Nutzungsbedingungen

Der Deutsches Rotes Kreuz e.V., Generalsekretariat, Carstennstraße 58, 12205 Berlin (nachfolgend „DRK-GS“) stellt über die Beratungsoberfläche und den internen Fachaustauch für Beratende sowie die mbeon-App für Klientinnen und Klienten eine Plattform (nachfolgend gemeinsam „mbeon“) zur Verfügung, über die registrierte Nutzerinnen und Nutzer (nachfolgend „Kliententinnen und Klienten“) Beratung von registrierten Beratenden (nachfolgend „Beratende“) in Anspruch nehmen können. Diese Nutzungsbedingungen gelten für die Nutzung von mbeon durch Beratende.

  1. Leistungsbeschreibung
    mbeon richtet sich an alle interessierten erwachsenen Migrantinnen und Migranten. mbeon und die Beratung über mbeon sind für Klientinnen und Klienten kostenlos und erfordern lediglich eine Registrierung. Die Beratung erfolgt durch erfahrene und qualifizierte, entsprechend geschulte Beratende.
    Die mbeon Beratung findet in Form eines Textchats und/oder Sprachnachrichten (nachfolgend gemeinsam „Chat“) mit dem von den Klientinnen und Klienten jeweils ausgewählten Beratenden statt. Der Beratende kann zu einer Klientin oder zu einem Klienten zusätzliche Daten erfassen (z.B. Notizen, statistische Daten). Chat und Notizfunktion werden von DRK-GS technisch betrieben und den Beratenden im Rahmen einer Auftragsverarbeitung (Anhang) angeboten. Die Beratung der Klientinnen und Klienten durch die Beratenden erfolgt im Rahmen einer unmittelbaren Vertragsbeziehung zwischen Klientinnen und Klienten und der jeweiligen Einrichtung des ausgewählten Beratenden. DRK-GS ist nicht Partei des Beratungsvertrages.
    DRK-GS betreibt die Plattform, auf der alle registrierten Beratende mit den von ihnen angegeben Daten veröffentlicht werden. Auf der Plattform gibt es zudem ein Forum, in dem sich die Beratende austauschen und Kenntnisse teilen können.
    Die Plattform besteht aus komplexen Hard- und Softwarekomponenten, deren einzelne Bestandteile ständig miteinander interagieren und die gleichzeitig einer ständigen Anpassung durch Weiterentwicklungen, veränderte gesetzliche Anforderungen oder Sicherheitsupdates unterliegen. DRK-GS wird sämtliche Anpassungen an den Hard- und Softwarekomponenten im Rahmen der bestehenden technischen und betrieblichen Möglichkeiten sorgfältig vornehmen, kann aber eine ununterbrochene Verfügbarkeit der Plattform nicht zusichern. DRK-GS sichert eine Verfügbarkeit der Plattform von 95% im Jahresmittel zu.
     
  2. Registrierung
    Um als Beratende sowohl an der Online-Beratung für Klientinnen und Klienten teilnehmen als auch den geschützten internen Fachaustausch inklusive Forum nutzen zu können, ist eine vorherige Registrierung erforderlich. DRK-GS behält sich vor, einzelne Beratende ohne Angabe von Gründen von der Nutzung der Plattform auszuschließen.
     
  3. Pflichten des Beratenden
    Der Beratende ist verpflichtet, seine Zugangsdaten zur Plattform sicher zu verwahren und vor der Kenntnisnahme durch Dritte zu schützen. Hat der Beratende den Verdacht, dass Dritte Kenntnis von seinen Zugangsdaten erhalten haben, verpflichtet er sich zur sofortigen Änderung der Zugangsdaten.
    Für die Beratung von Klientinnen und Klienten gelten die Vorgaben der Einrichtung, für die der Beratende tätig ist. Unabhängig von den Vorgaben der jeweiligen Einrichtung soll die Kommunikation zwischen Beratendeund Klientinnen bzw. Klienten im Chat sowie die Kommunikation der Beratenden untereinander immer sachlich bleiben. Jede Form von Beleidigung oder Verleumdung ist untersagt.
     
  4. Nutzungsrechte an Dokumenten
    Beratenden erhalten an den von DRK-GS im geschützten internen Fachaustausch bereitgestellten Dokumenten ein einfaches, nicht exklusives Nutzungsrecht für die mbeon Beratungszwecke. Alle Inhalte des geschützten internen Fachaustauschs sind vertraulich zu behandeln und dürfen grundsätzlich nicht an Dritte weitergeben werden. Sofern Dokumente ausdrücklich mit einem entsprechenden Vermerk versehen sind, darf der Beratende sie an seine mbeon Klientinnen und Klienten weitergeben.
     
  5. Verfügbarkeit der Plattform
    Sofern eine Nichtverfügbarkeit der Plattform auf Vorsatz oder grober Fahrlässigkeit von DRK-GS oder eines Erfüllungsgehilfen von DRK-GS beruht, kann sich DRK-GS nicht auf eine Einhaltung der Verfügbarkeitszusage nach der Leistungsbeschreibung (Ziffer 1) berufen.
    DRK-GS ist für eine Unterschreitung der Verfügbarkeitszusage nicht verantwortlich, sofern die Nichterreichbarkeit auf höhere Gewalt, auf technische Störungen bei Dritten, die nicht Erfüllungsgehilfen von DRK-GS sind, oder auf einem rechtswidrigen Angriff auf DRK-GS oder einen von DRK-GS beauftragten Dienstleister beruhen.
     
  6. Datenschutz
    DRK-GS, die Einrichtungen und die Beratenden verpflichten sich zur Einhaltung des Datenschutzes. DRK-GS betreibt die mbeon Plattform als allein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Den Chat und die Notizfunktion betreiben DRK-GS im Auftrag der jeweiligen Einrichtung des Beratenden als Auftragsverarbeiter (Art. 28 DS-GVO). Es gilt die Vereinbarung zur Auftragsverarbeitung, die als Anhang Bestandteil dieser Nutzungsvereinbarung ist.
     
  7. Haftung
    DRK-GS haftet auf Schadenersatz wegen Verletzung vertraglicher oder außervertraglicher Pflichten nur bei Vorsatz oder grober Fahrlässigkeit sowie für garantierte Beschaffenheitsmerkmale, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit oder nach dem Produkthaftungsgesetz.
    Sofern DRK-GS dem Beratenden Dokumente zur Verfügung stellt, gelten diese lediglich als Anregungen oder Hilfestellungen für die umfassende und eigenverantwortliche Beratung von Klientinnen und Klienten durch den Beratenden.
     
  8. Beendigung
    Der Nutzungsvertrag wird beendet, wenn das Benutzerkonto auf Antrag des Beratenden gelöscht wird oder DRK-GS einen Beratenden von der Nutzung von mbeon ausschließt. Sofern keine Gründe für einen sofortigen Ausschluss vorliegen, hat DRK-GS den Ausschluss mit einer Frist von zwei Wochen in Textform anzukündigen.
     
  9. Salvatorische Klausel
    Die Unwirksamkeit einer Bestimmung dieser Nutzungsvereinbarung hat keine Auswirkungen auf die Wirksamkeit der Vereinbarung im Übrigen.



Anhang: Vereinbarung zur Auftragsverarbeitung
Diese Vereinbarung zwischen der Einrichtung, für die der Beratende tätig ist, (nachfolgend: Auftraggebende) und DRK-GS (nachfolgend Auftragnehmende) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Nutzungsvertrag (nachfolgend: Hauptvertrag) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmenden oder durch den Auftragnehmenden Beauftragte mit personenbezogenen Daten („Daten“) des Auftraggebenden in Berührung kommen können.

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
1.1 Der Gegenstand der Auftragsverarbeitung ist im Hauptvertrag beschrieben. Im Wesentlichen handelt es sich um die Bereitstellung eines Chats für die Kommunikation mit Klientinnen und Klienten und die Speicherung von Notizen zu einer Beratung. Nicht Gegenstand der Auftragsverarbeitung ist der Betrieb der Plattform selbst und des Forums für die Beratenden.
1.2 Art und Zweck der Auftragsverarbeitung sind im Hauptvertrag beschrieben und umfassen insbesondere die Registrierung und Verarbeitung der personenbezogenen Daten der Beratenden und die technische Bereitstellung von Textchat und Notizfunktion.
1.3 Die Verarbeitung umfasst alle Daten, die von Beratenden oder Klientinnen und Klienten über den Chat ausgetauscht werden oder die ein Beratende über die Notizfunktion zu einer Beratung speichert. Dies umfasst regelmäßig Name oder Alias-Namen, Kontaktdaten (E-Mail) sowie sämtliche Kommunikationsinhalte. Die Kommunikation kann besondere Kategorien personenbezogener Daten enthalten, insbesondere religiöse Überzeugungen und Gesundheitsdaten.
1.4 Von der Verarbeitung betroffen sind Klientinnen und Klienten und Beratende.
1.5 Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.

2. Anwendungsbereich und Verantwortlichkeit
2.1 Der Auftragnehmende verarbeitet personenbezogene Daten im Auftrag des Auftraggebenden. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind. Der Auftraggebende ist hinsichtlich der Verarbeitung der Daten für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2.2 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggebenden danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
2.3 Im Falle einer Inanspruchnahme durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichten sich Auftraggebende und Auftragnehmende, sich bei der Abwehr des Anspruches gegenseitig zu unterstützen.

3. Pflichten des Auftragnehmenden
3.1 Der Auftragnehmende darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebenden verarbeiten. Sofern der Auftragnehmende durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er – sofern dies rechtlich zulässig ist – den Auftraggebenden vor Beginn der Verarbeitung auf diesen Umstand hin. Der Auftragnehmende informiert den Auftraggebenden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmende darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggebende bestätigt oder abgeändert wurde.
3.2 Der Auftragnehmende wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Ziffer 9 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebenden treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggebenden sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
3.3 Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmenden vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.4 Der Auftragnehmende unterstützt den Auftraggebenden im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.
3.5 Der Auftragnehmende gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebenden befassten Mitarbeitern und anderen für den Auftragnehmenden tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggebenden zu verarbeiten. Ferner gewährleistet der Auftragnehmende, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
3.6 Der Auftragnehmende unterrichtet den Auftraggebenden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebenden bekannt werden. Der Auftragnehmende trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggebende ab.
3.7 Der Auftragnehmende nennt dem Auftraggebenden den Ansprechpartner bzw. die Ansprechpartnerin für im Rahmen des Vertrages anfallende Datenschutzfragen.
3.8 Der Auftragnehmende gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.9 Der Auftragnehmende berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggebende dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmende die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggebenden, sofern nicht im Vertrag bereits vereinbart.
3.10 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebenden entweder herauszugeben oder zu löschen. Der Auftragnehmende ist berechtigt bis zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsfristen die Daten oder eine Kopie der Daten aufzubewahren.

4. Pflichten des Auftraggebenden
4.1 Der Auftraggebende hat den Auftragnehmenden unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
4.2 Der Auftraggebende nennt dem Auftragnehmenden den Ansprechpartner bzw. die Ansprechpartnerin für im Rahmen des Vertrages anfallende Datenschutzfragen.

5. Anfragen Betroffener
5.1 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung oder Auskunft an den Auftragnehmenden, wird der Auftragnehmende die betroffene Person an den Auftraggebenden verweisen, sofern eine Zuordnung an den Auftraggebenden nach den Angaben der betroffenen Person möglich ist.
5.2 Ratsuchende können eigenständig eine Löschung ihrer Daten und ihres Chatverlaufs vornehmen. Die Daten werden dann aus dem Aktiv- ins Passivsystem mit limitierten Zugang archiviert und nach Ablauf der Aufbewahrungsfrist endgültig gelöscht.

6. Nachweismöglichkeiten
6.1 Der Auftragnehmende weist dem Auftraggebenden die Einhaltung der in Art 28. DS-GVO und diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmende, dem Auftraggebenden Zertifikate und Prüfergebnisse Dritter (z.B. nach Art. 42 DS-GVO oder ISO 27001) zur Verfügung stellen oder Prüfberichte des betrieblichen Datenschutzbeauftragten.
6.2 Sollten im Einzelfall Inspektionen durch den Auftraggebende oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmende darf diese von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung abhängig machen. Sollte der durch den Auftraggebenden beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmenden stehen, hat der Auftragnehmende gegen diesen ein Einspruchsrecht
6.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebenden eine Inspektion vornehmen, gilt grundsätzlich 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
6.4 Für die Unterstützung bei der Durchführung einer Inspektion nach Ziffer 6.2 oder 6.3 darf der Auftragnehmende eine angemessene Vergütung verlangen, sofern nicht Anlass der Inspektion der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmenden war. In diesem Fall sind die Verdachtsmomente mit der Ankündigung der Inspektion vom Auftraggebenden vorzutragen.

7. Subunternehmer (weitere Auftragsverarbeiter)
7.1 Der Auftraggebende stimmt zu, dass der Auftragnehmende Subunternehmenden hinzuzieht. Vor der Hinzuziehung oder Ersetzung von Subunternehmenden informiert der Auftragnehmende den Auftraggebenden mit einer Frist von zwei Wochen in Textform. Der Auftraggebende kann der Änderung nur aus wichtigem Grund widersprechen. Der Widerspruch hat binnen 14 Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger Grund vor, der vom Auftragnehmenden nicht durch Anpassung des Auftrages beseitigt werden kann, wird dem Auftraggebenden ein Sonderkündigungsrecht eingeräumt. Über die bei Vertragsschluss bereits bestehenden Subunternehmer und Teilleistungen erfolgt keine gesonderte Information. Ein Widerspruchsrecht des Auftraggebenden besteht für die bei Vertragsschluss bestehende Subunternehmenden nicht.
7.2 Erteilt der Auftragnehmende Aufträge an Subunternehmenden, so obliegt es dem Auftragnehmenden, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmenden zu übertragen.
7.3 Auf schriftliche Aufforderung des Auftraggebenden hat der Auftragnehmende jederzeit Auskunft über die datenschutzrelevanten Verpflichtungen seiner Subunternehmenden zu erteilen.

8. Informationspflichten, Schriftformklausel, Rechtswahl
8.1 Sollten die Daten des Auftraggebenden beim Auftragnehmenden durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmende den Auftraggebenden unverzüglich darüber zu informieren. Der Auftragnehmende wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggebenden als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung liegen.
8.2 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmenden – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
8.3 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

9. Technische und organisatorische Maßnahmen
9.1 Rechenzentrum
9.1.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) und Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Festlegung von Sicherheitsbereichen
  • Realisierung eines wirksamen Zutrittsschutzes
  • Protokollierung des Zutritts
  • Festlegung Zutrittsberechtigter Personen
  • Zugangsschutz
  • Umsetzung sicherer Zugangsverfahren, starke Authentisierung
  • Erstellen eines Berechtigungskonzepts
  • Umsetzung von Zugriffsbeschränkungen
  • differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
  • Getrennte Verarbeitung verschiedener Datensätze
  • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Einsatz von Anti-Viren-Software
  • Einsatz einer Hardware-Firewall
  • Einsatz einer Software-Firewall

9.1.3. Verfügbarkeit, Wiederherstellung und Belastbarkeit der Systeme

  • Brandschutz
  • Redundanz der Primärtechnik
  • Redundanz der Stromversorgung
  • Redundanz der Kommunikationsverbindungen
  • Monitoring
  • Backup- & Recoverykonzepts
  • Testen von Datenwiederherstellung
  • Notfallplan
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • belastbares Datensicherungs- und Widerherstellungskonzept
  • Maßnahmen zur Datensicherung (physikalisch / logisch)

9.1.4. Datenschutzorganisation

  • Festlegung von Verantwortlichkeiten
  • Umsetzung und Kontrolle geeigneter Prozesse
  • interne Verhaltensregeln
  • Risikoanalyse
  • Datenschutz-Folgenabschätzung
  • Datensicherheitskonzept
  • Wiederanlaufkonzept

9.1.5. Auftragskontrolle

  • Auswahl weiterer Auftragnehmenden nach geeigneten Garantien
  • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmenden

9.1.6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Informationssicherheitsmanagement nach ISO 27001
  • Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
  • Prozess Sicherheitsvorfall-Management
  • Durchführung von technischen Überprüfungen

9.2. Entwicklungsumgebung, Wartung, Pflege
9.2.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Alle Mitarbeiterinnen und Mitarbeiter, die mit personenbezogenen Daten Umgang haben, sind gesondert (z.B. durch Vertrag, Verpflichtungserklärung) oder gesetzlich zur Verschwiegenheit verpflichtet.
  • Realisierung eines wirksamen Zutrittsschutzes
  • Es besteht ein Rechte- und Rollenkonzept.
  • Individuelle Zuweisung von Rechten pro Benutzerin bzw. Benutzer (Abgestufte Zugriffsberechtigung).
  • Daten werden nicht auf mobilen Endgeräten oder mobilen Datenspeichern gespeichert.
  • Es besteht ein dokumentierter Prozess zur fachgerechten Vernichtung von ausgedienten Datenträgern.
  • Es besteht eine verbindliche Anweisung zur Datenerfassung.
  • Programme, mit denen Dateneingaben erfolgen können, sind dokumentiert.
  • Arbeitsanweisungen zum Umgang mit Daten werden dokumentiert.
  • Arbeitsanweisungen zur Gewährleistung der Datensicherheit werden dokumentiert.
  • Es finden regelmäßig Schulungen zum Datenschutz und zur Datensicherheit statt.
  • Der Einsatz privater Datenträger (z.B. USB-Sticks, externe Festplattem) ist untersagt.
  • Verbot der Weitergabe von Passwörtern
  • Getrennte Aufbewahrung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden oder die zu unterschiedlichen Schutzbedarfskategorien gehören.
  • Ein Datenexport ist nur nach Freigabe eines zweiten Benutzers bzw. eine zweiten Benutzerin mit entsprechender Berechtigung möglich („Vier-Augen-Prinzip“).
  • Jeder Zugriff auf Daten wird technisch protokolliert.
  • Jeder Zugriff auf Daten, die als sensibel eingestuft sind, wird technisch protokolliert.
  • Fernzugriffe sind nur nach Zwei-Faktor-Authentifizierung möglich.
  • Das Netzwerk ist separiert und in verschiedene Sicherheitsstufen unterteilt.
  • Das Netzwerk und die Server sind durch eine Firewall geschützt.

9.2.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Alle Mitarbeiterinnen und Mitarbeiter werden regelmäßig geschult, um die Einhaltung der Vorschriften der DS-GVO und die Einhaltung von Weisungen sicherzustellen.
  • Arbeitsanweisungen werden dokumentiert (in Schriftform, in Textform).
  • Arbeitsanweisungen zur Gewährleistung der Datensicherheit und der korrekten Ausführung von Aufträgen werden regelmäßig überwacht.
  • Es bestehen Prozesse zur Aufrechterhaltung der Aktualität von Daten.
  • Datenverarbeitungsprozesse werden durch regelmäßige Tests und/oder Stichprobenkontrollen auf korrekte Funktionalität hin überprüft.
  • Jede Dateneingabe und jede Datenänderung werden technisch protokolliert.
  • Jede Eingabe oder Änderung von Daten, die als sensibel eingestuft wurden, wird technisch protokolliert.
  • Jede Administratortätigkeit wird technisch protokolliert.
  • Es werden Signaturen und/oder Zertifikate zur Sicherstellung Berechtigung des Zugriffs, der Speicherung oder Veränderung von Daten eingesetzt.
  • Zur Validierung von Daten werden Prüfsummen oder vergleichbare Methoden eingesetzt.

9.2.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backups und Backupkonzept
  • Rasche Wiederherstellbarkeit durch ständige Spiegelung der Festplatten und Notfallkonzept
  • Monitoring

9.2.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Es findet eine regelmäßige Überprüfung statt, ob sich der Stand der Technik verändert hat und entsprechender Anpassungsbedarf der IT-Systeme besteht.
  • Es finden regelmäßig externe Prüfungen der IT-Systeme und/oder der Schutzmaßnahmen statt (z.B. Penetrationtests).
  • Die eingesetzte Hard- und Software wird regelmäßig auf Funktionsfähigkeit überprüft.
  • Die Schutzbedarfsklassifizierung für Datenverarbeitungen wird regelmäßig überprüft.
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • ohne entsprechende Weisung des Auftraggebenden erfolgt keine Verarbeitung
  • eindeutige Vertragsgestaltung
  • formalisiertes Auftragsmanagement
  • Meldung jeglicher Datenschutzrelevanter Änderungen an den Auftraggebenden