Technisch-organisatorische Maßnahmen. (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. 3.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Die aktuellen und dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen finden sie unter:
3.2 Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO sicherzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu geschehen hat. Art. 32 Abs. 1 DS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Ab...
Technisch-organisatorische Maßnahmen. 5.1. Der Auftragnehmer wird in seinem Verantwortungsbe- reich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Daten- schutzes gerecht wird. Er wird angemessene technische und organisatorische Maß-nahmen zum Schutz der per- sonenbezogenen Daten des Auftraggebers treffen, die den Anforderungen des Art. 32 DSGVO genügen. Ins- besondere sind die technischen und organisatorischen Maßnahmen dergestalt zu treffen, dass die Vertraulich- keit, Integrität, Verfügbarkeit und Belastbarkeit der Sys- teme und Dienste im Zusammenhang mit der Datenver- arbeitung auf Dauer sichergestellt sind. Diese techni- schen und organisatorischen Maßnahmen sind in An- hang 1 dieser Vereinbarung beschrieben. Dem Auftrag- geber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung da- für, dass diese für die Risiken der zu verarbeitenden Da- ten ein angemessenes Schutzniveau bieten.
5.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiter- entwicklung. Insoweit ist es dem Auftragnehmer gestat- tet, alternative adäquate Maßnahmen umzusetzen. Da- bei darf das Sicherheitsniveau der festgelegten Maß- nahmen nicht unterschritten werden. Wesentliche Ände- rungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. Die technischen und organisatorischen Maßnahmen (TOMs) unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren. Einzelheiten sind dem Anhang zu entnehmen.
Technisch-organisatorische Maßnahmen. (1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogene Daten oder Datenkategorien geeignet sind.
(2) Daher werden die in der Anlage beschriebenen technisch-organisatorischen Maßnahmen des Auftragnehmers als verbindlich festgelegt.
(3) Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
(4) Die Datensicherheitsmaßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden.
(5) Wesentliche Änderungen sind vom Auftragnehmer mit dem Auftraggeber schriftlich abzustimmen.
Technisch-organisatorische Maßnahmen. Die Umsetzung der in der Anlage 1 dargelegten „Technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO“ durch den Auftragnehmer vor Beginn der Verarbeitung wird in einem IT- Sicherheitskonzept dokumentiert, das der Auftraggeber auf Anfrage einsehen kann. Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die Dokumentation des IT-Sicherheitskonzeptes enthält Darlegungen zu allen gemäß Art. 32 DSGVO notwendigen Maßnahmen nach den allgemein anerkannten Schutzzielen der IT-Sicherheit, insbesondere der Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit usw. Dabei wird ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau beachtet. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet, soweit damit das dauerhafte physische Vorhalten von Daten des Auftraggebers auf Datenträgern in der Privatwohnung verbunden ist. Zulässig ist jedoch die temporäre Zwischenspeicherung durch den Einsatz von mobilen Geräten (z.B. Laptops, Tablet-PCs, Smartphones etc.), sofern die mobilen Geräte über ausreichende, den anerkannten Standards entsprechende Sicherungseinrichtungen (z.B. VPN-Anbindung, Festplattenverschlüsselung etc.) verfügen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung, so dass es dem Auftragnehmer gestattet ist, adäquate Alternativmaßnahmen umzusetzen. Dabei wird das Sicherheitsniveau der festgelegten Maßnahmen insgesamt nicht unterschritten. Wesentliche Änderungen sind zu dokumentieren.
Technisch-organisatorische Maßnahmen. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erfor- derlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbeson- dere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen An- passungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Technisch-organisatorische Maßnahmen. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, soweit ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Die insoweit konkret getroffenen Maßnahmen ergeben sich aus Anlage 2 zu dieser Vereinbarung. Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieses Auftrags sind die technischen und organisatorischen Maßnahmen durch den Auftragnehmer fortlaufend an die Anforderungen dieses Auftrags anzupassen und dem technischen Fortschritt entsprechend weiterzuentwickeln. Das Sicherheitsniveau der hier und in der Anlage 2 festgelegten technischen und organisatorischen Maßnahmen darf nicht unterschritten werden. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber, auf Anfrage, die für die Führung der internen Verarbeitungsübersicht nach DSGVO erforderlichen Angaben zur Verfügung zu stellen.
Technisch-organisatorische Maßnahmen. Die Auftragnehmerin gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Orga- nisation so aus, dass sie den besonderen Anforderungen des Datenschutzes, insbesondere der Art. 28 bis Art. 32 EU-DS-GVO gerecht wird. Sie trifft und dokumentiert die hinsichtlich der konkreten Auftragsdurchführung erforderlichen technischen und organisatorischen Maßnahmen und wird die Dokumentationen der Auftraggeberin vor Beginn der Verarbei- tung zur Prüfung zur Verfügung stellen. Bei Akzeptanz durch die Auftraggeberin werden die in der Anlage zu diesem Vertrag dokumentierten Maßnahmen Grundlage des Auftrags. Bei einem festgestellten Anpassungsbedarf werden die Parteien diesen einvernehmlich umset- zen.