursachten _ über _ vereinbarte Pauschale / _ vereinbarten Betrag hinausgehenden tatsächlich angefallenen Kosten _ tragen. _ Höhe _ tatsächlich angefallenen höheren Kosten hat _ Servergesellschaft Schweiz nachzuweisen. Für _ Berechnung wird _ im Hauptvertrag vereinbarte Stundensatz zugrundegelegt.

 

§ 6    Vertraulichkeit

(1)       _ Servergesellschaft Schweiz wird im Zusammenhang mit _ hier vereinbarten Verarbeitung personen­bezogener Daten _ Vertraulichkeit wahren gem. Art. 28 Abs. 3 S. 2 b), 29, 32 Abs. 4 DSGVO. Servergesellschaft Schweiz setzt bei _ Durchführung _ Arbeiten nur Beschäftigte ein, _ auf _ Vertraulichkeit verpflichtet _ zuvor mit _ für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht worden sind. Servergesellschaft Schweiz _ jede ihm unterstellte Person, _ Zugang _ personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend _ Weisung _ GAB verarbeiten einschließlich _ in diesem Vertrag eingeräumten Befugnisse, es sei denn, sie sind nach dem Recht _ Union oder _ Mitgliedstaaten zur Verarbeitung verpflichtet.

(2)       Vertragliche Verpflichtungen zur Wahrung _ Vertraulichkeit _ zum Schutz _ nicht personenbezogenen Daten bleiben unberührt. Soweit vertraglich hierzu keine Vereinbarung getroffen wurden, verpflichten sich beide Parteien, alle nicht allgemein offenkundigen Informationen aus dem Bereich _ anderen Partei, _ ihnen durch _ Geschäftsbeziehung bekannt werden, geheim _ halten _ nicht für eigene Zwecke außerhalb dieses Vertrages oder Zwecke Dritter _ verwenden.

 

§ 7    Unterauftragsverarbeiter

(1)       _ Servergesellschaft Schweiz darf zur Erfüllung _ in diesem Vertrag beschriebenen Aufgaben weitere Auftragsverarbeiter (Unterauftragsverarbeiter _ Sub-Unter­auftragsverarbeiter) einsetzen. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Aufträge _ verstehen, _ Servergesellschaft Schweiz bei Dritten als Nebenleistung zur Unterstützung bei _ Auftragsdurchführung erteilt _ die keine Auftragsverarbeitungsleistung personenbezogener Daten für GAB beinhalten.

(2)       Für _ in _ Anlage konkret aufgeführten Unterauftragsverarbeiter sowie Sub-Unter­auftragsverarbeiter _ die dort genannten Aufgabenbereiche gilt _ Genehmigung _ GAB als erteilt.

(3)       _ Parteien stimmen _ Einsatz weiterer Unterauftragsverarbeiter miteinander ab, dabei achtet _ Servergesellschaft Schweiz bei _ Auswahl etwaiger Unterauftrags­verarbeiter _ Sub-Unterauftragsverarbeiter, _ diese hinreichende Garantien dafür bieten, _ die vereinbarten geeigneten technischen _ organisatorischen Maßnahmen so durchgeführt werden, _ die Verarbeitung entsprechend _ Anforderungen _ einschlägigen geltenden rechtlichen Bestimmungen erfolgt.

 

§ 8    Vertragsdauer

Diese Vereinbarung gilt für _ Dauer _ tatsächlichen Leistungserbringung durch Servergesellschaft Schweiz.

 

§ 9    Schlussbestimmungen

(1)       Sämtliche Änderungen dieser Vereinbarung sowie Nebenabreden bedürfen _ Textform (einschließlich _ elektronischen Form). Dies gilt auch für _ Abbedingen dieser Schriftformklausel selbst.

(2)       _ zwischen _ Parteien geschlossene Servicevertrag nebst Anlagen sowie _ Anlagen dieses Vertrags zur Leistungsbeschreibung _ „Technisch-organisa­torische Maßnahmen“ sind Bestandteile dieser Vereinbarung.

