Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt

Suche

Erweiterte Suche Tipps und Tricks

Alle Dokumente

Suchmaske und Trefferliste maximieren
 


Hinweis

Dokument

  in html speichern drucken pdf Dokument Ansicht maximierenDokumentansicht maximieren
Einzelvorschrift
Aktuelle Gesamtvorschrift
Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift
Normgeber:Ministerium für Umwelt, Klima und Energiewirtschaft
Aktenzeichen:5/1-0272.3 VwV SKDV BW
Erlassdatum:12.11.2019
Fassung vom:12.11.2019
Gültig ab:30.01.2020
Gültig bis:31.10.2026
Quelle:Wappen Baden-Württemberg
Gliederungs-Nr:2129-1, 2800
Fundstelle:GABl. 2020, 27
 

Anlage 9
(zu Nummer 8.3.4 und 9.3.1)



Auftragsdatenverarbeitung durch die LUBW
für öffentliche Stellen



Die Anlage enthält die Vorgaben nach Art. 28 DS-GVO zur Auftragsverarbeitung durch die LUBW für die öffentlichen Stellen i.S.d. § 2 Absatz 1 Satz 1 LDSG sowie für die öffentlichen Stellen anderer Länder und des Bundes.



Die Vorgaben zur Datenverarbeitung durch staatliche Stellen des Landes sind im Wege der Weisung gem. § 3 LVG durch die Ressorts als Fachaufsichtsbehörden festgelegt. Die Städte und Gemeinden sowie die Landkreise als Selbstverwaltungskörperschaften haben diese Vorgaben gebilligt. Die übrigen Stellen haben diese Vorgaben mit ihrem Beitritt gebilligt.



§ 1
Gegenstand des Auftrags



(1) Der Auftragnehmer (als Auftragsverarbeiter nach Artikel 4 Nr. 8 und Artikel 28 DS-GVO) verarbeitet personenbezogene Daten im Auftrag der Auftraggeber (als Verantwortliche nach Artikel 4 Nr. 7 DS-GVO). Die WIBAS-Geschäftsstelle bündelt die Erfordernisse der Auftraggeber und kommuniziert im Auftrag der Auftraggeber mit dem Auftragnehmer, soweit es sich um allgemeine Vorgaben handelt. Erfordernisse im Einzelfall (z.B. einzelne Datensätze betreffend) müssen die zuständigen Stellen unmittelbar an die LUWB mitteilen.



(2) Der Auftrag umfasst folgende Arbeiten:



1.
Die LUBW verarbeitet in der zentralen UIS-Referenzdatenbank (UIS-RefDB) personenbezogene Daten für den Datenaustausch unter den Mitgliedern des Staatlich-Kommunalen Datenverbunds im Wege des automatisierten Abrufs.


2.
Bei den Daten handelt es sich um die im Objektartenkatalog des SKDV (SKDV-OK) genannten Daten, die in der Anlage 2 zur VwV beispielhaft aufgeführt sind; der vollständige Katalog wird von der LUBW über das SKDV-Portal bereitgestellt.


3.
Der Abruf der Daten aus der zentralen UIS-Referenzdatenbank (UIS-RefDB) erfolgt mittels des UIS-Berichtssystems.


4.
Die LUBW übermittelt unter den in den Nummern 7.5.3–7.5.5 und 7.5.7 der VwV genannten Voraussetzungen als zentrale Stelle des UIS und als Auftragnehmer die Daten aus der zentralen UIS-Referenzdatenbank (UIS-RefDB) an die ersuchenden Stellen.


(3) Die Dienstleistung ist ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zu erbringen. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung der Auftraggeber und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind9.



§ 2
Rechte und Pflichten der Auftraggeber



(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Absatz 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Artikeln 12 bis 22 DS-GVO sind allein die Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an einen Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.



(2) Die Auftraggeber erteilen alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.



(3) Die Auftraggeber haben das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Sie erteilen diese in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem elektronisch dokumentierten Format zu bestätigen.



Weisungsberechtigte Personen der Auftraggeber sind:



Die Leitung der WIBAS-Geschäftsstelle im UM im Einvernehmen mit der jeweiligen Objektartredaktion. Die Leiterin oder der Leiter der WIBAS-Geschäftsstelle ist berechtigt, zu verlangen, dass Daten in der Verarbeitung eingeschränkt werden, sofern die Voraussetzungen nach §§ 28 bis 30 des Umweltverwaltungsgesetzes gegeben sind.



Weisungsempfänger beim Auftragnehmer sind:



Die Leiterin/der Leiter des ITZ der LUBW oder ihre/seine Vertretung.



Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist den Auftraggebern unverzüglich der Nachfolger bzw. der Vertreter mitzuteilen.



(4) Die Auftraggeber informieren den Auftragnehmer unverzüglich, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellen.



(5) Die Auftraggeber sind verpflichtet, alle im Rahmen des Auftragverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherungsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung der Auftragsverarbeitung bestehen.



(6) Die Auftraggeber sind jederzeit berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der von ihnen getroffenen Weisungen – auch in dessen Geschäftsbetrieb – zu überprüfen. Dies gilt auch für die Betretung einer Privatwohnung im Falle der Telearbeit nach Maßgabe des § 3 Absatz 7 und 8.



§ 3
Pflichten des Auftragnehmers



(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung der Auftraggeber, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen der Auftraggeber nicht erstellt.



(2) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die vereinbarten Daten von sonstigen Datenbeständen scharf getrennt werden. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen der Auftraggeber nicht genügen, benachrichtigt der Auftragnehmer die Auftraggeber unverzüglich.



(3) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch einen Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen eines Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an eine vom jeweiligen Auftraggeber zu benennende Stelle weiterzuleiten.



(4) Der Auftragnehmer wird die Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach Überprüfung bestätigt oder geändert wird.



(5) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn die Auftraggeber dies mittels einer Weisung verlangen und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.



(6) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch die Auftraggeber erteilen.



(7) Der Auftragnehmer erklärt sich damit einverstanden, dass die Auftraggeber jederzeit berechtigt sind, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bzw. Weisungen im angemessenen und erforderlichen Umfang selbst oder durch von einem Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Absatz 3 Satz 2 lit h DS-GVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.



(8) Die Verarbeitung von Daten in Privatwohnungen (Telearbeit oder Homeoffice von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung der Auftraggeber im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Betroffenen für Kontrollzwecke des Arbeitgebers bzw. Dienstherrn sicherzustellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.



(9) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.



(10) Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, den Auftraggebern auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder den Auftraggebern auszuhändigen.



(11) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeitenden vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.



(12) Der/die beim Auftragnehmer bestellte Beauftragte/r für den Datenschutz ist dem Auftraggeber namentlich zu nennen. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.



§ 4
Mitteilungspflicht des Auftragnehmers bei Störungen



Der Auftragnehmer teilt den Auftraggebern unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.



§ 5
Unterauftragsverhältnisse
nach Art. 28 Abs. 3 Satz 2 lit. d DS-GVO



(1) Die Auftraggeber haben in der Rahmenvereinbarung zum SKDV der Beauftragung der nachfolgenden Unterauftragnehmer mit der Maßgabe zugestimmt, dass die Vorgaben dieser Vorschrift sowie die des Artikel 28 Absätze 2 bis 4 DS-GVO eingehalten werden:



1.
BITBW


2.
ITEOS AöR.


Für die Beschäftigung von Unterauftragnehmern durch die BITBW oder die ITEOS AöR gelten die nachfolgenden Bestimmungen. Zurzeit sind die im Anhang 1 zu § 5 Abs. 2 mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.



(2) Die Beauftragung von Subunternehmen in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 ff. DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standardschutzklauseln, genehmigte Verhaltensregeln).



(3) Der Auftragnehmer hat sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggebern und Auftragnehmer auch gegenüber Subunternehmern gelten. In Verhältnis zum Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere müssen die Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.



(4) Die Beauftragung des Subunternehmers muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).



(5) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Artikel 29 und Artikel 32 Absatz 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.



(6) Der Auftragnehmer hat die Einhaltung der Pflichten des/ der Subunternehmer(s) in geeigneter Form zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.



(7) Der Auftragnehmer informiert die Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch die Auftraggeber die Möglichkeit erhalten, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).



§ 6
Datengeheimnis



Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Auftraggeber das Datengeheimnis gemäß § 3 Absatz 2 LDSG zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie den Auftraggebern obliegen.



§ 7
Technisch-organisatorische Maßnahmen (TOM)
nach Artikel 32 DS-GVO (Artikel 28 Absatz 3 Satz 2
lit. C DS-GVO)



(1) Für die Auftragsverarbeitung wird ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Artikel 32 Absatz 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.



(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten der Auftraggeber gem. Artikel 32 DS-GVO, insbesondere mindestens die in Anhang 2 aufgeführten Maßnahmen der



a)
Zutrittskontrolle


b)
Zugangskontrolle


c)
Zugriffskontrolle


d)
Weitergabekontrolle


e)
Eingabekontrolle


g)
Verfügbarkeitskontrolle


h)
Trennungskontrolle.


(3) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.



(4) Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit den Auftraggebern abzustimmen.



(5) Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen der Auftraggeber nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.



(6) Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer des SKDV aufzubewahren.



(7) Der Auftragnehmer ist verpflichtet, bei gegebenen Anlass, mindestens aber jährlich die internen Prozesse sowie die technischen und organisatorischen Maßnahmen zu kontrollieren, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen.



§ 8
Dauer des Auftrags



(1) Der Auftrag ist auf unbestimmte Dauer angelegt. Er kann nur mit einvernehmlicher Entscheidung der betroffenen Ressorts beendet werden.



(2) Die Auftraggeber können die Beauftragung jederzeit ohne Einhaltung einer Frist beenden, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen der VwV SKDV und deren Anlagen vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte eines Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in dieser Anlage festgelegten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.



§ 9
Finanzierung



Die Auftragsverarbeitung gehört zu den satzungsmäßigen Aufgaben der LUBW. Die Kosten werden durch die der LUBW für diese Aufgabe zur Verfügung stehenden Mittel finanziert.



§ 10
Haftung



(1) Der Auftragnehmer haftet dem jeweiligen Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung vorsätzlich oder grob fahrlässig verursachen.



(2) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem Landesdatenschutzgesetz oder anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen des Auftragsverhältnisses erleidet, ist der jeweilige Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm unter den Voraussetzungen des Absatzes 1 der Rückgriff beim Auftragnehmer vorbehalten.



(3) Auf Artikel 82 DS-GVO wird verwiesen.



§ 11
Sonstiges



Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für das Schriftformerfordernis.



Anhang 1 zu § 5 Abs. 1



Anhang 1 Liste der vorhandenen Unter-Auftragnehmer



Derzeit gibt es keine Unter-Auftragnehmer.



Anhang 2 zu § 7 Abs. 2



Anhang 2 Technisch-Organisatorische Maßnahmen (TOM)



1.
Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO)


a)
Zutrittskontrolle


Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren:


Zutritt zum Rechenzentrum nur für zutrittsberechtigte Mitarbeiterinnen und Mitarbeiter, die in einer entsprechenden Liste dokumentiert sind


Der Server befindet sich in einem abschließbaren Raum.


Zutritt zum Serverraum haben nur zutrittsberechtigte Mitarbeiterinnen und Mitarbeiter, die in einer entsprechenden Liste dokumentiert sind.


Vorgaben zur Behandlung von Gästen und Besuchern


Kennzeichnung des Servers durch Aliase


Organisationsanweisung und Protokollierung zur Ausgabe von Schlüsseln und Zugangskarten


Sicherung des Gebäudes durch Wachdienst mit regelmäßigen Kontrollen


b)
Zugangskontrolle


Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:


Server nur mit Passwort und über passwortgeschützte Verbindung nutzbar


Administratorzugriff nur für autorisierte Administratorenmöglich – Clientsysteme nur nach passwortgestützter Netzwerk-Authentifizierung nutzbar


Remotezugriff nur über verschlüsselte VPN-Verbindungen möglich, offene Ports sind durch Firewalls auf das Notwendigste beschränkt


Sperrung des Benutzerkontos nach drei fehlgeschlagenen Anmeldeversuchen


Automatische, passwortgeschützte Bildschirm- und Rechnersperre durch Group Policy


Verbindliches Verfahren zur Rücksetzung »vergessener« Passwörter


Verbindliches Verfahren zur Vergabe von Berechtigungen


Eindeutige Zuordnung von Berechtigungen


Eindeutige Zuordnung von Benutzerkonten zu Benutzern


Richtlinie zum sicheren, ordnungsgemäßen Umgang und Änderung von Passwörtern sowie Komplexität von Passwörtern


c)
Zugriffskontrolle


Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf ihre Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:


Berechtigungsmechanismus mit Möglichkeit zur exakten Differenzierung auf Feldebene


Verbindliches Berechtigungsvergabeverfahren


Verbindliches Verfahren zur Wiederherstellung von Daten aus Backup (Restore durch das ITZ)


Trennung von Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (technisch)


Netzlaufwerke mit Zugriff nur für berechtigte Benutzer


Einsatz von Application-Firewalls und Intrusion-Detection-Systemen zur Verhinderung und Erkennung von Angriffen, Verbindliche Arbeitsanweisung für Administratoren im Alarmfall


Zugriffsauditierung und Analyse der Auditlogs


Server befindet sich in abschließbarem Raum


Kennzeichnung des Servers durch Aliase


d)
Trennungskontrolle


Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden:


Einsatz von Virtualisierungstechnologien zur Trennung der Applikation auf logisch unterschiedlichen Systeme


Einsatz von Sandboxing bei gemeinsam genutzten Applikationssystemen


Implementierung und Nutzung der Mandantenfähigkeit


2.
Integrität (Art. 32 Abs. 1 lit. b) DS-GVO


a)
Weitergabekontrolle


Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:


Personenbezogene Daten dürfen nur über verschlüsselte Transportwege (Beispiel https, sftp) übertragen werden


Regelmäßige Anpassung der Verschlüsselungsmechanismen aufgrund von erkannten Sicherheitslücken (bspw. Deaktivierung von nicht vertrauenswürdigen Ciphern)


Einsatz von Verschlüsselung in Aufbewahrung und Transport


Zugriff auf personenbezogene Daten nur über authentifizierte Kanäle


Automatische Sperre bei mehrmalige fehlerhafter Authentifizierung


Einsatz von Application-Firewalls und Intrusion-Detection-Systemen zur Verhinderung und Erkennung von Angriffen. Verbindliche Arbeitsanweisung für Administratoren im Alarmfall


Zugriffsauditierung und Analyse der Auditlogs


b)
Eingabekontrolle


Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:


Registrierung der Benutzer und Datum/Uhrzeit der jeweiligen Änderungen im System


Einsatz von Application-Firewalls und Intrusion-Detection-Systemen zur Verhinderung und Erkennung von Angriffen. Verbindliche Arbeitsanweisung für Administratoren im Alarmfall


Zugriffsauditierung und Analyse des Auditlogs


3.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO


Verfügbarkeitskontrolle


Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden:


Backup- und Recovery-Konzept für jedes Serversystem und/oder Applikation mit katastrophensicherer, geschützter Aufbewahrung der Sicherungen (backup vault)


Nachweis der sicheren und ordnungsgemäßen Archivierung in physisch geschütztem Archiv und verbindlicher Regelung der Zugriffsberechtigten


Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter) und schriftliche Konzeption des Einsatzes


Einsatz von Storage Systemen mit Redundanz (RAID) wo sinnvoll und notwendig


Einsatz unterbrechungsfreier Stromversorgung und von Notstromaggregaten


Richtlinie zur Wartung und Durchführung von Updates


Automatisierte Standartroutinen für regelmäßige Aktualisierung von Schutzsoftware (z. B. Virenscanner)


Automatisches Monitoringkonzept und permanentes Monitoring von Störungen sowohl intern als auch extern durch Dienstleister


Automatisierter Benachrichtigungsworkflow zur Verbreitung von Wartungs- und Störungsmeldungen


Einsatz von Loadbalancer, Traffic Manger etc. zur automatisiertem Umschaltung auf alternative Systeme


4.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 DS-GVO)


Datenschutzmanagement


a)
Datenschutz-Management


Organisationsanweisung zu regelmäßigem Training und Datenschutzverpflichtung von Mitarbeitern und Mitarbeiterinnen sowie der internen Organisation zwischen der Leitung des ITZ, Datenschutzbeauftragtem und Mitarbeitern und Mitarbeiterinnen


Ablagesystem für relevante Unterlagen


Regelmäßige (mindestens einmal im Jahr) Überprüfung aller relevanten Unterlagen und Prozesse


Prozess zur Meldung und Bearbeitung von datenschutzrelevanten Angelegenheiten


c)
Auftragskontrolle


Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:


Detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers


Detaillierte Angaben über die Zweckbindung der personenbezogenen Daten des Auftraggebers sowie ein Verbot der Nutzung durch den Dienstleister außerhalb des schriftlich formulierten Auftrags


Der Dienstleister hat eine oder einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten betrieblichen Prozesse.

Diese Vorschrift wird von folgenden Dokumenten zit ... ausblendenDiese Vorschrift wird von folgenden Dokumenten zitiert


Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift