Technisch-organisatorische Maßnahmen (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technische Maßnahmen Organisatorische Maßnahmen Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Sicherheitsleistung 13.1 Der Netzbetreiber kann in begründeten Einzelfällen eine angemessene Sicherheitsleistung vom Lieferanten verlangen. Kommt der Lieferant einem schriftlichen Verlangen nach Sicherheitsleis- tung oder Vorauszahlung nach Ziffer 13.5 nicht binnen 14 Kalendertagen nach, darf der Netzbe- treiber die Netznutzung ohne weitere Ankündigung unterbrechen, bis die Sicherheit geleistet ist.
13.2 Als begründeter Fall gilt insbesondere, wenn
(a) der Lieferant mit fälligen Zahlungen trotz Mahnung wiederholt im Verzug ist,
(b) gegen den Lieferanten Zwangsvollstreckungsmaßnahmen eingeleitet sind,
(c) die vom Netzbetreiber über den Lieferanten eingeholte Auskunft einer allgemein im Geschäftsleben anerkannten Auskunftei (z. B. Creditreform) über seine wirtschaftlichen Verhältnisse die begründete Besorgnis erhärtet, der Lieferant werde den Verpflichtungen aus diesem Vertrag nicht nachkommen,
(d) ein nicht offensichtlich unbegründeter Antrag auf Eröffnung des Insolvenzverfahrens über das Vermögen des Lieferanten vorliegt.
13.3 Als angemessen gilt eine Sicherheitsleistung, wenn sie dem zweifachen voraussichtlichen monat- lichen Entgelt nach diesem Vertrag entspricht.
13.4 Der Netzbetreiber kann erst nach fruchtlosem Ablauf einer nach Verzugseintritt gesetzten ange- messenen Frist die Sicherheit in Anspruch nehmen. Die Fristsetzung kann zusammen mit der Mahnung erfolgen.
13.5 Der Lieferant ist berechtigt, die Sicherheitsleistung durch monatliche Vorauszahlungen abzuwen- den. Vorauszahlungen werden bei der nächsten Abrechnung verrechnet.
13.6 Soweit der Netzbetreiber Sicherheitsleistung verlangt, kann diese auch in Form einer selbst- schuldnerischen Bürgschaft nach deutschem Recht eines EU-Geldinstituts mit Verzicht auf die Einrede der Vorausklage und mit der Verpflichtung zur Zahlung auf erstes Anfordern erbracht werden. Barsicherheiten werden zum jeweiligen Basiszinssatz verzinst.
13.7 Eine Sicherheit ist unverzüglich zurückzugeben, wenn die Voraussetzungen für die Erhebung entfallen sind.
Technische und organisatorische Maßnahmen (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
(3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
(4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
(6) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
(7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
(8) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.
Sicherheitsleistungen 4.6.1 Die HIG macht die Benutzung der Eisenbahninfrastruktur von der Leistung einer angemessenen Sicherheit abhängig, wenn Zweifel an der Zahlungsfähigkeit des Zugangsberechtigten bestehen. Dies gilt nicht für Zugangsberechtigte im Sinne des § 1 Abs. 12 Nr. 2 Buchstabe a und c ERegG.
4.6.2 Zweifel an der Zahlungsfähigkeit des Zugangsberechtigten bestehen dann, wenn Daten einer Bonitätsbewertungsagentur oder einer anderen professionellen Bewertungs- oder Kreditscoring- Einrichtung annehmen lassen, dass Zahlungen durch den Zugangsberechtigten nicht geleistet werden können. Diese Daten dürfen höchstens zwei Jahre alt sein.
4.6.3 Angemessen ist eine Sicherheitsleistung in Höhe des jeweils in einem Monat (Sicherungszeitraum) voraussichtlich zu entrichtenden Gesamtentgeltes für bereits vereinbarte oder erfahrungsgemäß in Anspruch genommen Leistungen. Dabei gilt Folgendes: - Sicherheit ist in Höhe des für den Rest des laufenden Monats voraussichtlich insgesamt zu entrichtenden Entgeltes zu leisten. Im Anschluss daran ist Sicherheit jeweils in Höhe des für den Folgemonat voraussichtlich insgesamt zu entrichtenden Entgeltes zu leisten. - Werden für einen Sicherungszeitraum, für den bereits Sicherheitsleistung erbracht wurde, weitere Leistungen vereinbart, ist zusätzlich Sicherheit für das hierfür voraussichtlich zu entrichtende Entgelt zu leisten. - Die Sicherheitsleistung kann gemäß § 232 BGB oder durch Bankbürgschaft (selbstschuldnerisch, auf erstes Anfordern und unter Verzicht auf die Einrede der Voraus- klage) erbracht werden. Die Bürgschaft einer Bank, die von einer Rating-Agentur mit dem Non- Investment Grade versehen wurde, wird nicht akzeptiert. - Der Betreiber der Schienenwege macht das Verlangen nach Sicherheitsleistung in Textform geltend. Für die Fälligkeit der Sicherheitsleistung gilt Folgendes: - Ist Entgelt für den Rest des laufenden Monats zu sichern, muss die Sicherheitsleistung binnen fünf Bankarbeitstagen nach Zugang des Sicherungsverlangens, jedenfalls aber vor Leistungsbeginn erbracht sein. - Ist Entgelt für einen Folgemonat zu sichern, muss die Sicherheitsleistung spätestens zwei Arbeitstage vor dem Beginn des Folgemonats erbracht sein. Arbeitstage sind alle Tage außer Feiertage, Samstage und Sonntage. - Ist Entgelt für weitere in einen Sicherungszeitraum, für den bereits Sicherheitsleistung erbracht wurde, fallende Leistungen zu sichern, muss die hierauf entfallende Sicherheitsleistung spätestens zwei Arbeitstage vor Leistungsbeginn erbracht sein. Ist dies aufgrund kurzfristig vereinbarter Leistungen nicht mehr zeitgerecht möglich, muss die Sicherheitsleistung jedenfalls vor Leistungsbeginn erbracht sein. - Kann der Betreiber der Schienenwege die rechtzeitige Erbringung der Sicherheitsleistung nicht feststellen, ist er ohne weitere Ankündigung zur Leistungsverweigerung berechtigt, bis die Sicherheitsleistung nachweislich erbracht worden ist. - Der Zugangsberechtigte kann die Sicherheitsleistung durch Entgeltvorauszahlung abwenden.
Inbetriebnahme Die Inbetriebnahme der Wärmeübergabestation erfolgt durch das Fernwärmeversorgungsunternehmen oder einen durch diese beauftragten Fachbetrieb.
Sicherheit der Verarbeitung (a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann.
Verwertung von Sicherheiten (1) Wahlrecht der Bank
(2) Erlösgutschrift nach dem Umsatzsteuerrecht
Vorauszahlung, Sicherheitsleistung 1. Der Netzbetreiber kann vom Netzkunden eine Vorauszahlung verlangen, wenn nach den Umständen des Einzelfalles zu erwarten ist, dass der Netzkunde seinen Zahlungsverpflichtungen nicht oder nicht zeitgerecht nachkommt (z.B. wiederholte erfolglose Mahnung oder wenn über den Netzkunden das Schuldenregulierungsverfahren eröffnet wurde oder wenn der Netzkunde insolvent ist). Die Aufforderung zur Vorauszahlung hat schriftlich zu erfolgen und ist zu begründen.
2. Die Vorauszahlung bemisst sich an der in Anspruch genommenen Netzdienstleistung des vorangegangenen Abrechnungszeitraums oder nach der durchschnittlichen in Anspruch genommenen Netzdienstleistung vergleichbarer Netzkunden und darf die Teilbetragszahlungen für einen Zeitraum von 3 Monaten nicht übersteigen. Wenn der Netzkunde glaubhaft macht, dass seine Inanspruchnahme der Netzdienstleistung für die zukünftige Abrechnungsperiode erheblich geringer ist, so ist dies vom Netzbetreiber angemessen zu berück- sichtigen. Der Netzbetreiber kann die Vorauszahlung nur in Teilbeträgen verlangen, wenn der Netzbetreiber Abschlagszahlungen erhebt. Die Anzahl der Teilbeträge muss dabei mindestens so hoch sein, wie die Anzahl der Abschlagszahlungen. Die Vorauszahlung wird bei der nächsten Abrechnung berücksichtigt.
3. Statt eine Vorauszahlung zu verlangen, kann der Netzbetreiber die Leistung einer Sicherheit (Barkaution, Hinterlegung von Sparbüchern) in angemessener Höhe akzeptieren. Barkautionen werden zum jeweiligen Basiszinssatz der Österreichischen Nationalbank verzinst.
4. Der Netzbetreiber kann sich aus der Sicherheit schadlos halten, wenn der Netzkunde im Verzug ist und er nach einer erneuten Mahnung nicht unverzüglich seinen Zahlungsverpflichtungen nachkommt. Die Sicherheit wird zurückgegeben, wenn ihre Voraussetzungen weggefallen sind.
5. Bei ordnungsgemäßer Begleichung der Zahlungen über einen Zeitraum von sechs Monaten ist die Sicherheitsleistung zurückzustellen bzw. von einer Vorauszahlung abzusehen, solange nicht erneut ein Zahlungsverzug eintritt. Bei einer Barsicherheit ist diese zum jeweiligen Basiszinssatz der Österreichischen Nationalbank zu verzinsen.
6. Wird eine Sicherheitsleistung oder Vorauszahlung gefordert, hat jeder Netzkunde ohne Lastprofilzähler, stattdessen das Recht auf Nutzung eines Zählgerätes mit Prepayment-Funktion.
Vertreter des Versicherungsnehmers Wird der Vertrag von einem Vertreter des Versicherungsnehmers geschlossen, so sind bei der Anwendung von Nr. 1 und 2 sowohl die Kenntnis und die Arglist des Vertreters als auch die Kenntnis und die Arglist des Versicherungsnehmers zu berücksichtigen. Der Versicherungsnehmer kann sich darauf, dass die Anzeigepflicht nicht vorsätzlich oder grob fahrlässig verletzt worden ist, nur berufen, wenn weder dem Vertreter noch dem Versicherungsnehmer Vorsatz oder grobe Fahrlässigkeit zur Last fällt.
