von Eisenhauer PC Lösungen, Berliner Straße 10, 47669 Wachtendonk,
vertreten durch den Gesch√§ftsf√ľhrer Patrick Eisenhauer

V1 18.05.2018

1. Allgemeines
Gegenstand der Vereinbarung ist die Vereinbarung der Rechte und Pflichten des Kunden (nachfolgend auch ‚ÄěAuftraggeber‚Äú) und der Firma Eisenhauer PC L√∂sungen (nachfolgend auch ‚ÄěAuftragnehmer‚Äú oder ‚ÄěEPL‚Äú genannt) sofern im Rahmen der Leistungserbringung eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten f√ľr den Kunden durch Eisenhauer PC L√∂sungen erfolgt.

2. Gegenstand und Dauer des Auftrages
EPL verarbeitet im Rahmen des IT-Service personenbezogene Daten im Auftrag des Kunden. Der Umfang der Tätigkeit ergibt sich aus dem Hauptvertrag sowie aus etwaigen Einzelweisungen. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags.

3. Konkretisierung des Auftragsinhalts
3.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
EPL erhebt, verarbeitet und nutzt personenbezogene Daten, welche Mitarbeiter im Rahmen von Dienstleistungen und Reparaturen erheben und verarbeiten. Die Verarbeitung und Nutzung der Daten findet ausschlie√ülich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europ√§ischen Union oder in einem anderen Vertragsstaat des Abkommens √ľber den Europ√§ischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 ‚Äď 50 EU-DSGVO erf√ľllt sind.

3.2 Art der Daten/Kreis der Betroffenen
Die Art und Menge der genutzten personenbezogenen Daten und betroffenen Personengruppen hängt vom Einsatz/Nutzung des Leistungsgegenstandes des Hauptvertrages ab. Folgende Arten von Daten können betroffen sein: Softwarebenutzerdaten, Mitarbeiterdaten, Kundendaten. Der Kreis der Betroffen sind: Mitarbeiter und Kunden des Auftraggebers.

4. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Ma√ünahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchf√ľhrung zu dokumentieren und dem Auftraggeber zur Pr√ľfung zu √ľbergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Ma√ünahmen Grundlage des Auftrags. Soweit die Pr√ľfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Insgesamt handelt es sich bei den zu treffenden Ma√ünahmen um nicht auftragsspezifische Ma√ünahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verf√ľgbarkeitskontrolle sowie des Trennungsgebots, sowie andererseits um auftragsspezifische Ma√ünahmen, insbesondere im Hinblick auf die Art des Datenaustauschs Bereitstellung von Daten, Art/Umst√§nde der Verarbeitung/der Datenhaltung etc., die im ANHANG 1 ‚ÄěDatenschutzkonzept von Eisenhauer PC L√∂sungen‚Äú gesondert beschrieben werden. Diese technischen und organisatorischen Ma√ünahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative ad√§quate Ma√ünahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Ma√ünahmen nicht unterschritten werden. Wesentliche √Ąnderungen sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung die Angaben nach Artikel 30 Abs. 2 EU-DSGVO dem Auftraggeber zur Verf√ľgung zu stellen.

5. Berichtigung, Sperrung und Löschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu l√∂schen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder L√∂schung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverz√ľglich an den Auftraggeber weiterleiten.

6. Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach Artikel 28 EU-DSGVO folgende Pflichten:

  • Schriftliche Bestellung, soweit gesetzlich vorgeschrieben, eines Datenschutzbeauftragten, der seine T√§tigkeit gem√§√ü Abschnitt 4 EU-DSGVO aus√ľben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt.
  • Die Wahrung des Datengeheimnisses entsprechend Artikel 28 Abs. 3 b EU-DSGVO. Alle Personen, die auftragsgem√§√ü auf personenbezogene Daten des Auftraggebers zugreifen k√∂nnen, m√ľssen auf das Datengeheimnis verpflichtet und √ľber die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
  • Die Umsetzung und Einhaltung aller f√ľr diesen Auftrag notwendigen technischen und organisatorischen Ma√ünahmen entsprechend. Artikel 32 EU-DSGVO.
  • Die unverz√ľgliche Information des Auftraggebers √ľber Kontrollhandlungen und Ma√ünahmen der Aufsichtsbeh√∂rde nach Artikel 57 und 58 EU-DSGVO. Dies gilt auch, soweit eine zust√§ndige Beh√∂rde nach. Artikel 57 und 58 EU-DSGVO beim Auftragnehmer ermittelt.
  • Die Durchf√ľhrung der Auftragskontrolle mittels regelm√§√üiger Pr√ľfungen durch den Auftragnehmer im Hinblick auf die Vertragsausf√ľhrung bzw. -erf√ľllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Ma√ünahmen zur Durchf√ľhrung des Auftrags.
  • Nachweisbarkeit der getroffenen technischen und organisatorischen Ma√ünahmen gegen√ľber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsausz√ľge unabh√§ngiger Instanzen (z. B. Wirtschaftspr√ľfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit√§tsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.

