Technische und organisatorische Sicherheitsmaßnahmen. Für die beauftragte Erhebung und / oder Verarbeitung von personenbezogenen Daten werden folgende Maßnahmen vereinbart:
a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) ▪ Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; ▪ Zugangskontrolle Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei- Faktor-Authentifizierung, Verschlüsselung von Datenträgern; ▪ Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; ▪ Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing; ▪ Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
b) Integrität (Art. 32 Abs. 1 lit. b DS-GVO) Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z. B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; ▪ Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
c) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS- GVO) ▪ Verfügbarkeitskontrolle Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on- site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; ▪ Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
d) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) ▪ Datenschutz-Management; ▪ Incident-Response-Management; ▪ Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO); ▪ Auftragskontrolle Xxxxx Auftragsverarbeitung im Sinne von Art. 28 DS- GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisie...
Technische und organisatorische Sicherheitsmaßnahmen. 4.1 [Technisch organisatorische Maßnahmen]
Technische und organisatorische Sicherheitsmaßnahmen. Die Vertragspartner sind verpflichtet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der personenbezogenen Daten im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Person in angemessener Form gewährleistet ist.
Technische und organisatorische Sicherheitsmaßnahmen. Gemäß Art. 32 DSGVO sind die Vertragspartner verpflichtet, die technischen und organisatorischen Sicherheitsmaßnahmen festzulegen.
a) Innerbetriebliche Organisation des Auftragnehmers Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den beson- deren Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.
b) Konkretisierung der Einzelmaßnahmen Zur Erfüllung der gesetzlichen Anforderungen sind in Art. 32 DSGVO verschiedene Anforderun- gen / Kontrollen definiert. Der Auftragnehmer setzt die Anforderungen in seinem Einflussbereich in Bezug auf diese Vereinbarung um.
Technische und organisatorische Sicherheitsmaßnahmen. 3.1. Der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche müssen TOMs gemäß den geltenden Datenschutzgesetzen implementieren und pflegen. Dazu gehört die Umsetzung und Aufrechterhaltung von TOMs, um ein Sicherheitsniveau zu gewährleisten, das den Risiken oder Schäden für personenbezogene Daten angemessen ist, das dem Schaden angemessen ist, der durch die unbefugte oder unrechtmäßige Verarbeitung oder den versehentlichen Verlust, die versehentliche Zerstörung oder Beschädigung und die Art der zu schützenden Daten entstehen könnte, wobei der Stand der technologischen Entwicklung und die Kosten für die Umsetzung von Maßnahmen zu berücksichtigen sind. Diese Maßnahmen können gegebenenfalls die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit seiner Systeme und Dienste umfassen.
3.2. XXXx unterliegen dem technischen Fortschritt und zukünftigen Entwicklungen. Der Auftragsverarbeiter behält sich das Recht vor, die implementierten Maßnahmen und Sicherheitsvorkehrungen zu ändern, jedoch unter der Voraussetzung, dass die Funktionalität und Sicherheit der Produkte nicht beeinträchtigt wird. Alle wesentlichen sicherheitsrelevanten Entscheidungen über die Organisation der Datenverarbeitung und die angewandten Verfahren werden dem für die Verarbeitung Verantwortlichen mitgeteilt.
3.3. Durch die Nutzung eines Produkts erkennt der für die Verarbeitung Verantwortliche die in dem Vertrag dargelegten und/oder vom Auftragsverarbeiter bereitgestellten TOMs an und bestätigt, dass die TOMs ein angemessenes Schutzniveau in Bezug auf die mit der Verarbeitung personenbezogener Daten verbundenen Risiken bieten.
Technische und organisatorische Sicherheitsmaßnahmen. 5.1 Der Aufbau der Fernwartungsverbindung darf nur durch den Auftraggeber oder einen vom Auftragnehmer zuvor benannten Beauftragten erfolgen und Fernwartungsaufgaben nur begonnen werden, wenn der Auftraggeber oder ein von ihm benannter Beauftragter seine Zustimmung hierzu erteilt hat.
5.2 Die dem Fernwartungspersonal zur Durchführung der Fernwartungstätigkeiten gegebenenfalls offenbarten Passworte sind nach Abschluss der Fernwartungsarbeiten unverzüglich zu ändern.
5.3 Die Fernwartungsaktivitäten des Auftragnehmers können vom Auftraggeber mit Datum und Uhrzeit automatisch protokolliert werden. Zusätzlich können die Fernwartungstätigkeiten auch vom Auftragnehmer protokolliert und in einer Datei aufgezeichnet werden.
5.4 Der Auftraggeber räumt dem Auftragnehmer nur die Zugriffsrechte ein, die zur Durchführung der Fernwartungsarbeiten unerlässlich sind. Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten nur in dem für die Durchführung der Fernwartung unerlässlich notwendigen Umfang Gebrauch machen.
5.5 Der Auftraggeber eine ausreichende Sicherung seines EDV-Systems, insbesondere aktueller Virenscanner und Firewall, sicherzustellen.
5.6 Der Auftraggeber ist berechtigt die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Soweit der Auftragnehmer daran mitwirken muss, gewährleistet er, dass dies möglich ist. Zur Sicherung von Vertraulichkeit, Integrität und Authentizität der übertragenen Daten erfolgt die Datenübertragung zwischen dem Fernwartungsrechner des Auftragnehmers und des Auftraggebers verschlüsselt. Nach Abschluss der Fernwartungsarbeiten wird die Verbindung unverzüglich beendet.
5.7 Auftraggeber Daten, die der Auftragnehmer im Rahmen der Fernwartungstätigkeit erhalten hat, werden von dem Auftragnehmer unverzüglich gelöscht, wenn sie zur Durchführung der Fernwartung nicht mehr erforderlich sind. Daten die im Rahmen dieses Vertrages aufgezeichnet werden, sind hiervon ausgenommen.
5.8 Für die Beurteilung der Zulässigkeit der Fernwartung sowie für die Wahrung der Rechte der Betroffenen bleibt der Auftraggeber verantwortlich. Der Auftragnehmer erkennt an, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften, Betretungsrechten im Rahmen der gesetzlichen Vorschriften, etc..
Technische und organisatorische Sicherheitsmaßnahmen. (1) Der Aufbau der Fernwartungsverbindung darf nur durch den Auftraggeber erfolgen; Fernwartungsarbeiten dürfen nur mit seiner Zustimmung begonnen werden.
(2) Fernwartungsarbeiten dürfen nur begonnen werden, wenn sich das Fernwartungspersonal mit Benutzerkennung und Kennwort angemeldet hat.
(3) Die Software protokolliert die Fernwartungsaktivitäten der Uhlmann & Xxxxxx GmbH mit Datum, Uhrzeit und Benutzerkennung automatisch, überprüft die Protokolle und bewahrt die Protokolle auf.
(4) Der Auftraggeber räumt Uhlmann & Xxxxxx GmbH nur die Zugriffsrechte ein, die diese zur Durchführung der Fernwartungsarbeiten tatsächlich benötigt. Er stellt sicher, dass Xxxxxxx & Xxxxxx GmbH nur insoweit auf gespeicherte personenbezogene Daten zugreifen kann, als dies zur Durchführung der Fernwartungsarbeiten unbedingt notwendig ist.
(5) Xxxxxxx & Xxxxxx GmbH darf von der ihr eingeräumten Zugriffsrechten, nur in dem für die Durchführung der Fernwartungsarbeiten unerlässlich notwendigen Umfang, Gebrauch machen.
(6) Uhlmann & Xxxxxx GmbH darf personenbezogene Daten im Wege eines Filetransfers oder Downloads für Zwecke der Fehleranalyse und -behebung nur dann vom DV-System des Auftraggebers abziehen und auf sein eigenes kopieren, wenn er dafür zuvor die Erlaubnis des Auftraggebers eingeholt hat. Die Erlaubnis durch den Auftraggeber wird mit Zustimmung der Fernwartung erteilt. Der Auftraggeber hat im Anschluss der Fernwartung über das Fernwartungsprotokoll Einsicht auf die übertragenen Daten.
(7) Der Auftraggeber ist berechtigt, die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Soweit Uhlmann & Xxxxxx GmbH daran mitwirken muss, gewährleistet sie, dass dies möglich ist.
(8) Uhlmann & Xxxxxx GmbH muss personenbezogene Daten, die sie bei der Fernwartung erhalten hat, unverzüglich löschen oder dem Auftraggeber zurückgeben, wenn sie für die Durchführung der Fernwartungsarbeiten nicht mehr erforderlich sind. Etwaige, an Uhlmann & Xxxxxx GmbH übergebene Papierausdrucke mit personenbezogenen Daten, muss Uhlmann & Xxxxxx GmbH nach Abschluss der Fernwartungsarbeiten unverzüglich zurückgeben, bzw. vernichten.
Technische und organisatorische Sicherheitsmaßnahmen. 6.1 Der Auftragnehmer gewährleistet die Umsetzung der im Rahmen der ordnungsgemäßen Durchführung der Auftragsarbeiten erforderlichen Sicherheitsmaßnahmen. Dies gilt auch für die Inanspruchnahme eines Subauftragsverarbeiters gemäß Punkt 7 dieser Vereinbarung. Der Auftragnehmer bzw. der Subauftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten, die den Anforderungen der DSGVO, insbesondere nach Art 32 DSGVO, genügen (Details sind der Anlage ./1 zu entnehmen).
6.2 Die erforderlichen technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist der Auftragnehmer berechtigt, alternative adäquate Maßnahmen umzusetzen.
6.3 Der Auftragnehmer verweist in diesem Zusammenhang auf die Terms und Zertifizierungen in der jeweils gültigen Fassung seines Subauftragsverarbeiters gemäß Punkt 7.2, abrufbar unter xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xxx/Xxxxxxxxxx.xxxx?XxxxxxxxXx=00000 bzw. xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxxx-xxxxx/.
6.4 Dem Auftraggeber sind die vom Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten.
Technische und organisatorische Sicherheitsmaßnahmen. Der Auftragsverarbeiter gewährleistet, dass er im Rahmen dieser DATENSCHUTZVEREINBARUNG angemessene technische und organisatorische Maßnahmen ergriffen hat, damit er im Zuge seiner VERARBEITUNG PERSONENBEZOGENER DATEN im Rahmen dieser DSV die Anforderungen des geltenden Datenschutzgesetzes erfüllt und den Schutz der Rechte der BETROFFENEN PERSON sicherstellen kann. Beschreibung der technischen und organisatorischen Mindest-Sicherheitsmaßnahmen, die der AUFTRAGNEHMER zu erfüllen hat:
Technische und organisatorische Sicherheitsmaßnahmen. Der Verantwortliche und der Auftragsverarbeiter werden geeignete technische und organisatori- sche Maßnahmen treffen, um ein, dem Risiko angemessenes Schutzniveau zu gewährleisten. Die derzeit als geeignet angesehenen Maßnahmen des Auftragsverarbeiters sind in Annex 2 die- ses AV-Vertrages beschrieben und werden als geeignete Maßnahmen vereinbart.