(3)       Für diese Vereinbarung gilt deutsches Recht. Ausschließlicher Gerichtsstand für sämtliche Rechtsstreitigkeiten _ Parteien aus oder in Zusammenhang mit diesem Vertrag ist _ Sitz _ ____.

GABhausen, _ ____________

 

____________________________________

GAB

SaasGrund, _ ____________

 

 

 

____________________________________

Servergesellschaft Schweiz

Anlage _ Auftragsverarbeitungsvereinbarung Servergesellschaft Schweiz _ GAB

 

Leistungsbeschreibung / Technisch organisatorische Maßnahmen

 

§ 1    Umfang _ Datenverarbeitung

(Art _ Verarbeitung, Art _ Daten, Zweck _ Erhebung _ Nutzung _ Daten, Kreis _ Betroffenen)

 

a.    Art _ personenbezogenen Daten:

□    Geschlecht

□    Vor- _ Nachname

□    Titel

□    Akademischer Grad

□    Privatanschrift

□    Kontaktdaten (z.B. Telefon, E-Mail-Adresse)

□    Versichertenstatus

□    Vertragsabrechnungs- _ Zahlungsdaten

□    Freiwille Angaben _ Betroffenen

□    Daten, _ der Verantwortliche in seinem Ermessen abspeichert

□    ___________________________

□    ___________________________

□    ___________________________

 

b.    Kategorien betroffener Personen:

□    Patienten

□    Beschäftigte

□    Ansprechpartner

□    ___________________

□    ___________________

 

c.     Nutzung _ erhobenen Daten:

□    Erfassen, Organisation, Speicherung, Auslesen _ Abfragen _ Daten

□    Erstellen _ Abrechnungen für kieferorthopädische Behandlungsleistungen

□    ___________

□    ___________

 

d.    Besondere Kategorie _ personenbezogenen Daten nach Art. 9 DSGVO;

□    Gesundheitsdaten _ Patienten (insbesondere zur Zahngesundheit)

□    ___________________________

□    ___________________________

□    ___________________________

Die Verarbeitung ist gem. Art. 9 Abs. 2 lit. h) für Zwecke _ Gesundheitsvorsorge für Behandlungen im Gesundheitsbereich erforderlich. _ Anforderungen _ Art. 9 Abs. 3 DSGVO, insbesondere zur Geheimhaltungspflicht, werden gewahrt.

 

§ 2    Ansprechpartner/ Datenschutzbeauftragter bei Servergesellschaft Schweiz

Ansprechpartner:

Name, Vorname, Kontaktdaten

 

Datenschutzbeauftragter:

Name, Vorname, Kontaktdaten

 

□    Es wurde kein Datenschutzbeauftragter bestellt.

 

§ 3    Ansprechpartner bei GAB

Ansprechpartner:

Name, Vorname, Kontaktdaten

 

Datenschutzbeauftragter:

Name, Vorname, Kontaktdaten

 

□    Es wurde kein Datenschutzbeauftragter bestellt.

 

§ 4    Verarbeitungsort

□    Geschäftssitz _ Rechenzentrum _ Servergesellschaft Schweiz, -----

□    ___________________________

□    ___________________________

 

§ 5    Genehmigte Unterauftragsverarbeiter

§ 6    Genehmigte Sub-Unterauftragsverarbeiter

xx

§ 7    Technische _ organisatorische Sicherheitsmaßnahmen

Gemäß Art. 28 Abs. 3 c), 32 DSGVO sind _ Vertragspartner verpflichtet, _ technischen _ organisatorischen Sicherheitsmaßnahmen festzulegen. Servergesellschaft Schweiz _ GAB gestalten ihre innerbetriebliche Organisation so, _ sie _ besonderen Anforderungen _ Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen _ treffen, _ je nach _ Art _ zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

 

a.      Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

[In _ rechten Tabellenspalte sind beispielhaft mögliche Maßnahmen aufgeführt, diese sollten Sie an _ von Ihnen getroffenen Sicherheitsmaßnahmen anpassen.]

