Nutzungsbedingungen
mbeon Nutzungsbedingungen für Beratende
Der Deutsches Rotes Kreuz e.V., Generalsekretariat, Carstennstraße 58, 12205 Berlin (nachfolgend „DRK-GS“) stellt über die Beratungsoberfläche und den internen Fachaustauch für Beratende sowie die mbeon-App für Ratsuchende ein DRK-Onlineberatungssystem (DRK-OBS) (nachfolgend gemeinsam „mbeon“) zur Verfügung, über die registrierte Nutzerinnen und Nutzer (nachfolgend „Ratsuchende“) Beratung von registrierten Beratenden (nachfolgend „Beratende“) in Anspruch nehmen können. Diese Nutzungsbedingungen gelten für die Nutzung von mbeon durch Beratende.
1. Leistungsbeschreibung
mbeon richtet sich an alle interessierten erwachsenen Migrantinnen und Migranten. mbeon und die Beratung über mbeon sind für Ratsuchende kostenlos und erfordern lediglich eine Registrierung. Die Beratung erfolgt durch erfahrene und qualifizierte, entsprechend geschulte Beratende.
Die mbeon Beratung findet in Form eines Textchats und/oder Sprachnachrichten (nachfolgend gemeinsam „Chat“) mit den von den Ratsuchenden jeweils ausgewählten Beratenden statt. Die oder der Beratende kann zu einer oder einem Ratsuchenden zusätzliche Daten erfassen (z.B. Notizen, statistische Daten). Chat und Notizfunktion werden von DRK-GS technisch betrieben und den Beratenden im Rahmen einer Auftragsverarbeitung (Anhang) angeboten. Die Beratung der Ratsuchenden durch die Beratenden erfolgt im Rahmen einer unmittelbaren Vertragsbeziehung zwischen Ratsuchenden und der jeweiligen Beratungsstelle des oder der ausgewählten Beratenden. DRK-GS ist nicht Partei des Beratungsvertrages.
DRK-GS betreibt mbeon, auf der alle registrierten Beratenden mit den von ihnen angegeben und selbst eingepflegten Daten veröffentlicht werden. Integriert in der Beratungsoberfläche gibt es zudem einen internen Fachaustausch, in dem sich die Beratenden austauschen und Fachinformationen teilen können.
mbeon besteht aus komplexen Hard- und Softwarekomponenten, deren einzelne Bestandteile ständig miteinander interagieren und die gleichzeitig einer ständigen Anpassung durch Weiterentwicklungen, veränderte gesetzliche Anforderungen oder Sicherheitsupdates unterliegen. DRK-GS wird sämtliche Anpassungen an den Hard- und Softwarekomponenten im Rahmen der bestehenden technischen und betrieblichen Möglichkeiten sorgfältig vornehmen, kann aber eine ununterbrochene Verfügbarkeit von mbeon nicht zusichern. DRK-GS sichert eine Verfügbarkeit von mbeon von 95% im Jahresmittel zu.
2. Registrierung
Um als Beratende sowohl die Onlineberatung durchzuführen zu können als auch den internen Fachaustausch zu nutzen, ist eine vorherige Registrierung erforderlich. DRK-GS behält sich vor, einzelne Beratende ohne Angabe von Gründen von der Nutzung der Beratungsoberfläche oder des internen Fachaustausches auszuschließen.
Beratende können sich an das DRK-GS wenden, durch das die Registrierung erfolgt. Die Beratenden können im Anschluss eigenständig ihr Profil vervollständigen.
3. Pflichten der Beratenden
Die Beratenden sind verpflichtet, ihre Zugangsdaten zur Beratungsoberfläche und zum internen Fachaustausch sicher zu verwahren und vor der Kenntnisnahme durch Dritte zu schützen. Haben Beratende den Verdacht, dass Dritte Kenntnis von den Zugangsdaten erhalten haben, verpflichten sie sich zur sofortigen Änderung der Zugangsdaten.
Für die Beratungsarbeit gelten die Vorgaben ihrer eigenen Beratungsstelle. Unabhängig von den Vorgaben der jeweiligen Beratungsstelle soll die Kommunikation zwischen Beratenden und Ratsuchenden im Chat sowie die Kommunikation der Beratenden untereinander immer wertschätzend und respektvoll bleiben. Jede Form von Beleidigung oder Diskriminierung ist untersagt.
4. Nutzungsrechte an Dokumenten
Beratende erhalten an den von DRK-GS im geschützten internen Fachaustausch bereitgestellten Dokumenten ein einfaches, nicht exklusives Nutzungsrecht für die mbeon Beratungszwecke. Alle Inhalte des geschützten internen Fachaustauschs sind vertraulich zu behandeln und dürfen grundsätzlich nicht an Dritte weitergeben werden. Sofern Dokumente ausdrücklich mit einem entsprechenden Vermerk versehen sind, dürfen Beratende sie an mbeon-Ratsuchende weitergeben.
5. Verfügbarkeit von mbeon
Sofern eine Nichtverfügbarkeit von mbeon auf Vorsatz oder grober Fahrlässigkeit von DRK-GS oder eines Erfüllungsgehilfen von DRK-GS beruht, kann sich DRK-GS nicht auf eine Einhaltung der Verfügbarkeitszusage nach der Leistungsbeschreibung (Ziffer 1) berufen.
DRK-GS ist für eine Unterschreitung der Verfügbarkeitszusage nicht verantwortlich, sofern die Nichterreichbarkeit auf höhere Gewalt, auf technische Störungen bei Dritten, die nicht Erfüllungsgehilfen von DRK-GS sind, oder auf einem rechtswidrigen Angriff auf DRK-GS oder einen von DRK-GS beauftragten Dienstleister bzw. eine Dienstleisterin beruhen.
6. Datenschutz
DRK-GS, die Beratungsstellen und die Beratenden verpflichten sich zur Einhaltung des Datenschutzes. DRK-GS betreibt mbeon als allein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Den Chat und die Notizfunktion betreiben DRK-GS im Auftrag der jeweiligen Beratungsstelle der Beratenden als Auftragsverarbeiter (Art. 28 DS-GVO). Es gilt die Vereinbarung zur Auftragsverarbeitung, die als Anhang Bestandteil dieser Nutzungsvereinbarung ist.
7. Haftung
DRK-GS haftet auf Schadenersatz wegen Verletzung vertraglicher oder außervertraglicher Pflichten nur bei Vorsatz oder grober Fahrlässigkeit sowie für garantierte Beschaffenheitsmerkmale, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit oder nach dem Produkthaftungsgesetz.
Sofern DRK-GS den Beratenden Dokumente im internen Fachaustausch zur Verfügung stellt, gelten diese lediglich als Anregungen oder Hilfestellungen für die umfassende und eigenverantwortliche (nach Vorgaben der Beratungsstelle) Beratung von Ratsuchenden durch die Beratenden.
8. Beendigung
Der Nutzungsvertrag der Beratenden wird beendet, wenn das Benutzendenkonto auf Antrag der Beratungskraft gelöscht wird oder DRK-GS eine Beratungsfachkraft von der Nutzung von mbeon ausschließt. Sofern keine Gründe für einen sofortigen Ausschluss vorliegen, hat DRK-GS den Ausschluss mit einer Frist von zwei Wochen in Textform anzukündigen.
9. Salvatorische Klausel
Die Unwirksamkeit einer Bestimmung dieser Nutzungsvereinbarung hat keine Auswirkungen auf die Wirksamkeit der Vereinbarung im Übrigen.
Anhang: Vereinbarung zur Auftragsverarbeitung (AVV)
Diese Vereinbarung zur Auftragsverarbeitung zwischen der Beratungsstelle, für die die/der Beratende tätig ist, (nachfolgend: Die Auftraggebende) und DRK-GS (nachfolgend: Der Auftragnehmende) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Nutzungsvertrag (nachfolgend: Hauptvertrag) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmenden oder durch den Auftragnehmenden Beauftragte mit personenbezogenen Daten („Daten“) der Auftraggebenden in Berührung kommen können.
1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
1.1 Der Gegenstand der Auftragsverarbeitung ist im Hauptvertrag beschrieben. Im Wesentlichen handelt es sich um die Bereitstellung eines Chats für die Kommunikation mit Ratsuchenden und die Speicherung von Notizen zu einer Beratung. Nicht Gegenstand der Auftragsverarbeitung ist der Betrieb des internen Fachaustauschs für die Beratenden.
1.2 Art und Zweck der Auftragsverarbeitung sind im Hauptvertrag beschrieben und umfassen insbesondere die Registrierung und Verarbeitung der personenbezogenen Daten der Beratenden und die technische Bereitstellung von Textchat, Sprachnachrichten und Notizfunktion.
1.3 Die Verarbeitung umfasst alle personenbezogenen Daten, die von Beratenden über den Chat ausgetauscht sowie in der Notizfunktion gespeichert werden. Die Kommunikation sowie die Notizen können auch besondere Kategorien personenbezogener Daten enthalten, insbesondere religiöse Überzeugungen und Gesundheitsdaten
1.4 Von der Verarbeitung betroffen sind Ratsuchende und Beratende.
1.5 Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.
2. Anwendungsbereich und Verantwortlichkeit
2.1 Der Auftragnehmende verarbeitet personenbezogene Daten im Auftrag der Auftraggebenden. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind. Die Auftraggebende ist hinsichtlich der Verarbeitung der Daten für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2.2 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können von der Auftraggebenden danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
2.3 Im Falle einer Inanspruchnahme durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichten sich Auftraggebende und Auftragnehmender, sich bei der Abwehr des Anspruches gegenseitig zu unterstützen.
3. Pflichten des Auftragnehmenden
3.1 Der Auftragnehmende darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen der Auftraggebenden verarbeiten. Sofern der Auftragnehmende durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er – sofern dies rechtlich zulässig ist – die Auftraggebende vor Beginn der Verarbeitung auf diesen Umstand hin. Der Auftragnehmende informiert die Auftraggebende unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmende darf die Umsetzung der Weisung solange aussetzen, bis er von der Auftraggebenden bestätigt oder abgeändert wurde.
3.2 Der Auftragnehmende wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass er den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Ziffer 9 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten der Auftraggebenden treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Der Auftraggebenden sind diese technischen und organisatorischen Maßnahmen bekannt. Sie tragen die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
3.3 Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmenden vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.4 Der Auftragnehmende unterstützt die Auftraggebende im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.
3.5 Der Auftragnehmende gewährleistet, dass es den mit der Verarbeitung der Daten der Auftraggebenden befassten Mitarbeitenden und anderen für den Auftragnehmenden tätigen Personen untersagt ist, die Daten außerhalb der Weisungen der Auftraggebenden zu verarbeiten. Ferner gewährleistet der Auftragnehmende, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
3.6 Der Auftragnehmende unterrichtet die Auftraggebende unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten der Auftraggebenden bekannt werden. Der Auftragnehmende trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit der Auftraggebenden ab.
3.7 Der Auftragnehmende nennt der Auftraggebenden die Ansprechperson für im Rahmen des Vertrages anfallende Datenschutzfragen.
3.8 Der Auftragnehmende gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.9 Der Auftragnehmende berichtigt oder löscht die vertragsgegenständlichen Daten, wenn die Auftraggebende dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmende die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch die Auftraggebende, sofern nicht im Vertrag bereits vereinbart.
3.10 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen der Auftraggebenden entweder herauszugeben oder zu löschen. Der Auftragnehmende ist berechtigt, bis zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsfristen die Daten oder eine Kopie der Daten aufzubewahren.
4. Pflichten der Auftraggebenden
4.1 Die Auftraggebende hat dem Auftragnehmenden unverzüglich und vollständig zu informieren, wenn sie in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
4.2 Die Auftraggebende nennt dem Auftragnehmenden die Ansprechperson für im Rahmen des Vertrages anfallende Datenschutzfragen.
5. Anfragen Betroffener
5.1 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung oder Auskunft an den Auftragnehmenden, wird der Auftragnehmende die betroffene Person an die Auftraggebende verweisen, sofern eine Zuordnung an die Auftraggebende nach den Angaben der betroffenen Person möglich ist.
5.2 Ratsuchende können eigenständig eine Löschung ihrer Daten und ihres Chatverlaufs in der App vornehmen. Die Daten werden dann aus dem Aktiv- ins Passivsystem mit limitiertem Zugang archiviert und nach Ablauf der Aufbewahrungsfrist endgültig gelöscht. Auf der Beratungsoberfläche bleiben solche Chatverläufe nur bei der dieser/diesem Ratsuchenden zugeordneten Beratungskraft weiterhin noch 20 Monate zu Dokumentationszwecken sichtbar.
6. Nachweismöglichkeiten
6.1 Der Auftragnehmende weist der Auftraggebenden die Einhaltung der in Art 28. DS-GVO und diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmende der Auftraggebenden Zertifikate und Prüfergebnisse Dritter (z.B. nach Art. 42 DS-GVO oder ISO 27001) zur Verfügung stellen oder Prüfberichte des/der betrieblichen Datenschutzbeauftragten.
6.2 Sollten im Einzelfall Inspektionen durch die Auftraggebende oder eine von dieser beauftragte Prüferin bzw. einen von dieser beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmende darf diese von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung abhängig machen. Sollte die/der durch die Auftraggebende beauftragte Prüferin/Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmenden stehen, hat der Auftragnehmende gegen diese ein Einspruchsrecht.
6.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde der Auftraggebenden eine Inspektion vornehmen, gilt grundsätzlich 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
6.4 Für die Unterstützung bei der Durchführung einer Inspektion nach Ziffer 6.2 oder 6.3 darf der Auftragnehmende eine angemessene Vergütung verlangen, sofern nicht Anlass der Inspektion der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmenden war. In diesem Fall sind die Verdachtsmomente mit der Ankündigung der Inspektion von der/des Auftraggebenden vorzutragen.
7. Subunternehmende (weitere Auftragsverarbeitende)
7.1 Die Auftraggebende stimmt zu, dass der Auftragnehmende Subunternehmende hinzuzieht. Vor der Hinzuziehung oder Ersetzung von Subunternehmenden informiert der Auftragnehmende der Auftraggebenden mit einer Frist von zwei Wochen in Textform. Die Auftraggebende kann der Änderung nur aus wichtigem Grund widersprechen. Der Widerspruch hat binnen 14 Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger Grund vor, der von dem Auftragnehmenden nicht durch Anpassung des Auftrages beseitigt werden kann, wird der Auftraggebenden ein Sonderkündigungsrecht eingeräumt. Über die bei Vertragsschluss bereits bestehenden Subunternehmenden und Teilleistungen erfolgt keine gesonderte Information. Ein Widerspruchsrecht der Auftraggebende besteht für die bei Vertragsschluss bestehende Subunternehmenden nicht.
7.2 Erteilt der Auftragnehmende Aufträge an Subunternehmende, so obliegt es dem Auftragnehmenden, seine datenschutzrechtlichen Pflichten aus diesem Vertrag den Subunternehmenden zu übertragen.
7.3 Auf schriftliche Aufforderung der Auftraggebenden hat der Auftragnehmende jederzeit Auskunft über die datenschutzrelevanten Verpflichtungen seiner Subunternehmenden zu erteilen.
8. Informationspflichten, Schriftformklausel, Rechtswahl
8.1 Sollten die Daten der Auftraggebenden bei dem Auftragnehmenden durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmende die Auftraggebende unverzüglich darüber zu informieren. Der Auftragnehmende wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der Auftraggebenden als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung liegen.
8.2 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmenden – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
8.3 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
9. Technische und organisatorische Maßnahmen
9.1 Rechenzentrum
9.1.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) und Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Festlegung von Sicherheitsbereichen
Realisierung eines wirksamen Zutrittsschutzes
Protokollierung des Zutritts
Festlegung zutrittsberechtigter Personen
Zugangsschutz
Umsetzung sicherer Zugangsverfahren, starke Authentisierung
Erstellen eines Berechtigungskonzepts
Umsetzung von Zugriffsbeschränkungen
differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
Getrennte Verarbeitung verschiedener Datensätze
Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
Protokollierung der Eingabe, Änderung und Löschung von Daten
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzendennamen (nicht Benutzendengruppen)
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Einsatz von Anti-Viren-Software
Einsatz einer Hardware-Firewall
Einsatz einer Software-Firewall
9.1.3. Verfügbarkeit, Wiederherstellung und Belastbarkeit der Systeme
Brandschutz
Redundanz der Primärtechnik
Redundanz der Stromversorgung
Redundanz der Kommunikationsverbindungen
Monitoring
Backup- & Recoverykonzepts
Testen von Datenwiederherstellung
Notfallplan
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
belastbares Datensicherungs- und Widerherstellungskonzept
Maßnahmen zur Datensicherung (physikalisch / logisch)
9.1.4. Datenschutzorganisation
Festlegung von Verantwortlichkeiten
Umsetzung und Kontrolle geeigneter Prozesse
interne Verhaltensregeln
Risikoanalyse
Datenschutz-Folgenabschätzung
Datensicherheitskonzept
Wiederanlaufkonzept
9.1.5. Auftragskontrolle
Auswahl weiterer Auftragnehmenden nach geeigneten Garantien
Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmenden
9.1.6 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Informationssicherheitsmanagement nach ISO 27001
Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
Prozess Sicherheitsvorfall-Management
Durchführung von technischen Überprüfungen
9.2. Entwicklungsumgebung, Wartung, Pflege
9.2.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Alle Mitarbeitenden, die mit personenbezogenen Daten Umgang haben, sind gesondert (z.B. durch Vertrag, Verpflichtungserklärung) oder gesetzlich zur Verschwiegenheit verpflichtet.
Realisierung eines wirksamen Zutrittsschutzes
Es besteht ein Rechte- und Rollenkonzept.
Individuelle Zuweisung von Rechten pro Benutzerin bzw. Benutzer (Abgestufte Zugriffsberechtigung).
Daten werden nicht auf mobilen Endgeräten oder mobilen Datenspeichern gespeichert.
Es besteht ein dokumentierter Prozess zur fachgerechten Vernichtung von ausgedienten Datenträgern.
Es besteht eine verbindliche Anweisung zur Datenerfassung.
Programme, mit denen Dateneingaben erfolgen können, sind dokumentiert.
Arbeitsanweisungen zum Umgang mit Daten werden dokumentiert.
Arbeitsanweisungen zur Gewährleistung der Datensicherheit werden dokumentiert.
Es finden regelmäßig Schulungen zum Datenschutz und zur Datensicherheit statt.
Der Einsatz privater Datenträger (z.B. USB-Sticks, externe Festplattem) ist untersagt.
Verbot der Weitergabe von Passwörtern
Getrennte Aufbewahrung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden oder die zu unterschiedlichen Schutzbedarfskategorien gehören.
Ein Datenexport ist nur nach Freigabe eines zweiten Benutzers bzw. einer zweiten Benutzerin mit entsprechender Berechtigung möglich („Vier-Augen-Prinzip“).
Jeder Zugriff auf Daten wird technisch protokolliert.
Jeder Zugriff auf Daten, die als sensibel eingestuft sind, wird technisch protokolliert.
Fernzugriffe sind nur nach Zwei-Faktor-Authentifizierung möglich.
Das Netzwerk ist separiert und in verschiedene Sicherheitsstufen unterteilt.
Das Netzwerk und die Server sind durch eine Firewall geschützt.
9.2.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Alle Mitarbeitenden werden regelmäßig geschult, um die Einhaltung der Vorschriften der DS-GVO und die Einhaltung von Weisungen sicherzustellen.
Arbeitsanweisungen werden dokumentiert (in Schriftform, in Textform).
Arbeitsanweisungen zur Gewährleistung der Datensicherheit und der korrekten Ausführung von Aufträgen werden regelmäßig überwacht.
Es bestehen Prozesse zur Aufrechterhaltung der Aktualität von Daten.
Datenverarbeitungsprozesse werden durch regelmäßige Tests und/oder Stichprobenkontrollen auf korrekte Funktionalität hin überprüft.
Jede Dateneingabe und jede Datenänderung werden technisch protokolliert.
Jede Eingabe oder Änderung von Daten, die als sensibel eingestuft wurden, wird technisch protokolliert.
Jede Administrierendentätigkeit wird technisch protokolliert.
Es werden Signaturen und/oder Zertifikate zur Sicherstellung Berechtigung des Zugriffs, der Speicherung oder Veränderung von Daten eingesetzt.
Zur Validierung von Daten werden Prüfsummen oder vergleichbare Methoden eingesetzt.
9.2.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backups und Backupkonzept
Rasche Wiederherstellbarkeit durch ständige Spiegelung der Festplatten und Notfallkonzept
Monitoring
9.2.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Es findet eine regelmäßige Überprüfung statt, ob sich der Stand der Technik verändert hat und entsprechender Anpassungsbedarf der IT-Systeme besteht.
Es finden regelmäßig externe Prüfungen der IT-Systeme und/oder der Schutzmaßnahmen statt (z.B. Penetrationtests).
Die eingesetzte Hard- und Software wird regelmäßig auf Funktionsfähigkeit überprüft.
Die Schutzbedarfsklassifizierung für Datenverarbeitungen wird regelmäßig überprüft.
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
ohne entsprechende Weisung der Auftraggebenden erfolgt keine Verarbeitung
eindeutige Vertragsgestaltung
formalisiertes Auftragsmanagement
Meldung jeglicher Datenschutzrelevanter Änderungen an die Auftraggebende