Atos – Auftragsverarbeitungsvereinbarung mit dem Kunden
PDF herunterladen
Parteien
Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV“) ist Teil der Allgemeinen Servicebedingungen für den Unify Phone Service (nachfolgend „Vereinbarung“), die der Kunde mit der Unify Software and Solutions GmbH, Otto-Hahn-Ring 6, 81379 München, Deutschland („Auftragnehmer“), bei der Registrierung für den Cloud-Service mittels „Click and Accept“ abschließt.
Der Kunde und der Auftragnehmer werden einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.
Diese AVV zur Vereinbarung beschreibt die Verpflichtungen der Parteien in Bezug auf die Verarbeitung personenbezogener Daten im Namen des Kunden durch den Auftragnehmer zum Zweck der Erbringung der im Vertrag festgelegten Dienstleistungen. Beide Parteien handeln in Übereinstimmung mit den geltenden Datenschutzgrundsätzen, gesetzlichen und vertraglichen Anforderungen.
1. Definitionen
1.1. In Großbuchstaben geschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird. Vorbehaltlich der nachstehenden Änderungen oder Ergänzungen behalten die Definitionen der Vereinbarung ihre volle Gültigkeit und Wirkung. Für die Zwecke der Auslegung dieser AVV haben die folgenden Begriffe die nachstehend angegebene Bedeutung
| Verb | Bedeutung |
| (a) „Anwendbare Gesetze“ | bezeichnet alle gegenwärtigen und zukünftigen Gesetze und Vorschriften (die von Zeit zu Zeit geändert oder aktualisiert werden können), die auf die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung anwendbar sind, einschließlich der Gesetze der Europäischen Union, der Gesetze der Mitgliedstaaten (oder anderer anwendbarer Gesetze eines anderen Landes, einer Provinz, eines Staates oder einer Gerichtsbarkeit, denen die Verarbeitung der personenbezogenen Daten unterliegt). Für die Durchführung dieser Vereinbarung beziehen sich die anwendbaren Gesetze auf die DSGVO, das deutsche Bundesdatenschutzgesetz und alle anderen in Deutschland geltenden Gesetze und Verordnungen in Bezug auf die Verarbeitung und den Schutz von personenbezogenen Daten |
| (b) „für die Verarbeitung Verantwortlicher“ (oder „Verantwortlicher“) | ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über den Umfang, die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet. |
| (c) „Auftragnehmer“ (oder “Auftragsverarbeiter”) | bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen und gemäß den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet. |
| (d) „DSGVO“ oder „Datenschutz-Grundverordnung „ | bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ in ihrer jeweils geltenden Fassung. |
| (e) „Verarbeitung“ (oder verwandte Begriffe) | ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; |
| (f) „Personenbezogene Daten“ | bezeichnet alle Informationen über eine identifizierte oder identifizierbare natürliche Person (eine „betroffene Person“), die Atos (bzw. die betroffenen Personen) betreffen und vom Dienstleister im Namen von Atos oder einem Atos-Kunden gemäß oder in Verbindung mit der Vereinbarung verarbeitet werden. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, ohne darauf beschränkt zu sein. |
| (g) „Verletzung des Schutzes personenbezogener Daten“. | bedeutet eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
jede Verletzung der Sicherheit, die ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt, die der Auftragnehmer im Namen des Kunden im Zusammenhang mit der Vereinbarung verarbeitet. |
| (h) „Unterauftragsverarbeiter“ oder “Subunternehmer”. | bezeichnet einen von einem Auftragsverarbeiter beauftragten Dritten, der Zugang zu den personenbezogenen Daten des Kunden hat oder potenziell Zugang zu diesen Daten hat oder diese verarbeiten wird. |
| (i) „Drittland“ | jedes Land oder jede Gerichtsbarkeit außerhalb des Herkunftslandes oder des Europäischen Wirtschaftsraums („EWR“). |
2. Rollen und Pflichten der Parteien
2.1. Zum Zweck der Verarbeitung personenbezogener Daten erkennen beide Parteien an, dass sie an die Aufgaben und Verpflichtungen der anwendbaren Gesetze und die nachfolgenden Bedingungen gebunden sind.
2.2. Der Zweck dieser AVV ist es, die Verarbeitung personenbezogener Daten in Verbindung mit den Bedingungen der Vereinbarung zu regeln, ungeachtet des Herkunftslandes, des Ortes der Verarbeitung, des Standorts der betroffenen Personen oder eines anderen Faktors.
2.3. Die Parteien vereinbaren ausdrücklich, dass (i) der Kunde der Datenverantwortliche für die personenbezogenen Daten ist, die zum Zweck der Erbringung der vertragsgemäßen Dienstleistungen verarbeitet werden, und (ii) der Auftragnehmer der Auftragsverarbeiter ist, wenn er bei der Erbringung der Dienstleistungen personenbezogene Daten im Namen und auf schriftliche Anweisung des Kunden verarbeitet.
3. Garantien für die Bearbeitung durch den Kunden
3.1. Der Kunde als für die Datenverarbeitung Verantwortlicher garantiert, dass alle vom Auftragnehmer in seinem Namen für die Zwecke dieser Vereinbarung verarbeiteten personenbezogenen Daten (im Folgenden „personenbezogene Daten des Kunden“) in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden, einschließlich, aber nicht beschränkt auf seine eigenen Verpflichtungen in Bezug auf die Rechtmäßigkeit der Verarbeitung, die Kategorien der verarbeiteten Daten, die Rechte der betroffenen Personen (einschließlich der Information), die Festlegung und Umsetzung angemessener Aufbewahrungsfristen, die Erledigung etwaiger einschlägiger Formalitäten sowie etwaige Überprüfungen und Zusicherungen in Bezug auf die Angemessenheit der von Atos gegebenen Garantien für die Verarbeitung und den Schutz der personenbezogenen Daten des Kunden. In diesem Zusammenhang garantiert der Kunde, dass er alle notwendigen Schritte unternommen hat, um sicherzustellen, dass seine eigenen Verpflichtungen gemäß den geltenden Rechtsvorschriften eingehalten werden.
4. Austausch von Geschäftsdaten und Kommunikation zwischen den Parteien
4.1. Im Rahmen der Durchführung der Vereinbarung kann es erforderlich sein, dass die Parteien zu Kommunikationszwecken die folgenden Informationen austauschen:
4.1.1. Persönliche Daten: Vorname, Nachname;
4.1.2. Kommunikationsdaten: Telefon, E-Mail, Briefpost; und/oder
4.1.3. Andere: Personenbezogene Daten, zu denen eine Partei der anderen zum Zwecke der Kommunikation zwischen den Parteien Zugang gewährt.
4.2. Beide Parteien verpflichten sich, dass jede Partei als unabhängiger Verantwortlicher handelt, um die oben genannten personenbezogenen Daten für ihre eigenen Mittel und Zwecke zu verarbeiten. Daher erfüllen die Parteien die Verpflichtungen eines für die Verarbeitung Verantwortlichen, wie sie in den geltenden Gesetzen vorgeschrieben sind, um die oben genannten personenbezogenen Daten zu schützen und zu sichern.
5. Weisungen des Kunden
5.1. Als für die Datenverarbeitung Verantwortlicher hat der Kunde dem Auftragnehmer schriftliche und rechtmäßig dokumentierte Weisungen bezüglich der Verarbeitung personenbezogener Daten zu erteilen. Die Parteien sind sich darüber einig, dass die Weisungen des Kunden eine Voraussetzung dafür sind, dass der Auftragnehmer den Kunden bei der Einhaltung seiner Pflichten gemäß den anwendbaren Gesetzen unterstützen kann.
5.2. Die Parteien kommen überein, dass die anfänglichen Weisungen des Kunden für die Verarbeitung personenbezogener Daten in (i) der Vereinbarung und (ii) dieser AVV, einschließlich (a) der Beschreibung der Verarbeitung personenbezogener Daten (Anhang 1) und (b) der technischen und organisatorischen Maßnahmen (Anhang 3), festgelegt sind.
5.3. Vorbehaltlich der Bestimmungen dieser AVV und im gegenseitigen Einvernehmen der Parteien kann der Kunde zusätzliche schriftliche Weisungen erteilen, die mit den Bestimmungen dieser Vereinbarung übereinstimmen.
5.3.1. In diesem Fall wird der Kunde den Auftragnehmer mindestens dreißig (30) Tage vor dem gewünschten Ausführungstermin schriftlich benachrichtigen, um die vom Kunden vorgeschlagenen zusätzlichen Weisungen zu bewerten und die Durchführbarkeit des Ausführungszeitrahmens zu beurteilen. Um jeden Zweifel auszuschließen, werden alle zusätzlichen Weisungen zwischen den Parteien durch Ausfüllen und Unterzeichnung von Anhang 2 vereinbart.
5.4. Für den Fall, dass der Kunde die Durchführung von Änderungen oder Ergänzungen seiner Weisungen verlangt, vereinbaren die Parteien ausdrücklich, dass dies direkte Auswirkungen auf die Erbringung der Dienstleistungen haben kann, die eine Überprüfung und Änderung der Vereinbarungsbedingungen, insbesondere des Umfangs der Dienstleistungen und der Kosten für die Durchführung, erfordern können. In diesem Fall wenden die Parteien die in Abschnitt 15 der Vereinbarung festgelegten Änderungskontrollverfahren oder das in Abschnitt 5.2 beschriebene Verfahren für zusätzliche Weisungen an.
6. Pflichten des Auftragnehmers
6.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich und nur in Übereinstimmung mit den vom Kunden erhaltenen Weisungen, wie sie in Anhang 1 dieser AVV dokumentiert sind.
6.2. Wenn der Auftragnehmer feststellt, dass die ihm vom Kunden erteilte(n) Weisung(en) einen Verstoß gegen geltendes Recht darstellen oder darstellen könnten, wird er den Kunden unverzüglich in schriftlicher Form über diesen tatsächlichen oder möglichen Verstoß informieren.
6.3. Der Auftragnehmer wird alle neuen rechtmäßigen oder geänderten Weisungen des Kunden befolgen, vorbehaltlich Abschnitt 4.3 dieser AVV. Falls die Weisungen des Kunden im Widerspruch zu den geltenden Gesetzen stehen oder stehen könnten, stellt der Auftragnehmer die Verarbeitung oder den Teil der Verarbeitung ein, der gegen das geltende Recht verstößt, und informiert den Kunden darüber, um neue, überarbeitete und rechtmäßige Weisungen zu erhalten.
6.4. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird der Auftragnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten des Kunden gemäß den geltenden gesetzlichen Datenschutzanforderungen erfolgt, wie sie in den Anhängen zu dieser AVV dargelegt sind.
6.5. Der Auftragnehmer bestätigt, dass sein Personal, das für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung zuständig ist, einer angemessenen Verpflichtung zur Vertraulichkeit der Verarbeitung personenbezogener Daten unterliegt. Der Auftragnehmer stellt außerdem sicher, dass sein Personal, das für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung zuständig ist, an einer obligatorischen Schulung oder einem E-Learning über den Schutz der Privatsphäre und personenbezogenen Datenschutz teilnimmt.
7. Verzeichnis von Verarbeitungstätigkeiten
7.1. Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von durchgeführten Tätigkeiten der Verarbeitung, die im Auftrag des Kunden im Zusammenhang mit den im Rahmen der Vereinbarung erbrachten Dienstleistungen durchgeführt werden, sofern dies nach geltendem Recht erforderlich ist. Auf Anfrage des Kunden oder einer zuständigen Aufsichtsbehörde (wie nach geltendem Recht vorgeschrieben) stellt der Auftragnehmer unverzüglich und in jedem Fall innerhalb von fünfzehn (15) Werktagen nach einer solchen Anfrage oder innerhalb des durch geltendes Recht festgelegten Zeitrahmens eine Kopie dieses Verzeichnisses von Verarbeitungstätigkeiten zur Verfügung.
8. Rechte der betroffenen Personen
8.1. Während der Kunde dafür verantwortlich ist, die Art und Weise zu bestimmen, in der er Anfragen der betroffenen Personen zur Ausübung ihrer Rechte nach dem geltenden Datenschutzrecht beantwortet, unterstützt der Auftragnehmer den Kunden in Übereinstimmung mit dem geltenden Datenschutzrecht und unter Berücksichtigung der Art der Verarbeitung durch geeignete Verfahren bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Rechte der betroffenen Person nachzukommen, insbesondere:
8.1.1. den Kunden unverzüglich zu benachrichtigen, wenn ein Empfänger personenbezogener Daten eine Anfrage erhält, die von einer betroffenen Person nach geltendem Recht in Bezug auf personenbezogene Daten an den Kunden hätte gerichtet werden müssen;
8.1.2. sicherstellen, dass der Empfänger personenbezogener Daten nicht auf die Anfrage antwortet, es sei denn, der Kunde und der Auftragnehmer haben sich darauf geeinigt, dass der Auftragnehmer diese Aufgabe übernimmt, oder dies ist nach geltendem Recht, dem der Empfänger personenbezogener Daten unterliegt, erforderlich; in diesem Fall muss der Auftragnehmer den Kunden, soweit dies nach geltendem Recht zulässig ist, über diese rechtliche Anforderung informieren, bevor der Empfänger personenbezogener Daten auf die Anfrage antwortet; und
8.1.3. alle dokumentierten Weisungen des Kunden bezüglich der Reaktion auf Anträgen auf Wahrnehmung von Rechten der betroffenen Personen gemäß den geltenden Gesetzen zu befolgen.
8.1.4. In diesem Zusammenhang übermitteln die Parteien personenbezogene Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format.
9. Interaktionen mit Aufsichtsbehörden
9.1. Auf Verlangen des Kunden unterstützt der Auftragnehmer den Kunden bei der Erfüllung seiner Pflichten gegenüber den zuständigen Datenschutzbehörden, soweit dies erforderlich ist:
9.1.1. Erteilung von Auskünften über eine Verarbeitung, wenn diese zur Unterstützung eines Antrags auf Genehmigung oder Zulassung einer Verarbeitung erforderlich sind;
9.1.2. Bereitstellung von Informationen im Zusammenhang mit einer Verarbeitung, um Informationsanfragen, Kontrollen oder Untersuchungen nachzukommen; und/oder
9.1.3. Bereitstellung von Informationen im Falle einer Verletzung des Schutzes personenbezogener Daten, wie in Abschnitt 14 dieser AVV dargelegt.
10. Sicherheit der Verarbeitung
10.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen unterstützt der Auftragnehmer den Kunden in Übereinstimmung mit den geltenden Gesetzen bei der Erfüllung seiner Pflicht, geeignete technische und organisatorische Maßnahmen festzulegen und umzusetzen, um die Sicherheit und Vertraulichkeit der im Rahmen dieser AVV verarbeiteten personenbezogenen Daten zu gewährleisten.
11. Datenschutz-Folgenabschätzungen
11.1. Der Auftragnehmer stellt dem Kunden alle Informationen zur Verfügung, die für die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Kunden relevant sind, damit der Kunde die erforderlichen Unterlagen (z. B. eine Datenschutz-Folgenabschätzung) ausfüllen kann.
12. Subunternehmer (weitere Auftragsverarbeiter)
12.1. Der Kunde bestätigt hiermit ausdrücklich und erkennt an, dass er dem Auftragnehmer seine schriftliche Zustimmung erteilt hat, um personenbezogene Daten an seine dritten Unterauftragnehmer für die Verarbeitung personenbezogener Daten zu übermitteln, die zur Erfüllung seiner Verpflichtungen aus der Vereinbarung erforderlich sind. Der Auftragnehmer muss geeignete Unterlagen (d. h. Verträge, verbindliche interne Datenschutzvorschriften, Standardvertragsklauseln, Verhaltensregeln usw.) und zusätzliche technische Sicherheitsvorkehrungen (d. h. z. B. Verschlüsselung und pseudonymisierte Daten, Daten, die von nationalen Sicherheitsbehörden nicht entschlüsselt werden können) einführen oder sich auf diese stützen, um sicherzustellen, dass der dritte Unterauftragnehmer ein Schutzniveau für die personenbezogenen Daten des Kunden einführt, das den Bestimmungen dieser AVV entspricht.
12.2. Beinhaltet eine solche Übermittlung eine Übermittlung personenbezogener Kundendaten außerhalb des EWR, so gelten die Bestimmungen des nachstehenden Abschnitts 13 dieser AVV.
13. Übermittlung von personenbezogenen Kundendaten in Drittländer
13.1. Der Auftragnehmer und seine verbundenen Unternehmen des Atos Konzerns sind an die Binding Corporate Rules der Atos-Gruppe („BCR“) gebunden, die von autorisierten Behörden genehmigt wurden und unter folgender Adresse zu finden sind: https://atos.net/content/dam/global/documents/atos-binding-corporate-rules.pdf.
Der Kunde erkennt an, dass die BCR für den Fall, dass der Auftragnehmer personenbezogene Daten des Kunden an eine Tochtergesellschaft des Auftragnehmers übermittelt, die außerhalb des EWR ansässig ist, eine ausreichende Sicherheitsvorkehrung darstellen, um sicherzustellen, dass diese Einrichtungen ein angemessenes Schutzniveau für personenbezogene Daten bieten, wie es nach geltendem Recht erforderlich ist.
13.2. Der Auftragnehmer stellt sicher, dass seine Unterauftragnehmer, die vom Kunden zur Verarbeitung personenbezogener Kundendaten ermächtigt wurden, ein angemessenes Schutzniveau für diese personenbezogenen Kundendaten bieten. Zu diesem Zweck muss der Auftragnehmer: (i) sicherstellen, dass jeder dritte Unterauftragnehmer, der zur Verarbeitung von personenbezogenen Daten des Kunden außerhalb des EWR berechtigt ist, die Verpflichtungen einhält, die in den von der Europäischen Kommission (oder einer anderen zuständigen Behörde) festgelegten Standardvertragsklauseln für die Übermittlung personenbezogener Daten (insbesondere die Standardvertragsklauseln der Europäischen Kommission gemäß der Verordnung (EU) 2016/679) mit dem Kunden oder mit dem Auftragnehmer festgelegt sind; oder (ii) alternative Mittel zu den Standardvertragsklauseln anwenden, um ein angemessenes Schutzniveau für die personenbezogenen Daten des Kunden zu gewährleisten, wenn dies von den zuständigen europäischen oder lokalen Behörden als angemessen anerkannt wird.
14. Sicherheits- und Vertraulichkeitsmaßnahmen
14.1. Der Kunde erkennt an, dass: (i) die vom Auftragnehmer definierten und angewandten technischen und organisatorischen Sicherheitsmaßnahmen auf den Weisungen und Informationen beruhen, die er vom Kunden erhalten hat und die dazu dienen, gemeinsam mit dem Kunden die mit der Verarbeitung der personenbezogenen Daten des Kunden verbundenen Risiken zu beurteilen und zu bewerten, und (ii) er die in Anhang 2 (Anforderungen an die Informationssicherheit) dargelegten technischen und organisatorischen Sicherheitsmaßnahmen überprüft hat und sie unter Berücksichtigung der Risiken der Verarbeitung und des festgelegten Zwecks der Verarbeitung für angemessen hält.
14.2. Der Kunde erklärt sich damit einverstanden, dass für den Fall, dass er seine Verarbeitungsweisungen gemäß den Bestimmungen von Abschnitt 5 dieser AVV ändert, die ursprünglich festgelegten und umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen möglicherweise nicht mehr den Risiken der Verarbeitung und den festgelegten Zwecken der Verarbeitung angemessen sind. In diesem Fall erklärt sich der Kunde damit einverstanden, dass die technischen und organisatorischen Sicherheitsmaßnahmen möglicherweise geändert werden müssen und dass diese Änderungen Auswirkungen auf die Erbringung der Dienstleistungen und die Bedingungen der Vereinbarung, insbesondere die finanziellen Bestimmungen, haben können.
14.3. Der Kunde informiert den Auftragnehmer über alle besonderen Gefahren oder Schwachstellen, von denen er Kenntnis erlangt. Darüber hinaus erkennt der Kunde an, dass von Zeit zu Zeit erhebliche Sicherheitsgefahren und -schwachstellen auftreten und vom Auftragnehmer identifiziert werden können. Wenn solche Gefahren und Schwachstellen aus technischen oder betrieblichen Entscheidungen des Kunden resultieren oder damit zusammenhängen (z.B. beschlossene anfängliche Sicherheitsmaßnahmen, implementierte Systeme usw.), wird der Auftragnehmer den Kunden unverzüglich über diese Gefahr oder Schwachstelle informieren, sobald er davon Kenntnis erlangt. Der Auftragnehmer wird, soweit möglich, Maßnahmen oder Abhilfemaßnahmen empfehlen, um die Auswirkungen der Gefahr oder Schwachstelle zu unterdrücken, abzuschwächen oder zu begrenzen, und die Parteien werden solchen Änderungen im Rahmen der in Abschnitt 15 der Vereinbarung festgelegten Änderungskontrollverfahren zustimmen. Der Kunde trägt alle Kosten im Zusammenhang mit den Aufwänden des Auftragnehmers zur Abschwächung von Gefahren oder Schwachstellen, die sich aus den Handlungen des Kunden ergeben.
15. Verletzungen des Schutzes personenbezogener Daten
15.1. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die während der Erbringung der Dienstleistungen durch den Auftragnehmer auftritt, wird der Auftragnehmer den Kunden unverzüglich, nachdem er davon Kenntnis erlangt hat, über die Verletzung des Schutzes personenbezogener Daten informieren und Folgendes mitteilen
(i) soweit möglich die Kategorien und die ungefähre Zahl der betroffenen Personen, sowie die betroffene Kategorien und die ungefähre Zahl der betroffenen personenbezogenen Datensätze;
(ii) soweit möglich, den Namen und die Kontaktdaten der zuständigen Kontaktstelle, bei der weitere Informationen eingeholt werden können; und
(iii) soweit möglich, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
15.2. Im Falle einer Verletzung des Schutzes personenbezogener Daten ist der Auftragnehmer verpflichtet:
15.2.1. in Abstimmung mit dem Kunden alle relevanten weiteren Maßnahmen zu ergreifen, die erforderlich sind zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung;
15.2.2. Unterstützung des Kunden bei der Festlegung und Durchführung aller Vorkehrungen, die nach geltendem Recht erforderlich sind (einschließlich etwaiger Meldungen an die zuständigen Aufsichtsbehörden);
15.2.3. eine Aufzeichnung der Informationen über die Verletzung des Schutzes personenbezogener Daten zu führen, einschließlich, soweit möglich, der Ergebnisse ihrer eigenen Untersuchungen und/oder der Untersuchungen der Behörden; und
15.2.4. mit dem Kunden zusammenzuarbeiten und die erforderlichen Maßnahmen zu ergreifen, um zu verhindern, dass sich eine solche Verletzung des Schutzes personenbezogener Daten wiederholt.
15.3. Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten behandeln beide Parteien alle Informationen über die Verletzung des Schutzes personenbezogener Daten mit höchster Vertraulichkeit und arbeiten aktiv an öffentlichen Mitteilungen und/oder offiziellen Meldungen an die zuständigen Behörden mit.
16. Rechtliche Ersuchen um Zugang zu personenbezogenen Kundendaten
16.1. Für den Fall, dass der Auftragnehmer aufgrund anwendbarer Gesetze oder behördlicher Auflagen aufgefordert oder verpflichtet wird, bestimmte Verarbeitungsvorgänge (einschließlich, aber nicht beschränkt auf die Weitergabe an Behörden) in Bezug auf personenbezogene Daten des Kunden in einem Drittland durchzuführen, das kein im Wesentlichen gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet wie der EWR, und im Zusammenhang mit Massenüberwachung oder Überwachungsmaßnahmen, verpflichtet sich der Auftragnehmer hiermit ausdrücklich dazu (i) den Kunden so schnell wie möglich über ein solches Ersuchen oder eine solche Anforderung zu informieren (vorbehaltlich der Einhaltung gesetzlicher Bestimmungen, die ihn daran hindern könnten, den Kunden zu informieren), um die ausdrückliche und schriftliche Zustimmung des Kunden zu einer solchen Verarbeitung einzuholen; (ii) sich, soweit möglich, einem solchen Ersuchen oder einer solchen Anforderung zu widersetzen (insbesondere durch den Hinweis, dass der Auftragnehmer weder Eigentümer der Daten ist, die er im Auftrag des Kunden verarbeitet, noch die Kontrolle über diese Daten hat); oder (iii) den Kunden, soweit möglich und auf dessen Kosten, bei allen Maßnahmen zu unterstützen, die er ergreift, um sich einer solchen Verarbeitung zu widersetzen (sofern er dies beschließt).
17. Prüfungsrechte
17.1. Der Kunde ist berechtigt, einmal jährlich und nach vorheriger schriftlicher Ankündigung mit einer Frist von mindestens vier (4) Wochen ein Audit der Verarbeitungseinrichtungen des Auftragnehmers durchzuführen oder durch einen unabhängigen, ordnungsgemäß beauftragten Dritten durchführen zu lassen, um die Einhaltung der in dieser AVV festgelegten Pflichten durch den Auftragnehmer sicherzustellen. Jeder Dritte, der ein Audit im Namen des Kunden durchführt, unterliegt einer strengen Geheimhaltungspflicht und darf kein Konkurrent des Auftragnehmers sein. Ein solches Audit darf den Betrieb oder die Geschäftstätigkeiten des Auftragnehmers nicht behindern oder stören und darf sich nur auf den Teil der relevanten informationstechnischen Infrastruktur beziehen, der die personenbezogenen Daten des Kunden verarbeitet.
17.2. Zusätzlich zu dem jährlichen Audit-Recht gemäß 17.1 ist der Kunde berechtigt, zusätzliche Audits im Falle einer Verletzung des Schutzes personenbezogener Daten, auf Anordnung einer zuständigen Datenschutzbehörde oder aufgrund von Änderungen der geltenden Datenschutzgesetze durchzuführen.
17.3. Die Partei, die das Datenschutzaudit durchführt, trägt ihre eigenen Kosten für Audits.
18. Kein Verkauf von persönlichen Daten
18.1. Der Auftragnehmer erkennt an und bestätigt, dass er keine persönlichen Daten als Gegenleistung für Dienstleistungen oder andere Gegenstände erhält, die der Auftragnehmer dem Kunden zur Verfügung stellt. Der Kunde behält alle Rechte und Interessen an seinen persönlichen Daten. Der Auftragnehmer verpflichtet sich, keine Maßnahmen zu ergreifen, die dazu führen würden, dass die Übermittlung personenbezogener Daten an den Auftragnehmer oder vom Auftragnehmer als Verkauf personenbezogener Daten gemäß den geltenden Gesetzen eingestuft wird.
Anhang 1
Allgemeine Beschreibung Der Verarbeitung Von Personenbezogenen Daten Durch Atos
Kontaktinformationen
| Atos-Tochtergesellschaften |
| Der Datenschutzbeauftragte von Atos | Name:
Post: dp.it-solutions@atos.net Tel: |
Beschreibung der Dienstleistung
| Bitte beschreiben Sie in wenigen Worten die von Atos für den Kunden erbrachten Dienstleistungen oder Produkte |
Bitte angeben:
Cloud Service Unify Phone |
Verarbeitungstätigkeiten
| Zweck der Verarbeitung | Bitte beschreiben Sie den Vorgang oder die Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden
Leistung des Cloud Services Unify Phone inkl. Support. Weitere Details zur Nutzung: durch Kunden auszufüllen |
|||||||||||||||||||||||||||||||||||||
| Categories of Processing activities* (see definition list below)
|
Sonstiges (bitte angeben):
|
|||||||||||||||||||||||||||||||||||||
| Standort der betroffenen Personen |
Bitte angeben (Nicht-EU):
|
|||||||||||||||||||||||||||||||||||||
| Kategorien von verarbeiteten personenbezogenen Daten |
Sonstiges (bitte angeben):
|
|||||||||||||||||||||||||||||||||||||
| Kategorien von verarbeiteten sensiblen personenbezogenen Daten |
Der Cloud-Dienst ist nicht für die Verarbeitung sensibler Daten gedacht, es ist die Entscheidung des Kunden, ob er solche Daten als Inhalt in die Cloud einspeist. |
|||||||||||||||||||||||||||||||||||||
| Kategorien von betroffenen Personen |
Sonstiges (bitte angeben):
|
|||||||||||||||||||||||||||||||||||||
| Dauer der Aufbewahrung/Löschung personenbezogener Daten |
Bitte angeben:
Der Kunde als für die Datenverarbeitung Verantwortlicher kann während des Anpassungsprozesses eine andere Länge festlegen. |
Datenschutzpraktiken von Atos
| Die Garantien von Atos hinsichtlich der Verarbeitung personenbezogener Daten |
|
||||||||||||||||||||||||||||||||
| Standort von Atos Verarbeitungstätigkeiten
(Tochtergesellschaften von Atos) |
|
||||||||||||||||||||||||||||||||
| Arbeitet Atos mit einem oder mehreren externen Unterauftragnehmern? |
|
||||||||||||||||||||||||||||||||
| Liste der an dem Projekt beteiligten externen Unterauftragnehmer von Atos | Wenn ja, geben Sie bitte die nachstehenden Informationen zu den externen Unterauftragnehmern von Atos an
|
||||||||||||||||||||||||||||||||
| Sicherheitsvorkehrungen für den Fall, dass verbundene Unternehmen oder Unterauftragnehmer von Atos außerhalb der EU ansässig sind oder wenn personenbezogene Daten von außerhalb der EU verfügbar sind
|
Atos gibt an, welche Maßnahmen es für die Übermittlung personenbezogener Daten an seine Unterauftragnehmer ergreift Bitte angeben:
|
| * Kategorien Von Verarbeitungstätigkeiten | |
| Begriff | Definition |
| Anpassung | Bereitstellung von Dienstleistungen, die vorhandene Daten in eine Form umwandeln, die für einen bestimmten Zweck besser geeignet ist, indem beispielsweise Daten entfernt werden, die für diesen Zweck nicht erforderlich sind, oder indem sie auf anderem Wege zugänglich gemacht werden. |
| Ausrichten / Kombinieren / Abgleichen | Bereitstellung von Dienstleistungen, die zwei oder mehr Kundendatensätze verarbeiten, um entweder (a) einen oder mehrere von ihnen zu validieren oder zu aktualisieren oder (b) einen weiteren Datensatz zu erstellen. |
| Big Data-Analytics | Bereitstellung von Mitteln für die Analyse von Big Data (Big Data ist eine riesige Menge von Datensätzen, die mit herkömmlichen Tools nicht gespeichert, verarbeitet oder analysiert werden können). Big-Data-Analytics ermöglicht die Akkumulation und/oder Abfrage großer Datensätze mit dem Ziel, neue Erkenntnisse oder neue Datensätze zu gewinnen.
