von Eisenhauer PC L├Âsungen, Berliner Stra├če 10, 47669 Wachtendonk,
vertreten durch den Gesch├Ąftsf├╝hrer Patrick Eisenhauer

1. Allgemeines
Gegenstand der Vereinbarung ist die Vereinbarung der Rechte und Pflichten des Kunden (nachfolgend auch ÔÇ×AuftraggeberÔÇť) und der Firma Eisenhauer PC L├Âsungen (nachfolgend auch ÔÇ×AuftragnehmerÔÇť oder ÔÇ×EPLÔÇť genannt) sofern im Rahmen der Leistungserbringung eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten f├╝r den Kunden durch Eisenhauer PC L├Âsungen erfolgt.

2. Gegenstand und Dauer des Auftrages
EPL verarbeitet im Rahmen des IT-Service personenbezogene Daten im Auftrag des Kunden. Der Umfang der T├Ątigkeit ergibt sich aus dem Hauptvertrag sowie aus etwaigen Einzelweisungen. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags.

3. Konkretisierung des Auftragsinhalts
3.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
EPL erhebt, verarbeitet und nutzt personenbezogene Daten, welche Mitarbeiter im Rahmen von Dienstleistungen und Reparaturen erheben und verarbeiten. Die Verarbeitung und Nutzung der Daten findet ausschlie├člich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europ├Ąischen Union oder in einem anderen Vertragsstaat des Abkommens ├╝ber den Europ├Ąischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 ÔÇô 50 EU-DSGVO erf├╝llt sind.

3.2 Art der Daten/Kreis der Betroffenen
Die Art und Menge der genutzten personenbezogenen Daten und betroffenen Personengruppen h├Ąngt vom Einsatz/Nutzung des Leistungsgegenstandes des Hauptvertrages ab. Folgende Arten von Daten k├Ânnen betroffen sein: Softwarebenutzerdaten, Mitarbeiterdaten, Kundendaten. Der Kreis der Betroffen sind: Mitarbeiter und Kunden des Auftraggebers.

4. Technisch-organisatorische Ma├čnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Ma├čnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchf├╝hrung zu dokumentieren und dem Auftraggeber zur Pr├╝fung zu ├╝bergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Ma├čnahmen Grundlage des Auftrags. Soweit die Pr├╝fung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Insgesamt handelt es sich bei den zu treffenden Ma├čnahmen um nicht auftragsspezifische Ma├čnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verf├╝gbarkeitskontrolle sowie des Trennungsgebots, sowie andererseits um auftragsspezifische Ma├čnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs Bereitstellung von Daten, Art/Umst├Ąnde der Verarbeitung/der Datenhaltung etc., die im ANHANG 1 ÔÇ×Datenschutzkonzept von Eisenhauer PC L├ÂsungenÔÇť gesondert beschrieben werden. Diese technischen und organisatorischen Ma├čnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative ad├Ąquate Ma├čnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Ma├čnahmen nicht unterschritten werden. Wesentliche ├änderungen sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung die Angaben nach Artikel 30 Abs. 2 EU-DSGVO dem Auftraggeber zur Verf├╝gung zu stellen.

5. Berichtigung, Sperrung und L├Âschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu l├Âschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder L├Âschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverz├╝glich an den Auftraggeber weiterleiten.

6. Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zus├Ątzlich zu der Einhaltung der Regelungen dieses Auftrags nach Artikel 28 EU-DSGVO folgende Pflichten:

  • Schriftliche Bestellung, soweit gesetzlich vorgeschrieben, eines Datenschutzbeauftragten, der seine T├Ątigkeit gem├Ą├č Abschnitt 4 EU-DSGVO aus├╝ben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt.
  • Die Wahrung des Datengeheimnisses entsprechend Artikel 28 Abs. 3 b EU-DSGVO. Alle Personen, die auftragsgem├Ą├č auf personenbezogene Daten des Auftraggebers zugreifen k├Ânnen, m├╝ssen auf das Datengeheimnis verpflichtet und ├╝ber die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
  • Die Umsetzung und Einhaltung aller f├╝r diesen Auftrag notwendigen technischen und organisatorischen Ma├čnahmen entsprechend. Artikel 32 EU-DSGVO.
  • Die unverz├╝gliche Information des Auftraggebers ├╝ber Kontrollhandlungen und Ma├čnahmen der Aufsichtsbeh├Ârde nach Artikel 57 und 58 EU-DSGVO. Dies gilt auch, soweit eine zust├Ąndige Beh├Ârde nach. Artikel 57 und 58 EU-DSGVO beim Auftragnehmer ermittelt.
  • Die Durchf├╝hrung der Auftragskontrolle mittels regelm├Ą├čiger Pr├╝fungen durch den Auftragnehmer im Hinblick auf die Vertragsausf├╝hrung bzw. -erf├╝llung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Ma├čnahmen zur Durchf├╝hrung des Auftrags.
  • Nachweisbarkeit der getroffenen technischen und organisatorischen Ma├čnahmen gegen├╝ber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsausz├╝ge unabh├Ąngiger Instanzen (z. B. Wirtschaftspr├╝fer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit├Ątsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.

7. Unterauftragsverh├Ąltnisse
Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:
Die Einschaltung von Unterauftragnehmern ist grunds├Ątzlich nur mit schriftlicher Zustimmung des Auftraggebers gestattet. Ohne schriftliche Zustimmung kann der Auftragnehmer zur Vertragsdurchf├╝hrung unter Wahrung seiner unter Ziffer 6 erl├Ąuterten Pflicht zur Auftragskontrolle konzernangeh├Ârige Unternehmen sowie im Einzelfall andere Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem Auftraggeber vor Beginn der Verarbeitung oder Nutzung mitteilt. Die im ANHANG 2 enthaltenen Subunternehmer sind f├╝r den Auftragnehmer mit den vorgenannten Auftragsinhalten in dem dort genannten Umfang t├Ątig. Mit deren Beauftragung erkl├Ąrt sich der Auftraggeber einverstanden. EPL ist berechtigt, mit einer angemessenen Ank├╝ndigungsfrist diese Subunternehmer gegen andere Subunternehmer auszutauschen. Dabei werden die Interessen des Kunden angemessen ber├╝cksichtigt. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverh├Ąltnis zwischen Auftraggeber und Auftragnehmer entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und ├ťberpr├╝fungsrechte entsprechend dieser Vereinbarung Artikel 28 Abs. 3 d i. V. m. Artikel 28 Abs. 2 und 4 EU-DSGVO beim Unterauftragnehmer einzur├Ąumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft ├╝ber den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverh├Ąltnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Nicht als Unterauftragsverh├Ąltnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterst├╝tzung bei der Auftragsdurchf├╝hrung in Anspruch nimmt. Dazu z├Ąhlen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskr├Ąfte, Pr├╝fer oder die Entsorgung von Datentr├Ągern. Der Auftragnehmer ist jedoch verpflichtet, zur Gew├Ąhrleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollma├čnahmen zu ergreifen. Ebenso sind Hersteller von Softwaremodulen (z. B. Plug-ins oder Add-ons) bzw. Integrationen, die lediglich eine von EPL zur Verf├╝gung gestellte Schnittstelle nutzen, keine Subunternehmer im Sinne dieser Vereinbarung.

8. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die in Artikel 32 EU-DSGVO vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuf├╝hren oder durch im Einzelfall zu benennende Pr├╝fer durchf├╝hren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig (mindestens 7 Werktage vorher) anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Gesch├Ąftsbetrieb zu ├╝berzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Ausk├╝nfte zu geben und die entsprechenden Nachweise verf├╝gbar zu machen. Der Auftraggeber l├Ąsst die Kontrolle nur durch eine Person durchf├╝hren, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen ├╝ber den Betrieb des Auftragnehmers, dessen Ausstattung, Gesch├Ąftsgeheimnisse und Sicherheitsma├čnahmen verpflichtet ist. Der Auftragnehmer beh├Ąlt sich vor, etwaig entstehende interne oder externe Kosten f├╝r diese Kontrollen in den Gesch├Ąftsr├Ąumen des Auftragnehmers dem Auftraggeber in Rechnung zu stellen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Artikel 28 Abs. 3 h) EU-DSGVO vor Beginn der Datenverarbeitung und w├Ąhrend der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Ma├čnahmen ├╝berzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Ma├čnahmen Art. 32 EU-DSGVO nach und stellt alle erforderlichen Informationen dazu zur Verf├╝gung. Dabei kann der Nachweis der Umsetzung solcher Ma├čnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsausz├╝gen unabh├Ąngiger Instanzen (z. B. Wirtschaftspr├╝fer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit├Ątsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.

9. Mitteilung bei Verst├Â├čen des Auftragnehmers
Der Auftragnehmer erstattet in allen F├Ąllen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm besch├Ąftigten Personen Verst├Â├če gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Es ist bekannt, dass nach Art. 33 und 34 EU-DSGVO Informationspflichten im Falle des Abhandenkommens oder der unrechtm├Ą├čigen ├ťbermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen k├Ânnen. Deshalb sind solche Vorf├Ąlle ohne Ansehen der Verursachung unverz├╝glich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden St├Ârungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelm├Ą├čigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Ma├čnahmen zur Sicherung der Daten sowie zur Minderung m├Âglicher nachteiliger Folgen f├╝r Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach Art. 32 bis 36 EU-DSGVO treffen, hat der Auftragnehmer ihn hierbei mit geeigneten technischen und organisatorischen Ma├čnahmen zu unterst├╝tzen.

10. Weisungsbefugnis des Auftraggebers
Der Umgang mit den Daten erfolgt ausschlie├člich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (Art. 28 Abs. 3 a) EU-DSGVO). Der Auftraggeber beh├Ąlt sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht ├╝ber Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. ├änderungen des Verarbeitungsgegenstandes und Verfahrens├Ąnderungen sind gemeinsam abzustimmen und zu dokumentieren. Ausk├╝nfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. M├╝ndliche Weisungen wird der Auftraggeber unverz├╝glich schriftlich, per E-Mail (in Textform) oder per Fax best├Ątigen. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gew├Ąhrleistung einer ordnungsgem├Ą├čen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverz├╝glich (Art. 28 Abs. 3, letzter Absatz) zu informieren, wenn er der Meinung ist, eine Weisung versto├če gegen datenschutzrechtliche Vorschriften. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Pr├╝fung. Der Auftragnehmer ist berechtigt (aber nicht verpflichtet), die Durchf├╝hrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich oder per Telefax best├Ątigt oder ge├Ąndert wird.

11. L├Âschung von Daten und R├╝ckgabe von Datentr├Ągern
Nach Abschluss der vertraglichen Arbeiten oder fr├╝her nach Aufforderung durch den Auftraggeber ÔÇô sp├Ątestens mit Beendigung der Leistungsvereinbarung ÔÇô hat der Auftragnehmer s├Ąmtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbest├Ąnde, die im Zusammenhang mit dem Auftragsverh├Ąltnis stehen, vorbehaltlich anderer vertraglicher Absprachen, dem Auftraggeber auszuh├Ąndigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt f├╝r Test- und Ausschussmaterial. Das Protokoll der L├Âschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem├Ą├čen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen ├╝ber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber ├╝bergeben.

12. Wahrung von Gesch├Ąftsgeheimnissen
Die Parteien verpflichten sich zu strikter Vertraulichkeit Dritten gegen├╝ber. Die Parteien sind insbesondere verpflichtet, alle ihnen anl├Ąsslich der Durchf├╝hrung des Auftrags bekanntwerdenden Gesch├Ąfts- und Betriebsgeheimnisse, Herstellungsverfahren, Arbeitsmethoden und sonstigen gesch├Ąftlichen bzw. betrieblichen Tatsachen, Unterlagen und Informationen der anderen Partei sowie ihrer Kunden und Gesch├Ąftspartner streng vertraulich zu behandeln, in keiner Weise Dritten zug├Ąnglich zu machen oder sonst zu verwenden, vorbehaltlich anderer vertraglicher Absprachen. Die Weitergabe solcher Informationen ist nur mit vorheriger schriftlicher Zustimmung der anderen Partei zul├Ąssig. Die vorgenannte Verpflichtung findet insoweit keine Anwendung, als die Partei darlegen kann, dass Informationen ├Âffentlich zug├Ąnglich und zum Zeitpunkt der Offenlegung verf├╝gbar oder danach der ├ľffentlichkeit zug├Ąnglich geworden sind, und zwar ohne Verletzungshandlung oder -unterlassung durch diese Partei oder eines ihrer Vertreter oder Angestellten, oder vor dem Erhalt von der anderen Partei im Besitz der Partei oder ihr bekannt waren, oder der Partei durch eine andere Person ohne Einschr├Ąnkung rechtm├Ą├čig offen gelegt wurden, oder von der Partei ohne Zugang zur Information der anderen Partei unabh├Ąngig entwickelt wurden, oder nach gesetzlichen oder verwaltungsrechtlichen Vorschriften offen gelegt werden m├╝ssen, wenn der anderen Partei dieses Erfordernis unverz├╝glich bekannt gegeben wird und der Umfang solcher Offenlegung soweit wie m├Âglich eingeschr├Ąnkt wird, oder aufgrund einer gerichtlichen Entscheidung offen gelegt werden m├╝ssen, wenn der anderen Partei von dieser Entscheidung unverz├╝glich Nachricht gegeben wurde und wenn nicht die M├Âglichkeit besteht, diese Entscheidung anzufechten.

13. Kontaktpersonen
Soweit Weisungen oder Hinweise nach dieser Vereinbarung gegen├╝ber der jeweils anderen Partei gegeben werden, sind sie an Patrick Eisenhauer bei Eisenhauer PC L├Âsungen als Weisungsberechtigten oder ┬ş┬şÔÇĹempf├Ąnger zu richten und an die im Auftrag als Weisungsberechtigten oder -empf├Ąnger f├╝r den Kunden genannte Person zu richten. Jede Partei kann einseitig ihre Kontaktpersonen durch schriftliche Erkl├Ąrung gegen├╝ber der anderen Partei ├Ąndern.

ANHANG 1 zu den Allgemeinen Bedingungen zur Auftragsdatenverarbeitung

Datenschutzkonzept:
Technische und organisatorische Ma├čnahmen (fr├╝her Anlage zu ┬ž 9 BDSG)
von Eisenhauer PC L├Âsungen

1. Zutrittskontrolle
Ma├čnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Der Zutritt zum Haus erfolgt ├╝ber ein zentrales Schlie├čsystem. Dieses wird bei Verlust eines Schl├╝ssels ausgetauscht. Innerhalb des Hauses befinden sich einzelne R├Ąume die durch spezielle Schl├Âsser vor unbefugten Zutritt gesch├╝tzt.

Das Geb├Ąude verf├╝gt ├╝ber zwei Eing├Ąnge bzw. Ausg├Ąnge: den Haupteingang, den Kellereingang. Der Haupteingang ist nicht fest verschlossen und kann erst durch Knopfdruch der anderen Hausbewohner ge├Âffnet werden. Der Kellereingang muss beim eintreten und verlassen des Geb├Ąudes per Schl├╝ssel aufgeschlossen werden. Der Zugang zum B├╝ro (Wohnungseingang) ist durch ein Profildoppelzylinder mit einem Wendeschl├╝ssel gesch├╝tzt. Innerhalb der Wohnung befindet sich eine Kamera. Firmenfremde Personen k├Ânnen sich nur in Begleitung von Mitarbeitern in den Gesch├Ąftsr├Ąumen bewegen.

Der Server des Unternehmens befindet sich im B├╝ro der Wohnung.

2. Zugangskontrolle
Ma├čnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden k├Ânnen.

Alle Rechner des Unternehmens sind durch Benutzerprofile mit Passwort vor unberechtigtem Zugriff gesch├╝tzt. Die Passw├Ârter k├Ânnen nur durch Systemadministratoren zur├╝ckgesetzt werden. Die Benutzerprofile unterliegen verschiedenen Benutzergruppen und Berechtigungen. Der Zugriff auf das Unternehmensnetzwerk von au├čen ist durch VPN, eine Hardware-Firewall und Security-Software gesch├╝tzt. Die Datentr├Ąger vom Rechner und Server haben eine 256-Bit-AES-Verschl├╝sselung.

3. Zugriffskontrolle
Ma├čnahmen, die gew├Ąhrleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschlie├člich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen k├Ânnen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, ver├Ąndert oder entfernt werden k├Ânnen.

Es liegt ein anwenderbezogenes Berechtigungskonzept vor. Die Berechtigungen k├Ânnen auf Dateien, auf Datens├Ątze, auf Anwendungsprogramme und das Betriebssystem differenziert werden und die LeseÔÇĹ, ├änderungs- und L├Âschrechte einschr├Ąnken. Es wird sichergestellt, dass jeder Benutzer nur auf die Daten zugreifen kann, zu denen er zugriffsberechtigt ist. Das Berechtigungskonzept, das sich an den Stellungen der Mitarbeiter orientiert, ist schriftlich festgehalten. Verschiedene Zugriffsrechte werden durch vorgefertigte Benutzerprofile zusammengefasst. Weiterhin ist das Berechtigungskonzept programmtechnisch in der Anwendung und im Active Directory hinterlegt. Die Zugriffe der Benutzer werden protokolliert. Alle Rechner des Unternehmens melden sich nach einer bestimmten Zeit der Inaktivit├Ąt automatisch ab.

4. Weitergabekontrolle
Ma├čnahmen, die gew├Ąhrleisten, dass personenbezogene Daten bei der elektronischen ├ťbertragung oder w├Ąhrend ihres Transports oder ihrer Speicherung auf Datentr├Ąger nicht unbefugt gelesen, kopiert, ver├Ąndert oder entfernt werden k├Ânnen, und dass ├╝berpr├╝ft und festgestellt werden kann, an welche Stellen eine ├ťbermittlung personenbezogener Daten durch Einrichtungen zur Daten├╝bertragung vorgesehen ist.

Die personenbezogenen Daten des Unternehmens werden im Bereich der Lohnbuchhaltung an die Krankenkassen, die Banken und das Finanzamt und im Bereich der Finanzbuchhaltung an den Steuerberater und das Finanzamt ├╝bermittelt. Zur Weitergabe personenbezogener Daten sind nur die Mitarbeiter der Personalabteilung berechtigt.

Die ├ťbertragung via VPN ist durch IP/Sec gesichert. Weiterhin findet eine ├ťbertragung personenbezogener Daten ausschlie├člich ├╝ber gesicherte Verbindungen statt.

5. Eingabe Kontrolle
Ma├čnahmen, die gew├Ąhrleisten, dass nachtr├Ąglich ├╝berpr├╝ft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver├Ąndert oder entfernt worden sind.

Zur Gew├Ąhrleistung der Eingabekontrolle sind die vom Softwarehersteller mitgebrachten Log Mechanismen und Transaktionsprotokolle, zur Protokollierung aller Eingaben f├╝r alle Anwendungen, vorhanden.

6. Auftragskontrolle
Ma├čnahmen, die gew├Ąhrleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden k├Ânnen.

Der Umgang mit Subunternehmern beginnt mit einer sorgf├Ąltigen Auswahl. Auswahlkriterien sind die Sicherheit, die Zuverl├Ąssigkeit, die Erfahrung und der Umgang mit Datenschutz und Datensicherheit. Bevor wir Subunternehmer beauftragen werden diese von uns eingehend gepr├╝ft. Jeder Dienstleister, der mit personenbezogenen Daten in Kontakt kommt, wird vertraglich dazu verpflichtet alle Anforderungen der Datenschutz-Grundverordnung (i. S. d. Art. 28 EU-DSGVO) einzuhalten. Subunternehmer d├╝rfen prinzipiell nur mit schriftlicher Weisung arbeiten, vernichten personenbezogene Daten nach Beendigung des Vertragsverh├Ąltnisses, verpflichten ihre Mitarbeiter auf das Datengeheimnis und bestellen einen Datenschutzbeauftragten. Diese ├ťberpr├╝fungen unterliegen einem st├Ąndigen Pr├╝fprozess.

7. Verf├╝gbarkeitskontrolle
Ma├čnahmen, die gew├Ąhrleisten, dass personenbezogene Daten gegen zuf├Ąllige Zerst├Ârung oder Verlust gesch├╝tzt sind.

Die Daten auf dem Server werden zentral gesichert und die Datensicherung wird stetig dokumentiert. Das realisierte Datensicherungskonzept definiert die Anzahl der Sicherungskopien, dem Umfang der zu sichernden Daten, die Zeitintervalle und die Zeitpunkte der Sicherung. Dar├╝ber hinaus wird durch das Konzept die Anzahl der aufbewahrten Generationen und die/der Art/Ort zur Aufbewahrung festgelegt. Die Datensicherungsb├Ąnder werden in den B├╝ror├Ąumlichkeiten der f├╝r die Datensicherung verantwortlichen Person in einem Tresor sowie durch sichere Auslagerung aufbewahrt. Die Gesch├Ąftsleitung, die verantwortliche Person und die Systemadministratoren verf├╝gen ├╝ber entsprechende Zugriffsrechte. Zur Datensicherung der Daten auf den Laptops tragen die Benutzer der entsprechenden Ger├Ąte die Verantwortung zum Ablegen der Daten auf dem Server. Das Unternehmen setzt eine unterbrechungsfreie Stromversorgung ein, in der Blitz- und ├ťberspannungsschutz integriert sind.

Andere Speichermedien des Unternehmens (DVD, Streamer, externe Festplatten) werden in abschlie├čbaren Schr├Ąnken, im Tresor oder durch sichere Auslagerung aufbewahrt.
Es werden regelm├Ą├čig aktualisierte Virenscanner und eine regelm├Ą├čig kritisch ├╝berpr├╝fte Firewall eingesetzt. Alle Server sind durch Unterbrechungsfreie Stromversorgung (USV) gegen Stromausfall gesichert. Im Serverraum ist eine Klimaanlage im Einsatz. Dar├╝ber hinaus sind Ger├Ąte zur ├ťberwachung von Temperatur und Feuchtigkeit installiert.

8. Trennungsgebot
Ma├čnahmen, die gew├Ąhrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden k├Ânnen.

Es wird eine physikalische Trennung von verschiedenen speichernden Stellen realisiert. Weiterhin wird eine Trennung organisatorisch durchgef├╝hrt.

ANHANG 2 zu den Allgemeinen Bedingungen zur Auftragsdatenverarbeitung

Zugelassene Subunternehmer:

Sind nicht in Planung

Stand: Februar 2020