AV-Vereinbarung eitieCloud – Anlagen
Anlage 1 – Technische und organisatorische Maßnahmen
Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
TOM 1 – Vertraulichkeit
TOM 2 – Integrität
TOM 3 – Verfügbarkeit und Belastbarkeit
TOM 4 – Überprüfung, Bewertung, Evaluierung
TOM 5 – Vernichtung oder Wiederverwendung von Datenträgern
TOM 6 – Rückgabe, Abzug, Übergabe, Herausgabe und Löschung von Auftraggeber-Daten
TOM 7 – Rechenzentrumsausfall, Notfall, Wiederherstellung, Wiederanlauf
Anlage 2 – Zugelassene Subdienstleister
Subunternehmer
(Firma, Ort und Ansprechpartner) |
Leistungsbeschreibung
(Tätigkeit des Subunternehmers) |
EuroConsult Deutschland GmbH | temporäres Hinzuziehen von Experten, die jedoch ausschließlich durch CIS überwacht tätig werden und nur in seltenen Fällen Zugriff auf personenbezogene Daten haben.
Betrieb einer Website für das Qualitätsmanagement im Rahmen der ISO 9001-Zertifizierung |
Cyren GmbH | Email-SPAM-Gateway |
TriumphAdler | Drucker mit Zwischenspeicher-Funktion |
Microsoft Azure & Office 365 | Für den Betrieb von Hosting-Leistungen bei Microsoft |
Microsoft SPLA | Für ggf. anfallende Audits im Rahmen der Lizenznutzung für Service-Provider und deren Kunden |
Karsten Lindner Consulting | SAP-Basis: Betrieb, Monitoring, 2nd-Level-Service |
Anlage 3 – Weisungsberechtige Personen
Folgende Personen sind zur Erteilung von Weisungen an den Auftragnehmer befugt:
(Unverändert wenn nicht angegeben). Der bestehende Stand kann jederzeit sowohl schriftlich als auch telefonisch über die Service-Hotline erfragt werden.
Weisungsberechtigt beim Auftraggeber
Automatisch weisungsberechtigt beim Auftraggeber ist immer die Geschäftsführung. Weitere Auftragsberechtigte können jederzeit von der Geschäftsführung schriftlich benannt werden. Auch die Zurückstufung ist jederzeit schriftlich möglich. Zurückstufen können grundsätzlich:
- Die Geschäftsführung
- Hierarchisch vorgesetzte Mitarbeiter insofern sie dem Auftragnehmer als „weisungsbefugt“ und „hierarchisch vorgesetzt“ bekannt sind
- Weitere schriftlich als weisungsbefugt genannte Mitarbeiter
Empfangsberechtigt beim Auftragsnehmer
Automatisch weisungsbefugt beim Auftragnehmer ist immer die Geschäftsführung, die Projektleitung sowie das Projektmanagement. Weitere Auftragsberechtigte Personen können jederzeit von der Geschäftsführung schriftlich benannt werden. Auch die Zurückstufung ist jederzeit schriftlich möglich. Zurückstufen können grundsätzlich:
- Die Geschäftsführung
- Die Projektleitung (Wird dem Auftraggeber beim Start eines jeden Prozessen mitgeteilt)
Anlage 4 – Regelungen für Fernzugriff
Ein Zugriff auf EDV-Systeme und Daten des Auftraggebers ist im Rahmen der Auftragsverarbeitung durch den Auftragnehmer erforderlich. Daher räumt der Auftraggeber den Mitarbeitern des Auftragnehmers die folgende Möglichkeit des Fernzugriffes ein:
Vollzugriff auf die Konfigurationsdateien aller im Hauptvertrag oder sämtlichen Neben- und Ergänzungsverträgen bereitgestellten Verarbeitungs-Dienstleistungen, Programme, Nutz-, Archiv- und Laufdaten. Der Auftraggeber ist nicht berechtigt, den Fernzugriff für den Auftragnehmer zu sperren da dieser grundlegend für Betrieb, Wartung und Bereitstellung der EDV-Systeme ist. Der Zugriff sowie das Lesen, Kopieren, Übermitteln, Ändern und Löschen von Computerprogrammen und Daten ist nur zulässig, wenn es im Rahmen der Durchführung der Auftragsverarbeitung erforderlich ist.
Wartungsarbeiten und die damit einhergehenden Zugriff von dritten (z.B. weitere Auftragnehmer des Auftraggebers) erfolgen nach schriftlicher Beauftragung. Der Auftraggeber hat in jedem Einzelfall die Möglichkeit, den Zugriff zeitlich zu begrenzen. Weiterhin kann er einen unbegrenzten Zugriff jederzeit widerrufen.
Der Auftragnehmer hat sicherzustellen, dass die Mitarbeiter des Auftragnehmers angemessene technische und organisatorische Maßnahmen ergreifen, um den Zugang zu Computersystemen des Auftragsnehmers durch unbefugte Dritte zu schützen. Die Mitarbeiter des Auftragnehmers haben die Zugangskennungen vertraulich zu behandeln und dürfen diese nicht an Dritte weitergeben oder für andere Personen zugänglich aufbewahren. Beim Zugriff auf Systeme des Auftraggebers sind folgende Sicherheitsanforderungen einzuhalten:
- a) Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen (z.B. SSH, VPN, SFTP); Ausnahmen sind besonders zu begründen.
- b) Fernwartungen dürfen nur von Systeme aus vorgenommen werden, deren Sicherheitsmaßnahmen denen in Anlage 1 entsprechen. Insbesondere muss eine kommerzielle Anti-Malware-Lösung mit tagesaktueller Signatur-Bibliothek vorhanden sein.
- c) Der Auftragnehmer hat das Recht, die Aktivitäten von Fernwartungen zu hinterfragen und die Details zu erfahren, Log-Dateien anzufordern Wartungssitzungen aufzuzeichnen. Der Auftragsnehmer stellt die datenschutz- und mitbestimmungsrechtlichen Grundlagen hierfür in seinem Betrieb sicher.
Der Auftragsnehmer ist verantwortlich für die hinreichende und aktuelle Dokumentation jeglicher Systeme, die sich über einen längeren Zeitraum in der Infrastruktur des Verantwortlichen befinden und die vom Auftragsnehmer installiert, konfiguriert oder betreut werden. Sofern nicht gesondert vereinbart, ist generell die Verwendung von mobilen Datenträgern im Rahmen der Beauftragung untersagt. Ferner dürfen grundsätzlich keine Daten innerhalb der IT-Infrastruktur durch die zugriffsberechtigten Mitarbeiter des Auftragnehmers verschlüsselt werden. Das Schützen von Daten durch Verschlüsselung oder der Kennwortschutz für den lesenden Zugriff ist nicht gestattet. Ausnahmen sind nur mit gesonderter vorheriger Zustimmung des Auftraggebers zulässig.