Mustervertrag zur Fernwartung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern

 

(Basierend auf ... Empfehlung ... Hessischen Datenschutzbeauftragten)

... Fernwartung ist nach § 4 HDSG ... Spezialfall ... Datenverarbeitung ... Auftrag. ... Mustervertrag ... die Fernwartung ist ... Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf ... Auftrag zur Fernwartung nur vergeben werden, wenn weder gesetzliche Regelungen über besondere Berufs- ... Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. Soweit spezialgesetzliche Regelungen ... die Daten Anwendung finden, ist zunächst ... prüfen, ob ... Fernwartung überhaupt zulässig ist. Ggf. sind ... spezialgesetzlichen Regelungen bei ... Vertragsgestaltung (z.B. Personal-, Beihilfe- ... Sozialdaten) ... berücksichtigen. Soweit ... BVB (HessStAnz 1994, S. 2050 ff) anzuwenden sind, müssen ... dort vorgesehenen Vertragstypen, insbesondere BVB-Wartung ... BVB-Pflege, datenschutzrechtlich ergänzt werden. ... jeweiligen Vertragsbestimmungen sind ... Mustervertrag ... entnehmen. Gem. § 4 Abs. 3 Satz 2 hat ... Auftraggeber ... Hessischen Datenschutzbeauftragten vorab über ... Beauftragung ... unterrichten.



Vereinbarung

zwischen dem/der

...................................................................................................................................

- nachstehend Auftragnehmer genannt -

... dem/der

....................................................................................................................................

- nachstehend Auftraggeber genannt -





§ 1 Gegenstand ... Vereinbarung

Diese Vereinbarung umfasst folgende, ... Auftragnehmer durchzuführende Fernwartungsarbeiten:

Hardware- Diagnose: ... folgende Hardwareprodukt(e)
Software-Wartung: ... folgend(e) Softwareprodukt(e)



Hinweis:

Hier sind Art ... Umfang ... durchzuführenden Fernwartungsarbeiten, ... davon betroffenen EDV-Systeme ... Daten genau ... beschreiben. Beispielsweise könnte ... Hardware-Diagnose zur Vorbereitung ... Wartung erfolgen ... die Wartung ... Anwendungssoftware.

Beispiel:

2. Software-Wartung:

Behebung ... Fehlerzuständen ... der Anwendung xyz ... der Abteilung N.

Damit verbunden sind folgende Zugriffe:

Schreibender Zugriff auf ... Konfigurationsdateien ........... ... Anwendung xyz.

Lesender Zugriff auf ... anderen Dateien ... Programmverzeichnis ......... ... Anwendung xyz

Lesender Zugriff auf ... Anwendungsdaten ... den Verzeichnissen ......

... Zugriff auf ... Datei ..... wird soweit erforderlich nach Rücksprache ermöglicht .



§ 2 Verfahrensregelungen

(1) Änderungen ... Verarbeitungsgegenstandes ... Verfahrensänderungen sind schriftlich ... vereinbaren.

(2) Mitteilungen ... Vertragsparteien über E-Mail ... Internet werden nur akzeptiert, wenn ... Schriftstück verschlüsselt übertragen wurde ... mit ... digitalen Signatur versehen worden ist.

§ 3 Pflichten ... Auftraggebers

(1) ... die Beurteilung ... Zulässigkeit ... Fernwartung sowie ... die Wahrung ... Rechte ... Betroffenen bleibt ... Auftraggeber verantwortlich.

(2) ... Auftraggeber hat ... Recht, Weisungen über Art, Umfang ... Ablauf ... Fernwartung ... erteilen. Mündliche Weisungen sind unverzüglich schriftlich ... bestätigen.

Weisungsberechtigte Personen ... Auftraggebers sind:

....................................................................................................................................

Weisungsempfänger beim Auftragnehmer sind:

....................................................................................................................................

Bei einem Wechsel ... einer längerfristigen Verhinderung ... Ansprechpartners wird ... Vertragspartner unverzüglich schriftlich ... Nachfolger bzw. ... Vertreter mitgeteilt.

(3) ... System ... Auftraggebers werden alle Zugriffe, ... für Wartungsarbeiten erfolgen, protokolliert. ... Protokollierung muss ... erfolgen, ... sie ... einer Revision nachvollzogen werden kann. ... Protokollierung darf ... Auftragnehmer nicht abgeschaltet werden.

