Die Inhalte des SAFECOR Support-Portals wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen.
Die Inhalte und Werke des SAFECOR-Portals unterliegen dem deutschen Urheberrecht und sind teilweise Markenrechtlich geschützt. Der Zugang zu den Inhalten erfolgt personifiziert, nach persönlicher Registrierung und anschließender Prüfung und Freischaltung durch SAFECOR an natürliche Personen. Der Nachdruck von Anleitungen, Artikel, FAQs, Redaktionsbeiträgen, Verwendung unserer Seiten, auch Ausschnitten, sowie jegliche Form der Reproduktion, auch unter Verwendung elektronischer Systeme, Downloads, Kopien oder Weitergabe einzelner Inhalte oder kompletter Seiten ist nicht gestattet. Die Vervielfältigung Verwertung, Bearbeitung, Verbreitung und jede Art der Verwertung und Weitergabe an Dritte bedarf unserer schriftlichen Zustimmung.
Bitte wenden Sie sich bei Fragen gern an uns.
Kontakt:
SAFECOR GmbH, Sicherheit und Automation
An der Strusbek 28, 22926 Ahrensburg
Telefon: (040) 86 68 74 10 | Telefax: (040) 86 68 74 12
E-Mail: info@safecor.de
Im Rahmen unserer Dienstleistungen ist es erforderlich, Vereinbarungen zur Vertraulichkeit und Verwendungseinschränkung, sowie vertragliche Regelungen zur Auftragsverarbeitung zu treffen. Hier können Sie sich die Vertragsunterlagen herunterladen.
Vereinbarung zur Vertraulichkeit und Verwendungseinschränkung
Datenschutz bei der Wartung & Pflege
Bei der Wartung und Pflege von den Systemen wird auch auch das Thema Datenschutz durch unsere Mitarbeiter berücksichtigt. Während auf Grundlage des alten Rechts (früher §11 Abs. 5 BDSG) schon die Möglichkeit der Kenntnisnahme für das Vorliegen einer Auftragsverarbeitung ausreichte, unterscheidet das neue Recht (DSGVO) nunmehr ob tatsächliche eine „Verarbeitung“ von Daten vorliegt oder nicht. Wenn es um eine rein technische Wartung geht, findet z.B. keine Datenverarbeitung statt. Eine Auftragsverarbeitung liegt also nicht schon dann vor, wenn lediglich die Möglichkeit der Kenntnisnahme von personenbezogenen Daten besteht. Wenn ein SAFECOR-Mitarbeiter also z.B. nur den konkreten Auftrag der Prüfung hat, ob ein Backup erfolgreich durchgeführt und archiviert wurden und dies nicht die Einzelsichtung von Datei oder Datenbankinhalten beinhaltet, dann wird man nicht von einer „Verarbeitung“ und damit auch keiner Auftragsverarbeitung ausgehen müssen. Ein entsprechender Auftragsverarbeitungsvertrag ist dann auch entbehrlich. So argumentierte z.B. das Bayrische Landesamt für Datenschutzaufsicht. Der Digitalverband Bitkom wird in dem Leitfaden „Begleitende Hinweise zu der Anlage Auftragsverarbeitung“ noch konkreter. Dort heißt es:
Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbetung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt. Es kann zwar nicht ausgeschlossen werden, dass durch die Systemprüfung auch personenbezogene Daten durch den Dienstleister zur Kenntnis genommen werden, nach DSGVO müssen aber deswegen keine den AV-Vorgaben entsprechende Regelungen wie nach Art.28 DSGVO (zuvor §11 Abs. 5 BDSG) geschlossen werden. Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in festgelegten Pflichten des Verantwortlichen angemessen geschützt sind. Vorsorglich sollte in solchen Konstellationen ggf. eine Verschwiegenheitsverpflichtung vereinbart werden. Zu den Besonderheiten zählt, dass der Auftragnehmer die personenbezogenen Daten des Auftraggebers gerade nicht planmäßig verarbeitet oder nutzt.
Die personenbezogenen Daten verlassen bei den SAFECOR-Lösungen nicht die IT-Systeme des Geldinstituts.
Konkrete Beispiele, die keine Auftragsverarbeitung darstellen, sind:
- Installation und Wartung von Netzwerken, Hardware, inkl. Telekommunikationsanlagen
- Pflege von Software wie Betriebssystemen, Middleware oder Anwendungen
- Parametrisieren von Software
- Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests.
Wann ist ein entsprechender Vertrag zur Auftragsverarbeitung nach Art.28 DSGVO zwischen Auftraggeber (Institut) und SAFECOR abzuschließen?
Eine „Verarbeitung“ von personenbezogenen Daten, ist in Art.4 Nr.2 DSGVO legaldefiniert. Danach ist eine Verarbeitung jeder… (Achtung Juristen-Deutsch)
…mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Abgrenzungsfragen zu einer Auftragsverarbeitung bei einer Wartung und Pflege von IT-Systemen wie z.B. bei unseren Service-Tätigkeiten im Bereich der Kundenschließfachanlagen sind für Aussenstehende nicht immer einfach zu beantworten. Es ist also immer zu fragen, ob schon eine „Verarbeitung“ vorliegt oder nicht.
Warum schließen wir nicht einfach „prophylaktisch“ einen Vertrag zur Auftragsverarbeitung?
SAFECOR ist sich der Bedeutung und Sensibilität von Kundendaten (unserer Auftraggeber) bewusst und daher bestrebt, die Vertraulichkeit personenbezogener Daten, d. h. von Informationen, mit denen eine natürliche Person bestimmbar ist, zu wahren. Alle unsere Mitarbeiter sind entsprechend unterwiesen und sensibilisiert. Unsere Service-Prozesse sind zudem nach den Richtlinien des ECB•S der europäischen Zertifizierungsstelle für Sicherheitsprodukte (European Certification Body – ECB•S) nach den Vorgaben für Service-, Reparatur- und Umrüstarbeiten nach den Europäischen Normen und nationalen Richtlinien zertifiziert. Zudem achten und erfüllen wir bei der Kommunikation mit unseren Auftraggebern höchste Sicherheitsstandards. Der Gesetzgeber (Artikel 32, DSGVO) verpflichtet uns in der E-Mail-Kommunikation mit unseren Kunden und Geschäftspartnern, Schutzmaßnahmen zu ergreifen. Die E-Mail-Kommunikation der SAFECOR GmbH erfolgt daher ausschließlich verschlüsselt. Die Verschlüsselung bringt darüber hinaus einen großen Vorteil bezüglich der Benachrichtigungspflicht. Auf unseren Mail-Servern ist die TLS Zwangsverschlüsselung aktiviert (TLS enforcement). „Transport Layer Security“ ist das Standardprotokoll für die Transportverschlüsselung. Zudem ist eine verschlüsselte Kommunikation mit, sowie Authentifizierung am Posteingang für alle Mitarbeiter der SAFECOR GmbH verpflichtend erforderlich.
Einen Vertrag zur Auftragsverarbeitung schließen wir nur dann, wenn dies auch erforderlich ist. Rein „prophylaktisch“ einen solchen Vertrag zu schließen ist aus käufmännischen Gesichtspunkten nicht sinnvoll. Bitte haben Sie daher Verständnis, dass wenn Sie als Auftraggeber nichtsdestotrotz auf einen Vertrag zur Auftragsverarbeitung bestehen – obgleich dieser nicht „zwingend“ erforderlich wäre – dass wir uns vorbehalten, die uns entehenden Kosten für die Aufwände (Bearbeitung, Rechtsberatung, Dokumentation) an Sie weiterzureichen.
Vertrag Wartung-Fernwartung
Im Rahmen der Dienstleistungserbringung muss darauf geachtet werden, dass der Rahmen der Tätigkeiten der Wartung oder Fernwartung – wie oben beschrieben – nicht verlassen wird. Entwickelt sich die Dienstleistung dagegen zu einer Auftragsverarbeitung gem. Art.28 DSGVO, ist eine entsprechende Vereinbarung zu treffen. Dieser Vertrag fällt in der Konstellationen Wartung-Fernwartung durchaus etwas kürzer aus, als bei der Auftragsverarbeitung. Ausgangsgrundlage des Vertrages sind gängige Fälle von Wartungen und Pflege von IT- oder Sicherheitssystemen durch SAFECOR.
Wartung- oder Fernwartungsvertrag
Vertrag Auftragsverarbeitung
Im Rahmen der Dienstleistungserbringung muss darauf geachtet werden, dass der Rahmen der Tätigkeiten Wartung oder Prüfung nicht verlassen wird. Entwickelt sich die Dienstleistung dagegen zu einer Auftragsverarbeitung gem. Art.28 DSGVO, ist eine entsprechende Vereinbarung zu treffen.
SAFECOR Vereinbarung Auftragsverarbeitung
AV-Verträge müssen nicht ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs.9 DSGVO).
Datenlöschungsprotokoll für die Bearbeitung von Kundendaten im Rahmen der Auftragsverarbeitung