Mustervertrag zur Fernwartung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern

... Beginn Ausschnitt ...

(Basierend auf einer Empfehlung des Hessischen Datenschutzbeauftragten, Stand 03. November 2003)

Eine Fernwartung ist nach § 4 HDSG ein Spezialfall der Datenverarbeitung im Auftrag. Der Mustervertrag für die Fernwartung ist im Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf ein Auftrag zur Fernwartung nur vergeben werden, wenn weder gesetzliche Regelungen über besondere Berufs- oder Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. Soweit spezialgesetzliche Regelungen für die Daten Anwendung finden, ist zunächst zu prüfen, ob eine Fernwartung überhaupt zulässig ist. Ggf. sind die spezialgesetzlichen Regelungen bei der Vertragsgestaltung (z.B. Personal-, Beihilfe- und Sozialdaten) zu berücksichtigen. Soweit die BVB (HessStAnz 1994, S. 2050 ff) anzuwenden sind, müssen die dort vorgesehenen Vertragstypen, insbesondere BVB-Wartung oder BVB-Pflege, datenschutzrechtlich ergänzt werden. Die jeweiligen Vertragsbestimmungen sind dem Mustervertrag zu entnehmen. Gem. § 4 Abs. 3 Satz 2 hat der Auftraggeber den Hessischen Datenschutzbeauftragten vorab über die Beauftragung zu unterrichten.



Vereinbarung

zwischen dem/der

...................................................................................................................................

- nachstehend Auftragnehmer genannt -

und dem/der

....................................................................................................................................

- nachstehend Auftraggeber genannt -





§ 1 Gegenstand der Vereinbarung

Diese Vereinbarung umfasst folgende, vom Auftragnehmer durchzuführende Fernwartungsarbeiten:

Hardware- Diagnose: für folgende Hardwareprodukt(e)
Software-Wartung: für folgend(e) Softwareprodukt(e)



Hinweis:

Hier sind Art und Umfang der durchzuführenden Fernwartungsarbeiten, die davon betroffenen EDV-Systeme und Daten genau zu beschreiben. Beispielsweise könnte eine Hardware-Diagnose zur Vorbereitung einer Wartung erfolgen oder die Wartung einer Anwendungssoftware.

Beispiel:

2. Software-Wartung:

Behebung von Fehlerzuständen in der Anwendung xyz in der Abteilung N.

Damit verbunden sind folgende Zugriffe:

Schreibender Zugriff auf die Konfigurationsdateien ........... der Anwendung xyz.

Lesender Zugriff auf die anderen Dateien im Programmverzeichnis ......... der Anwendung xyz

Lesender Zugriff auf die Anwendungsdaten in den Verzeichnissen ......

Ein Zugriff auf die Datei ..... wird soweit erforderlich nach Rücksprache ermöglicht .



§ 2 Verfahrensregelungen

(1) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind schriftlich zu vereinbaren.

(2) Mitteilungen der Vertragsparteien über E-Mail oder Internet werden nur akzeptiert, wenn das Schriftstück verschlüsselt übertragen wurde und mit einer digitalen Signatur versehen worden ist.

§ 3 Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der Fernwartung sowie für die Wahrung der Rechte der Betroffenen bleibt der Auftraggeber verantwortlich.

(2) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Ablauf der Fernwartung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Weisungsberechtigte Personen des Auftraggebers sind:

....................................................................................................................................

Weisungsempfänger beim Auftragnehmer sind:

....................................................................................................................................

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners wird dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitgeteilt.

(3) Im System des Auftraggebers werden alle Zugriffe, die für Wartungsarbeiten erfolgen, protokolliert. Die Protokollierung muss so erfolgen, dass sie in einer Revision nachvollzogen werden kann. Die Protokollierung darf vom Auftragnehmer nicht abgeschaltet werden.

(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäÿigkeiten feststellt, die bei der Fernwartung aufgetreten sind oder die einen Zugriff durch Unbefugte möglich machen.

(5) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen.



§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer führt die Fernwartung ausschlieÿlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Er verwendet Daten, die ihm im Rahmen der Erfüllung dieses Vertrags bekannt geworden sind, nur für Zwecke der Fernwartung. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Soweit möglich, erfolgt die Fernwartung am Bildschirm ohne gleichzeitige Speicherung.

(2) Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaÿnahmen des Auftraggebers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen.

(3) Der Auftragnehmer sichert die vertragsmäÿige Abwicklung aller vereinbarten Maÿnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt werden.

(4) Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen; Ausnahmen sind besonders zu begründen.

(5) Der Auftragnehmer teilt dem Auftraggeber vor Beginn der Fernwartung schriftlich oder in der Form des § 2 Abs. 2 mit, welche Mitarbeiter er dafür einsetzen wird und wie diese Mitarbeiter sich identifizieren werden. Die Mitarbeiter des Auftragnehmers verwenden hinreichend sichere Identifizierungsverfahren.

