zwischen
[Schule]
[Anschrift]
nachstehend „Verantwortlicher“
und
aconium GmbH
Invalidenstraße 91
10115 Berlin
nachstehend „Auftragsverarbeiter“ oder „aconium“
Präambel
Der Verantwortliche plant den Einsatz der „Digitalen Lernlandkarte“ im Rahmen des Schulbetriebs. Die „Digitale Lernlandkarte“ ermöglicht es dem Lehrpersonal, den Lernstand der Schüler:innen effektiv zu verwalten sowie den Schüler:innen und den Erziehungsberechtigten systematisch aufbereitete Informationen über die Lernentwicklung einzusehen.
Die Parteien haben einen Software as a Service-Vertrag zur Bereitstellung der „Digitalen Lernlandkarte“ geschlossen. aconium stellt als Anbieter die „Digitale Lernlandkarte“ von ihren Servern aus über das Internet zur Nutzung über einen Datenfernzugriff bereit sowie damit verbundene weitere Leistungen (z. B. Zurverfügungstellung von Speicherplatz, Support-Leistungen).
Da die Nutzung der „Digitalen Lernlandkarte“ mit der Verarbeitung personenbezogener Daten der Schüler:innen und des Schul-/Lehrpersonals durch aconium verbunden ist, bedarf es einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen dem Verantwortlichen und aconium als Auftragsverarbeiter.
Dieser Auftragsverarbeitungsvertrag einschließlich aller Anlagen (nachfolgend gemeinsam als „Vereinbarung“ bezeichnet) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Vertrag einschließlich aller Anlagen (nachfolgend gemeinsam als „Hauptvertrag“ bezeichnet).
aconium verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgenden Bestimmungen:
§ 1 Anwendungsbereich und Begriffsbestimmungen
(1) Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die aconium auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt.
(2) Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(3) Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.
§ 2 Gegenstand und Dauer der Datenverarbeitung
(1) aconium verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.
(2) Gegenstand des Auftrags ist der Betrieb der „Digitalen Lernlandkarte“ sowie die Bereitstellung von technischem Support und Speicherplatz im Rahmen des mit der aconium vereinbarten Umfangs gemäß dem Hauptvertrag.
(3) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.
§ 3 Art und Zweck der Datenverarbeitung
Art und Zweck der Verarbeitung personenbezogener Daten durch aconium ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeit(en) und Zweck(e):
- Hosting der Online-Plattform für die „Digitale Lernlandkarte“,
- Tätigkeit als Administrator und technischer Support.
§ 4 Kategorien betroffener Personen
Die Kategorien der durch den Umgang mit den personenbezogenen Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:
- Schulleiter:in,
- Administration (Sekretariat),
- Lehrer:in,
- Schüler:in,
- Erziehungsberechtigte:r.
§ 5 Art der personenbezogenen Daten
Von der Auftragsverarbeitung sind folgende Datenarten betroffen:
elektronische Kommunikationsdaten (alle Nutzer:innen),
- Datum und Uhrzeit des Zugriffs,
- Dauer des Zugriffs,
- Name der angeforderten Datei,
- Website, von der aus die Datei angefordert wurde,
- Zugriffsstatus (z. B. Datei übertragen, Datei nicht gefunden),
- der von Ihnen verwendete Webbrowser und das Betriebssystem Ihres Gerätes,
- die IP-Adresse des anfordernden Gerätes,
- Mitteilungen/Eingaben Kontaktformular,
Schulleitung:
- Vorname,
- Name,
- Titel,
- E-Mail-Adresse,
- ion als Schulleitung,
- Kennwort,
- Mitteilungen/Eingaben Kontaktformular,
Administration (Sekretariat):
- Vorname,
- Name,
- Titel,
- E-Mail-Adresse,
- Position,
- Kennwort,
- Mitteilungen/Eingaben Kontaktformular,
Lehrer:in:
- Vorname,
- Name,
- Titel,
- E-Mail-Adresse,
- Lehrtätigkeit,
- Unterrichtsfächer,
- Zugeordnete Klasse,
- Kennwort,
- Schule, bei welcher Unterrichtstätigkeit erfolgt,
- Mitteilungen/Eingaben Kontaktformular,
Schüler:in:
- Vorname,
- Name,
- E-Mail-Adresse,
- Geburtsdatum,
- Schülereigenschaft,
- Klasse,
- Kennwort,
- Lernstand in verschiedenen Schulfächern,
- Mitteilungen/Eingaben Kontaktformular (ggf. enthalten diese Angaben von Erziehungsberechtigten).
