Drücke "Enter", um den Text zu überspringen.

Mustervertrag-ADV-DS-GVO

» Zurück zu: Downloadbereich Kunden

Mustervertrag-ADV-DS-GVO.docx

Es handelt sich hier um einen Mustervertrag, der entsprechend den tatsächlichen vertraglichen Verhältnissen anzupassen ist.

Unsere Vorlage basiert auf dem Mustervertrag der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Anwendungsbereich

Prüfen Sie den Bedarf für dieses Dokument bitte intern oder in Abstimmung mit Ihrer DSB, denn es sind nicht automatisch für alle externen Dienstleister ADV Verträge notwendig. Manchmal reicht bereits eine einfache Verpflichtung auf das Datengehemins oder eine Klauselanpassung im NU-Vertrag.

Was, Wer, Wie, Warum

ADV Vertrag = Ein Vertrag über die Auftragsdatenverarbeitung (Verarbeitung von Daten im Auftrag). Stichwort Outsourcing, outgesourcte Prozesse.

Dieses Dokument betrifft die Auftragnehmer, welche von Ihnen zur direkten Bearbeitung von Daten beauftragt werden.

Eine Forderung zur dokumentierten Ausgestaltung von Rahmenbedingungen (Vertragsform) bei einem ADV-Prozess wird in Art. 28 Abs. DS-GVO gefordert und ist hier » „externer Link“ weiter beschrieben.

Siehe auch:

Datenschutzdokumentationswahnsinn ADV Vertrag

 

Das Dokument Anlage 1 TOM-ADV-DS-GVO fordert die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs), die Ihr Auftragsverarbeiter mindestens einhalten sollte, um Ihre personenbezogenen Daten zu schützen. Beispiele für TOMs können sein:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;
  • Zugangskontrolle
    Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
  • Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • Datenschutz-Management;
  • Incident-Response-Management;
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.