Auftragsbearbeitungsvertrag (ADV)

Struktur

Dieser ADV ist wie folgt aufgebaut:

Abschnitt A – Details der Datenverarbeitung:
Die wichtigsten Definitionen und Details der Datenbearbeitung im Rahmen dieser ADV sind in Abschnitt A festgelegt.

Abschnitt B – Geltungsbereich:
Enthält die für die Vereinbarung geltenden allgemeinen rechtlichen Bestimmungen.

Abschnitt C – TOMs:
Die anwendbaren technischen und organisatorischen Maßnahmen.

 

Abschnitt A – Details der Datenverarbeitung

Verantwortlicher:
Kunde

Auftragsbearbeiter:
ServiceHunter AG, Birmensdorferstrasse 94, 8003 Zürich
Contact: Marie-Christin Kamann ([email protected])
(gemeinsam „die Parteien„)

Zweck der Verarbeitung:
Verwaltung und Management der Arbeitsverhältnisse

Dauer der Bearbeitung:
So lange wie für den Basisvertrag erforderlich

Kategorien von betroffenen Personen:
Mitarbeiter des Verantwortlichen

Kategorien von Personendaten:

  • Personalien (z.B.. Name, Geburtsdatum, Alter)
  • Nutzungsdaten (IP-Adresse, Protokolldateien, Passwort, Benutzername, Sitzung)
  • Kontakt Daten (z.B. Adresse, E-Mail, Telefonnummer)
  • Arbeitsvertragsbezogene Daten (z.B. Gehalt, Jobtitel, Arbeitszeit, Nationalität, Aufenthaltsgenehmigung, Kontonummer) 
  • Lohnabrechnungsdaten (z.B. AHV Nummer, Familienstand, Anzahl an Kindern, Namen/Geburtsdaten der Kinder und Partner)
  • Gesundheitsdaten (z.B. Medizinische Berichte, Informationen über Arbeitsunfälle, Krankheiten, Behinderungen, Schwangerschaft)

Ort der Speicherung und Bearbeitung:
An der Geschäftsadresse des Auftragsbearbeiters und seiner zugelassenen Unterauftragsbearbeiter, wie in diesem AVV angegeben

Vor-Ort-Prüfungen:
Beschränkt auf die Aufzeichnungen des Auftragsbearbeiters und gilt nicht für die physischen Räumlichkeiten

Unter-Auftragsbearbeiter:

  • Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland: Software für Entwicklung und DevOps, E-Mail und persönliche Informationen, Zusammenarbeit und Kommunikation sowie Dokumentenmanagement.
  • Mailgun Technologies, Inc., San Antonio, 112 E Pecan St #1135, USA: E-Mail-Service-Provider.
  • MobileTechnics AG, Hardturmstrasse 161, 8005 Zürich, Schweiz: Anbieter von mobilen IT-Lösungen.
  • Zendesk, Inc., 989 Market St, San Francisco, CA 94103, USA: Kundenservice-Software. 
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland: Anbieter von Webhosting.

Übermittlungen außerhalb der Schweiz:
Die Datenbearbeitung findet grundsätzlich in der Schweiz und der EU/dem EWR statt. Einzelne Datentransfers finden ausserhalb der Schweiz/der EU/dem EWR statt (siehe Unterauftragsbearbeiter).

Die in Abschnitt A definierten Variablen dienen als Definitionen in Abschnitt B.

 

Abschnitt B – Geltungsbereich

1. Zweck und Anwendungsbereich

  1. Zweck dieses Auftragsbearbeitungsvertrags (ADV) ist es, die Einhaltung von Artikel 9 des Schweizerischen Bundesgesetzes über den Datenschutz (DSG) zu gewährleisten.
  2. Dieser ADV gilt für die Verarbeitung personenbezogener Daten gemäß Abschnitt A.

2. Auslegung

  1. Wo in diesem ADV Begriffe verwendet werden, die im DSG definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesen Gesetzen.
  2. Dieser ADV ist im Lichte der Bestimmungen des DSG zu lesen und auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die im DSG vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.

3. Hierarchie

Im Falle eines Widerspruchs zwischen diesem ADV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses ADV besteht oder danach abgeschlossen wird, hat dieser ADV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes in Textform vereinbart.

4. Beschreibung der Bearbeitung(en)

Die Einzelheiten der Bearbeitungen, insbesondere die Kategorien von Personendaten und die Zwecke der Verarbeitung, für die die Personendaten im Auftrag des Verantwortlichen verarbeitet werden, sind in Abschnitt A aufgeführt.

5. Verpflichtungen der Vertragsparteien

5.1 Allgemein

  1. Der Auftragsbearbeiter verarbeitet Personendaten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Schweiz, denen der Auftragsbearbeiter unterliegt, hierzu verpflichtet. Solche Weisungen sind in Abschnitt A aufgeführt. In diesem Fall unterrichtet der Auftragsbearbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren.
  2. Der Auftragsbearbeiter unterrichtet den Verantwortlichen unverzüglich, wenn die Anweisungen des Verantwortlichen nach Ansicht des Auftragsbewerbers gegen geltende Datenschutzvorschriften der Schweiz verstoßen.

5.2 Zweckbindung

Der Auftragsbearbeiter verarbeitet die Personendaten nur für den/die in Abschnitt A genannten Zweck(e) der Verarbeitung.

5.3 Löschung oder Rückgabe von Daten

  1. Die Verarbeitung durch den Auftragsbearbeiter darf nur für die in Abschnitt A angegebene Dauer erfolgen.
  2. Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung von Personendaten oder bei Beendigung gemäß Klausel 8 hat der Auftragsbearbeiter alle im Auftrag des Verantwortlichen verarbeiteten Personendaten zu löschen und dem Verantwortlichen zu bescheinigen, dass er dies getan hat und vorhandene Kopien löschen, es sei denn, das schweizerische Recht schreibt die Aufbewahrung der Personendaten vor.

5.4 Sicherheit der Verarbeitung

  1. Der Auftragsbearbeiter ergreift die in Abschnitt C genannten technischen und organisatorischen Maßnahmen, um die Sicherheit der Personendaten zu gewährleisten, einschließlich des Schutzes vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten) gemäß Art. 8 DSG. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsbearbeiter insbesondere die mit der Verarbeitung verbundenen Risiken, die Art der Personendaten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung.
  2. Im Falle einer Verletzung des Schutzes von Personendaten in Bezug auf Daten, die vom Auftragsbearbeiter verarbeitet werden, benachrichtigt dieser den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes von Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Maßnahmen, die zur Minderung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
  3. Der Auftragsbearbeiter arbeitet nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder erforderlichen Weise, damit der Verantwortliche gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
  4. Der Auftragsbearbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsbearbeiter stellt sicher, dass die Personen, die zur Verarbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  5. Betrifft die Bearbeitung Personendaten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person, Daten über Massnahmen der sozialen Hilfe oder Daten über strafrechtliche Verurteilungen und Straftaten (besondere Datenkategorien), so wendet der Auftragsbearbeiter besondere Beschränkungen und/oder zusätzliche Garantien an, die der Verantwortliche angemessenerweise verlangt.

5.5 Dokumentation und Einhaltung der Vorschriften

  1. Die Parteien müssen in der Lage sein, die Einhaltung dieses ADV nachzuweisen.
  2. Der Auftragsbearbeiter ist verpflichtet, alle angemessenen Anfragen des Verantwortlichen, die sich auf die Verarbeitung im Rahmen dieses ADVs beziehen, unverzüglich und ordnungsgemäß zu beantworten.
  3. Der Auftragsbearbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem ADV festgelegten und sich unmittelbar aus dem DSG ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen des Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt. 
  4. Der Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Auftragsbearbeiter beauftragtes unabhängiges Audit zu verlassen. Beauftragt der Auftragsbearbeiter ein Audit, so hat er die Kosten für den unabhängigen Prüfer zu tragen. Die Audit-, Zugangs- und Inspektionsrechte Verantwortlichen gemäß dieser Klausel beschränken sich ausschließlich auf die Aufzeichnungen des Auftragsbearbeiters (einschließlich u. a. der Verzeichnisse der Tätigkeiten zur Verarbeitung von Personendaten und der Verzeichnisse der Empfänger von Personendaten) und gelten nicht für die physischen Räumlichkeiten des Auftragsbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieses ADV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Auftragsbearbeiter und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
  5. Der Auftragsbearbeiter und der Verantwortliche stellen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach dem DSG erforderlich ist.