§ 6 Rechte und Pflichten des Verantwortlichen
(1) Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.
(2) Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen wird der Verantwortliche der aconium schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
(3) Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche der aconium schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird er dies der aconium unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.
(4) Der Verantwortliche informiert die aconium unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der vertragsgegenständlichen Verarbeitung festgestellt werden.
§ 7 Pflichten der aconium
(1) Datenverarbeitung
aconium wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen verarbeiten.
(2) Betroffenenrechte
a. aconium wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen ihrer Möglichkeiten unterstützen.
b. aconium hat auf Weisung des Verantwortlichen die in § 5 dieser Vereinbarung genannten Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.
c. Soweit sich ein Betroffener unmittelbar an aconium zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieser Vereinbarung genannten Daten wendet, wird aconium dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.
(3) Kontrollpflichten
a. aconium stellt durch geeignete Kontrollen sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden.
b. aconium wird die Betriebsabläufe so gestalten, dass die Daten, die sie im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
c. aconium bestätigt, dass sie gem. Art. 37 DSGVO, §38BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter der aconium ist derzeit:
intersoft consulting services AG
Frau Juliane Dannewitz
Schöneberger Ufer 47
10785 Berlin
JDannewitz@intersoft-consulting.de
(4) Informationspflichten
a. aconium wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt. aconium ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
b. aconium wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.
(5) Ort der Datenverarbeitung
Die Verarbeitung der Daten findet ausschließlich auf Servern im Gebiet der Bundesrepublik Deutschland statt.
(6) Löschung der personenbezogenen Daten nach Auftragsbeendigung
Nach Beendigung des Hauptvertrages wird aconium alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten der aconium entgegenstehen. Im Übrigen finden die Regelungen des Hauptvertrags Anwendung.
§ 8 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes der aconium oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durch vorhandene branchenübliche Zertifizierungen der aconium, aktuelle Testate oder Berichte einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter) oder Selbstauskünfte durchgeführt werden. aconium wird die notwendige Unterstützung zur Durchführung der Kontrollen anbieten.
(2) aconium wird den Verantwortlichen über die Durchführung von Kontrollmaßnahmen der Aufsichtsbehörde informieren, soweit die Maßnahmen oder Datenverarbeitungen betreffen können, die aconium für den Verantwortlichen erbringt.
§ 9 Unterauftragsverhältnisse
(1) Der Verantwortliche ermächtigt aconium, weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs.2 DSGVO dar.
(2) aconium arbeitet derzeit bei der Erfüllung des Auftrags mit den in Anhang 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
(3) aconium ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. aconium wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben.
(4) Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von zwei Wochen nach Zugang der Information über die Änderung gegenüber aconium zu erheben. Im Fall des Einspruchs kann aconium nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern aconium die Erbringung der Leistung ohne die beabsichtigte Änderung nicht zumutbar ist, etwa aufgrund von damit verbundenen unverhältnismäßigen eigenen Aufwendungen – diese Vereinbarung sowie den Hauptvertrag ohne Einhaltung einer Frist kündigen.
(5) Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. aconium ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.
§ 10 Vertraulichkeit
(1) aconium ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.
(2) aconium verpflichtet sich, bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird aconium dem Verantwortlichen auf Nachfrage nachweisen.
(3) Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies aconium mitteilen. aconium wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.