(4) ... Auftraggeber informiert ... Auftragnehmer unverzüglich, wenn er Fehler ... Unregelmäÿigkeiten feststellt, ... bei ... Fernwartung aufgetreten sind ... die ... Zugriff durch Unbefugte möglich machen.

(5) ... Auftraggeber ist verpflichtet, alle ... Rahmen ... Vertragsverhältnisses erlangten Kenntnisse ... Geschäftsgeheimnissen ... Datensicherheitsmaßnahmen ... Auftragnehmers geheim ... halten ... in keinem Fall Dritten zur Kenntnis ... bringen.



§ 4 Pflichten ... Auftragnehmers

(1) ... Auftragnehmer führt ... Fernwartung ausschlieÿlich ... Rahmen ... getroffenen Vereinbarungen ... nach Weisungen ... Auftraggebers durch. Er verwendet Daten, ... ihm ... Rahmen ... Erfüllung dieses Vertrags bekannt geworden sind, nur ... Zwecke ... Fernwartung. Kopien ... Duplikate werden ohne Wissen ... Auftraggebers nicht erstellt. Soweit möglich, erfolgt ... Fernwartung am Bildschirm ohne gleichzeitige Speicherung.

(2) ... Auftragnehmer ist verpflichtet, alle ... Rahmen ... Vertragsverhältnisses erlangten Kenntnisse ... Geschäftsgeheimnissen ... Datensicherheitsmaÿnahmen ... Auftraggebers geheim ... halten ... in keinem Fall Dritten zur Kenntnis ... bringen.

(3) ... Auftragnehmer sichert ... vertragsmäÿige Abwicklung aller vereinbarten Maÿnahmen zu. Er sichert zu, ... die verarbeiteten Daten ... sonstigen Datenbeständen getrennt werden.

(4) Notwendige Datenübertragungen ... Zwecken ... Fernwartung müssen ... hinreichend verschlüsselter Form erfolgen; Ausnahmen sind besonders ... begründen.

(5) ... Auftragnehmer teilt ... Auftraggeber vor Beginn ... Fernwartung schriftlich ... in ... Form ... § 2 Abs. 2 mit, welche Mitarbeiter er dafür einsetzen wird ... wie diese Mitarbeiter sich identifizieren werden. ... Mitarbeiter ... Auftragnehmers verwenden hinreichend sichere Identifizierungsverfahren.

(6) ... Beginn ... Fernwartung ist telefonisch anzukündigen, um ... Beauftragten ... Auftraggebers ... Möglichkeit ... geben, ... Maÿnahmen ... Fernwartung ... verfolgen.

(7) Fernwartungen dürfen nur ... der Wartungszentrale aus vorgenommen werden, deren Sicherheitsmaÿnahmen ... § 7 Abs. 1 vereinbart worden sind.

(8) ... Auftragnehmer erkennt an, ... der Auftraggeber jederzeit berechtigt ist, ... Einhaltung ... Vorschriften über ... Datenschutz ... der vertraglichen Vereinbarungen ... erforderlichen Umfang ... kontrollieren, insbesondere durch ... Einholung ... Auskünften. Ergeben sich Zweifel, ... gestattet ... Auftragnehmer ... Begehung ... Räume, ... denen aus ... Fernwartung durchgeführt wird.

(9) ... Fernwartung ... Privatwohnungen aus ist nicht gestattet. Soll ... Einzelfall davon abgewichen werden, bedarf dies ... gesonderten schriftlichen Zustimmung ... Auftraggebers. ... diesem Fall ist ... Zugang zur Wohnung durch ... Auftraggeber vorher mit ... Auftragnehmer abzustimmen. ... Auftragnehmer sichert zu, ... auch ... anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

(10) Wurden Daten ... Auftraggebers ... Zuge ... Fernwartung kopiert, ... sind diese nach Abschluss ... konkreten Fernwartungsmaÿnahme unverzüglich ... löschen . Dies gilt nicht ... Daten, ... zur Dokumentationskontrolle ... für Revisionsmaÿnahmen ... Fernwartung benötigt werden.

(11) Nicht mehr benötigte Unterlagen ... Dateien dürfen erst nach vorheriger Zustimmung durch ... Auftraggeber datenschutzgerecht vernichtet werden. 
Hinweis: ... Beweissicherung, Auskunftsansprüche ... die Revision relevant

(12) ... Einschaltung ... Subauftragnehmern ist ausgeschlossen. Soll ... Einzelfall davon abgewichen werden, bedarf dies ... gesonderten schriftlichen Zustimmung ... Auftraggebers. ... Auftragnehmer hat ... diesem Falle vertraglich sicher ... stellen, ... die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat ... Einhaltung dieser Pflichten regelmäÿig ... überprüfen. ... Weiterleitung ... Daten ist erst zulässig, wenn ... Subunternehmer ... Verpflichtung nach § 5 erfüllt hat.

