Common use of Sicherheit der Verarbeitung Clause in Contracts

Sicherheit der Verarbeitung. 4.1 Der Auftragnehmer hat die nachfolgen in Ziffer 4.4 aufgeführten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum angemessenen Schutz der Daten, (kurz: „TOM“) implementiert. Bei den zu getroffenen TOMs handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei hat der Auftragnehmer den Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. 4.2 Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen. 4.3 Trifft der Auftraggeber eigene technische und organisatorische Maßnahmen für eine auf den Auftragnehmer übertragene Datenverarbeitung, so hat ihn der Auftragnehmer im Rahmen seiner Möglichkeiten hierbei zu unterstützen. 4.4 Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO Der Auftragnehmer hat die folgenden Maßnahmen implementiert, die verhindern, dass Unbefugte Zutritt zu den Räumlichkeiten des Auftragnehmers haben: Der Gebäudezutritt ist durch ein biometrisches Fingerscan- Verfahren gesichert. Zusätzlich sind bestimmte Räume mit Schließzylindern ausgestattet. Die Vergabe sowie der Entzug der Zutrittsberechtigungen erfolgt durch den jeweiligen Kompetenzträger gemäß den für die Vergabe oder den Entzug geltenden internen Regelungen, wobei nur bestimmte Personen berechtigt sind, die Zugriffsrechte technisch zu vergeben und zu entziehen. Die Vergabe oder der Entzug der Zutrittsberechtigungen werden dokumentiert und regelmäßig überprüft. Zusätzlich sichern Sicherheitstüren und Sicherheitsfenster den Zutritt zu den Räumlichkeiten des Auftragnehmers.

Sicherheit der Verarbeitung. 4.1 1.6.1 Der Auftragnehmer hat die nachfolgen in Ziffer 4.4 aufgeführten Auftragsverarbeiter verpflichtet sich, alle Informationen und Daten des Verantwortlichen nach dem Stand der Technik zu jeder Zeit mit dem Risiko der Verarbeitung angemessenen technischen und organisatorischen Maßnahmen gemäß Artzu sichern. 32 DSGVO Dies beinhaltet insbesondere den Schutz vor unberechtigtem Zugriff, unberechtigter oder unbeabsichtigter Veränderung, Zerstörung oder Verlust, unerlaubter Übermittlung, anderweitiger unerlaubte Verarbeitung und sonstigem Missbrauch. Die Maßnahmen sind in Teil 2 dieser Vereinbarung umfassend darzustellen. Die Verpflichtung zum angemessenen Schutz der DatenInformationen und Daten des Verantwortlichen gilt unbeschadet der Ziffer 1.1.2 so lange, wie der Auftragsverarbeiter diese Daten und Informationen speichert oder auf sonstige Weise verarbeitet oder durch Unterauftragsverarbeiter verarbeiten lässt. 1.6.2 Der Auftragsverarbeiter muss ein Managementsystem für Informationssicherheit etablieren. Vor dem Hintergrund der Risiken muss der Auftagsverarbeiter die von Ihm zu treffenden Maßnahmen bestimmen, regelmäßig überprüfen und anpassen. Sowohl die Risiken als auch die getroffenen Maßnahmen sind vom Auftagsverarbeiter zu dokumentieren und nachzuweisen. 1.6.3 Auf Anfrage des Verantwortlichen stimmt der Auftragsverarbeiter die zu treffenden technischen und organisatorischen Maßnahmen mit dem zuständigen Informationssicherheitsbeauftragten des Verantwortlichen ab. 1.6.4 Ein Nachweis der Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens sowie Zertifizierungen des Informationssicherheits-Managementsystems (kurz: z.B. nach ISO 27.001) können als Faktor herangezogen werden, um die Angemessenheit technischen und organisatorischen Maßnahmen zu bewerten. Ein solcher Nachweis ersetzt aber nicht die Prüfung der Angemessenheit im Einzelfall. Wird ein solcher Nachweis als Faktor herangezogen, ist er dieser Vereinbarung beizufügen. 1.6.5 In Abhängigkeit des Risikos der Verarbeitung kann zum Nachweis angemessener technischer und organisatorischer Maßnahmen eine Zertifizierung nach TISAX (mind. Assessment Level 2 mit den Prüfzielen „TOMInformationen mit hohem Schutzbedarf (Info high)“ und „Datenschutz (Data)“) implementiert. Bei den zu getroffenen TOMs handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systemeohne weitere Überprüfungen herangezogen werden. Dabei hat der Auftragnehmer den Stand der Technik, muss die Implementierungskosten und die Art, der Umfang und die Zwecke Zertifizierung nach TISAX für alle in 1.1.4. genannten Standorte der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit vorliegen. Die zum Erreichen der Zertifizierung nach TISAX erforderlichen und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. 4.2 Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen. 4.3 Trifft der Auftraggeber eigene technische und organisatorische Maßnahmen für eine auf den Auftragnehmer übertragene Datenverarbeitung, so hat ihn der Auftragnehmer im Rahmen seiner Möglichkeiten hierbei zu unterstützender Zertifizierung nach TISAX umgesetzten technischen und organisatorischen Maßnahmen sind während der gesamten Vertragslaufzeit, auch nach einem möglichen Wegfall der Zertifizierung nach TISAX, umzusetzen. 4.4 Technisch1.6.6 Der Auftragsverarbeiter darf Zugriffsberechtigungen auf die Daten des Verantwortlichen nur an eigene Mitarbeiter gemäß Berechtigungskonzept und in dem für die jeweilige Aufgabe im Zusammenhang mit der Ausführung dieser Vereinbarung erforderlichen Umfang vergeben. Die zugriffsberechtigten Personen oder Personengruppen sind dem Verantwortlichen auf Anfrage zu benennen. Der Auftragsverarbeiter verpflichtet sich, keinem Unbefugten die ihm zur Nutzung des Systems zugeteilten Zugriffsberechtigungen bekannt zu geben. 1.6.7 Wird dem Auftragsverarbeiter die Möglichkeit eingeräumt auf die IT-organisatorische Maßnahmen nach Art. 32 DSGVO Systeme des Verantwortlichen oder dessen Auftragsverarbeiter zuzugreifen, so verpflichtet er sich, nur auf die für die Ausführung dieser Vereinbarung notwendigen Daten und Informationen zuzugreifen. 1.6.8 Der Auftragnehmer Auftragsverarbeiter hat die folgenden ihm bekannte Vertragsmanagementfunktion des Verantwortlichen über ggf. vorgesehene Kommunikationskanäle, hilfsweise den zuständigen Informationssicherheitsbeauftragten des Verantwortlichen, über wesentliche Änderungen der in Teil 2 beschriebenen technischen und organisatorischen Maßnahmen implementiert, in Textform zu informieren. Bei einer absehbaren Minderung der Schutzwirkung ist vor der Änderung die verhindern, dass Unbefugte Zutritt zu den Räumlichkeiten Zustimmung des Auftragnehmers haben: Der Gebäudezutritt ist durch ein biometrisches Fingerscan- Verfahren gesichert. Zusätzlich sind bestimmte Räume mit Schließzylindern ausgestattet. Die Vergabe sowie der Entzug der Zutrittsberechtigungen erfolgt durch den jeweiligen Kompetenzträger gemäß den für die Vergabe oder den Entzug geltenden internen Regelungen, wobei nur bestimmte Personen berechtigt sind, die Zugriffsrechte technisch zu vergeben und zu entziehen. Die Vergabe oder der Entzug der Zutrittsberechtigungen werden dokumentiert und regelmäßig überprüft. Zusätzlich sichern Sicherheitstüren und Sicherheitsfenster den Zutritt zu den Räumlichkeiten des AuftragnehmersVerantwortlichen in Textform einzuholen.

Sicherheit der Verarbeitung. 4.1 4.1. Der Auftragnehmer hat die nachfolgen in Ziffer 4.4 aufgeführten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum angemessenen Schutz der Daten, (kurz: „TOM“) implementiert. Bei den zu getroffenen TOMs handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei hat der Auftragnehmer den Stand Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, die der Implementierungskosten und die der Art, des Umfangs, der Umfang Umstände und die der Zwecke der Verarbeitung sowie die unterschiedliche der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos der Risiken für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. 4.2 Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehaltenPersonen, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen. 4.3 Trifft der Auftraggeber eigene angemessene technische und organisatorische Maßnahmen für eine auf den Auftragnehmer übertragene DatenverarbeitungMaßnahmen, so hat ihn damit ein dem Risiko entsprechendes Schutzniveau der Auftragnehmer im Rahmen seiner Möglichkeiten hierbei zu unterstützenpersonenbezogenen Daten des Verantwortlichen gewährleistet ist. 4.4 Technisch-organisatorische 4.2. Diese Maßnahmen nach Art. 32 DSGVO Der Auftragnehmer hat schließen ua folgendes mit ein: Pseudonymisierung und Verschlüsselung; die folgenden Maßnahmen implementiertFähigkeit, die verhinderndauernde Vertraulichkeit, dass Unbefugte Zutritt Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und –dienstleistungen sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; einen Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung. Einzelheiten zu den Räumlichkeiten ergriffenen technischen und organisatorischen Maßnahmen sind in Anhang 3 angeführt. 4.3. Bei der Beurteilung des Auftragnehmers haben: Der Gebäudezutritt ist durch ein biometrisches Fingerscan- Verfahren gesichert. Zusätzlich sind bestimmte Räume angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter vor allem die Risiken, die mit Schließzylindern ausgestattetder Verarbeitung verbunden sind, insbesondere die unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung oder der Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. 4.4. Die Vergabe sowie technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Entzug Weiterentwicklung. Änderungen der Zutrittsberechtigungen erfolgt durch den jeweiligen Kompetenzträger gemäß den für die Vergabe oder den Entzug geltenden internen Regelungen, wobei nur bestimmte Personen berechtigt sindMaßnahmen, die Zugriffsrechte technisch zu vergeben die Integrität, Vertraulichkeit, Verfügbarkeit oder Belastbarkeit der Datenverarbeitung wesentlich beeinträchtigen könnten, sind vom Auftragsverarbeiter mit dem Verantwortlichen vorher abzustimmen; Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und zu entziehendie Verarbeitungsvorgänge nur unwesentlich beeinträchtigen, können vom Auftragsverarbeiter ohne vorherige Abstimmung mit dem Verantwortlichen umgesetzt werden. 4.5. Die Vergabe oder Der Auftragsverarbeiter muss die getroffenen technischen und organisatorischen Maßnahmen nachweisen können. Der Verantwortliche kann jederzeit eine aktuelle Dokumentation der Entzug der Zutrittsberechtigungen werden dokumentiert vom Auftragsverarbeiter getroffenen technischen und regelmäßig überprüft. Zusätzlich sichern Sicherheitstüren und Sicherheitsfenster den Zutritt zu den Räumlichkeiten des Auftragnehmersorganisatorischen Maßnahmen anfordern.

Sicherheit der Verarbeitung. 4.1 4.1. Der Auftragnehmer hat die nachfolgen in Ziffer 4.4 aufgeführten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum angemessenen angemesse- nen Schutz der Daten, (kurz: „TOM“) implementiert. Bei den zu getroffenen TOMs handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung Gewähr- leistung eines dem Risiko angemessenen Schutzniveaus Schutzni- veaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der SystemeSys- teme. Dabei hat der Auftragnehmer den Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. 4.2 4.2. Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt si- chergestellt sein muss, dass das vertraglich vereinbarte verein- barte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber Auftragge- ber in Textform mitzuteilen. 4.3 4.3. Trifft der Auftraggeber eigene technische und organisatorische Maßnahmen für eine auf den Auftragnehmer Auf- tragnehmer übertragene Datenverarbeitung, so hat ihn der Auftragnehmer im Rahmen seiner Möglichkeiten Möglich- keiten hierbei zu unterstützen. 4.4 4.4. Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO Der Auftragnehmer hat die folgenden Maßnahmen implementiertim- plementiert, die verhindern, dass Unbefugte Zutritt zu den Räumlichkeiten des Auftragnehmers haben: Der Gebäudezutritt Ge- bäudezutritt ist durch ein biometrisches Fingerscan- Verfahren gesichert. Zusätzlich sind bestimmte Räume mit Schließzylindern ausgestattet. Die Vergabe sowie der Entzug der Zutrittsberechtigungen erfolgt durch den jeweiligen Kompetenzträger gemäß den für die Vergabe oder den Entzug geltenden internen Regelungenin-ternen Regelun- gen, wobei nur bestimmte Personen berechtigt sind, die Zugriffsrechte technisch zu vergeben und zu entziehen. Die Vergabe oder der Entzug der Zutrittsberechtigungen Zutrittsberechtigun- gen werden dokumentiert und regelmäßig überprüft. Zusätzlich sichern Sicherheitstüren und Sicherheitsfenster Sicherheits- fenster den Zutritt zu den Räumlichkeiten des AuftragnehmersAuftrag- nehmers.

