AUFTRAGSVERARBEITUNGSVERTRAG

zwischen

Hotelbird GmbH, Plinganserstraße 150, 801369 München

nachfolgend “ Auftragnehmer“ genannt –

und

______________________________

nachfolgend „Auftraggeber“ genannt –

Verbindlicher Ansprechpartner bei dem Auftraggeber ist:

Name:______________________

Kontaktdaten:________________

1. VERTRAGSGEGENSTAND

1.1 Der Auftragnehmer erhält im Rahmen der Leistungserbringung und nach Maßgabe des Softwaredienstleistungsvertrag Zugang zu personenbezogenen Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Datenverarbeitung zuständig.

1.2 Die Bestimmungen dieses Vertrages gelten für alle Tätigkeiten im Zusammenhang mit dem Softwaredienstleistungsvertrag, bei denen der Auftragnehmer und seine Mitarbeiter oder vom Auftragnehmer beauftragte Personen mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben werden („Auftraggeber-Daten“).

2. ART, UMFANG UND ZWECK DER AUFTRAGSVERARBEITUNG

2.1 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken verarbeiten, die sich aus der Anlage 1 ergeben. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer betrifft ausschließlich die in Anlage 1 festgelegten Arten der Auftraggeber-Daten und die dort bestimmten Kategorien von Betroffenen.

2.2 Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Datenverarbeitungen in Drittstaaten dürfen nur erfolgen, wenn die Voraussetzungen des Kapitels V der DSGVO (Art. 44 ff. DSGVO) erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

3. RECHTE UND PFLICHTEN DES AUFTRAGGEBERS, WEISUNGSBEFUGNIS

3.1 Der Auftragnehmer darf Daten nur nach Maßgabe dieses Vertrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Ist der Auftragnehmer nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Weiterverarbeitung verpflichtet, so hat er den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen zu unterrichten.

3.2 Die Weisungen des Auftraggebers sollen stets in Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung durch den benannten Weisungsberechtigten des Auftraggebers in Textform.

3.3 Weisungen werden vom Weisungsberechtigten des Auftraggebers erteilt. Derzeit fungiert der auf Seite 2 dieses Vertrags genannte, verbindliche Ansprechpartner als Weisungsberechtigter des Auftraggebers. Der Auftraggeber wird dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten frühzeitig anzeigen.

3.4 Die Parteien vereinbaren als Empfangsberechtigten für Weisungen auf Seiten des Auftragnehmers folgende Person:

Herr Juan A. Sanmiguel
Telefonnummer: +49 (0) 89 95 45 99 31 0
E-Mail: juan.sanmiguel@hotelbird.com.

Der Auftragnehmer kann dem Auftraggeber jederzeit einen neuen Empfangsberechtigten mitteilen.

3.5 Weisungen werden vom Weisungsberechtigten des Auftraggebers erteilt. Derzeit fungiert der auf Seite 2 dieses Vertrags genannte, verbindliche Ansprechpartner als Weisungsberechtigter des Auftraggebers. Der Auftraggeber wird dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten frühzeitig anzeigen.

3.6 Der Auftragnehmer ist verpflichtet, angemessene Weisungen des Auftraggebers in einem angemessenen zeitlichen Rahmen auszuführen.

3.7 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen.

3.8 Falls eine Weisung die gemäß Ziffer 2.1 getroffenen Festlegungen ändert oder aufhebt, ist sie nur zulässig, wenn hierbei eine entsprechende neue Festlegung nach Ziffer 2.1 erfolgt.

4. RECHTE UND PFLICHTEN DES AUFTRAGNEHMERS

4.1 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Bestimmungen dieses Vertrags und den Weisungen des Auftraggebers gemäß Ziffer 3.1 verarbeitet.

4.2 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

4.3 Der Auftragnehmer führt ein Verzeichnis gemäß Art. 30 Abs. 2 DSGVO.

4.4 Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Erhebung oder Verwendung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen.

