Der Auftraggeber von hinweisgeberkanal.de nachfolgend „Auftraggeber“ verarbeitet für den Auftragnehmer
Prange Datenschutz GmbH
Reichsstaße 78
58840 Plettenberg
Deutschland
nachfolgend
„Auftragnehmer“
personenbezogene Daten im Rahmen einer Auftragsdatenverarbeitung gemäß Art. 28 DSGVO:
Hierzu wird folgende Zusatzvereinbarung geschlossen:
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Gegenstand, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftrag-geber sind in Anlage 1 näher definiert.
(2) Die vom Auftrag betroffenen Personen und die damit verbundenen Zugriffe auf deren Daten sind in Anlage 2 aufgeführt.
(3) Die Dauer dieses Auftrags (Laufzeit) [bitte auswählen]:
1 entspricht der Laufzeit der Leistungsvereinbarung (siehe Anlage 1)
Die Verpflichtungen zur Einhaltung des Datengeheimnisses und der Vertraulichkeit bestehen auch nach Beendigung dieser Vereinbarung fort.
(4) Änderungen des Verarbeitungsgegenstandes, Verarbeitungsumfanges sowie Verfahrens¬änderungen sind schriftlich zu vereinbaren.
(5) Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutsch-land, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Ab-kommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzun-gen der Art. 44 bis 49 DSGVO erfüllt sind.
(1) Der Auftragnehmer führt die Leistungen ausschließlich im Rahmen der getroffenen Vereinbarung und nach Weisung des Auftraggebers durch. Der Auftragnehmer ist verpflichtet, die getroffenen Weisungen unverzüglich zu dokumentieren. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen geltendes Recht verstößt.
(2) Der Auftragnehmer verwendet Daten, die ihm im Rahmen der Erfüllung dieses Vertrags bekannt ge-worden sind, nur für die vereinbarten Vertragszwecke. Eine Verarbeitung oder Nutzung ohne Kenntnis des Auftraggebers oder zu eigenen Zwecken des Auftragnehmers ist nicht erlaubt. Kopien oder Dupli-kate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitsko-pien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, so-wie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der ver-einbarten allgemeinen und technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO zu. Die konkreten Vorgaben sind durch Anlage 3 geregelt. Der Auftragnehmer hat die Umset-zung der Maßnahmen zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzep-tanz durch den Auftraggeber werden die dokumentierten Maßnahmen Bestandteil des Vertrags.
(4) Sofern ein betrieblicher Datenschutzbeauftragter (freiwillig oder verpflichtend) bestellt wurde, wird der Auftragnehmer diesen in Anlage 4 entsprechend benennen. Bei der Bestellung werden die gesetzlichen Anforderungen der Art. 37 bis 39 DSGVO sowie der nationalen Regelungen entsprechend berücksich-tigt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Hat der Auftragnehmer keinen Sitz innerhalb der EU, benennt er in Anlage 4 einen Vertreter in der Union ge-mäß Art. 27 DSGVO.
(5) Der Auftragnehmer verpflichtet sich, soweit rechtlich und tatsächlich möglich, den Verantwortlichen auch mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträ-gen zu unterstützen, die Betroffene zur Ausübung ihrer Rechte nach Art. 12-22 DSGVO stellen. Dies be-trifft insbesondere das Auskunftsrecht der Betroffenen (Art. 15 DSGVO), das Recht auf Berichtigung un-richtiger personenbezogener Daten, das Recht der Betroffenen auf Löschung ihrer personenbezogenen Daten (Art. 17 DSGVO) sowie das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Der Auf-tragnehmer darf Daten nur auf dokumentierte Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Er wird ferner keinerlei Auskunft über personenbezogene Daten an Dritte, aber auch nicht an den Betroffenen selbst erteilen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftragge-ber weiterleiten.
(6) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befug-ten Personen zur Vertraulichkeit schriftlich verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(7) Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers sowie in Fällen eines Verstoßes gegen die in diesem Auftrag getroffenen Festlegungen. Ebenso informiert er den Auftraggeber unverzüglich über Kontrollhandlun-gen und Maßnahmen der Aufsichtsbehörde oder anderer öffentlicher Stellen.
(8) Darüber hinaus unterstützt der Auftragnehmer den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei seinen Verpflichtungen aus Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehör-de) sowie aus Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezo-gener Daten betroffenen Person). Ebenso unterstützt er den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Durchführung der Datenschutz-Folgenabschätzung, einer ggf. erforderlichen Konsultation der Aufsichtsbehörde (Art. 35, 36 DSGVO) sowie sonstigen behördlichen Anfragen und Kontrollen.
