Technisch-organisatorische Maßnahmen. (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Technisch-organisatorische Maßnahmen. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1]. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Ak- zeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit eine Prüfung bzw. ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzuset- zen.
Technisch-organisatorische Maßnahmen. 5.1. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird für angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Auftraggebers sorgen, die den Anforderungen des Art. 32 DSGVO genügen. Insbesondere sind die technischen und organisatorischen Maßnah- men dergestalt zu treffen, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sichergestellt sind. Diese technischen und orga- nisatorischen Maßnahmen sind in Anhang 1 dieser Vereinbarung beschrieben. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Ab...
Technisch-organisatorische Maßnahmen. Die Umsetzung der in der Anlage 1 dargelegten „Technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO“ durch den Auftragnehmer vor Beginn der Verarbeitung wird in einem IT- Sicherheitskonzept dokumentiert, das der Auftraggeber auf Anfrage einsehen kann. Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die Dokumentation des IT-Sicherheitskonzeptes enthält Darlegungen zu allen gemäß Art. 32 DSGVO notwendigen Maßnahmen nach den allgemein anerkannten Schutzzielen der IT-Sicherheit, insbesondere der Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit usw. Dabei wird ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau beachtet. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet, soweit damit das dauerhafte physische Vorhalten von Daten des Auftraggebers auf Datenträgern in der Privatwohnung verbunden ist. Zulässig ist jedoch die temporäre Zwischenspeicherung durch den Einsatz von mobilen Geräten (z.B. Laptops, Tablet-PCs, Smartphones etc.), sofern die mobilen Geräte über ausreichende, den anerkannten Standards entsprechende Sicherungseinrichtungen (z.B. VPN-Anbindung, Festplattenverschlüsselung etc.) verfügen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung, so dass es dem Auftragnehmer gestattet ist, adäquate Alternativmaßnahmen umzusetzen. Dabei wird das Sicherheitsniveau der festgelegten Maßnahmen insgesamt nicht unterschritten. Wesentliche Änderungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. (1) Der AN hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem AG zur Prüfung zu übergeben. Bei Akzeptanz durch den AG werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des AG einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Technisch-organisatorische Maßnahmen. (1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogene Daten oder Datenkategorien geeignet sind.
Technisch-organisatorische Maßnahmen. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, soweit ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Die insoweit konkret getroffenen Maßnahmen ergeben sich aus Anlage 2 zu dieser Vereinbarung. Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieses Auftrags sind die technischen und organisatorischen Maßnahmen durch den Auftragnehmer fortlaufend an die Anforderungen dieses Auftrags anzupassen und dem technischen Fortschritt entsprechend weiterzuentwickeln. Das Sicherheitsniveau der hier und in der Anlage 2 festgelegten technischen und organisatorischen Maßnahmen darf nicht unterschritten werden. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber, auf Anfrage, die für die Führung der internen Verarbeitungsübersicht nach DSGVO erforderlichen Angaben zur Verfügung zu stellen.
Technisch-organisatorische Maßnahmen. 4.1 ETRON hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.