7. Unterauftragsverhältnisse
Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:
Die Einschaltung von Unterauftragnehmern ist grunds√§tzlich nur mit schriftlicher Zustimmung des Auftraggebers gestattet. Ohne schriftliche Zustimmung kann der Auftragnehmer zur Vertragsdurchf√ľhrung unter Wahrung seiner unter Ziffer 6 erl√§uterten Pflicht zur Auftragskontrolle konzernangeh√∂rige Unternehmen sowie im Einzelfall andere Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem Auftraggeber vor Beginn der Verarbeitung oder Nutzung mitteilt. Die im ANHANG 2 enthaltenen Subunternehmer sind f√ľr den Auftragnehmer mit den vorgenannten Auftragsinhalten in dem dort genannten Umfang t√§tig. Mit deren Beauftragung erkl√§rt sich der Auftraggeber einverstanden. EPL ist berechtigt, mit einer angemessenen Ank√ľndigungsfrist diese Subunternehmer gegen andere Subunternehmer auszutauschen. Dabei werden die Interessen des Kunden angemessen ber√ľcksichtigt. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverh√§ltnis zwischen Auftraggeber und Auftragnehmer entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und √úberpr√ľfungsrechte entsprechend dieser Vereinbarung Artikel 28 Abs. 3 d i. V. m. Artikel 28 Abs. 2 und 4 EU-DSGVO beim Unterauftragnehmer einzur√§umen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft √ľber den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverh√§ltnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Nicht als Unterauftragsverh√§ltnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterst√ľtzung bei der Auftragsdurchf√ľhrung in Anspruch nimmt. Dazu z√§hlen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskr√§fte, Pr√ľfer oder die Entsorgung von Datentr√§gern. Der Auftragnehmer ist jedoch verpflichtet, zur Gew√§hrleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollma√ünahmen zu ergreifen. Ebenso sind Hersteller von Softwaremodulen (z. B. Plug-ins oder Add-ons) bzw. Integrationen, die lediglich eine von EPL zur Verf√ľgung gestellte Schnittstelle nutzen, keine Subunternehmer im Sinne dieser Vereinbarung.

8. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die in Artikel 32 EU-DSGVO vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuf√ľhren oder durch im Einzelfall zu benennende Pr√ľfer durchf√ľhren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig (mindestens 7 Werktage vorher) anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Gesch√§ftsbetrieb zu √ľberzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Ausk√ľnfte zu geben und die entsprechenden Nachweise verf√ľgbar zu machen. Der Auftraggeber l√§sst die Kontrolle nur durch eine Person durchf√ľhren, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen √ľber den Betrieb des Auftragnehmers, dessen Ausstattung, Gesch√§ftsgeheimnisse und Sicherheitsma√ünahmen verpflichtet ist. Der Auftragnehmer beh√§lt sich vor, etwaig entstehende interne oder externe Kosten f√ľr diese Kontrollen in den Gesch√§ftsr√§umen des Auftragnehmers dem Auftraggeber in Rechnung zu stellen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Artikel 28 Abs. 3 h) EU-DSGVO vor Beginn der Datenverarbeitung und w√§hrend der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Ma√ünahmen √ľberzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Ma√ünahmen Art. 32 EU-DSGVO nach und stellt alle erforderlichen Informationen dazu zur Verf√ľgung. Dabei kann der Nachweis der Umsetzung solcher Ma√ünahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsausz√ľgen unabh√§ngiger Instanzen (z. B. Wirtschaftspr√ľfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit√§tsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.

9. Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer erstattet in allen F√§llen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm besch√§ftigten Personen Verst√∂√üe gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Es ist bekannt, dass nach Art. 33 und 34 EU-DSGVO Informationspflichten im Falle des Abhandenkommens oder der unrechtm√§√üigen √úbermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen k√∂nnen. Deshalb sind solche Vorf√§lle ohne Ansehen der Verursachung unverz√ľglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden St√∂rungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelm√§√üigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Ma√ünahmen zur Sicherung der Daten sowie zur Minderung m√∂glicher nachteiliger Folgen f√ľr Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach Art. 32 bis 36 EU-DSGVO treffen, hat der Auftragnehmer ihn hierbei mit geeigneten technischen und organisatorischen Ma√ünahmen zu unterst√ľtzen.

10. Weisungsbefugnis des Auftraggebers
Der Umgang mit den Daten erfolgt ausschlie√ülich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (Art. 28 Abs. 3 a) EU-DSGVO). Der Auftraggeber beh√§lt sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht √ľber Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. √Ąnderungen des Verarbeitungsgegenstandes und Verfahrens√§nderungen sind gemeinsam abzustimmen und zu dokumentieren. Ausk√ľnfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. M√ľndliche Weisungen wird der Auftraggeber unverz√ľglich schriftlich, per E-Mail (in Textform) oder per Fax best√§tigen. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gew√§hrleistung einer ordnungsgem√§√üen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverz√ľglich (Art. 28 Abs. 3, letzter Absatz) zu informieren, wenn er der Meinung ist, eine Weisung versto√üe gegen datenschutzrechtliche Vorschriften. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Pr√ľfung. Der Auftragnehmer ist berechtigt (aber nicht verpflichtet), die Durchf√ľhrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich oder per Telefax best√§tigt oder ge√§ndert wird.

11. L√∂schung von Daten und R√ľckgabe von Datentr√§gern
Nach Abschluss der vertraglichen Arbeiten oder fr√ľher nach Aufforderung durch den Auftraggeber ‚Äď sp√§testens mit Beendigung der Leistungsvereinbarung ‚Äď hat der Auftragnehmer s√§mtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbest√§nde, die im Zusammenhang mit dem Auftragsverh√§ltnis stehen, vorbehaltlich anderer vertraglicher Absprachen, dem Auftraggeber auszuh√§ndigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt f√ľr Test- und Ausschussmaterial. Das Protokoll der L√∂schung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem√§√üen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen √ľber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber √ľbergeben.

12. Wahrung von Geschäftsgeheimnissen
Die Parteien verpflichten sich zu strikter Vertraulichkeit Dritten gegen√ľber. Die Parteien sind insbesondere verpflichtet, alle ihnen anl√§sslich der Durchf√ľhrung des Auftrags bekanntwerdenden Gesch√§fts- und Betriebsgeheimnisse, Herstellungsverfahren, Arbeitsmethoden und sonstigen gesch√§ftlichen bzw. betrieblichen Tatsachen, Unterlagen und Informationen der anderen Partei sowie ihrer Kunden und Gesch√§ftspartner streng vertraulich zu behandeln, in keiner Weise Dritten zug√§nglich zu machen oder sonst zu verwenden, vorbehaltlich anderer vertraglicher Absprachen. Die Weitergabe solcher Informationen ist nur mit vorheriger schriftlicher Zustimmung der anderen Partei zul√§ssig. Die vorgenannte Verpflichtung findet insoweit keine Anwendung, als die Partei darlegen kann, dass Informationen √∂ffentlich zug√§nglich und zum Zeitpunkt der Offenlegung verf√ľgbar oder danach der √Ėffentlichkeit zug√§nglich geworden sind, und zwar ohne Verletzungshandlung oder -unterlassung durch diese Partei oder eines ihrer Vertreter oder Angestellten, oder vor dem Erhalt von der anderen Partei im Besitz der Partei oder ihr bekannt waren, oder der Partei durch eine andere Person ohne Einschr√§nkung rechtm√§√üig offen gelegt wurden, oder von der Partei ohne Zugang zur Information der anderen Partei unabh√§ngig entwickelt wurden, oder nach gesetzlichen oder verwaltungsrechtlichen Vorschriften offen gelegt werden m√ľssen, wenn der anderen Partei dieses Erfordernis unverz√ľglich bekannt gegeben wird und der Umfang solcher Offenlegung soweit wie m√∂glich eingeschr√§nkt wird, oder aufgrund einer gerichtlichen Entscheidung offen gelegt werden m√ľssen, wenn der anderen Partei von dieser Entscheidung unverz√ľglich Nachricht gegeben wurde und wenn nicht die M√∂glichkeit besteht, diese Entscheidung anzufechten.

