‍1.   Gegenstand und Dauer des Auftrags

(1)  Gegenstand

Der Gegenstand des Auftrags ergibt sich aus dem jeweiligen Vertragsabschluss zwischen KUNO und dem Auftraggeber auf den hier verwiesen wird (im Folgenden Rahmenvertrag).

(2)  Dauer

Der Auftrag ist auf die Laufzeit des Rahmenvertrags befristet und kann von beiden Parteien gemäß den geltenden Allgemeinen Geschäftsbedingungen (in ihrer aktuellen Form auf www.kuno.io zu finden) gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt. In jedem Fall endet der Auftrag mit der wirksamen Beendigung des Rahmenvertrages.

2.    Konkretisierungdes Auftragsinhalts

(1)    Art und Zweck der vorgesehenen Verarbeitung von Daten

• Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret in dem Rahmenvertrag beschrieben.
• Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau für Unterauftragnehmer in den Vereinigten Staaten von Amerika wird hergestellt durch Standarddatenschutzklauseln (Art. 46Abs. 2 lit. c und d DS-GVO) sowie sonstigen Maßnahmen (Nutzung von Datenservern in der Europäischen Union). 

(2)   Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind die nachfolgend aufgeführten Datenarten/-kategorien

a)     Gegenstand der Verarbeitung personenbezogener Daten im Bereich Personalwesen sowie Lohnbuchhaltung:

• Kontaktdaten (z. B. Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer)
• Korrespondenzen
• Identifikationsnummern (z. B. Sozialversicherungsnummer, Steuernummer, Steuer-ID, Reisepass- oder Personalausweisnummer, Versicherungsnummer)
• Zahlungsdaten (z. B. Beispiel Kontonummer, Kreditkartennummer, Geldinstitut)
• Physische Charakteristiken (z. B. Bewerbungsfotos)
• Auszeichnungen (z. B. Zeugnisse und Zertifikate)
• Informationen über ethnische und kulturelle Herkunft
• Informationen über politische, religiöse und philosophische Weltanschauung (z.B. Kirchensteuernachweis)
• Gesundheitsdaten (z. B. medizinische Diagnosen, Arbeitsunfähigkeits-bescheinigungen)
• Informationen über Gewerkschaftszugehörigkeiten
• Genetische und biometrische Daten (z. B. Geschlecht, Geometriedes Gesichts)

b)      Gegenstand der Verarbeitung personenbezogener Daten im Bereich Finanzwesen:

• Kontaktdaten (z. B. Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer)
• Korrespondenzen
• Zahlungsdaten (z. B. Beispiel Kontonummer, Kreditkartennummer, Geldinstitut)
• Kundendaten (z. B. Rechnungsdaten, Benutzerprofile, Adresse, Bestellhistorie, Zahlungsdaten, CRM-Daten)

(3)    Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Kunden
• Interessenten
• Beschäftigte
• Lieferanten
• Handelsvertreter
• Ansprechpartner
• Bewerber
• Geschäftspartner
• Investoren

‍

3.     Technisch-organisatorische Maßnahmen

(1)   Der Auftragnehmer hat die Umsetzung der im Vorfeld der  Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen  Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der  konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur  Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die  dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit  des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich  umzusetzen.

(2)   Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit.  c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO  herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um  Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko  angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität,  der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand  der Technik, die Implementierungskosten und die Art, der Umfang und die  Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit  und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im  Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen (Einzelheiten in Anlage 1).

(3)   Die technischen und organisatorischen Maßnahmen unterliegen  dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem  Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei  darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten  werden. Wesentliche Änderungen sind zu dokumentieren.

‍

4.     Umgang mit Betroffenenrechten

(1)   Soweit eine betroffene Person ihre Betroffenenrechte  unmittelbar dem Auftragnehmer gegenüber geltend macht, wird der Auftragnehmer  dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der  Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht  eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen, deren Verarbeitung einschränken oder Auskunft über sie  erteilen.

(2)   Auf die dokumentierte Weisung des Auftraggebers hin führt der  Auftragnehmer die verlangte Löschung, Berichtigung, Einschränkung,  Datenübermittlung oder Auskunft unverzüglich durch und weist dies dem  Auftraggeber schriftlich nach.

‍

5.     Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO;insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

1. Schriftliche Bestellung eines Datenschutzbeauftragten, der seine  Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Datenschutzbeauftragter des  Auftragnehmers ist derzeit: Intelliant GmbH, vertreten durch Philipp Dannenberg, Immanuelkirchstraße 3-4, 10405 Berlin, dpo@intelliant.de
2. Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29,  32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten  nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit  den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.  Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang  zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich  entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in  diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur  Verarbeitung verpflichtet sind.
3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen  gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO (Einzelheiten in Anlage 1).
4. d)     Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
5. Die unverzügliche Information des Auftraggebers über  Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf  diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im  Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die  Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim  Auftragnehmer ermittelt.
6. Soweit der  Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem  Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im  Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist,  hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
7. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie  die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass  die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den  Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der  Rechte der betroffenen Person gewährleistet wird.
8. Nachweisbarkeit der getroffenen  technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im  Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

‍

6.     Unterauftragsverhältnisse

(1)     Als Unterauftragsverhältnisse im Sinne dieser Regelung sind  solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung  der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der  Auftragnehmer z.B. als Telekommunikationsleistungen,  Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die  Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der  Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und  Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der  Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und  gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu  ergreifen.

(2)     Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

1. Der Auftraggeber stimmt der Beauftragung der in Anlage 2 aufgeführten Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO;
2. Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

• der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
• der Auftraggeber nicht, bis eine Kalenderwoche vor dem Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

(1)    Die Weitergabe von personenbezogenen Daten des Auftraggebers  an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit  Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(2)    Erbringt der Unterauftragnehmer die vereinbarte Leistung  außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche  Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn  Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(3)    Eine weitere Auslagerung durch den Unterauftragnehmer bedarf  der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform).  Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem  weiteren Unterauftragnehmer. aufzuerlegen.

7.     Kontrollrechtedes Auftraggebers

(1)    Der Auftraggeber hat das Recht, im Benehmen mit dem  Auftragnehmer Überprüfungen der technischen und organisatorischen Maßnahmen  des Auftragnehmers durchzuführen oder durch im Einzelfall zu benennende  Prüfer durchführen zu lassen, sofern diese nicht in einem  Wettbewerbsverhältnis zum Auftragnehmer stehen. Er hat das Recht, sich durch  Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der  Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen  Geschäftsbetrieb zu überzeugen.

(2)     Der Auftragnehmer stellt sicher, dass sich der Auftraggeber  von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO  überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf  Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die  Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3)     Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch

• die von einer unabhängigen Instanz (z.B.Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) bestätigte Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO oder
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) erfolgen.

(4)  Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8.     Mitteilung bei Verstößen des Auftragnehmers

(1)    Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden,
3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen, die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung,
4. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2)    Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

‍

9.      Weisungsbefugnis des Auftraggebers

(1)     Mündliche Weisungen bestätigt der Auftraggeber unverzüglich  (mind. Textform).

(2)     Der Auftragnehmer hat den Auftraggeber unverzüglich zu  informieren, wenn er der Meinung ist, eine Weisung verstoße gegen  Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung  der entsprechenden Weisung so lange auszusetzen, bis sie durch den  Auftraggeber mind. in Textform bestätigt oder geändert wird.

‍

10.  Löschung und Rückgabe von personenbezogenen Daten

(1)    Kopien oder Duplikate der Daten werden ohne Wissen des  Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien,  soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich  sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2)     Nach Abschluss der vertraglich vereinbarten Arbeiten oder  früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung  des Rahmenvertrages – hat der Auftragnehmer sämtliche in seinen Besitz  gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie  Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem  Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht  zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll  der Löschung ist auf Anforderung vorzulegen.

(3)     Dokumentationen, die dem Nachweis der auftrags- und  ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer  entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus  aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem  Auftraggeber übergeben.

1.      Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

      I.  Maßnahmen zur Zutrittskontrolle

1. Realisierung des Zutrittsschutzes zur Betriebsstätte wird gewährleistet durch Sicherheitsdienst, Videoüberwachung im Eingangsbereichsowie elektronische / verbindliche Zutrittskontrolle
2. Räume werden durch Sicherheitsschlösser / Chipkartenleser gesichert
3. Festlegung zutrittsberechtigter Personen
4. Verwaltung und Dokumentation von personengebundenen Zutrittsberechtigungen
5. Zutrittskontrolle von Besuchern und Fremdpersonal
6. Überwachung der Räume außerhalb der Schließzeiten durch Sicherheitsschlösser / Chipkartenleser sowie Sicherheitsdienst

    II.   Maßnahmen zur Zugangskontrolle

1. Zugangsschutz zu  allen Datenverarbeitungssystemen durch Benutzer-Authentifikation
2. Vorhandensein von Boot-Passwörtern (Desktop und  Laptops)
3. Vollverschlüsselung der Festplatten  im Standby und ausgeschalteten Zustand
4. WLAN-Sicherung durch Deaktivierung unsicherer Verfahren (z.B. WPS,  WPA), Passwortrichtlinien und separatem Gästenetzwerk
5. Zugangsdaten, im  Besonderen Passwörter werden in Passwortmanagern verwaltet
6. Starke  Authentifikation bei höchstem Schutzniveau durch Nutzung von Mechanismen, die  sowohl Besitz als auch Wissen zur Authentifikation erfordern  (2-Stufen-Autenthifizierung) bzw. durch Time-based One-Time-Password (TOTP) +  Zugangsdaten
7. Authentifikationsgeheimnisse  werden nur verschlüsselt über das Netz übertragen
8. Sperrung bei  Fehlversuchen und Prozess zur Rücksetzung gesperrter Zugangskennungen durch Zugangssperre  bei 3 Fehlversuchen sowie sicheres Verfahren zur Rücksetzung der Sperre
9. Nutzer wurden über  das Verbot der Speicherfunktion für Passwörter und/oder Formulareingaben  (Clients) belehrt (z. B. durch Speicherung im Browser, „Passwortdatenbanken“  oder Haftnotizen)
10. Festlegung befugter  Personen durch Rollenkonzepte (vordefinierte Benutzerprofile), individuelle  Vergabe von Zugangsrechten sowie regelmäßiger Überprüfung befugter Personen
11. Verwaltung und  Dokumentation von personengebundenen Authentifizierungsmedien und  Zugangsberechtigungen durch festgelegten Prozess zur Beantragung,  Genehmigung, Vergabe und Rücknahme von Authentifizierungsmedien
12. Protokollierung des  Zugangs durch Archivierung aller erfolgreichen und abgewiesenen  Zugangsversuche (verwendete Kennung, Rechner, IP-Adresse) und  stichprobenartige Auswertung
13. Mitarbeitende werden  über Maßnahmen zum Schutz am Arbeitsplatz des Anwenders geschult und  verpflichtet.

    III. Maßnahmen zur Zugriffskontrolle

1. Existenz von Regelungen und Verfahren zum Anlegen, Ändern, Löschen von Berechtigungsprofilen bzw. Benutzerrollen
2. Nutzung von Passwörtern und definierten Passwortregeln
3. Der Umfang der Berechtigungen, ist auf das zur jeweiligen Aufgaben- bzw. Funktionserfüllung notwendige Minimum beschränkt (logisch, zeitlich, etc.)
4. Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen durch einen Prozess zur Vergabe und Rücknahme von Zugriffsberechtigungen und deren Prüfung, eine Knüpfung von Berechtigungen an einen Account, Entzug bei Wegfall der Berechtigung sowie Aufbewahrung der Dokumentation
5. Es wurde durch geeignete Maßnahmen verhindert, dass durch Konzentration von verschiedenenRollen bzw. Zugriffsrechten auf eine Person diese in der Kombination eine übermächtige Gesamtrolle erhalten kann
6. Protokollierung des Datenzugriffs durch Archivierungvon Lese-, Eingabe-, Änderungs- und Löschtransaktionen
7. Sichere Aufbewahrung und Verschlüsselung von Datenträgern.

  IV.   Maßnahmen zur Trennungskontrolle

1. Umsetzung und Dokumentation einer Funktionstrennung (z. B. Vier-Augen-Prinzip)
2. Vorhandensein von Richtlinien und Arbeitsanweisungen
3. Vorhandensein von Verfahrensdokumentation
4. Es gibt technische und organisatorische Regelungen und Maßnahmen zur Sicherstellung der getrennten Verarbeitung (Speicherung, Veränderung, Löschung und Übertragung etc.) und/oderLagerung von Daten und/oder Datenträgern mit unterschiedlichen Vertragszwecken.