Sicherheit der Verarbeitung. 4.1 Der Auftragnehmer hat die nachfolgen in Ziffer 4.4 aufgeführten technischen und organisatorischen Maßnahmen gemäß Art5.1. Artikel 32 DSGVO zum angemessenen Schutz legt fest, dass der Daten, (kurz: „TOM“) implementiert. Bei den zu getroffenen TOMs handelt es sich um Maßnahmen Datenverantwortliche und der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei hat der Auftragnehmer den Stand Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, die der Implementierungskosten und die der Art, des Umfangs, der Umfang Umstände und die der Zwecke der Verarbeitung sowie die unterschiedliche der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO berücksichtigt. 4.2 Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen. 4.3 Trifft der Auftraggeber eigene geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Datenverantwortliche bewertet die Risiken für eine auf den Auftragnehmer übertragene Datenverarbeitungdie Rechte und Freiheiten natürlicher Personen, so hat ihn die mit der Auftragnehmer Verarbeitung verbunden sind, und richtet Maßnahmen ein, um diese Risiken zu mindern. Je nach Relevanz können die Maßnahmen Folgendes einschließen: a. Pseudonymisierung und Verschlüsselung personenbezogener Daten; b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Rahmen seiner Möglichkeiten hierbei Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu unterstützenihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 4.4 Technisch-organisatorische Maßnahmen nach Art5.2. Gemäß Artikel 32 DSGVO Der Auftragnehmer hat bewertet der Auftragsverarbeiter ebenfalls – unabhängig vom Datenverantwortlichen – die folgenden Maßnahmen implementiertRisiken für die Rechte und Freiheiten natürlicher Personen, die verhindernmit der Verarbeitung verbunden sind, dass Unbefugte Zutritt und setzt Maßnahmen um, um diese Risiken zu mindern. Zu diesem Zweck stellt der Datenverantwortliche dem Auftragsverarbeiter alle für die Ermittlung und Bewertung solcher Risiken erforderlichen Informationen zur Verfügung. 5.3. Darüber hinaus unterstützt der Auftragsverarbeiter den Räumlichkeiten Datenverantwortlichen dabei, die Einhaltung der Verpflichtungen des Auftragnehmers haben: Der Gebäudezutritt ist durch ein biometrisches Fingerscan- Verfahren gesichertDatenverantwortlichen gemäß Artikel 32 DSGVO zu gewährleisten, indem er unter anderem dem Datenverantwortlichen Informationen bezüglich der technischen und organisatorischen Maßnahmen, die bereits vom Auftragsverarbeiter gemäß Artikel 32 DSGVO umgesetzt werden, sowie alle sonstigen Informationen zur Verfügung stellt, die der Datenverantwortliche benötigt, um seine Pflichten gemäß Artikel 32 DSGVO zu erfüllen. Zusätzlich sind bestimmte Räume mit Schließzylindern ausgestattet. Die Vergabe sowie Falls im Anschluss – nach der Entzug der Zutrittsberechtigungen erfolgt Bewertung durch den jeweiligen Kompetenzträger gemäß den Datenverantwortlichen – für die Vergabe oder den Entzug geltenden internen Regelungen, wobei nur bestimmte Personen berechtigt sindMinderung der ermittelten Risiken weitere Maßnahmen vom Auftragsverarbeiter umgesetzt werden müssen, die Zugriffsrechte technisch zu vergeben und zu entziehen. Die Vergabe oder über die bereits vom Auftragsverarbeiter gemäß Artikel 32 DSGVO umgesetzten Maßnahmen hinausgehen, spezifiziert der Entzug der Zutrittsberechtigungen werden dokumentiert und regelmäßig überprüft. Zusätzlich sichern Sicherheitstüren und Sicherheitsfenster den Zutritt zu den Räumlichkeiten des Auftragnehmers.Datenverantwortliche diese zusätzlichen umzusetzenden Maßnahmen in Anlage C.