§ 11 Technische und organisatorische Maßnahmen
(1) Die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessene Sicherheitsstandards für die im Rahmen der Vereinbarung durch die aconium erbrachte Datenverarbeitung vereinbart. aconium kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt dass das Schutzniveau durch solche Aktualisierungen und/oder Änderungen nicht wesentlich herabgesetzt wird.
(2) aconium beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art 32 i.V.m Art. 5 Abs. 1 DSGVO. Sie gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Sie wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird aconium die implementierten Maßnahmen regelmäßig evaluieren und ggf. Anpassungen vornehmen.
§ 12 Haftung/ Freistellung
(1) aconium haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die sie treffenden gesetzlichen Datenschutzbestimmungen, die aconium, ihre Mitarbeiter bzw. die von ihr mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht der aconium besteht nicht, sofern sie nachweist, dass sie die ihr überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und ihren ihr auferlegten Pflichten aus der DSGVO nachgekommen ist.
(2) Der Verantwortliche stellt aconium von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieser Vereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch den Verantwortlichen gegen aconium geltend gemacht werden.
§ 13 Sonstiges
(1) Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung der Vertragsparteien voraus unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sind auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.
(3) Diese Vereinbarung unterliegt deutschem Recht.
(4) Sofern der Zugriff auf die Daten, die der Verantwortliche der aconium zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, wird aconium den Verantwortlichen unverzüglich hierüber benachrichtigen.
_______________________________
Ort, Datum
|
_______________________________
Unterschrift (Verantwortlicher)
|
|
_______________________________
Ort, Datum
|
_______________________________
Unterschrift (aconium)
|
Anhang 1 Technische und organisatorische Maßnahmen der aconium zur Gewährleistung der Sicherheit der Datenverarbeitung
Anhang 2 Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung
Anhang 1 zu Anlage 6 – Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung
aconium sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:
A Maßnahmen zur Verschlüsselung
Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:
- Verschlüsselung nach Stand der Technik (regelmäßige Überprüfung auf schwache Algorithmen)
B Maßnahmen zur Sicherung der Vertraulichkeit
1. Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:
Beschreibung des Zutrittskontrollsystems:
- Schließsysteme an der Eingangstür
- Türsicherung durch abschließbare Schlösser
- Alarmanlage
- Empfangsbereich mit Einlasskontrolle / Besucherregelungen
- Besucher werden immer von einem Mitarbeiter begleitet
- Externes Servicepersonal wird immer von einem Mitarbeiter begleitet
- Abschließbare Schränke/Container
- gesicherter Serverraum inkl. Videoüberwachung
- Chipkarte
- externe Hoster sind ISO 27001 und / oder BSI IT-Grundschutz zertifiziert
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
Beschreibung des Zugangskontrollsystems:
- WLAN-Authentifizierung; EAP/TLS; interne Nutzung mit 802.1x-Serverzertifikate; Gästezugang über RADIUS-Server
- Mindestanforderungen an Passwörter (mind. 14 Zeichen; Groß-/Kleinschr. sowie Ziffern und Sonderzeichen)
- Authentifizierung erfolgt über individuelle Benutzerkennung und Passwort
- Logging innerhalb der Systeme
- Serverzugriff per VPN
- Hardwarefirewall
- Softwarefirewall
- Einsatz aktueller Schutzsoftware
- Es werden nur Betriebssysteme/Anwendungen eingesetzt, die vom Hersteller mit Sicherheitsaktualisierungen versorgt werden
- Verfügbare Sicherheitsaktualisierungen werden zeitnah eingespielt.
- Alle Standardpasswörter der Infrastrukturkomponenten wurden geändert.
- Automatische Bildschirmsperre nach definierter Inaktivität
- Serverzugriff per VPN aus dem Home Office/mobilen Arbeiten
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Beschreibung des Zugriffskontrollsystems:
- Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation
- Verschlüsselung von unterschiedlichen Datenträgern
- Blockieren von Ein- und Ausgabeschnittstellen (z.B. USB-Sticks)
- Einsatz von Aktensammeltonnen und Entsorgung nach DIN 66399
- Entsorgung von Datenträgern durch zertifizierten Dienstleister
- Regelmäßige Überprüfung der Zugriffsberechtigungen durch die fachverantwortliche Stelle.
- Clean Desk Policy
- Arbeitsanweisung Verarbeitung personenbezogener Daten im Home Office/mobilen Arbeiten
4. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
Beschreibung des Trennungskontrollvorgangs:
- Berechtigungskonzepte
- verschlüsselte Speicherung von personenbezogenen Daten
- Softwareseitige Kundentrennung
- Mandantentrennung von Kundensystemen
- Trennung von Test- und Produktivsystemen
C Maßnahmen zur Sicherung der Integrität
1. Datenintegrität
Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:
Beschreibung der Datenintegrität:
- Regelmäßige Updates für Firewall, Virenscanner und Betriebssysteme nach vorherigem Test
- Aktualisierung der IT-Systeme mit Sicherheitspatches, sofern verfügbar
- Logging & Benachrichtigungen (E-Mail) bei kritischen Fehlern
2. Übertragungskontrolle
Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können:
Beschreibung der Übertragungskontrolle:
- Logging
- Transportprozesse mit individueller Verantwortlichkeit
3. Transportkontrolle
Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:
Beschreibung der Transportkontrolle:
- Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (z.B. VPN)
- sicherer Transportbehälter für Datenträger
- Datenträger dürfen nur von befugten Personen verwendet und transportiert werden
- Einsatz einer Firewall
4. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
Beschreibung des Eingabekontrollvorgangs:
- Protokollauswertungssysteme
- Hash-Check
- Digitale Signaturen
- Hardware-Firewall mit Gruppenrichtlinien schützen vor Eingabe einer Schadsoftware
D Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
1. Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Beschreibung des Verfügbarkeitskontrollsystems:
- Backupkonzept
- Brandmeldeanlage
- Klimaanlage
- USV
- Regelmäßige Wartung von USV/Klimaanlage etc.
- Backupmedien werden in anderem Brandabschnitt (evtl. auch offline) gelagert
- Einsatz redundanter Netzteile
- Einsatz von Festplattenspiegelung
- Einsatz eines Failover-Clusters
- Synchronisierung aller IT-Komponenten mit einer einzigen Zeitquelle
- keine wasserführenden Leitungen über oder neben Serverräumen
2. Wiederherstellbarkeit
Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:
- Es erfolgt regelmäßige Sicherung der Daten und Mirroring der Backupdateien
- Redundantes System
- Wiederherstellungsprozess liegt vor
- Tägliche inkrementelle Sicherungskopien der Dateien
- Wöchentliche Vollsicherungskopien
3. Zuverlässigkeit
Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:
Beschreibung der Maßnahmen zur Zuverlässigkeit:
- Automatisches Monitoring mit E-Mail-Benachrichtigung bei wichtigen Ereignissen
- Notfallpläne mit Verantwortlichkeiten
- Freigabeverfahren hinsichtlich Updates und wichtigen Patches
E Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung
1. Überprüfungsverfahren
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.