    V.   Maßnahmen zur Pseudonymisierung (Art. 32Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

1. Belehrung der Mitarbeiter zur generellen Umsetzung der Pseudonymisierung, sofern ein Personenbezug nichtzwingend für die Bearbeitung notwendig ist
2. Belehrung der Mitarbeiter zur Pseudonymisierung von Daten bei Kommunikation und Verarbeitung mit Unterauftragnehmern.

‍

2.     Integrität (Art.32 Abs. 1 lit. b DS-GVO)

      I.  Maßnahmen zur Weitergabekontrolle

1. Vorhandensein einer  Regelung für die Anfertigungen von Kopien
2. Sicherheitsgateways  an den Netzübergabepunkten durch aktivierte Netzwerk-/Hardware-Firewalls  sowie Personal-/Desktop-Firewalls
3. Sichere Ablage von  Daten durch Verschlüsselung
4. Die Nutzung von mobilen  Datenträgern ist auf ein Minimum beschränkt und findet ausschließlich  verschlüsselt statt
5. Mitarbeitende sind  über existierende Verfahrensregelungen für die Datenträgerverwaltung geschult  
6. Es existieren obligatorische  Verpackungs- und Versandvorschriften für den Transport von personenbezogenen  Daten mittels Datenträger
7. Es gibt Regelungen  zur datenschutzkonformen Vernichtung von Datenträgern und Dokumenten
8. Für ein Datenschutzgerechtes  Lösch-/ Zerstörungsverfahren werden Datenträger sowie Hardwarekomponenten vor  Wiederbenutzung durch andere Nutzer datenschutzgerecht gelöscht; eine  Wiederherstellung der gelöschten Daten ist gar nicht oder nur mit  unverhältnismäßigem Aufwand möglich
9. Löschprotokolle  durch Protokollierung der vollständigen, datenschutzgerechten und dauerhaften  Löschung von Daten bzw. Datenträgern mit Kundendaten des Auftraggebers und  Protokollarchivierung

     II. Maßnahmen zur Eingabekontrolle

1. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
2. Die Eingabe, Änderung und Löschung von Daten werden protokolliert und archiviert
3. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

   III. Maßnahmen zur Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1. Es existiert ein Backup-Konzept inkl. Benennung verantwortlicherPerson und Vertreter und es wird regelmäßig überprüft, ob das Rückspielen eines Backups möglich ist
2. Es existiert ein Notfallplan, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen, insb. auch auf Seiten des Auftraggebers, über den Vorfall zu unterrichten sind.
3. Regelmäßige Kontrolle des Zustandes und der Kennzeichnungen von Datenträgern für Datensicherungen
4. Existenz eines aktuellen Virenschutzprogrammes

‍

3.     Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

      I.  Datenschutz-Management / Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung

1. Auswahl eines Datenschutzbeauftragen
2. Festlegung der Prüfungsrhythmen
3. Kontrolle der Durchführung der Evaluierung
4. Bewertung der Ergebnisse
5. Ggfls. Anpassung der TOM

    II.  Maßnahmen zum Incident-Response-Management

1. Feststellung möglicher Fälle einer Datenpanne
2. Beschreibung des Prozesses, was im Falle einer Datenpanne zu geschehen hat
3. Beschreibung der Verantwortlichkeiten
4. Beschreibung des technischen Ablaufs zur Beseitigung einer Datenpanne

    III. Maßnahmen zur datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

1. Erstellung eines Konzeptes für Datenschutzes durch Technik („privacy by design“)
2. Erstellung eines Konzeptes für datenschutzfreundliche Voreinstellungen („privacy by default“)
3. Minimierung der Menge der erhobenen Daten
4. Reduzierung des Umfangs der Datenverarbeitung
5. Reduzierung der Speicherfristen
6. Erschwerung der Zugänglichkeit der Daten

  IV.  Maßnahmen zur Auftragskontrolle

1. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
2. Schriftliche Weisungen an den Auftragnehmer (z. B. durch Auftragsverarbeitungsvertrag)
3. Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
4. Vertragsstrafen bei Verstößen
5. Vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
6. Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
7. Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
8. Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten