Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

im Rahmen des Services Mailinglotsen

zwischen dem Besteller

- Verantwortlicher - nachstehend „Auftraggeber“ genannt -

und der

PAV CARD GmbH, Hamburger Straße 6, 22952 Lütjensee

- Auftragsverarbeiter - nachstehend „Auftragnehmer“ genannt

Präambel

Der Auftraggeber möchte den Service Mailinglosten nutzen. In diesem Zusammenhang schließen die Parteien den folgenden Vertrag zur Auftragsverarbeitung im Rahmen des Bestellprozesses des Services Mailinglotsen. Dieser Vertrag gilt jeweils für die jeweilige Bestellung bzw. im Falle mehrfacher Bestellungen oder im Falle eines entsprechenden Dauerschuldverhältnisses bis zum Abschluss der Bestellungen oder des jeweiligen Dauerschuldverhältnisses. Die nähere Bezeichnung des Bestellers ergibt aus der jeweiligen Bestellung.

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand

Der Gegenstand des Auftrags ergibt sich aus der Bestellung des Auftraggebers, auf die hier verwiesen wird (nachstehend „Leistungsvereinbarung“ genannt).

(2) Dauer

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten

Der Auftragnehmer erbringt Lettershop-Dienstleistungen für den Auftraggeber. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der jeweiligen Leistungsvereinbarung.

Die Erbringung der vertraglich vereinbarten Verarbeitung personenbezogener Daten findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

(2) Art der Daten

Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben.

(3) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen sind in der Leistungsvereinbarung konkret beschrieben unter.

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c), 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die einzelnen technisch-organisatorischen Maßnahmen sind in Anlage angeführt.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Der Auftragnehmer wird den Auftraggeber bei der Wahrung der datenschutzrechtlichen Betroffenenrechte unterstützen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  • Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind über die Datenschutzhinweise des Auftragnehmers abrufbar.
  • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b), 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
  • Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
  • Der Auftragnehmer weißt die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages nach, indem er eine Bestätigung des Datenschutzbeauftragten per E-Mail an den Auftraggeber übermittelt.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Leistungsvereinbarung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Vor der Hinzuziehung oder Ersetzung von Unterauftragnehmer informiert der Auftragnehmer den Auftraggeber mit einer Frist von vier (4) Wochen in Textform. Der Auftraggeber kann der Änderung nur aus wichtigem Grund widersprechen. Der Widerspruch hat binnen vierzehn (14) Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger Grund vor, der vom Auftragnehmer nicht durch Anpassung des Auftrages beseitigt werden kann, steht dem Auftragnehmer ein Sonderkündigungsrecht zu. Dieses Sonderkündigungsrecht bezieht sich sowohl auf diesen Vertrag als auch auf die jeweilige Leistungsvereinbarung.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht eine Bestätigung des Datenschutzbeauftragten des Auftragnehmers anzufordern, um die Einhaltung der datenschutzrechtlichen Anforderungen nachzuweisen. Der Auftraggeber kann in Textform weitere Kontrollen verlangen, wenn begründete Zweifel bestehen, dass der Auftragnehmer die datenschutzrechtlichen Anforderungen nicht einhält. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

(2) Der Auftragnehmer kann ferner einen Nachweis erbringen durch:

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz)

  • 8. Mitteilung bei Verstößen des Auftragnehmers

    (1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u. a.:

  • Die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.
  • Die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden.
  • Die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen.
  • Die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung.
  • Die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

  • (2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

    9. Weisungsbefugnis des Auftraggebers

    (1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich zumindest in Textform.

    (2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

    10. Löschung und Rückgabe von personenbezogenen Daten

    (1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nur erstellt, wenn dies zur Durchführung der Leistungsvereinbarung erforderlich ist. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    (2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten, soweit eine Aufbewahrungspflicht nicht entgegensteht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

    (3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

    11. Vergütung

    Die Vergütung des Auftragnehmers für die Verarbeitung der personenbezogenen Daten ist im Rahmen der Leistungsvereinbarung geregelt.

    12. Haftung

    Es wird auf Art. 82 DSGVO verwiesen. Im Übrigen richtet sich die Haftung aus dieser Vereinbarung nach dem Hauptvertrag.

    13. Schlussbestimmung

    (1) Es gelten die Allgemeinen Geschäftsbedingungen für den Service Mailinglotsen, soweit sich aus diesem Vertrag nichts anderes ergibt.

    (2) Der Abschluss dieses Vertrages erfolgt elektronisch, indem der Auftraggeber den Bestellprozess des Services Mailinglotsen entsprechend abschließt.

    (3) Wenn zwischen den Parteien bereits ein Auftragsverarbeitungsvertrag vor dem 17.06.2019 geschlossen wurde, gilt dieser fort. Der vorliegende Auftragsverarbeitungsvertrag findet in diesem Fall keine Anwendung.

    Anlage – Technisch-organisatorische Maßnahmen
    Präambel:

    Diese Anlage konkretisiert die im Vertrag zur Auftragsverarbeitung getroffenen technischen und organisatorischen Maßnahmen. Dabei werden in diesem Zusammenhang insbesondere der aktuelle Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Datenverarbeitung berücksichtigt. Des Weiteren werden die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen beachtet, um ein dem Risiko entsprechendes, angemessenes Schutzniveau für den Schutz personenbezogener Daten zu erreichen.

    1 Vertraulichkeit auf Dauer
    Die Sicherstellung der Vertraulichkeit der Datenverarbeitungssysteme gehört zu den Schlüsselelementen moderner Sicherheitsmechanismen und ist Bestandteil der wesentlichen Schutzziele der DSGVO. Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit sind unter anderem auch solche, die zur Zutritts-, Zugriffs- oder Zugangskontrolle gehören. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen nämlich eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
    Maßnahmen zur Sicherstellung der Vertraulichkeit auf Dauer:
    Einsatz eines umfassenden Datenschutzkonzepts
    Spezifizierte, für die Datenverarbeitungstätigkeit entsprechend dem Datenschutzkonzept ausgestattete Umgebungen (Gebäude, Räume, insb. Server-Räume)
    Zugriffskontrollen (siehe Ziffer 9)
    Zutrittskontrollen (siehe Ziffer 10)
    Zugangskontrollen (siehe Ziffer 11)
    2 Integrität auf Dauer
    Die Sicherstellung der Integrität der Datenverarbeitungssysteme gehört ebenso, so wie die Sicherstellung der Vertraulichkeit der Datenverarbeitungssysteme, zu den wichtigsten Schutzzielen der DSGVO. Maßnahmen zur Umsetzung des Gebots der Integrität sind zum einen solche, die auch zur Eingabekontrolle gehören, zum anderen aber solche, die generell zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Zerstörung oder unbeabsichtigter Schädigung beitragen.
    Maßnahmen zur Sicherstellung der Integrität auf Dauer:
    Dokumentieren der Zuweisung von Berechtigungen und Rollen
    Dokumentierung des Hard- und Softwarebestandes und Führung eines Bestandsverzeichnisses
    3 Pseudonymisierung
    Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
    Maßnahmen in Zusammenhang mit der Pseudonymisierung personenbezogener Daten:
    Auswahl eines geeigneten Pseudonymisierungsverfahrens nach aktuellem Stand der Technik
    4 Verschlüsselung
    Die Verschlüsselung personenbezogener Daten ist eine gängige Möglichkeit diese gegen die Kenntnisnahme durch Unbefugte zu schützen. Insbesondere eignet sich die Verschlüsselung dafür, Daten von äußeren Einflüssen wie z. B. Hackangriffe und Spionage zu bewahren. Unter Verschlüsselung ist ein Verfahren zu verstehen, durch das eine klar lesbare Information in eine nicht lesbare bzw. interpretierbare Zeichenabfolge umgewandelt wird.
    Maßnahmen in Zusammenhang mit der Verschlüsselung personenbezogener Daten:
    Auswahl eines geeigneten kryptographischen Verfahrens erfolgt nach Berücksichtigung des aktuellen Stands der Technik und der Schutzbedarfskategorien der zu verarbeitenden personenbezogenen Daten
    5 Verfügbarkeit auf Dauer
    Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen müssen so ausgelegt sein, dass sie die Verfügbarkeit auf Dauer gewährleisten.
    Maßnahmen zur Sicherstellung der Verfügbarkeit auf Dauer:
    Zentrale Beschaffung von Hard- und Software
    Regelmäßige Durchführung von Datensicherungen bzw. Einsatz von Spiegelungsverfahren
    Mehrschichtige Virenschutz- und Firewall-Architektur
    Notfallplanung (Notfallplan für Sicherheits- und Datenschutzverletzungen mit konkreten Handlungsanweisungen)
    Betreuung der IT durch qualifizierte und ständig weitergebildete Mitarbeiter
    6 Gewährleistung der Belastbarkeit der Systeme auf Dauer
    Hierzu gehören beispielsweise Maßnahmen, die schon in der Phase vor Durchführung der Datenverarbeitung durch den Auftragsverarbeiter zu ergreifen sind. Darüber hinaus ist auch eine kontinuierliche Überwachung der Systeme erforderlich.
    Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und Dienste auf Dauer:
    Penetrationstests
    Regelmäßige Schulung des eingesetzten Personals (Management und sonstige interne und externe Mitarbeiter) entsprechend dem Gebot zur Sicherstellung der Integrität und Vertraulichkeit der Datenverarbeitung zu handeln (mindestens einmal im Jahr)
    7 Wiederherstellbarkeit der Verfügbarkeit
    Zur Sicherstellung der Wiederherstellbarkeit sind einerseits ausreichende Sicherungen erforderlich, wie aber auch Maßnahmenpläne, die im Sinne von Katastrophen-Fall-Szenarien (ggf. auch Basis der Sicherungen) den laufenden Betrieb wiederherstellen können.
    Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit bei einem physischen oder technischen Zwischenfall:
    Regelmäßige Archivierung der Datenbestände und Einsatz von Spiegelungsverfahren
    Regelmäßiges Testen der Datenwiederherstellungstools
    Verfügbarkeit von Back-Up-Rechnern und Software-Lösungen für Notfallsituationen
    8 Überprüfung und Bewertung der Datensicherheit
    Maßnahmen um insbesondere die schon getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit laufend aktuell zu halten und kritisch zu begutachten. Diese Pflicht erstreckt sich auf alle technischen und organisatorischen Maßnahmen (Ziff. 1 bis 15).
    Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen:
    Regelmäßige Versionskontrolle von Standardsoftware entsprechend dem Datenschutzkonzept (Intensität der Kontrolle hängt von der eingesetzten Software ab, Prüfung soll jedoch mindestens einmal jährlich erfolgen)
    9 Zugriffskontrolle
    Damit sind Maßnahmen gemeint, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können. Der Auftragsverarbeiter muss deswegen Maßnahmen ergreifen, die dafür Sorge tragen, dass Personen im Rahmen der Datenverarbeitung nur auf die Daten zugreifen können, für die sie über eine entsprechende Berechtigung verfügen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
    Maßnahmen zur Verwehrung des Zugriffs auf personenbezogene Daten für Unbefugte:
    Verwendung von benutzerbezogenen und individualisierten Anmeldeinformationen
    Vorgabe zur Festlegung von Passwörtern (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
    Datenschutzkonforme Vernichtung von Daten, Datenträgern und Ausdrucken entsprechend Schutzklassenkonzept
    10 Zutrittskontrolle
    Damit sind Maßnahmen gemeint, die Unbefugten den Zutritt zu den Gebäuden und Rechenzentren verwehren, in denen personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter ergreift in diesem Zusammenhang Maßnahmen, die dafür Sorge tragen, dass nur die Personen Zutritt zu den Gebäuden und Rechenzentren haben, die über eine entsprechende Berechtigung verfügen.
    Maßnahmen zur Verwehrung des Zutritts zu Datenverarbeitungsanlagen für Unbefugte:
    Festlegung zutrittsberechtigter Personen
    Einrichtung verschiedener Sicherheitszonen mit verschiedenen Zutrittsberechtigungen
    Einbruchsmeldeanlage mit Alarmübertragung zur ununterbrochen besetzten Sicherheitsleitstelle bzw. zur Polizei
    11 Zugangskontrolle zu Datenverarbeitungssystemen
    Damit sind Maßnahmen gemeint, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und –verfahren benutzen. Der Auftragsverarbeiter muss in diesem Zusammenhang Maßnahmen ergreifen, die dafür Sorge tragen, dass nur Personen auf Anlagen zur Datenverarbeitung zugreifen können, die über eine entsprechende Berechtigung verfügen. Hierzu gehören bspw. geeignete Passwortregeln und Firewallkonfigurationen.
    Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
    Kennwortverfahren (u. a. Festlegungen hinsichtlich Verwendung von Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
    Sperren von Arbeitsplätzen und/oder Benutzernamen bei mehrfachen fehlerhaften Zugriffsversuchen
    Abschottung interner Netzwerke durch Einrichtung von Firewall-Systemen
    12 Weitergabekontrolle
    Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
    Maßnahmen zur Verwehrung der unbefugten Kenntnisnahme, der Nachvollziehbarkeit und Wahrung der Integrität bei der Datenübertragung:
    Datenschutzkonforme Vernichtung von Daten, Datenträgern und Ausdrucken entsprechend Schutzklassenkonzept
    13 Eingabekontrolle
    Damit sind Maßnahmen gemeint, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-Systemen bzw. -Anwendungen eingegeben, verändert oder entfernt worden sind.
    Maßnahmen zur nachträglichen Überprüfung und Nachvollziehbarkeit bei Eingaben, Änderungen und Löschungen:
    Gesetzeskonforme Vertragsgestaltung von Verträgen über die Datenverarbeitung personenbezogener Daten mit Subunternehmern mit entsprechender Regelung von Kontrollmechanismen
    14 Auftragskontrolle (bei Einsatz von Subunternehmern)
    Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten, die im Auftrag bei einem Subunternehmer des Auftragsverarbeiters verarbeitet werden, nur entsprechend den Weisungen und Anforderungen an die Datenverarbeitung des Auftraggebers verarbeitet werden können.
    Maßnahmen zur Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur nach Weisung des Auftraggebers verarbeitet werden:
    Detaillierte schriftliche Regelungen (Vertrag/Vereinbarung) der Auftragsverhältnisse und Formalisierung des gesamten Auftragsablaufes, auch zum Einsatz von Subunternehmern, eindeutige Regelungen der Zuständigkeiten und Verantwortlichkeiten
    15 Trennungskontrolle
    Damit sind Maßnahmen gemeint, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
    Maßnahmen zur Trennungskontrolle:
    Logische bzw. technische Trennung von Daten
    Benutzerprofile/Trennung von Nutzerkonten
    Unterschiedliche Zugriffsberechtigungen