Startseite Informationen FAQs Mindestanforderungen bei der Datenverarbeitung / Wartung

FAQs

Mindestanforderungen bei der Datenverarbeitung / Wartung

Welche Mindestanforderungen bestehen bei der Datenverarbeitung / Wartung im Auftrag?


Der Auftraggeber (AG) hat den Auftragnehmer (AN) unter besonderer Berücksichtigung der Eignung der von diesem getroffenen personellen, technischen und organisatorischen Maßnahme sorgfältig auszuwählen. Der Auftraggeber ist für die Einhaltung des Datenschutzes und anderer Vorschriften verantwortlich. Der Auftrag und weitere Weisungen sind schriftlich zu erteilen.

Was ist vertraglich zu regeln?

  • Art und Umfang der Datenverarbeitung oder -nutzung bzw. der Wartung sowie die Vertragsdauer und Kündigungsfristen,
  • Zeitpunkt, Art und Weise der Datenübermittlungen (bzw. Datenträger, Programme, Ergebnisse bzw. Auswertungen) und die gesicherte Aufbewahrung der Daten beim AN,
  • Protokollierung der Systemleistungen und manipulationssichere Aufbewahrung durch den AN,
  • die alleinige Verfügungsberechtigung des AG für überlassene Datenträger, gefertigte Kopien usw.,
  • das Kontrollrecht des AG und des Sächsischen Datenschutzbeauftragten,
  • nicht mehr benötigte Daten (auch Test- und Ausschussmaterial) beim AN sicher löschen/vernichten oder AG aushändigen,
  • ergänzende personelle, technische und organisatorische Maßnahmen festlegen (falls der gewährleistete Schutz nicht ausreichend ist),
  • Abgrenzungsmaßnahmen zur Trennung der Datenverarbeitung von anderen Unternehmensbereichen,
  • Datenverarbeitung erst nach Freigabe des Verfahrens durch den AG,
  • Beauftragung von Subunternehmen nur nach Prüfung und schriftlichem Einverständnis des AG,
  • fristlose Kündigung (z.B. bei Verletzung der Datenschutzvorschriften), Vertragsstrafen, Haftung, Schadenersatz und Vergütung.

Welche personellen Anforderungen muss der AN erfüllen?

  • die fachliche Kompetenz und die Zuverlässigkeit des Personals,
  • die Verpflichtung der Mitarbeiter des AN auf das Datengeheimnis (§ 6 SächsDSG) oder gegebenenfalls nach dem Verpflichtungsgesetz.

Welche Mindestanforderungen sind zusätzlich bei Wartung/Fernwartung umzusetzen?

  • Die Online-Verbindung für die Fernwartung sollte automatisch (z. B. über festgelegte Rufnummern, die im IT-System eingestellt sind) unter Mitwirkung des Systemverwalters des AG für das zu wartenden IT-System aktiviert werden.
  • Notwendige Datenübertragungen sind ausreichend zu schützen (z. B. durch Verschlüsselung) und zu protokollieren. Ausnahmen sind zu begründen.
  • Bei jedem Wartungsvorgang hat sich das beauftragte Wartungspersonal des AN zu identifizieren und zu autorisieren (z. B. mit einem vereinbartem Passwort).
  • Die Wartungs- und Fernwartungsaktivitäten sind vom AG mitzuverfolgen und ggf. zu unterbrechen.
  • Das Wartungspersonal sollte keine Administratorrechte erhalten.
  • Sofern möglich, ist der Zugriff auf personenbezogene Daten während der Wartung/Fernwartung durch entsprechende Vergabe der Zugriffsrechte oder durch physikalische Abkopplung der Dateien mit personenbezogenen Daten zu unterbinden. Anderenfalls ist das Einspielen von Änderungen ins Betriebssystem und in systemnahe Software durch die Fernwartungszentrale abzulehnen und ausschließlich an Ort und Stelle durchzuführen.
  • Die Übernahme der Änderungen ist erst nach Freigabe durch den AG vorzunehmen.
  • Wartungs- und Fernwartungsaktivitäten sind zu kontrollieren, revisionssicher aufzuzeichnen und geschützt aufzubewahren.