[1]

Datenschutzvereinbarung zur Sicherstellung der Konformität zum § 11 Bundesdatenschutzgesetz (BDSG) für die Erhebung,

Verarbeitung und Nutzung personenbezogener Daten im Auftrag

zwischen

________________________________

________________________________

________________________________

________________________________

Betriebsnummer: __________________

(bitte tragen Sie hier Ihre vollständige Adresse ein)

(nachstehend Auftraggeber genannt)

und der

Kantar Live GmbH Landsberger Str. 284

80687 München Deutschland

(nachstehend Auftragnehmer genannt)

§ 1

Gegenstand der Vereinbarung 1. Diese Vereinbarung regelt die Maßnahmen zur Sicherstellung der Durchführung

der Vorschriften des § 11 Bundesdatenschutzgesetzes (BDSG) bei der Datenver-arbeitung im Auftrag, die sich aus der Beauftragung gemäß Ziffer 2.1. im Hinblick auf den Umgang mit personenbezogenen Daten ergeben.

2. Der Auftrag umfasst Folgendes:

2.1 Gegenstand des Auftrages: (Beschreibung des Auftrags in Bezug auf den Umgang mit personenbezogenen Daten – nachfolgend „Daten“ genannt)

Der Auftraggeber hat mit der AUDI AG einen Händler- und/oder Servicepartner-vertrag geschlossen (nachfolgend PV). Inhalt dieser Verträge ist unter anderem, dass die Kundenzufriedenheitsbefragung nach Vorgaben der AUDI AG durchzu-führen ist.

[2]

Gegenstand des Auftrages ist also die Durchführung dieser Aufgaben, in der Art und Weise, dass der Auftraggeber die Anforderungen des jeweils gültigen Ver-trags zwischen dem AG und der AUDI AG erfüllt. 2.2 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: Zur Erfüllung der Anforderungen aus dem PV ist es notwendig, dass der Auftrag-nehmer folgende Tätigkeiten durchführt: • Adressverarbeitung • Datenerfassung (Datenerhebung) • Konvertierung und Auswertung von Daten • Datensicherung • Gestellung von Software, Update, Wartung und Pflege • Zurverfügungstellung von Tools zur Ergebnisanalyse und Ergebnisnutzung • Ggf. weitere sich aus den jeweils gültigen PV ergebenden Tätigkeiten 2.3 Art der Daten: • Kundenstammdaten (Telefonnummer, E-Mail-Adresse, Name, Anschrift, Alter,

Geschlecht, Klassifizierung Privatkunde/gewerblicher Kunde) • Fahrzeugdaten (VIN, Marke, Modell, Fahrzeugalter, Klassifizierung Neu-

/Gebrauchtwagen, Typenschlüssel) • Daten zum Werkstattaufenthalt/Verkaufsvorgang (OrgID der Werk-

statt/Händler, Klassifizierung Garantie/Kulanzvorgang, Auslieferungsort, Er-eignisdatum, Übertragungsdatum der Kundenadresse)

• Erhebungsdaten (InterviewID, Erhebungsart, Interviewdatum, Interviewspra-che, Sampletyp, Antworten auf die im CEM-Fragebogen gestellten Fragen, gewünschte Anonymität)

• Mitarbeiterdaten, falls mitgeliefert (MitarbeiterID) • Vertragsstammdaten (Kundennummer) • Vertragsabrechnungs- und Zahlungsdaten (Zahlungsart, Datum der Rech-

nungsstellung) • Für die Durchführung der CEM erforderliche personenbezogene Daten • Ggf. weitere sich aus den jeweils gültigen PV ergebende Datenkategorien 2.4 Kreis der Betroffenen: • Kunden des Auftraggebers, namentlich Neuwagenkäufer, Gebrauchtwagen-

käufer, Leasingnehmer, Servicekunden • Ggf. Mitarbeiter des Auftraggebers (optionale Beauftragung durch Auftragge-

ber) • Ggf. weitere sich aus den jeweils gültigen PV ergebende Betroffene

[3]

§ 2 Pflichten des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung / -erhebung / -nutzung

sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber ver-antwortlich.

2. Der Auftraggeber erteilt den Auftrag in schriftlicher Form. Änderungen des Ver-

tragsgegenstandes und Verfahrensänderungen sind abzustimmen und entspre-chend §1 Abs. 2.2 festzulegen.

3. Der Auftraggeber hat im Rahmen der jeweils gültigen PV das Recht, datenschutz-

rechtliche Weisungen gegenüber dem Auftragnehmer zu erteilen. Mündliche Weisungen sind unverzüglich in schriftlicher Form zu bestätigen. Weisungsberechtigte Personen des Auftraggebers sind: ………………………………………………………………………………………………. (Name, Organisationseinheit, Funktion, Telefon, Fax)

Weisungsempfänger beim Auftragnehmer sind:

Alle Personen, die bei der Audi CEM Kundenbetreuung unter der Rufnummer

+49 89 5600 1184, Fax +49 89 5600 1500 bzw. der E-Mail

Audi-CEM-Support@kantar.com erreichbar sind.

………………………………………………………………………………………………. (Name, Organisationseinheit, Funktion, Telefon, Fax)

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner der Nachfolger bzw. der Vertreter in schriftlicher Form mitzuteilen. Falls Weisungen die unter §1 Abs. 2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt.

4. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler

oder Unregelmäßigkeiten bei der Prüfung des Ergebnisses der Auftragsleistung feststellt.

5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftragsverhältnisses er-langten Kenntnisse über technische und organisatorische Maßnahmen beim Auf-tragnehmer vertraulich zu behandeln.

6. Der Auftraggeber wird seine Kontrollpflichten in folgender Reihenfolge wahrneh-men: - Einholung eines aktuellen 27001 ISO Zertifikats oder anderer einschlägiger Prü-fungsunterlagen des Auftragnehmers - Rückfragen, die über die vorher genannten Unterlagen hinausgehen, stellt der AG in schriftlicher Form

[4]

- Bei zu begründenden zusätzlichem Aufklärungsbedarf im erforderlichen Umfang und nach einer 14tägigen Vorlauffrist gegen Erstattung der beim Auftragnehmer anfallenden Kosten vor Ort in den Geschäftsräumen des Auftragnehmers.

7. Der Auftraggeber weist den Auftragnehmer insbesondere auf § 43 BDSG „Buß-

geldvorschriften“ und § 44 BDSG „Strafvorschriften“ hin.

§ 3 Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-

men der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auf-traggebers nicht erstellt, es sei denn, sie sind zur Gewährleistung einer ord-nungsgemäßen Datenverarbeitung erforderlich. Der Auftragnehmer erkennt die Datenherrschaft des Auftraggebers als Datenei-gentümer an und übernimmt diesem gegenüber die Verantwortung, dass diese Daten ausschließlich für die in § 1 genannten Zwecke verwendet werden.

2. Die mobilen Datenträger, die vom Auftraggeber stammen bzw. für den Auftragge-ber genutzt werden, werden besonders gekennzeichnet und unterliegen der lau-fenden automatisierten Verwaltung. Eingang und Ausgang werden dokumentiert.

3. Der Auftragnehmer sichert zu, dass die verarbeiteten Daten von sonstigen Da-

tenbeständen strikt logisch getrennt werden. 4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam ma-

chen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt.

5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwie-

genden Störungen des Verarbeitungsablaufs, bei Verdacht auf Datenschutzver-letzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers.

6. Der Auftragnehmer wird zur Vermeidung einer Verletzung des PV die AUDI AG informieren, wenn Kundenrückmeldungen auf Antrag des Auftraggebers nach-träglich geändert oder gelöscht werden sollen. Bei Widerspruch der Audi AG in-nerhalb von 3 Werktagen wird die Änderung/Löschung so lange ausgesetzt, bis eine gemeinsame Klärung zwischen dem AG und der AUDI AG erfolgt ist.

7. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungs-ergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auf-traggeber auszuhändigen.

Sämtliche Datenträger des Auftragnehmers werden datenschutzgerecht mindes-tens 10 Jahre gespeichert, soweit nicht gesetzliche Vorschriften eine kürzere bzw. längere Aufbewahrungsfrist vorsehen und danach sicher gelöscht, so dass keine weitere Nutzung oder ein Rückschluss auf die Daten mehr möglich ist. Test- und

[5]

Ausschussmaterial ist unverzüglich datenschutzgerecht zu vernichten oder dem Auftraggeber auszuhändigen. Die Löschung bzw. Vernichtung ist dem Auftragge-ber mit Datumsangabe in schriftlicher Form zu bestätigen.

8. Der Auftraggeber genehmigt generell den Einsatz von Unterauftragnehmern vor-

behaltlich einer sorgfältigen Auswahl durch den Auftragnehmer. Der Auftragneh-mer informiert den Auftraggeber über eine Ersetzung oder Hinzuziehung von Un-terauftragnehmern. Der Auftraggeber kann dem Einsatz von einzelnen Unterauf-tragnehmern aus wichtigem Grund innerhalb einer Frist von 10 Arbeitstagen nach Zugang der Information schriftlich widersprechen.

Der Auftragnehmer hat bei Beauftragung von Unterauftragnehmern vertraglich

sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Unterauftrag-nehmern gelten. Die Verarbeitung und Nutzung der Daten findet vorranging im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäi-schen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Bei einer Beauftragung von Un-terauftragnehmern, deren Sitz sich nicht in der EU / dem EWR befindet, bedarf es der Erfüllung der in den einschlägigen EU-Richtlinien getroffenen Regelungen, der Erfüllung der gesetzlichen Regelungen nach dem Bundesdatenschutzgesetz und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. Hierzu hat der Auftragnehmer – sofern erforderlich – sicherzu-stellen, dass mit diesen Unterauftragnehmern eine Datenschutzvereinbarung ge-mäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (Stan-dardvertragsklauseln) abgeschlossen wird. Der Auftragnehmer hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen und zu dokumentieren. Die Übermitt-lung von Daten ist erst zulässig, wenn der Unterauftragnehmer die Verpflichtung nach § 11 BDSG und diese Vertragsbedingungen erfüllt hat bzw. die Standard-vertragsklauseln mit dem Auftragnehmer abgeschlossen hat.

Die zum Zeitpunkt des Abschlusses dieser Vereinbarung beauftragten Unterauf-

tragnehmer sind unter § 9 dieser Vereinbarung aufgeführt. Das Kontrollrecht, welches dem Auftraggeber auch beim Unterauftragnehmer zu-

steht, wird, nach vorheriger Absprache zwischen den Parteien, durch den Auf-tragnehmer wahrgenommen. Dabei wird der Auftragnehmer bei seiner Kontrolle in derselben Reihenfolge vorgehen, wie in § 2 Nr. 6 dieser Vereinbarung für den Auftraggeber definiert. Sollten durch die Wahrnehmung der Kontrollen durch den Auftragnehmer beim Unterauftragnehmer durch diesen Kosten in Rechnung ge-stellt werden, wird der Auftragnehmer diese an den Auftraggeber weiterbelasten. Die Kosten müssen verhältnismäßig sein und im direkten Zusammenhang mit der durchgeführten Kontrolle stehen.

[6]

§ 4

Beauftragter für den Datenschutz des Auftragnehmers Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr Ass. iur. Timo Wilken

Data Privacy Officer

Datenschutz & Legal +49 89 5600 2131 Timo.Wilken@tns-infratest.com

………………………………………………………………………………………………….. (Vorname, Name, Organisationseinheit, Telefon, E-Mail)

bestellt. Ein Wechsel des Beauftragten für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.

§ 5 Datengeheimnis

1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der

personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. 2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen

Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datenge-heimnis gemäß § 5 BDSG in schriftlicher Form verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

3. Auskünfte an Dritte darf der Auftragnehmer nur nach vorheriger schriftlicher Zu-

stimmung durch den Auftraggeber erteilen.

[7]

§ 6 Datensicherungsmaßnahmen nach der Anlage zu § 9 BDSG

(Erläuterungen siehe Anlage A) (Begriffserklärungen siehe Anlage B)

Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftrag-nehmer folgende Einrichtungen:

Jeder Arbeitsplatz ist mit einem aktuellen Dell Laptop/PC ausgestattet

Server Hardware o HP/Dell

Storage Hardware o Network Appliance (FAS) und HP

Backup Hardware o Tape Libraries von Dell (LTO-6)

Telefonanlage o Voice over IP (Cisco)

Netzwerk o Zentraler hochverfügbarer Internetzugang o Zentrale hochverfügbare Firewallsysteme (Cisco, Palo Alto) o Eigenes Ethernet Netzwerk

Client Software o MS Windows 7 Professional o MS Office 2013 Standard/Professional o SPSS o Quantum o Quancept

Server Software o MS Windows Server 2008/2012 o MS SQL Server 2008/2012 o VMWare ESX Server

Backup Software o CA Brightstore o Microsoft DPM o VRanger

1. Das separat beigefügte Datensicherheitskonzept (mit den Festlegungen ent-

sprechend der Anlage zu § 9 BDSG) des Auftragnehmers wird als verbindlich und ausreichend festgelegt.

2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbei-

tung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebe-nen Datensicherheitsmaßnahmen.

[8]

3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auf-tragsverhältnisses der technischen und organisatorischen Weiterentwicklung an-gepasst werden.

4. Der Auftragnehmer benachrichtigt den AG unverzüglich bei Störungen, Verstößen des Auftragnehmers oder der bei ihm beschäftigten Personen gegen daten-schutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten (§ 42a BDSG).

§ 7 Haftung

Der Auftragnehmer haftet bei Vorsatz und grober Fahrlässigkeit unbeschränkt, bei einfacher Fahrlässigkeit jedoch nur beschränkt bis zur Höhe von € 400.000,-. Dies gilt nicht für schuldhaft verursachte Schäden wegen der Verletzung des Lebens, des Körpers oder der Gesundheit einer Person.

§ 8 Sonstiges

1. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt

dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht. Beide Seiten sind in diesem Fall verpflichtet, unverzüglich in eine nachträgliche Zusatz-bestimmung einzuwilligen, die nach Sinn und Zweck der unwirksamen Bestim-mung am nächsten kommt.

2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen

Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

3. Für Nebenabreden ist die Schriftform erforderlich. 4. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der

verarbeiteten Daten und der zugehörigen mobilen Datenträger ausgeschlossen. 5. Gerichtsstand ist München. 6. Es gilt deutsches Recht. 7. Dieser Vertrag ist in 2 (zwei) Exemplaren, von denen jeder Vertragspartner eines

erhält, ausgefertigt. Die Vertragspartner dürfen den Vertrag übersetzen, jedoch ist die deutsche Originalfassung maßgebend.

[9]

§ 9 Unterauftragnehmer

Zum Kreis der Unterauftragnehmer gehören: Unterauftragnehmer Firmierung/Adresse Leistungsbeschreibung

Kantar TNS Spain Kantar TNS Spain C/ Julián Camarillo 42 Edificio Treviso Madrid 28045

Technischer Setup, Betrieb sowie Weiter-entwicklung von CEMTRIC

Kantar Deutschland GmbH

Kantar Deutschland GmbH Landsberger Straße 284 80687 München

Erbringung von Leistungen aus den Berei-chen Marktforschung, Consulting und Pro-jektmanagement sowie Projektsteuerung nach Vorgaben von Kantar Live

Kantar Shared Ser-vices GmbH & Co. KG

Kantar Shared Services GmbH & Co. KG Landsberger Straße 284 80687 München

Betreiber von Shared-Services-Dienst-leistungen (z. B. HR, Datenschutz, Finance & Controlling, Facility Management, Procu-rement), u. a. für die Gesellschaften der deutschen Kantar-Gruppe

Infraquest GmbH & Co. KG

Infraquest GmbH & Co. KG Landsberger Straße 336 80687 München

Projektbezogene Unterstützung entspre-chend der Vorgaben von Kantar Live bei ausgewählten Teilleistungen im Rahmen von Audi CEM

ODEC

ODEC CENTRO DE CÁLCULO Y APLICACIONES INFORMÁTICAS, S.A. (ODEC) Vicent Macip, 1 46701 Gandia

Technische Unterstützung von Kantar TNS Spain beim Set up und dem Betrieb von CEMTRIC

Capgemini Deutsch-land GmbH

Capgemini Potsdamer Platz 5 10785 Berlin

Unterstützung bei der Entwicklung von an CEMTRIC angebundenen Modulen und Tools

Bitext Bitext Innovations, S.L. Jose Echegaray, 8 EDIF, 3 Planta 1 28232 Las Rozas (Madrid)

Unterstützung im Rahmen des Text Mini-ngs, d.h. der automatisierten Übersetzung und Vercodung von offenem Kundenfeed-back

IBM Deutschland GmbH

IBM Deutschland GmbH IBM-Allee 1 71139 Ehningen

Erbringung von ISO 27001-zertifizierten IT-Dienstleistungen und Netzwerksupport

IBM India

IBM India Private Limited, No. 12, Subramanya Arcade, Bannerghatta Road, Bangalore 560029, India

IT-Second Line Support (u. a. Serverwar-tung, Firewall-Konfiguration sowie Netz-werkadministration) IBM India Private Limited übernimmt keine inhaltlichen oder projektbezogenen Arbei-ten mit den personenbezogenen Daten

Microsoft Ireland Operations Ltd.

Microsoft Ireland Operations Ltd. Block B, Sandyford Industrial Estate, Atrium Building Carmanhall Rd Dublin 18 Ireland

Bereitstellung der Office 365-Lösung

Telquest GmbH Telquest GmbH Ludwigsluster Str. 29 19370 Parchim

Hotline zur technischen und inhaltlichen Unterstützung der Betriebe bei allen Fra-gen rund um CEM per Telefon, Fax und E-Mail

[10]

Anlagen zur Datenschutzvereinbarung im Auftrag: A - Erläuterungen § 6 Datenschutzvereinbarung (Datensicherungsmaßnahmen) B - Begriffserklärungen zu § 6 Datenschutzvereinbarung (Datensicherungsmaßnah-

men) C - Beschreibung der technischen und organisatorischen Maßnahmen nach

§ 9 BDSG i. V. m. der Anlage zu § 9 BDSG -------------------------------, den --------------------------, den Stempel und Unterschrift Stempel und Unterschrift des Auftraggebers des Auftragnehmers Name in Druckbuchstaben Name in Druckbuchstaben _______________________ _______________________ _______________________ _______________________ Zweitunterschrift Zweitunterschrift des Auftraggebers des Auftragnehmers Name in Druckbuchstaben Name in Druckbuchstaben _______________________ _______________________