5.6 Einsatz von Unterauftragsbearbeitern

  1. Der Auftragsbearbeiter verfügt über die allgemeine Ermächtigung des Verantwortlichen für die Beauftragung von Unterauftragsbearbeitern. Die Liste der Unterauftragsbearbeiter des Auftragsbearbeiter ist in Abschnitt A zu finden. Der Auftragsbearbeiter unterrichtet den Verantwortlichen in Textform mindestens 30 Tage im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsbearbeitern, so dass der Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterauftragsbearbeiter(s) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unangemessen erhoben werden. Die Parteien halten die Liste auf dem neuesten Stand.
  2. Beauftragt der Auftragsbearbeiter einen Unterauftragsbearbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsbearbeiter dieselben Pflichten auferlegt wie dem Auftragsbearbeiter gemäß dieses ADV. Der Auftragsbearbeiter stellt sicher, dass der Unterauftragsbearbeiter die Verpflichtungen einhält, denen der Auftragsbearbeiter gemäß dieses ADV und Art. 9 Abs. 3 DSG unterliegt.
  3. Der Auftragsbearbeiter legt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unterauftragsbearbeitungsvereinbarung und späterer Änderungen vor.
  4. Der Auftragsbearbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsbearbeiters aus seinem Vertrag mit dem Auftragsbearbeiter verantwortlich. Der Auftragsbearbeiter meldet dem Verantwortlichen, wenn der Unterauftragsbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

5.7 Internationale Übermittlungen

  1. Jegliche Übermittlung von Personendaten in ein „Drittland“ (jedes Land außerhalb der Schweiz) oder an eine internationale Organisation durch den Auftragsbearbeiter darf nur erfolgen, wenn sie gemäß Abschnitt A genehmigt wurde, und muss in Übereinstimmung mit Abschnitt 2 des DSG erfolgen.
  2. Der Verantwortliche erklärt sich damit einverstanden, dass, wenn der Auftragsbearbeiter einen Unterauftragsbearbeiter gemäß Klausel 5.6 mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen) in einem Drittland beauftragt und diese Bearbeitungstätigkeiten die Übermittlung von Personendaten im Sinne des DSG beinhalten, der Auftragsbearbeiter und der Unterauftragsbearbeiter Standardvertragsklauseln verwenden können, die von der EU-Kommission auf der Grundlage von Artikel 46 Absatz 2 der DSGVO angenommen wurden, um die Anforderungen von Abschnitt 2 des DSG zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind und eine interne Bewertung zu dem Ergebnis geführt hat, dass eine solche Übermittlung dem Datenschutzniveau des DSG entspricht.

6. Rechte der betroffenen Person

  1. Der Auftragsbearbeiter unterrichtet den Verantwortlichen unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem Verantwortlichen dazu ermächtigt.
  2. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf die Anträge der betroffenen Personen auf Ausübung ihrer Rechte gemäß Kapitel IV des DSG zu reagieren, und zwar
    1. das Recht, informiert zu werden, wenn Personendaten von der betroffenen Person erhoben werden,
    2. das Recht, informiert zu werden, wenn Personendaten nicht von der betroffenen Person erhalten wurden,
    3. das Recht auf Auskunft durch die betroffene Person,
    4. das Recht auf Berichtigung,
    5. das Recht auf Löschung („das Recht auf Vergessenwerden“),
    6. das Recht auf Einschränkung der Verarbeitung,
    7. die Meldepflicht zur Berichtigung oder Löschung von Personendaten oder zur Einschränkung der Verarbeitung,
    8. das Recht auf Datenübertragbarkeit,
    9. das Recht, Einspruch zu erheben,
    10. das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht,
    11. das Recht, die Einwilligung zu widerrufen.
  1. Der Auftragsbearbeiter unterstützt den Verantwortlichen, wenn eine betroffene Person bei der zuständigen Aufsichtsbehörde eine Beschwerde eingereicht hat, die Daten betrifft, die auf der Grundlage dieses ADV verarbeitet werden.
  2. Zusätzlich zu der Verpflichtung des Auftragsbearbeiter, den Verantwortlichen gemäß Artikel 6 Buchstabe b zu unterstützen, unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Verarbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
    1. Die Verpflichtung, eine Verletzung des Schutzes von Personendaten unverzüglich nach Bekanntwerden der zuständigen Aufsichtsbehörde mitzuteilen (es sei denn, die Verletzung des Schutzes von Personendaten führt wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen), in Übereinstimmung mit Art. 24 Abs. 1-3 des DSG;
    2. die Verpflichtung, der betroffenen Person die Verletzung des Schutzes von Personendaten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, gemäß Art. 24 Abs. 3 des DSG;
    3. die Verpflichtung zur Durchführung einer Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz von Personendaten (eine „Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, gemäß Art. 22 des DSG;
    4. die Verpflichtung, die zuständige Aufsichtsbehörde vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der Verantwortliche keine Maßnahmen zur Risikominderung ergreift, gemäß Art. 23 des DSG.
  2. Die Vertragsparteien legen in Abschnitt C die geeigneten technischen und organisatorischen Maßnahmen fest, durch die der Auftragsbearbeiter den Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

7. Meldung von Verletzungen des Schutzes von Personendaten

  1. Im Falle einer Verletzung des Schutzes von Personendaten arbeitet der Auftragsbearbeiter nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder Weise, die für den Verantwortlichen erforderlich ist, um seinen Verpflichtungen gemäß Artikel 24 DSG nachzukommen, wobei die Art der Verarbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
  2. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung des Schutzes von Personendaten an die zuständige Aufsichtsbehörde, sofern zutreffend. Der Auftragsbearbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäß Artikel 24 Absatz 2 des DSG in der Meldung des Verantwortlichen angegeben werden müssen:
    1. Die Art der Personendaten, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
    2. die wahrscheinlichen Folgen der Verletzung des Schutzes von Personendaten;
    3. die Maßnahmen, die der Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher negativer Auswirkungen.

8. Beendingung

  1. Unbeschadet der Bestimmungen des DSG kann der Verantwortliche den Auftragsbearbeiter anweisen, die Verarbeitung von Personendaten vorübergehend einzustellen, bis dieser diesen ADV einhält oder der Vertrag gekündigt wird, falls der Auftragsbearbeiter gegen seine Verpflichtungen aus diesem ADV verstößt. Der Auftragsbearbeiter unterrichtet den Verantwortlichen unverzüglich, falls er aus irgendeinem Grund nicht in der Lage ist, diesen ADV einzuhalten.
  2. Der Verantwortliche ist berechtigt, diesen ADV zu kündigen, wenn:
    1. die Verarbeitung von Personendaten durch den Auftragsbearbeiter von dem Verantwortlichen gemäß Buchstabe a vorübergehend ausgesetzt wurde, der Verstoß des Auftragsbearbeiter erheblich ist und die Einhaltung dieses ADV nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats, wiederhergestellt wird;
    2. Der Auftragsbearbeiter verstößt in erheblichem Maße oder dauerhaft gegen diesen ADV oder gegen seine Verpflichtungen nach dem DSG, und es ist nicht zu erwarten, dass dieser Verstoß behoben wird;
    3. der Auftragsbearbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesem ADV oder aus dem DSG nicht nachkommt.

 

Abschnitt C – TOMs

Beschreibung der technischen und organisatorischen Maßnahmen, die von dem Auftragsbearbeiter durchgeführt werden:

1. Organisatorische Sicherheitsmaßnahmen

1.1 Sicherheitsmanagement

  1. Sicherheitskonzept und -verfahren: Der Auftragsbearbeiter verfügt über ein dokumentiertes Sicherheitskonzept für die Verarbeitung von Personendaten.
  2. Rollen und Verantwortlichkeiten:
    1. Die Rollen und Verantwortlichkeiten im Zusammenhang mit der Verarbeitung von Personendaten sind klar definiert und im Einklang mit dem Sicherheitskonzept zugewiesen. 
    2. Bei internen Umstrukturierungen oder Kündigungen und beim Wechsel des Arbeitsplatzes ist der Widerruf von Rechten und Zuständigkeiten mit entsprechenden Übergabeverfahren klar definiert.
  2. Politik der Zugangskontrolle: Jeder Rolle, die an der Verarbeitung von Personendaten beteiligt ist, werden nach dem Need-to-know-Prinzip spezifische Zugriffskontrollrechte zugewiesen.
  3. Verwaltung der Ressourcen/Vermögenswerte: Der Auftragsbearbeiter verfügt über ein Register der für die Verarbeitung von Personendaten verwendeten IT-Ressourcen (Hardware, Software und Netzwerk). Eine bestimmte Person ist mit der Pflege und Aktualisierung des Registers betraut (z.B. der IT-Beauftragte). 
  4. Änderungsmanagement: Der Auftragsbearbeiter stellt sicher, dass alle Änderungen am IT-System von einer bestimmten Person (z. B. dem IT- oder Sicherheitsbeauftragten) registriert und überwacht werden. Dieser Prozess wird regelmäßig überwacht.

1.2 Reaktion auf Zwischenfälle und Geschäftskontinuität

  1. Umgang mit Zwischenfällen / Verletzungen des Schutzes von Personendaten:
    1. Es wird ein Plan für die Reaktion auf Zwischenfälle mit detaillierten Verfahren festgelegt, um eine wirksame und ordnungsgemäße Reaktion auf Zwischenfälle im Zusammenhang mit Personendaten zu gewährleisten.
    2. Der Auftragsbearbeiter meldet dem Verantwortlichen unverzüglich jeden Sicherheitsvorfall, der zu einem Verlust, einem Missbrauch oder einer unbefugten Kenntnisnahme von Personendaten geführt hat.
  2. Geschäftskontinuität: Der Auftragsbearbeiter hat die wichtigsten Verfahren und Kontrollen festgelegt, die zu befolgen sind, um das erforderliche Maß an Kontinuität und Verfügbarkeit des IT-Systems zur Verarbeitung von Personendaten (im Falle eines Zwischenfalls/einer Verletzung des Schutzes von Personendaten) zu gewährleisten.

1.3 HR

  1. Vertraulichkeit des Personals: Der Auftragsbearbeiter stellt sicher, dass alle Mitarbeiter ihre Verantwortlichkeiten und Pflichten im Zusammenhang mit der Verarbeitung von Personendaten kennen. Die Rollen und Zuständigkeiten werden während des Verfahrens vor der Einstellung und/oder bei der Einarbeitung klar kommuniziert. 
  2. Schulung: Der Auftragsbearbeiter stellt sicher, dass alle Mitarbeiter angemessen über die Sicherheitskontrollen des IT-Systems informiert sind, die sich auf ihre tägliche Arbeit beziehen. Die mit der Verarbeitung von Personendaten befassten Mitarbeiter werden durch regelmäßige Sensibilisierungskampagnen auch angemessen über die einschlägigen Datenschutzanforderungen und rechtlichen Verpflichtungen informiert.

2. Technische Sicherheitsmaßnahmen

2.1 Zugangskontrolle und Authentifizierung

  1. Ein Zugangskontrollsystem, das für alle Benutzer, die auf das IT-System zugreifen, gilt, wurde eingeführt. Das System ermöglicht das Anlegen, Genehmigen, Überprüfen und Löschen von Benutzerkonten.
  2. Die Verwendung von gemeinsamen Benutzerkonten wird vermieden. In Fällen, in denen dies notwendig ist, wird sichergestellt, dass alle Benutzer des gemeinsamen Kontos die gleichen Rollen und Verantwortlichkeiten haben.
  3. Bei der Gewährung des Zugangs oder der Zuweisung von Nutzerrollen ist der Grundsatz „Need-To-Know“ zu beachten, um die Zahl der Nutzer, die Zugang zu Personendaten haben, auf diejenigen zu beschränken, die diesen Zugang für die Erfüllung der Verarbeitungszwecke des Auftragsbearbeiters benötigen. 
  4. Wenn die Authentifizierungsmechanismen auf Passwörtern beruhen, verlangt der Auftragsbearbeiter, dass das Passwort mindestens acht Zeichen lang ist und sehr strengen Passwortkontrollparametern entspricht, einschließlich Länge, Zeichenkomplexität und Nichtwiederholbarkeit.
  5. Die Authentifizierungsdaten (z. B. Benutzer-ID und Passwort) dürfen niemals ungeschützt über das Netz übertragen werden.

2.2 Protokollierung und Überwachung

Für jedes System/jede Anwendung, das/die für die Verarbeitung von Personendaten verwendet wird, werden Protokolldateien aktiviert. Sie umfassen alle Arten des Zugriffs auf Daten (Ansicht, Änderung, Löschung).

2.3 Sicherheit von Daten im Ruhezustand

  1. Server-/Datenbank-Sicherheit
    1. Datenbank- und Anwendungsserver sind so konfiguriert, dass sie unter einem separaten Konto mit minimalen Betriebssystemprivilegien laufen, um korrekt zu funktionieren.
    2. Datenbank- und Anwendungsserver verarbeiten nur die Personendaten, deren Bearbeitung zur Erreichung des Verarbeitungszwecks tatsächlich erforderlich ist.
  1. Sicherheit am Arbeitsplatz:
    1. Die Benutzer können die Sicherheitseinstellungen nicht deaktivieren oder umgehen.
    2. Die Antiviren-Anwendungen und Erkennungssignaturen werden regelmäßig konfiguriert.
    3. Benutzer haben keine Berechtigung, nicht autorisierte Softwareanwendungen zu installieren oder zu deaktivieren.
    4. Das System verfügt über Sitzungszeitüberschreitungen, wenn der Benutzer eine bestimmte Zeit lang nicht aktiv war.
    5. Kritische Sicherheitsupdates, die vom Entwickler des Betriebssystems veröffentlicht werden, werden regelmäßig installiert.

2.4 Netz-/Kommunikationssicherheit

  1. Bei jedem Zugriff über das Internet wird die Kommunikation durch kryptographische Protokolle verschlüsselt.
  2. Der Verkehr zum und vom IT-System wird durch Firewalls und Intrusion Detection Systeme überwacht und kontrolliert.

2.5 Backups

  1. Sicherungs- und Datenwiederherstellungsverfahren sind definiert, dokumentiert und klar mit Rollen und Verantwortlichkeiten verknüpft.
  2. Backups werden in angemessenem Umfang physisch und ökologisch geschützt, entsprechend den Standards, die für die ursprünglichen Daten gelten.
  3. Die Ausführung der Backups wird auf Vollständigkeit überwacht.

2.6 Mobile/tragbare Geräte

  1. Es werden Verfahren für die Verwaltung mobiler und tragbarer Geräte festgelegt und dokumentiert, die klare Regeln für deren ordnungsgemäße Verwendung enthalten.
  2. Mobile Geräte, die auf das Informationssystem zugreifen dürfen, werden vorab registriert und autorisiert.

2.7 Sicherheit im Lebenszyklus von Anwendungen

Während des Entwicklungszyklus werden bewährte Praktiken, der neueste Stand der Technik und anerkannte sichere Entwicklungsverfahren oder -standards befolgt.

2.8 Löschung/Entsorgung von Daten

  1. Die Datenträger werden vor ihrer Entsorgung mit Software überschrieben. In Fällen, in denen dies nicht möglich ist (CDs, DVDs usw.), werden sie physisch vernichtet.
  2. Papier und tragbare Datenträger, die zur Speicherung personenbezogener Daten verwendet werden, werden vernichtet.

2.9 Physische Sicherheit

Die physische Umgebung der IT-Systeminfrastruktur ist für nicht autorisiertes Personal nicht zugänglich. Durch geeignete technische Maßnahmen (z.B. Einbruchmeldeanlage, chipkartengesteuertes Drehkreuz, Ein-Personen-Sicherheitszugangssystem, Schließanlage) oder organisatorische Maßnahmen (z.B. Wachdienst) sind die Sicherheitsbereiche und deren Zugänge gegen das Betreten durch Unbefugte zu schützen.

Suche