(9) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durch-geführten Tätigkeiten, die den Anforderungen des Art. 30 Abs. 2 DSGVO genügt. Hinsichtlich des Ver-zeichnisses von Verarbeitungstätigkeiten des Auftraggebers hat der Auftragnehmer den Auftraggeber auf Anforderung in dem ihm möglichen Umfang zu unterstützen.
(10) Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle erforderlichen Informationen zum Nach-weis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung zu stellen. Er erteilt auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte, die zur Durchführung einer umfassenden Kontrolle erforderlich sind.
(11) Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Drit-ten nicht zugänglich sind.
(1) Der Auftraggeber ist für die Einhaltung der jeweils einschlägigen Datenschutzgesetze sowie die Wah-rung der Betroffenenrechte verantwortlich. Betroffenenrechte sind gegenüber dem Auftraggeber gel-tend zu machen.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestim-mungen feststellt.
(1) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Ablauf der Datenverarbeitung zu erteilen. Gleiches gilt für die Festlegung bzw. Fortschreibung der Datensicherungsmaßnahmen.
(2) Der Auftraggeber oder ein Beauftragter des Auftraggebers kann sich nach rechtzeitiger Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Er-fordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen. Der Auftragnehmer hat die entsprechenden Kontrollen zu dulden und wird den Auftraggeber bei deren Durchführung unterstützen.
(3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer umfassenden Kontrolle erfor-derlich sind.
(1) Aufträge an Subunternehmer durch den Auftragnehmer dürfen nur mit Genehmigung des Auftragge-bers in Textform vergeben werden. Dies und die nachfolgenden Regelungen gelten auch für den Sub-unternehmer.
(2) Der Auftragnehmer hat den Auftraggeber ohne gesonderte Aufforderung über jede beabsichtigte Än-derung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer zu informieren. Ge-gen solche Änderungen steht dem Auftraggeber ein Widerspruchsrecht zu.
(3) Der Auftragnehmer hat den Subunternehmer sorgfältig auszuwählen. Er hat sich vor Beginn der Daten-verarbeitung durch den Subunternehmer und sodann regelmäßig von der Einhaltung der beim Subun-ternehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und die Ergeb-nisse zu dokumentieren. Dem Auftraggeber ist auf Verlangen der Prüfdokumentation zur Verfügung zu stellen.
(4) Die vertraglichen Vereinbarungen mit den Subunternehmern sind so zu gestalten, dass sie den Anfor-derungen dieser Vereinbarung entsprechen, wobei insbesondere hinreichende Garantien dafür gebo-ten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchge-führt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.
(5) Dem Auftraggeber sind unmittelbare Kontroll- und Überprüfungsrechte entsprechend § 4 dieser Ver-einbarung auch gegenüber dem Subunternehmer einzuräumen. Ebenso ist der Auftraggeber berech-tigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
(6) Sofern der Subunternehmer außerhalb eines in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stammt oder die Datenverarbeitung dort stattfindet, ist durch den Auftragnehmer darüber hinaus sicherzustellen, dass die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. Dies ist dem Auftraggeber gegenüber schriftlich vor Aufnahme der Tätigkeiten des Subunternehmers nachzuweisen.
(7) Die Genehmigung zur Einschaltung der Dienstleister in Anlage 5 gilt als erteilt, sofern die vorstehenden Anforderungen erfüllt sind.
(8) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten eines jeden Subunternehmers.
(1) Die Parteien verpflichten sich, die ihnen während der Durchführung dieses Vertrages zur Kenntnis ge-langten Informationen und Unterlagen, insbesondere Geschäfts- und Betriebsgeheimnisse des Ver-tragspartners streng vertraulich zu behandeln. Ebenso vertraulich zu behandeln sind der Gegenstand und Inhalt des Vertrages. Die Parteien sind verpflichtet, die zur Verfügung gestellten oder im Rahmen des Auftrages zur Kenntnis genommenen Daten und Informationen des Vertragspartners ausschließlich im Rahmen des Vertragszwecks zu verarbeiten und zu nutzen. Eine Verarbeitung oder Nutzung für ei-gene Zwecke sowie eine Weitergabe an Dritte ist nur nach schriftlicher Zustimmung des Vertragspart-ners zulässig.
(2) Sofern zur Abwicklung des Auftrages die Einschaltung Dritter erforderlich ist, wird dafür Sorge getra-gen, dass die getroffenen Datenschutz- und Geheimhaltungsvereinbarungen von diesen Dritten eben-falls strikt eingehalten werden. Die Einschaltung von Dritten erfordert das ausdrückliche Einverständnis des Vertragspartners.
(3) Die vorstehenden Rechte und Pflichten gelten über die Dauer des Vertrages fort.
(1) Nach Beendigung des Vertrages oder früher nach Aufforderung durch den Auftraggeber hat der Auf-tragnehmer sämtliche in seinem Besitz befindlichen Unterlagen, Datenträger oder sonstigen Ergebnisse auf Wunsch des Auftraggebers physisch zu löschen bzw. diesem restlos mit der Erklärung zurückgeben, dass sich keine weiteren Kopien beim Auftragnehmer oder bei Unterauftragnehmern befinden. Beim Auftragnehmer gespeicherte Daten sind physisch zu löschen. Die Löschung ist zu dokumentieren. Test- und Ausschussmaterial ist unverzüglich zu vernichten bzw. zu löschen.
(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertrags-ende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
(3) Der Auftraggeber ist berechtigt, die Einhaltung der vorstehenden Verpflichtungen, ggf. auch vor Ort, zu kontrollieren.
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter ge-fährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informie-ren, dass die Hoheit an den Daten beim Auftraggeber liegt.
(2) Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
(3) Diese Vereinbarung zum Datenschutz ersetzt alle zuvor getroffenen Vereinbarungen zum Datenschutz zwischen dem Auftraggeber und dem Auftragnehmer.
(4) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwai-ger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrück-lichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(5) Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden oder der Vertrag eine Lücke enthalten, so bleibt die Rechtswirksamkeit der übrigen Bestimmungen hiervon unberührt. Anstelle der unwirksamen oder fehlenden Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem von den Parteien Gewollten wirtschaftlich am nächsten kommt.
(6) Es gilt deutsches Recht.
Die Tätigkeiten des Auftragnehmers für den Auftraggeber im Rahmen der Auftragsdatenverarbeitung sind wie folgt festgelegt:
1 Tätigkeiten sind der nachfolgenden Leistungsbeschreibung(en)/Vertrag/SLA zu entnehmen:
1 Name der Vereinbarung: Interne Meldestelle (Hinweisgebersystem) des Auftraggebers auf hin-weisgeberkanal.de gemäß den Nutzungsbedingungen des Auftragnehmers. Über die Meldestelle können u.a. Mitarbeiter, Lieferanten und sonstige Geschäftspartner Meldungen über Verstöße ge-mäß §3 HinSchG machen.
Der Auftragnehmer verarbeitet vertragsgemäß auch personenbezogene Daten für den Auftraggeber. Diese werden im Folgenden spezifiziert. Bedingt durch den technologischen Wandel und organisatorischen Ver-änderungen kann sich die Zusammensetzung der Daten auch verändern.
Betroffene:
[X] Beschäftigte
[X] ehemalige Beschäftigte
[X] Bewerber
[X] Geschäftskunden/B2B (Ansprechpartner) [inkl. Interessenten]
[X] Privatkunden/B2C [inkl. Interessenten]
[X] Lieferanten (Ansprechpartner)
[X] sonstige Geschäftspartner
Datenkategorien:
[X] Stamm- und Kommunikationsdaten
[X] Daten über Verstöße, die im Zusammenhang mit der Meldung übermittelt werden.
[X] Bankverbindungsdaten
[X] Vertragsdaten
Bei der Verarbeitung personenbezogener Daten sind technische und organisatorische Maßnahmen zu tref-fen, die erforderlich sind, um die Ausführung der Vorschriften des Datenschutzes zu gewährleisten:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemes-senes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
» die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
» die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
» die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
» ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der tech-nischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezoge-nen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
[Artikel 32 DSGVO]
Es sind insbesondere – aber nicht abschließend – die nachfolgenden Vorgaben zu beachten:
Diese technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es der datenempfangenen Gesellschaft gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Arbeitgeber anzuzeigen.
Die Zugangsberechtigungen sind auf die für die Aufgabenerfüllung notwendigen Rechte zu beschränken (Minimalprinzip). Nach Erfüllung der Aufgabe sind die Berechtigungen zu löschen oder zu sperren. Die Rechtebeantragung unterliegt der Pflichtentrennung. Die Vergabe ist zu dokumentieren.
Sofern ein Zugriff auf das System des Auftraggebers stattfindet, sind diese Zugangsrechte für Mitarbeiter des Auftragnehmers beim Auftraggeber per E-Mail unter Nennung der Gründe und des Umfangs der Rechte zu beantragen bzw. der Auftraggeber ist rechtzeitig vorher zu informieren. Sollte der Zugriff auf personenbezo-gene Daten nicht zwingend erforderlich sein, so ist hierauf zu verzichten. Die Rechte sind in Lese- und Schreibrechte zu unterscheiden. Der Zugriff über externe Netze ist entsprechend zu schützen (Verschlüsse-lung, Authentifizierung etc.: siehe oben).
Die Zugangsprotokolle umfassen erfolgreiche/erfolglose Logins und vom Benutzer bzw. dem System initiierte Logins. Systemsicherheitsrelevante Aktivitäten (alle Aktivitäten im Administrator-Modus) sind stets zu pro-tokollieren. Die Protokolldaten sind manipulationssicher, zeitnah verfügbar und gemäß den gesetzlichen Anforderungen aufzubewahren. Der Zugriff auf Protokolldaten ist nur autorisierten Benutzern zu gestatten. Die Protokolldaten sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
Es sind sichere Kennwortverfahren nach dem aktuellen Stand der Technik (beispielsweise gemäß Empfeh-lungen des BSI) eingerichtet. Datenverarbeitungssysteme werden gesperrt, wenn diese unbeaufsichtigt sind. Es sind Maßnahmen der Zwei-Faktor-Authentifizierung zu prüfen.
Wenn Daten/Unterlagen nicht unter Aufsicht/Kontrolle der zuständigen Mitarbeiter sind, sind sie unter Verschluss aufzubewahren und beim Transport entsprechend des Schutzbedarfs sicher zu transportieren; hierzu sollten mobile Datenträger verschlüsselt werden.
Die Daten sind entsprechend zu ihren Zwecken getrennt zu verarbeiten. So sind die vorgegebenen Systeme zu nutzen und keine Datenexporte vorzunehmen, um Daten unterschiedlicher Syste-me/Zweckbestimmungen zusammenzuführen (z. B. in Excel).
Auch ist Unbefugten der Zutritt zu den Räumlichkeiten zu verwehren. Hierunter fallen neben dem Server-raum auch die weiteren Räume, in denen sich Datenverarbeitungsanlagen befinden, die einen Zugang zu den Systemen ermöglichen. Zutritt ist nur für bestimmte, berechtigte Zwecke erlaubt. Hierbei sind auch Personen von Dienstleistern entsprechend zu berücksichtigen. Zur Zutrittskontrolle gehören ferner u. a. folgende Maßnahmen:
» Zutrittskontrollsystem
» Türsicherung (elektrische Türöffner usw.)
» Werkschutz, Pförtner
» Überwachungseinrichtung
» Alarmanlage
Die Übertragung von personenbezogenen Daten ist zu schützen. Die Klassifikationsstufe der jeweiligen In-formationen ist bei der Form des Datenaustauschs entsprechend zu berücksichtigen. Sollten im Rahmen des gleichen Datenaustauschs Informationen mit unterschiedlichen Klassifikationsstufen an einen Kommunika-tionspartner übermittelt werden, dann ist für den gesamten Datenaustausch das Schutzniveau der höchsten Klassifikationsstufe zu nutzen. Die Übertragung sensibler/vertraulicher Daten ist ausschließlich in verschlüs-selter Form zulässig.
Sofern eine direkte Personenbeziehbarkeit nicht erforderlich ist, ist von den Möglichkeiten der Pseudonymi-sierung Gebrauch zu machen, wenn dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (Datensparsamkeit).
Nicht mehr benötigte Daten sind zeitnah und sicher zu vernichten, z. B. wenn eine gesetzliche Vorschrift existiert, die die Löschung zwingend vorschreibt oder eine gesetzliche und/oder die betriebliche Aufbewah-rungsnotwendigkeit entfällt.
Datenträger, die schützenswerte Daten enthalten und nicht mehr gebraucht werden oder aufgrund eines Defektes ausgesondert werden sollen, sind so zu entsorgen, dass keine Rückschlüsse auf vorher gespeicher-te Daten möglich sind; bis zur Vernichtung sind diese sicher zu verwahren, dass Unbefugte auf die Unterla-gen nicht zugreifen können. Analoges gilt für Belege und Druckausgaben.
Es sind angemessene Maßnahmen zu ergreifen, die die Unversehrtheit der Daten und der Programme vor Fälschung, Vernichtung und Änderung sicherstellen. Auch sind Maßnahmen einzuführen, die fehlerhafte Daten als solche erkennen. So sind u. a. eingehende Daten (z. B. E-Mails oder Datenträger) auf Viren zu prüfen und die Mitarbeiter entsprechend zu sensibilisieren). Die Firewall ist so zu konfigurieren und zu ad-ministrieren, dass sie einen effektiven Schutz darstellt und Manipulationen verhindert werden.
Um Sicherheitslücken in den IT-Systeme zu schließen, sind zeitnah Sicherheits-Updates und -Patches einzu-spielen. Hierbei sind mobile Geräte bzw. nicht dauerhaft mit dem internen IT-Netzwerk verbundene Geräte ebenfalls zu berücksichtigen.
Dateneingaben, -veränderungen und -löschungen sind zu protokollieren. Diese sind regelmäßig auf unbe-fugte Datenverarbeitungsvorgänge zu prüfen.
Um das Risiko eines Datenverlusts zu reduzieren, sind regelmäßige Datensicherungen durchzuführen. Ferner sind die Datenverarbeitungssysteme entsprechend zu warten und zu aktualisieren. Ferner gehören zur Ver-fügbarkeitskontrolle u. a. folgende Maßnahmen:
» Backup-Verfahren
» Spiegeln von Festplatten
» Unterbrechungsfreie Stromversorgung (USV)
» Getrennte (räumliche) Aufbewahrung der Datensicherungen
» Virenschutz / Firewall
Alle sicherheitsrelevanten Ereignisse (wie z. B. unerklärliches Systemverhalten, Verlust oder Veränderung von Daten und Programmen, Verfügbarkeit nicht explizit freigegebener Dienste, Verdacht auf Missbrauch der eigenen Benutzerkennung, usw.) sind sofort zu melden. Es sind Maßnahmen für Notfall-, Katastrophen- und Wiederanlaufplanung zu erstellen.
Es hat eine regelmäßige Überprüfung hinsichtlich der Wirksamkeit der getroffenen Maßnahmen stattzufin-den. So sollte in regelmäßigen Abständen eine Analyse durchgeführt werden, die die derzeitigen Schwächen und Schwachstellen aufdeckt. Darauf aufbauend sind Maßnahmen zur Beseitigung zu erarbeiten. Darüber hinaus ist eine Risikoanalyse durchzuführen, um die Risiken hinsichtlich des Geschäfts aufzudecken und bei den IT-Sicherheitsmaßnahmen zu berücksichtigen.
Es ist sicherzustellen, dass die Einhaltung der Datenschutzgrundsätze nachgewiesen werden kann (Rechen-schaftspflicht). Es sind geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzu-stellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß den datenschutzrechtli-chen Vorschriften erfolgt. Dies bedeutet, dass beweissicher dokumentiert werden muss, was zur Einhaltung der datenschutzrechtlichen Vorgaben unternommen wird.
Es ist in regelmäßigen Abständen ein Audit oder eine Revision der festgelegten technischen und organisato-rischen Maßnahmen durchzuführen, die die derzeitigen Schwächen und Schwachstellen aufdeckt. Darauf aufbauend sind Maßnahmen zur Beseitigung zu erarbeiten. Darüber hinaus sollte eine Risikoanalyse durch-geführt werden, um die Risiken hinsichtlich des Geschäfts aufzudecken und bei den IT-Sicherheitsmaßnahmen zu berücksichtigen.
Dienstleister 1:
Name des Dienstleisters: Powerhouse Solutions GmbH
Anschrift:Reichsstraße 78, 58840 Plettenberg
Art der Dienstleistung: Entwicklung der Plattform Hinweisgeberkanal.de
Kontaktdaten des DSB: datenschutz@powerhouse-solutions.de
Dienstleister 2:
Name des Dienstleisters: Microsoft Deutschland GmbH
Anschrift:Walter-Gropius-Straße 5, 80807 München
Art der Dienstleistung: Bereitstellung der Serverkapazitäten (Hoster) zur Speicherung und Verarbeitung personenbezogener Daten im Hinweisgeberkanal.de
Kontaktdaten des DSB: https://privacy.microsoft.com/de-de/privacystatement