Gemeinsame Rechtliche Anweisung

(1)

Gemeinsame

Rechtliche Anweisung

SGB X

§ 80

Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag

Anlage 1 Mustervereinbarung

Anlage als PDF für IVAN

Betreut durch: DRV Bund Ref. 3070/01 und DRV Nordbayern

Blatt 1 Stand: 07.10.2015

Inhaltsverzeichnis

1 Allgemeines

2 Mustervereinbarung

1 Allgemeines

§ 80 SGB X enthält eine Reihe von Verpflichtungen an die schriftliche Vertragsgestaltung zwischen Auftraggeber und Auftragnehmer einer Datenverarbeitung im Auftrag (GRA zu § 80 SGB X).

Die Arbeitsgruppe „Geheimnis- und Datenschutz“ (AGGDS) hat eine Mustervereinbarung verabschiedet, die sämtliche Anforderungen des § 80 SGB X erfüllt (AGGDS 4/2013 TOP 3).

Abschnitt 2 enthält einen darauf basierenden Mustervertrag (Mustervereinbarung), der als Grundlage für neu abzuschließende Verträge über eine Datenverarbeitung im Auftrag heran- gezogen werden kann.

Die Anlage 2 zur GRA zu § 80 SGB X enthält detaillierte Erläuterungen und Ausfüllhinweise zu diesem Mustervertrag.

2 Mustervereinbarung

Vereinbarung zum Datenschutz und zur Datensicherheit zur Erhebung, Verarbeitung und Nutzung von Sozialdaten im Auftrag nach § 80 SGB X

... - Auftraggeber -

und

...

...- Auftragnehmer -

(2)

2.1 Gegenstand des Auftrages (Definition der Aufgaben):

………..

2.2 Dauer des Auftrags

2.2.1 Der Vertrag

□ beginnt am... und endet am ...

oder

□ beginnt am …………... und endet mit Auftragserledigung.

oder

□ beginnt am …... und wird auf unbestimmte Zeit geschlossen.

(Er ist mit einer Frist von ... Monaten zum Quartalsende kündbar.)

2.2.2 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündi- gen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmun- gen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder Kontrollmaßnahmen verweigert.

2.3 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

………...

2.4 Art der Daten:

………...

2.5 Kreis der Betroffenen:

………..

II. Rechte und Pflichten des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der Datenerhebung / - verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Er wird dabei vom Auftragnehmer angemessen unterstützt (siehe auch Abschnitt III.16).

2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Ver- arbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und entsprechend Nr. I.2 dieses Vertrages schriftlich festzulegen.

3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auf- tragnehmer zu erteilen:

………

(3)

Gemeinsame

Rechtliche Anweisung

SGB X

§ 80

Blatt 2 Stand: 07.10.2015 4. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestäti-

gung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.

Weisungsberechtigte Personen des Auftraggebers sind:

...

(Name, Organisationseinheit, Funktion, Telefon)

Weisungsempfänger beim Auftragnehmer sind:

...

(Name, Organisationseinheit, Funktion, Telefon)

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprech- partners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger be- ziehungsweise der Vertreter mitzuteilen. Falls Weisungen die unter Nr. I. 2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergän- zen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung er- folgt.

5. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und so- dann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen techni- schen und organisatorischen Maßnahmen (s. Nr. V) zu überzeugen. Der Auf- traggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen.

6. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler o- der Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses er- langten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnah- men des Auftragnehmers vertraulich zu behandeln.

III. Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-

men der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er

hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn

der Auftraggeber dies in der getroffenen Vereinbarung (siehe oben Nr. I. 2.3) oder

einer Weisung verlangt.

(4)

………

………...

3. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwir- ken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten.

4. Die Datenträger, die vom Auftraggeber stammen beziehungsweise für den Auf- traggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang werden do- kumentiert.

5. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Da- tenbeständen strikt getrennt werden.

6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam ma- chen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchfüh- rung der entsprechenden Weisung solange auszusetzen, bis sie durch den Ver- antwortlichen beim Auftraggeber bestätigt oder geändert wird.

7. Der Auftragnehmer räumt dem Auftraggeber das Recht ein,

a) Auskünfte bei ihm einzuholen,

b) während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräu- me zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und

c) geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbei- tungsprogramme einzusehen,

soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist (§ 80 Abs. 2 Satz 6 SGB X).

Dieses Recht gilt in gleicher Weise für die Datenschutzaufsicht des Auftraggebers, den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

8. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auf- traggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verar- beitet werden, ist der Zutritt zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die ande- ren Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

9. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungs- ergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen,

□

dem Auftraggeber auszuhändigen.

oder

(5)

Gemeinsame

Rechtliche Anweisung

SGB X

§ 80

□

wie folgt zu löschen

:

………

Test- und Ausschussmaterial sowie Datensicherungskopien sind nach Ab- schluss der vertraglichen Arbeiten

□

dem Auftraggeber auszuhändigen.

oder

□

wie folgt zu löschen:

………

Die Löschung beziehungsweise Vernichtung ist dem Auftraggeber mit Datums- angabe schriftlich zu bestätigen.

10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer Namen und Anschrift des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer versichern, dass er den Subunternehmer unter beson- derer Berücksichtigung der Eignung der von ihm getroffenen technischen und or- ganisatorischen Maßnahmen sorgfältig ausgewählt hat. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftrag- geber und Auftragnehmer auch gegenüber Subunternehmern gelten. Insbesonde- re muss der Auftraggeber berechtigt sein, Kontrollen vor Ort beim Subunterneh- mer durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer hat die Einhaltung der Pflichten regelmäßig zu überprüfen.

...

Das Ergebnis der Überprüfungen ist zu dokumentieren.

Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die

Verpflichtung nach § 80 SGB X erfüllt hat. In dem Vertrag mit dem Subunter-

nehmer sind die Angaben gemäß Nr. I.2.3 bis 2.5, III.9 und V.1 so konkret

festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des

Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehre-

re Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten

zwischen diesen Subunternehmern.

(6)

11. Die Verarbeitung und Nutzung der Daten findet grundsätzlich im Gebiet der Bun- desrepublik Deutschland statt. Jede Verlagerung in ein anderes Land bedarf der vorherigen Zustimmung des Auftraggebers. Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. III.10.

12. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverar- beitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzu- stimmen.

13. □ Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau

...

(Vorname, Name, Organisationseinheit, Telefon)

bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

oder

□ Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für eine Bestellung nicht vorliegen.

14. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis beziehungsweise das So- zialgeheimnis zu wahren. Er verpflichtet sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:

...

15. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vor- schriften des BDSG (analog SGB X) bekannt sind. Der Auftragnehmer bestätigt, dass ihm auch folgende datenschutzrechtliche Vorschriften bekannt sind:

...

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftig- ten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis sowie das Sozialge- heimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier an- gegebenen datenschutzrechtlichen Vorschriften.

16. Wenn sich Betroffene oder Dritte an den Auftragnehmer wenden, werden alle An-

fragen zur Klärung und Beantwortung an den Auftraggeber weiter gegeben. Zur

Klärung des Sachverhalts unterstützt der Auftragnehmer den Auftraggeber mit al-

len Informationen und gegebenenfalls Daten. Der Auftragnehmer übermittelt In-

formationen und Daten an Betroffene und Dritte nur nach vorheriger schriftlicher

Erlaubnis durch den Auftraggeber.

(7)

Gemeinsame

Rechtliche Anweisung

SGB X

§ 80 IV. Wartungs- und/oder Fernwartungsarbeiten

1. Im System des Auftraggebers werden alle Zugriffe, die für Wartungs- oder Fern- wartungsarbeiten erfolgen, protokolliert. Die Protokollierung muss so erfolgen, dass sie in einer Revision nachvollzogen werden kann. Die Protokollierung darf vom Auftragnehmer nicht abgeschaltet werden.

2. Der Auftragnehmer führt die Wartung oder Fernwartung ausschließlich im Rah- men der getroffenen Vereinbarungen beziehungsweise nach Weisungen des Auf- traggebers durch. Er verwendet Daten, die ihm im Rahmen der Erfüllung dieses Vertrages bekannt geworden sind, nur für Zwecke der Wartung oder Fernwar- tung. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

Soweit möglich, erfolgt die Fernwartung am Bildschirm ohne gleichzeitige Spei- cherung.

3. Der Auftragnehmer stellt die vertragsgemäße Abwicklung aller vereinbarten Maß- nahmen sicher. Er stellt ebenso sicher, dass die verarbeiteten Daten von sonsti- gen Datenbeständen getrennt werden.

4. Notwendige Datenübertragungen über WAN-Strecken zu Zwecken der Wartung oder Fernwartung sind nach dem aktuellen Stand der Technik zu verschlüsseln.

5. Der Auftragnehmer teilt dem Auftraggeber vor Beginn der Wartung oder Fernwar- tung mit, welche Mitarbeiter er dafür einsetzen wird und wie sich diese Mitarbeiter identifizieren werden. Die Mitarbeiter des Auftragnehmers verwenden hinreichend sichere Identifizierungsverfahren.

6. Der Beginn der Wartung oder Fernwartung ist anzukündigen, um den Beauftrag- ten des Auftraggebers die Möglichkeit zu geben, die Maßnahmen der Fernwar- tung zu verfolgen.

7. Der Auftraggeber hat das Recht, die Wartung oder die Fernwartung zu beobach- ten. Er kann eine Fernwartung unterbrechen, insbesondere wenn er den Eindruck gewinnt, dass unbefugt auf Dateien zugegriffen wird. Die Unterbrechung kann auch erfolgen, wenn eine Fernwartung mit nicht vereinbarten Hard- und Soft- warekomponenten festgestellt wird.

8. Fernwartungen dürfen nur von den Standorten aus vorgenommen werden, deren Sicher- heitsmaßnahmen unter Punkt 1 bis 5 vereinbart worden sind.

V. Technische und organisatorische Maßnahmen nach § 78a SGB X

(8)

(Benennung der verwendeten Hardware und Software)

1. □ Das als Anlage beigefügte Datensicherheitskonzept (mit den Festlegungen entsprechend der Anlage zu § 78a SGB X) des Auftragnehmers wird als verbindlich festgelegt.

oder

□ Die im Anhang beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.

2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicher- heitsmaßnahmen.

3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsver- hältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden.

Wesentliche Änderungen sind schriftlich zu vereinbaren.

Nr. II.2 ist zu beachten.

4. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

5. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auf- tragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Be- stimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Da- tenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezoge- ner Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 83a SGB X in Verbindung mit § 42a BDSG. Der Auftragneh- mer sichert zu, den Auftraggeber bei seinen Pflichten nach § 83a SGB X zu unterstützen.

VI. Haftung

1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter beziehungsweise die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung fahrlässig oder vorsätzlich verursachen.

2. Für den Ersatz von Schäden, die ein Betroffener wegen unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadenser- satz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftrag- nehmer vorbehalten.

VII. Sonstiges

1. Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf de- nen sich Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu kennzeichnen.

2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsver- fahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(9)

Gemeinsame

Rechtliche Anweisung

SGB X

§ 80

Blatt 5 Stand: 07.10.2015 3. Für Nebenabreden ist die Schriftform erforderlich.

Gegebenenfalls individualvertragliche Ergänzung:

Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Hinweis: Diese Klausel muss wegen §§ 310 Abs. 1 S. 1 und 2, 307, 309 Nr. 2 lit. b BGB gegebenenfalls individualvertraglich vereinbart werden.

VIII. Wirksamkeit der Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.