Auftragsverarbeitungsvertrag
Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO
zwischen
dem Spacific GmbH Kunden bzw. Nutzer der Produkte der Spacific Solution Platform
als Verantwortliche/r - nachfolgend "Auftraggeber" genannt –
und
Spacific GmbH
Drögensee 39b
22397 Hamburg
als Auftragsverarbeiter/in - nachfolgend "Auftragnehmer" genannt –
- Auftraggeber und Auftragnehmer nachfolgend jeder auch "Partei" und gemeinsam "Parteien" -
Präambel
Der Auftragnehmer erbringt für den Auftraggeber Leistungen aus den vom Auftragnehmer gebuchten Produkten der Spacific Solution Platform. Die Geschäftsbeziehung zwischen Auftragnehmer und Auftraggeber hat spätestens mit der Registrierung des Auftraggebers auf portal.spacific.de begonnen. Diese Vereinbarung beschreibt die Verpflichtungen der Vertragsparteien, die sich aus Registrierung des Auftraggebers im Spacific Solution Portal ergeben (im Folgenden: "Hauptvertrag"). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DS-GVO"). Zur Erfüllung der Anforderungen der DS-GVO an derartige Konstellationen schließen die Parteien den nachfolgenden Vertrag, dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
§ 1 Gegenstand/Umfang der Beauftragung
(1) Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese, soweit eine Auftragsverarbeitung vorliegt, ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.
(2) Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer im Rahmen einer Auftragsverarbeitung erfolgt ausschließlich in der in Anlage 1 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 2 zu diesem Vertrag dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
(3) Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in den Anlagen 1 und 2 hinausgehende Verarbeitung von Auftraggeberdaten untersagt. Dies gilt auch für die Verwendung anonymisierter Daten.
(4) Die Verarbeitung der Auftraggeberdaten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DS-GVO erfüllt sind.
(5) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden, soweit der Auftragnehmer im Rahmen einer Verarbeitung nicht selbst Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO ist.
§ 2 Weisungsbefugnisse des Auftraggebers
(1) Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Auftragsverarbeitung nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers iSv Art. 28 DS-GVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Weisungen werden vom Auftraggeber grundsätzlich schriftlich (hier und im Folgenden ist damit auch die Textform eingeschlossen) erteilt; mündlich erteilte Weisungen sind vom Auftraggeber schriftlich zu bestätigen. Die weisungs- und empfangsberechtigten Personen ergeben sich aus Anlage 3. Bei einem Wechsel oder einer längerfristigen Verhinderung der in Anlage 3 benannten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
§ 3 Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden "Mitarbeiter" genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich nachweisen.
(3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DS-GVO, insbesondere die in Anlage 4 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.
(4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 4 nicht mehr ausreichend sind und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.
(5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 4 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.
§ 4 Informations- und Unterstützungspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Die Meldungen gemäß § 4 Abs. 1 Satz 1 enthalten jeweils zumindest die in Art. 33 Absatz 3 DS-GVO genannten Angaben, soweit diese dem Auftragnehmer vorliegen.
(2) Der Auftragnehmer wird den Auftraggeber im Falle des § 4 Abs. 1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.
(3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß § 7 Abs. 1 dieses Vertrages erforderlich sind.
§ 5 Sonstige Verpflichtungen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Absatz 2 DS-GVO zu führen.
(2) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO zu unterstützen.
§ 6 Subunternehmerverhältnisse
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 5. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt ebenfalls nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
(3) Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
(4) Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.
§ 7 Kontrollrechte
(1) Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß § 3 Abs. 3 dieser Vereinbarung, zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(4) Zur Durchführung von Inspektionen nach Abs. 1 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung (in der Regel mindestens zwei Wochen vorher) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.
(5) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen.
§ 8 Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber unverzüglich die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.
(2) Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich zu berichtigen, löschen oder einzuschränken.
(3) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.
§ 9 Laufzeit und Kündigung
(1) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages.
(2) Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt vor, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.
§ 10 Löschung und Rückgabe nach Vertragsende
(1) Der Auftragnehmer wird nach Beendigung des Hauptvertrags alle ihm überlassenen Unterlagen, Daten, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen.
(2) Die Parteien sind verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihnen im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.
§ 11 Haftung
(1) Die Haftung der Parteien richtet sich nach Art. 82 DS-GVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. § 11 Abs. 2 Satz 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Hamburg.
Anlagen
Anlage 1 – Konkretisierung von Art. Umfang und Zweck der Datenverarbeitung
Der Auftragnehmer bietet Augmented-Reality-Lösungen an, u.a. zur Erstellung und Verarbeitung von digitalen Aufmaßen und 3D-Modellen. Zur Nutzung der Lösungen richtet der Auftraggeber ein digitales Nutzerkonto bei dem Auftragnehmer ein, in dem der Auftraggeber seine Projekte verwaltet, die er wiederum bei seinen Kunden durchführt (z.B. die Erstellung eines Aufmaßes). Dabei werden in der Regel einerseits die im Rahmen der Vertragsbeziehung zwischen Auftraggeber und Auftragnehmer sowie die im Rahmen der Projekte zwischen Auftraggeber und dessen Kunden typischerweise anfallenden Daten im Nutzerkonto gespeichert. Dabei handelt es sich insbesondere um dienstliche Kontaktdaten (Name, Vorname, E-Mail-Adresse) der Mitarbeiter des Auftraggebers sowie ggf. um entsprechende Daten der Kunden des Auftraggebers oder Dritter, da der Auftraggeber seine Projekte (darunter auch Bildmaterial) in seinem Nutzerkonto im Rahmen einer Mandantenstruktur verwalten kann. Zweck der Datenverarbeitung ist die Zurverfügungstellung der o.g. Augmented-Reality-Lösungen.
Anlage 2 – Beschreibung der Datenarten und der Kategorien betroffener Personen
Siehe die Angaben in Anlage 1
Anlage 3 – Weisungs- und empfangsberechtige Personen
Auftragnehmer: Dennis Ahrens, Geschäftsführer
Auftraggeber: Der erste Nutzer, der die Registrierung für den Auftraggeber übernommen hat.
Anlage 4 – Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DS-GVO)
Anlage 5 – Aktuelle Unterverarbeiter
Microsoft Clouddienste (Serverstandort in der EU): Cloud-Speicher-Dienste; Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA; Website: https://microsoft.com/de-de; Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement, Sicherheitshinweise: https://www.microsoft.com/de-de/trustcenter.
CRM-System: Dienstanbieter: HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Website: https://www.hubspot.de/; Datenschutzerklärung: https://legal.hubspot.com/de/privacy-policy; DPA: https://legal.hubspot.com/de/dpa
Rechnungs-System: Dienstanbieter SevDesk GmbH, Hauptstraße 115
77652 Offenburg Germany Datenschutzerklärung https://sevdesk.de/sicherheit-datenschutz/#datenschutz
TOM Checkliste
- Zutrittskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Die Zugänge zu den Arbeitsplätzen sind ausreichend abgesichert (verschließbare Türen und Fenster). | x |
| Richtlinie Mobiles Arbeiten |
2. | Die Räumlichkeiten werden überwacht (Videoüberwachung, Alarmanlage). |
| x | Richtlinie Mobiles Arbeiten |
3. | Es gibt einen Pförtner/Empfang. |
| x | Richtlinie Mobiles Arbeiten |
4. | Es gibt ein Zugangskontrollsystem (zum Beispiel mit Chipkarten). |
| x | Richtlinie Mobiles Arbeiten |
5. | Es wird eine Liste mit Inhabern eines Schlüssels geführt. |
| x | Richtlinie Mobiles Arbeiten |
6. | Die Schlüsselausgabe wird quittiert. |
| x | Richtlinie Mobiles Arbeiten |
7. | Beim Arbeitsbeginn und Arbeitsende werden die individuellen Büros auf- bzw. abgeschlossen. |
| X | Richtlinie Mobiles Arbeiten |
8. | Es gibt ein Konzept, welche Mitarbeiter Zugang zu welchen Unternehmensbereichen haben. |
| X | Richtlinie Mobiles Arbeiten |
9. | Die Mitarbeiter/zutrittsberechtigte Personen sind äußerlich leicht erkennbar (Dienstkleidung, sichtbare Ausweise) |
| X | Richtlinie Mobiles Arbeiten |
10. | Besuche werden dokumentiert. | X |
| Richtlinie Mobiles Arbeiten |
11. | Öffentlich zugängliche Bereiche (Publikumszonen) sind vom Rest des Unternehmens klar getrennt |
| X | Richtlinie Mobiles Arbeiten |
12. | Reinigungspersonal wird sorgfältig ausgewählt und zur Vertraulichkeit im Umgang mit Daten verpflichtet. |
| X | Richtlinie Mobiles Arbeiten |
13. | Wachpersonal wird sorgfältig ausgewählt und zur Vertraulichkeit im Umgang mit Daten verpflichtet. |
| X | Richtlinie Mobiles Arbeiten |
14. | Die An- und Abwesenheit von Mitarbeitern wird überprüft (Stechuhr). |
