Vereinbarung über die Datenverarbeitung im Auftrag gemäß ... - BiBB
Vereinbarung über die Datenverarbeitung im Auftrag gemäß ... - BiBB
Vereinbarung über die Datenverarbeitung im Auftrag gemäß ... - BiBB
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Vereinbarung</strong> <strong>über</strong> <strong>die</strong> <strong>Datenverarbeitung</strong> <strong>im</strong> <strong>Auftrag</strong> <strong>gemäß</strong> § 11 BDSG<br />
1. Gegenstand und Dauer des <strong>Auftrag</strong>s<br />
Der/Die <strong>Auftrag</strong>nehmer/-in führt <strong>die</strong> vereinbarte Leistung, gem. der Leistungsbeschreibung vom<br />
10.12.2013 <strong>über</strong> <strong>die</strong> Transkription von Leitfaden-gestützte Interviews mit Auszubildenden,<br />
Ausbilderinnen/Ausbildern und Berufsschullehrerinnen/Berufsschullehrern, <strong>im</strong> Rahmen des<br />
Forschungsprojektes 2.2.304 „Sprachlich-kommunikative Anforderungen in der beruflichen<br />
Ausbildung, ausschließlich <strong>im</strong> Rahmen der getroffenen <strong>Vereinbarung</strong>en nach dem Gegenstand und<br />
der Dauer des <strong>Auftrag</strong>s durch.<br />
2. Umfang, Art und Zweck der vorgesehenen <strong>Datenverarbeitung</strong><br />
Der <strong>Auftrag</strong>nehmer verarbeitet <strong>im</strong> Rahmen seines <strong>Auftrag</strong>es <strong>die</strong> folgenden personenbezogenen<br />
Daten: Name, Alter, Geschlecht, Berufsschule, Ort.<br />
Die <strong>Datenverarbeitung</strong> be<strong>im</strong> <strong>Auftrag</strong>nehmer/bei der <strong>Auftrag</strong>nehmerin erfolgt ausschließlich zu den<br />
unter Ziffer 2 der Leistungsbeschreibung beschriebenen Zwecken. Der/Die <strong>Auftrag</strong>nehmer/-in<br />
verpflichtet sich, <strong>die</strong> ihm/ihr <strong>im</strong> Rahmen des Vertragsverhältnisses bekannt gewordenen Daten, nur<br />
zur rechtmäßigen Aufgabenerfüllung <strong>im</strong> Sinn der vorgesehenen Erhebung, Verarbeitung oder<br />
Nutzung von Daten zu verwenden und <strong>im</strong> Übrigen gehe<strong>im</strong> zu halten. Der/Die <strong>Auftrag</strong>nehmer/-in<br />
verwendet Daten, <strong>die</strong> ihm/ihr <strong>im</strong> Rahmen der vertraglichen Erfüllung bekannt geworden sind, nur für<br />
<strong>die</strong> vorgesehenen Zwecke. Kopien oder Duplikate dürfen ohne Wissen und Zust<strong>im</strong>mung des/der<br />
<strong>Auftrag</strong>gebers/-in nicht erstellt werden. Auskünfte an Dritte darf der/<strong>die</strong> <strong>Auftrag</strong>nehmer/-in nicht<br />
erteilen.<br />
3. Technische und Organisatorische Maßnahmen<br />
Der/Die <strong>Auftrag</strong>nehmer/-in stellt sicher, dass <strong>die</strong> verwendete Hard- und Software, auf denen <strong>die</strong><br />
Daten des/der <strong>Auftrag</strong>gebers/-in verarbeitet werden, durch hinreichend sichere technische und<br />
organisatorische Maßnahmen nach § 9 BDSG vor einer unbefugten Benutzung geschützt sind. Die<br />
folgenden technischen und organisatorischen Maßnahmen werden verbindlich festgelegt, dabei<br />
können <strong>die</strong> in den Klammerzusätzen genannten Beispiele, durch adäquate Alternativen mit<br />
entsprechendem Sicherheitsniveau, ersetzt werden.<br />
3.1 Zutrittskontrolle<br />
Wie wird sichergestellt, dass Unbefugten der Zutritt zu <strong>Datenverarbeitung</strong>sanlagen, mit denen<br />
personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird? (Zutrittskontrollsysteme,<br />
Berechtigungsprüfung, Zutritts- und Besucherregelungen)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.2 Zugangskontrolle<br />
Wie wird verhindert, dass <strong>Datenverarbeitung</strong>ssysteme von Unbefugten genutzt werden können?<br />
(Zugangsregelungen für Arbeitsplätze, Verwendung sicherer Passwörter, Einsatz von Chipkarten)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
Formularersteller/-in: Z 3 Stand: 20.03.2013
3.3 Zugriffskontrolle<br />
Wie wird gewährleistet, dass <strong>die</strong> zur Benutzung eines <strong>Datenverarbeitung</strong>ssystems Berechtigten<br />
ausschließlich auf <strong>die</strong> ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass<br />
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt<br />
gelesen, kopiert, verändert oder entfernt werden können? (Zugriffs- und Berechtigungskonzept,<br />
Protokollierung)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.4 Weitergabekontrolle<br />
Wie wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder<br />
während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,<br />
verändert oder entfernt werden können, und dass <strong>über</strong>prüft und festgestellt werden kann, an<br />
welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur<br />
Daten<strong>über</strong>tragung vorgesehen ist? (verschlüsselte Datenträger, Protokollierung der<br />
Übermittlung/des Transports)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.5 Eingabekontrolle<br />
Wie wird gewährleistet, dass nachträglich <strong>über</strong>prüft und festgestellt werden kann, ob und von wem<br />
personenbezogene Daten in <strong>Datenverarbeitung</strong>ssysteme eingegeben, verändert oder entfernt<br />
worden sind? (Protokollierung, differenziertes Berechtigungskonzept)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.6. <strong>Auftrag</strong>skontrolle<br />
Wie wird gewährleistet, dass personenbezogene Daten, <strong>die</strong> <strong>im</strong> <strong>Auftrag</strong> verarbeitet werden, nur<br />
entsprechend den Weisungen des/der <strong>Auftrag</strong>gebers/-in verarbeitet werden können? (vertragliche<br />
<strong>Vereinbarung</strong>en, Überprüfung des <strong>Auftrag</strong>nehmers)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.7 Verfügbarkeitskontrolle<br />
Wie wird gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust<br />
geschützt sind? (Notfallkonzept, dezentrale Aufbewahrung von Sicherungskopien)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
3.8 Trennungsgebot<br />
Der/Die <strong>Auftrag</strong>nehmer/-in stellt sicher, dass Daten des/der <strong>Auftrag</strong>gebers/-in von sonstigen Datenbeständen<br />
getrennt werden müssen. (technische Trennung von Datenbeständen,<br />
Organisationsanweisungen)<br />
[vom <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin einzufügen]<br />
Die technischen und organisatorischen Maßnahmen können <strong>im</strong> Laufe des <strong>Auftrag</strong>sverhältnisses der<br />
technischen und organisatorischen Weiterentwicklung angepasst werden. Änderungen sind<br />
schriftlich zu vereinbaren. Der/Die <strong>Auftrag</strong>nehmer/-in stellt dem/der <strong>Auftrag</strong>geber/-in auf<br />
Anforderung ein Datenschutz- bzw. IT-Sicherheitskonzept zur Verfügung.<br />
Formularersteller/-in: Z 3 Stand: 20.03.2013
4. Berichtigung, Löschung und Sperrung<br />
Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten dürfen vom<br />
<strong>Auftrag</strong>nehmer/von der <strong>Auftrag</strong>nehmerin nur auf Anweisung bzw. nach vorheriger Zust<strong>im</strong>mung<br />
des/der <strong>Auftrag</strong>gebers/-in vorgenommen werden. Der/Die <strong>Auftrag</strong>nehmer/-in ist verpflichtet,<br />
seine/ihre Infrastruktur so zu gestalten, dass er/sie entsprechenden Vorgaben des/der<br />
<strong>Auftrag</strong>gebers/-in unverzüglich nachkommen kann.<br />
5. Pflichten des/der <strong>Auftrag</strong>nehmers/-in<br />
Der/Die <strong>Auftrag</strong>nehmer/-in verpflichtet sich, das Datengehe<strong>im</strong>nis <strong>gemäß</strong> § 5 BDSG zu wahren.<br />
Der/Die <strong>Auftrag</strong>nehmer/-in verpflichtet sich, nur Mitarbeiter/-innen einzusetzen, <strong>die</strong> nach dem BDSG<br />
auf das Datenschutzgehe<strong>im</strong>nis verpflichtet sind. Der/Die <strong>Auftrag</strong>nehmer/-in sichert zu, dass er/sie <strong>die</strong><br />
bei der Durchführung der Arbeiten beschäftigten Mitarbeiter/-innen mit den für sie maßgebenden<br />
Best<strong>im</strong>mungen des Datenschutzes vertraut macht. Er/Sie <strong>über</strong>wacht <strong>die</strong> Einhaltung der<br />
datenschutzrechtlichen Vorschriften.<br />
6. Unterauftragsverhältnisse<br />
Die Einschaltung von Unterauftragnehmern ist nur mit vorheriger schriftlicher Zust<strong>im</strong>mung des/der<br />
<strong>Auftrag</strong>gebers/-in zulässig. Der/Die <strong>Auftrag</strong>nehmer/-in hat in jedem Falle vertraglich sicher zu stellen,<br />
dass <strong>die</strong> vereinbarten Datenschutzregelungen auch gegen<strong>über</strong> Unterauftragnehmern gelten.<br />
7. Rechte des <strong>Auftrag</strong>gebers<br />
Die Datenschutzbeauftragte des Bundesinstituts für Berufsbildung ist berechtigt, vor Beginn der<br />
<strong>Datenverarbeitung</strong> und sodann in regelmäßigen Abständen <strong>die</strong> Einhaltung der Vorschriften <strong>über</strong> den<br />
Datenschutz und der vertraglichen <strong>Vereinbarung</strong>en – insbesondere <strong>die</strong> vom <strong>Auftrag</strong>nehmer/der<br />
<strong>Auftrag</strong>nehmerin getroffenen technischen und organisatorischen Maßnahmen - <strong>im</strong> erforderlichen<br />
Umfang zu kontrollieren, insbesondere durch <strong>die</strong> Einholung von Auskünften und durch <strong>die</strong> Begehung<br />
der Räume, in denen <strong>die</strong> Arbeiten durchgeführt werden. Ihm/Ihr sind hierzu alle <strong>die</strong>sbezüglichen<br />
Unterlagen zugänglich zu machen. Der/Die <strong>Auftrag</strong>nehmer/-in hat <strong>die</strong> Kontrollen in zumutbarem<br />
Umfang zu unterstützen.<br />
8. Verstöße<br />
Der/Die <strong>Auftrag</strong>nehmer/-in ist verpflichtet, den/<strong>die</strong> <strong>Auftrag</strong>geber/-in unverzüglich <strong>über</strong> Verstöße<br />
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen <strong>die</strong> in <strong>die</strong>ser <strong>Vereinbarung</strong><br />
getroffenen Festlegungen zu informieren.<br />
Für den Ersatz von Schäden, <strong>die</strong> ein Betroffener wegen einer nach dem BDSG oder anderen<br />
Vorschriften für den Datenschutz unzulässigen oder unrichtigen <strong>Datenverarbeitung</strong> <strong>im</strong> Rahmen des<br />
<strong>Auftrag</strong>sverhältnisses erleidet, ist der/<strong>die</strong> <strong>Auftrag</strong>geber/-in gegen<strong>über</strong> den Betroffenen<br />
verantwortlich. Soweit der/<strong>die</strong> <strong>Auftrag</strong>geber/-in zum Schadensersatz gegen<strong>über</strong> dem Betroffenen<br />
verpflichtet ist, bleibt ihm/ihr der Rückgriff be<strong>im</strong> <strong>Auftrag</strong>nehmer/der <strong>Auftrag</strong>nehmerin vorbehalten.<br />
9. Weisungsbefugnisse<br />
Der/Die <strong>Auftrag</strong>nehmer/-in darf <strong>die</strong> personenbezogenen Daten nur <strong>im</strong> Rahmen der Weisungen<br />
des/der <strong>Auftrag</strong>gebers/-in erheben, verarbeiten oder nutzen. Der/Die <strong>Auftrag</strong>nehmer/-in ist während<br />
der gesamten Laufzeit des Vertrages an <strong>die</strong> Weisungen des/der <strong>Auftrag</strong>gebers/-in gebunden.<br />
Formularersteller/-in: Z 3 Stand: 20.03.2013
10. Rückgabe, Löschung und Beendigung<br />
Nach Abschluss der vertraglichen Arbeiten hat der/<strong>die</strong> <strong>Auftrag</strong>nehmer/-in sämtliche in seinem/ihrem<br />
Besitz gelangten Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, <strong>die</strong> <strong>im</strong><br />
Zusammenhang mit dem Vertragsverhältnis stehen, dem/der <strong>Auftrag</strong>geber/-in auszuhändigen, bzw.<br />
physisch zu löschen.<br />
Unberührt bleiben Sicherungskopien zur Erfüllung von Haftungs- und Gewährleistungsansprüchen.<br />
Der/Die <strong>Auftrag</strong>nehmer/-in sichert <strong>die</strong>se Gegenstände insbesondere durch ordnungs<strong>gemäß</strong>e<br />
Verwahrung und Archivierung gegen Beschädigung und Verlust. Sicherungskopien sind durch<br />
geeignete Maßnahmen zu sperren, so dass eine Nutzung durch den/<strong>die</strong> <strong>Auftrag</strong>nehmer/-in<br />
ausgeschlossen ist.<br />
________ __________________________<br />
Datum Unterschrift und Firmenstempel<br />
Formularersteller/-in: Z 3 Stand: 20.03.2013