4.5 Der Auftragnehmer wird den Auftraggeber – soweit rechtlich zulässig – über an ihn als Auftragnehmer gerichtete Mitteilungen der Aufsichtsbehörde (z.B. Anfragen, Berichtigungen über Maßnahmen oder Auflagen) in Verbindung mit der Verarbeitung personenbezogener Daten nach diesem Auftragsverarbeitungsvertrag unverzüglich informieren. Soweit rechtlich zulässig, wird der Auftragnehmer Auskünfte an Dritte, auch an Aufsichtsbehörden, nur in Abstimmung mit dem Auftraggeber erteilen, soweit eine Abstimmung nicht zur Versäumung einer gesetzten Frist führt. Der Auftragnehmer haftet nicht für die nicht fristgerechte Bearbeitung des Anliegens durch den Auftraggeber, es sei denn, er hat diese verschuldet.

4.6 Der Auftragnehmer unterstützt den Auftraggeber bei dessen Datenschutz-Folgenabschätzungen und im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

 

5. VERPFLICHTUNG AUF VERTRAULICHKEIT

5.1 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren.

5.2 Der Auftragnehmer setzt bei der Durchführung des Auftrags nur Beschäftigte ein, die schriftlich auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

5.3 Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertrages fort.

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

6.1 Der Auftragnehmer hat die interne Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Daten des Verantwortlichen gemäß Art. 32 DSGVO zu verarbeiten, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen.

6.2 Dem Auftragnehmer ist es gestattet, alternative adäquate technische und organisatorische Maßnahmen umzusetzen, sofern das Sicherheitsniveau der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nicht unterschritten wird.

6.3 Auf Verlangen weist der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nach.

7. MITTEILUNGS- UND UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS BEI DATENSICHERHEITSVORFÄLLEN

7.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verstößen gegen vertragliche Pflichten des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder sonstige Unregelmäßigkeiten bei der Verarbeitung der Auftraggeber-Daten, in-formiert der Auftragnehmer den Auftraggeber unverzüglich in Textform.

7.2 Der Auftragnehmer teilt dem Auftraggeber im Falle einer Verletzung des Schutzes personenbezogener Daten Informationen nach Art. 33 Abs. 3 lit. a DSGVO mit, soweit ihm diese bekannt sind.

7.4 Der Auftragnehmer unterstützt den Auftraggeber bei der Benachrichtigung der betroffenen Personen von einer Verletzung.

8. KONTROLLRECHTE DES AUFTRAGGEBERS

8.1 Der Auftraggeber ist dazu grundsätzlich berechtigt, nach Terminvereinbarung die  Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen einschließlich der Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer sowie der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen und die Ordnungsmäßigkeit der Datenverarbeitungsprozesse und -programme des Auftragnehmers zu prüfen, um sich von der Einhaltung der Bestimmungen dieses Vertrags, der vom Auftraggeber erteilten Weisungen sowie der einschlägigen gesetzlichen Datenschutzbestimmungen zu überzeugen. Der Auftraggeber wird Kontrollen nur im gesetzlich erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

8.2 Der Auftraggeber dokumentiert das Kontrollergebnis und teilt dem Auftragnehmer festgestellte Unregelmäßigkeiten mit. Werden bei der Kontrolle Sachverhalte festgestellt, die zukünftig einer Änderung unterliegen sollen, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

8.3 Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

8.4 Zur Ermöglichung von Kontrollen nach Ziffer 8.1 ist der Auftragnehmer auf Verlangen verpflichtet, dem Auftraggeber vorhandene Zertifikate, Auditberichte und sonstige Ergebnisse von Überprüfungen im Hinblick auf die Erhebung und Verwendung personenbezogener Daten des Auftraggebers vorzulegen. Der Auftraggeber hat die Kosten der Kontrolle selbst zu tragen.
 

9. UNTERAUFTRAGSVERHÄLTNISSE

9.1 Der Auftragnehmer darf allgemein Unterauftragsverhältnisse hinsichtlich der Verarbeitung von Auftraggeber-Daten begründen; Unterauftragnehmer können auch mit dem Auftragnehmer verbundene Unternehmen sein.

9.2 Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 3 aufgeführten Unterauftragsnehmer erbracht. Der Auftraggeber stimmt dem Einsatz der in Anlage 3 aufgeführten Unterauftragnehmer zu.

9.3 Der Auftragnehmer ist berechtigt, weitere Unterauftragsverhältnisse mit Unterauftragnehmern einzugehen. Die Parteien sind sich darüber einig, dass die Beauftragung von Unterauftragnehmer zulässig ist, soweit (i) mit dem Unterauftragnehmer ein Vertrag geschlossen wird, der den Anforderungen des Art. 28 Abs. 2 – 4 DSGVO entspricht und (ii) der Auftragnehmer den Auftraggeber über die Beauftragung von Unterauftragnehmern eine angemessene Zeit vorher in Textform unterrichtet und der Auftraggeber der Beauftragung eines Unterauftragnehmers nicht innerhalb einer Frist von 14 Tagen in Textform aus wichtigem Grund widerspricht.

9.4 Falls der Auftragnehmer einen Unterauftragnehmer in einem Drittstaat einschalten möchte, gelten zusätzlich die Anforderungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

9.5 Der Auftraggeber stimmt zu, dass der Unterauftragnehmer seinerseits Unterauftragnehmer beauftragen darf, soweit dieser jeweils den Anforderungen des Art. 28 Abs. 2 – 4 DSGVO genügende Verträge mit den weiteren Unterauftragnehmern abschließt.

9.6 Kann im Falle eines Widerspruchs nach Ziffer 9.3 der Auftragnehmer die im Hauptvertrag geschuldete Leistung aufgrund des Widerspruchs nicht oder nur noch mit wirtschaftlich unzumutbarem Aufwand erbringen, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu. Ansprüche des Auftraggebers bleiben unberührt.
 

10. RECHTE DER BETROFFENEN

10.1 Die Rechte der durch die Verarbeitung von Auftraggeber-Daten betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung der ihn betreffenden Auftraggeber-Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

10.2 Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erfüllung von Anfragen und Ansprüchen Betroffener auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung oder sonstiger Rechte aus Kapitel III DSGVO von Auftraggeber-Daten zu unterstützen. Insbesondere wird der Auftragnehmer dem Auftraggeber auf Verlangen, Informationen über die gespeicherten Auftraggeber-Daten (auch soweit sie sich auf den Speicherungszweck beziehen), die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt und den Zweck der Speicherung, mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen.

10.3 Der Auftragnehmer ist verpflichtet, Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich zu berichtigen, zu löschen oder die Verarbeitung einzuschränken, wenn berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Der Auftragnehmer wird dem Auftraggeber die weisungsgemäße Berichtigung, Einschränkung der Verarbeitung und Löschung jeweils auf Verlangen bestätigen.

10.4 Der Auftragnehmer haftet nicht für die nicht fristgerechte Bearbeitung des Anliegens der betroffenen Person/en durch den Auftraggeber, es sei denn, er hat dieses verschuldet.
 

11. RÜCKGABE UND LÖSCHUNG ÜBERLASSENER DATEN

11.1 Soweit kein anderer Rechtfertigungsgrund besteht, hat der Auftragnehmer die ihm vom Auftraggeber überlassenen sowie im Zuge der Vertragsdurchführung hinzugewonnenen Auftraggeber-Daten vollständig und unwiederbringlich zu löschen bzw. zu vernichten, sobald der Auftraggeber ihn dazu auffordert.

11.2 Über jede Löschung und Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Verlangen vorzulegen ist.
 

12. VERGÜTUNG

12.1 Der Auftragnehmer ist berechtigt, eine angemessene Vergütung für solche Tätigkeiten unter diesen Vertrag zu verlangen, die über die üblichen Leistungen zur Gewährleistung der technischen und organisatorischen Maßnahmen und die Ausführungen von Weisungen hinausgehen, einen unverhältnismäßigen Aufwand erfordern und nicht durch den Auftragnehmer verschuldet wurden.

13. VERTRAGSDAUER UND KÜNDIG

13.1 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Softwaredienstleistungsvertrages.

13.2 Der Softwaredienstleistungsvertrag darf im Falle einer Beendigung dieses Vertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verwendet oder darauf zugreift.

14. HAFTUNG

14.1 Die Haftung richtet sich nach Art. 82 DSGVO.

14.2 Im Innenverhältnis zwischen dem Auftraggeber und dem Auftragnehmer haftet der Auftragnehmer jedoch nur dann für den durch eine Verarbeitung verursachten Schaden, wenn der Auftragnehmer

• seinen spezifischen Verpflichtungen gemäß der DSGVO nicht nachgekommen ist oder
• den rechtmäßig erteilten Weisungen des Verantwortlichen nicht nachgekommen ist oder gegen solche Weisungen gehandelt hat.

14.3 Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

15. SCHLUSSBESTIMMUNGEN

15.1 Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Textform.

15.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen der Art. 28 f. DSGVO am besten gerecht wird.

15.3 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Softwaredienstleistungsvertrag, gehen die Regelungen dieses Vertrags vor.

15.4 Dieser Vertrag unterliegt deutschem Recht.

15.5 Ausschließlicher Gerichtsstand ist München.

ANLAGENVERZEICHNIS:

Anlage 1 Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen
Anlage 2 Technische und organisatorische Maßnahmen
Anlage 3: Unterauftragnehmer

Anlage 1:       Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen

Zweck, Art und Umfang der Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen richtet sich nach dem Softwaredienstleistungsvertrag und wird wie folgt zusammengefasst:

 

Zweck der Datenverarbeitung	·       Datenverwaltung der Kundendaten ·       Auftragsabwicklung und Bereitstellung der Dienstleistungen, insbesondere: • Reservierungs- und Gastprofilverwaltung • Einladung zum Online Check-In und Online Check-out • Online Check-In via Web, App, Kioskapp und Rezeptionsapp • Online Payment und Check-Out via Web, App, Kios-kapp und Rezeptionsapp • Digital Key via App und Key Cards via Kioskapp und Rezeptionsapp • Online Booking via App • Logging, Monitoring und Analyse von User-Events und Drittsystemen, zur Überwachung der Systemqualität und Rückverfolgbarkeit • Betrugsprüfung bei Online Payment
Art der Daten	• Personenstammdaten (Name, Anrede, Adresse, Stadt, Land, Geschlecht, Titel, Geburtstag, Nationalität, Sprache, Geschäftsadresse, Unterschrift, Ausweisdokument, Präferenzen) • Kommunikationsdaten (Telefon, E-Mail) • Vertragsstammdaten (Reservierungsdaten mit Resevierungs-ID’s, Datum, Status, Kategorie, Raum, Buchungskanal, Paketcode, Kommentare, Mitgliedschaften) • Kundenhistorie (vergangene Buchungen, Anzahl Aufenthalte) • Vertragsabrechnungs- und Zahlungsdaten (Gesamtpreis, Zahlungsposten, Zahlungen, Raten, Datum, Zahlungsart) • Zahlungsdetails: Zahlungsmethode und weitere Informationen in Abhängigkeit der gewählten Zahlungsmethode wie: Kredit- und Debitkartendetails, Kartennummer, Karteninhaber, IBAN, Name der Bank • Betrugsprüfungsdaten: Zahlungsdetails, Gerätekennung, Device Fingerprint/persistente Cookies, E-Mail, Shopper Reference, IP Adresse, Telefonnummern, Adressdaten (Rechnungs- und Lieferadresse)
Kreis der Betroffenen	·       Hotelgäste

Anlage 2: Technische und organisatorische Maßnahmen

§ 1 Vertraulichkeit

Maßnahmen, um den Zutritt zu Datenverarbeitungsanlagen durch Unbefugte zu verhindern (z.B. physische Barrieren wie verschlossene Türen):

• Verantwortlich für die Zutrittskontrolle beim Auftragnehmer ist der Verantwortliche des Rechenzentrums. Dieser legt die zu sichernden Objekte und Bereiche fest.
• Räume, in denen sich IT-Systeme befinden, sind mit einem Zugangskontrollsystem ausgestattet.
• Die Zugänge der Räume sind ausreichend abgesichert durch Türen, Türschlösser, verschlossene Fenster. Die Räumlichkeiten befinden sich im Obergeschoss. Man gelangt lediglich in die Räumlichkeiten, nachdem man klingelt und die Tür geöffnet wird.
• Die Räumlichkeiten werden verschlossen, sobald ein Raum länger nicht besetzt ist.

Maßnahmen, um den Zugriff auf Datenverarbeitungssystemen durch Unbefugte zu verhindern (z.B. Passwörter, Schutz gegen Hacker):

• Die Anmeldung erzwingt vor Zugriff auf Daten oder Programme die Eingabe Passwortes (Authentifizierung) verbunden mit einer Benutzerkennung (Identifizierung).
• Jeder Berechtigte hat ein eigenes, individuelles, nur ihm bekanntes Passwort. Die Passwörter der Mitarbeiter sind selbst den Vorgesetzten und Administratoren unbekannt. Gruppenpasswörter werden nicht verwendet.
• Die Mitarbeiter sind aufgefordert, komplexe Passwörter zu setzen.
• Die Passwörter werden verschlüsselt abgespeichert und übertragen. Die Schlüssel für Kryptographie-Verfahren werden gesichert aufbewahrt.
• Nach 3-5 vergeblichen Anmeldeversuchen wird der Zugriff automatisch gesperrt.
• Die Erteilung einer Zugangsberechtigung wird vom benannten Systemeigentümer genehmigt.
• Bei Arbeitsunterbrechungen wird ein passwortgeschützter Bildschirmschoner aktiviert.

Außerdem:

• wird ein Jump Server mit SSH-Verschlüsselung verwendet.
• werden Daten auf mobilen IT-Systemen verschlüsselt.
• haben Unbefugte keinen Zugang zum BIOS-Setup.
• besteht ein zentraler Zugangsserver.
  Maßnahmen, um zu gewährleisten, dass der Zugriff auf Daten nur durch den jeweils zum Zugriff auf diese konkreten Daten Berechtigten erfolgt (z.B. Berechtigungsverwaltung):
• geordnete Prüfung und Vergabe von Berechtigungen
• Es gibt ein Berechtigungskonzept, in dem Netzwerkfreigaben und Zugriffsberechtigungen auf Ordner und Dateien für einzelne Benutzergruppen festgelegt sind.
• Bei Versetzung oder Ausscheiden eines Mitarbeiters werden die nicht mehr benötigten (im Falle des Ausscheidens alle) Zugangsberechtigungen entzogen.
• Die Server-Konsolen sind gesperrt.
• Wenn Rechner oder Datenträger von externen Dienstleistern mitgenommen werden müssen, werden die darauf befindlichen Daten logisch gelöscht.
• Fernwartungsmöglichkeiten werden nur im Einzelfall freigegeben. Die Fernwartung muss zuvor vom verantwortlichen Abteilungsleiter oder Netzwerkadministrator genehmigt wer-den.
• Datenträger werden, sobald sie nicht mehr benötigt werden, physisch vernichtet oder mittels eines sicheren Verfahrens mehrfach überschrieben.

§ 2 Pseudonymisierung und Verschlüsselung

Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten:

• Datenträger sind verschlüsselt.
• Soweit umsetzbar, werden personenbezogene Daten pseudonymisiert.

§ 3 Integrität

Maßnahmen zum Schutz der Daten bei der Eingabe und Übermittlung/Weitergabe:

• Die Zugriffsrechte werden nach dem „Need-To-Know“ Prinzip vergeben. Es werden nur so viele Zugriffsrechte vergeben, wie für die Wahrnehmung der Aufgaben der jeweiligen Rolle notwendig sind.
• Die Berechtigung wird automatisch anhand der Benutzerkennung geprüft.
• Zur Umsetzung differenzierter Zugriffsrechte sind die verarbeiteten personenbezogenen Daten auf unterschiedliche Datensätze und Server / IT-Systeme verteilt. Zudem bestehen differenzierte Bearbeitungsrechte (u.a. „nur Lesen“, „Ändern“).
• Auf Veranlassung der Geschäftsleitung oder des Fachverantwortlichen werden Zugriffsberechtigungen von der Geschäftsleitung genehmigt und nach deren Weisung von der IT-Administration erteilt. Die Zugriffsrechte werden alle 3 Monate überprüft.
• Ein Änderungsmanagement existiert. Genehmigte Konfigurationsänderungen werden vom IT-Administrator vorgenommen.
• Es erfolgt eine Ereignisprotokollierung
• Durch transaktionsbasierte Verarbeitungskontrolle kann nachträglich geprüft werden, ob und von wem Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.
• Die Systemkonfiguration, einschließlich der Standardkonfiguration, werden geprüft und kontrolliert.
• Es bestehen Sicherungsmaßnahmen gegen unbefugtes Kopieren von Daten auf lokale Rechner.
• Bei der Übermittlung von Daten mittels Datenübertragungsleitungen werden Daten mit sensitivem Inhalt verschlüsselt. Zur Übermittlung werden folgende Dienste genutzt: E-Mail, WWW, FTP. Folgende Sicherheitsstandards werden dabei verwendet: Bei Übermittlung per WWW https oder SSL/TLS, beim FTP SFTP.

§ 4 Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit

Maßnahmen zur Sicherstellung der Verfügbarkeit, des Zugangs zu personenbezogenen Daten und der Wiederherstellbarkeit:

• im Falle eines physischen oder technischen Vorfalls können personenbezogene Daten zeitnah wiederhergestellt werden.
• Systeme haben die Fähigkeit mit risikobedingten Veränderungen umzugehen und weisen eine Toleranz gegen Störungen und Angriffen auf.
• Sicherheitsrelevante Updates und Patches für Betriebssysteme und Anwendungsprogramme werden innerhalb von 7 Tagen aufgespielt.
• Firewall
• Virenschutz
• Es besteht eine unterbrechungsfreie Stromversorgung (USV).
• interne IT- und IT-Sicherheitssteuerung und -verwaltung
• Es wird Festplattenspiegelung durchgeführt.
• Von allen Daten wird täglich eine Totalsicherung angefertigt mit Ausnahme der Daten auf mobilen Endgeräten. Verantwortlich dafür ist der Backup-Administrator. 12 Generationen von Sicherungskopien werden aufbewahrt.
• Zur Dokumentation werden Sicherungsprotokolle erstellt und geprüft. Das Backup-Verfahren ist dokumentiert und wird regelmäßig kontrolliert.

§ 5 Auftragskontrolle / Vertragskonformitätskontrolle

• Kontrolle der Einhaltung der Maßnahmen zur Sicherstellung der Datenminimierung, Datenqualität, Rechenschaftspflicht, Verfügbarkeit und Wiederherstellbarkeit bei Unterauftragnehmern
• Es werden Maßnahmen zur Sicherstellung der Ereignisprotokollierung getroffen.
• Daten und Programme werden in unterschiedlichen Verzeichnissen und Partitionen gespeichert.
• Es werden Maßnahmen zum Schutz der Daten während der Speicherung und zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden, getroffen und von Hotelbird kontrolliert.
• Vor größeren Wartungs-, Fernwartungs- oder Reparaturarbeiten wird eine komplette Sicherung der betroffenen Systeme erstellt.
• Der Auftraggeber wird über Programmabbrüche/Programmfehler informiert.
• Zur Durchführung von Fernwartung wird ein Einmal-Passwort verwendet.
• Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sind vorgesehen.
• Die Backup-Medien werden im Rechenzentrum aufbewahrt. Diesbezüglich besteht eine Regelung.

§ 6 Datentrennung

Durch einen softwareseitigen Ausschluss (Mandantentrennung), sowie Trennung von Test- und Produktivdaten wird gewährleistet, dass die zu unterschiedlichen Zwecken verarbeiteten Daten getrennt verarbeitet werden.