(13) Soweit ... den Auftragnehmer ... Vorschriften über ... nicht-öffentlichen Bereich Anwendung finden, bestätigt er, ... er gem. § 4 d Abs. 1 BDSG zum Register bei ... Aufsichtsbehörde ... den Datenschutz gemeldet ist ... gem. § 4 f BDSG ... betrieblichen Datenschutzbeauftragten bestellt hat.

(14) ... die Sicherheit erhebliche Entscheidungen zur Organisation ... Durchführung ... Fernwartung sind mit ... Auftraggeber abzustimmen.

(15) ... Auftraggeber hat ... Recht, ... Fernwartung ... unterbrechen, insbesondere wenn er ... Eindruck gewinnt, ... unbefugt auf Dateien zugegriffen wird. ... Unterbrechung kann erfolgen, wenn ... Fernwartung mit nicht vereinbarten Hard- ... Softwarekomponenten festgestellt wird.



§ 5 Datengeheimnis

(1) ... Auftragnehmer verpflichtet sich, ... Datengeheimnis gemäÿ § 9 HDSG ... wahren. Er verpflichtet sich, ... gleichen Geheimnisschutzregeln ... beachten, wie sie ... Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) ... Auftragnehmer bestätigt, ... ihm ... einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. ... Auftragnehmer sichert zu, ... er ... bei ... Durchführung ... Arbeiten beschäftigten Mitarbeiter mit ... für sie maÿgebenden Bestimmungen ... Datenschutzes vertraut macht. Er überwacht ... Einhaltung ... datenschutzrechtlichen Vorschriften; ... Fall ... §4 Abs. 12 S.2 gilt ... auch gegenüber ... Subunternehmer.

(3) Auskünfte an Dritte darf ... Auftragnehmer nicht erteilen, Auskünfte an Mitarbeiter ... Auftraggebers darf ... Auftragnehmer nur gegenüber ... autorisierten Personen (§ 3 Abs. 2) erteilen.

(4) ... Auftragnehmer verpflichtet sich, bei ... Fernwartung ... sensiblen Bereichen, beispielsweise bei Daten, ... einem Berufs- ... besonderen Amtsgeheimnis unterliegen, nur festangestellte Mitarbeiter ... Fernwartungsarbeiten einzusetzen, ... nach ... Verpflichtungsgesetz verpflichtet sind. 

§ 6 Kontrollrechte ... HDSB

(1) ... Auftragnehmer verpflichtet sich, ... Hessischen Datenschutzbeauftragten ... den ... ihm eingesetzten Bediensteten Zugang ... den Arbeitsräumen ... gewähren ... unterwirft sich ... Kontrolle nach Maÿgabe ... HDSG ... seiner jeweiligen Fassung. Er benachrichtigt ... Auftraggeber, bevor ... angekündigte Kontrolle statt findet.

(2) Soweit Daten ... einer Privatwohnung verarbeitet werden, ist ... Zugangsrecht ... die Mitarbeiter ... Hessischen Datenschutzbeauftragten ... der ... ihm eingesetzten Bediensteten vorher mit ... Auftragnehmer abzustimmen. ... Auftragnehmer stellt sicher, ... die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.



§ 7 Datensicherungsmaßnahmen (Erläuterungen s. Anhang)

(1) ... die Zwecke ... Vorabkontrolle ... Auftragnehmers nach § 10 HDSG werden folgende technische ... organisatorische Maßnahmen ... die Fernwartungszentrale verbindlich festgelegt:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt ... den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

........

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an ... Benutzung ... Datenverarbeitungsanlagen ... verfahren gehindert werden:

........

........

c) Zugriffskontrolle

Maßnahmen, damit ... zur Benutzung ... Datenverarbeitungsverfahren Befugten ausschlieÿlich auf ... ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

.........

.........

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt ... nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet ... sonst verarbeitet werden:

.........

.........

e) Verantwortlichkeitskontrolle

Maßnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten ... welcher Zeit verarbeitet hat ... wohin sie übermittelt werden sollen ... übermittelt worden sind:

.........

