Vereinbarung über die Datenverarbeitung im Auftrag gemäß ... - BiBB

Vereinbarung über die Datenverarbeitung im Auftrag gemäß § 11 BDSG
1. Gegenstand und Dauer des Auftrags
Der/Die Auftragnehmer/-in führt die vereinbarte Leistung, gem. der Leistungsbeschreibung vom
10.12.2013 über die Transkription von Leitfaden-gestützte Interviews mit Auszubildenden,
Ausbilderinnen/Ausbildern und Berufsschullehrerinnen/Berufsschullehrern, im Rahmen des
Forschungsprojektes 2.2.304 „Sprachlich-kommunikative Anforderungen in der beruflichen
Ausbildung, ausschließlich im Rahmen der getroffenen Vereinbarungen nach dem Gegenstand und
der Dauer des Auftrags durch.
2. Umfang, Art und Zweck der vorgesehenen Datenverarbeitung
Der Auftragnehmer verarbeitet im Rahmen seines Auftrages die folgenden personenbezogenen
Daten: Name, Alter, Geschlecht, Berufsschule, Ort.
Die Datenverarbeitung beim Auftragnehmer/bei der Auftragnehmerin erfolgt ausschließlich zu den
unter Ziffer 2 der Leistungsbeschreibung beschriebenen Zwecken. Der/Die Auftragnehmer/-in
verpflichtet sich, die ihm/ihr im Rahmen des Vertragsverhältnisses bekannt gewordenen Daten, nur
zur rechtmäßigen Aufgabenerfüllung im Sinn der vorgesehenen Erhebung, Verarbeitung oder
Nutzung von Daten zu verwenden und im Übrigen geheim zu halten. Der/Die Auftragnehmer/-in
verwendet Daten, die ihm/ihr im Rahmen der vertraglichen Erfüllung bekannt geworden sind, nur für
die vorgesehenen Zwecke. Kopien oder Duplikate dürfen ohne Wissen und Zustimmung des/der
Auftraggebers/-in nicht erstellt werden. Auskünfte an Dritte darf der/die Auftragnehmer/-in nicht
erteilen.
3. Technische und Organisatorische Maßnahmen
Der/Die Auftragnehmer/-in stellt sicher, dass die verwendete Hard- und Software, auf denen die
Daten des/der Auftraggebers/-in verarbeitet werden, durch hinreichend sichere technische und
organisatorische Maßnahmen nach § 9 BDSG vor einer unbefugten Benutzung geschützt sind. Die
folgenden technischen und organisatorischen Maßnahmen werden verbindlich festgelegt, dabei
können die in den Klammerzusätzen genannten Beispiele, durch adäquate Alternativen mit
entsprechendem Sicherheitsniveau, ersetzt werden.
3.1 Zutrittskontrolle
Wie wird sichergestellt, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird? (Zutrittskontrollsysteme,
Berechtigungsprüfung, Zutritts- und Besucherregelungen)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.2 Zugangskontrolle
Wie wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können?
(Zugangsregelungen für Arbeitsplätze, Verwendung sicherer Passwörter, Einsatz von Chipkarten)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
Formularersteller/-in: Z 3 Stand: 20.03.2013

3.3 Zugriffskontrolle
Wie wird gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden können? (Zugriffs- und Berechtigungskonzept,
Protokollierung)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.4 Weitergabekontrolle
Wie wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder
während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an
welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist? (verschlüsselte Datenträger, Protokollierung der
Übermittlung/des Transports)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.5 Eingabekontrolle
Wie wird gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt
worden sind? (Protokollierung, differenziertes Berechtigungskonzept)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.6. Auftragskontrolle
Wie wird gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des/der Auftraggebers/-in verarbeitet werden können? (vertragliche
Vereinbarungen, Überprüfung des Auftragnehmers)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.7 Verfügbarkeitskontrolle
Wie wird gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust
geschützt sind? (Notfallkonzept, dezentrale Aufbewahrung von Sicherungskopien)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
3.8 Trennungsgebot
Der/Die Auftragnehmer/-in stellt sicher, dass Daten des/der Auftraggebers/-in von sonstigen Datenbeständen
getrennt werden müssen. (technische Trennung von Datenbeständen,
Organisationsanweisungen)
[vom Auftragnehmer/der Auftragnehmerin einzufügen]
Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der
technischen und organisatorischen Weiterentwicklung angepasst werden. Änderungen sind
schriftlich zu vereinbaren. Der/Die Auftragnehmer/-in stellt dem/der Auftraggeber/-in auf
Anforderung ein Datenschutz- bzw. IT-Sicherheitskonzept zur Verfügung.
Formularersteller/-in: Z 3 Stand: 20.03.2013

4. Berichtigung, Löschung und Sperrung
Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten dürfen vom
Auftragnehmer/von der Auftragnehmerin nur auf Anweisung bzw. nach vorheriger Zustimmung
des/der Auftraggebers/-in vorgenommen werden. Der/Die Auftragnehmer/-in ist verpflichtet,
seine/ihre Infrastruktur so zu gestalten, dass er/sie entsprechenden Vorgaben des/der
Auftraggebers/-in unverzüglich nachkommen kann.
5. Pflichten des/der Auftragnehmers/-in
Der/Die Auftragnehmer/-in verpflichtet sich, das Datengeheimnis gemäß § 5 BDSG zu wahren.
Der/Die Auftragnehmer/-in verpflichtet sich, nur Mitarbeiter/-innen einzusetzen, die nach dem BDSG
auf das Datenschutzgeheimnis verpflichtet sind. Der/Die Auftragnehmer/-in sichert zu, dass er/sie die
bei der Durchführung der Arbeiten beschäftigten Mitarbeiter/-innen mit den für sie maßgebenden
Bestimmungen des Datenschutzes vertraut macht. Er/Sie überwacht die Einhaltung der
datenschutzrechtlichen Vorschriften.
6. Unterauftragsverhältnisse
Die Einschaltung von Unterauftragnehmern ist nur mit vorheriger schriftlicher Zustimmung des/der
Auftraggebers/-in zulässig. Der/Die Auftragnehmer/-in hat in jedem Falle vertraglich sicher zu stellen,
dass die vereinbarten Datenschutzregelungen auch gegenüber Unterauftragnehmern gelten.
7. Rechte des Auftraggebers
Die Datenschutzbeauftragte des Bundesinstituts für Berufsbildung ist berechtigt, vor Beginn der
Datenverarbeitung und sodann in regelmäßigen Abständen die Einhaltung der Vorschriften über den
Datenschutz und der vertraglichen Vereinbarungen – insbesondere die vom Auftragnehmer/der
Auftragnehmerin getroffenen technischen und organisatorischen Maßnahmen - im erforderlichen
Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und durch die Begehung
der Räume, in denen die Arbeiten durchgeführt werden. Ihm/Ihr sind hierzu alle diesbezüglichen
Unterlagen zugänglich zu machen. Der/Die Auftragnehmer/-in hat die Kontrollen in zumutbarem
Umfang zu unterstützen.
8. Verstöße
Der/Die Auftragnehmer/-in ist verpflichtet, den/die Auftraggeber/-in unverzüglich über Verstöße
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die in dieser Vereinbarung
getroffenen Festlegungen zu informieren.
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen
Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des
Auftragsverhältnisses erleidet, ist der/die Auftraggeber/-in gegenüber den Betroffenen
verantwortlich. Soweit der/die Auftraggeber/-in zum Schadensersatz gegenüber dem Betroffenen
verpflichtet ist, bleibt ihm/ihr der Rückgriff beim Auftragnehmer/der Auftragnehmerin vorbehalten.
9. Weisungsbefugnisse
Der/Die Auftragnehmer/-in darf die personenbezogenen Daten nur im Rahmen der Weisungen
des/der Auftraggebers/-in erheben, verarbeiten oder nutzen. Der/Die Auftragnehmer/-in ist während
der gesamten Laufzeit des Vertrages an die Weisungen des/der Auftraggebers/-in gebunden.
Formularersteller/-in: Z 3 Stand: 20.03.2013

10. Rückgabe, Löschung und Beendigung
Nach Abschluss der vertraglichen Arbeiten hat der/die Auftragnehmer/-in sämtliche in seinem/ihrem
Besitz gelangten Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im
Zusammenhang mit dem Vertragsverhältnis stehen, dem/der Auftraggeber/-in auszuhändigen, bzw.
physisch zu löschen.
Unberührt bleiben Sicherungskopien zur Erfüllung von Haftungs- und Gewährleistungsansprüchen.
Der/Die Auftragnehmer/-in sichert diese Gegenstände insbesondere durch ordnungsgemäße
Verwahrung und Archivierung gegen Beschädigung und Verlust. Sicherungskopien sind durch
geeignete Maßnahmen zu sperren, so dass eine Nutzung durch den/die Auftragnehmer/-in
ausgeschlossen ist.
________ __________________________
Datum Unterschrift und Firmenstempel
Formularersteller/-in: Z 3 Stand: 20.03.2013