Facebook Pixel

Auftragsverarbeitungsvertrag

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG 
GEMÄSS ART 28 DSGVO 

 

abgeschlossen zwischen Lizenznehmer wie im Angebot ausgewiesen 

(im Folgenden „Verantwortlicher“) 

und in-manas: intelligent management solutions GmbH 

FN 456942 z 

Bienerstraße 4, 6020 Innsbruck 

(im Folgenden „Auftragsverarbeiter“) 

 

1. PRÄAMBEL 

1.1 Diese Vereinbarung ist rechtliche Grundlage für die Verarbeitung von dem Verantwortlichen an den Auftragsverarbeiter bereitgestellten personenbezogenen Daten gemäß Art 28 Abs 3 Datenschutz-Grundverordnung („DSGVO“).  

2. GEGENSTAND UND DAUER DER VERARBEITUNG 

2.1 Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben durch den Auftragsverarbeiter für den Verantwortlichen: Lizenzierung und Betrieb der in-manas Softwarelösung gemäß dem zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossenen Lizenzvertrag. 

2.2 Diese Vereinbarung ist für die Dauer des zwischen den Parteien bestehenden Lizenzvertrags gemäß Punkt 2.1 abgeschlossen. Sie endet somit automatisch zu jenem Zeitpunkt, an dem der Lizenzvertrag gemäß Punkt 2.1 endet. 

3. ART UND ZWECK DER VERARBEITUNG 

3.1 Die von dem Verantwortlichen bereitgestellten Daten werden automatisiert und manuell verarbeitet. Die Verarbeitung erfolgt zum Zweck der technischen und inhaltlichen Bereitstellung der in dem Lizenzvertrag gemäß Punkt 2.1 vorgesehenen Leistungen durch den Auftragsverarbeiter. Zweck und Umfang der Verarbeitung lassen sich vor diesem Hintergrund wie folgt zusammenfassen: 

3.1.1 Der Zweck, der von dem Auftragsverarbeiter lizenzierten Software ist es, Ideen von natürlichen Personen, (typischerweise angestellten Mitarbeitern) zu erheben, diese zu diskutieren, zu verdichten und zu beurteilen. Der genaue Einsatzzweck wird vom Verantwortlichen vor Einladung der ersten Teilnehmer in Übereinstimmung mit betrieblichen Vereinbarungen und auf der Plattform für alle Teilnehmer sichtbar dargestellt. Dafür stehen selbst editierbare und für alle Teilnehmer zugängige Teilnahmebedingungen zur Verfügung. 

3.1.2 Der Umfang der Erhebung und Verarbeitung beschränkt sich auf die namentlich erwähnten Personen in der geschlossenen Plattform. Zur Verarbeitung gehören die Anzeige dieser Daten am Bildschirm und auf Datenexporten für den/die Administratoren der Plattform sowie der Versand von e-Mails an Nutzer der Plattform. 

3.2 Grundsätzlich soll die gemäß dieser Vereinbarung vorgesehene Datenverarbeitung nur in einem Mitgliedstaat der Europäischen Union oder in einem Mitgliedstaat des Europäischen Wirtschaftsraums durchgeführt werden.  

3.3 Jeder Transfer von Daten in einen Staat, der nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist, darf nur durchgeführt werden, sofern (i) dies ausdrücklich zwischen den Parteien vereinbart oder sonst von dem Verantwortlichen genehmigt worden ist und (ii) die Voraussetzungen der Art 44 ff DSGVO erfüllt sind. Der Auftragsverarbeiter wird den Verantwortlichen in diesem Fall schriftlich darüber informieren, wie in dem betreffenden Staat ein ausreichendes Datenschutzniveau, das einen Datentransfer ermöglicht, sichergestellt ist. 