.........

f) Dokumentationskontrolle

Maßnahmen, damit durch ... Dokumentation aller wesentlichen Verarbeitungsschritte ... Überprüfbarkeit ... Datenverarbeitungsanlage ... des Verfahrens möglich ist:

.........

.........

g) Organisationskontrolle

Maßnahmen, damit ... innerbehördliche ... innerbetriebliche Organisation ... besonderen Anforderungen ... Datenschutzes gerecht wird:

.........

.........

(2) Um ... übertragung ... Daten abzusichern ... unbefugte Zugriffe auf ... Rechner ... Auftraggebers ... Rahmen ... Fernwartung ... verhindern, legt ... Auftraggeber folgende technische ... organisatorische Maßnahmen ... beide Seiten verbindlich fest:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt ... den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

Hinweis: ... den meisten Fällen werden ... Zusammenhang mit ... Fernwartung keine Maßnahmen zur Zutrittskontrolle getroffen. Es ist aber denkbar, ... der Auftragnehmer ... Hardwarekomponenten (Router etc.) installiert ... betreut. ... diesem Fall sollten hier ... Maßnahmen beschrieben werden, wann Wartungspersonal wie Zutritt zur Hardware erhält.

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an ... Benutzung ... Datenverarbeitungsanlagen ... verfahren gehindert werden:

.........

Hinweis: Hier sind insbesondere ... Maßnahmen festzulegen,

mit denen sichergestellt wird, ... die Fernwartung nur mit Wissen ... Willen ... Auftraggebers stattfindet und
... Identität ... Wartungspersonals festgestellt wird.
Beispiele

Vor ... Wartung wird ... Modem durch ... berechtigten Mitarbeiter ... Auftraggerbers aktiviert.

Es wird ... Benutzerkennung ... das Wartungspersonal eingerichtet. Um ... Wartung durchführen ... können, muss ... Kennung mit ... Passwort eingegeben werden.

Es wird ... durch Chipkarten unterstütztes Challenge-Response-Verfahren zur Identifizierung ... Wartungspersonals eingesetzt.

c) Zugriffskontrolle

Maßnahmen, damit ... zur Benutzung ... Datenverarbeitungsverfahren Befugten ausschließlich auf ... ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

..........

Hinweis:

... §1 ... Vertrags ist ... Umfang ... Fernwartung festgelegt. Entsprechend ... Auftrag müssen ... Zugriffsregeln ... das Wartungspersonal definiert werden. ... Zugriff auf andere Anwendungen ... Daten muss ausgeschlossen werden. Auch sind ... Wartungspersonal grundsätzlich keine Administratorrechte einzuräumen. Änderungen ... Betriebssystem ... systemnaher Software sollten nur ... Mitarbeitern ... Auftraggebers vorgenommen werden, damit ... Auftraggeber ... Überblick über ... Stand ... Systems behält. Dies gilt umso mehr, wenn mehrere Anwendungen auf einem Rechner laufen ... Änderungen ... System während ... Fernwartung ... anderen Anwendungen beeinflussen würden.

Beispiel

Entsprechend ... Auftragsumfang werden ... Zugriffsrechte ... Wartungspersonals vergeben.

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt ... nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet ... sonst verarbeitet werden:

..........

Hinweis:

... vorgesehen Maßnahmen müssen u.a. gewährleisten, ... die Verbindung nur zwischen ... Wartungszentrale ... den ... wartenden Rechnern aufgebaut werden kann. Auÿerdem dürfen Dritte ... übertragenen Daten nicht zur Kenntnis nehmen können.

Beispiele

... Datenübertragung wird verschlüsselt. Es kommt ... Verfahren xyz zum Einsatz.

Durch Call-Back-Verfahren wird ... Verbindung zur Fernwartungszentrale aufgebaut

e) Verantwortlichkeitskontrolle

Maßnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten ... welcher Zeit verarbeitet hat ... wohin sie übermittelt werden sollen ... übermittelt worden sind:

.........

Hinweis:

... Protokollierung ist hier vor allem als Maßnahmen ... nennen. Um ... Daten mit einem vertretbaren Aufwand auswerten ... können, müssen ... der Regel Tools vorhanden sein.

Beispiele:

... Bildschirmanzeige ... Wartungspersonals wird auf ... Konsole beim Auftraggeber gespiegelt.

... übertragenen Daten werden protokolliert.

f) Dokumentationskontrolle

Maßnahmen, damit durch ... Dokumentation aller wesentlichen Verarbeitungsschritte ... ÿberprüfbarkeit ... Datenverarbeitungsanlage ... des verfahrens möglich ist:

.........

