AGB Datenschutz
Allgemeine Geschäftsbedingungen nach Art. 28 der Datenschutz
Grundverordnung {DSGVO) der DIGIHAUS GmbH
Stand Mai 2018
1. Allgemeines
(1) DIGIHAUS GMBH verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 -Datenschutz-Grundverordnung (DSGVO). Diese Allgemeinen Geschäftsbedingen zur Datenschutz-Grundverordnung regeln die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesen Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesen Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung festgelegt.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch die DIGIHAUS GmbH. DIGIHAUS GmbH steht nach Ziff. 4 Abs. 5 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. DIGIHAUS GmbH wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber der DIGIHAUS GmbH geltend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber der DIGIHAUS GmbH zu erteilen. Weisungen müssen in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers bei der DIGIHAUS GmbH entstehen, bleiben unberührt.
(5) Der Auftraggeber informiert die DIGIHAUS GmbH unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die DIGIHAUS GmbH feststellt.
(6) Für den Fall, dass eine Informationspflicht gegenüber Drillen nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Allgemeine Pflichten der DIGIHAUS GmbH
(1) DIGIHAUS GmbH verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die die DIGIHAUS GmbH ggf. zu einer anderweitigen Verarbeitung verpflichtet. In einem solchen Fall teilt die DIGIHAUS GmbH dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesen Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist der DIGIHAUS GmbH untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) DIGIHAUS GmbH verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(3) DIGIHAUS GmbH wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt. DIGIHAUS GmbH ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern die DIGIHAUS GmbH darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung der DIGIHAUS GmbH nach Art. 82 DSGVO führen kann, steht der DIGIHAUS GmbH das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
5. Datenschutzbeauftragter der DIGIHAUS GmbH
DIGIHAUS GmbH bestätigt, dass sie einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. DIGIHAUS GmbH trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt.
6. Meldepflichten der DIGIHAUS GmbH
(1) DIGIHAUS GmbH ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die die DIGIHAUS GmbH im Auftrag des Auftraggebers verarbeitet.
(2) Ferner wird die DIGIHAUS GmbH den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber der DIGIHAUS GmbH tätig wird und dies auch eine Kontrolle der Verarbeitung, die die DIGIHAUS GmbH im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) DIGIHAUS GmbH ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. DIGIHAUS GmbH wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. DIGIHAUS GmbH wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich ab Kenntnis des Zugriffs mitteilen. Die Meldung der DIGIHAUS GmbH an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– eine Beschreibung der von der DIGIHAUS GmbH ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
7. Mitwirkungspflichten der DIGIHAUS GmbH
(1) DIGIHAUS GmbH unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Es gelten die Regelungen von Ziff. 11 dieser allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung.
(2) DIGIHAUS GmbH wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Sie hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(3) DIGIHAUS GmbH unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.
8. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch die DIGIHAUS GmbH im erforderlichen Umfang zu kontrollieren.
(2) DIGIHAUS GmbH ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte der DIGIHAUS GmbH zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe der DIGIHAUS GmbH durch die Kontrollen nicht unverhältnismäßig zu stören. Die Parteien gehen davon aus, dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Auftraggeber unter Angabe des Anlasses zu begründen. Im Falle von Vor-Ort-Kontrollen wird der Auftraggeber der DIGIHAUS GmbH die entstehenden Aufwände inkl. der Personalkosten für die Betreuung und Begleitung der Kontrollpersonen vor Ort in angemessenen Umfang ersetzen. Die Grundlagen der Kostenberechnung werden dem Auftraggeber von der DIGIHAUS GmbH vor Durchführung der Kontrolle mitgeteilt.
(4) Nach Wahl der DIGIHAUS GmbH kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 3 zu diesem Vertrag zu überzeugen. Sollte der Auftraggeber begründete Zweifel an der Eignung des Prüfdokuments i.S.d. Satzes 1 haben, kann eine Vorort-Kontrolle durch den Auftraggeber erfolgen. Dem Auftraggeber ist bekannt, dass eine Vor-Ort-Kontrolle in Rechenzentren nicht oder nur in begründeten Ausnahmefällen möglich ist.
(5) DIGIHAUS GmbH ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-OrtKontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen von der DIGIHAUS GmbH zu informieren.
9. Unterauftragsverhältnisse
(1) DIGIHAUS GmbH ist berechtigt, Unterauftragnehmer für die Verarbeitung von Daten im Auftrag einzusetzen. Der Wechsel von Unterauftragnehmern oder die Beauftragung weiterer Unterauftragnehmer ist unter den in Absatz 2 genannten Voraussetzungen zulässig.
(2) DIGIHAUS GmbH hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber der DIGIHAUS GmbH getroffenen Vereinbarungen einhalten kann. DIGIHAUS GmbH hat insbesondere vorab und regelmäßig zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. DIGIHAUS GmbH wird den Auftraggeber im Falle eines geplanten Wechsels eines Unterauftragnehmers oder bei geplanter Beauftragung eines neuen Unterauftragnehmers rechtzeitig, spätestens aber 4 Wochen vor dem Wechsel bzw. der Neubeauftragung in Textform informieren (,,Information“). Der Auftraggeber hat das Recht, dem Wechsel oder der Neubeauftragung des Unterauftragnehmers unter Angabe einer Begründung in Textform binnen drei Wochen nach Zugang der „Information“ zu widersprechen. Der Widerspruch kann vom Auftraggeber jederzeit in Textform zurückgenommen werden. Im Falle eines Widerspruchs kann die DIGIHAUS GmbH das Vertragsverhältnis mit dem Auftraggeber mit einer Frist von mindestens 14 Tagen zum Ende eines Kalendermonats kündigen. DIGIHAUS GmbH wird bei der Kündigungsfrist die Interessen des Auftraggebers angemessen berücksichtigen. Wenn kein Widerspruch des Auftraggebers binnen drei Wochen nach Zugang der „Information“ erfolgt gilt dies als Zustimmung des Auftraggebers zum Wechsel bzw. zur Neubeauftragung des betreffenden Unterauftragnehmers. (3) DIGIHAUS GmbH ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat, sofern der Unterauftragnehmer zur Benennung eines Datenschutzbeauftragten gesetzlich verpflichtet ist.
(4) DIGIHAUS GmbH hat sicherzustellen, dass die in diesen Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(5) DIGIHAUS GmbH hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat die DIGIHAUS GmbH dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und der DIGIHAUS GmbH festgelegt sind.
(6) DIGIHAUS GmbH ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 8 dieser Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die die DIGIHAUS GmbH bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die die DIGIHAUS GmbH für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. DIGIHAUS GmbH ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von ITSystem oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
10. Vertraulichkeitsverpflichtung
(1) DIGIHAUS GmbH ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die sie im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet.
(2) DIGIHAUS GmbH hat ihre Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut gemacht und zur Vertraulichkeit verpflichtet.
11. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenen rechte allein verantwortlich. DIGIHAUS GmbH ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. DIGIHAUS GmbH hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung der DIGIHAUS GmbH für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den Auftraggeber erforderlich ist, wird die DIGIHAUS GmbH die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. DIGIHAUS GmbH wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber bei der DIGIHAUS GmbH entstehen, bleiben unberührt.
12. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung des Auftragsverhältnisses erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Auftragsverhältnisses zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) DIGIHAUS GmbH verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt der Veröffentlichung der Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung der DIGIHAUS GmbH bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 2 zu diesen Allgemeinen Geschäftsbedingungen zur Datenschutz-Grundverordnung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird die DIGIHAUS GmbH im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können von der DIGIHAUS GmbH ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann einmal jährlich oder bei begründeten Anlässen eine aktuelle Fassung der von der DIGIHAUS GmbH getroffenen technischen und organisatorischen Maßnahmen anfordern.
14. Beendigung
Nach Beendigung der Geschäftsbeziehung hat die DIGIHAUS GmbH sämtliche in ihren Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
15. Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch die DIGIHAUS GmbH i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
16. Schlussbestimmungen
Sollte das Eigentum des Auftraggebers bei der DIGIHAUS GmbH durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die DIGIHAUS GmbH den Auftraggeber unverzüglich zu informieren. DIGIHAUS GmbH wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
Anlage 1 – Gegenstand des Auftrags
Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch DIGIHAUS GmbH:
DIGIHAUS GmbH übernimmt fallspezifisch die Installation, Wartung und Betreuung von IT-Systemen, welche mit unterschiedlicher Software ausgestattet sind. Ebenfalls wird die Anschaltung zu Rechenzentren, die Installation von Druckern, Routern, Kopierern, Scannern und anderen Peripheriegeräten übernommen, soweit das für den Einsatz der Software notwendig ist.
Der Auftraggeber kann der DIGIHAUS GmbH ebenfalls die Wartung, Betreuung und Installation von Hardware, Betriebssystemen sowie Standardsoftware übertragen.
1. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
• Personalstammdaten
• Kundendaten
• Auftragsdaten
• Verwaltungsdaten
• Abrechnungsdaten
• Kommunikationsdaten
• Ggf. weitere durch den Auftraggeber erfasste Daten
2. Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
• Kunden
• Mitarbeiter
• Interessenten
• Lieferanten
• Abonnenten
• Handelsvertreter
• Ansprechpartner
Anlage 2 – Technische und organisatorische Maßnahmen zur Datensicherheit
Bei der DIGIHAUS GmbH sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO getroffen worden:
1. Vertraulichkeit
Zutrittskontrolle
Die Zugänge zum Bürohaus und auch zu den Büroräumen der DIGIHAUS GmbH sind Tag und Nacht verschlossen. Zugang zum Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Es kommt ein elektronisches Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils ausgehändigten Transponder-Schlüssel bzw. Zugangscodes selbst zu verwalten und elektronisches Zutrittsrecht zu erteilen und zu entziehen. Dies wird von der Geschäftsführung der DIGIHAUS GmbH verwaltet.
Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.
Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Geschäftsführung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.
Besucher erhalten erst nach Türöffnung durch den Empfang Zutritt zu dem Bürohaus und dann den Büroräumen. Der Empfang trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet.
Jeder Besucher wird dann von der Empfangsperson zu seinem jeweiligen Ansprechpartner begleitet.
Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen.
Die Eingänge und Fenster des Bürohauses und auch der Büroräume der DIGIHAUS GmbH sind mit einer Alarmanlage gesichert. Diese kann manuell aktiviert und deaktiviert werden.
Zugangskontrolle
Für die Zugangskontrolle sind nachfolgende Maßnahmen von DIGIHAUS GmbH getroffen worden:
Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde.
Der Benutzer erhält dann einen Benutzernamen und ein lnitialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
Passwörter werden alle 90 Tage gewechselt. Ausgenommen hiervon sind Passwörter, die über eine Mindestlänge von 32 Zeichen verfügen. Hier ist ein automatischer Passwortwechsel nicht indiziert.
Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 1 O Passwörter nicht noch einmal verwendet werden können.
Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts.
Remote-Zugriffe auf IT-Systeme der DIGIHAUS GmbH erfolgen stets über verschlüsselte Verbindungen.
Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist.
Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet werden ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
Passwörter werden grundsätzlich verschlüsselt gespeichert.
Zugriffskontrolle
Berechtigungen für IT-Systeme und Applikationen der DIGIHAUS GmbH werden ausschließlich von Administratoren eingerichtet.
Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.
Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten.
Es gibt ein rollen basiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.
Alle Mitarbeiter bei DIGIHAUS GmbH sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen.
Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.
Trennung
Alle von DIGIHAUS GmbH für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet. Pseudonymisierung & Verschlüsselung
Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.
2. Integrität
Eingabekontrolle
Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von DIGIHAUS GmbH im Auftrag verarbeitet werden, wird grundsätzlich protokolliert. Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.
Weitergabekontrolle
Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von DIGIHAUS GmbH erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
Die Nutzung von privaten Datenträgern ist den Beschäftigten bei DIGIHAUS GmbH im Zusammenhang mit Kundenprojekten untersagt.
Mitarbeiter bei DIGIHAUS GmbH werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.
3. Verfügbarkeit und Belastbarkeit
Daten auf Serversystemen von DIGIHAUS GmbH werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.
Das Einspielen von Backups wird regelmäßig getestet.
Die Serversysteme befinden sich in speziell gesicherten Rechenzentren in Deutschland.
Die Rechenzentren erfüllen alle die DIN ISO 9001 sowie die EN DIN 27001. Mit diesen Rechenzentren ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen worden.
Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. In den Serverräumen befinden sich Brandmeldeanlagen und Löschsysteme. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
Es gibt bei DIGIHAUS GmbH einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Bei der DIGIHAUS GmbH gibt es eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.
Der Informationssicherheitsbeauftragte ist verantwortlich, dass Maßnahmen im Bereich von Datenschutz und Datensicherheit geplant, umgesetzt, evaluiert und Anpassungen vorgenommen werden. Diese Maßnahmen werden nach der ISO EN 27001 durchgeführt. Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem lnformationssicherheitsbeauftragtem sowie dem Datenschutzbeauftragtem gemeldet werden. Diese werden den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
Auftragskontrolle
Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union.
Bei der DIGIHAUS GmbH ist ein externer Datenschutzbeauftragter benannt.
Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführten Audit durch den Datenschutzbeauftragten von DIGIHAUS GmbH abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Bei der DIGIHAUS GmbH wird schon bei der Auswahl der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.
Die Softwaresysteme der DIGIHAUS GmbH unterstützen auch die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht. Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.