Anlagen

AV-Ver­ein­ba­rung eitieCloud

Anlage 1 – Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen

Im Fol­gen­den werden die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung von Daten­schutz und Daten­si­cher­heit fest­ge­legt, die der Auf­trag­neh­mer min­des­tens ein­zu­rich­ten und laufend auf­recht zu erhal­ten hat. Ziel ist die Gewähr­leis­tung ins­be­son­dere der Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit der im Auftrag ver­ar­bei­te­ten Informationen.

TOM 1 – Vertraulichkeit

TOM 2 – Integrität

TOM 3 – Ver­füg­bar­keit und Belastbarkeit

TOM 4 – Über­prü­fung, Bewer­tung, Evaluierung

TOM 5 – Ver­nich­tung oder Wie­der­ver­wen­dung von Datenträgern

TOM 6 – Rück­gabe, Abzug, Über­gabe, Her­aus­gabe und Löschung von Auftraggeber-Daten

TOM 7 – Rechen­zen­tr­ums­aus­fall, Notfall, Wie­der­her­stel­lung, Wiederanlauf

Anlage 2 – Zuge­las­sene Subdienstleister

Sub­un­ter­neh­mer

 

(Firma, Ort und Ansprechpartner)

Leis­tungs­be­schrei­bung

 

(Tätig­keit des Subunternehmers)

Euro­Con­sult Deutsch­land GmbH

tem­po­rä­res Hin­zu­zie­hen von Exper­ten, die jedoch aus­schließ­lich durch CIS über­wacht tätig werden und nur in sel­te­nen Fällen Zugriff auf per­so­nen­be­zo­gene Daten haben.

 

Betrieb einer Website für das Qua­li­täts­ma­nage­ment im Rahmen der ISO 9001-Zertifizierung

Cyren GmbH Email-SPAM-Gateway
Tri­um­phAd­ler Drucker mit Zwischenspeicher-Funktion
Micro­soft Azure & Office 365 Für den Betrieb von Hosting-Leis­tun­gen bei Microsoft
Micro­soft SPLA Für ggf. anfal­lende Audits im Rahmen der Lizenz­nut­zung für Service-Pro­vi­der und deren Kunden
Karsten Lindner Consulting SAP-Basis: Betrieb, Moni­to­ring, 2nd-Level-Service

 

 

Anlage 3 – Wei­sungs­be­rech­tige Personen

Fol­gende Per­so­nen sind zur Ertei­lung von Wei­sun­gen an den Auf­trag­neh­mer befugt:

(Unver­än­dert wenn nicht ange­ge­ben). Der bestehende Stand kann jeder­zeit sowohl schrift­lich als auch tele­fo­nisch über die Service-Hotline erfragt werden.

 

Wei­sungs­be­rech­tigt beim Auftraggeber

Auto­ma­tisch wei­sungs­be­rech­tigt beim Auf­trag­ge­ber ist immer die Geschäfts­füh­rung. Weitere Auf­trags­be­rech­tigte können jeder­zeit von der Geschäfts­füh­rung schrift­lich benannt werden. Auch die Zurück­stu­fung ist jeder­zeit schrift­lich möglich. Zurück­stu­fen können grundsätzlich:

  1. Die Geschäfts­füh­rung
  2. Hier­ar­chisch vor­ge­setzte Mit­ar­bei­ter inso­fern sie dem Auf­trag­neh­mer als „wei­sungs­be­fugt“ und „hier­ar­chisch vor­ge­setzt“ bekannt sind
  3. Weitere schrift­lich als wei­sungs­be­fugt genannte Mitarbeiter

 

Emp­fangs­be­rech­tigt beim Auftragsnehmer

Auto­ma­tisch wei­sungs­be­fugt beim Auf­trag­neh­mer ist immer die Geschäfts­füh­rung, die Pro­jekt­lei­tung sowie das Pro­jekt­ma­nage­ment. Weitere Auf­trags­be­rech­tigte Per­so­nen können jeder­zeit von der Geschäfts­füh­rung schrift­lich benannt werden. Auch die Zurück­stu­fung ist jeder­zeit schrift­lich möglich. Zurück­stu­fen können grundsätzlich:

  1. Die Geschäfts­füh­rung
  2. Die Pro­jekt­lei­tung (Wird dem Auf­trag­ge­ber beim Start eines jeden Pro­zes­sen mitgeteilt)

 

Anlage 4 – Rege­lun­gen für Fernzugriff

Ein Zugriff auf EDV-Systeme und Daten des Auf­trag­ge­bers ist im Rahmen der Auf­trags­ver­ar­bei­tung durch den Auf­trag­neh­mer erfor­der­lich. Daher räumt der Auf­trag­ge­ber den Mit­ar­bei­tern des Auf­trag­neh­mers die fol­gende Mög­lich­keit des Fern­zu­grif­fes ein:

Voll­zu­griff auf die Kon­fi­gu­ra­ti­ons­da­teien aller im Haupt­ver­trag oder sämt­li­chen Neben- und Ergän­zungs­ver­trä­gen bereit­ge­stell­ten Ver­ar­bei­tungs-Dienst­leis­tun­gen, Pro­gramme, Nutz‑, Archiv- und Lauf­da­ten. Der Auf­trag­ge­ber ist nicht berech­tigt, den Fern­zu­griff für den Auf­trag­neh­mer zu sperren da dieser grund­le­gend für Betrieb, Wartung und Bereit­stel­lung der EDV-Systeme ist. Der Zugriff sowie das Lesen, Kopie­ren, Über­mit­teln, Ändern und Löschen von Com­pu­ter­pro­gram­men und Daten ist nur zuläs­sig, wenn es im Rahmen der Durch­füh­rung der Auf­trags­ver­ar­bei­tung erfor­der­lich ist.

War­tungs­ar­bei­ten und die damit ein­her­ge­hen­den Zugriff von dritten (z.B. weitere Auf­trag­neh­mer des Auf­trag­ge­bers) erfol­gen nach schrift­li­cher Beauf­tra­gung. Der Auf­trag­ge­ber hat in jedem Ein­zel­fall die Mög­lich­keit, den Zugriff zeit­lich zu begren­zen. Wei­ter­hin kann er einen unbe­grenz­ten Zugriff jeder­zeit widerrufen.

Der Auf­trag­neh­mer hat sicher­zu­stel­len, dass die Mit­ar­bei­ter des Auf­trag­neh­mers ange­mes­sene tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ergrei­fen, um den Zugang zu Com­pu­ter­sys­te­men des Auf­trags­neh­mers durch unbe­fugte Dritte zu schüt­zen. Die Mit­ar­bei­ter des Auf­trag­neh­mers haben die Zugangs­ken­nun­gen ver­trau­lich zu behan­deln und dürfen diese nicht an Dritte wei­ter­ge­ben oder für andere Per­so­nen zugäng­lich auf­be­wah­ren. Beim Zugriff auf Systeme des Auf­trag­ge­bers sind fol­gende Sicher­heits­an­for­de­run­gen einzuhalten:

  1. a) Not­wen­dige Daten­über­tra­gun­gen zu Zwecken der Fern­war­tung müssen in hin­rei­chend ver­schlüs­sel­ter Form erfol­gen (z.B. SSH, VPN, SFTP); Aus­nah­men sind beson­ders zu begründen.
  2. b) Fern­war­tun­gen dürfen nur von Systeme aus vor­ge­nom­men werden, deren Sicher­heits­maß­nah­men denen in Anlage 1 ent­spre­chen. Ins­be­son­dere muss eine kom­mer­zi­elle Anti-Malware-Lösung mit tages­ak­tu­el­ler Signa­tur-Biblio­thek vor­han­den sein.
  3. c) Der Auf­trag­neh­mer hat das Recht, die Akti­vi­tä­ten von Fern­war­tun­gen zu hin­ter­fra­gen und die Details zu erfah­ren, Log-Dateien anzu­for­dern War­tungs­sit­zun­gen auf­zu­zeich­nen. Der Auf­trags­neh­mer stellt die daten­schutz- und mit­be­stim­mungs­recht­li­chen Grund­la­gen hierfür in seinem Betrieb sicher.

Der Auf­trags­neh­mer ist ver­ant­wort­lich für die hin­rei­chende und aktu­elle Doku­men­ta­tion jeg­li­cher Systeme, die sich über einen län­ge­ren Zeit­raum in der Infra­struk­tur des Ver­ant­wort­li­chen befin­den und die vom Auf­trags­neh­mer instal­liert, kon­fi­gu­riert oder betreut werden. Sofern nicht geson­dert ver­ein­bart, ist gene­rell die Ver­wen­dung von mobilen Daten­trä­gern im Rahmen der Beauf­tra­gung unter­sagt. Ferner dürfen grund­sätz­lich keine Daten inner­halb der IT-Infra­struk­tur durch die zugriffs­be­rech­tig­ten Mit­ar­bei­ter des Auf­trag­neh­mers ver­schlüs­selt werden. Das Schüt­zen von Daten durch Ver­schlüs­se­lung oder der Kenn­wort­schutz für den lesen­den Zugriff ist nicht gestat­tet. Aus­nah­men sind nur mit geson­der­ter vor­he­ri­ger Zustim­mung des Auf­trag­ge­bers zulässig.