Zutrittskontrolle

Unbefugten ist _ Zutritt _ Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder ge­nutzt werden, _ verwehren.

Die _ Rechenzentrum getroffenen Maßnahmen:

bspw. Zutrittskontrollsystem, Ausweisleser, Mag­netkarte, Chipkarte, Schlüssel, Schlüsselvergabe, Alarmanlage, Werkschutz/ Pförtner

Zugangskontrolle

Es ist _ verhindern, _ Daten­verarbeitungssysteme _ Unbe­fugten genutzt werden können.

 

Getroffene Maßnahmen:

Keine unbefugte Systembenutzung, z.B. (sichere) Kennwörter, automatische Sperrmechanismen

Technische (Kennwortschutz) _ organisa­torische (Benutzer­stammsatz) Maßnahmen hinsichtlich _ Benut­zer­identi­fikation _ Authentifizierung, Verwendung _ tech­nisch aktuellen Verschlüs­selungsverfahren

Zugriffskontrolle

Nur Berechtigte dürfen _ ihnen freigegebenen personen­bezogenen Daten verarbeiten _ nutzen, währenddessen Unbefugte diese Daten weder lesen noch verändern können.

 

Getroffene Maßnahmen:

Bedarfsorientierte Ausgestaltung _ Be­rechti­gungskonzepts _ der Zu­griffs­rechte sowie deren Überwachung _ Pro­to­kol­lierung, Verwendung technisch aktuellen Verschlüsselungsverfahren

Trennungskontrolle

Es ist _ gewährleisten, _ zu unterschiedlichen Zwecken erho­be­ne Daten getrennt verarbeitet werden können.

 

Getroffene Maßnahmen:

Mandantenfähigkeit, Sandboxing, Logische Trennung _ Kundendaten auf Daten­bank­ebene, Trennung _ Produktiv- _ Testsystem, Verschlüsselung _ Daten­banken

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Daten sollen so verarbeitet werden, _ ohne Hinzuziehung zusätzlicher In­formationen diese nicht mehr _ spezifischen betroffenen Person zugeordnet werden könnensofern diese zusätzlichen Informationen ge­sondert aufbewahrt werden _ entsprechende techni­schen _ organisatorischen Maßnahmen unterliegen.

 

Getroffene Maßnahmen:

Zugriff auf Serversysteme erfolgt über verschlüsselte Verbindungen, Daten werden auf Server- _ Clientsystemen auf verschlüsselten Datenträgern gespeichert. Einsatz entspre­chen­der Festplattenverschlüsselungssysteme

 

b.      Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Bei _ elektronischen Übertra­gung oder dem Transport sollen personenbezogene Daten nicht gelesen, kopiert, verändert oder entfernt werden _ der Empfän­ger _ Daten soll jederzeit bekannt sein.

Getroffene Maßnahmen:

Verwendung _ dem Stand _ Technik entsprechenden Verschlüsse­lungsver­fah­ren, elektronische Signatur, Virtual Private Networks (VPN), Logische Trennung _ Kundendaten, Protokollierung _ Useraktivitäten in _ Anwendung

Eingabekontrolle

Die Kontrolle _ Eingabe, Veränderung _ Entfernung bzw. Löschung _ personen­be­zogenen Daten soll sichergestellt werden.

 

Getroffene Maßnahmen:

Dokumentation _ Datenverwaltung durch Protokollierung, Anlegen _ individuellen User-Accounts, Erstellung _ Berechti­gungs­konzepten, Protokollierung _ Useraktivitäten

 

c.       Verfügbarkeit _ Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle:

Die verarbeiteten Daten sol­len gegen zufällige Zerstörung oder Verlust geschützt werden.

Maßnahmen _ Rechenzentrums:

Tägliche Datensicherung, Backup-Strategie (online/offline; on-site/off-site), unterbre­chungs­freie Stromversorgung (USV), Virenschutz, Firewall, Meldewege _ Not­fallpläne, Klimaanlage in Serverräumen, Feuer- _ Rauchmeldeanlagen, automati­sches Benachrichtigungssystem, regelmä­ßige Tests _ Datenwiederherstellung

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Die Wiederherstellung _ Daten, ihre Verfügbarkeit _ der Zugang _ der Zugriff soll nach einem physischen oder technischen Zwi­schenfall wieder rasch möglich sein.

Maßnahmen _ Rechenzentrums:

Backup-Konzept, redundante Datenspei­cherung, Cloud-Services, doppelte IT-Infrastruktur, Schatten-Rechenzentrum

 

d.      Überprüfung, Bewertung _ Evaluierung _ Wirksamkeit umgesetzter Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

 

Getroffene Maßnahmen:

Einsetzen eines Kernbestands an langjährig _ dauerhaft beschäftigtem Technikerpersonal mit DV-technischer Erfahrung _ Expertise

·         regelmäßige Schulung _ Beschäftigten

·         Implementierung eines Datenschutz­manage­ments mit bspw. Leitlinie _ Datenschutz _ Daten­si­cherheit _ Richtlinien, mit denen _ Um­set­zung _ Ziele _ Leitlinie gewährleistet wird

·         Einrichtung eines Datenschutz- _ Informationssicherheits-Team (DST) eingerichtet, _ Maßnahmen im Bereich _ Datenschutz _ Datensicherheit plant, umsetzt, evaluiert _ Anpassungen vornimmt.

·         _ Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert _ angepasst.

·         Es ist insbesondere sichergestellt, _ Datenschutzvorfälle _ allen Mitarbeitern erkannt _ unverzüglich dem DST gemeldet werden. Dieses wird _ Vorfall sofort untersuchen. Soweit Daten betroffen sind, _ im Auftrag _ Kunden verar­beitet werden, wird Sorge dafür getragen, _ diese unverzüglich über Art _ Umfang _ Vorfalls informiert werden.

·         Bei _ Verarbeitung _ Daten für eigene Zwecke wird im Falle _ Vorliegens _ Voraussetzungen _ Art. 33 DSGVO _ Meldung an _ Aufsichtsbehörde binnen 72 Stunden nach Kenntnis _ dem Vorfall erfolgen.

Auftragskontrolle

Es ist _ gewährleisten, _ per­so­nenbezogene Daten, _ im Auftrag verarbeitet werden, nur entspre­chend _ Weisungen _ Auf­trag­gebers verarbeitet werden können

Getroffene Maßnahmen:

Entwicklung eines Sicherheitskonzepts, Daten­schutz­freundliche Voreinstellungen, Verpflich­tung _ Mitarbeiter auf _ Daten­geheimnis, Duldung _ Unterstützung _ Prüfungen durch _ Kunden (Auftrag­geber), Dokumen­tation _ Auskunft über _ vorhandene IT-Infrastruktur, Entgegen­nehmen ausschließlich schriftlicher Weisungen _ befugten Mitarbeitern _ Auftraggebers

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

 

Getroffene Maßnahmen:

Bsp: Berechtigungen auf Daten oder Applikationen können flexibel _ granular gesetzt werden.

 

 

 

 

So sehen Sie das gesamte Dokument

Das vollständige Dokument können Sie nach dem Kauf sehen, als Word - Dokument (.docx) speichern und bearbeiten.

99 EUR einmalig, zeitlich unbeschränkt, kein Abo, weitere InfosZugang zu allen Dokumenten kaufen

Preis zzgl. MwSt. Angebot richtet sich nur an gewerbliche Kunden.

 

Sie haben bereits einen Zugang? Bitte hier einloggen.

Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns!