Child pages
  • 195220
Skip to end of metadata
Go to start of metadata

Kundenr.:195220

Anlage zum Vertrag zur Auftragsverarbeitung





Hinweis

Diese Anlage können Sie jederzeit unter https://portal.netzwerker.de/display/DSGVOP/ 195220 in der aktuellen Version abrufen



1. Gegenstand und Zweck der Verarbeitung

_______________________________________________________________________________________________________________

Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:

Auftragsart

Laufzeit

Revision

Wartungs-, Service- und Supportleistungen auf Abruf Bis auf weiteres 12. May 2020 10:52
Laufende Aufträge (Projektarbeiten mit Lieferung und Leistung) Bis auf weiteres 12. May 2020 10:53
Überwachung und Monitoring der IT Infrastruktur Bis auf weiteres 12. May 2020 10:53



2. Art(en) der personenbezogenen Daten

_______________________________________________________________________________________________________________

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

Bezeichnung

Revision

Personenstammdaten (z.B. Name, Vorname)Kommunikationsdaten (z.B. Telefon, E-Mail, IP-Adresse) 12. May 2020 10:53



3. Kategorien betroffener Person

_______________________________________________________________________________________________________________

Kreis der von der Datenverarbeitung betroffenen Personen:

Bezeichnung

Revision

ArbeitnehmerSonstige Ansprechpartner 12. May 2020 10:54



4. Weisungsberechtigte Personen des Auftragnehmers

_______________________________________________________________________________________________________________

Name

Funktion

Revision

Andreas Dannenberg Geschäftsführer 13. May 2018 22:37
Klaus Georg Dahmer Kaufmännischer Leiter, Prokurist 13. May 2018 22:38



5. Unterauftragnehmer

_______________________________________________________________________________________________________________

Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer").

Dabei handelt es sich um nachfolgende(s) Unternehmen:

Firma

200956 : Krämer IT Solutions GmbH : Koßmannstr. 7 : 66571 : Eppelborn

Auftragsart

Cloud Services im Unterauftrag

Zweck d. Auftragsverarbeitung

Weiterentwicklung, Wartung und Betrieb der
cloud-basierten IT Monitoring Lösung "Server-Eye"

Revision

12. May 2020 10:54

Firma

200977 : HUCK IT GmbH : Am Steinigen Berg 1 : 64380 : Roßdorf

Auftragsart

Wartungs- und/oder Servicevertrag

Zweck d. Auftragsverarbeitung

Weiterentwicklung, Support- und Wartungsleistungen für
die Software "TANSS" , Service- und Projektmanagement
Software

Revision

12. May 2020 10:55




6. Datenschutzbeauftragter

Gesetzlich vorgeschriebener Datenschutzbeauftragter

Wir haben für unser Unternehmen einen Datenschutzbeauftragten extern bestellt.

Aurenz GmbH

Herr Jürgen Dagutat

Hans-Böckler-Str. 29

D-73230 Kirchheim unter Teck

Telefon: +49 (0) 7021 73888-0

E-Mail: j.dagutat@aurenz.de


7. TOM - Technisch Organisatorische Maßnahmen

Technische und organisatorische Maßnahmen, Art. 32 DSGVO

 I. Vertraulichkeit

(Art. 32 Abs. 1 lit. DSGVO)

Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Der Zutritt zu Arbeitsplatzrechnern und Servern ist über eine kontrollierte protokollierte Schlüsselvergabe gewährleistet. Die Räume sind grundsätzlich verschlossen. Der Zutritt für Besucher wird durch eigenes Personal kontrolliert.

Die Räume des Auftragnehmers sind mit Bewegungsmeldern und korrespondierenden Kameras ausgestattet. Im Falle eines unbefugten Betretens der Räume erfolgt automatisch eine Signalisierung per Alarmaufschaltung bei einem externen Sicherheitsdienstleister zur Auswertung der Bewegt-Bild-Aufzeichnungen. Im Falle eines unbefugten Zutritts erfolgt die Aktivierung eines Außenalarms und Alarmierung der örtlichen Polizei sowie der Geschäftsleitung. Die Bewegungssequenzen werden zusätzlich auf einem räumlich abgesetzten Speicher abgelegt.