.........

g) Organisationskontrolle

Maßnahmen, damit ... innerbehördliche ... innerbetriebliche Organisation ... besonderen Anforderungen ... Datenschutzes gerecht wird:

.........

Hinweis :

Hier können Schulungsmaßnahmen ... die Revision ... Verfahrens ... Fernwartung festgelegt werden.

(3) ... Auftragnehmer beachtet ... Grundsätze ordnungsmäÿiger Datenverarbeitung. Er gewährleistet ... vertraglich vereinbarten ... gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.

(4) ... technischen ... organisatorischen Maßnahmen können ... Laufe ... Auftragsverhältnisses ... technischen ... organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich ... vereinbaren.

(5) Unvorhergesehene Abweichungen ... Abs. 1 hat ... Auftragnehmer unverzüglich mitzuteilen. Er hat ... erforderlichen Angaben ... Auftraggeber zuzuleiten.

(6) Soweit ... beim Auftragnehmer getroffenen Sicherheitsmaßnahmen ... Anforderungen ... Auftraggebers nicht genügen, benachrichtigt er ... Auftraggeber unverzüglich. Entsprechendes gilt ... Störungen sowie bei Verdacht auf Datenschutzverletzungen ... Unregelmäßigkeiten bei Fernwartung. Er unterrichtet ... Auftraggeber unverzüglich, wenn ... vom Auftraggeber erteilte Weisung nach seiner Meinung ... einem Verstoß gegen gesetzliche Vorschriften führen kann. ... Weisung braucht nicht befolgt ... werden, solange sie nicht durch ... Auftraggeber ausdrücklich bestätigt wird.



§ 8 Vertragsdauer

(1) ... Vertrag

- beginnt am ................... ... endet am ..................../

- mit Auftragserledigung /

- wird auf unbestimmte Zeit geschlossen.

Er ist mit ... Frist ... ....... Monaten zum Quartalsende kündbar.

(2) ... Auftraggeber kann ... Vertrag jederzeit ohne Einhaltung ... Frist kündigen, wenn ... schwerwiegender Verstoß ... Auftragnehmers gegen ... Bestimmungen ... HDSG ... dieses Vertrages vorliegt, ... Auftragnehmer ... Weisung ... Auftraggebers nicht ausführen kann ... will ... der Auftragnehmer ... Zutritt ... Auftraggebers ... des Hessischen Datenschutzbeauftragten vertragswidrig verweigert.

§ 9 Vergütung

....



§ 10 Haftung

(1) ... Auftragnehmer haftet ... Auftraggeber ... Schäden, ... der Auftragnehmer, seine Mitarbeiter bzw. ... von ihm mit ... Vertragsdurchführung Beauftragten bei ... Erbringung ... vertraglichen Leistung schuldhaft verursachen.

(2) ... den Ersatz ... Schäden, ... ein Betroffener wegen ... nach ... HDSG ... anderen Vorschriften ... den Datenschutz unzulässigen ... unrichtigen Datenverarbeitung ... Rahmen ... Auftragsverhältnisses erleidet, ist ... Auftraggeber gegenüber ... Betroffenen verantwortlich. Soweit ... Auftraggeber zum Schadensersatz gegenüber ... Betroffenen verpflichtet ist, bleibt ihm ... Rückgriff beim Auftragnehmer vorbehalten.



§ 11 Vertragsstrafe

Bei Verstoß gegen ... Abmachungen dieses Vertrages, insbesondere gegen ... Einhaltung ... Datenschutzes, wird ... Vertragsstrafe ... .............  vereinbart.



§ 12 Nichterfüllung ... Leistung

....



§ 13 Sonstiges


(1) Sollten Daten ... Auftraggebers beim Auftragnehmer durch Maÿnahmen Dritter (etwa durch Pfändung ... Beschlagnahme), durch ... Insolvenz- ... Vergleichsverfahren ... durch sonstige Ereignisse gefährdet werden, ... hat ... Auftragnehmer ... Auftraggeber unverzüglich ... verständigen.

(2) ... Nebenabreden ist ... Schriftform erforderlich.

(3) ... Einrede ... Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich ... verarbeiteten Daten ... der zugehörigen Datenträger ausgeschlossen

Hinweis: Diese Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden.



§ 14 Wirksamkeit ... Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, ... berührt dies ... Wirksamkeit ... Vereinbarung ... übrigen nicht.