Beschreibung der Überprüfungsverfahren:
- Formalisierte Prozesse für Datenschutzvorfälle
- Regelmäßige Neuausstellung der SSL Zertifikate
- Datenschutzmanagement per Backup und Mirror Speicher
- Regelmäßige Kontrolle der Anmeldeversuchsprotokolle
- Zentralisierte Speicherung der Protokolle auf einem anderen System
2. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
Beschreibung der Maßnahmen zur Auftragskontrolle:
- Weisungen des Auftraggebers werden dokumentiert
- formalisiertes Auftragsmanagement
Arbeiten im Homeoffice
Die aconium hat diverse interne Richtlinien und Anweisungen erlassen, die ebenfalls Geltung im Homeoffice haben. In diesem Zusammenhang seien insbesondere folgende genannt:
Richtlinie Home Office / Mobiles Arbeiten
- Ergänzt die internen Richtlinien, die auch am Heimarbeitsplatz einzuhalten sind
- Verbot, Dritten (z. B. Familienmitgliedern) Zugriff auf dienstliche Hardware und/oder Unterlagen zu gewähren
- Verbot Sicherheitsmaßnahmen zu deaktivieren oder zu umgehen oder sonstige technische Veränderungen an den von der aconium GmbH zur Verfügung gestellten Geräten vorzunehmen
- Alle Störungen und Auffälligkeiten im Rahmen der Nutzung der Geräte sind unverzüglich zu melden
- Sobald der Home Office-Arbeitsplatz auch nur kurzzeitig verlassen wird, ist der Laptop zu sperren, so dass bei Rückkehr die Eingabe des Passwortes erforderlich ist,
- Fenster müssen bei Verlassen des Arbeitsplatzes verschlossen sein
- Daten dürfen nur auf Servern der aconium GmbH gespeichert werden
- Betriebsvereinbarung Mobiles Arbeiten
IT-Nutzungsrichtlinie:
- Nutzung der zur Verfügung gestellten Hardware wie auch Applikationen/Anwendungen nur für dienstliche Zwecke
- Daten verbleiben innerhalb des Unternehmensnetzwerks
- Hardware (Laptops) ist vor Zugriff unberechtigter Dritter zu schützen
- Sollte Mitarbeiter merken, dass Schutz oder Sicherheit von Daten in irgendeiner Weise gefährdet sein könnte, hat er sich unverzüglich an die IT-Abteilung, seinen Vorgesetzten sowie an die Rechtsabteilung zu wenden (Prozess eines Meldeweges hinsichtlich möglicher Datenschutzvorfälle ist implementiert)
BYOD-Richtlinie
- Private Endgeräte dürfen nur genutzt werden, um Zugang zu den dafür zur Verfügung gestellten Unternehmensressourcen herzustellen (Exchange-Server/Outlook Web Access)
- Verbot dauerhafter Speicherung von unternehmensbezogenen Dokumenten auf einem privaten Endgerät
- Zugriff auf Unternehmensressourcen mithilfe privater Endgeräte über eine VPN-Verbindung ist grundsätzlich untersagt, Ausnahmen bedürfen der schriftlichen Freigabe durch die Geschäftsführung
- Unberechtigter Zugriff auf das Endgerät muss durch Einrichten eines geeigneten Passwortes oder der Nutzung eines Fingerabdruckes verhindert werden
Clean Desk Richtlinie
- Auf dem Arbeitsplatz liegen nur die Dokumente, die für den Arbeitstag relevant sind
- Sobald Arbeitsplatz verlassen wird, sind Bildschirme zu sperren
- Verbot, Papiermüll mit sensiblen Daten in den üblichen Papiertonnen zu entsorgen (es sind die von der aconium zur Verfügung gestellten Datenschutztonnen zu verwenden).
Anhang 2 zu Anlage 6 – Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung
aconium arbeitet derzeit bei der Erfüllung des Auftrags mit dem folgenden Auftragsverarbeiter zusammen, mit dessen Beauftragung sich der Verantwortliche einverstanden erklärt.
1. [Subunternehmer A]
Name/Firma: Hetzner Online GmbH
Funktion/Tätigkeit: Bereitstellung Managed Server
Sitz [Stadt, Land]: Gunzenhausen, Deutschland
Kontaktinformation: Industriestraße 25, 91710 Gunzenhausen
Tel: +49 9831 505-0
Fax: +49 9831 505-3
Email: info@hetzner.de
2. [Subunternehmer B]
Name/Firma: WIIT AG
Funktion/Tätigkeit: Bereitstellung von Server ; Managed Server; Mailserverdiensten
Sitz [Stadt, Land]: München, Deutschland
Kontaktinformation: Leopoldstraße 158
Tel.: +49 89-92 40 20
Email: support@global.de
