Rahmenvertrag für die Auftragsverarbeitung (Art. 28 DS-GVO)
Dokumentenstand 05.04.2023
Präambel
Dieser Rahmenvertrag konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus bestehenden oder künftigen Verträgen (nachfolgend einheitlich der "Hauptvertrag") zwischen der Dräger Safety AG & Co. KGaA, Revalstraße 1, 23560 Lübeck oder – sofern im Hauptvertrag entsprechend vorgesehen – anderen Gesellschaften der Dräger-Gruppe (nachfolgend einheitlich „Auftragnehmer“) und dem Unternehmen, welches die gegenständlichen Leistungen beauftragt (nachfolgend „Auftraggeber“), ergeben, soweit diese eine Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DS-GVO) zum Gegenstand haben.
Um die datenschutzgerechte Erledigung aller im Hauptvertrag vereinbarten Leistungen sicherzustellen, vereinbaren die Parteien, zusätzlich zu den in den Hauptverträgen bereits getroffenen Vereinbarungen zum Datenschutz, das Folgende:
1.Anwendungsbereich
-
Der Auftragnehmer ist gemäß Hauptvertrag vom Auftraggeber mit der Erbringung von Leistungen beauftragt. Dies dient als ergänzendes Alarmierungsmittel mit den Grundfunktionen Einsatzbenachrichtigung, Bereitstellung von Einsatzinformationen, Übermittlung von Einsatzdaten, Informationsaustausch, Administration und Alarmmonitor. Dabei ist nicht auszuschließen, dass der Auftragnehmer im Zuge der vertragsgemäßen Durchführung der Leistungen die Möglichkeit des Zugriffs auf personenbezogene Daten, die vom Auftraggeber als Verantwortlichem dieser Daten oder aus der Sphäre des Auftraggebers stammen (nachfolgend: „Auftraggeberdaten“), hat und diese verarbeiten wird.
-
Die in diesem Vertrag über die Auftragsverarbeitung enthaltenen Anforderungen gelten für alle Datenverarbeitungsvorgänge durch den Auftragnehmer im Rahmen der Erbringung der vertraglich geschuldeten Leistungen. Er ergänzt und konkretisiert die Regelungen zum Datenschutz im Hauptvertrag. Im Fall von Widersprüchen zu dem Hauptvertrag gehen die Regelungen dieses Rahmenvertrags vor. Hat eine Folgebeauftragung Abweichungen zur Folge, so sind diese in einem Zusatz zu regeln, der Bestandteil dieses Rahmenvertrages wird.
2.Auftragsinhalt
-
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenkategorien:
-
Einsatzinformationen
-
Personenstammdaten
-
Kommunikationsdaten (z.B. Telefon)
-
Vertragsstammdaten
-
Nutzungsdaten aus Telemediendiensten (z.B. von der EMS-Verwaltung)
-
Protokolldaten von IT-Systemen (z.B. Zugriffsprotokolle)
-
Daten zur Verfügbarkeit im Einsatzfall
-
-
Von der Verarbeitung betroffen sind folgende Personengruppen:
-
Beschäftigte oder Einsatzkräfte
-
Administratoren
-
Fremde Personen: betroffene Person, meldende Person oder anderweitig beteiligte Personen
-
3.Pflichten des Auftragnehmers
-
Der Auftragnehmer beachtet bei der Verarbeitung von Auftraggeberdaten die am Sitz des Auftraggebers geltenden Datenschutzgesetze und in jedem Fall mindestens die Anforderungen der Datenschutzgrundverordnung (DS-GVO), sowie des Bundesdatenschutzgesetzes (BDSG), jeweils, soweit diese für Leistungen des Auftragnehmers gelten, insbesondere Art. 28 DS-GVO. Dies gilt nur, soweit nicht gesetzlich zwingend der Vorrang eines bestimmten Datenschutzgesetzes angeordnet ist. Der Auftragnehmer hat die innerbetriebliche Organisation so gestaltet, dass sie den gesetzlichen Anforderungen des Datenschutzes gerecht wird.
-
Der Auftragnehmer verarbeitet Auftraggeberdaten nur im Rahmen des Auftrags und entsprechend den mindestens in Textform erteilten Weisungen des Auftraggebers. Der Auftraggeber ist und bleibt als speichernde und verantwortliche Stelle der „Herr der Daten“.
-
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach einer mindestens in Textform erteilten Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
-
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen die DS-GVO oder andere Vorschriften über den Datenschutz verstößt, weist der Auftragnehmer den Auftraggeber mindestens in Textform darauf hin. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Der Auftrag-nehmer unterrichtet den Auftraggeber auf dem gleichen Weg bei schwerwiegenden Störungen des Betriebsablaufes, der Verletzung des Schutzes personenbezogener Daten oder anderen wesentlichen Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten. Ebenso wird der Auftragnehmer Verstöße gegen Weisungen des Auftraggebers unaufgefordert anzeigen. Der Auftragnehmer unterrichtet den Auftraggeber außerdem unverzüglich, wenn eine Aufsichtsbehörde ihm gegenüber tätig wird und das Vorgehen die Auftragsverarbeitung aus diesem Rahmenvertrag betrifft.
-
Der Auftragnehmer ist verpflichtet, bei der Verarbeitung von Auftraggeberdaten ausschließlich Personen einzusetzen, die zur Vertraulichkeit verpflichtet wurden und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
-
Der Auftragnehmer bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Dieser Datenschutzbeauftragte ist unter der E-Mail
dataprivacy@draeger.com zu erreichen. -
Nach Abschluss der Vertragsbeziehung wird der Auftragnehmer alle personenbezogenen Auftraggeberdaten in Abstimmung mit dem Auftraggeber zurückgeben oder löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Ziffer 10 gilt ergänzend.
-
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, und andere rechtlich zwingend vorzuhaltende Dokumente sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
-
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören
-
die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine Feststellung von relevanten Verletzungsereignissen ermöglichen.
-
die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber zu melden.
-
die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche vorliegenden relevanten Informationen zeitnah zur Verfügung zu stellen.
-
die Unterstützung des Auftraggebers bei einer Datenschutz-Folgenabschätzung.
-
die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. Im Zweifel gelten die allgemeinen Stunden- und Tagessätze des Auftragnehmers.
-
Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit sie sich auf konkret auf die Auftraggeberdaten beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Verarbeitung von Auftraggeberdaten beim Auftragnehmer ermittelt.
-
Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
-
Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei wird das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten.
-
Der Auftragnehmer führt ein Verzeichnis über alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Er stellt dieses Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung.
4.Unterauftragnehmer
-
Leistungen von Unterauftragnehmern sind Leistungen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Post-, Transport- oder Reinigungsdienstleistungen in Anspruch nimmt. Der Auftragnehmer ist gleichwohl verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Auftraggeberdaten auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
-
Der Auftraggeber stimmt zu, dass der Auftragnehmer Unterauftragnehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Unterauftragnehmer informiert der Auftragnehmer den Auftraggeber und gibt diesem Gelegenheit, dem innerhalb angemessener Frist (zumindest 28 Tage) bei Vorliegen wichtiger Gründe zu widersprechen. Ein Widerspruch berechtigt den Auftragnehmer zur sofortigen Kündigung dieses Vertrags sowie des zugehörigen Hauptvertrags. Eine Auflistung bereits bei Unterzeichnung dieses Vertrags eingesetzter Unterauftragnehmer findet sich in der Anlage 1 im Rahmen der Darstellung der unterschiedlichen Leistungsmodule. Der Einsatz der in Anlage 1 aufgezählten Unterauftragnehmer gilt hiermit als genehmigt.
-
Zusätzlich zu den in der Anlage 1 spezifizierten Unterauftragnehmern kann es vorkommen, dass im Rahmen der Leistungserbringung Dräger-Konzerngesellschaften eingebunden werden jeweils mit Sitz in Deutschland.
-
Werden Unterauftragnehmer eingesetzt, gewährleistet der Auftragnehmer die vertragliche Absicherung des Datenschutzes auf dem durch diesen Rahmenvertrag festgelegten Niveau und die Ergreifung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO durch den Unterauftragnehmer.
-
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen nach Art. 44 ff. DS-GVO sicher. Gleiches gilt, wenn Dienstleister im Sinne von Ziffer 4.1 Abs. 1 Satz 2 eingesetzt werden sollen.
5.Pflichten des Auftraggebers
-
Der Auftraggeber beurteilt die Zulässigkeit der Verarbeitung von Auftraggeberdaten durch den Auftragnehmer im Rahmen des Hauptvertrags gemäß den Regelungen der DS-GVO und anderer anzuwendender Vorschriften über den Datenschutz. Der Auftraggeber stellt sicher, dass die Auftraggeberdaten zweifelsfrei aus dem Herrschaftsbereich des Auftraggebers stammen und ordnungsgemäß erhoben wurden bzw. werden.
-
Der Auftraggeber wird den Auftragnehmer unverzüglich über festgestellte Fehler oder Unregelmäßigkeiten unterrichten, insbesondere bei der Prüfung der Ergebnisse der Auftragsdatenverarbeitung.
-
Der Auftraggeber wahrt die Rechte der Betroffenen. Der Auftraggeber ist für die Informationspflichten gegenüber Dritten verantwortlich, insbesondere nach Art. 33, 34 DS-GVO. Der Auftragnehmer unterstützt den Auftraggeber bei dieser Pflicht durch zur Verfügungstellung der erforderlichen Informationen.
-
Der Auftraggeber erteilt dem Auftragnehmer unverzüglich die zur Beantwortung von Auskunftsverlangen der Datenschutzaufsichtsbehörde (Art. 58 DS-GVO) nötigen Weisungen.
-
Soweit der Auftraggeber die Auftraggeberdaten selbst als Auftragsverarbeiter für einen Dritten verarbeitet und die Tätigkeit des Auftragnehmers daher eine Unterauftragsdatenverarbeitung darstellt, stellt der Auftraggeber sicher, dass der Dritte "Herr der Daten" und Verantwortlicher im Sinne der DS-GVO bleibt und die ihm nach der DS-GVO zustehenden Rechte hat. Der Auftraggeber beauftragt den Auftragnehmer in diesen Fällen nur, wenn er zuvor die Genehmigung des Dritten eingeholt hat. Er stellt außerdem sicher, dass dem Auftragnehmer die gleichen Datenschutzpflichten auferlegt werden, wie dem Auftraggeber selbst aus dem Auftragsverarbeitungsvertrag mit dem Dritten auferlegt sind. Der Auftraggeber wird bei mehreren Auftraggebern vertraglich Vorsorge tragen, dass solche Anfragen vom Auftraggeber koordiniert und gesammelt werden und vom Auftraggeber stellvertretend für die Dritten bearbeitet werden. Dies gilt nicht bei konkreten erheblichen Beanstandungen der Dritten, für die der Auftragnehmer verantwortlich ist.
-
Der Auftraggeber stellt den Auftragnehmer von Ansprüchen Dritter frei, einschließlich der Kosten der angemessenen Rechtsverteidigung, die in Zusammenhang mit der Auftragsdatenverarbeitung erhoben werden. Im Hauptvertrag vereinbarte Haftungsbeschränkungen gelten insofern nicht. Der Freistellungsanspruch besteht nicht, soweit ein Schaden des Dritten seine Ursache in einer schuldhaften Verletzung der Pflichten aus dieser Vereinbarung zum Datenschutz durch den Auftragnehmer hat oder der Auftragnehmer eine ihn aus
Art. 82 Abs. 2 Satz 2 DS-GVO treffende Pflicht schuldhaft verletzt.
-
Allgemeine Weisungen des Auftraggebers für den Umgang mit Auftraggeberdaten bedürfen mindestens der Textform. Mündliche Weisungen des Auftraggebers im Einzelfall dürfen nur durch hierzu autorisierte und dem Auftragnehmer im Vorfeld ausdrücklich benannte Personen erfolgen. Mündliche Weisungen sind durch den Auftraggeber mindestens in Textform zu bestätigen.
6.Besonders geschützte Daten
-
Die Regelungen dieser Ziff. 6 gelten vorrangig für den Umgang mit besonders geschützten Daten i.S.d. Art. 9 DS-GVO, insbesondere für Gesundheitsdaten, für Patientendaten („Besondere Auftraggeberdaten“). Der Auftraggeber wird dafür Sorge tragen, dass der Auftragnehmer bei der Durchführung der vertraglichen Leistungen keinen Zugriff auf besondere Auftraggeberdaten hat. Insoweit eine Zugriffsmöglichkeit auf solche besonderen Auftraggeberdaten nicht verhindert werden kann, stellt der Auftraggeber durch geeignete organisatorische und vertragliche Vorkehrungen sicher, dass dies in rechtlich zulässiger Weise möglich ist.
-
Der Auftraggeber ist verpflichtet, seinen Informationspflichten gegenüber den Datensubjekten, umfassend nachzukommen.
-
Mitarbeiter des Auftragnehmers, die im Rahmen ihrer Aufgaben Einblick in Besondere Auftraggeberdaten erhalten können, werden regelmäßig zum ordnungsgemäßen Umgang mit personenbezogenen Daten geschult und zur Geheimhaltung von besonders geschützten Daten verpflichtet.
7.Kontrollen
-
Der Auftraggeber hat sich gemäß Art. 28 Abs. 1 DS-GVO vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Auftraggeberdaten durch den Auftragnehmer zu überzeugen.
-
Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Der Auftraggeber kann die laufende Prüfung durch Stichprobenkontrollen vornehmen und sich von der Einhaltung dieser Vereinbarung überzeugen. Hierzu kann der Auftragnehmer Technisch Organisatorische Maßnahmen sowie Testate von Wirtschaftsprüfern, der hauseigenen Revision oder Auditabteilung oder Auditberichte zur IT-Sicherheit und/oder Datenschutz vorlegen.
-
Der Auftraggeber hält außer in besonders zu begründenden dringlichen Fällen eine Anmeldefrist von mindestens zehn (10) Arbeitstagen (Montag bis Freitag, ausgenommen örtliche Feiertage) ein. Die Prüfung darf den Geschäftsbetrieb des Auftragnehmers nach Möglichkeit nicht beeinträchtigen. Das Ergebnis der Kontrollen wird durch den Auftraggeber in einem Protokoll dokumentiert.
8.Haftung
-
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung. Eventuelle Haftungsbeschränkungen des Hauptvertrages gelten entsprechend.
9.Vertragslaufzeit, Vertragsende
-
Die Dauer dieses Vertrages zur Auftragsdatenverarbeitung entspricht der Laufzeit des Hauptvertrages. Mit Beendigung des Hauptvertrages ist auch dieser Vertrag beendet. Es gelten die Kündigungsregelungen des Hauptvertrages.
-
Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
-
Für den Fall fehlender Regelungen zur Vertragslaufzeit gilt dieser Vertrag zur Auftragsdatenverarbeitung auf unbestimmte Zeit abgeschlossen. Beide Parteien können diesen Vertrag mit einer Frist von sechs Monaten zum Ende eines Kalendervierteljahres schriftlich kündigen.
-
Soweit zwischen den Parteien bereits Auftragsverarbeitungsverträge bestehen, werden diese durch den vorliegenden Vertrag ersetzt.
10.Schlussbestimmungen
-
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlichen“ im Sinne der EU-DSGVO liegen.
-
Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieses Vertrages zur Auftragsverarbeitung unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
-
Der Auftragnehmer wird auch über das Ende des jeweiligen Vertrags hinaus Stillschweigen über die Auftraggeberdaten bewahren.
-
Mit Ende des Hauptvertrages gibt der Auftragnehmer die Auftraggeberdaten samt Datenträger heraus oder vernichtet sie auf Wunsch nach dem Stand der Technik unwiederbringlich. Der Auftragnehmer ist auch dann zur Vernichtung berechtigt, wenn die Auftraggeberdaten weder geholt werden noch innerhalb von sechs (6) Wochen nach dem Ende des Hauptvertrags Weisung zur Vernichtung erteilt wird. Ausgenommen sind zwingend aufzubewahrende Daten und Datenträger, für die diese Vereinbarung bis zu deren Vernichtung fort gilt.
-
Es gibt keine mündlichen Nebenabreden. Änderungen und Ergänzungen dieses Rahmenvertrags bedürfen der Schriftform (elektronische Form – etwa via elektronischer Signatur – genügt). Dies gilt auch für den Verzicht auf das Schriftformerfordernis. Durch E-Mail wird die Schriftform nicht gewahrt. Im Tagesgeschäft kann die Kommunikation auch elektronisch mit Wirkung für und gegen die jeweilige Partei erfolgen, wenn nicht ausdrücklich Schriftform vereinbart wurde. Erkennbar von einer Partei ausgehende elektronische Kommunikation wird dieser zugerechnet.
Die folgenden Anlagen stellen einen wesentlichen Bestandteil dieses Vertrages dar:
-
Anlage 1 - Unterauftragnehmer
-
Anlage 2 – Technische und Organisatorische Maßnahmen
Anlage 1 – Unterauftragnehmer
Unterauftragnehmer / Funktion
-
Microsoft Ireland Operations Limited, Dublin / Hosting
-
Google Ireland Limited, Dublin / Beistellung Kartennutzung, Bereitstellung Push Benachrichtigung Dienst, Bereitstellung Geocoding
-
Amazon Web Services, Inc., Seattle, USA / Einsatzinformation in Sprache - Umwandlung
-
Fox-112, Hamburg, Deutschland / Übermittlung von Stammdaten der Einsatzkräfte, Terminen, Fahrzeugdaten und Wasserentnahme-stellen
-
Drägerwerk AG & Co. KGaA / Bereitstellung und Support
Anlage 2: Technische und organisatorische Maßnahmen der Dräger Gruppe
Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 28 und 32 DSGVO sowie zum Schutz von Geschäftsgeheimnissen
Inhalt
1. Vertraulichkeit der Systeme und Dienste 8
1.1 Zutrittskontrolle 8
1.2 Zugangskontrolle 8
1.3 Zugriffskontrolle 9
1.4 Pseudonymisierung und Verschlüsselung 9
2. Integrität der Systeme und Dienste 10
2.1 Eingabekontrolle 10
2.2 Weitergabekontrolle 10
2.3 Trennungskontrolle 10
3. Verfügbarkeit und Belastbarkeit der Systeme und Dienste 11
3.1 Verfügbarkeitskontrolle 11
3.2 Belastbarkeit 11
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung 11
4.1 Datenschutz- und Sicherheitsmaßnahmen 11
4.2 Incident-Response-Management 12
4.3 Auftragskontrolle 12
-
Vertraulichkeit der Systeme und Dienste
1.1 Zutrittskontrolle
Zutrittskontrolle fasst jene Maßnahmen zusammen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Bei Dräger erfolgt eine Zutrittskontrolle für den Zutritt zu den Betriebsstätten bzw. Niederlassungen über folgende Maßnahmen:
-
Berechtigungsgesteuerte Zutrittsausweise (Kartenlesegeräte an den Haupt- und Nebentoren des Firmengeländes) und/oder manuelle Schließsysteme mit Schlüsselregelung und/oder Codesperre
-
Besuchermanagement (Empfang, Protokoll, Begleitung, visuelle Kennzeichnung)
-
Alarmanlagen und Gebäudeüberwachung
-
Sicherung der Werksgelände in Lübeck durch sorgfältig ausgewähltes Wachpersonal
-
Sorgfältige Auswahl der Reinigungsdienste
1.2 Zugangskontrolle
Zugangskontrolle fasst jene Maßnahmen zusammen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt oder auf diese unberechtigt zugegriffen werden können.
Bei Dräger wird die unbefugte Nutzung von IT-Systemen verhindert durch folgende Maßnahmen:
-
Login mit User-ID und Passwort
-
Bildschirmsperre mit Passwortaktivierung
-
Fernwartung nur über ein Portalsystem mit eigenen Zugriffscodes und einem dedizierten Berechtigungskonzept oder über eine individuelle Sitzungsfreigabe durch den Nutzer.
-
Jeder Berechtigte verfügt über ein eigenes, nur ihm bekanntes Passwort. Die Passwortkomplexität und Änderungszyklen richten sich nach dem Stand der Technik, entsprechend den Vorgaben des BSI
-
Mehrfaktor Authentifizierung
-
Zentrale Vorgaben zur Löschung/Vernichtung
-
Zentral gesteuerte Datenschutz- und Informationssicherheitsbestimmungen und dazu gehöriges Schulungskonzept mit verpflichtenden Schulungen
-
Durchsetzung der Policies durch Endgerätemanagement (MDM, MEM)
-
Funktionelle Zuordnung der Datenendgeräte zu Nutzern
-
Ein dediziertes Rollen-/ Rechtekonzept für jedes Gerät
1.3 Zugriffskontrolle
Zugriffskontrolle steht für jene Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Für die relevanten IT-Systeme, mit denen personenbezogene Daten verarbeitet werden, bestehen Berechtigungskonzepte, mit denen der Zugriff auf darin gespeicherte personenbezogene Daten aus technischer Sicht nur denjenigen Anwendern möglich gemacht wird, die dazu auch die erforderliche Rolle/ die damit verbundene Berechtigung besitzen.
Speichermedien des Auftraggebers, die von Dräger Mitarbeitern außer Betrieb genommen werden, werden einem kontrollierten und dokumentierten Zerstörungsprozess zugeführt.
Durch den Auftragnehmer zum Zwecke der Leistungserbringung erstellte Kopien in Papierform werden – sofern auf Dräger Werksgeländen – mit Aktenvernichtern oder in verschlossenen Datenschutzcontainer entsorgt, die in einem datenschutzrechtlich freigegebenen Verfahren von einem spezialisierten Dienstleister entsorgt werden, mit dem ein Auftragsverarbeitungsvertrag besteht. Sollten Kopien in Papierform beim Kunden entsorgt werden, werden die dortigen Vorgaben bzw. Prozesse befolgt.
Jeder Mitarbeiter wird zu Beginn seines Arbeitsverhältnisses auf das Datengeheimnis verpflichtet und erhält eine Einführung zum Umgang mit personenbezogenen Daten sowie Betriebs- und Geschäftsgeheimnissen der Auftraggeber.
Diese Verpflichtung auf das Datengeheimnis besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.
Alle Informationen und Dokumente bei Dräger werden anhand von Klassifizierungen der Vertraulichkeit eingestuft. Auf Grundlage dieser Klassifizierungen (public/internal/confidential/strictly confidential) sind technische und organisatorische Schutzmaßnahmen definiert.
1.4 Pseudonymisierung und Verschlüsselung
Die Verarbeitung erfolgt nach Möglichkeit in einer Weise, dass die Daten ohne Hinzuziehung weiterer Informationen nicht mehr einer betroffenen Person zugeordnet werden können (pseudonymisiert). Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maßnahmen (bspw. Verschlüsselung).
Dräger nutzt bei seinen elektronischen Verfahren in der Regel möglichst umfassende Verschlüsselung in Verbindung mit Berechtigungssystemen. Dadurch wird gesteuert, wer Zugriff auf die zu schützenden Daten hat. Es gibt dabei kontextspezifische Ansatzpunkte zur Verschlüsselung und Schlüsselmanagement, die das „need to know“ Prinzip befolgen. Für die Wahl der richtigen Technologie und Umfang der Verschlüsselung ist dabei sowohl die Sicherheit aber auch Funktionalität des Produktes ausschlaggebend.
Folgende konkrete Maßnahmen sind standardmäßig etabliert:
-
Festplatten in Arbeitsrechnern werden mit BitLocker verschlüsselt
-
USB-Sticks werden Hardware-verschlüsselt (AES 256 bit) zur Verfügung gestellt
Es bestehen interne Vorgaben, personenbezogene Daten, die für Kunden verarbeitet werden, nach den Prinzipien von „Privacy by Design“ zu verarbeiten (Datenminimierung, Datentrennung, Speicherbegrenzung, technische Schutzmaßnahmen, Pseudonymisierung und Anonymisierung).
-
Integrität der Systeme und Dienste
2.1 Eingabekontrolle
Eingabekontrolle steht für jene Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Folgende Maßnahmen werden dazu standardmäßig bei Dräger umgesetzt:
-
Protokollierung der Eingabe, Änderung und Löschung von Datensätzen
-
Nachvollziehbarkeit durch eindeutige Login-Daten
-
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten
-
Monitoring von Unregelmäßigkeiten, auch in den Anmeldeversuchen, über ein automatisiertes SIEM (Security Incident Event Management) überwacht, das von einem dedizierten SOC (Service Operation Center) betrieben und ausgewertet wird
2.2 Weitergabekontrolle
Die Weitergabekontrolle fasst jene Maßnahmen zusammen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Auf den Rechnern und im Netz von Dräger werden die folgenden Sicherheitsmaßnahmen standardmäßig verwendet:
-
Virenschutz auf allen von Dräger zur Verfügung gestellten Endgeräten
-
Netzwerksegmentierung
-
Firewalls an den Netzwerkgrenzen und Netzwerksegmenten
-
Einsatz von Spamfilter mit kontinuierlichen Aktualisierungen
-
VPN (Virtual Private Networks) ins Dräger Global Network
-
Content Filter / Proxys und DMZ (Demilitarisierte Zonen)
-
IPS /IDS (Intrusion Detection /Prevention Systems) an den Internet Outbreaks
-
Verschlüsselung von E-Mails (über S/MIME)
-
Prozesse zur elektronischen Signatur etabliert
-
Patch- und Updatemanagement für die Endgeräte
2.3 Trennungskontrolle
Die Trennungskontrolle beinhaltet all jene Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Durch die folgenden Maßnahmen ist die Sicherung der getrennten Speicherung, Veränderung, Löschung und Übermittlung von Daten mit unterschiedlichen Vertragszwecken gewährleistet:
-
Mandantenfähige Anwendungen und logische Mandantentrennung
-
Funktionale Trennung in Produktiv-, Test- und Entwicklungsumgebung
-
Steuerung über Berechtigungskonzept
-
Festlegung von Datenbankzugriffsrechten
-
Verfügbarkeit und Belastbarkeit der Systeme und Dienste
3.1 Verfügbarkeitskontrolle
Verfügbarkeitskontrolle und Notfallplanung beschreibt jene Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Folgende Maßnahmen sind standardmäßig für die Bereitstellung von Infrastruktur bei Dräger implementiert:
-
Feuer- und Rauchmeldeanlagen
-
Wasserfreie Feuerlöschsysteme in Serverräumen
-
Klimatisierung und Überwachung der Serverräume
-
USV (Unterbrechungsfreie Stromversorgung) mittels Diesel-Generatoren
-
NAS Speichersysteme, die RAID Systeme / Festplattenspiegelung beinhalten
-
Aktive Überwachung zentraler Systeme und Alarming mit Wiederherstellungsprozessen
-
Backup Verfahren mit Anwendungsspezifischen Zyklen
3.2 Belastbarkeit
Belastbarkeit wird als eine Kombination von Robustheit und Resilienz verstanden. Dabei beinhaltet Robustheit eine Härtung der eingesetzten Komponenten entsprechend dem Risikoniveau und Resilienz die Maßnahmen, die getroffen werden, um auch auf unerwartete Störungen reagieren zu können.
Die bei Dräger eingesetzten IT-Systeme werden gemäß ihres Einsatzes gehärtet sowie regelmäßig auf Schwächen geprüft sowie Penetrationstests von externen Anbietern durchgeführt. Identifizierte Sicherheitslücken werden bewertet und umgehend behoben.
Selbst entwickelte Software wird zusätzlich regelmäßig von einem Risikomanagementsystem auf die OWASP10 Kriterien geprüft.
Um auf unvorhergesehene Zwischenfälle reagieren zu können, ist bei Dräger in der IT ein Security Incident Response Management Prozess etabliert, der für besonders kritische Fälle auch die Einberufung eines CERT (Computer Emergency Response Team) vorsieht.
Darüber hinaus werden im Dräger IT Security Team folgende Themen kontinuierlich betrieben und optimiert:
-
Vulnerability Management
-
Forensic systems
-
Cyber Threat Intellicence
-
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz- und Sicherheitsmaßnahmen
Das bei Dräger implementierte Datenschutzmanagementsystem besteht aus Richtlinien, Schulungen und einem Tool-gestützten Verzeichnis von Verarbeitungstätigkeiten, die vom Team „Datenschutz & Informationssicherheit“ (das vom Datenschutzbeauftragten geführt wird) betrieben wird. Das Verzeichnis wird kontinuierlich aktualisiert. Zur Meldung neuer oder veränderter Datenverarbeitungsverfahren an den Datenschutzbeauftragten sind Prozesse etabliert und geschult. Bei Bedarf wird eine Datenschutz-Folgeabschätzung durchgeführt, um eine sichere Verarbeitung zu wahren.
Zur Wahrung der datenschutzfreundlichen Voreinstellungen werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. Die Umsetzung wird überdies durch Vorgaben und Merkblätter sichergestellt. Darüber hinaus ist eine einfache Ausübung des der Betroffenenrechte durch technische und organisatorische Maßnahmen implementiert.
Die Organisation kommt auch den Informationspflichten nach Art. 13 und 14 DS-GVO nach.
Für die eingesetzten IT-Systeme werden die umgesetzten Maßnahmen in Sicherheitskonzepten festgehalten und hinsichtlich der Wirksamkeit der technischen Maßnahmen regelmäßig überprüft.
Die Mitarbeiter werden regelmäßig für den sicheren Umgang mit personenbezogenen Daten sensibilisiert und geschult sowie mit ihrem Arbeitsvertrag zur Vertraulichkeit verpflichtet. Darüber hinaus existiert eine zentrale, toolgestützte Dokumentation der Verfahrensweisen und Regelungen zum Datenschutz bei Dräger.
4.2 Incident-Response-Management
Zum Incident-Response-Management werden die Maßnahmen genannt, die zur Unterstützung bei der Reaktion auf Sicherheitsverletzungen dienen.
Es existiert ein im Risikomanagement und IT-Management verankerter Prozess zur Vorbereitung und zur Identifizierung und Behebung von Sicherheitsverletzungen und Systemstörungen. Außerdem gibt es einen Prozess zur Meldung von Sicherheitsvorfällen (auch im Hinblick auf Meldepflicht an die Aufsichtsbehörden). Hierbei ist auch die Einbindung des Datenschutzbeauftragten geregelt. Jegliche Sicherheitsvorfälle werden über ein Ticketsystem gesteuert sowie zentral dokumentiert und abgelegt. Durch einen ausführlichen End Of Day Report werden die täglich getroffenen Maßnahmen zur Risikoprävention eines Sicherheitsvorfalls festgehalten.
Nach dem Abschluss eines Sicherheitsvorfalls sieht der Prozess vor, dass als Nachbereitung im Rahmen des CERT auch ein „Lessons Learned“ durchgeführt wird.
4.3 Auftragskontrolle
Unter Auftragskontrolle sind jene Maßnahmen zusammengefasst, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Sofern ein anderes Unternehmen als Auftragsverarbeiter („Subunternehmer“) Dienstleistungen für Dräger erbringt und in diesem Zusammenhang auch personenbezogene Daten erhoben, verarbeitet und genutzt werden, trägt Dräger dafür Sorge, dass der „Subunternehmer“ sorgfältig ausgewählt wird und die Auswahl sich insbesondere an dem Aspekt des Schutzes personenbezogener Daten orientiert. Die Beauftragung von Dienstleistern erfolgt, neben den gesetzlichen Anforderungen, auf der Basis der bei Dräger gültigen Standards.
Weiter ist eine Information an den Bereich Datenschutz sowie eine Kontrolle des Auftragnehmers im Hinblick auf die von ihm getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit vorzunehmen. Dräger verpflichtet seine Auftragnehmer, die gesetzlichen Vorgaben zum Schutz personenbezogener Daten zu treffen und insbesondere auch auf Anfrage nachzuweisen, dass die Mitarbeiter, die im Rahmen der Erbringung von Leistungen für Dräger tätig werden, auf das Datengeheimnis verpflichtet wurden. Dräger nimmt von seinem Recht Gebrauch, schriftliche Weisungen bezüglich Art, Zweck und Umfang der Verarbeitung personenbezogener Daten an den Auftragnehmer erteilen und die Einhaltung der Vorgaben durch Kontrollen sicherstellen. Auch der Einsatz weiterer Untersubunternehmer ist nur nach vorheriger Mitteilung an Dräger möglich.
Die Vernichtung von Daten nach Beendigung des Auftrags wird durch bindende Regelungen im Vertragsverhältnis sichergestellt.
Dräger verpflichtet bei Vorliegen einer Bestellpflicht die Subunternehmer zur Bestellung eines Datenschutzbeauftragten.
Die eingesetzten Auftragsverarbeiter wurden durch einen Vertrag zur Auftragsverarbeitung (AVV) zur Einhaltung der datenschutzrechtlichen Anforderungen verpflichtet. Bei Transfer der Daten in ein Drittland werden dem Subunternehmer zudem die EU-Standardvertragsklauseln auferlegt, sofern nicht durch einen Angemessenheitsbeschluss ausgenommen.
Die relevanten Auftragnehmer sind:
-
Dienstleister zum Betrieb und Management der Client Rechner sowie der darauf genutzten Software
-
Dienstleister Betrieb und Management des Netzes und der Netzzugänge
-
Dienstleister zur Entsorgung von Papierbasierten Dokumenten und elektronischen Speichermedien