Das Rechenzentrum des Auftragnehmers ist zusätzlich mit einem elektronischen Zugangssystem ausgestattet. Im Falle eines Zutritts wird der Zutritt als Bewegungssequenz aufgezeichnet. Die Bewegungssequenzen werden 30 Tage in einem abgesetzten Speicher aufbewahrt.

Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

Der Zugang zu Endgeräten von Mitarbeitern wird durch Betriebssystemkennung und ein persönliches Passwort geschützt.

Die Änderung der Passwörter wird alle 6 Monate systemseitig erzwungen. Die Passwortkomplexität gemäß BSI Empfehlung wird ebenfalls systemseitig erzwungen.

Der Zugang von außen auf das Netz des Auftragnehmers wird durch verschlüsselte Verbindungen sichergestellt. Externe Zugriffe auf sensible Daten werden zusätzlich mit einer Zwei-Faktor-Authentifizierung mit einmal Passwörtern abgesichert.

Firewall Systeme schirmen das Netzwerk gegen unerlaubten Zugriff aus dem Internet ab. Verbindungen zu Kunden werden über VPN Gateways oder gesicherte Fernadministrationstools hergestellt. Zugriffe werden dokumentiert.

Mitarbeiter erhalten nur im Rahmen Ihrer Tätigkeit Zugriff auf die zur Vertragserfüllung notwendigen Systeme und Daten.

Die vom Auftraggeber zur Authentifizierung eingerichteten und an den Auftragnehmer übergebenen Zugangskennungen und Passwörter aus Systemen des Auftraggebers, verlassen den Personenkreis der Berechtigten nicht. Sie werden in gesicherten Bereichen auf IT-Systeme des Auftragnehmers hinterlegt und sind nur dem Personenkreis zugänglich, der diese für die Erbringung der vereinbarten Dienstleistung zwingend benötigen.

Sofern möglich werden die Zugangsdaten per Blindeingabe an das Zugangssystem des Auftraggebers übermittelt.

Vom Auftragnehmer generierte Passwörter haben eine Länge von mindestens 8 Zeichen und enthalten mindestens eine Ziffer und ein Sonderzeichen sowie Groß- und Kleinbuchstaben. Die Weitergabe an den Auftraggeber erfolgt grundsätzlich mit einem Passwortverschlüsselten Dokument. Das Passwort für die Entschlüsselung wird ausschließlich telefonisch mitgeteilt.

Im Falle eines Betriebs außerhalb der Räume des Auftragnehmers ist die Verbindung zum Zugangssystem des Auftraggebers ist mit einer 256Bit SSL Verschlüsselung gegen eine „man in the middle attack“ geschützt.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

Soweit technisch machbar, werden An- und Abmeldungen der Benutzer an den DV-Arbeitsstationen und den Anwendungen protokolliert. Internetzugriffe und Mailverkehr werden datenschutzkonform protokolliert.

Eine Auswertung erfolgt zur technischen Fehleranalyse oder Verdacht eines Richtlinienverstoßes im Rahmen des technisch und organisatorisch Machbaren sind angemessene Abstufungen der Zugriffsberechtigten aufgebaut.

Diese erlauben das Eingeben, Lesen, Kopieren, Verändern oder Entfernen von Auftraggeber-Daten bei der Verarbeitung, Nutzung und nach der Speicherung nur in dem für die jeweilige Aufgabe erforderlichen Umfang.

Die Zugriffsberechtigten werden durch eine begrenzte Anzahl an System- und Anwendungsadministratoren verwaltet.

Die Aufbewahrung von Sicherungsdatenträgern erfolgt in gesicherten Bereichen, zu denen nur das betroffene Betriebspersonal und die Geschäftsleitung Zutritt haben.

Ausgemusterte Datenträger werden datenschutzgerecht entsorgt. Vorzugsweise sind Einmalsicherungscodes zu verwenden.

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Der Auftragnehmer nutzt personenbezogene Daten nur für interne Zwecke im Rahmen des Auftrages oder der Kundenbeziehung. Die Daten werden entsprechend des Auftrages getrennt gespeichert. Alle Mitarbeiter sind angewiesen und geschult, Daten nur im Rahmen der Dienstleistungserbringung und zur Wahrung der Zweckbindung zu erheben, zu verarbeiten und zu nutzen.

II. Integrität

(Art. 32 Abs 1 lit. b DSGVO)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Personenbezogene Daten werden nur über verschlüsselte Verbindungen oder Datenträger zweckgebunden an Geschäftspartner übermittelt. Die Verschlüsselung erfolgt entsprechend dem Stand der Technik. Personenbezogene Daten werden derzeit nur falls erforderlich und nur an Unterauftragnehmer übermittelt.

Aus betriebserforderlichen Gründen sind Büro- und Produktionsräume des Auftragnehmers auf verschiedene Standorte verteilt. Personenbezogene Daten des Auftraggebers werden im Rahmen betriebsüblicher und betriebsnotwendiger Prozesse zwischen den Standorten übermittelt.

Die Übertragung erfolgt über gesicherte Internet-Infrastrukturen über das Internet. In diesem Fall wird grundsätzlich VPN-Technik nach aktuellem Stand angewendet.

Der Transport von Sicherungsdatenträgern, die personenbezogene Daten enthalten, erfolgt ausschließlich durch besonders ausgewählte und eingewiesene Mitarbeiter des Auftragnehmers. Die Daten sind grundsätzlich verschlüsselt auf den Datenträgern gespeichert.

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Die Eingabekontrolle wird über technische und organisatorische Maßnahmen dokumentiert. Bei Servicezugriffen werden Mitarbeiter, Partner, Kunde sowie Datum, Beginn und Ende mit Kurzbeschreibung der erbrachten Dienstleistung dokumentiert. Zusätzlich wird die Eingabekontrolle über Systemprotokolle dokumentiert.

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:

Voraussetzung für eine Auftragsdatenverarbeitung ist ein schriftlicher Vertrag.

Der Auftragnehmer setzt zur Steuerung der Aufträge ein Transaktionssystem ein in dem die Anforderungen, die Arbeitsanweisungen und die Umsetzung dokumentiert werden. Die Qualität der Dokumentation wird laufend durch das Qualitätsmanagement des Auftragnehmers kontrolliert.

Zusätzlich werden alle Mitarbeiter des Auftragnehmers auf das Datengeheimnis verpflichtet.

III.  Verfügbarkeit, Belastbarkeit

(Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Der Auftragnehmer rüstet die relevanten DV-Systeme mit einem geeigneten Schutz gegen Viren, Trojaner, Würmer und sonstige Malware aus und gewährleistet dadurch einen hinreichenden Schutz gegen Verletzung der Systemintegrität durch die vorgenannten Gefahren.

Die Ausführung arbeitsplatzfremder Software wird, soweit technisch möglich, durch technische Maßnahmen und durch organisatorische Regelung verhindert. Betriebssysteme und Schutzsoftware werden in angemessenen Zeitabständen aktualisiert. Dafür betreibt der Auftragnehmer ein zentrales Patchmanagement in dem alle relevanten DV-Systeme integriert sind.

In den Produktionsräumen stehen zum Schutz der Produktionseinrichtungen unterbrechungsfreie Stromversorgungen, Rauchmeldeanlagen, Feuerlöschgeräte und doppelt ausgeführte Klimaanlagen zur Verfügung. Die Produktionsräume werden zusätzlich auf Abweichungen des Raumklimas und Kohlenmonoxid-Dichte überwacht.

Der Datenbestand wird einmal täglich vollständig auf externen Speichermedien gesichert. Diese Speichermedien werden täglich an einen entfernten gesicherten Standort verbracht und in einem F120-Zertifizierten Panzerschrank abgelegt. Die Daten sind auf den mobilen Sicherungsmedien verschlüsselt gespeichert.

Es werden regelmäßige testweise Rücksicherungen auf eine produktionsnahe Testumgebung durchgeführt.

Das Datensicherungskonzept sieht das Auslagern von Sicherungsmedien aus den Sicherungszyklen vor. Dies geschieht alle vier Wochen.

Für die anzunehmenden Notfallarten existieren Notfallpläne, die regelmäßig validiert und aktualisiert werden.

IV.  Pseudonymisierung und Verschlüsselung

(Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

Es findet keine Pseudonymisierung statt.

Bei Hosting obliegt die Pseudonymisierung personenbezogener Daten im Rahmen des Hostingvertrages und der dort vom Auftraggeber betriebenen Anwendungen dem Auftraggeber.

V.  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Maßnahmen, die die Sicherheit der Verarbeitung gewährleisten.

Das Datenschutz-Management definiert im laufenden Betrieb kontinuierlich die Verantwortlichkeiten, Strukturen und Prozesse und baut diese im Sinne eines risikobasierten Ansatzes aus. Zur Gewährleistung der Sicherheit der Verarbeitung verfügt das Unternehmen über eine strukturierte Verfahrensbeschreibung, die im laufenden Betrieb aktualisiert wird.

Des Weiteren finden regelmäßige Datenschutzschulungen der Mitarbeiter zur erneuten Sensibilisierung statt. Betriebsanweisungen zur Nutzung der Kommunikationssystem und der IT sind kommuniziert und werden im laufenden Prozess angepasst.

Außerdem wird die Wirksamkeit der technischen Schutzmaßnahmen mindestens einmal jährlich ordnungsgemäß überprüft.

VI.  Datenschutzfreundliche Voreinstellungen

(Art. 25 Abs. 2 DSGVO)

Maßnahmen, die grundsätzlich ergriffen werden um den Datenschutz zu gewährleisten.

Es werden nie mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.


Revision

der TOM - Technisch Organisatorische Maßnahmen

Version Date Comment
Current Version (v. 21) 03. Jul 2018 20:10 Andreas Dannenberg
v. 20 03. Jul 2018 20:09 Andreas Dannenberg
v. 19 03. Jul 2018 20:06 Andreas Dannenberg
v. 18 03. Jul 2018 20:05 Andreas Dannenberg
v. 17 13. May 2018 23:52 Andreas Dannenberg
v. 16 13. May 2018 23:50 Andreas Dannenberg
v. 15 13. May 2018 18:38 Andreas Dannenberg
v. 14 08. May 2018 23:30 Andreas Dannenberg
v. 13 08. May 2018 23:29 Andreas Dannenberg
v. 12 08. May 2018 22:56 Andreas Dannenberg
v. 11 08. May 2018 22:41 Andreas Dannenberg
v. 10 08. May 2018 22:22 Andreas Dannenberg
v. 9 08. May 2018 22:19 Andreas Dannenberg
v. 8 08. May 2018 21:59 Andreas Dannenberg
v. 7 08. May 2018 21:11 Andreas Dannenberg
v. 6 08. May 2018 21:06 Andreas Dannenberg
v. 5 08. May 2018 21:04 Andreas Dannenberg
v. 4 08. May 2018 20:35 Andreas Dannenberg
v. 3 08. May 2018 20:34 Andreas Dannenberg
v. 2 08. May 2018 20:32 Andreas Dannenberg
v. 1 08. May 2018 20:26 Andreas Dannenberg