Wohnungen

§ 4 Pflichten des Auftragnehmers:

(1) Der Auftragnehmer führt die Fernwartung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Er verwendet Daten, die ihm im Rahmen der Erfüllung dieses Vertrags bekannt geworden sind, nur für Zwecke der Fernwartung. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

Soweit möglich, erfolgt die Fernwartung am Bildschirm ohne gleichzeitige Speicherung.

(2) Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen.

(3) Der Auftragnehmer sichert die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt werden.

(4) Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen; Ausnahmen sind besonders zu begründen.

(5) Der Auftragnehmer teilt dem Auftraggeber vor Beginn der Fernwartung schriftlich oder in der Form des Abs. 2 mit, welche Mitarbeiter er dafür einsetzen wird und wie diese Mitarbeiter sich identifizieren werden. Die Mitarbeiter des Auftragnehmers verwenden hinreichend sichere Identifizierungsverfahren.

(6) Der Beginn der Fernwartung ist telefonisch anzukündigen, um den Beauftragten des Auftraggebers die Möglichkeit zu geben, die Maßnahmen der Fernwartung zu verfolgen.

(7) Fernwartungen dürfen nur von der Wartungszentrale aus vorgenommen werden, deren Sicherheitsmaßnahmen in § 7 Abs. 1 vereinbart worden sind.

(8) Der Auftragnehmer erkennt an, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften. Ergeben sich Zweifel, so gestattet der Auftragnehmer die Begehung der Räume, von denen aus die Fernwartung durchgeführt wird.

(9) Die Fernwartung von Privatwohnungen aus ist nicht gestattet. Soll im Einzelfall davon abgewichen werden, bedarf dies einer gesonderten schriftlichen Zustimmung des Auftraggebers. In diesem Fall ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

(10) Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen.

(11) Nicht mehr benötigte Unterlagen und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden.

Hinweis: Für Beweissicherung, Auskunftsansprüche oder die Revision relevant (12) Die Einschaltung von Subauftragnehmern ist ausgeschlossen. Soll im Einzelfall davon abgewichen werden, bedarf dies der gesonderten schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer hat in diesem Falle vertraglich sicher zu stellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 5 erfüllt hat.

(13) Soweit für den Auftragnehmer die Vorschriften über den nicht-öffentlichen Bereich Anwendung finden, bestätigt er, dass er zum Register bei der Aufsichtsbehörde für den Datenschutz gemeldet ist. Die Ergebnisse der zuletzt vorgenommenen Überprüfung durch die Aufsichtsbehörde gemäß § 38 Abs. 2 BDSG werden dem Auftraggeber zugänglich gemacht.

(14) Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.

(15) Der Auftraggeber hat das Recht, die Fernwartung zu unterbrechen, insbesondere wenn er den Eindruck gewinnt, dass unbefugt auf Dateien zugegriffen wird. Die Unterbrechung kann erfolgen, wenn eine Fernwartung mit nicht vereinbarten Hard- und Softwarekomponenten festgestellt wird.

§ 5 Datengeheimnis:

(1) Der Auftragnehmer verpflichtet sich, das Datengeheimnis gemäß § 9 HDSG zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften; im Fall des § 4 Abs. 12 S. 2 gilt das auch gegenüber dem Subunternehmer.

(3) Auskünfte an Dritte darf der Auftragnehmer nicht erteilen, Auskünfte an Mitarbeiter des Auftraggebers darf der Auftragnehmer nur gegenüber den autorisierten Personen (§ 3 Abs. 2) erteilen.

(4) Der Auftragnehmer verpflichtet sich, bei der Fernwartung in sensiblen Bereichen, beispielsweise bei Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, nur festangestellte Mitarbeiter für Fernwartungsarbeiten einzusetzen, die nach dem Verpflichtungsgesetz verpflichtet sind.

§ 6 Kontrollrechte des HDSB

(1) Der Auftragnehmer verpflichtet sich, dem Hessischen Datenschutzbeauftragten und den von ihm eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren und unterwirft sich der Kontrolle nach Maßgabe des HDSG in seiner jeweiligen Fassung. Er benachrichtigt den Auftraggeber, bevor eine angekündigte Kontrolle stattfindet.

(2) Soweit Daten in einer Privatwohnung verarbeitet werden, ist das Zugangsrecht für die Mitarbeiter des Hessischen Datenschutzbeauftragten und der von ihm eingesetzten Bediensteten vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer stellt sicher, dass die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

§ 7 Datensicherungsmaßnahmen (Erläuterungen s. Anhang)

(1) Für die Zwecke der Vorabkontrolle des Auftragnehmers nach § 10 HDSG werden folgende technische und organisatorische Maßnahmen für die Fernwartungszentrale verbindlich festgelegt:

a) Zutrittskontrolle Maßnahmen, damit Unbefugte keinen Zutritt zu den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden. Maßnahmen, damit die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird.

(2) Um die Übertragung der Daten abzusichern und unbefugte Zugriffe auf die Rechner des Auftraggebers im Rahmen der Fernwartung zu verhindern, legt der Auftraggeber folgende technische und organisatorische Maßnahmen für beide Seiten verbindlich fest.

In den meisten Fällen werden im Zusammenhang mit der Fernwartung keine Maßnahmen zur Zutrittskontrolle getroffen.

Es ist aber denkbar, dass der Auftragnehmer die Hardwarekomponenten (Router etc.) installiert und betreut. In diesem Fall sollten hier die Maßnahmen beschrieben werden, wann Wartungspersonal wie Zutritt zur Hardware erhält.

· mit denen sichergestellt wird, dass die Fernwartung nur mit Wissen und Willen des Auftraggebers stattfindet und

· die Identität des Wartungspersonals festgestellt wird.

Beispiele:

Vor einer Wartung wird das Modem durch einen berechtigten Mitarbeiter des Auftraggerbers aktiviert.

Es wird eine Benutzerkennung für das Wartungspersonal eingerichtet. Um die Wartung durchführen zu können, muss die Kennung mit dem Passwort eingegeben werden.

Es wird ein durch Chipkarten unterstütztes Challenge-Response-Verfahren zur Identifizierung des Wartungspersonals eingesetzt.

Im § 1 des Vertrags ist der Umfang der Fernwartung festgelegt. Entsprechend dem Auftrag müssen die Zugriffsregeln für das Wartungspersonal definiert werden. Ein Zugriff auf andere Anwendungen oder Daten muss ausgeschlossen werden.

Auch sind dem Wartungspersonal grundsätzlich keine Administratorrechte einzuräumen. Änderungen im Betriebssystem oder systemnaher Software sollten nur von Mitarbeitern des Auftraggebers vorgenommen werden, damit der Auftraggeber den Überblick über den Stand des Systems behält. Dies gilt umso mehr, wenn mehrere Anwendungen auf einem Rechner laufen und Änderungen im System während der Fernwartung die anderen Anwendungen beeinflussen würden.

Beispiel:

Entsprechend dem Auftragsumfang werden die Zugriffsrechte des Wartungspersonals vergeben.