Beruflich Dokumente
Kultur Dokumente
zwischen der
aquispej+map+two
, 76227 Karlsruhe/Germany, Deutschland
– Verantwortlicher — nachstehend Auftraggeber genannt –
und der
nubedian GmbH
Maybachstraße 10, 76227 Karlsruhe, Deutschland
– Auftragsverarbeiter — nachstehend Auftragnehmer genannt –
– Mitarbeiter
3 Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten
und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbei-
tung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und
dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden
die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des
Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere
in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei
den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung
eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität,
der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die
Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die
unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freihei-
ten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten
in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt
und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate
Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
6 Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu
verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hier-
zu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen,
Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Da-
tenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, In-
tegrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch
nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und
der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen an-
gemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu
ergreifen.
(2) Die Beauftragung von Unterauftragnehmern oder der Wechsel eines bestehenden Unterauf-
tragnehmers sind zulässig, soweit der Auftragnehmer dies dem Auftraggeber vier Wochen vorab
anzeigt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem
Auftragnehmer Einspruch gegen die geplante Auslagerung erhebt. Der Auftraggeber stimmt
der Beauftragung der in Anlage 2 aufgeführten Unterauftragnehmer zu unter der Bedingung
einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu.
(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragneh-
mer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine
Unterbeauftragung gestattet.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR
stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnah-
men sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden
sollen.
(5) In dem Fall, dass ein Unterauftragnehmer seinerseits einen Unterauftragnehmer beauftragt,
bedarf es der Genehmigung durch den Hauptauftragnehmer; zumindest aber einer Informa-
tion innerhalb einer angemessenen Frist von vier Wochen über die Erfüllung der Vorgaben
nach Abs. 2. Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren
Unterauftragnehmer aufzuerlegen.
über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende
dem Auftraggeber übergeben.
11 Schlussbestimmungen
(1) Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform.
Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.
(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke
enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten
sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen,
die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des
Art. 28 EU-DSGVO am besten gerecht wird.
(3) Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen
den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig
Anlage 1
Stand 22.08.2022
Umsetzung im Rechenzentrum:
Die Geschäftsräume sind stets verschlossen.
Elektrische Türöffner sind vorhanden
Nur autorisierte Mitarbeiter, Auftragnehmer und Besucher haben Zutritt zu den Räumlichkeiten
Die Zutrittsregelung sichert ab, dass Lieferanten und sonstige Externe wie z.B. Dienstleister sich
nur bei Erfordernis in Begleitung in den Geschäftsräumen aufhalten
Mehrstufiges Schließ- und Sicherheitskonzept. Autorisierter Zugriff auf alle Geschäftsbereiche
und Rechenzentren ist möglich abhängig von den Zonen und den beruflichen Verantwortlichkei-
ten des Einzelnen
Die Räume sind von einem Wach- und Sicherheitsdienst gesichert
Videoüberwachung
1.2 Zugangskontrolle
Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.
Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnah-
men hinsichtlich der Benutzeridentifikation und Authentifizierung:
Umsetzung beim Auftragnehmer:
Firewall und Virenschutz auf den PCs und Laptops
Einsatz VPN bei Remote-Zugriffen
Verschlüsselung von Festplatten (PCs / Laptops)
Login mit Benutzername und Passwort
Richtlinie Sicheres Passwort“
”
Allg. Richtlinie Datenschutz und Sicherheit
Kontorichtlinie für PCs / Laptops
Passwortsafe Einsatz
Applikationen: Login mit Email-Adresse und Passwort; Kennwortrichtlinie
Umsetzung im Rechenzentrum:
Verbindung zur Applikation im Rechenzentrum nur über VPN
Es existiert eine Datenzugriff- und Passwortrichtlinie
1.3 Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu ver-
hindern.
Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren
Überwachung und Protokollierung:
Umsetzung beim Auftragnehmer:
Aktenschredder (P3-P4)
Einsatz Berechtigungskonzepte
Applikationen: Rechteverwaltung
Umsetzung im Rechenzentrum:
Protokollierung der An- und Abmeldungen der Benutzer mit Auswertung
Es existiert eine Richtlinie für die Löschung von Festplatten
Backups werden verschlüsselt
1.4 Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung)
von Daten mit unterschiedlichen Zwecken:
Umsetzung beim Auftragnehmer:
Funktionstrennung (Produktion / Test)
Fehlende Möglichkeit eines physikalischen Zugriffs durch dedizierte Rechte und Pflichten
2.2 Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert
oder entfernt (gelöscht) worden sind:
Umsetzung beim Auftragnehmer:
Applikationen: Rechteverwaltung
Umsetzung im Rechenzentrum:
Protokollierung bei Eingabe, Änderung und Löschung von Daten
Regelungen zum Zugriff und zur Löschung der Protokolle
Umsetzung im Rechenzentrum:
DIN ISO 27001-Zertifizierung
Zweistufiges Notstromkonzept über unterbrechungsfreie Stromversorgung (USV).
Schutz gegen Feuer und Wassereintritt
Redundante Systeme
Netzwerksegmente und Systeme sind von außen über eine Firewall geschützt
Bei allen Rechnersystemen werden aktuelle Virenschutzprogramme eingesetzt
Meldewege und Notfallpläne sind definiert
Sicherheitsrichtlinien liegen vor.
Umsetzung im Rechenzentrum:
Zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001
4.2 Incident-Response-Management
Umsetzung beim Auftragnehmer:
Einsatz von Firewall und regelmäßige Aktualisierung
Einsatz von Virenscanner und regelmäßige Aktualisierung
Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
Umsetzung im Rechenzentrum:
Definierte Meldewege und Fristen für Datenschutzvorfälle
24x7 Erreichbarkeit von Notfallkoordinatoren
Aut. Eskalationsmechanismen für erfasste Incidents
4.4 Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung
des Auftraggebers.
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftrag-
geber und Auftragnehmer:
Umsetzung beim Auftragnehmer:
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz
und Datensicherheit)
Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung
Anlage 2: Unterauftragnehmer
Stand 01.10.2022
Unterauftragnehmer Tätigkeiten Zweck Kategorien Betroffene Leistungs-
von Daten standort
rapidmail GmbH, E-Mail Versand Versand der E-Mail- Nutzer Deutschland
Wentzingerstr. 21, E-Mails zur Adresse der (Mitar-
79106 Freiburg i.Br. Bestätigung Nutzer beiter)
der Regis-
trierung,
Benach-
richtigung
en bzgl.
Rundrufe,
etc.
1&1 IONOS Cloud Rechenzentrum: Erbringung Identifikations -Kunden/ Deutschland
GmbH, Greifswalder Hosting und der daten Kom- Klienten/
Str. 207, 10405 Berlin Backups Tätigkeiten munikati- Pati-
onsdaten enten -
-Besondere Mitarbeiter
Art perso-
nenbezoge-
ner Daten
(Gesund-
heitsdaten,
Daten von
Kindern)
netcup GmbH, Daim- Backups Erbringung Identifikations -Kunden/ Deutschland
lerstr. 25, 76185 Karls- der daten Kom- Klienten/
ruhe Tätigkeiten munikati- Pati-
onsdaten enten -
-Besondere Mitarbeiter
Art perso-
nenbezoge-
ner Daten
(Gesund-
heitsdaten,
Daten von
Kindern)
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig