§ 11 BDSG (ADV) Muster zur Auftragsdatenverarbeitung

Durch Änderungen zur Regelung der Auftragsdatenverarbeitung haben sich die Anforderungen an die Inhalte von Dienstleistungsverträgen verändert. Dies betrifft sowohl Auftragnehmer, denen Daten übergeben werden und somit in deren Systemen (weiter-)verarbeitet werden. Neben klassischen Rechenzentren kann dieses auch Druckereien/Lettershops, Büroservices, Inkassobüros oder andere betreffen.

Daneben gibt es aber auch eine ganze Reihe von Auftragsdatenverarbeitung bei denen zwar der Auftragnehmer die Daten nicht übergeben bekommt, jedoch dennoch durch Zugriff auf die Systeme des Auftraggebers, auch auf personenbezogene Daten zugreifen könnte. Gängige Beispiele hier sind IT-Systemhuas Anbieter, Wartungstechnker, selbständige Handelsvertreter, Berater, Prüfer und andere. Auch Zugriffe innerhalb von Konzernstrukturen sind durchaus regelungsbedürftig, da nicht automatisch eine Funktionenübertragung innerhalb der Auftragsdatenverarbeitung unterstellt werden kann.

Wichtige Anmerkungen zu diesem Muster. Es handelt sich hierbei um eine kommentierte Struktur, nach der eine Auftragsdatenvereinbarung aufgebaut werden kann. Exakt ausformulierte Vertragsbeispiele finden sich zwar im Internet, haben jedoch den Nachteil, dass ihre Verwendung dem Urheberrecht unterliegt und in der Regel für das eigene Unternehmen nicht exakt passen. Im Fachhandel oder bei Fachverbänden können Sie aber gegen eine Schutzgebühr ausführliche Vorlagen erwerben.

Insbesondere wird im § 11 BDSG die vertragliche Regelung der folgenden Punkte zur Auftragsdatenverarbeitung gefordert:

1. der Gegenstand und die Dauer des Auftrags,

besteht bereits ein Dienstleistungsvertrag, in dem der Auftragsgegenstand(leistungsbeschreibung) und die Dauer festgelegt sind, so kann an dieser Stelle auf das entsprechende Dokument verwiesen werden. Anderenfalls sind diese Punkte hier entsprechend zu konkretisieren. Im weiteren sollte hier noch genauer Bezug auf das BDSG genommen werden mit den entsprechenden Verpflichtungen, die auf den Auftragnehmer durch diesen Vertrag übergehen.

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

Beschreibung von Umfang, Art und Zweck der Auftragsdatenverarbeitung (Vorgang, Anwendung oder Tätigkeit). Beschreibung der Art der Daten (z.B. Verbindungsdaten einer Telefonanlage) und hierbei insbesondere auf die personenbezogenen Daten eingehen. Darüber hinaus ist der Kreis der Betroffenen (z.B. Kunden, Mitarbeiter,…) zu definieren.

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

sind schriftlich festzulegen und den spezifischen Anforderungen der Auftragsdatenverarbeitung zu definieren. Hier ist es besonders wichtig darauf zu achten, dass nicht monoton Verträge kopiert werden, da sich aus den unterschiedlichen Daten und Datenverarbeitungen verschiedene Schutzklassen ergeben und diese sich innerhalb der technisch-organisatorischen Maßnahmen widerspiegeln müssen. In der Praxis ist hierbei empfehlenswert, die technisch-organisatorischen Maßnahmen in einer Anlage seperat zu definieren. Diese kann dann im Rahmen der erforderlichen Überprüfung als Grundlage dienen.

4. die Berichtigung, Löschung und Sperrung von Daten,

werden vertraglich geregelt und somit wird sichergestellt, dass die gesetzlichen Anforderungen an den Auftraggeber und die Rechte Betroffener direkt an den Auftragnehmer weiterdeligiert werden.

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

sollten möglichst detailliert festgelegt werden. In diesem Punkt werden die Pflichten des Auftragnehmers für die Abwicklung einer Auftragdatenverarbeitung genau definiert. Als Beispiel kann die Pflicht zur Bestellung einer Datenschutzbeauftragten dienen. Die Kontrolle des Auftragnehmers durch den Auftraggeber wird unter Punkt 7 genauer definiert.

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

sollten ausgeschlossen werden oder eine Weiterdeligierung der getroffenen vertraglichen Vereinbarung zwingend festlegen. In jedem Fall sollten sich der Auftraggeber das Informationsrecht sichern, um notfalls auf Fehlentwicklungen reagieren zu können.

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

werden hier genau festgelegt.

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

sollten unbedingt festgelegt werden, damit der Auftraggeber in einem solchen Fall seinen Verpflichtungen aus dem BDSG vollumfänglich und zeitnah erfüllen kann.

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

 

Gerne unterstützen wir Sie auch bei der Erstellung und Überprüfung von Verträgen zur Auftragsdatenverarbeitung.

Vorlage aus dem BMI Bundesministerium des Innern – bitte beachten sie die Urheberrechte.

Eine Mustervereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG für BMI und Geschäftsbereich Vereinbarung zur Auftragsdatenverarbeitung Als Anlage zum Vertrag / zur Leistungsbeschreibung vom [Datum]

– nachfolgend „Leistungsvereinbarung“ –
zwischen dem
Bundesministerium des Innern (BMI)
– nachfolgend „Auftraggeber“ –
und [Vertragspartner]
– nachfolgend „Auftragnehmer“ –
– beide nachfolgend gemeinsam „Vertragsparteien“ –
wird die folgende Vereinbarung zur Auftragsdatenverarbeitung geschlossen:
Inhalt
Präambel
§ 1 Anwendungsbereich
§ 2 Begriffsbestimmung
§ 3 Konkretisierung des Auftragsinhalts
§ 4 Verantwortlichkeit und Weisungsbefugnis
§ 5 Beachtung zwingender gesetzlicher Pflichten durch den Auftragnehmer
§ 6 Technisch-organisatorische Maßnahmen und deren Kontrolle
§ 7 Mitteilung bei Verstößen durch den Auftragnehmer
§ 8 Löschung und Rückgabe von Daten
§ 9 Subunternehmer
§ 10 NebenleistungenÜbermittlung
§ 11 Übermittlung ins Ausland
§ 12 Schlussbestimmungen
Präambel
Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsdatenverarbeitungsverhältnis gemäß § 11 Bundesdatenschutzgesetz (BDSG) eingegangen. Um die Rechte und Pflichten aus dem Auftragsdatenverarbeitungsverhältnis gemäß der gesetzlichen Ver-pflichtung zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.

§ 1 Anwendungsbereich
Die Vereinbarung findet Anwendung auf alle Tätigkeiten, die Gegenstand der Leistungsvereinbarung sind und bei deren Verrichtung Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer nach Maßgabe dieser Vereinbarung beauftragte Dritte mit personenbezogenen Daten in Berührung kommen, für die der Auftraggeber die gemäß § 3 Abs. 7 BDSG verantwortliche Stelle ist.

§ 2 Begriffsbestimmung
Diese Vereinbarung bezieht sich nur auf die Durchführung der technischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach einem vom Auftraggeber vorgegebenen Algorithmus (Auftragsdatenverarbeitung). Eine inhaltliche Aufgabenübertragung wird mit dieser Vereinbarung nicht getroffen.

§ 3 Konkretisierung des Auftragsinhalts
(1) Der Gegenstand und die Dauer der Auftragsdatenverarbeitung (§ 11 Abs. 2 S. 2 Nr. 1 BDSG) sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten (§ 11 Abs. 2 S. 2 Nr. 2 BDSG) sind in der Leistungsvereinbarung niedergelegt.
[Alternative 1 Konkretisierung der Datenarten in der Leistungsvereinbarung – falls nicht zutreffend, bitte streichen]
(2) Die Art der verwendeten personenbezogenen Daten ist in der Leistungsbeschreibung unter [Punkt/Ziffer/§] konkret beschrieben.
[Alternative 2 Konkretisierung der Datenarten in dieser Vereinbarung zur Auftragsdaten-verarbeitung – falls nicht zutreffend, bitte streichen]
(2) Folgenden Datenarten oder -kategorien sind Gegenstand der Erhebung, Verarbeitung und/oder Nutzung durch den Auftragnehmer: [Aufzählung oder Beschreibung der Datenarten oder –kategorien, z.B. Personaldaten, Kommunikationsdaten etc.].
[Alternative 1 Konkretisierung der Betroffenen in der Leistungsvereinbarung – falls nicht zutreffend, bitte streichen]
(3) Der Kreis der durch den Umgang mit ihren personenbezogenen Daten Betroffenen ist in der Leistungsbeschreibung unter [Punkt/Ziffer/§] konkret beschrieben.
[Alternative 2 Konkretisierung der Betroffenen in dieser Vereinbarung zur Auftragsdatenverarbeitung – falls nicht zutreffend, bitte streichen]
(3) Der Kreis der durch den Umgang mit ihren personenbezogenen Daten Betroffenen umfasst: [Aufzählung oder Beschreibung der betroffenen Personenkategorien, z.B. Beschäftigte etc.].

§ 4 Verantwortlichkeit und Weisungsbefugnis
(1) Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (§ 3 Abs. 7 BDSG). Er kann jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten verlangen (§ 11 Abs. 2 S. 2 Nr. 4 und 10 BDSG). Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftrag-nehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2) Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftrag-gebers erheben, verarbeiten oder nutzen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche An-ordnung des Auftraggebers. Die Weisungen werden zunächst durch die Leistungsverein-barung definiert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (§ 11 Abs. 2 S. 2 Nr. 9 BDSG).
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen daten-schutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
(4) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemein-sam abzustimmen und zu dokumentieren Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist ins-besondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
(5) Der Auftraggeber führt das Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 2 BDSG. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch Informationen zur Aufnahme in das Verfahrensverzeichnis zur Verfügung.
(6) Die Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers findet aus-schließlich auf dem Gebiet der Bundesrepublik Deutschland statt. Eine Verlagerung in einen Staat außerhalb des Hoheitsgebiets der Bundesrepublik Deutschland bedarf der vorherigen Zustimmung des Auftraggebers. Die besonderen Voraussetzungen der §§ 4b, 4c BDSG bleiben unberührt.
(7) Eine Verarbeitung von personenbezogenen Daten in Privatwohnungen der Mitarbeiter des Auftragnehmers (Telearbeitsplätze, Heimarbeitsplätze) ist nicht zulässig.
§ 5 Beachtung zwingender gesetzlicher Pflichten durch den Auftragnehmer
(1) Neben den vertraglichen Regelungen dieser Vereinbarung und der Leistungsvereinba-rung treffen den Auftragnehmer gemäß § 11 Abs. 4 BDSG die nachfolgenden gesetzlichen Pflichten.
(2) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftrag-gebers befassten Mitarbeiter gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsdatenverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.
[Alternative 1 Regelung weiterer Pflichten nicht-öffentlicher Stellen / Unternehmen als Auftragnehmer – falls nicht zutreffend, bitte streichen]
(3) Der Auftragnehmer hat nach Maßgabe des § 4f BDSG einen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß §§ 4f und 4g BDSG ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber zum Zwecke der direkten Kontaktauf-nahme mitzuteilen.
(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden nach § 38 BDSG oder falls eine Aufsichtsbehör-de nach §§ 43, 44 BDSG bei dem Auftragnehmer ermittelt.
[Alternative 2 Regelung weiterer Pflichten öffentlicher Stellen / Behörden als Auftrag-nehmer, einschließlich nicht-öffentlicher Stellen, deren Anteile mehrheitlich im Besitz der öffentlichen Hand sind – falls nicht zutreffend, bitte streichen]
(3) Der Auftragnehmer beachtet die Durchführungsbestimmungen und die Regelungen zur Datenschutzaufsicht des jeweils einschlägigen Datenschutzgesetzes.

§ 6 Technisch-organisatorische Maßnahmen und deren Kontrolle
(1) Die Vertragsparteien vereinbaren die in dem Anhang „Technisch-organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten technischen und organi-satorischen Sicherheitsmaßnahmen gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG in Verbindung mit § 9 BDSG. Er ist Gegenstand dieser Vereinbarung.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fort-schritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang „Technisch-organisatorische Maßnahmen“ festgelegten Maßnahmen nicht unterschritten werden. We-sentliche Änderungen sind zu dokumentieren.
(3) Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die entsprechen-den Nachweise verfügbar machen. Aufgrund der Kontrollverpflichtung des Auftraggebers gemäß § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann da-bei auch durch Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Da-tenschutzauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
(4) Der Auftraggeber kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des Auf-tragnehmers zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen (§ 11 Abs. 2 S. 2 Nr. 7 BDSG).

§ 7 Mitteilung bei Verstößen durch den Auftragnehmer
(1) Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen vertragliche oder gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers (§ 11 Abs. 2 S. 2 Nr. 8 BDSG).
(2) Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnah-men zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

§ 8 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.
(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch des Auftraggebers, jedoch spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftragge-bers datenschutzgerecht zu vernichten (§ 11 Abs. 2 S. 2 Nr. 10 BDSG). Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Auftraggeber auf Anforde-rung vorzulegen.
(3) Der Auftragnehmer kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 9 Subunternehmer
(1) Aufträge an Subunternehmer durch den Auftragnehmer dürfen nur mit vorheriger ausdrücklicher schriftlicher Genehmigung des Auftraggebers vergeben werden (§ 11 Abs. 2 S. 2 Nr. 6 BDSG). Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikati-onsdienstleistungen und Wartungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(2) Wenn Subunternehmer durch den Auftragnehmer eingeschaltet werden, hat der Auf-tragnehmer sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunter-nehmer so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer entspricht und alle gesetzlichen und vertraglichen Pflichten beachtet werden.
(3) Dem Auftraggeber sind in der vertraglichen Vereinbarung mit dem Subunternehmer Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten.

§ 10 Nebenleistungen
Die §§ 1 bis 8 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Ver-fahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen wer-den kann (§ 11 Abs. 5 BDSG).

§ 11 Datenschutzkontrolle
Der Auftragnehmer verpflichtet sich, dem/der BDS des Auftraggebers sowie dem Vertreter des BfDI zur Erfüllung seiner jeweiligen gesetzlichen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren.

§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Former-fordernis.
(2) Der Anhang „Technisch-organisatorische Maßnahmen“ ist Bestandteil dieser Vereinbarung.

Anhang „Technisch-organisatorische Maßnahmen nach § 9 BDSG
zur Vereinbarung zur Auftragsdatenverarbeitung vom [Datum] zwischen
dem Bundesministerium des Innern (BMI) und [Vertragspartner]

§ 5 der Vereinbarung zur Auftragsdatenvereinbarung verweist zur Konkretisierung der technisch-organisatorischen Datenschutzmaßnahmen auf diesen Anhang.

§ 1 Technische und organisatorische Sicherheitsmaßnahmen
Gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG in Verbindung mit § 9 BDSG sind die Vertragspartner verpflichtet, die technischen und organisatorischen Sicherheitsmaßnahmen festzulegen.

§ 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragnehmers
Der Auftragnehmer wird seine innerbehördliche oder innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

§ 3 Konkretisierung der Einzelmaßnahmen Im Einzelnen werden folgende Maßnahmen bestimmt:

Nr. – Maßnahme – [Umsetzung der Maßnahme]

1. Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
[Ergänzen, z.B. Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte (§ 6c BDSG), Schlüssel, Schlüsselvergabe, Werkschutz, Pförtner, Überwachungseinrichtung (§ 6b BDSG), Alarmanlage, Türsicherung]

2. Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
[Ergänzen, z.B. Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren (Beispiele: Kennwortverfahren, Automatische Sperrung, Einrichtung eines Benutzerstamm-satzes pro User, Verschlüsselung von Datenträgern)]

3. Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
[Ergänzen, z.B. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren](Beispiele: differenzierte Berechtigungen wie Profile, Rollen etc.
Auswertungen, Kenntnisnahme, Veränderung, Löschung)

4. Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
[Ergänzung, z.B. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren, elektronische Signatur]

5. Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
[Ergänzen, z.B. Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten, etwa durch Protokollie-rungs- und Protokollauswertungssysteme]

6. Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
[Ergänzen]Abgrenzung der Kompetenz zwischen Auftraggeber und Auftragnehmer (Beispiel: eindeutige Vertragsgestaltung, Kriterien zur Auswahl des Auftragnehmers, Kontrolle der Vertragsausführung)

7. Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
[Ergänzen, z.B. Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen, Maßnahmen zur Datensiche-rung](Beispiel: Backup-Verfahren, Spiegeln von Festplatten, unterbrechungsfreie Stromversorgung, Firewall, Notfallplan)

8. Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
[Ergänzen, z.B. Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten, Mandantenfähigkeit, Funktionstrennung zwischen Produktion / Test]