Transcription

Auftragsverarbeitungsvertragnach Art. 28 III DS-GVODie VertragsparteienIm Folgenden: Auftraggeber –-Unternehmen:Straße:PLZ Ort:Land:und-Im Folgenden: Auftragnehmer –SoftTec GmbH, Hindelanger Straße 35, 87527 Sonthofenschließen folgenden Vertrag:1. Gegenstand und Dauer1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebersnach Art. 4 Nr. 2 und Art. 28 DSGVO. Der Inhalt des Auftrags, die Kategorien betroffenerPersonen und Datenarten sowie der Zweck der Verarbeitung sind in Anlage 1 des Vertragsgeregelt.1.2 Die Verarbeitung der Daten durch den Auftragnehmer findet ausschließlich auf dem Gebietder Bundesrepublik Deutschland, einem Mitgliedsstaat der EU oder einem Vertragsstaatdes EWR-Abkommens statt. Die Verarbeitung außerhalb der genannten Staaten erfolgtnur unter den Voraussetzungen von Art. 44 ff. DSGVO mit vorheriger Zustimmung desAuftraggebers.1.3 Die Vergütung wird im jeweiligen Projekt festgelegt.2. Vertragslaufzeit und KündigungDer Vertrag wird auf unbestimmte Zeit geschlossen. Die Kündigungsfrist beträgthalbjährlich zum Jahresende, der Vertrag ist von jeder Partei kündbar. Das Recht zuraußerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.Seite 1 von 20

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers3.1 Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für dieBeurteilung der Zulässigkeit von Datenverarbeitungsvorgängen nach Art. 6 I DSGVO unddie Wahrung der Betroffenenrechte nach Art. 12 bis 22 DSGVO mit Unterstützung desAuftragnehmers zuständig. Die Unterstützungspflicht gilt insbesondere für die Erteilungvon Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogenerDaten.Der Auftragnehmer ist verpflichtet, alle Anfragen unverzüglich an diesen weiterzuleiten,wenn sie erkennbar nur an den Auftraggeber gerichtet sind.3.2 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang undModalitäten der Datenverarbeitung gegenüber dem Auftragnehmer zu. In dieser Rollekann er insbesondere die unverzügliche Löschung, Berichtigung, Sperrung oderHerausgabe der vertragsgegenständlichen Daten verlangen. Der Auftragnehmer istverpflichtet, den Weisungen des Auftraggebers Folge zu leisten, sofern keine berechtigenvertraglichen oder gesetzlichen Interessen entgegenstehen.Der Auftraggeber benennt eine oder mehrere weisungsberechtigten Personen,Änderungen sind unverzüglich mitzuteilen.3.3 Änderungen des Verarbeitungsgegenstands und Verfahrensänderungen sind gemeinsamzwischen Auftraggeber und –nehmer abzustimmen.3.4 Der Auftragnehmer macht den Auftraggeber unverzüglich darauf aufmerksam, wenn eineerteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt nach Art.28 III 3 DSVGO. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragnehmersubstantiiert anzweifelt, ist der Auftragsnehmer berechtigt, deren Ausführungvorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigtoder ändert.3.5 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format zu erteilen.Mündliche Weisungen sind auf Verlangen des Auftragnehmers schriftlich oder in einemelektronischen Format durch den Auftraggeber zu bestätigen. Der Auftragnehmer hatPerson, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zuprotokollieren.3.6 Der Auftragnehmer ist nicht berechtigt, die personenbezogenen Daten für eigene Zweckezu nutzen.4. Kontrollbefugnisse des Auftraggebers4.1 Der Auftraggeber und –nehmer sind bezüglich der zu verarbeitenden Daten für dieEinhaltung der einschlägigen Datenschutzgesetze verantwortlich. Der Auftraggeber istberechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zumDatenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während derDauer des Vertrags regelmäßig im erforderlichen Umfang zu überprüfen oder durch Drittekontrollieren zu lassen. Der Auftragnehmer hat die Kontrollen zu dulden und diese zuunterstützen, soweit dies erforderlich ist.Der Auftragnehmer hat die erforderlichen Auskünfte zu erteilen, die Einsichtnahme in diegespeicherten Daten und Datenverarbeitungsprogramme und –systeme zu gestatten. Erhat weiterhin Vorort-Kontrollen zu ermöglichen.4.2 Der Auftraggeber sorgt dafür, dass die Kontrollmaßnahmen verhältnismäßig sind und denBetrieb des Auftragnehmers nicht weiter als unbedingt erforderlich beeinträchtigen.Seite 2 von 20

Insbesondere sollten Vorortkontrollen grundsätzlich zu den üblichen Geschäftszeiten undnach Terminvereinbarung mit angemessener Fristsetzung erfolgen, sofern derKontrollzweck keiner vorherigen Ankündigung entgegensteht.4.3 Das Ergebnis der Kontrolle ist von beiden Vertragsparteien zu protokollieren.4.4 Die entstehenden Kosten sowohl auf Seiten des Auftraggebers als auch auf Seiten desAuftragnehmers für die Vorbereitung und Durchführung einer Überprüfung durch oder imAuftrag des Auftraggebers trägt der Auftraggeber5. Pflichten des Auftragnehmers5.1 Der Auftragsnehmer hält bei Auftragsdurchführung sämtliche gesetzliche Vorschriften ein,er hat insbesondere nach Art. 32 und 30 II DSGVO die notwendigen technischen undorganisatorischen Maßnahmen einzuführen und das erforderliche Verzeichnis vonVerarbeitungstätigkeiten zu führen, soweit es gesetzlich vorgesehen ist.5.2 Die Verarbeitung der Daten durch den Auftragsnehmer erfolgt nur auf Grundlage dervertraglichen Vereinbarung mit den erteilten Weisungen des Auftraggebers. Eineabweichende Verarbeitung ist nur aufgrund zwingender europäischer odermitgliedsstaatlicher Rechtsvorschriften zulässig. Ist eine Verarbeitung wegen zwingendenRechts erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitungmit, sofern das betreffende Recht einer solchen Mitteilung nicht entgegensteht.5.3 Ist der Auftragnehmer zur Benennung eines Datenschutzbeauftragten verpflichtet,bestätigt er, dass er einen solchen ausgewählt hat und sichert zu, diesen unter Angabeder Kontaktdaten zu benennen. Änderungen sind unverzüglich mitzuteilen.5.4 Die Datenverarbeitung außerhalb der Betriebsstätten des Auftragnehmers oder derSubunternehmer und/oder in Privatwohnungen ist nur mit ausdrücklicher Zustimmungdes Auftraggebers gestattet.5.5 Über die Herausgabe oder Löschung der Daten nach Vertragsende muss der Auftraggeberentscheiden. Entstehen nach Vertragsbeendigung zusätzliche Kosten durch Herausgabeoder Löschung von Daten so trägt diese der Auftragnehmer.6. Technische und organisatorische Maßnahmen6.1 Es wird ein angemessenes Schutzniveau für die Rechte und Freiheiten der von derVerarbeitung betroffenen natürlichen Personen gewährleistet durch geeignete technischeund organisatorische Maßnahmen nach Art. 25 DSGVO. Diese Maßnahmen wurden nachArt. 32 I DSGVO ausgewählt und mit dem Auftraggeber abgestimmt. Die Maßnahmen sindin Anlage 2 des Vertrages festgehalten.6.2 Der Auftragnehmer kann diese bei gegebenem Anlass, mindestens aber einmal jährlichüberprüfen, bewerten und evaluieren oder anpassen lassen, wesentliche Veränderungensind mit dem Auftraggeber abzustimmen, insbesondere solche, welche das Schutzniveauverringern. Erforderliche Anpassungen werden vom Auftragnehmer dokumentiert unddem Auftraggeber auf Nachfrage zur Verfügung gestellt.Seite 3 von 20

7. Einsatz von Unterauftragsverarbeitern (Subunternehmern)7.1 Der Auftragnehmer ist nur mit Zustimmung des Auftragsgebers zum Einsatz vonSubunternehmern berechtigt, Art. 28 II DSGVO. Die Subunternehmer müssenausdrücklich benannt werden. Die bereits bestehenden Subunternehmerverhältnisse,welche in Anlage 3 des Vertrages beigefügt sind, gelten als bestätigt mit Unterzeichnungdieses Vertrages. Beabsichtigt der Auftragnehmer den Einsatz weiterer Subunternehmer,wird er dies dem Auftraggeber in schriftlicher oder elektronischer Form anzeigen, damitdieser deren Einsatz prüfen kann. Erfolgt keine Zustimmung durch den Auftraggeber,dürfen die betroffenen Subunternehmer nicht eingesetzt werden.7.2 Die Auswahl eines Subunternehmers erfolgt durch den Auftragsnehmer unter Beachtungder gesetzlichen und vertraglichen Vorgaben. Nebenleistungen, die der Auftragnehmerzur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, stellen keineUnterauftragsverhältnisse dar. Der Auftragnehmer wird jedoch auch bei diesenDrittleistungen die Einhaltung der gesetzlichen Datenschutzstandards gewährleisten.7.3 Die vertraglichen Vereinbarungen mit Subunternehmern haben den Anforderungen zuVertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern diesesVertrags und der gesetzlichen Vorschriften über die Verarbeitung personenbezogenerDaten zu entsprechen. Dies betrifft insbesondere die Implementierung geeignetertechnischer und organisatorischer Maßnahmen nach Art. 32 DSGVO. Dem Auftraggebersind Kontroll- und Überprüfungsrechte nach Art. 28 III lit.h DSGVO einzuräumen.7.4 Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn derSubunternehmer die Verpflichtungen nach Art. 29 und Art. 32 IV DSGVO bezüglich seinerBeschäftigten erfüllt hat.7.5 Der Auftragnehmer hat die Einhaltung der Pflichten der Subunternehmer zu überprüfenund das Ergebnis zu dokumentieren. Dieses ist dem Auftraggeber zugänglich zu machen.7.6 Der Auftragnehmer hat sich von seinen Unterauftragsverarbeitern bestätigen zu lassen,dass diese – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten benannthaben.8. Geheimhaltungspflicht8.1 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangteGeschäftsgeheimnisse und Datensicherheitsmaßnahmen des Auftragnehmers sowie diepersonenbezogenen Daten vertraulich zu behandeln. Die Verpflichtung bleibt nachBeendigung des Vertrags bestehen. Der Auftraggeber hat diesen bei Auftragserteilung aufbestehende besondere Geheimschutzregeln hinzuweisen.8.2 Der Auftragsnehmer gewährleistet, dass sich die zur Verarbeitung der Daten nodereinergesetzlichenVerschwiegenheitspflicht unterliegen, Art. 28 III lit.b DSGVO). Vor der Unterwerfungunter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zuden vom Auftraggeber überlassenen personenbezogenen Daten erhalten.Seite 4 von 20

9. Schlussbestimmungen9.1 Änderungen und Ergänzungen sowie Nebenabreden dieser Vereinbarung und aller ihrerBestandteile bedürfen einer schriftlichen Vereinbarung.9.2 Verstöße gegen diesen Vertrag, gegen Weisungenoder gegen sonstigedatenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen.Das gleiche gilt bei Vorliegen eines Verdachts.9.3 Bei Änderungen der DSGVO während der Vertragslaufzeit, gelten die hiesigen Verweiseauch für die jeweiligen Nachfolgeregelungen9.4 Bei Unwirksamkeit einzelner Teile dieser Vereinbarung, bleibt die Wirksamkeit der übrigenBestimmungen unberührt. Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.9.5 Sämtliche Anlagen zu diesem Vertrag sind ofen, 24.02.2021Ort, DatumOrt, DatumStempel, UnterschriftStempel, UnterschriftSeite 5 von 20

Anlage 1AuftragsdetailsDer vorliegende Vertrag umfasst folgende Leistungen (ggf. in Zusammenhang mit demHauptvertrag):-Durchführung von Wartungsarbeiten zur Anpassung,Hilfestellung oder Korrektur der vom Auftragnehmer gelieferten Software.Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende tionsdaten (z.B. Telefon, E-Mail)Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. s- und ZahlungsdatenPlanungs- und SteuerungsdatenAuskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichenVerzeichnissen)Daten, die in der Software des Auftragsgebers vom Auftraggeber erfasst wurdenBei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um:-KundenMitarbeiterGästeDer Zugriff auf die betroffenen Daten geschieht in folgender Weise:Im Rahmen der Wartung wird definiert, welche Systeme und Anwendungen durch denAuftragnehmer installiert und betreut werden.Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege derFernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksameKontrolle der Fernwartungsarbeiten zu ermöglichen. Dies erfolgt durch den Einsatz derFernwartungssoftware Teamviewer oder PCVisit.Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einemMonitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführtenArbeiten in geeigneter Weise dokumentieren.Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einemMitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommensüber den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf dervorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderenVoraussetzungen der Art. 44 ff. DSGVO er-füllt sind.Seite 6 von 20

Der Auftraggeber unterliegt folgendenAuftragnehmer zu beachten sind:besonderenGeheimschutzregeln,dieauchvomFür den Fall, dass der Auftraggeber einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt,hat dieser Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durchdie Fernwartung nicht erfolgt. Der Auftragnehmer ist diesbezüglich verpflichtet, Technologieneinzusetzen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sonderndem Auftraggeber auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zuunterbinden.Seite 7 von 20

Anlage 2Liste der bestehenden technischen und organisatorischen Maßnahmen desAuftragnehmers nach Art. 32 DSGVODer Auftragnehmer setzt folgende technische und organisatorische Maßnahmen zum Schutz dervertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen werden im Einklangmit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.ERFASSUNGSBOGEN ZUR SICHERHEIT DER VERARBEITUNG PERSONENBEZOGENER DATENGEMÄß ART. 32 ABS. 1 EUROPÄISCHE DATENSCHUTZGRUNDVERORDNUNG (DS-GVO)Der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen,um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.Bearbeitet durch:Isabel Benner & Angela LappertVerantwortliche 02008321 6749 50E-Mail:[email protected], Adresse und Kontaktdaten des Verantwortlichen itung des Verantwortlichen:Kontaktdaten:Tel:E-Mail:Name, Adresse und Kontaktdaten des AuftragsverarbeitersFirmenname/Bezeichnung:SoftTec GmbH(Besuchs-)Adresse:Hindelanger Str. 35Leitung desVerantwortlichen:Oliver dverordnung (DS-GVO) die technischen und organisatorischenMaßnahmen zu treffen, die erforderlich sind, die Anforderungen aktuellerDatenschutznormen (insbesondere der DS-GVO) zu erfüllen. Hierbei sind die inArt. 32 Abs. 1 lit. a) - d) DS-GVO genannten Anforderungen zu berücksichtigen.Um diesen Anforderungen gerecht zu werden bzw. gegebenenfalls ein Vor-OrtAudit zur Überprüfung der getroffenen Maßnahmen zu vermeiden, wurde derfolgende Fragebogen entwickelt. Bitte beantworten Sie die Fragen, soweit wie fürSie möglich.Hinweis:Allgemeines Gleichbehandlungsgesetz (AGG)08321 6749 50E-Mail:[email protected] Gründen der leichteren Lesbarkeit wird in diesem Dokument auf einegeschlechterspezifische Differenzierung verzichtet. Entsprechende Begriffe geltenim Sinne der Gleichbehandlung für beide Geschlechter.Seite 8 von 20

Technisch-organisatorische MaßnahmenWahrung der Vertraulichkeit personenbezogener Daten (Art. 32 Abs. 1 lit. b) DS-GVO)1.Zutrittskontrolle – Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.: Magnet- oderChipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.1.1.Liegt eine Beschreibung/Dokumentation aßnahmen vor? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Freistehender GebäudekomplexBemerkung: Digitaler Zutritt ab Dezember lsysteme zur Überwachung desBetretens und evtl. auch Verlassens einesGebäudes/eines Gebäudeteils?Bemerkung:1.3.Werden eventuell biometrische Kontrollsysteme(Handflächen, Iris-Scanner, Fingerabdruck-Leser)eingesetzt?Bemerkung:1.4.Ist die Verwaltung und Wartung der anlagenpersonenbezogene Daten gespeichert, so dassnachvollziehbar ist, wer wann einen bestimmtenräumlichen Bereich betreten und ggf. auch wiederverlassen hat?Bemerkung: Zutritt wird dokumentiert1.6.Werden die protokollierten Daten regelmäßig ttsmöglichkeiten eingeht?GebäudeaufdieBemerkung:1.8.Um welche Bebauungsart handelt es sich? Geschlossene Bebauung Mit Werksgelände Umzäuntes Grundstück Offen zugängliches Grundstück Ja Nein Teilweise Ja Nein Teilweise Ja Nein hiedlicherKlassifizierung und Sensibilität vorgesehen?Bemerkung: Server separat gesichert1.10. SinddieseimGebäude-Sicherungskonzeptausreichend genau beschrieben?Bemerkung:1.11. k)gegenunbefugtenZutrittgesichert?Bemerkung:Seite 9 von 20

1.12. emmende Maßnahmen) vorhanden? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweiseanderegesichert Ja Nein Teilweise1.20. Besteht eine Pflicht zum Tragen von Dienst- oderFirmenausweisen? Ja Nein Teilweiseoder Ja Nein Teilweise1.22. Besteht eine Kennzeichnungspflicht für fremdePersonen durch sichtbar zu tragende Ausweise? Ja Nein Teilweiseund Ja Nein Teilweise1.24. Werden persönliche Daten von Firmenbesuchern inein Besucherbuch aufgenommen? Ja Nein Teilweise Ja Nein TeilweiseBemerkung:1.13. Sind Sicherungsmaßnahmen gegen Überfälle imEinsatz? (bspw. Gegensprechanlagen, der,Videoüberwachung)Bemerkung:1.14. rollen (z. B. einfache Schlösser) zu demGebäude?Bemerkung:1.15. Ist sichergestellt, dass die Zutrittsprotokolle nursolange aufbewahrt werden, wie dies für denvorgesehenen zulässigen Zweck erforderlich ist?Bemerkung:1.16. Ist sichergestellt, dass die Form der eschieht?Bemerkung:1.17. ittel) des Gebäudes (von Etagen,Fluren und Räumen) ein Schließplan vor?Bemerkung:1.18. Ist die Herstellung, Aufbewahrung, Verwaltung smittel)zentralgeregeltunddokumentiert?Bemerkung: Ausschließlich über HV oder Verwaltung1.19. SindReserveschlüssel(oderIdentifikationsmittel) vorhanden undaufbewahrt?Bemerkung:Bemerkung:1.21. Tragen alle MitarbeiterFirmenausweise sichtbar?ihreDienst-Bemerkung:Bemerkung:1.23. IstdieVergabevonBesucherFirmenausweisen revisionsfähig?Bemerkung:Bemerkung:1.25. Werden die Unternehmensserver in einemabgeschlossenen und zutrittsgesicherten Raumbetrieben?Bemerkung:Seite 10 von 20

1.26. HabennurBefugteServerraum/Rechenzentrum?Zutrittzum Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:1.27. Werden Maßnahmen zur Raumüberwachung s/Bewegungsmelder)?Bemerkung: Digitale Zutrittskontrolle1.28. Befinden sich die Netzwerkkomponenten in trittsgesichert z. B. durch den Einsatz vonAusweislesern)?Bemerkung: Alles gesichert im Serverraum platziert1.29. Existiert eine Regelung bzw. ein Prozess für henzentrum benötigen? (z. B.Wartungsdienste, Reinigungsdienst, Besucher)Bemerkung:1.30. Werden die eingerichteten Schutzmaßnahmenregelmäßig einem eingehenden Test unterzogen,um festzustellen, ob sie noch den gewünschtenSchutzzweck erfüllen?Bemerkung:2.Zugangskontrolle – Keine unbefugte Systembenutzung, z. B.: (sichere) Kennwörter, automatischeSperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.2.1.Werden die eingerichteten Schutzmaßnahmenregelmäßig einem eingehenden Test unterzogen,um festzustellen, ob sie noch den gewünschtenSchutzzweck erfüllen? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:2.2.Gibt es für alle Informationssysteme und trierung zur Vergabe und Rücknahme vonZugangsberechtigungen?Bemerkung:2.3.Ist sichergestellt, dass Benutzer nur Zugang zu denNetzdiensten bekommen, zu deren Nutzung sieausdrücklich befugt sind?Bemerkung:2.4.Ist sichergestellt, dass nur berechtigte Personenlogischen Zugang zu den Netzwerkkomponentenhaben?Bemerkung:2.5.Gibt es ein formales Freigabeverfahren, welcheSystemeundApplikationenmitpersonenbezogenen Daten zu durchlaufen haben,bevor diese Netzwerkzugang bekommen dürfen?Bemerkung:2.6.Ist sichergestellt, dass nur autorisierte Geräte vonprivaten Personen oder Besuchern Bemerkung:2.7.Ist sichergestellt, dass das WLAN ausreichend vorunbefugtem Zugang gesichert ist?Bemerkung:Seite 11 von 20

lungsmechanismusdesWLANsgenügend sicher? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein denvonunabhängigen Testern ein Angriff auf das Netzwerksimuliert, um Schwachstellen zu identifizieren?Bemerkung:2.10. ExistierenausreichendeMaßnahmenzurIdentifikation und Authentisierung von externemWartungspersonal (z. B. sicherer Passwortschutz)?Bemerkung:2.11. WirddasBenutzerpasswortfürdasWartungspersonal unmittelbar nach dem Abschlussvon Wartungsaktivitäten geändert?Bemerkung:2.12. Wird bei der Fernwartung die Verbindung von einerPerson aufgebaut, welche Mitglied der eigenenOrganisation ist?Bemerkung:2.13. Geschieht der Verbindungsaufbau von innerhalbdes Netzwerks aus?Bemerkung:2.14. Ist durch die Organisation sichergestellt, lliert werden?Bemerkung:2.15. Ist bei der lokalen Wartung durch Externesichergestellt, dass keine V-Bereichunkontrolliert verlassen können?3.Zugriffskontrolle – Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems,z. B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.3.1.Stellen die Benutzer sicher, dass ihre DVAusstattung (PC, Laptop, Smartphone etc.), fallsunbeaufsichtigt,ausreichend(z.B.durchAbmelden vom System usw.) geschützt ist? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung: Automatischer nSchreibtischs und des leeren Bildschirms gelebt(Clean Desk)?Bemerkung:3.3.Wird dem Benutzer der Zeitpunkt der letztmaligenVerfahrensnutzung angezeigt?Bemerkung:3.4.Wird für die Gewährleistung der eSicherheitssoftware (z. B. Intrusion Detection)eines Fremdherstellers eingesetzt?Bemerkung:3.5.Wird von der Verschlüsselung der Daten aufDateiebene/Verzeichnisebene Gebrauch gemacht?Bemerkung:Seite 12 von 20

3.6.WerdendieInformationenaufmobilenDatenträgern ausreichend davor geschützt, imVerlustfall ausgelesen werden zu können? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:3.7.Wird die Software eines anerkannten Herstellerseingesetzt, so dass von hinreichend sicherenVerschlüsselungsalgorithmen und Schlüssellängenausgegangen werden kann?Bemerkung:3.8.Gibt es eine Anweisung darüber, wie mit nicht mehrbenötigten Datenträgern umzugehen ist (dazugehört auch beschriebenes oder bedrucktesPapier)?Bemerkung:3.9.Gibt es eine Anweisung darüber, wie bei derEntsorgung oder Weiterverwendung von stet sind?Bemerkung:3.10. Istsichergestellt,dassDokumenteundDatenträger, deren Aufbewahrungsfrist abläuft,nachhaltig vernichtet bzw. gelöscht werden?Bemerkung:4.Trennungskontrolle – Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhobenwurden, z. B. Mandantenfähigkeit, Sand Boxing.4.1.Werden personenbezogene Daten auf g unterschiedlicher Datensätze aufgetrennten Systemen)? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:4.2.Werden personenbezogene Daten auf iche Datensätze in einer einheitlichenDatenbank werden je nach Zweck markiert(softwareseitige Unterscheidbarkeit))?Bemerkung:4.3.Sind die im Unternehmen eingesetzten Systememandantenfähig?Bemerkung:4.4.Ist die Mandantenfähigkeit für die davonbetroffenen Verfahren durchgängig realisiert?Bemerkung:4.5.Ist die Mandantenfähigkeit der Verfahren in ert?Bemerkung:4.6.Befinden sich Office-, Entwicklungs-, Test- undWirksysteme in klar voneinander getrenntenNetzsegmenten, vielleicht sogar physikalischvoneinander getrennt?Bemerkung:4.7.Ist sichergestellt, dass im Entwicklungs- undTestsystem nur Testdaten verarbeitet werden?Bemerkung:Seite 13 von 20

4.8.Ist sichergestellt, dass Testdaten, die ausEchtdaten abgeleitet werden, anonymisiert sind? Ja Nein TeilweiseBemerkung:5.Pseudonymisierung – Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohneHinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnetwerden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden undentsprechenden technischen und organisatorischen Maßnahmen ngsverfahrenmitgetrennterAufbewahrung der Zuordnungsdatei eingesetzt? Ja Nein TeilweiseBemerkung:Wahrung der Integrität personenbezogener Daten (Art. 32 Abs. 1 lit. b) DS-GVO)6.Weitergabekontrolle – Weitergabekontrolle – Kein unbefugtes Lesen, Kopieren, Verändern oderEntfernen bei elektronischer Übertragung oder Transport, z. B.: Verschlüsselung, Virtual Private Networks(VPN), elektronische Signatur.6.1. WurdenallePersonen,diemitderVerarbeitung/Nutzung personenbezogener Datenbeschäftigt sind, zur Einhaltung der Vertraulichkeitverpflichtet? Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBehandlunggekündigter Ja Nein TeilweiseGibt es ein unternehmensweit gültiges Schema fürdie Klassifizierung von Daten? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:6.2.Werden allen neuen Mitarbeitern bei derVerpflichtung zur Vertraulichkeit Informationenzum Datenschutz ausgehändigt?Bemerkung:6.3.Sind die Mitarbeiter, die personenbezogene Datenverarbeiten/nutzen, durch tenamArbeitsplatz geschult erkung:6.6.Sind angemessene Sicherheitsmaßnahmen für denphysischen Transport von Datenträgern (inkl.Papier) umgesetzt?Bemerkung:6.7.Sind angemessene Sicherheitsmaßnahmen für dieWeitergabe von Datenträgern zu Wartungszweckenoder zur Fehleranalyse umgesetzt?Bemerkung:6.8.Erfolgt :6.9.Ist sichergestellt, dass Daten nur an die vomAuftraggeberfestgelegtenoderderZweckbestimmung nach richtigen Adressatenübermittelt werden?Bemerkung:Seite 14 von 20

6.10. Wird eine Übersicht/Liste über diejenigen esteuert stattfinden können? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:6.11. Erfolgt eine revisionssichere Protokollierung nungdesaufrufendenVerfahrens,Empfänger, Daten, Datum, Uhrzeit?Bemerkung:6.12. Erfolgt die Übermittlung derDaten verschlüsselt?weitergegebenenBemerkung:6.13. Wird bei der Weitergabe von Daten von ngGebrauchgemacht, soweit möglich?Bemerkung:6.14. eineAufdeckungdesPseudonyms nicht oder nur sehr schwer beitungssysteme eingegeben, verändert oder entfernt worden sind, z. B.: ntiert,welchebenutzeroderverfahrensbezogene Auswertemöglichkeiten imUnternehmen eingesetzt werden? Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein Teilweise Ja Nein TeilweiseBemerkung:7.2.Ist bekannt (und dokumentiert), welche Hilfsmittel(Audit-Programme) zur maschinellen Auswertungvon Log-Dateien eingesetzt werden und welcheFilterkriterien angewandt werden?Bemerkung:7.3.Ist geregelt, wie lange diese protokollierten Datenaufbewahrt werden ung?DateneinerstrengenBemerkung:7.5.Finden stichprobenartig Kontrollen durch den DSBoder durch eine andere benannte Person isten)?Bemerkung:7.6.Sind die protokollierten Daten gegen unbefugteEinsicht oder Manipulation fahrenManipulationserkennung eingesetzt?zurBemerkung:Wahrung der Verfügb

Fernwartungssoftware Teamviewer oder PCVisit. Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Monitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm d