Technisch-organisatorische Maßnahmen. Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei werden der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVO) berücksichtigt (1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO. (2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. (3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. (4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 2 contracts
Samples: Data Processing Agreement, Data Processing Agreement
Technisch-organisatorische Maßnahmen. Bei Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systemegeschehen hat. Dabei werden der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVODS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) berücksichtigt
Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (1Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer verpflichtet sich gegenüber ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber zur Einhaltung namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der technischen Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und organisatorischen Maßnahmender Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“44. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlung, die Überlegungen zur Einhaltung Benennungspflicht bzw. Nicht-Benennung bei der anzuwendenden Datenschutzvorschriften erforderlich jeweiligen Stelle zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten45. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist Die Erfüllung dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen Bedingungen muss dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer Auftraggeber im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten46. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernein kompetenter Ansprechpartner benannt werden.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 2 contracts
Samples: Auftragsverarbeitungs Vertrag, Auftragsverarbeitungs Vertrag
Technisch-organisatorische Maßnahmen. Bei (1) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der treffen, die die Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der und Belastbarkeit der SystemeSysteme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
(2) Dabei werden sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (im Sinne von Art. 32 Abs. 1 DSGVO) berücksichtigtDS-GVO zu berücksichtigen [Einzelheiten in Anhang 1].
(13) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen, die zur Einhaltung Maßnahmen vor Beginn der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen MaßnahmenVerarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag beidokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung oder Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(34) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien Wesentliche Änderungen sind sich darüber einigzu dokumentieren.
(5) Der Auftragnehmer gewährleistet, dass seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur Anpassung an technische und rechtliche Gegebenheiten Änderungen regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit zur Gewährleistung der personenbezogenen Daten beeinträchtigen können, wird Sicherheit der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernVerarbeitung einzusetzen.
(46) Der Auftragnehmer Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfte Wirksamkeit wird die von ihm getroffenen technischen auf vorliegende Zertifizierungen (und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollierenggf. weitere Zertifikate) zu Datenschutz oder Informationssicherheit verwiesen, mit deren Vorlage der Nachweis geeigneter Garantien erbracht werden kann.
Appears in 2 contracts
Samples: Auftragsverarbeitungsvertrag, Auftragsverarbeitungsvertrag
Technisch-organisatorische Maßnahmen. Bei Die eigentlichen technisch-organisatorischen Maßnahmen (TOM’s), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, werden in einem Anhang dargestellt. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften des BDSG bzw. des SGB X27 sowie der entsprechenden landesrechtlichen Vorgaben berücksichtigt und einhält sowie dem Auftraggeber nachweist (§3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass sich der Auftraggeber vor Auftragsvergabe (und damit insbesondere vor Vertragsabschluss) „überzeugen“ muss, nicht jedoch, wie dies genau zu geschehen hat. Im Zweifelsfall muss der Auftraggeber der Aufsichtsbehörde gegenüber den zu treffenden Maßnahmen handelt es sich um Maßnahmen Überzeugungsprozess nachweisen. Daher darf hier keine Beschränkung des Überzeugungsprozesses durch den Auftragnehmer erfolgen, indem beispielsweise eine Überzeugung ausschließlich aufgrund des Nachweises von Zertifikaten erfolgt. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Datensicherheit und Auftragsdatenverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich des Schutzbedarfs der VertraulichkeitPatientendaten entsprechenden Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOM’s entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der IntegritätVertrag als solches geändert werden müsste. Daher wird in §3 Xxxxxx 00-00 des Muster-ADV-Vertrages genau auf diesem Umstand hingewiesen. Die landesrechtlichen Vorgaben von Berlin schreiben eine ausdrückliche Protokollierung vor, sodass dies in der Verfügbarkeit sowie Beschreibung der Belastbarkeit TOM’s in der SystemeAnlage entsprechend berücksichtigt werden muss. Dabei werden Hier muss allerdings darauf hingewiesen werden, dass eine Protokollierung nahezu immer die Möglichkeit der Stand Kontrolle von Arbeitnehmern beinhaltet, sodass der TechnikAuftraggeber hier rechtzeitig daran denken muss, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVO) berücksichtigt
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere bei ihm zuständige Arbeitnehmervertretung wie z. B. Personal- oder Betriebsrat in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVOden Prozess zu integrieren.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Adv Vertrag
Technisch-organisatorische Maßnahmen. Bei Die eigentlichen technisch-organisatorischen Maßnahmen (TOM’s), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, werden in einem Anhang dargestellt. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften des BDSG bzw. des SGB X27 sowie der entsprechenden landesrechtlichen Vorgaben berücksichtigt und einhält sowie dem Auftraggeber nachweist (§3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass sich der Auftraggeber vor Auftragsvergabe (und damit insbesondere vor Vertragsabschluss) „überzeugen“ muss, nicht jedoch, wie dies genau zu geschehen hat. Im Zweifelsfall muss der Auftraggeber der Aufsichtsbehörde gegenüber den zu treffenden Maßnahmen handelt es sich um Maßnahmen Überzeugungsprozess nachweisen. Daher darf hier keine Beschränkung des Überzeugungsprozesses durch den Auftragnehmer erfolgen, indem beispielsweise eine Überzeugung ausschließlich aufgrund des Nachweises von Zertifikaten erfolgt. (Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Datensicherheit und Auftragsdatenverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich des Schutzbedarfs der VertraulichkeitPatientendaten entsprechenden Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOM’s entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der IntegritätVertrag als solches geändert werden müsste. Daher wird in §3 Xxxxxx 00-00 des Muster-ADV-Vertrages genau auf diesem Umstand hingewiesen. Die landesrechtlichen Vorgaben von Berlin schreiben eine ausdrückliche Protokollierung vor, sodass dies in der Verfügbarkeit sowie Beschreibung der Belastbarkeit TOM’s in der SystemeAnlage entsprechend berücksichtigt werden muss. Dabei werden Hier muss allerdings darauf hingewiesen werden, dass eine Protokollierung nahezu immer die Möglichkeit der Stand Kontrolle von Arbeitnehmern beinhaltet, sodass der TechnikAuftraggeber hier rechtzeitig daran denken muss, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVO) berücksichtigt
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere bei ihm zuständige Arbeitnehmervertretung wie z. B. Personal- oder Betriebsrat in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVOden Prozess zu integrieren.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Adv Vertrag
Technisch-organisatorische Maßnahmen. Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme3.1. Dabei werden der Stand Unter Berücksichtigung des Stands der Technik, die der Implementierungskosten und die der Art, des Umfangs, der Umfang Umstände und die der Zwecke der Verarbeitung sowie die unterschiedliche der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Arttreffen der Verantwortliche und DIGMED geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutz- niveau zu gewährleisten.
3.2. 32 Abs. 1 DSGVO) berücksichtigt
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung DIGMED hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen, die zur Einhaltung Maßnahmen vor Beginn der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen MaßnahmenVerarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung als zu do- kumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu prüfen und DIGMED Änderungswünsche mitzuteilen. Soweit die technischen und organisatorischen Maßnahmen gem. Anlage 4 vor Beginn 1 von dem Verantwortlichen akzeptiert werden, werden diese neben sonstigen gesetzlichen Vorgaben, denen der Verarbeitung zu diesem Vertrag beiAuftragnehmer unterliegt, Grundlage des Auftrages. Soweit die Prüfung oder ein Audit des Auftraggebers Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.3. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen, die ein dem Risiko angemesse- nen Schutz der personenbezogenen Daten des Verantwortlichen sicherstellen sollen und die den Anforderungen der DSGVO (3Art. 32) genügen. Diese Maßnahmen werden wie folgt festgelegt und sind entsprechend zu doku- mentieren und dem Verantwortlichen vorzulegen: Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zu- griffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie die Einhaltung des Tren- nungsgebots. Darüber hinaus sind auch auftragsspezifische Maßnahmen umzusetzen, insbesondere im Hinblick auf die Art des Datenaustauschs / Bereitstellung von Daten, Art / Umstände der Verarbeitung / der Datenhaltung sowie Art / Umstände beim Output / Datenversand. Die Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, In- tegrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
3.4. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der WeiterentwicklungWeiterent- wicklung. Insoweit ist es dem Auftragnehmer DIGMED gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau Si- cherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien Wesentliche Änderungen sind sich darüber einigzu dokumentieren.
3.5. Der Verantwortliche und DIGMED unternehmen Schritte, um sicherzustellen, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungenihnen unterstellte natürliche Personen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der Zugang zu personenbezogenen Daten beeinträchtigen könnenhaben, wird diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische Union oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernMitgliedstaaten zur Verarbeitung verpflich- tet.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Vertrag Zur Auftragsverarbeitung
Technisch-organisatorische Maßnahmen. (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erfor- derlichen technischen und organisatorischen Maß- nahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftragge- ber werden die dokumentierten Maßnahmen Grund- lage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische Maßnah- men hinsichtlich der Organisationskontrolle, Zu- trittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbar- keitskontrolle sowie des Trennungsgebots (vgl. An- lage ...), sowie andererseits um auftragsspezifische Maßnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs/Bereitstellung von Daten, Art/Umstände der Verarbeitung/der Datenhaltung sowie Art/Umstände beim Output/Datenversand, die – soweit sie sich nicht aus der zugrundeliegen- den Leistungsvereinbarung ergeben - wie folgt ge- sondert beschrieben werden: Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftrag- nehmer gestattet, alternative adäquate Maßnah- men umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumen- tieren. Der Auftragnehmer hat auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Auf- traggeber zur Verfügung zu stellen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbin- dung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen ange- messenen Schutzniveaus hinsichtlich der VertraulichkeitVertrau- lichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei werden sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit Eintrittswahrscheinlich- keit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (im Sinne von Art. 32 Abs. 1 DSGVO) berücksichtigt
(DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen].
(3) Die technischen und organisatorischen Maßnahmen Maß- nahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau Sicher- heitsniveau der festgelegten Maßnahmen nicht unterschritten un- terschritten werden. Die Parteien Wesentliche Änderungen sind zu dokumentieren. Ziffer 3 des Vertrages entspricht Art. 28 Abs. 3 S. 2 lit. c DS-GVO. Dass sich darüber einigdie Bewertungsgrundlage von § 9 BDSG auf Art. 32 DS-GVO verschiebt, dass zur Anpassung an technische ist unschädlich und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit Rahmen der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernVertragsauslegung zu berücksichti- gen.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Technisch-organisatorische Maßnahmen. Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme3.1. Dabei werden der Stand Unter Berücksichtigung des Stands der Technik, die der Implementierungskosten und die der Art, des Umfangs, der Umfang Umstände und die der Zwecke der Verarbeitung sowie die unterschiedliche der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Arttreffen der Verantwortliche und EUROBASE geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemes- senes Schutzniveau zu gewährleisten.
3.2. 32 Abs. 1 DSGVO) berücksichtigt
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung EUROBASE hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen, die zur Einhaltung orga- nisatorischen Maßnahmen vor Beginn der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen MaßnahmenVerarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Auf- tragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Der Verant- wortliche hat die technischen und organisatorischen Maßnahmen zu prüfen und EUROBASE Ände- rungswünsche mitzuteilen. EUROBASE ist berechtigt, Änderungswünsche abzulehnen und/oder unter den Vorbehalt der Kostenübernahme durch den Verantwortlichen zu stellen. Soweit die technischen und organisatorischen Maßnahmen gem. Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei2 von dem Verantwortlichen akzeptiert werden, werden diese ausschließliche Grundlage des Auftrages i.S.d. Ziffer 2.3. Soweit die Prüfung oder ein Audit des Auftraggebers Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.3. Der Verantwortliche ist im Rahmen dieser Vereinbarung allein verantwortlich für die Beurteilung der An- gemessenheit der technischen und organisatorischen Maßnahmen. EUROBASE setzt die vom Verant- wortlichen geprüften Maßnahmen entsprechend dem gemäß Ziffer 3.2 dokumentierten Umfang um.
3.4. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen, die den angemessenen Schutz der Daten des Verantwortlichen treffen und die den Anforderungen des Bundesdatenschutzge- setzes (3Anlage zu § 9 BDSG) bzw. der DSGVO (Art. 32) genügen. Diese Maßnahmen werden wie folgt festgelegt und sind entsprechend zu dokumentieren und dem Verantwortlichen vorzulegen: Organisati- onskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskon- trolle, Verfügbarkeitskontrolle sowie des Trennungsgebots, sowie andererseits um auftragsspezifische Maßnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs / Bereitstellung von Daten, Art / Umstände der Verarbeitung / der Datenhaltung sowie Art / Umstände beim Output / Datenversand. Die Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung per- sonenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Be- wertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Ge- währleistung der Sicherheit der Verarbeitung.
3.5. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer EUROBASE gestattet, alternative adäquate Maßnahmen umzusetzenumzuset- zen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien We- sentliche Änderungen sind sich darüber einigzu dokumentieren. EUROBASE hat auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Verantwortlichen zur Verfügung zu stellen.
3.6. Der Verantwortliche und EUROBASE unternehmen Schritte, um sicherzustellen, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungenihnen unterstellte natürliche Personen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der Zugang zu personenbezogenen Daten beeinträchtigen könnenhaben, wird diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische Union oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernMitgliedstaaten zur Verarbeitung verpflichtet.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Auftragsdatenverarbeitungsvertrag
Technisch-organisatorische Maßnahmen. Bei Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit Datensicher- heit und zur Gewährleistung eines dem Risiko entsprechenden angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der SystemeSysteme zu schaffen. Dabei werden sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit Eintrittswahr- scheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (im Sinne von Art. 32 Abs. 1 DSGVO) berücksichtigt
(1) DS-GVO zu berücksichtigen. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen, die zur Einhaltung Maßnahmen vor Beginn der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen MaßnahmenVerarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen: xxxxx://xxxxxx-xxxxxxxxx.xx/xxxxxxxxx/ Akzeptiert der Verarbeitung zu diesem Vertrag beiAuftraggeber die dokumentierten Maßnahmen, so werden sie Grundlage dieses AVV. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau Sicherheits- niveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien Wesentliche Änderungen sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der zu dokumentieren. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen erforderlich werden könnenMaßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des gel- tenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Wesentliche ÄnderungenSoweit sich aus einer Prüfung bzw. einem Audit des Auftraggebers die Erkenntnis ergibt, dass Anpassungsbedarf besteht, ist dieser einvernehmlich umzusetzen. Gehen die Anforderungen des Auftraggebers an das Schutzniveau über das hinaus, was der Auftraggeber im Vorfeld akzeptiert hat und handelt es sich dabei um keine Anforderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem für sämtliche anderen Auftraggeber abstimmen. Maßnahmenohnehin umsetzen muss, so kann der Auftragnehmer für die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können Umsetzung eine angemessene Vergütung vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernverlangen.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Data Processing Agreement
Technisch-organisatorische Maßnahmen. Bei Die eigentlichen technisch-organisatorischen Maßnahmen (TOMs), welche der Auftragnehmer zum Schutz der ihm anvertrauten Daten trifft, können in einem Anhang (Opt. unter Abs. 2) dargestellt werden. Hier wird vertraglich festgehalten, dass der Auftragnehmer die Vorschriften der DS-GVO berücksichtigt und einhält sowie dem Auftraggeber nachweist (§ 3 Ziff. (2)). Der Gesetzgeber schreibt vor, dass der Auftragnehmer hinreichende Garantien dafür bieten muss, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, nicht jedoch, wie dies genau zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systemegeschehen hat. Dabei werden der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVODS-GVO gibt allerdings Rahmenbedingungen vor, die einzuhalten sind. Insbesondere muss der Stand der Technik berücksichtigt werden, aber auch die Implementierungskosten sowie die Eintrittswahrscheinlichkeit einer Datenpanne und das Risiko für die betroffene(n) berücksichtigt
Person(en). Der Auftraggeber muss ggf. der Aufsichtsbehörde gegenüber den Auswahlprozess und die diesbezüglich zugrundeliegenden Beurteilungskriterien nachweisen. Daher darf bzgl. des Nachweises, xxxxx der Auftragnehmer aus Sicht des Auftraggebers für die Verarbeitung geeignet ist, keine Beschränkung durch den Auftragnehmer erfolgen. Eine Beschränkung von Seiten des Auftragnehmers auf eine ausschließliche Beurteilung auf der Grundlage von Zertifikaten wäre beispielsweise unzulässig. (1Abgesehen davon hätte speziell diese Regelung den Nachteil, dass der Auftragsverarbeitungsprozess sofort beendet werden müsste, wenn das Zertifikat einmal nicht verlängert würde.) Verweigert der Auftragnehmer die Umsetzung bzw. Anpassung der aus Sicht des Auftraggebers mindestens zur Gewährleistung des Schutzbedarfs der Patientendaten erforderlichen Maßnahmen, so kann dies die Datenverarbeitung durch den Auftragnehmer rechtswidrig machen. Daher müssen die TOMs entsprechend den sich wandelnden Gegebenheiten angepasst werden können, ohne dass damit der Vertrag als solches geändert werden müsste. Daher wird in § 3 Zeilen 13-18 des Muster-AV-Vertrages genau auf diesem Umstand hingewiesen. Datenschutzbeauftragter Der Auftrag darf nur erteilt werden, wenn bei Vorliegen einer gesetzlichen Benennungspflicht beim Auftragnehmer verpflichtet sich gegenüber ein ordentlich benannter Datenschutzbeauftragter vorhanden ist, welcher dem Auftraggeber zur Einhaltung namentlich mitgeteilt werden muss (§ 7 Ziff. 8). Als fachliche Voraussetzungen verweist die DS-GVO in Art. 37 Abs. 5 insbesondere auf das Fachwissen, das der technischen Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und organisatorischen Maßnahmender Datenschutzpraxis besitzt, sowie die Fähigkeit, seine Aufgaben gemäß Art. 39 DS-GVO zu erfüllen. Die Artikel-29-Datenschutzgruppe veröffentlichte am 13.12.2016 eine Leitlinie sowie ein FAQ bzgl. des Themas „Datenschutzbeauftragter“34. Die Artikel-29-Datenschutzgruppe geht in dieser Leitlinie u. a. auf die Bestellpflicht ein, Da in sämtlichen bisher bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG an der aktuell in Deutschland geltenden Bestellpflicht festgehalten wird, greift die deutsche Bestellpflicht früher als die DS-GVO, so dass diese Empfehlungen für Deutschland wohl nicht anwendbar sind; abgesehen vielleicht von der Empfehlung, die Überlegungen zur Einhaltung Benennungspflicht bzw. Nicht-Benennung bei der anzuwendenden Datenschutzvorschriften erforderlich jeweiligen Stelle zu dokumentieren. Bzgl. der fachlichen Qualifikation werden einerseits ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der DS-GVO verlangt, andererseits bzgl. des Wissens in technischen Angelegenheiten ein ausreichendes Verständnis der Verarbeitungstätigkeiten vorausgesetzt; die Artikel-29-Datenschutzgruppe stellt zugleich klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können. Der Düsseldorfer Kreis veröffentlichte die Mindestanforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten35. Dies sind, wie es der Titel schon besagt, die Mindestanforderungen, die für eine ordnungsgemäße Bestellung unabdingbar sind. Dies beinhaltet insbesondere die Vorgaben zur Sicherheit der Verarbeitung aus Art. 28 Abs. 3 lit. c, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.
(2) Der Auftragnehmer fügt den zum Zeitpunkt des Vertragsschlusses bestehenden Stand der technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung als Anlage 4 vor Beginn der Verarbeitung zu diesem Vertrag bei. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist Die Erfüllung dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen Bedingungen muss dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer Auftraggeber im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt Rahmen seiner Überzeugungsbildung nachgewiesen werden. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) veröffentlichte ein berufliches Leitbild des Datenschutzbeauftragten36. Darin werden z. T. Anforderungen beschrieben, die über die Ansprüche des Düsseldorfer Kreises hinausgehen. Es orientiert sich sowohl an den verpflichtenden Aufgaben gemäß DS-GVO, beschreibt aber auch Aufgaben, bei denen der Datenschutzbeauftragte die Verantwortlichen unterstützen kann. Es ist wünschenswert, dass der Datenschutzbeauftragte des Auftragnehmers dem beruflichen Leitbild des BvD genügt; für die Auftragsvergabe ist dies jedoch keine zwingende Voraussetzung. Sofern keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines Datenschutzbeauftragten in Anbetracht der Sensibilität der Daten, der gesetzlichen Kontroll-, Prüf- und Dokumentationspflichten sowie der evtl. durchzuführenden Datenschutzfolgeabschätzung empfehlenswert. Zwingend muss aber dem Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordernein kompetenter Ansprechpartner benannt werden.
(4) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
Appears in 1 contract
Samples: Auftragsverarbeitungs Vertrag