Technisch-organisatorische Maßnahmen (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technische Maßnahmen Organisatorische Maßnahmen Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Technische und organisatorische Maßnahmen (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
(3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
(4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
(6) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
(7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
(8) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.
Sorgfalts Und Mitwirkungspflichten Des Karteninhabers 4.1 Der Karteninhaber hat dafür Sorge zu tragen, dass kein Dritter zur Durchführung von Internet-Zahlungen Zugang zu seinem für das Verfahren genutzten Endgerät er- langt. Die App ist gegen unberechtigte Freigaben – z. B. durch ein sicheres Passwort – zu schützen. Das Endgerät ist vor Verlust und Diebstahl zu sichern. Im Fall von Verlust oder Diebstahl des Endgerätes ist nach Möglichkeit die App per Fernzugriff zu löschen und die SIM-Karte des Endgerätes sperren zu lassen. Zugangsdaten zur App dürfen nicht auf dem Endgerät gespeichert werden. Die App darf nicht auf Endgeräten eingesetzt werden, deren Betriebssystem manipuliert wurde, z. B. durch sogenannte Jailbreaks oder Rooten oder sonstige nicht vom Hersteller des Endgeräts freigegebene Betriebssystemvarianten. Weiter gilt Ziffer 6.4 der Vertrags- bzw. Ziffer 5.4 der Einsatzbedingungen.
4.2 Das Endgerät, das zur Freigabe der Transaktion dient, sollte nicht gleichzeitig für die Internet-Zahlungen genutzt werden (physische Trennung der Kommunikationska- näle).
4.3 Der Karteninhaber hat die Übereinstimmung der von der Bank dem Nutzer über- mittelten Transaktionsdaten mit den von ihm für die Transaktion vorgesehenen Daten abzugleichen. Bei Unstimmigkeiten ist die Transaktion abzubrechen und die Bank zu informieren.
4.4 Der Karteninhaber hat die App nur aus offiziellen App-Stores (Apple App Store oder Google Play Store) herunterzuladen und die für die App vorgesehenen Updates regelmäßig zu installieren.
Mitwirkungspflichten des Kunden Der Kunde hat im Zusammenhang mit der Erfüllung des Vertrags insbesondere folgende Pflichten: - Ausfüllen und Unterzeichnen für sämtliche benötigte Unterlagen wie Pflichtenheft, IT-Systemanalyse, Anlage Softwareimplementierung etc. Mit der Unterzeichnung bestätigt der Kunde die Vollständigkeit und Korrektheit der Angaben; - Sicherstellung des Zutritts zum Gebäude und des Zugangs zur Infrastruktur; - Stellung von Testsystemen oder Testmandanten, Durchführung von Tests und Freigabe von Weiterentwicklungen zur produktiven Nutzung; - Sicherstellung der Verfügbarkeit (physische Anwesenheit, Remote Unterstützung etc.) einer Person mit den benötigten Rechten und dem erforderlichen Know-How während der gesamten Installation, Inbetriebnahme und Integration der Software, sowie im Fall der Behebung einer Störung; - zur Verfügungsstellung entsprechender Zugangsinformationen, um die Installation der zu integrierenden Software zu gewährleisten; - Bereitstellung eines kostenlosen Remote-Zugriffs für TA (ihre Mitarbeitenden, Drittlieferanten, Software-Hersteller und Beauftragte der TA); - zur Verfügungsstellung der erforderlichen Arbeitsplätze, Arbeits- und Kommunikationsmittel; - beauftragte Leistungen jeglicher Art kann TA per Remote-Zugriff erbringen. Der Kunde hat die hierzu erforderlichen Systemvoraussetzungen zu schaffen. Verzögerungen welche durch den Kunden verursacht sind, gehen zu Lasten des Kunden und befreien TA von jeglichem Verzug; - Schaffung und Beibehaltung der erforderlichen technischen Voraussetzungen (d.h. Beschaffung, Herstellung und Beibehaltung der Betriebsbereitschaft der IT-Infrastruktur gemäss den Vorgaben der TA); - Der Kunde ist verpflichtet, bei allen Leistungen sowie vor der Installation eines von TA gelieferten oder von TA zu installierenden Softwareprodukts eine Datensicherung (inkl. Systemsicherung) durchzuführen; - Dem Kunden soll die ihm überlassenen Weiterentwicklungen einzusetzen, um eine optimale Softwarefunktionalität zu gewährleisten; - Sofern eine Änderung der Systemvoraussetzungen notwendig ist, obliegt es dem Kunden diese auf eigene Kosten und ohne Verzug vorzunehmen. TA kann Support- und andere Leistungen gemäss den Bestimmungen von Ziffer 6 einstellen, wenn der Kunde Weiterentwicklungen nicht nutzt oder die hier vereinbarten oder sonst notwendigen Mitwirkungspflichten nicht oder nicht gehörig erbringt; - Kommt der Kunde seinen Mitwirkungspflichten nicht rechtzeitig oder nicht vollständig nach, stellt Zusatzkosten (z.B. für die einplante Arbeitszeit des TA Mitarbeiters) separat in Rechnung. - Der Kunde hat fachliche Weisungen der TA oder im Einzelfall angeordnete Vorbereitungs- oder Mitwirkungspflichten zu beachten.
Haftpflichtansprüche (1) des Versicherungsnehmers selbst oder der in Ziffer 7.5 benannten Personen gegen die Mitversi- cherten,
(2) zwischen mehreren Versicherungsnehmern desselben Versicherungsvertrages,
(3) zwischen mehreren Mitversicherten desselben Versicherungsvertrages.
Mitwirkungspflichten des Auftraggebers Der Kunde ist zur Mitwirkung, insbesondere zur unverzüglichen und vollständigen Erteilung wahrheitsgemäßer Angaben, verpflichtet. Er ist auch während der Vertragslaufzeit verpflichtet, dem Makler unverzüglich alle Risikoänderungen mitzuteilen.
Qualitätssicherung und sonstige Pflichten des Auftragnehmers Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: • Als Datenschutzbeauftragte ist beim Auftragnehmer Xxxx Xxxxxx Xxxxxx, Head of Data Protection, +00 (0)0000 000-000, xxxx-xxxxxxxxxx@xxxxxxx.xxx bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt. • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS- GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. • Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DS- GVO und Anlage 2. • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. • Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. • Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber, die gemäß Ziffer 3 unter xxxxx://xxx.xxxxxxx.xxx/ AV/TOM.pdf abrufbar sind.
Zuständige Aufsichtsbehörde Bundesanstalt für Finanzdienstleistungsaufsicht, Xxxxxxxxxxxxxxx Xxxxxx 000, 00000 Xxxx, und Xxxxx-Xxxxx-Xxx. 00–00, 00000 Xxxxxxxxx xx Xxxx.
Meldepflichten nach Außenwirtschaftsrecht Der Kunde hat die Meldepflichten nach dem Außenwirtschaftsrecht zu beachten.