(6) Der Beginn der Fernwartung ist telefonisch anzukündigen, um den Beauftragten des Auftraggebers die Möglichkeit zu geben, die Maÿnahmen der Fernwartung zu verfolgen.

(7) Fernwartungen dürfen nur von der Wartungszentrale aus vorgenommen werden, deren Sicherheitsmaÿnahmen in § 7 Abs. 1 vereinbart worden sind.

(8) Der Auftragnehmer erkennt an, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften. Ergeben sich Zweifel, so gestattet der Auftragnehmer die Begehung der Räume, von denen aus die Fernwartung durchgeführt wird.

(9) Die Fernwartung von Privatwohnungen aus ist nicht gestattet. Soll im Einzelfall davon abgewichen werden, bedarf dies einer gesonderten schriftlichen Zustimmung des Auftraggebers. In diesem Fall ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

(10) Wurden Daten des Auftraggebers im Zuge der Fernwartung kopiert, so sind diese nach Abschluss der konkreten Fernwartungsmaÿnahme unverzüglich zu löschen . Dies gilt nicht für Daten, die zur Dokumentationskontrolle und für Revisionsmaÿnahmen der Fernwartung benötigt werden.

(11) Nicht mehr benötigte Unterlagen und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden.
Hinweis: Für Beweissicherung, Auskunftsansprüche oder die Revision relevant

(12) Die Einschaltung von Subauftragnehmern ist ausgeschlossen. Soll im Einzelfall davon abgewichen werden, bedarf dies der gesonderten schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer hat in diesem Falle vertraglich sicher zu stellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäÿig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 5 erfüllt hat.

(13) Soweit für den Auftragnehmer die Vorschriften über den nicht-öffentlichen Bereich Anwendung finden, bestätigt er, dass er gem. § 4 d Abs. 1 BDSG zum Register bei der Aufsichtsbehörde für den Datenschutz gemeldet ist oder gem. § 4 f BDSG einen betrieblichen Datenschutzbeauftragten bestellt hat.

(14) Für die Sicherheit erhebliche Entscheidungen zur Organisation und Durchführung der Fernwartung sind mit dem Auftraggeber abzustimmen.

(15) Der Auftraggeber hat das Recht, die Fernwartung zu unterbrechen, insbesondere wenn er den Eindruck gewinnt, dass unbefugt auf Dateien zugegriffen wird. Die Unterbrechung kann erfolgen, wenn eine Fernwartung mit nicht vereinbarten Hard- und Softwarekomponenten festgestellt wird.



§ 5 Datengeheimnis

(1) Der Auftragnehmer verpflichtet sich, das Datengeheimnis gemäÿ § 9 HDSG zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maÿgebenden Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften; im Fall des §4 Abs. 12 S.2 gilt das auch gegenüber dem Subunternehmer.

(3) Auskünfte an Dritte darf der Auftragnehmer nicht erteilen, Auskünfte an Mitarbeiter des Auftraggebers darf der Auftragnehmer nur gegenüber den autorisierten Personen (§ 3 Abs. 2) erteilen.

(4) Der Auftragnehmer verpflichtet sich, bei der Fernwartung in sensiblen Bereichen, beispielsweise bei Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, nur festangestellte Mitarbeiter für Fernwartungsarbeiten einzusetzen, die nach dem Verpflichtungsgesetz verpflichtet sind.

§ 6 Kontrollrechte des HDSB

(1) Der Auftragnehmer verpflichtet sich, dem Hessischen Datenschutzbeauftragten und den von ihm eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren und unterwirft sich der Kontrolle nach Maÿgabe des HDSG in seiner jeweiligen Fassung. Er benachrichtigt den Auftraggeber, bevor eine angekündigte Kontrolle statt findet.

(2) Soweit Daten in einer Privatwohnung verarbeitet werden, ist das Zugangsrecht für die Mitarbeiter des Hessischen Datenschutzbeauftragten und der von ihm eingesetzten Bediensteten vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer stellt sicher, dass die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.



§ 7 Datensicherungsmaßnahmen (Erläuterungen s. Anhang)

(1) Für die Zwecke der Vorabkontrolle des Auftragnehmers nach § 10 HDSG werden folgende technische und organisatorische Maßnahmen für die Fernwartungszentrale verbindlich festgelegt:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt zu den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

........

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an der Benutzung der Datenverarbeitungsanlagen und verfahren gehindert werden:

........

........

c) Zugriffskontrolle

Maßnahmen, damit die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschlieÿlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

.........

.........

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden:

.........

.........

e) Verantwortlichkeitskontrolle

Maßnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt ...

... Ende Ausschnitt ...

Unbegrenzter Zugang zu allen Dokumenten.


Zugang zu allen Dokumenten kaufen

Sie haben bereits einen Zugang? Melden Sie sich hier bitte an.



Kostenloses Support-Forum: Unsere Anwälte beantworten gern Ihre Fragen zu "Mustervertrag zur Fernwartung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern" in unserem ExpertenForum.

Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument "Mustervertrag zur Fernwartung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern" oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!