Datenschutz- und Datensicherheitsbestimmungen (DDsB)für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag(§ 11 Bundesdatenschutzgesetz - BDSG-)bei der hz Soft- & Hardware GmbH in Waiblingen- nachstehend HZ genannt -Präambel Die nachfolgenden Datenschutz- und Datensicherheitsbestimmungen (DDsB) finden Anwendung auf alle Leistungen oder Tätigkeiten, bei denen hz, von ihr eingesetzte Personen oder durch hz mit Einwilligung des Auftraggebers beauftragte Subunternehmer personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen (§ 11 Abs. 1 BDSG). Die DDsB finden weiterhin Anwendung bei der Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (§ 11 Abs. 5 BDSG). Diese Bestimmungen gelten entsprechend auch für alle sonstigen im Auftrag verarbeiteten Daten, unabhängig von der Rechtsform insbesondere für Kundendaten oder eigene Daten des Auftraggebers oder seiner Mitarbeiter und zwar auch dann, wenn sich die folgenden Bestimmungen ausdrücklich auf personenbezogene Daten beziehen.
1. Technisch-organisatorische Maßnahmen hz dokumentiert auf Anforderung des Auftraggebers diesem im Vorfeld der Auftragsvergabe die Umsetzung der dargelegten technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung und übergibt sie dem Auftraggeber zur Prüfung. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, wird dieser einvernehmlich umgesetzt.Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische Maßnahmen hinsichtlich der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabe-Kontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots (vgl. Anlage 2 Technisch-organisatorische Maßnahmen). Auftragsspezifische Maßnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs / Bereitstellung von Daten, Art und Umstände der Verarbeitung / der Datenhaltung sowie Art und Umstände beim Output / Datenversand usw. werden gesondert schriftlich festgelegt.Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit behält sich hz vor, alternative adäquate Maßnahmen umzusetzen. Dabei wird das Sicherheitsniveau der bisher festgelegten Maßnahmen nicht unterschritten. Wesentliche Änderungen werden dokumentiert. hz stellt auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Auftraggeber zur Verfügung.
2. Berichtigung, Sperrung und Löschung von Daten hz berichtigt, löscht oder sperrt die Daten, die im Auftrag verarbeitet werden, nur nach Weisung des Auftraggebers. Soweit ein Betroffener sich unmittelbar an hz zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird hz dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
3. Kontrollen und sonstige Pflichten von hz hz berücksichtigt unabhängig vom jeweiligen Auftrag nach § 11 Abs. 4 BDSG folgende Pflichten:Erfolgte schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, sind auf das Datengeheimnis verpflichtet und werden über die sich aus dem jeweiligen Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt. Die Umsetzung und Einhaltung aller für den jeweiligen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage.Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG bei hz ermittelt. Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch hz im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierzu kann hz dem Auftraggeber auch aktuelle Unterlagen unabhängiger Instanzen (z.B. Datenschutzbeauftragter) vorlegen.
4. Unterauftragsverhältnisse Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden, geschieht dies unter folgenden Voraussetzungen:Die Beauftragung von Unterauftragnehmern durch hz wird grundsätzlich nur mit schriftlicher Zustimmung des Auftraggebers durchgeführt. Ohne schriftliche Zustimmung kann hz zur Vertragsdurchführung unter Wahrung der unter Punkt 3 erläuterten Pflicht zur Auftragskontrolle verbundene Unternehmen sowie im Einzelfall andere Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen. Dies wird dem Auftraggeber vor Beginn der Verarbeitung oder Nutzung mitteilt.hz gestaltet die vertraglichen Vereinbarungen mit dem / den Unterauftragnehmer/n so, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und hz entsprechen. Nicht als Unterauftragsverhältnisse im Sinne dieser DDsB sind solche Dienstleistungen zu verstehen, die hz bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. hz verpflichtet sich jedoch, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
5. Kontrollrechte des Auftraggebers Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit hz durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser DDsB durch hz in deren Geschäftsbetrieb zu überzeugen. hz verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt hz sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist hz dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Datenschutzbeauftragter) erbracht werden.
6. Mitteilung bei Verstößen seitens hz hz erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch hz selbst oder die dort beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb werden solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitgeteilt. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. hz ergreift im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, wird hz ihn hierbei unterstützen.
7. Weisungsbefugnis des Auftraggebers Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (vgl. § 11 Abs. 3 Satz 1 BDSG). Der Auftraggeber kann im Rahmen der zu treffenden Auftragsbeschreibung sein Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung durch Einzelweisungen konkretisieren. Änderungen des Verarbeitungs-Gegenstandes und Verfahrensänderungen werden gemeinsam abgestimmt und dokumentiert. Auskünfte an Dritte oder den Betroffenen erteilt hz nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber. hz erwartet, dass der Auftraggeber mündliche Weisungen unverzüglich schriftlich oder per E-Mail (in Textform) bestätigt. hz verwendet die Daten für keine anderen Zwecke und wird sie insbesondere nicht an Dritte weitergeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. hz informiert den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG, wenn sie der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. hz ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
8. Löschung von Daten und Rückgabe von Datenträgern Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung des Auftrags - händigt hz sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aus oder vernichtet sie nach vorheriger Zustimmung datenschutzgerecht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung wird auf Anforderung vorgelegt. Dokumentationen, die dem Nachweis der Auftrags- und ordnungsgemäßen Datenverarbeitung dienen, werden durch hz entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt. hz kann sie zu ihrer Entlastung bei Vertragsende dem Auftraggeber übergeben.
9. Verarbeitung und Nutzung der Daten Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland erfolgt nur nach vorherigen Zustimmung des Auftraggebers und nur, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. hz Soft- & Hardware GmbHStand: Januar 2016 Anlage zu den DDsB der hz Soft- & Hardware GmbHTechnische und organisatorischeMaßnahmen nach § 9 BDSG und Anlage Aus Gründen der Unternehmenssicherheit (Datenschutz und Datensicherheit) verzichtet hz an dieser Stelle auf weiterführende und detaillierte Angaben zu der gesetzlich geforderten und praktizierten Umsetzung der technischen und organisatorischen Maßnahmen.Diese Angaben werden bei berechtigtem Interesse gegen Aushändigung einer unterschriebenen Verschwiegenheitserklärung zur Einsichtnahme von hz zur Verfügung gestellt.
