Auftragsverarbeitungsvertrag (AVV)

Präambel

Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers, insbesondere hinsichtlich solcher Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand

Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer zur Durchführung und Erfüllung des Software-as-a-Service Vertrages (nachfolgend „Leistungsvereinbarung“): Erfassung/Import der zur bAV-Beratung relevanten Lohn-/Gehaltsdaten in das Online-Beratungssystem des Auftragnehmers und damit verbundene Nebentätigkeiten, sowie weitere Datenverarbeitungen im Rahmen der Leistungserbringung.

(2) Dauer

Die Dauer dieser Vereinbarung richtet sich nach der Dauer der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten

Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers: Erfassung der Lohn-/Gehaltsdaten der bAV-zu-beratenden Arbeitnehmer des Auftraggebers auf Basis von durch den Auftraggeber zur Verfügung gestellten Gehaltsabrechnungen („Gehaltszettel“) oder Aufbereitung und elektronischer Import dieser Daten auf Basis eines durch den Auftraggeber vorbereiteten Datenexports aus dessen Lohn-/Gehaltsprogramm; damit verbundene Nebentätigkeiten; die Tätigkeiten werden in den Räumlichkeiten der dWERK und/oder eines der in Ziffer 6. „Unterauftragsverhältnisse“ aufgeführten Unterauftragnehmers vorgenommen.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO und/oder andere ggf. anwendbare Vorschriften erfüllt sind.

(2) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

• Personenstammdaten (Name, Adresse, Geburtsdatum)
• Kommunikationsdaten (Telefon, E-Mail)
• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
• Planungs- und Steuerungsdaten (wöchentliche, monatliche Vertragsstunden, Firmeneintrittsdatum)
• Gehaltsdaten zur Berechnung der Steuer-/Sozialversicherungsersparnis

(3) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Beschäftigte des Auftraggebers

3. Technisch-Organisatorische Maßnahmen (TOM)

(1)  Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sind in Anlage 1 aufgelistet.

(2)  Der Auftragnehmer hat die Umsetzung der von ihm ergriffenen angemessenen technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber auf Anforderung zur Prüfung zu übergeben. Zum Nachweis der getroffenen Maßnahmen kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheits- oder Datenschutzaudit [z.B. nach BSI-Grundschutz]) vorlegen. Insbesondere die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DS-GVO ist geeignet, um die Erfüllung der im vorstehenden Absatz genannten Anforderungen nachzuweisen. Soweit ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(3)  Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1)  Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich oder zwecks Wahrnehmung ihrer weiteren Betroffenenrechte unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2)  Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Benennung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt.

Datenschutzbeauftragter beim Auftragnehmer ist:
ISO Schmiede GmbH – AP. Andreas Kunz
Graf-Eberstein-Straße 3, 76275 Ettlingen
Tel. 07243 9916700
E-Mail: service@isoschmiede.de

Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO
[Einzelheiten in Anlage 1].

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften angemessen zu unterstützen.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1)  Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. 
Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2)  Genehmigte Unterauftragsverarbeiter
Die vom Auftragnehmer eingesetzten Unterauftragsverarbeiter sind in der Anlage 2 aufgeführt. Mit dem Abschluss des AVV stimmt der Kunde der Beauftragung der Unterauftragsverarbeiter zu, die zum Zeitpunkt des Abschlusses des AVV in der Anlage 2 aufgeführt sind, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO.

(3) BLEIBT Die Weitergabe personenbezogener Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4)  Der Wechsel von bestehenden Unterauftragnehmern und die Ernennung weiterer Unterauftragnehmern ist zulässig, soweit:

a) der Auftragnehmer einen solchen Wechsel (Austausch bzw. Ersetzung) von Unterauftragnehmern dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform unter Angabe des geplanten Datums des Wechsels anzeigt und

b) der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer, unter Darlegung von objektiv nachvollziehbaren Gründen, schriftlich oder in Textform Einspruch gegen den geplanten Wechsel erhebt.

Erfolgt innerhalb dieser Frist kein Widerspruch, so gilt der entsprechend mitgeteilte neue Unterauftragnehmer als genehmigt. Kann im Falle eines fristgerechten Widerspruchs keine Lösung erzielt werden, sind beide Parteien berechtigt, den AVV mit einer Frist von 2 Wochen zu kündigen. 

c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 4 DS-GVO zugrunde gelegt wird.

(5)  Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher, so dass die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Gleiches gilt, wenn Dienstleister im Sinne von Ziffer 6 Abs. 1 Satz 2 dieses Vertrages eingesetzt werden sollen.

(6)  Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Auftraggebers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Kontrollrechte des Auftraggebers

(1)  Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch einen im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Betriebs- und Geschäftszeiten ohne Störung des Betriebsablaufes zu überzeugen.

(2)  Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte in einer angemessenen Frist zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3)  Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch einschlägige Zertifizierungen oder aktuelle Berichte unabhängiger Instanzen (z.B. Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO.

8. Unterstützungspflichten des Auftragnehmers

(1)  Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. Hierzu gehören u.a.

a)   die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen (vgl. Ziffer 3 dieses Vertrages);

b)  die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;c)  die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

d)  die Unterstützung des Auftraggebers im Rahmen einer etwaigen Datenschutz-Folgenabschätzung;

e)  die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2)  Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers

(1)  Der Auftragnehmer wird die Daten nur gemäß den dokumentierten Weisungen des Auftraggebers verarbeiten, die insbesondere durch die Leistungsvereinbarung und diesen Vertrag festgelegt sind. Etwaige Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen erfolgen nach Weisung des Auftraggebers und sind zu dokumentieren. Werden Änderungen der Verarbeitung umgesetzt, ist der Auftraggeber unmittelbar darüber zu informieren. Weisungen, welche die in diesem Vertrag getroffenen Regelungen ändern, aufheben oder ergänzen, bedürfen der schriftlichen Vereinbarung durch beide Parteien, um wirksam zu werden.

(2)  Mündliche Weisungen bestätigt der Auftraggeber unverzüglich und bedürfen der Schriftform per Brief oder E-Mail.

(3)  Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung der Rückgabe von personenbezogenen Daten

(1)  Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2)  Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer nach Wahl des Auftraggebers sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber herauszugeben oder datenschutzgerecht zu vernichten bzw. die Daten zu löschen, soweit nicht berechtigte Gründe im Sinne von Art. 17 Abs. 3 DS-GVO der Löschung entgegenstehen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung bzw. Vernichtung ist auf Anforderung vorzulegen.

(3)  Um dem Auftraggeber im Falle der Herausgabe der Daten gemäß Ziffer 10 Abs. 2 dieses Vertrags genügend Zeit zu geben, die im Auftrag verarbeiteten Daten hinreichend zu sichern, wird der Auftragnehmer dem Auftraggeber die Daten zunächst als Kopie herausgeben und die bei ihm noch gespeicherten Daten erst 30 Tage nach der Herausgabe der Kopie an den Auftraggeber löschen, sofern der Auftraggeber nicht innerhalb dieser Frist mitteilt, dass die ihm übergebenen Daten nicht lesbar oder nicht vollständig sind. Das Unterbleiben der Mitteilung gilt als Zustimmung zur Löschung der Daten. Sofern der Auftraggeber nicht innerhalb von 30 Tagen nach Beendigung der Leistungsvereinbarung von seinem Wahlrecht nach Ziffer 10 Abs. 2 dieses Vertrags Gebrauch macht, kann der Auftragnehmer die Daten gemäß der gesetzlichen Löschfristen löschen bzw. vernichten.

(4)  Für die Beachtung der handels- und steuerrechtlichen Aufbewahrungsfristen ist allein der Auftraggeber verantwortlich.

(5)  Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Schlußbestimmungen

(1)  Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(2)  Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.

(3)  Ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit diesem Vertrag ist Karlsruhe, soweit nicht ein ausschließlicher gesetzlicher Gerichtsstand besteht.

(4)  Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1

Technische und organisatorische Maßnahmen (TOM)
der dWERK GmbH & Co. KG
gemäß Art. 32 Abs. 1 DS-GVO

Die dWERK GmbH & Co KG, Anbieter von Digitalisierungsprozessen im Bereich betrieblicher Altersversorgung, trifft nachfolgende und technische organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DS-GVO.

Die nach den Maßnahmen genannten Referenzen in Klammern beziehen sich auf Anhang A der ISO 27001 als umzusetzende Pflichtmaßnahmen.

1. Pseudonymisierung

Personenbezogene Daten werden unter einem Pseudonym abgelegt, erst bei Entschlüsselung werden diese Daten entschlüsselt.

2. Verschlüsselung

Die Übertragung sämtlicher personenbezogener Daten zwischen den einzelnen Anwendungen (DCRYPT, MS Dynamics, WebPortal) werden verschlüsselt und erfolgen durch verschlüsselte SSL-Verbindungen. Der Aufruf der Portalanwendung durch den Auftraggeber erfolgt über das HTTPS-Protokoll.

Alle Passwörter der Anwendungen werden verschlüsselt gespeichert, so dass weder der Betreiber der Anwendungen noch dWERK in Kenntnis der Klartextpasswörter gelangen können.

3. Vertraulichkeit

Sämtliche Daten werden auf Dedicated Servern bzw. Backup-Servern in einem Rechenzentrum innerhalb der europäischen Union gespeichert.

Zugangskontrolle und Sicherheit

Folgende Maßnahmen wurden getroffen:

• Zugangssteuerungsrichtlinie (A.9.1.1)
• Zugang zu Netzwerken und Netzwerkdiensten nur durch die Personen möglich, die zur Nutzung befugt sind (A.9.1.2)
• Prozess zur Benutzerzugangsverwaltung (A.9.2)
• Regeln für den Umgang geheimer Authentisierungsinformationen (A.9.3.1)
• Zugangssteuerung für Systeme und Anwendungen (A.9.4)
• Definition von Sicherheitsbereichen mit physischer Zutrittssteuerung (A.11.1)
• Sichern von und Arbeiten in Büros, Räumen und Einrichtungen (A.11.1)
• Schutz vor externen und umweltbedingten Bedrohungen (A.11.1)
• Netzwerksicherheitsmanagement (A.13.1)
• Sicherheit in der Informationsübertragung (A.13.2)

Zugriffskontrolle

• Mandantenfähigkeit
• Trennung von Test- und Produktionssystem; im Testsystem befinden sich keine echten personenbezogenen Daten.
• Administrationskonzept nach dem Least-Privilege-Model (nur so viel Zugriffsrechte
• wie benötigt wird).

Die Anwendungen dCRYPT und MS Dynamics (nachfolgend als Anwendungen benannt) sind ausschließlich für Mitarbeiter der Firma dWERK zugänglich. Die priviligierten Zugänge zu den Anwendungen sind für jeden Mitarbeiter über ein Zugangsmanagement definiert.  

Die Arbeitnehmer des Auftraggebers, die sich über das WEB-Portal beraten lassen, bekommen einen 16-stelligen Schlüssel und einen Freischaltcode, die ihnen in einem verschlossenen Umschlag von ihrem Firmenadministrator übergeben werden.

Trennung

Die Software ist eine mandantenfähige Software. Zur Trennung der Daten verschiedener Mandanten werden sämtliche Datensätze des Auftraggebers parametrisiert mit einer eindeutigen, dem Auftraggeber zugeordneten Kennung und können somit mandantenspezifisch gefiltert werden.

4. Gewährleistung der Integrität

Eingabekontrolle

Sämtliche Eingaben, Änderungen und Löschungen von personenbezogenen Daten in den Anwendungen werden protokolliert. Sofern der Zugriff auf die Anwendungen durch einen angemeldeten Benutzer erfolgt, wird die Eingabe, Änderung oder Löschung unter diesem angemeldeten Benutzer protokolliert. Diese Protokolle sind mit dem Datensatz über die jeweilige Person in der Datenbank assoziiert und werden vollständig und datenschutzgerecht gelöscht, wenn der zugehörige Personen-/Mandanten-Datensatz gelöscht wird. Der Zugriff auf diese Protokolle ist für autorisierte Mitarbeiter des Auftraggebers (dWERK) und für befugte Supportmitarbeiter möglich (dWERK, PTA).

Weitergabekontrolle

Die Übertragung sämtlicher personenbezogener Daten zwischen den einzelnen Anwendungen wird verschlüsselt und erfolgt durch verschlüsselte SSL-Verbindungen. Der Aufruf der Portalanwendung durch den Auftraggeber bzw. seine Arbeitnehmer erfolgt über das HTTPS-Protokoll.

Alle Mitarbeiter von dWERK sind verpflichtet, den sicheren Umgang mit personenbezogenen Daten im Sinne des Artikel 32 Abs. 4 DS-GVO sicherzustellen.

5. Gewährleistung der Verfügbarkeit

• Platzierung und Schutz von Betriebsmitteln (A.11.2.1)
• Versorgungseinrichtungen (USV, Kälte, Notstrom, Rechenzentruminfrastruktur) (A.11.2.2)
• Sicherheit der Verkabelung (Energie, Netze, Einspeisung, Redundanzen) (A.11.2.3)
• Instandhalten von Geräten und Betriebsmitteln (A.11.2.4)
• Schutz vor dem Entfernen von Werten (A.11.2.5)
• Schutz vor Missbrauch außerhalb der Firmengelände (A.11.2.6)
• Maßnahmen zur sicheren Entsorgung besonders von Datenträgern (A.11.2.7)
• Richtlinien für Arbeitsgeräte (A.11.2.8+9)
• Kapazitätssteuerung (A.12.1.3)
• Durchführung einer angemessenen Datensicherung (A.12.3)

6. Gewährleistung der Belastbarkeit der Systeme

• Permanente Überwachung der Auslastung von Kundensystemen (CPU, RAM, Festspeicher) mit automatischer Benachrichtigung bei Überschreitung von Schwellwerten
• Regelmäßige Pentests
• Maßnahmen zur Anschaffung, Entwicklung und Instandhaltung von Systemen (A.14)
• Mit den Auftraggebern vereinbarte Verfahren im Fall von Kapazitätsüberschreitungen

7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

• Business Continuity Management: Planen, Umsetzen und Überprüfen von Maßnahmen zur Aufrechterhaltung der Informationssicherheit auch nach einem Notfall (A.17.1)
• Bereitstellung von Redundanzen (A.17.2)

8. Verfahren zur regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

• Handhabung technischer Schwachstellen (A.12.6)
• Audit von Informationssystemen (A.12.7.1)
• Handhabung von Informationssicherheitsvorfällen (A.16)
• Unabhängige Überprüfung der Informationssicherheit (A.18.2.1)
• Überprüfung der Einhaltung von Sicherheitsrichtlinien und –standards (A.18.2.2)
• Überprüfung der Einhaltung technischer Vorgaben (A.18.2.3)
• Risikomanagement
• Alle Mitarbeiter von dWERK werden über die Notwendigkeiten des vertraulichen Umgangs mit personenbezogenen Daten informiert und zu deren Einhaltung verpflichtet.

Die beschriebenen technischen und organisatorischen Maßnahmen werden quartalsweise durch dWERK geprüft und bewertet.

Anlage 2

Liste der Unterauftragnehmer