[1]

Anlage A zur Datenschutzvereinbarung Erläuterungen zu § 7 Datenschutzvereinbarung (Datensicherungsmaßnahmen) In der Datenschutzvereinbarung müssen die technischen und organisatorischen Maßnah-men festgelegt werden, die bei der Datenverarbeitung umzusetzen sind. Rechtsgrundlage ist § 11 Abs. 2 BDSG, in dem beschrieben ist, welche Prüfungen ein Auftraggeber vor einer Auftragsvergabe durchzuführen hat. So muss der Auftragnehmer unter besonderer Berück-sichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und or-ganisatorischen Maßnahmen sorgfältig ausgewählt werden. Im Auftrag sind insbesondere die technischen und organisatorischen Maßnahmen schriftlich festzulegen. Auch hat der Auf-traggeber zu prüfen, ob beim Auftragnehmer die nach der Anlage zu § 9 BDSG erforderli-chen Maßnahmen getroffen werden. Werden personenbezogene Daten verarbeitet, deren Verarbeitung für die Betroffenen keine besonderen Risiken erwarten lässt, so bietet das Grundschutzhandbuch des BSI für be-stimmte technische Konstellationen einen Katalog an Sicherheitsmaßnahmen. (Das Hand-buch, in dem die Maßnahmen erläutert werden, kann auf Datenträgern beim BSI (www.bsi.de) bestellt werden.) Wenn der Auftragnehmer ein Datensicherheitskonzept besitzt, muss der Auftraggeber prüfen und schriftlich festlegen, ob es seinen Anforderungen entspricht. Die Sicherheitsziele sind in der Anlage zu § 9 BDSG genannt. Ist das Konzept nicht ausreichend, sind ergänzende Maß-nahmen zu vereinbaren. Das daraus resultierende Sicherheitskonzept sollte zum Vertrags-bestandteil gemacht werden. In diesem Fall kann darauf verzichtet werden, im Sicherheits-konzept genannte Maßnahmen im Vertrag zu wiederholen. Wenn der Auftragnehmer kein Datensicherheitskonzept vorlegen kann, müssen die Maß-nahmen im Vertrag vereinbart werden. Dabei sind wiederum die in der Anlage zu § 9 BDSG genannten Sicherheitsziele zu erreichen. Aus dem Katalog sollten die einzelnen Maßnahmen in den Vertrag übernommen werden. Es handelt sich um keinen abschließenden Maßnah-menkatalog. Besonders wichtig sind Regelungen zu folgenden Sachverhalten: 1. Verantwortlichkeiten: Aus unklaren Aufgabenverteilungen, beispielsweise bei der Ver-

gabe von Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken. 2. Abschottung von Netzen: Es müssen Maßnahmen ergriffen werden, um ein unberech-

tigtes Eindringen in Rechnernetze zu verhindern. Da meist keine absolute Sicherheit zu erreichen ist, müssen derartige Versuche erkannt werden. Technische Komponenten, die in Betracht kommen sind Firewalls, Intrusion Detection Systeme und insbesondere dem Stand der Technik entsprechende Verschlüsselungsverfahren.

3. Abhören der Kommunikation: Zum Schutz gegen unberechtigtes Abhören bietet es

sich an, die Daten entsprechend dem Stand der Technik zu verschlüsseln. 4. Anmeldeprozeduren: Die Anmeldung am System oder Anwendung stellt die erste und

wichtigste Hürde dar, die unbefugte Personen überwinden müssen. An dieser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden.

Anlage B zur Datenschutzvereinbarung Begriffserklärungen zu § 7 Datenschutzvereinbarung (Datensicherungsmaßnahmen)

1. Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt

wird, mit denen personenbezogene Daten verarbeitet werden: (Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüssel-vergabe, etc.)

2. Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -ver-

fahren benutzen: (Verschlüsselungsverfahren entsprechend dem Stand der Technik.)

3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsver-

fahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden per-sonenbezogenen Daten zugreifen können:

(Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsselungsver-fahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.)

4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen

Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifi-zierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.)

5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden

kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

(Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens drei Jahre lang durch den Auftragnehmer aufbewahrt.)

6. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zer-

störung oder Verlust geschützt sind. (Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: hier

Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Back-up-Kopien.)

7. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten ge-trennt verarbeitet werden können.

Stand: 11 / 2016

Anlage C zur Datenschutzvereinbarung Beschreibung der technischen und organisatorischen Maßnahmen nach § 9 BDSG i. V. m. der Anlage zu § 9 BDSG

1. Zutrittskontrolle (Verhinderung des Zutritts Unbefugter zu DV-Anlagen mit

personenbezogenen Daten)

Maßnahmen

Gebäude- / Etagensicherung Besetzter Empfang / getrennte kontrollierte Zugänge für Mitarbeiter und Lieferanten Zutrittskontrollsystem, mehrstufiges Sicherheitssystem Gebäude außerhalb der Dienstzeiten verschlossen Wachdienst außerhalb der Dienstzeit Trennung von Bearbeitungs- und Publikumszonen Zutritt zu den einzelnen Etagen nur mit elektronischem Chip

Protokollierung und Kontrollierung des Gebäudezutritts Elektronische Zutrittskontrolle (Chip) für alle Mitarbeiter Nachvollziehbarkeit des Zutritts zum Gebäude / zu den Etagen Besucherausweise

Einrichtung des Rechenzentrums als Sicherheitsbereich Server sind in einem verschlossenen Rechenzentrum) mit Zugangskontrolle (geloggter Zutritt) und Einbruchs-, Brandmelde- und Löschanlage untergebracht

Aufbewahrung von Sicherungsmedien im Safe in Co-Location (SOX Control) Schließanlage: Schlüsselregelung für Zutrittsberechtigte

Festlegung zutrittsberechtigter Personen Protokollierung der Chip- / Schlüsselausgabe Sonderzutrittsregelungen für Sonstige: nur in Begleitung Zutrittsberechtigter Protokollierung des Zugangs SOX Control, ISO 27001 Control

Sicherung der Netzwerke Verteilerkästen sind vor unbefugtem Zugriff abgesichert 24 x 7 Netzwerk-Management wird zentral in Verantwortung durch IT durchgeführt Router, Switches und Netzwerkkomponenten sind in verschlossenen Räumen oder

Stahlbehältnissen untergebracht Verkabelungen befinden sich in geschlossenen Kabelschächten; Verkabelung ist do-

kumentiert SOX Control, ISO 27001 Control

Stand: 11 / 2016

2. Zugangskontrolle

(Verhinderung der Nutzung von DV-Systemen mit perso-nenbezogenen Daten durch Unbefugte)

Maßnahmen

Internes Legitimationsverfahren für Benutzercodes betref-fend Dateien und Systeme / Dokumentiertes organisatori-sches Verfahren für:

Vergabe, Sicherung, Änderung, Löschung von Benut-zer-Accounts

Benutzer-Accounts mit individualisierten Zugangsrechten Bei Neueinstellungen erhält IT von HR automatisiert und dokumentiert die für den Netz-

betrieb relevanten Personaldaten (Mitarbeiterkürzel, Mitarbeiternummer, Kostenstelle, Eintrittsdatum)

Komplett ISO 20000 konformes Change Management SOX Control

Benutzer-Accounts ausgeschiedener Mitarbeiter Bei Versetzung / Ausscheiden eines Mitarbeiters dokumentierter Vorgang des Entzugs von Zugangsberechtigungen

Individuelle Benutzer-Accounts werden dokumentiert gesperrt / gelöscht Komplett ISO 20000 konformes Change Management SOX Control

Protokollierung des Zugriffs auf Anwendungen und Syste-me

Rückwirkend für mehrere Monate Komplett ISO 20000 konformes Change Management

Verschlüsselungsroutinen für Login und PW Security Policy Globale Passwort-Policy Mindestlänge von Benutzercodes: 5 Zeichen Passwortmindestlänge: 8 Zeichen Passwort Komplexität (Sonderzeichen, Ziffern, Groß- / Kleinschreibung) vorgeschrieben Ausschluss von Trivialpasswörtern Erzwungener Passwortwechsel nach 60 Tagen

... (Fortsetzung)

Stand: 11 / 2016

2. Zugangskontrolle (Fortsetzung)

(Verhinderung der Nutzung von DV-Systemen mit perso-nenbezogenen Daten durch Unbefugte)

Maßnahmen

Verschlüsselungsroutinen für Login und PW (Fortset-zung)

Bei Passwortverlust dürfen Passwörter nur von IT nach eindeutiger Authentifikation zu-rückgesetzt werden

Passwort History / alte Passwörter dürfen nicht wieder verwendet werden (10 Generatio-nen)

SOX Control, ISO 27001 Control

Automatisches Sperrsystem bei fehlerhaft eingegebenen Benutzercodes / Passwort

Sperrung des Zugangs bei mehr als vier fehlerhaften Anmeldeversuchen

Automatische / manuelle Tastatur- und Bildschirmsperre bei Nichtnutzung / Abwesenheit

Standardmäßige Einrichtung der PC Automatische Tastatur- und Bildschirmsperre 10 Minuten nach letztem Gebrauch Manuelle Sperre bei Verlassen des Arbeitsplatzes / Clean Desk Policy Aufhebung der Sperre nur durch Eingabe eines Passworts

Stand: 11 / 2016

3. Zugriffskontrolle

(Verhinderung des Zugriffs auf oder der Veränderung per-sonenbezogener Daten durch Unbefugte)

Maßnahmen

Ausgestaltung des Berechtigungskonzepts und der Zu-griffsrechte

Differenziertes Berechtigungssystem für den Zugriff auf Dateien, System- und Anwen-dungsprogramme durch Zugangsberechtigte (inklusive Wartungsberechtigte)

Vergabe von einzelnen, den Funktionen entsprechenden Rollen und Rechten von IT auf Veranlassung des Vorgesetzten

Zugriff auf Netzlaufwerke für berechtigte Benutzer(gruppen) Differenzierte Berechtigungen für lesenden und schreibenden (Änderung / Löschung)

Zugriff Userrechte werden anwendungsbezogen vergeben Protokollierung, welche Benutzer auf die Datenbestände zugreifen Aufbewahrung der Zugriffsprotokolle 6 Monate rückwirkend für sicherheitsrelevante Da-

ten Security Policy

Datenträger / Datenträgerverwaltung Nachweis über Eingang, Ausgang sowie Bestand Lagerung der Datenträger im internen Sicherheitsbereich Stets in verschlossenen Räumen / Safe Dokumentierte Sicherungsverfahren Festlegung berechtigter Personen Verbot des Einsatzes privater Datenträger

Kontrollierte Vernichtung von Datenträgern Vernichtung von Adressdaten erfolgt nach gemäß ISO 9001 festgelegten Prozessbe-schreibungen

Physische Zerstörung Verwendung von Datenschutztonnen Nicht mehr zu verwendende Fest- und Wechselplatten werden von IT unbrauchbar ge-

macht Entsorgung / Vernichtung über zertifizierten Entsorger nach Terminabsprache

... (Fortsetzung)

Stand: 11 / 2016

3. Zugriffskontrolle (Fortsetzung)

(Verhinderung des Zugriffs auf oder der Veränderung per-sonenbezogener Daten durch Unbefugte)

Maßnahmen

Kontrollierte Vernichtung von Datenträgern (Fortsetzung) Verwahrung von Datenträgern bis zur Entsorgung in einem separaten, zugangsgesicher-ten Hardware-Archiv

Vorhalten von Entsorgungsbescheinigungen SOX Control

Gesonderte Regelungen für mobile Endgeräte Mobile PC (Laptops, Notebooks) werden außerhalb der Arbeitszeiten unter Verschluss aufbewahrt

Festplattenverschlüsselung auf allen Laptops

Stand: 11 / 2016

4. Weitergabekontrolle

(Verhinderung unbefugten Lesens, Kopierens, Veränderns oder Entfernens personenbezogener Daten während der elektronischen Übertragung / des Transports / der Spei-cherung)

Maßnahmen

Datenweitergabe Weitergabe von Dateien nur an berechtigte Personen und mit Weitergabeprotokoll Dokumentation aller Adressen im Rahmen der Weitergabekette Dokumentation von PC, Software und Dateien mit personenbezogenen Daten Vollständigkeits- und Korrektheitskontrolle

Transportsicherung Interne Weitergabe: über internes Netzwerk / gesichertes Austauschportal Teilnehmerkreis des Portals ist durch Benutzerkennung und Rechtekonzepte reglemen-

tiert Protokollierung / Nachvollziehbarkeit aller Zugriffe Nachweis der Zugriffs- und Weitergabekontrolle durch Log-Files Externe Weitergabe: verschlüsselt in Absprache mit dem Empfänger und / oder per Ku-

rier Komprimiert / Verschlüsselt mit Passwortschutz, starker Verschlüsselungsalgorithmus

(Standard: AES-256) Verschlossene Transportbehälter Zuverlässige Boten / Transportunternehmen

Stand: 11 / 2016

5. Eingabekontrolle

(Nachträgliche Prüfmöglichkeit darüber, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben / verändert / entfernt wurden)

Maßnahmen

Protokollierungs- und Protokollauswertungssysteme Automatische Protokollierung der Dateinutzung / Dateiveränderung Auswertbarkeit von Protokollen rückwirkend (6 Monate) für sicherheitsrelevante Daten

Dokumentation der Eingabeverfahren Festlegung der für die Erstellung von Datenträgern und der Bearbeitung von Daten Be-fugten

Nachträgliche Nachvollziehbarkeit der erfolgten Dateneingaben

Stand: 11 / 2016

6. Auftragskontrolle

(Gewährleistung, dass personenbezogene Auftragsdaten-verarbeitung nur entsprechend den Weisungen des Auf-traggebers erfolgt)

Maßnahmen

Formalisierung der Auftragsvergabe zwischen den Haupt-vertragsparteien

Detaillierte schriftliche Regelung der Auftragsverhältnisse und Formalisierung des ge-samten Auftragsablaufes

Eindeutige Regelungen der Zuständigkeiten und Verantwortlichkeiten Dokumentation der Prozessschritte über internes Portal Kontrolle der Arbeitsschritte Verwaltung, Sicherung und Dokumentation der Adressdaten in dem dafür bereitgestell-

ten Interaktionssystem

Formalisierung der Auftragsvergabe gegenüber sämtlichen Unterauftragnehmern

Sorgfältige Auswahl der Auftragnehmer Detaillierte schriftliche Regelung der Auftragsverhältnisse und Formalisierung des ge-

samten Auftragsablaufes Vertragliche Verpflichtung der Subunternehmer auf Datenschutz und Geheimhaltung Auftragskontrolle und Dokumentation

Stand: 11 / 2016

7. Verfügbarkeitskontrolle

(Schutz personenbezogener Daten vor zufäl-liger/m Zerstörung / Verlust)

Maßnahmen

Datensicherungskonzept Zentrales Backup-System mit Berechtigungs- und Vernichtungssystem IT ist für die Durchführung der Datensicherungsmaßnahmen verantwortlich Veränderte Datenbestände werden täglich gesichert Für Wochentage wird ein eigenes Bandset genutzt Wöchentlich werden alle Datenbestände voll gesichert Programmverzeichnisse werden nach jeder Änderung gesichert, so dass immer mindestens ei-

ne Kopie des aktuellen Programmbestands existiert Monatliche Überprüfung der Sicherungsverfahren Tägliche Überprüfung der Sicherungsprotokolle Monatliche Test-Restores für Daten Restore durch IT Aufbewahrung der Backup-Kopien in unterschiedlichen feuergeschützten und abgeschlossenen

Räumen / Safes Richtlinien zur Datenarchivierung Notfallpläne / IT Continuity Management IT Continuity Test nach festgelegten Prozessen und Zeitintervallen SOX Control, ISO 27001 Control

Brandschutzeinrichtungen Brandschutzabschnitte Brandschutztüren Klimatisierung von Server- / Technikräumen Rauch- und Brandmelder im Rechenzentrum Koppelung des Rechenzentrums mit Notrufzentrale Feuerlöschanlage im Rechenzentrum Flucht-, Rettungs- und Brandschutzpläne

... (Fortsetzung)

Stand: 11 / 2016

7. Verfügbarkeitskontrolle (Fortsetzung)

(Schutz personenbezogener Daten vor zufäl-liger/m Zerstörung / Verlust)

Maßnahmen

Softwareinstallation Laptops/PC werden mit Standardsoftware ausgestattet Ergänzung der Standardsoftware nur nach Prüfung und Freigabe durch

Geschäftsführung / IT Komplett ISO 20000 konformes Release Management

Firewall-Installation Schutz des internen Netzwerks durch mehrere Firewall-Systeme IDS- / IPS-Systeme im Einsatz Eingehende Mails werden mit einem automatisierten Verfahren auf schadenstiftende Software

untersucht

Datenträger Erhaltene oder auszuliefernde Datenträger werden mit einem Virenscanner auf schadenstiften-de Software hin überprüft, bevor sie verwendet oder versendet werden

Virenschutz Installation und ständige Aktualisierung von automatischem Virenschutz

Sperrung von Sites Sperrung indizierter Websites

Stromversorgung Installation von Notstromdiesel und USV-Systemen / Gesichertes Herunterfahren der Server bei Stromausfall

Stand: 11 / 2016

8. Trennungskontrolle

(Gewährleistung getrennter Verarbeitung zu unterschiedlichen Zwecken erhobener perso-nenbezogener Daten)

Maßnahmen

Getrennte Bearbeitung / Dateiverwaltung je-des Auftrags

Sichergestellt über Prozessbeschreibungen und Prüfungsanweisungen gem. ISO-zertifizierten Qualitätsmanagement-Systems

Trennung über Projektnummer Daten werden nur zum vereinbarten Zweck genutzt / verarbeitet

Getrennte Protokollierung der einzelnen Ar-beitsschritte bei jedem Auftrag

Sichergestellt über Prozessbeschreibungen und Prüfungsanweisungen gem. ISO-zertifizierten Qualitätsmanagement-Systems

Funktionstrennung Trennung von Test- und Produktionsbetrieb bei Programmen und Dateien (Komplett ISO 20000 konformes Release Management)

Speicherung von Daten und Programmen in unterschiedlichen Verzeichnissen Pseudonymisierung von Testdaten