Zum Beispiel ein Verfahren zur Gewinnung aussagekräftiger Erkenntnisse wie verborgene Muster, unbekannte Korrelationen, Markttrends und Kundenpräferenzen. |
| Sammlung | Bereitstellung von Dienstleistungen, mit denen direkt Daten erhoben werden können, wie z. B. die Bereitstellung einer Website, die Bewerbungen entgegennimmt, die Verarbeitung schriftlicher Daten oder die Kontaktaufnahme mit Einzelpersonen, um Daten zu erhalten. |
| Konsultation | Bereitstellung von Dienstleistungen, die einen Verweis auf bestehende Kundendatensätze erfordern, um Anfragen im Namen des Kunden zu beantworten. |
| Offenlegung | Erbringung von Dienstleistungen, bei denen Kundendaten kopiert oder an einen befugten Dritten für dessen eigene Zwecke übermittelt werden (z. B. an eine Steuerbehörde oder eine Aufsichtsbehörde). |
| Löschung oder Zerstörung | Bereitstellung von Dienstleistungen, die Daten dauerhaft löschen, so dass sie nicht wiederhergestellt werden können – entweder durch sicheres Löschen/Überschreiben oder durch physische Zerstörung der Medien, auf denen sie gespeichert sind. |
| Zur Verfügung stellen | Bereitstellung von Dienstleistungen, die den Zugang zu personenbezogenen Daten erleichtern, wie z. B. ein Internet- oder Intranetdienst, der dem Nutzer Zugang zu zulässigen Daten bietet. |
| Umgang mit Medien | Erbringung von Dienstleistungen zur Organisation, Speicherung oder zum Transport von Datenträgern, die Daten des Kunden enthalten. |
| Organisation | Bereitstellung von Dienstleistungen zur Verbesserung der Datenqualität oder -zugänglichkeit, z. B. durch Zusammenführung von Daten an einem Ort oder Beseitigung von Vervielfältigung. |
| Profiling von Einzelpersonen | Bereitstellung von Dienstleistungen, die personenbezogene Daten aus einer oder mehreren Quellen analysieren, um bestimmte persönliche Aspekte in Bezug auf eine natürliche Person zu bewerten, insbesondere um Aspekte in Bezug auf die Arbeitsleistung, die wirtschaftliche Situation, die Gesundheit, die persönlichen Vorlieben, die Interessen, die Zuverlässigkeit, das Verhalten, den Standort oder die Bewegungen dieser natürlichen Person zu analysieren oder vorherzusagen. Mit anderen Worten, es werden Merkmale identifizierbarer Personen ermittelt und/oder Entscheidungen getroffen, wie z. B. Marketingentscheidungen, die sich in der Folge auf bestimmte Personen auswirken können (z. B. die Art von Werbung, die ihnen zugesandt wird, oder die Art von Dienstleistungen, die ihnen angeboten werden). |
| Aufnahme | Erbringung von Dienstleistungen, die zur Speicherung von Audio- oder Videoaufzeichnungen oder zur Erstellung von Daten auf der Grundlage manueller oder automatisierter Beobachtung zur Reproduktion einer Szene führen. (z. B. elektronische Aufzeichnung von Sprache oder genaue Aufzeichnung eines Gesprächs) |
| Fernzugriff | Die Möglichkeit für eine autorisierte Person, über eine Netzwerkverbindung aus einer geografischen Entfernung auf einen Computer oder ein Netzwerk zuzugreifen. Sie ermöglicht es den Nutzern, eine Verbindung zu den von ihnen benötigten Systemen herzustellen, auch wenn sie physisch weit entfernt sind. |
| Einschränkung der Nutzung oder des Zugangs | Bereitstellung von Dienstleistungen, die es ermöglichen, bestimmte Daten unter Quarantäne zu stellen, z. B. zur Erfüllung gesetzlicher Verpflichtungen zur Einschränkung der Verarbeitung oder zur Wahrung der Beweiskraft von Daten für rechtliche/behördliche Zwecke. |
| Abruf | Bereitstellung von Dienstleistungen, die Anfragen zum Auffinden personenbezogener Daten, z. B. aus Archiven oder Datenbanken, bearbeiten. Abruf ist der Vorgang des Zugriffs auf Daten, entweder aus dem Speicher oder aus einem Speichergerät. |
| Nutzung | „Nutzung“ ist unspezifisch und umfasst eine Vielzahl anderer Verarbeitungskategorien, die hier aufgeführt sind. Bitte greifen Sie nur dann auf diesen Begriff zurück, wenn die Verarbeitung alle anderen Kategorien außer Profiling, Kombination und Big Data Analytics umfasst. Verwendete Daten sind Daten, die gerade von einem System aktualisiert, verarbeitet, gelöscht, abgerufen oder gelesen werden. Diese Art von Daten wird nicht passiv gespeichert, sondern bewegt sich aktiv durch Teile einer IT-Infrastruktur |
| Strukturierung | Bereitstellung von Dienstleistungen, die die Möglichkeit bieten, Kundendaten zu speichern (d. h. für die tatsächliche oder mögliche weitere Verwendung aufzubewahren), wie z. B. Cloud-Speicher, Backup oder Archivierung. |
| Strukturierung | Bereitstellung von Dienstleistungen, die dazu beitragen, Daten so zu ordnen, dass sie leichter zugänglich und für den beabsichtigten Zweck besser nutzbar sind. |
Anhang 2
Anforderungen An Die Informationssicherheit
Technische Und Organisatorische Massnahmen (Tom)
Technische und organisatorische Maßnahmen werden gemäß der Global Data Protection Statement umgesetzt.
Anmerkungen:
- Diese TOM gelten für die Verarbeitung personenbezogener Daten durch Atos für die technische Unterstützung der im Rahmen dieser Vereinbarung weiterverkauften Cloud Services.
- Maßnahmen, die mit K.A. gekennzeichnet sind, fallen nicht in den Anwendungsbereich der von Atos erbrachten technischen Unterstützungsdienste.
- Maßnahmen, die mit NEIN gekennzeichnet sind, sind für Cloud Services technisch nicht möglich.
Vertraulichkeit
| Physische Zugangskontrolle
Ziel der physischen Zugangskontrolle ist es, Unbefugten den Zugang zu den Datenverarbeitungssystemen zu verwehren, auf denen personenbezogene Daten verarbeitet oder verwendet werden. |
JA/NEIN |
| Atos implementiert Kontrollen, die den Zugang von Unbefugten zu Datenverarbeitungssystemen verhindern sollen | JA |
| Atos teilt die Räumlichkeiten des Rechenzentrums auf | K.A. |
| Atos setzt ein Videoüberwachungs- und Einbruchserkennungssystem ein, um den Zugang zu Datenverarbeitungssystemen zu überwachen | K.A. |
| Atos verfügt über Richtlinien zur physischen Zugangskontrolle | JA |
| Logische Zugangskontrolle
Ziel der logischen Zugriffskontrolle ist es, zu verhindern, dass Unbefugte Datenverarbeitungssysteme nutzen, auf denen personenbezogene Daten verarbeitet oder verwendet werden. |
JA/NEIN |
| Atos stellt sicher, dass der Zugriff auf die Datenverarbeitungssysteme mittels Autorisierung und Authentifizierung in allen Systemen erfolgt | JA |
| Atos vergibt Passwörter an autorisierte Personen | JA |
| Atos weist autorisierten Personen eine Unternehmens-ID zu | JA |
| Atos stellt sicher, dass rollenbasierte Rechte an die Zugangskennung gebunden sind | JA |
| Atos verwendet Verschlüsselung von Datenspeichern während der Übertragung | JA |
| Atos sorgt für den Einsatz von Firewalls und Antiviren-Software, einschließlich regelmäßiger Sicherheitsupdates und Patches | JA |
| Atos verfügt über Richtlinien, die eine logische Zugriffskontrolle gewährleisten | JA |
| Zugriffskontrolle für Anwendungen
Maßnahmen zur Zugriffskontrolle verhindern die unbefugte Verarbeitung und Aktivitäten (z.B. unbefugtes Lesen, Kopieren, Ändern oder Entfernen) in Datenverarbeitungssystemen durch Personen ohne die erforderliche Berechtigung. |
JA/NEIN |
| Atos sorgt für die systemweite Authentifizierung aller Nutzer und Datenterminals inklusive Zugangsregelungen und Nutzerberechtigungen | JA |
| Atos implementiert ein rollenbasiertes Autorisierungskonzept | JA |
| Atos stellt sicher, dass die Zugriffsberechtigung immer auf dem Prinzip der restriktiven Rechtevergabe basiert | JA |
| Atos setzt ein programmbezogenes Berechtigungskonzept um | JA |
| Atos stellt sicher, dass gemeinsam genutzte Systeme über eine Mandantentrennung/ einen separaten Datenpool verfügen | JA |
| Atos hat klare Regeln für die Informationssicherheit am Arbeitsplatz | JA |
| Atos stellt sicher, dass die Datenspeicher aller mobilen Systeme während der Übertragung verschlüsselt sind | JA |
| Atos verwendet Firewalls und Antiviren-Software einschließlich regelmäßiger Sicherheitsupdates und Patches | JA |
| Atos führt eine regelmäßige Überprüfung aller bestehenden privilegierten Konten durch | JA |
| Trennungskontrolle
Ziel der Trennungskontrolle ist es, sicherzustellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können. |
JA/NEIN |
| Soweit keine dedizierten Systeme für genau einen Kunden im Einsatz sind, stellt Atos sicher, dass die eingesetzten Systeme mandantenfähig sind | JA |
| Die Entwicklungs- und Qualitätssicherungssysteme sind vollständig von den Produktivsystemen getrennt, um einen produktiven Betrieb zu gewährleisten | JA |
| Atos stellt sicher, dass nur autorisierte Personen über ein gesichertes Administratornetz auf die Kundensysteme zugreifen können | JA |
| Pseudonymisierung
Ziel der Pseudonymisierungsregelung und -kontrolle ist, dass die Verarbeitung personenbezogener Daten so erfolgt, dass die Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und unter entsprechende technische und organisatorische Maßnahmen fallen. |
JA/NEIN |
| Atos verwendet anonymisierte Identifikatoren, die nur über eine separate Datenbank aufgelöst werden können | NEIN |
| Atos verwendet Server-Kennungen, die keine Rückschlüsse auf die Funktion zulassen | NEIN |
| Zu den Anforderungen an die Systemhärtung gehört ein striktes Verbot von Login-Bannern mit Informationen über den Typ und die Version der auf den von Atos betriebenen Systemen verwendeten Software | NEIN |
| Verschlüsselungsmaßnahmen
Ziel der Maßnahmen zur Verschlüsselung personenbezogener Daten ist es, den Inhalt der Datenbanken vor unberechtigtem Zugriff und Veränderung zu schützen. |
JA/NEIN |
| Atos kann die Verschlüsselung personenbezogener Daten auf Anweisung des für die Verarbeitung Verantwortlichen sicherstellen | NEIN |
| Atos verwendet point-to-point- oder end-to-end-SSL-verschlüsselte Datenübertragungen zwischen Systemen | JA |
| Atos sorgt für die anwendungsbezogene Verschlüsselung der Daten vor der Übertragung an Datenbanken | JA |
| Atos gewährleistet Verschlüsselung von DB-Backups | JA |
| Atos führt E-Mail-Verschlüsselung ein | K.A. |
| Schrems II Sicherheitsmaßnahmen für personenbezogene Daten, die der EU-DSGVO unterliegen
Ziel der Maßnahmen zur Verschlüsselung personenbezogener Daten ist es, den Inhalt von Datenbanken vor unbefugtem Zugriff und Veränderung in Ländern zu schützen, die kein angemessenes Schutzniveau in Bezug auf Gesetze zur Massenüberwachung und Überwachungsmaßnahmen gewährleisten |
JA/NEIN |
| Atos stellt sicher, dass der Grad der Verschlüsselung und/oder Pseudonymisierung im Vergleich zum Risikoniveau im Importland gemäß der vor der Übermittlung durchgeführten Bewertung angemessen ist | JA |
| Atos stellt nach der Verschlüsselung sicher, dass die kryptografischen Schlüssel entweder im Ausfuhrland, in der Europäischen Union oder in einem solchen Drittland verbleiben, das anerkanntermaßen ein Schutzniveau bietet, das im Wesentlichen dem entspricht, was in der EU in Bezug auf Gesetze zur Massenüberwachung und Überwachungsmaßnahmen vorgeschrieben ist | JA |
| Atos stellt sicher, dass bei der Übermittlung personenbezogener Daten in die oben genannten Drittländer der Importeur keinen unverschlüsselten Zugang zu den personenbezogenen Daten haben darf | JA |
| Atos stellt sicher, dass es auf Anfrage von Atos den dokumentierten Nachweis erbringt, dass sich die kryptografischen Schlüssel gemäß den Anforderungen von Atos befinden | JA |
Integrität
| Kontrolle der Übertragung
Ziel der Übertragungskontrolle ist es, sicherzustellen, dass personenbezogene Daten während der Übertragung, des Transports oder der Speicherung auf einem Datenträger nicht gelesen, kopiert, modifiziert, verändert oder entfernt werden können, und dass dies überprüft und festgestellt werden kann, wenn die Übermittlung personenbezogener Daten durch Übertragungssysteme beabsichtigt ist |
JA/NEIN |
| Atos unterstützt sichere Standardübertragungsarten wie netzbasierte Verschlüsselung (Server zu Server oder Server zu Client und/oder zu Lieferanten) und verschlüsselte Verbindungstunnel | JA |
| Atos verwendet SSL-Zertifikate für Websites (https://) zur Übertragung von Daten in Formularen | JA |
| Atos hat Richtlinien für mobile Geräte | JA |
| Atos führt die Entsorgung von Datenspeichern in einer Weise durch, die mit den Datenschutzbestimmungen vereinbar ist | K.A. |
| Atos hat klare Regeln für die Informationssicherheit am Arbeitsplatz | JA |
| Atos verwendet die Verschlüsselung von Datenspeichermedien während der Übertragung (einschließlich Notebook-Festplatten) | JA |
| Eingabekontrolle
Maßnahmen, die geeignet sind, die nachträgliche Prüfung und Feststellung zu erleichtern, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden sind |
JA/NEIN |
| Atos hat Zugangsregelungen und Benutzerberechtigungen implementiert, die die Identifizierung aller Benutzer und Datenterminals im System ermöglichen | JA |
| Alle Überwachungs- und Protokollierungsmaßnahmen werden dem Stand der Technik und der Kritikalität der zu schützenden Daten angepasst und in dem damit verbundenen wirtschaftlichen Rahmen durchgeführt | JA |
Verfügbarkeit und Widerstandsfähigkeit
| Verfügbarkeitskontrolle
Das Ziel der Verfügbarkeitskontrolle ist es, sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung, Beschädigung oder Verlust geschützt werden. |
JA/NEIN |
| Atos stellt sicher, dass personenbezogene Daten in Systemen gespeichert werden, die zumindest gegen hardwarebedingten Datenverlust geschützt sind | JA |
| Atos stellt sicher, dass personenbezogene Daten in sicheren und redundanten Systemen bis hin zu einem räumlich getrennten Bereich gespeichert werden, um eine kurze Wiederherstellungszeit und eine hohe Gesamtverfügbarkeit zu gewährleisten | JA |
| Atos implementiert Speichersysteme in Kombination mit entsprechenden Softwarekomponenten, die mit einer Technologie ausgestattet sind, die es ermöglicht, definierte Daten zu bestimmten Zeitpunkten wiederherzustellen | JA |
| Atos führt die Datensicherungen regelmäßig gemäß den bestehenden Servicevereinbarungen durch | JA |
| Atos sorgt für eine unterbrechungsfreie Stromversorgung der Systeme | JA |
| Widerstandsfähigkeit / schnelle Wiederherstellung
Diese Maßnahme stellt sicher, dass personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls durch einen Notfallplan und regelmäßige Wiederherstellungstests (mindestens jährlich) schnell wiederhergestellt werden können. |
JA/NEIN |
| Atos stellt sicher, dass eine Notfallplanung / Krisenplanung in Verbindung mit Notfall- und Wiederanlaufplänen für die Rechenzentren vorliegt | JA |
| Die Notfallpläne unterliegen einem regelmäßigen und kontinuierlichen Prüfungs- und Verbesserungsprozess | JA |
Andere Maßnahmen
| „Privacy by design and default“ – Datenschutz durch Technikgestaltung und Voreinstellungen | JA/NEIN |
| Atos stellt durch datenschutzfreundliche Voreinstellungen sicher, dass der Datenschutz zum frühestmöglichen Zeitpunkt berücksichtigt wird, um eine unrechtmäßige Verarbeitung oder den Missbrauch von Daten zu verhindern | JA |
| Atos minimiert die Menge an personenbezogenen Daten und sorgt für eine Beschränkung der Nutzung | JA |
| Atos pseudonymisiert oder verschlüsselt Daten so früh wie möglich | JA |
| Atos schafft Transparenz in Bezug auf Verfahren und Datenverarbeitung | JA |
| Atos anonymisiert Daten so früh wie möglich | JA |
| Atos minimiert den Zugang zu Daten | JA |
| Atos stellt die vorhandenen Konfigurationsoptionen auf die datenschutzfreundlichsten Werte ein | JA |
| Atos dokumentiert die Bewertung der Risiken für die betroffenen Personen | JA |