| x | Richtlinie Mobiles Arbeiten |
15. | Es wurde eine Beratung zur Einbruchssicherung durch die Polizei oder einen spezialisierten Dienstleister in Anspruch genommen und die Ergebnisse ausgewertet. |
| x | Richtlinie Mobiles Arbeiten |
- Zugangskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Es wird eine Firewall eingesetzt. | X |
|
|
2. | Es wird ein Virenscanner eingesetzt. | X |
|
|
3. | Es gibt ein Intrusion Detection System. | X |
|
|
4. | Zugriffe von außen erfolgen über VPN. |
| X |
|
5. | Alle Rechner sind passwortgeschützt. | X |
|
|
6. | Jeder Mitarbeiter hat ein eigenes Nutzerkonto. | X |
|
|
7. | Es gibt Vorgaben für die Passwörter (Länge, Sonderzeichen, …). | X |
|
|
8. | Es gibt Vorgaben, wie häufig das Passwort gewechselt werden muss. | X |
|
|
9. | Es wird protokolliert, wie häufig Passwörter falsch eingegeben wurden. |
| X |
|
10. | Die Protokolle zur Falscheingabe von Passwörtern werden regelmäßig ausgewertet. |
| X |
|
11. | Bei einer bestimmten Anzahl von Falscheingaben wird der Zugang gesperrt. | X |
|
|
12. | Nach einer Falscheingabe ist die erneute Anmeldung erst mit zeitlicher Verzögerung möglich. | X |
|
|
13. | Es wird Zwei-Faktor-Authentifizierung genutzt. | X |
|
|
14. | Rechner in sensiblen Bereichen haben weder USB-Steckplätze noch DVD/CD-Laufwerke. |
| X |
|
15. | Datenträger werden verschlüsselt. | X |
|
|
- Zugriffskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Es besteht ein Konzept abgestufter Zugriffsrechte. | X |
|
|
2. | Es werden Verfahren eingesetzt zum Erkennen unerwünschter Datenabflüsse. |
| X |
|
3. | Es werden regelmäßig Penetrationstests durchgeführt |
| X |
|
4. | Es wird eine Inventarliste über vorhandene Datenträger geführt. | X |
|
|
5. | Backup-Datenträger werden außerhalb des Unternehmens aufbewahrt |
| X |
|
6. | Es gibt eigene Datenträger für jeden Kunden. |
| X |
|
7. | Der Einsatz privater Datenträger ist untersagt | X |
|
|
8. | Zugriffe und Zugriffsversuche werden protokolliert | X |
|
|
9. | Protokolle über Zugriffsversuche werden aufbewahrt und ausgewertet. | X |
|
|
10. | Datenträger werden vor der Verwendung vollständig von Daten bereinigt. | X |
|
|
11. | Vor einer Weitergabe (z. B. Verkauf von Altgeräten) werden vorhandene Daten vollständig gelöscht. | X |
|
|
12. | Es gibt ein Konzept zur Entsorgung von Unterlagen einschließlich Fehldrucken und Notizen. | X |
|
|
13. | Datenträger werden ordnungsgemäß vernichtet. | X |
|
|
14. | Die Einhaltung des Entsorgungskonzepts wird regelmäßig kontrolliert. | X |
|
|
15. | Die dienstliche Nutzung private Geräte ist untersagt. |
| X |
|
16. | Es besteht ein Sicherheitskonzept für Arbeiten mit PC und Mobilgeräten, die Mitarbeiter zuhause oder unterwegs ausführen. |
| X |
|
17. | Administratorenrechte werden an den kleinstmöglichen Personenkreis vergeben. | X |
|
|
18. | In Mehrpersonenbüros gibt es einen Sichtschutz für Mitarbeiter, die regelmäßig sensible Daten bearbeiten. |
| X |
|
19. | Sensible Daten auf Papier werden in verschließbaren Schränken aufbewahrt. | X |
|
|
- Weitergabekontrolle
|
| Ja | Nein | Bemerkungen |
1. | Es ist festgelegt, wer Datenträger ausgeben und entgegennehmen darf. | X |
|
|
2. | Die Weitergabe von Datenträgern und die beteiligten Personen werden protokolliert. | X |
|
|
3. | Bei der Rückgabe von Datenträgern wird deren Vollständigkeit überprüft und vermerkt | X |
|
|
4. | Es gibt Vorgaben, welche Personen als Boten eingesetzt werden dürfen. | X |
|
|
5. | Es werden verschlüsselte Verbindungen (https, sftp, …) bereitgestellt. | X |
|
|
6. | E-Mails werden verschlüsselt. |
| X |
|
7. | Mitarbeiter sind angewiesen, Daten vor der Weitergabe wenn möglich zu anonymisieren oder zu pseudonymisieren. | X |
|
|
- Eingabekontrolle
|
| Ja | Nein | Bemerkungen |
1. | Die Eingabe von Daten wird protokolliert. |
| X |
|
2. | Es wird protokolliert, wer die Daten eingegeben hat. |
| X |
|
3. | ES wird der Zeitpunkt einer Eingabe protokolliert | x |
|
|
4. | Es wird die Änderung im Vergleich zu vorher protokolliert. | X |
|
|
5. | Eingegebene Daten werden auf Plausibilität kontrolliert. | X |
|
|
6. | Erfasste Belege werden mit Stempeln versehen. |
| x |
|
- Auftragskontrolle
|
| Ja | Nein | Bemerkungen |
1. | (Unter-)Auftragnehmer werden sorgfältig ausgewählt nach festen Kriterien. | X |
|
|
2. | Subunternehmer von (Unter-)Auftragnehmern werden ebenfalls geprüft. | X |
|
|
3. | Es werden schriftliche Verträge zur Auftragsverarbeitung abgeschlossen. | X |
|
|
4. | Zuständigkeiten und Verantwortlichkeiten sind im Verhältnis zu den Unterauftragnehmern eindeutig geregelt. | X |
|
|
5. | Arbeitsergebnisse von (Unter-)Auftragnehmern werden regelmäßig kontrolliert. | X |
|
|
6. | Die technisch-organisatorischen Maßnahmen des (Unter‑)Auftragnehmers werden vor Beginn des Auftrags und in regelmäßigen Abständen überprüft. | X |
|
|
7. | Weisungen an den (Unter-)Auftragnehmer werden dokumentiert. | X |
|
|
- Verfügbarkeitskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Es sind Rauchmelder vorhanden. | X |
|
|
2. | Es sind Feuerlöscher vorhanden. | X |
|
|
3. | Es gibt eine unterbrechungsfreie Stromversorgung. | x |
|
|
4. | Es werden regelmäßig Backups gemacht. | X |
|
|
5. | Datenträger für Backups werden verschlüsselt. | X |
|
|
6. | Es gibt einen Notfallplan (z. B. nach BSI-Grundschutz). | X |
|
|
7. | Es wird regelmäßig geprüft, ob das System aus Backups wiederherstellbar ist. | X |
|
|
8. | Es werden regelmäßig Belastungstests durchgeführt. | X |
|
|
9. | Bei hoher Belastung werden zusätzliche Server zugeschaltet. | X |
|
|
10. | Temperatur und Feuchtigkeit in den Serverräumen werden überwacht. | X |
|
|
11. | Der Serverraum ist videoüberwacht. | X |
|
|
Ergänzungen/Erläuterungen:
Aussagen treffen auf Logistic Hub Hamburg und den Firmensitz zu. Die Server werden aus der Cloud hinzugeschaltet.
- Trennungskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Daten, die zu den besonderen Kategorien personenbezogener Daten gehören, werden besonders geschützt. | X |
|
|
2. | Daten, die für unterschiedliche Vertragszwecke erhoben wurden, können getrennt voneinander bearbeitet, übermittelt und gelöscht werden. | X |
|
|
3. | Es gibt ein System, das Zugriff auf Datensätze nur für einzelne Vertragszwecke ermöglicht (Mandantenfähigkeit). | X |
|
|
4. | Bei Software-Tests und Simulationen werden ausschließlich anonymisierte Daten verwendet. | X |
|
|
5. | Produktiv- und Testumgebung sind getrennt. | X |
|
|
6. | Systeme und Datenbanken sind physikalisch voneinander getrennt. | X |
|
|
- Organisationskontrolle
|
| Ja | Nein | Bemerkungen |
1. | Es existiert eine Sicherheitspolicy der Unternehmensleitung. | X |
|
|
2. | Es existieren Sicherheitsrichtlinien zur Umsetzung der Sicherheitspolicy. | X |
|
|
3. | Dokumente und Weisungen zu IT-Sicherheit und Datenschutz sind zentral hinterlegt und für die Mitarbeiter während der Arbeitszeit frei zugänglich. | X |
|
|
4. | Es gibt einen (internen oder externen) Datenschutzbeauftragten. | X |
|
|
5. | Es gibt einen (internen oder externen) IT-Sicherheitsbeauftragten. | X |
|
|
6. | Mitarbeiter werden regelmäßig zu sicherheitsrelevanten Themen geschult. | X |
|
|
7. | Die Einhaltung von sicherheitsrelevanten Weisungen wird laufend überprüft; bei Verstößen werden Ermahnungen ausgesprochen oder arbeitsrechtliche Maßnahmen ergriffen. | X |
|
|
8. | Es gibt etablierte Prozesse zum Umgang mit Datenschutzvorfällen und Anfragen betroffener Personen. | X |
|
|
9. | Technische Einrichtungen zur IT-Sicherheit werden regelmäßig gewartet und aktualisiert. | X |
|
|
10. | Es gibt ein Konzept zur Kontrolle der Löschfristen. | X |
|
|
11. | Es werden nicht mehr Daten erhoben als erforderlich (datenschutzfreundliche Voreinstellungen). | X |
|
|
12. | Die Informationspflichten nach Art. 13f. DSGVO werden erfüllt. | X |
|
|