Erläuterungen ... § 7 Datensicherungsmaÿnahmen

... dem Vertrag müssen ... technischen ... organisatorischen Maßnahmen festgelegt werden, ... bei ... Datenverarbeitung umzusetzen sind.

Rechtsgrundlage ist § 4 Abs. 2 HDSG, ... dem beschrieben ist, welche Prüfungen ... Auftraggeber vor ... Auftragsvergabe durchzuführen hat. ... muss ... Auftragnehmer unter besonderer Berücksichtigung ... Zuverlässigkeit ... der Eignung ... von ihm getroffenen technischen ... organisatorischen Maßnahmen sorgfältig ausgewählt werden. ... Auftrag sind insbesondere ... technischen ... organisatorischen Maßnahmen schriftlich festzulegen. Auch hat ... Auftraggeber ... prüfen, ob beim Auftragnehmer ... nach § 10 HDSG erforderlichen Maßnahmen getroffen werden.

Werden personenbezogene Daten bei ... Fernwartung zur Kenntnis genommen, deren Verarbeitung ... die Betroffenen keine besonderen Risiken erwarten lässt, ... bietet ... Grundschutzhandbuch ... BSI ... bestimmte technische Konstellationen ... Katalog an Sicherheitsmaßnahmen. (Das Handbuch, ... dem ... Maÿnahmen erläutert werden, kann auf Datenträgern beim BSI bestellt werden. Tabellen, ... denen Abhängigkeiten zwischen diesen Grundschutz-Maßnahmen ... den Sicherheitszielen ... HDSG dargestellt werden, sind ... Internetangebot ... Hessischen Datenschutzbeauftragten abrufbar; www.datenschutz.hessen.de.)

a) Wenn ... Auftragnehmer ... Datensicherheitskonzept besitzt, muss ... Auftraggeber prüfen ... schriftlich festlegen, ob es seinen Anforderungen entspricht. ... Sicherheitsziele sind ... § 10 Abs. 2 HDSG genannt. Ist ... Konzept nicht ausreichend, sind ergänzende Maßnahmen ... vereinbaren. ... daraus resultierende Sicherheitskonzept sollte zum Vertragsbestandteil gemacht werden. ... diesem Fall kann darauf verzichtet werden, ... Sicherheitskonzept genannte Maÿnahmen ... Vertragstext ... wiederholen.

b) Wenn ... Auftragnehmer kein Datensicherheitskonzept vorlegen kann, ... § 10 Abs. 2 HDSG genügt, müssen ... einzelnen Maßnahmen ... Vertrag gemeinsam festgelegt werden. Dabei sind wiederum ... in § 10 Abs. 2 HDSG genannten Sicherheitsziele ... erreichen. Entsprechend ... Katalog sind ... einzelnen Maßnahmen ... den Vertrag ... übernehmen. Es handelt sich um keinen abschließenden Maßnahmenkatalog. Insbesondere bei ... Verarbeitung sensibler Daten sind ... der Regel zusätzliche Maÿnahmen erforderlich.

c) Besonders wichtig sind Regelungen ... folgenden Sachverhalten:

V e r a n t w o r t l i c h k e i t e n: Aus unklaren Aufgabenverteilungen, beispielsweise bei ... Vergabe ... Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken.
A b s c h o t t u n g: Es müssen Maÿnahmen ergriffen werden, ... ein -unberechtigtes- Eindringen ... zu wartende Rechner soweit möglich verhindern. Dabei kann ... Lösung ... einfachen Ausschalten ... Modems bis ... technisch hochwertigen Challenge-Response-Verfahren gehen, ... auf Chipkarten ... geheimen Schlüssel speichern. Fallweise kann es nötig werden ... erkennen, ob ... wie unberechtigte Personen versuchen einzudringen. Technische Komponenten, ... dies feststellen können, sind Firewalls ... Intrusion Detection Systeme.
A b h ö r e n d e r K o m m u n i k a t i o n: Zum Schutz gegen unberechtigtes Abhören sind ... Daten, ... bei ... Fernwartung übertragen werden ... verschlüsseln.
A n m e l d e p r o z e d u r e n: ... Anmeldung ... System ... der ... wartenden Anwendung stellt ... erste ... wichtigste Hürde dar, ... unbefugte Personen überwinden müssen. An dieser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden.

 

Das vollständige Dokument können Sie nach dem Kauf sehen, als Word-Dokument (.docx) speichern und bearbeiten.

Jetzt registrieren für Zugang zu allen Dokumenten

Sie haben bereits einen Zugang? Bitte hier einloggen.



Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!