Informationen zur Auftragsverarbeitung

§ 1 Gegenstand und Dauer des Auftrags

  1. Möglicher Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen sind in Anhang 1 beschrieben (und abhängig von der Beauftragung).

§ 2 Weisungen der Auftraggeberin

  1. Die Auftragnehmerin verarbeitet die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen der Auftraggeberin und im Rahmen der getroffenen Vereinbarungen. Daten dürfen nur berichtigt, gelöscht und gesperrt werden, wenn die Auftraggeberin dies anweist.
  2. Ist die Auftragnehmerin der Ansicht, dass eine Weisung der Auftraggeberin gegen datenschutzrechtliche Vorschriften verstößt, hat sie die Auftraggeberin unverzüglich darauf hinzuweisen.

 

§ 3 Technische und organisatorische Maßnahmen

  1. Die Auftragnehmerin verpflichtet sich, für die zu verarbeitenden Daten angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen und zu dokumentieren. Die Dokumentation kann auf Wunsch des Auftraggebers übermittelt werden. Getroffene Sicherheitsmaßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  2. Die getroffenen Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Die Auftragnehmerin darf entsprechende Anpassungen nur vornehmen, wenn diese mindestens das Sicherheitsniveau der bisherigen Maßnahmen erreichen. Soweit nichts anderes bestimmt ist, muss die Auftragnehmerin der Auftraggeberin nur wesentliche Anpassungen mitteilen.
  3. Die Auftragnehmerin unterstützt die Auftraggeberin bei der Einhaltung aller gesetzlichen Pflichten hinsichtlich der einzuhaltenden technischen und organisatorischen Maßnahmen. Die Auftragnehmerin hat auf Anfrage an der Erstellung und der Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten der Auftraggeberin mitzuwirken. Wenn die Auftraggeberin auf Auskünfte der Auftragnehmerin angewiesen ist, wirkt die Auftragnehmerin bei der Erstellung einer Datenschutz-Folgenabschätzung und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden mit. Sie hat der Auftraggeberin alle erforderlichen Angaben und Dokumente auf Anfrage offenzulegen.

 

§ 4 Pflichten der Auftragnehmerin

  1. Die Auftragnehmerin bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Sie gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
  2. Die Auftragnehmerin bietet hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person steht.
  3. Die Auftragnehmerin darf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten der Auftraggeberin zugreifen, wenn dies für die Durchführung der Auftragsverarbeitung zwingend erforderlich ist.
  4. Soweit gesetzlich vorgeschrieben, bestellt die Auftragnehmerin einen Beauftragten für den Datenschutz.
  5. Die Auftragnehmerin verarbeitet die ihr zur Verfügung gestellten personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland oder in einem Mitgliedsstaat der Europäischen Union. 
  6. Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland stattfindet, stellt der Auftragsverarbeiter sicher, dass die besonderen gesetzlichen Voraussetzungen erfüllt sind.
  7. Die Auftragnehmerin unterstützt die Auftraggeberin mit geeigneten technischen und organisatorischen Maßnahmen, damit diese ihre bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann, z.B. die Information und Auskunft an die betroffene Person, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Soweit die Auftraggeberin besonderen gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten unterliegt, unterstützt die Auftragnehmerin die Auftraggeberin hierbei. Auskünfte an die betroffene Person oder Dritte darf die Auftragnehmerin nur nach vorheriger Weisung der Auftraggeberin erteilen. Soweit eine betroffene Person ihre datenschutzrechtlichen Rechte unmittelbar gegenüber der Auftragnehmerin geltend macht, wird die Auftragnehmerin dieses Ersuchen unverzüglich an die Auftraggeberin weiterleiten.

§ 5 Berechtigung zur Begründung von Unterauftragsverhältnissen 

  1. Die Auftragnehmerin darf andere als die in Anhang 2 genannten Unterauftragnehmer nur beauftragen, wenn sie die Auftraggeberin immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch die Auftraggeberin die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Einspruch darf nur aus wichtigem Grund erfolgen.
  2. Ein Unterauftragsverhältnis liegt insbesondere vor, wenn die Auftragnehmerin weitere Auftragnehmer in Teilen oder im Ganzen mit Leistungen beauftragt, auf die sich dieser Vertrag bezieht. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen oder Reinigungskräfte. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Auftraggeberin auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  3. Ein Zugriff auf Daten darf durch den Unterauftragnehmer erst dann erfolgen, wenn die Auftragnehmerin durch einen schriftlichen Vertrag sicherstellt, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber den Unterauftragnehmern gelten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorschriften erfolgt.
  4. Die Inanspruchnahme der in Anhang 2 zum Zeitpunkt der Vertragsunterzeichnung aufgeführten Unterauftragnehmer gilt als genehmigt, sofern die in § 5 Abs. 3 dieses Vertrages genannten Voraussetzungen umgesetzt werden.

 

§ 6 Mitzuteilende Verstöße der Auftragnehmerin

Die Auftragnehmerin unterrichtet die Auftraggeberin unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten der Auftraggeberin mit sich bringen, sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten der Auftraggeberin. Gleiches gilt, wenn die Auftragnehmerin feststellt, dass die bei ihr getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen. Der Auftragnehmerin ist bekannt, dass die Auftraggeberin verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person unverzüglich zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird die Auftragnehmerin die Auftraggeberin bei der Einhaltung ihrer Meldepflichten unterstützen. Sie wird die Verletzungen der Auftraggeberin unverzüglich melden und hierbei zumindest folgende Informationen mitteilen: 

  1. eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
  2. Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  4. eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung. 


§ 7 Beendigung des Auftrags

  1. Nach Abschluss der Auftragsverarbeitung speichert die Auftragnehmerin alle personenbezogenen Daten aufgrund der Gewährleistungspflicht bis zu drei Jahre. Die Daten der Auftraggeberin werden nicht an Dritte weitergegeben.

§ 8 Schlussbestimmungen

  1. Sollte das Eigentum der Auftraggeberin bei der Auftragnehmerin durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die Auftragnehmerin die Auftraggeberin unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände der Auftraggeberin ausgeschlossen.

Auflistung von optionalen Dienstleistungen

Allgemeine technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Die Greven Group GmbH hat die innerbetriebliche Organisation so gestaltet, dass diese den besonderen Anforderungen des Datenschutzes gerecht wird. Die dazu getroffenen Maßnahmen werden im Folgenden detailliert beschrieben.

1. Maßnahmen zur Verschlüsselung
Die personenbezogenen Daten, die sich auf mobilen Endgeräten befinden, werden durch eine Verschlüsselung der Festplatte gesichert. Daneben wird der verschlüsselte Transfer personenbezogener Daten per VPN, https/TPS und per SFTP sichergestellt.

2. Gewährleistung der Vertraulichkeit

2.1 Zutrittskontrolle
Es wird im Folgenden zwischen dem Greven-Serverraum und dem Greven-Bürogebäude selbst unterschieden (beides Neue Weyerstraße 1-3, 50676 Köln).

Serverraum:

Der Zutritt zu Datenverarbeitungs- und Telekommunikationssystemen (Sicherheitsbereich) wird Unbefugten durch folgende Sicherheitsmaßnahmen verwehrt:

Bei dem Serverraum handelt es sich um einen fensterlosen Raum, der mittels einer Einbruchmeldeanlage alarmgesichert ist. Der Kreis der zutrittsberechtigten Personen ist auf diejenigen Mitarbeiter begrenzt, die den Zutritt tatsächlich benötigen (Mitarbeiter der EDV-Abteilung und die Geschäftsführung). Der Serverraum ist mit einem elektronischen Schließsystem versehen (Chip / Token), dessen Zutrittsrechte personifiziert vergeben werden.

Greven-Bürogebäude:

Der Zutritt zu dem Greven-Bürogebäude erfolgt durch ein elektronisches Schließanlagensystem und / oder ein mechanisches Schloss, für die jeweils ein differenziertes Berechtigungskonzept gelten. Die Schlüsselausgabe erfolgt durch eine zentrale Vergabestelle. Während der Bürozeiten können Mitarbeiter das Gebäude nur durch einen Transponder betreten. Neben den Türsicherungen ist darüber hinaus eine Einbruchmeldeanlage, bei dessen Alarmauslösung ein beauftragter Wachdienst, der Leiter der IT-Abteilung und die Geschäftsführung informiert wird, im Einsatz.

Daneben wird das Gebäude videoüberwacht (Bildaufzeichnung).

Es existiert eine besondere Regelung für den Zutritt nicht zutrittsberechtigter Personen (u.a. Besucher, Kunden) zu dem Greven-Bürogebäude. Diese müssen sich persönlich am Empfang an- und abmelden, werden sodann vom jeweiligen Ansprechpartner abgeholt und dürfen sich ohne Begleitung nicht im Gebäude aufhalten. Dazu erfolgt eine schriftliche Dokumentation der Anwesenheitszeiten in einem Besucherbuch.

2.2 Zugangskontrolle

Der grundsätzliche Zugriff auf das Greven-interne Netzwerk wird allen Greven-Mitarbeitern nur über einen Freigabeprozess in Form einer Authentifizierung mit Benutzername und Passwort in der Domäne ermöglicht. Bzgl. des Passwortes existieren Greven-interne verbindliche Passwortparameter. Darüber hinaus ist der Zugriff auf Verzeichnisse und Dateien gesondert geregelt.

Alle Greven-Benutzer werden in einem zentralen Identity Management System (Zentrales Windows-Netzwerk – Einsatz eines Active Directory) verwaltet und erhalten einen eindeutigen Benutzerstammsatz. Es wird sichergestellt, dass nicht mehr benötigte Berechtigungen zeitnah den Benutzern entzogen werden. Alle Benutzer erhalten personifizierte Benutzerkonten.

Alle zur Verarbeitung personenbezogener Daten eingesetzten Datenverarbeitungssysteme sind durch Kenn- / Passwortschutz als Authentifizierungsprüfung geschützt. Für diese eingesetzten Systeme existieren Vorgaben für Kennwörter, u.a. für das Active Directory müssen die Kennwörter nach bestimmten Passwort-Parametern vergeben werden.

Alle zur Datenverarbeitung eingesetzten Benutzernamen und Passwörter werden streng geheim gehalten und gegenüber unbefugten Dritten nicht bekannt gegeben.

Außerdem verwendet Greven im Rahmen der Umsetzung der Maßnahmen zur Zugangskontrolle ein Virtual Private Networks (VPN).

2.3 Zugriffskontrolle

Greven gewährt grundsätzlich nur allen projektbeteiligten Mitarbeitern Zugriff, über die im internen Netzwerk geregelte Zugriffsberechtigung, auf die relevanten Verzeichnisse und Dateien.

Die Systeme, auf denen personenbezogene Daten verarbeitet werden, werden über eine Firewall abgesichert, die regelmäßig durch eigene IT-Mitarbeiter geupdatet wird.

2.4 Weitergabekontrolle

Greven gibt personenbezogene Daten nur dann an Dritte weiter, wenn sie hierzu befugt sind (bspw. im Rahmen einer Auftragsverarbeitung oder Datenübermittlung, die auf einer Rechtsgrundlage beruht).

Der Transfer personenbezogener Daten erfolgt verschlüsselt (per VPN, https / TLS, SFTP).

Daneben erfolgt der Transport von Datenträgern mit personenbezogenen Daten verschlüsselt (verschlüsselte Festplatte).

2.5 Maßnahmen zur Sicherung von Papier-Unterlagen, mobilen Datenträgern und mobilen Endgeräten

Es existiert eine Regelung zur datenschutzgerechten Vernichtung von Daten bzw. Datenträgern. So werden nicht mehr benötigte Datenträger (USB-Sticks, Festplatten), auf denen personenbezogene Daten gespeichert werden können, physikalisch durch die eigene IT zerstört. Die Mitarbeiter sind dazu angehalten worden, ausschließlich solche Speichermedien zu verwenden, die seitens Greven gestellt wurden.

Es steht für die datenschutzgerechte Vernichtung von Papier-Dokumenten (z.B. Ausdrucke) ein spezieller Entsorgungs-Container zur Verfügung. Daneben stehen den Mitarbeitern Schredder zur Verfügung, deren Nutzung angewiesen ist.

Für den sicheren Zugriff auf personenbezogene Daten über das WLAN, VPN oder das Internet wurden angemessene Schutzmaßnahmen implementiert, u.a. eine gesonderte Authentifizierung (s.o.), kontrollierter Zugriff über Firewall, sowie über https und SFTP. Die Schlüssel bzw. Zertifikate werden durch den Anwender selbst sowie der eigenen IT verwaltet.

Weiterhin stellt Greven sicher, dass keine unbefugten Kopien von personenbezogenen Daten durch Greven-Mitarbeiter erfolgen.

2.6 Trennungskontrolle

Greven stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben werden, getrennt verarbeitet werden durch:

  • physische / logische Trennung zu Daten anderer Kunden,
  • Trennung von Produktiv- und Testsystem,
  • getrennte Ordnerstrukturen (Auftragsdatenverarbeitung),
  • separate Tables innerhalb von Datenbanken,
  • getrennte Datenbanken.

3. Gewährleistung der Integrität

Eingabekontrolle
Jeder Mitarbeiter hat nur den erforderlichen Zugriff (Lesen, Ändern, Löschen) auf die im Rahmen seiner Funktion/Rolle erforderlichen Daten, sofern das im Projekt definiert wird.

Berechtigungsvergaben auf schützenswerte Ressourcen werden nachvollziehbar nur durch hierfür autorisierte Personen beantragt und vergeben.

 

4. Gewährleistung der Verfügbarkeit

4.1 Verfügbarkeitskontrolle

Für die Aufbewahrungsdauer von Daten hält sich Greven an die gesetzlichen Anforderungen.

Es sind Backup-Verfahren zur regelmäßigen Datensicherung im Einsatz.

Der Serverraum von Greven ist klimatisiert, verfügt über eine feuerfeste Zugangstür, ist mit Rauchmeldern ausgestattet und an eine Brandmeldeanlage angeschlossen. Daneben befinden sich in dem Serverraum ein CO2-Löscher. Es ist für eine unterbrechungsfreie Stromversorgung (USV) gesorgt.

Daneben sind die IT-Systeme mittels Virenschutz, Anti-Spyware und Spamfilter gegen Datenverlust bzw. unbefugten Datenzugriff geschützt.

Alle beschriebenen Funktionalitäten werden regelmäßig getestet.

4.2 Auftragskontrolle

Ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit externen Dienstleistern gem. Art. 28 DSGVO liegt vor. Ebenso liegen eine eindeutige Vertragsgestaltung, Angebot und Auftragsbestätigung vor. Die Auftragserteilung ist formalisiert und erfolgt entweder über das Auftragsformular (im Greven-Angebot) oder ein Bestellformular seitens des Kunden.

Alle Weisungen zu Änderungen im Verfahrensablauf erfolgen schriftlich. Der Speicher- und Verarbeitungsort der Daten ist vertraglich festgelegt.

Jeder Mitarbeiter hat Arbeitsanweisungen / Richtlinien oder Merkblätter erhalten, die über die Maßnahmen zur Einhaltung des Datenschutzes, sowie der IT-Sicherheit informieren.

Alle zugriffsberechtigten Mitarbeiter sind nachweislich zur Verschwiegenheit verpflichtet. TWT kommt somit der Rechenschaftspflicht im Sinne der Artt. 24 Abs. 1 Satz 1, 5 Abs. 1 lit. f), Abs. 2 DSGVO nach.

Bei Fehlern hinsichtlich der Datenverarbeitung oder Verstoß gegen den Datenschutz erfolgt unverzüglich eine Information an den Auftraggeber.

Die Verarbeitung der Daten durch die Auftragnehmerseite erfolgt primär im Inland bzw. in der EU. Auf die Verarbeitung der Daten durch den Auftraggeber oder sonstige Anwender hat Greven keinen Einfluss. Findet eine Datenverarbeitung außerhalb der EU / des EWR statt, so wird dies gegenüber dem Auftraggeber rechtzeitig angezeigt.

5. Gewährleistung der Belastbarkeit der Systeme

Greven trifft Maßnahmen zur Belastbarkeit der Systeme mittels Monitoring PRTG / Nagios. Daneben werden Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6. Wiederherstellung der Verfügbarkeit

6.1 Backup- und Notfall-Konzept
Es sind Backup-Verfahren zur regelmäßigen Datensicherung im Einsatz. Es existiert nicht nur ein weiterer Server, sondern das Backup läuft auch über Festplatten, die in einem feuerfesten Safe datenträger- und dokumentsicher aufbewahrt werden. Das Backup wird täglich angefertigt und dessen Funktionalität wird regelmäßig überprüft.

Das Backup wird auf einem zweiten redundanten Server gespeichert und befindet sich in einem vom primären Server aus betrachtet getrennten Brandabschnitt.

Daneben existiert ein Notfall-Konzept bei bspw. Brand, Totalverlust. Daneben sind die IT-Systeme mittels Virenschutz, Anti-Spyware und Spamfilter gegen Datenverlust bzw. unbefugten Datenzugriff geschützt.
 

6.2 Redundante Datenspeicherung und Netzanbindung

Greven verfügt über eine redundante Internetanbindung. Verantwortlich für eine unterbrechungsfreie Netzanbindung sind Mitarbeiter der eigenen IT-Abteilung. 

6.3 Doppelte IT-Infrastruktur

Bei Greven ist eine Auslagerung der Datenkopie durch Trennung der Server in unterschiedlichen Brandabschnitten möglich.

 

7. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (externe Prüfungen, Audits, Zertifizierungen)

Die Greven Group GmbH setzt die Maßnahmen, die sie im Rahmen einer Zertifizierung gemäß ISO/IEC 27001 in den Jahren 2012-2014 ergreifen musste, auch weiterhin um.