4. ART DER PERSONENBEZOGENEN DATEN 

4.1 Der Verantwortliche stellt für die Auftragsverarbeitung gemäß dieser Vereinbarung die folgenden personenbezogenen Daten zur Verfügung: 

4.1.1 Personenstammdaten und Kommunikationsdaten (Name, E-Mail Adresse).  

4.1.2 Daten in Bezug auf eingereichte Ideen, Kommentare und Bewertungen von Ideen; Fragen und Antworten aus Befragungen 

4.1.3 Vertragsstammdaten, Vertragsabrechnungs- und Zahlungsdaten für den Verantwortlichen. 

5. KATEGORIEN DER BETROFFENEN PERSONEN 

5.1 Die Auftragsverarbeitung gemäß dieser Vereinbarung umfasst die folgenden Kategorien betroffener Personen: 

5.1.1 Beschäftigte und Mitarbeiter des Verantwortlichen; 

5.1.2 Kunden, Interessenten, Lieferanten, Handelsvertreter, Ansprechpartner; 

5.1.3 Sublizenznehmer des Verantwortlichen sowie die Beschäftigten und Mitarbeiter derartiger Sublizenznehmer; 

6. PFLICHTEN DES VERANTWORTLICHEN 

6.1 Der Verantwortliche erklärt, dass: 

6.1.1 die Verarbeitung der dem Auftragsverarbeiter bereitgestellten personenbezogenen Daten einschließlich deren Bereitstellung an den Auftragsverarbeiter entsprechend den einschlägigen Bestimmungen der anwendbaren Rechtsvorschriften (insbesondere Datenschutzrecht und Arbeitsrecht) durchgeführt wurde und auch weiterhin durchgeführt wird; 

6.1.2 er den Auftragsverarbeiter angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die bereitgestellten personenbezogenen Daten nur im Auftrag des Verantwortlichen und in Übereinstimmung mit dem anwendbaren Rechtsvorschriften zu verarbeiten; 

6.1.3 er den Auftragsverarbeiter unverzüglich und vollständig informieren wird, wenn er in den Auftragsergebnissen Fehler und Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt; 

6.1.4 er seinen Verpflichtungen nach geltender Rechtslage gegenüber den betroffenen Personen nachkommt. 

7. SICHERHEIT DER VERARBEITUNG 

7.1 Der Auftragsverarbeiter hat in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zu treffen und zu beschreiben, um ein dem Risiko angemessenes Schutzniveau gemäß Art 32 DSGVO zu gewährleisten. 

7.2 Die von dem Auftragsverarbeiter derzeit umgesetzten erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO sind in Anlage ./1 beschrieben. 

7.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. 

8. PFLICHTEN DES AUFTRAGSVERARBEITERS 

8.1 Der Auftragsverarbeiter wird die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an eine Drittland oder eine internationale Organisation – verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 

8.2 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen des Auftragsverarbeiters zur Vertraulichkeit verpflichtet sind bzw. einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und die personenbezogenen Daten gemäß Art 32 Abs 4 DSGVO nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zu einer Verarbeitung verpflichtet. 

8.3 Der Auftragsverarbeiter wird auf Aufforderung des Verantwortlichen nach Maßgabe des Art 28 Abs 3 lit f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung und gegebenenfalls bei der vorherigen Konsultation der Aufsichtsbehörden mitwirken. Der Auftragsverarbeiter wird auf Aufforderung des Verantwortlichen an der Erstellung und der Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten des Verantwortlichen mitwirken, soweit es die Dokumentation der technischen und Maßnahmen betrifft. 

8.4 Der Auftragsverarbeiter gewährleistet, dass er den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen. Wendet sich eine betroffene Person mit der Geltendmachung eines der in Kapitel III DSGVO genannten Rechte an den Auftragsverarbeiter, wird der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter haftet nicht, sollte das Ersuchen der betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird. 

8.5 Der Auftragsverarbeiter wird den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen. 

8.6 Der Auftragsverarbeiter kontrolliert laufend seine Datenverarbeitungsprozesse und Systeme in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben und dokumentiert die Kontrolle. Auf Aufforderung stellt der Auftragsverarbeiter dem Verantwortlichen die Dokumentation als Nachweis der hinreichenden Garantien zur Verfügung. 

8.7 Der Auftragsverarbeiter unterrichtet den Verantwortlichen bei Verdacht auf eine Verletzung des Schutzes personenbezogener Daten sowie über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dem Auftragsverarbeiter ist bekannt, dass der Verantwortliche verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und gegebenenfalls den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. In diesem Falle wird der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Meldepflichten unterstützen und insbesondere die in Art 33 Abs 3 DSGVO genannten Informationen mitteilen. 

8.8 Der Auftragsverarbeiter wird – nach Wahl des Verantwortlichen – die bereitgestellten personenbezogenen Daten und die daraus entwickelten Werke nach Beendigung des gemäß Punkt 2.1 abgeschlossenen Vertrages entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten eine Verpflichtung zur Speicherung besteht. 

8.9 Der Auftragsverarbeiter hat bei Vorliegen der gesetzlichen Voraussetzungen einen Datenschutzbeauftragten zu bestellen und dem Verantwortlichen mitzuteilen. Jeder Wechsel des Datenschutzbeauftragten sowie des Ansprechpartners für Informationssicherheitsfragen des Auftragsverarbeiters sind dem Verantwortlichen unverzüglich schriftlich mitzuteilen. 

8.10 Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen – die vom Verantwortlichen oder von einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.  

8.11 Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen. Für den Rahmen der Weisungen gelten die vertraglich im Rahmen der Auftragserteilung einschließlich Benutzerdokumentation und der AGBs des Auftragsverarbeiters vereinbarten Standards. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Die bloße Annahme einer Weisung durch den Auftragsverarbeiter stellt jedoch noch keine Beurteilung dar, ob diese gegen Datenschutzbestimmungen verstößt oder nicht. Der Auftragsverarbeiter ist berechtigt, die Befolgung von Weisungen auszusetzen, bis diese von dem Verantwortlichen erneut bestätigt oder abgeändert worden sind. 

9. KONTROLLRECHTE DES VERANTWORTLICHEN 

9.1 Der Verantwortliche hat das Recht, in Absprache mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragsverarbeiter darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragsverarbeiter stehen, hat der Auftragsverarbeiter gegen diesen ein Einspruchsrecht. 

9.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.  

9.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch  

9.3.1 die Einhaltung genehmigter Verhaltensregeln gemäß Art 40 DSGVO; 

9.3.2 die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art 42 DSGVO; 

9.3.3 aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); 

9.3.4 eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit. 

9.4 Für die Ermöglichung von Kontrollen durch den Verantwortlichen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen. 

10. SUB-AUFTRAGSVERARBEITER 

10.1 Der Auftragsverarbeiter kann für die Erfüllung seiner Verarbeitungstätigkeiten Sub-Auftragsverarbeiter hinzuziehen, dies aber unter der Voraussetzung der Einhaltung der Vorschriften der DSGVO (insbesondere Art 28 Abs 2 und 4 DSGVO).  

10.2 Dem Sub-Auftragsverarbeiter sind im Wege eines Vertrages oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten aufzuerlegen, die in diesem Vertrag festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. 

10.3 Der Auftragsverarbeiter verwendet derzeit die folgenden Sub-Auftragsverarbeiter: 

Name 

Adresse 

Dienstleistung 

Hyve 

 

 

 

 

 

 

 

 

 

10.4 Mit Abschluss dieser Vereinbarung bestätigt der Verantwortliche gegen die in Punkt 10.3 angeführten Sub-Auftragsverarbeiter keinen Einspruch zu erheben. 

10.5 Gemäß Art 28 Abs 2 DSGVO hat der Verantwortliche das Recht gegen eine Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern Einspruch zu erheben. Zu diesem Zweck wird der Auftragsverarbeiter den Verantwortlichen zumindest 30 Tage bevor ein neuer Sub-Auftragsverarbeiter in Anspruch genommen wird, über diesen Umstand informiert. Ein Einspruch muss innerhalb von 10 Werktagen erfolgen. 

11. HAFTUNG  

11.1 Verantwortlicher und Auftragsverarbeiter haften im Außenverhältnis nach Art 82 Abs 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter für einen solchen Schaden gemäß Art 82 Abs 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadenersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit dies ihrem Anteil an der Verantwortung entspricht. 

12. ALLGEMEINE BESTIMMUNGEN 

12.1 Diese Vereinbarung beinhaltet sämtliche Vereinbarungen der Parteien im Hinblick auf den Vertragsgegenstand. Mündliche oder schriftliche Vereinbarungen außerhalb der Vereinbarung bestehen nicht. Diese Vereinbarung ersetzt und hebt mit Vertragsbeginn alle etwaigen früheren mündlichen und schriftlichen Vereinbarungen der Parteien im Hinblick auf den Vertragsgegenstand auf. 

12.2 Nebenabreden oder Änderungen dieser Vereinbarung – einschließlich dieser Schriftformklausel – bedürfen der Schriftform.  

12.3 Bezugnahmen auf Gesetze, Vorschriften, Dokumente und Anlagen gelten, soweit nicht ausdrücklich etwas anderes bestimmt ist, für die Gesetze, Vorschriften, Dokumente und Anlagen in ihrer jeweils geltenden Fassung, also einschließlich etwaiger Änderungen nach dem Vertragsdatum.  

12.4 Auf diese Rahmenvereinbarung findet das Recht der Republik Österreich unter Ausschluss des UN-Kaufrechts (CISG) Anwendung. Internationaler Gerichtsstand ist Österreich. Örtlicher Gerichtsstand ist der Sitz des Auftragsverarbeiters. 

12.5 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Teile nicht berührt. Die Parteien verpflichten sich in einem solchen Falle, die unwirksame oder undurchführbare Bestimmung durch eine solche zu ersetzen, die dem angestrebten Zweck in rechtlich zulässiger Weise möglichst nahekommt. Gleiches gilt bei Regelungslücken. 

 

 

Datum und Unterschrift gemäß Angebot und Auftragsbestätigung 

 

 

Auftragsverarbeiter 

 

 

Datum und Unterschrift gemäß Angebot und Auftragsbestätigung 

 

 

Verantwortlicher 

 

 

SEITENUMBRUCHANLAGE 1 –  
ALLGEMEINE TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Das in-manas System selbst wird bei IN-MANAS im Unternehmensgebäude entwickelt und nach Test mit künstlichen generierten Daten auf internen Servern in die Umgebung im Rechenzentrum eingespielt. Produktivsystem (Rechenzentrum), Testsystem (Rechenzentrum) und Entwicklungssystem (IN-MANAS) werden separat betrieben. Ein Update erfolgt in der Regel schrittweise. 

1. ZUTRITTSKONTROLLE 

Die virtualisierte Infrastruktur der Server wird durch die Configo Systems GmbH (Hilpertstraße 3, 64295 Darmstadt) bereitgestellt. 

Das Rechenzentrum erfüllt die internationalen Richtlinien für IT Sicherheit ISO 27001:2005 und Qualitätsmanagement ISO 9001:2008. Der Zutritt zum Rechenzentrum ist nur Kunden von Global Switch möglich. Während des Besuches ist ein amtliches Ausweisdokument beim Empfang zu hinterlegen. 

2. ZUGANGSKONTROLLE IN-MANAS: KUNDENPLATTFORM 

2.1 KUNDENPLATTFORM (IN-MANAS.COM) 

  • Die Plattform hat Zugriffssicherungen, die vom Administrator selbst eingerichtet werden können.  

  • Passwortsicherheit nach Komplexität wie in der Industrie üblich 

  • Session – Timeout / Automatik – Logout Regelung 

  • Sicherung des Datenverkehrs über HTTPS 

2.2 IN-MANAS SERVER IM RECHENZENTRUM (LIVE & TEST) 

Administrativen Zugang zu den Servern haben nur die für das Projekt zuständigen System Administratoren von IN-MANAS. Der Zugriff ist für die System Administratoren nur in folgender Weise möglich: 

  • Über das IN-MANAS Intranet: mit einem 1-Faktor Authentifizierungsverfahren, nur über das SSHv2 Protokoll 

  • Zugriff zum IN-MANAS Intranet besteht nur aus dem Büro von IN-MANAS: Schellingstr. 45, 80799 München 

  • Oder über eine VPN-Verbindung zum Netzwerk der IN-MANAS-Büros, welche System Administratoren von IN-MANAS vorbehalten ist 

  • Über das Internet: mit einem 2-Faktor Authentifizierungsverfahren, nur über das SSHv2 Protokoll 

  • Mitarbeiter der Configo Systems GmbH erhalten nur nach Rücksprache mit dem administrativen Personal von IN-MANAS Zugang zu den seriellen Konsolen. Dieser ist zusätzlich auf den Desaster Recovery Fall beschränkt. 

Datenbank-Zugang: der Zugang zur MySQL-Datenbank der In-manas Plattform ist nur über das IN-MANAS-Intranet bereitgestellt. Zugang zu dieser Weboberfläche hat das IN-MANAS System Administrations Team und der zuständige Entwickler der Plattform. 

2.3 IN-MANAS interne Systeme:  

  • Kennwortverfahren (mit Zahlen, Buchstaben und Mindestlänge)  

  • Deaktivierung der Konten für nicht aktive Mitarbeiter vor Ausscheiden aus der Firma 

2.4 ZUGRIFFSKONTROLLE  

Folgende Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung ist mindestens gegeben: 

  • Zugriff für das System Administrations Team: Das System Administrations-Team hat vollen administrativen Zugriff auf den zuständigen Server und die Datenbank. Nach Beginn der Eingabe von personenbezogenen Daten (zeitgleich mit dem sogenannten „Go Live“ der In-manas Plattform) ist der administrative Zugriff auf die Server für System Administratoren von IN-MANAS nur im Notfall und nach Rücksprache mit dem entsprechenden Projektleiter gestattet. 

  • Zugriff für den zuständigen Entwickler: Bis zum „Go Live“ der Plattform hat der zuständige Entwickler Zugriff auf die Dateien des Webservers, der ihm nach dem Start des Projektes entzogen wird. Der Zugriff auf die Datenbank bleibt weiterhin bestehen, ist jedoch nur im Notfall und nach Rücksprache mit dem entsprechenden Projektleiter gestattet. 

  • Zugriff für den Projektleiter: der Projektleiter hat während der gesamten Laufzeit Zugriff auf den Admin-Bereich der Plattform, der nach Rücksprache auch deaktiviert werden kann. 

2.5 in-manas: Kundenplattform 

  • Personengebundener Account zum Zugriff auf das In-manas, es werden keine Gruppenaccounts erlaubt. 

  • Rollensystem: Es wird zwischen normalem User, Experten, Autoren und Administratoren unterschieden. 

2.6 IN-MANAS INTERNE SYSTEME, TEST- UND PRODUKTIVSYSTEME 

  • Bedarfsorientiertes, differenziertes Berechtigungskonzept (Profile, Rollen), das zentral gesteuert wird und mit der IN-MANAS Geschäftsführung abgestimmt ist.  

  • Rechenzentrums- und Serverzugänge sind personenbezogen 

3. WEITERGABEKONTROLLE  

Folgende Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung sind mindestens gegeben: 

 

3.1 in-manas: Kundenplattform 

  • SSL Verschlüsselung aller Verbindungen zu in-manas, http Anfragen werden auf https umgeschrieben 

  • der Export von personenbezogenen Daten ist nur für den Administrator möglich 

  • Protokollierung aller wesentlichen Verhaltenselemente s.Punkt 5 „Eingabekontrolle“ 

 

3.2 IN-MANAS INTERNE SYSTEME, TEST UND PRODUKTIVSYSTEME 

  • Verschlüsselung bei Updates 

Alle Datenträger, die personenbezogene Daten speichern – das sind im speziellen die Daten des Webservers, sowie die Datenbanken -  liegen auf AES256bit verschlüsselten Datenträgern. Backups, die zur weiteren Sicherung auf ein Fremd-Systemübertragen werden, werden vor der Übertragung mit einem separaten AES256bit Schlüssel, der nur für die entsprechende  in-manas Plattform Verwendung findet, verschlüsselt und über eine gesicherte SSHv2 Verbindung per SFTP übertragen 

4. EINGABEKONTROLLE 

Folgende Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, sind mindestens gegeben. 

4.1 IN-MANAS: KUNDENPLATTFORM 

  • Protokollierung aller relevanten Aktivitäten mit Zeitstempel und Autor z.B. 

  • Login 

  • Eingabe, Änderung von Ideen 

  • Bewertungen (Quick / Detaillierte Beurteilung) 

  • Besucher von Ideen und Profilen 

  • Kommunikation auf der Pinnwand 

  • Keine physikalische Löschung von Daten, sondern per „Flags“ 

5. AUFTRAGSKONTROLLE  

Folgende Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer sind mindestens gegeben. 

  • IN-MANAS wird technisch und funktional von IN-MANAS als Standardprodukt angeboten. Sämtliche organisatorische Maßnahmen im Rahmen dieses Standards werden für den Auftraggeber im Rahmen dieses Vertrages und auf Anfrage vor Vertragsschluss darüber hinaus beschrieben. Mit der schriftlichen Beauftragung erklärt sich der Kunde damit einverstanden, dass im vorliegenden Modell keine kundenspezifische Anpassung weder technischer noch datenschutzrechtlicher Art vorgesehen ist und dass die dokumentierten Anforderungen für den Einsatzzweck geeignet sind. 

  • Sämtliche Regelungen bezüglich Datenschutzes werden vorab und mit allen Kunden in gleichem Umfang getroffen (Standard). Es gelten die Bedingungen, die im Rahmen der schriftlichen Bestellung durch den Kunden und Auftragsbestätigung zwischen dem Auftragsgeber und IN-MANAS festgelegt werden. Bei Aktualisierung von Datenschutz bzw. AGB bedingt durch technische oder rechtliche Weiterentwicklung kann von IN-MANAS eine aktualisierte Version zur Verfügung gestellt werden. IN-MANAS wird den Kunden darauf aufmerksam machen und die Änderungen kenntlich machen. Legt dieser innerhalb einer Prüffrist von 4 Wochen keinen Widerspruch ein, gelten die neuen Bedingungen als akzeptiert. Andernfalls haben die existierenden weiterhin Bestand. 

  • Als Vertrag bzgl. Auftragsdatenverarbeitung gilt die Zusatzvereinbarung Datenschutz einschließlich dieser Anlage 

Personenbezogene Daten werden von IN-MANAS ausschließlich in dem für den Auftrag notwendigen Umfang erhoben und verarbeitet. Zur Kontrolle erhält der Kunde nach Absprache regelmäßige Reportings über die erhobenen Daten und deren Verarbeitung. Zur Kontrolle durch den Auftraggeber besteht die Möglichkeit entsprechende Server-Logs an diesen zu übermitteln. 

6. VERFÜGBARKEITSKONTROLLE 

Folgende Maßnahmen zur Datensicherung (physikalisch / logisch) sind minimal vorhanden: 

  • Alle Festplatten werden über RAID Verfahren gesichert 

  • Backup – Umfang: 

  • Gesamte Server Sicherung (1x täglich) (Backup A) 

  • Eine tägliche Vollsicherung (Vollsicherungen werden mind. 30 Tage aufbewahrt (Backup B) 

  • Stündliche inkrementelle Sicherung (die letzten 24h werden aufbewahrt) (Backup C) 

  • Redundante Netzwerkanbindung 

  • Virenschutz  

  • Unterbrechungsfreie Stromversorgung 

  • Alle Sicherungen (von Backup B und C) außer dem finalen Backup werden nach Beendigung gelöscht. Alle Sicherungen aus Backup A verfallen nach sieben Tagen. 

  • Folgende Restore-Strategie wird im Ausfallfall angewandt: 

  • Versuch der Wiederherstellung zuerst von den stündlichen Backups (Backup C) 

  • Im Fehlerfall: Wiederherstellung von den täglichen Backups (Backup B) 

  • Disaster Recovery: Wiederherstellung von den Server-Backups (Backup A) 

 

Des Weiteren werden, um die personenbezogenen Daten vor anderweitiger Zerstörung zu schützen, Backups nach folgendem Plan durchgeführt: 

  • Alle Backups befinden sich unverschlüsselt – jedoch auf einem verschlüsselten Dateisystem –auf dem für die IN-MANAS Plattform zuständigen Server, um einen möglichst schnellen Restore-Vorgang zu gewährleisten. 

  • Eine extra verschlüsselte Kopie der Backups liegt auf einem vom zuständigen Server getrennten Speicherbereich.  

  • Der gesamte für die IN-MANAS Plattform zuständige Server wird einmal täglich gesichert. Die eingesetzte Technik dabei sind sogenannte ZFS Snapshots. (Backup A) 

Die Server der In-manas Plattform werden 24/7 durch ein Monitoring-System überwacht. Im Ausfallfall werden der zuständige Projekt-Leiter und das IN-MANAS System Administrations Team, per E-Mail, sowie auch per SMS, über den Ausfall informiert. Die Response-Zeiten belaufen sich auf die Arbeitszeiten des zuständigen IN-MANAS System Administrations Teams (Mo-Fr. 9-18 Uhr), sofern nicht mit dem Projektleiter anderweitig vereinbart. 

7. TRENNUNGSKONTROLLE  

Folgende Trennungs- Maßnahmen sind mindestens gegeben. 

  • Trennung in Produktiv, Test und Entwicklungssystem 

  • Verwendung von Testdaten für das Entwicklungssystem