13. Kontaktpersonen
Soweit Weisungen oder Hinweise nach dieser Vereinbarung gegen√ľber der jeweils anderen Partei gegeben werden, sind sie an Patrick Eisenhauer bei Eisenhauer PC L√∂sungen als Weisungsberechtigten oder ¬≠¬≠‚ÄĎempf√§nger zu richten und an die im Auftrag als Weisungsberechtigten oder -empf√§nger f√ľr den Kunden genannte Person zu richten. Jede Partei kann einseitig ihre Kontaktpersonen durch schriftliche Erkl√§rung gegen√ľber der anderen Partei √§ndern.

ANHANG 1 zu den Allgemeinen Bedingungen zur Auftragsdatenverarbeitung

Datenschutzkonzept:
Technische und organisatorische Ma√ünahmen (fr√ľher Anlage zu ¬ß 9 BDSG)
von Eisenhauer PC Lösungen

1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Der Zutritt zum Haus erfolgt √ľber ein zentrales Schlie√üsystem. Dieses wird bei Verlust eines Schl√ľssels ausgetauscht. Innerhalb des Hauses befinden sich einzelne R√§ume die durch spezielle Schl√∂sser vor unbefugten Zutritt gesch√ľtzt.

Das Geb√§ude verf√ľgt √ľber zwei Eing√§nge bzw. Ausg√§nge: den Haupteingang, den Kellereingang. Der Haupteingang ist nicht fest verschlossen und kann erst durch Knopfdruch der anderen Hausbewohner ge√∂ffnet werden. Der Kellereingang muss beim eintreten und verlassen des Geb√§udes per Schl√ľssel aufgeschlossen werden. Der Zugang zum B√ľro (Wohnungseingang) ist durch ein Profildoppelzylinder mit einem Wendeschl√ľssel gesch√ľtzt. Innerhalb der Wohnung befindet sich eine Kamera. Firmenfremde Personen k√∂nnen sich nur in Begleitung von Mitarbeitern in den Gesch√§ftsr√§umen bewegen.

Der Server des Unternehmens befindet sich im B√ľro der Wohnung.

2. Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Alle Rechner des Unternehmens sind durch Benutzerprofile mit Passwort vor unberechtigtem Zugriff gesch√ľtzt. Die Passw√∂rter k√∂nnen nur durch Systemadministratoren zur√ľckgesetzt werden. Die Benutzerprofile unterliegen verschiedenen Benutzergruppen und Berechtigungen. Der Zugriff auf das Unternehmensnetzwerk von au√üen ist durch VPN, eine Hardware-Firewall und Security-Software gesch√ľtzt. Die Datentr√§ger vom Rechner und Server haben eine 256-Bit-AES-Verschl√ľsselung.

3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Es liegt ein anwenderbezogenes Berechtigungskonzept vor. Die Berechtigungen k√∂nnen auf Dateien, auf Datens√§tze, auf Anwendungsprogramme und das Betriebssystem differenziert werden und die Lese‚ÄĎ, √Ąnderungs- und L√∂schrechte einschr√§nken. Es wird sichergestellt, dass jeder Benutzer nur auf die Daten zugreifen kann, zu denen er zugriffsberechtigt ist. Das Berechtigungskonzept, das sich an den Stellungen der Mitarbeiter orientiert, ist schriftlich festgehalten. Verschiedene Zugriffsrechte werden durch vorgefertigte Benutzerprofile zusammengefasst. Weiterhin ist das Berechtigungskonzept programmtechnisch in der Anwendung und im Active Directory hinterlegt. Die Zugriffe der Benutzer werden protokolliert. Alle Rechner des Unternehmens melden sich nach einer bestimmten Zeit der Inaktivit√§t automatisch ab.

4. Weitergabekontrolle
Ma√ünahmen, die gew√§hrleisten, dass personenbezogene Daten bei der elektronischen √úbertragung oder w√§hrend ihres Transports oder ihrer Speicherung auf Datentr√§ger nicht unbefugt gelesen, kopiert, ver√§ndert oder entfernt werden k√∂nnen, und dass √ľberpr√ľft und festgestellt werden kann, an welche Stellen eine √úbermittlung personenbezogener Daten durch Einrichtungen zur Daten√ľbertragung vorgesehen ist.

Die personenbezogenen Daten des Unternehmens werden im Bereich der Lohnbuchhaltung an die Krankenkassen, die Banken und das Finanzamt und im Bereich der Finanzbuchhaltung an den Steuerberater und das Finanzamt √ľbermittelt. Zur Weitergabe personenbezogener Daten sind nur die Mitarbeiter der Personalabteilung berechtigt.

Die √úbertragung via VPN ist durch IP/Sec gesichert. Weiterhin findet eine √úbertragung personenbezogener Daten ausschlie√ülich √ľber gesicherte Verbindungen statt.

5. Eingabe Kontrolle
Ma√ünahmen, die gew√§hrleisten, dass nachtr√§glich √ľberpr√ľft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver√§ndert oder entfernt worden sind.

Zur Gew√§hrleistung der Eingabekontrolle sind die vom Softwarehersteller mitgebrachten Log Mechanismen und Transaktionsprotokolle, zur Protokollierung aller Eingaben f√ľr alle Anwendungen, vorhanden.

6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Der Umgang mit Subunternehmern beginnt mit einer sorgf√§ltigen Auswahl. Auswahlkriterien sind die Sicherheit, die Zuverl√§ssigkeit, die Erfahrung und der Umgang mit Datenschutz und Datensicherheit. Bevor wir Subunternehmer beauftragen werden diese von uns eingehend gepr√ľft. Jeder Dienstleister, der mit personenbezogenen Daten in Kontakt kommt, wird vertraglich dazu verpflichtet alle Anforderungen der Datenschutz-Grundverordnung (i. S. d. Art. 28 EU-DSGVO) einzuhalten. Subunternehmer d√ľrfen prinzipiell nur mit schriftlicher Weisung arbeiten, vernichten personenbezogene Daten nach Beendigung des Vertragsverh√§ltnisses, verpflichten ihre Mitarbeiter auf das Datengeheimnis und bestellen einen Datenschutzbeauftragten. Diese √úberpr√ľfungen unterliegen einem st√§ndigen Pr√ľfprozess.

7. Verf√ľgbarkeitskontrolle
Ma√ünahmen, die gew√§hrleisten, dass personenbezogene Daten gegen zuf√§llige Zerst√∂rung oder Verlust gesch√ľtzt sind.

Die Daten auf dem Server werden zentral gesichert und die Datensicherung wird stetig dokumentiert. Das realisierte Datensicherungskonzept definiert die Anzahl der Sicherungskopien, dem Umfang der zu sichernden Daten, die Zeitintervalle und die Zeitpunkte der Sicherung. Dar√ľber hinaus wird durch das Konzept die Anzahl der aufbewahrten Generationen und die/der Art/Ort zur Aufbewahrung festgelegt. Die Datensicherungsb√§nder werden in den B√ľror√§umlichkeiten der f√ľr die Datensicherung verantwortlichen Person in einem Tresor sowie durch sichere Auslagerung aufbewahrt. Die Gesch√§ftsleitung, die verantwortliche Person und die Systemadministratoren verf√ľgen √ľber entsprechende Zugriffsrechte. Zur Datensicherung der Daten auf den Laptops tragen die Benutzer der entsprechenden Ger√§te die Verantwortung zum Ablegen der Daten auf dem Server. Das Unternehmen setzt eine unterbrechungsfreie Stromversorgung ein, in der Blitz- und √úberspannungsschutz integriert sind.

Andere Speichermedien des Unternehmens (DVD, Streamer, externe Festplatten) werden in abschließbaren Schränken, im Tresor oder durch sichere Auslagerung aufbewahrt.
Es werden regelm√§√üig aktualisierte Virenscanner und eine regelm√§√üig kritisch √ľberpr√ľfte Firewall eingesetzt. Alle Server sind durch Unterbrechungsfreie Stromversorgung (USV) gegen Stromausfall gesichert. Im Serverraum ist eine Klimaanlage im Einsatz. Dar√ľber hinaus sind Ger√§te zur √úberwachung von Temperatur und Feuchtigkeit installiert.

8. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Es wird eine physikalische Trennung von verschiedenen speichernden Stellen realisiert. Weiterhin wird eine Trennung organisatorisch durchgef√ľhrt.

ANHANG 2 zu den Allgemeinen Bedingungen zur Auftragsdatenverarbeitung

Zugelassene Subunternehmer:

Subunternehmer sind in Planung.

Stand: Februar 2020