Datenschutz- und Sicherheitskonzept für CAFM-/IT-Dienstleistungsvertrag

Ein zentrales Element des Datenschutzkonzepts ist der Auftragsverarbeitungsvertrag, der den korrekten Umgang mit personenbezogenen Daten regelt.

• Weisungsgebundene Datenverarbeitung: Der Dienstleister (Auftragsverarbeiter) darf personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers verarbeiten. Eigene Verarbeitungszwecke oder Nutzungen der Daten für fremde Zwecke sind verboten.

• Vertraulichkeitspflicht für Personal: Es wird sichergestellt, dass alle Personen, die beim Auftragnehmer mit den Daten umgehen, zur Vertraulichkeit verpflichtet wurden (durch Datenschutzvereinbarungen oder gesetzliche Verschwiegenheitspflichten). Unbefugten darf kein Zugriff auf personenbezogene Daten gewährt werden.

• Einsatz von Subunternehmern: Eine Weitergabe der Daten an weitere Auftragsverarbeiter (Subunternehmer) oder deren Einschaltung erfolgt nur mit vorheriger schriftlicher Genehmigung des Auftraggebers. Etwaige Unterauftragnehmer sind vertraglich auf die gleichen Datenschutzstandards zu verpflichten.

• Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter muss alle erforderlichen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO einhalten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen – von Zugangsbeschränkungen bis Verschlüsselung – sind in diesem Konzept detailliert aufgeführt (siehe nächster Abschnitt).

• Unterstützung der Betroffenenrechte: Der Dienstleister unterstützt den Verantwortlichen dabei, Anfragen von betroffenen Personen (z. B. Auskunft, Berichtigung, Löschung) fristgerecht zu beantworten. Ebenso hilft er mit, die übrigen Pflichten des Verantwortlichen nach Art. 32–36 DSGVO einzuhalten (z. B. Mitwirkung bei Sicherheitsüberprüfungen, Datenschutz-Folgenabschätzung).

• Meldung von Datenschutzvorfällen: Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) bekannt, so muss er diese unverzüglich dem Auftraggeber melden. Dieses frühzeitige Melden (Art. 33 Abs. 2 DSGVO) ermöglicht es dem Verantwortlichen, seinerseits ggf. die Aufsichtsbehörde binnen 72 Stunden zu informieren und Schadensbegrenzung einzuleiten.

• Löschung nach Auftragsende: Nach Abschluss der Dienstleistung hat der Auftragsverarbeiter alle erhaltenen personenbezogenen Daten nach Weisung des Auftraggebers entweder zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten. Eine längerfristige Aufbewahrung erfolgt nur, falls gesetzliche Pflichten zur Datenspeicherung bestehen (z. B. gesetzliche Aufbewahrungsfristen).

• Nachweise und Audit-Rechte: Der Dienstleister verpflichtet sich, dem Auftraggeber alle Informationen bereitzustellen, die zum Nachweis der DSGVO-Compliance erforderlich sind. Der Auftraggeber erhält das Recht, die Einhaltung der vereinbarten Datenschutzmaßnahmen zu überprüfen, z. B. durch Audits oder Inspektionen, welche der Auftragsverarbeiter zu ermöglichen und zu unterstützen hat. Diese Kontrollrechte stellen sicher, dass das vorliegende Konzept nicht nur auf dem Papier existiert, sondern auch praktisch umgesetzt wird.

Durch diese Regelungen im Vertragsteil wird der Schutz personenbezogener Daten umfassend gewährleistet. Sämtliche oben genannten Pflichten entsprechen den gesetzlichen Vorgaben der DSGVO und konkretisieren diese für das konkrete Vertragsverhältnis. Im nächsten Abschnitt werden die technischen und organisatorischen Sicherheitsmaßnahmen, auf die sich der Dienstleister verpflichtet, einzeln erläutert.

Gemäß Art. 32 DSGVO sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der Verarbeitung zu gewährleisten. Das vorliegende Sicherheitskonzept beschreibt alle einschlägigen Maßnahmen im Einzelnen. Dabei gilt der Grundsatz, dass das Schutzniveau dem konkreten Risiko angemessen sein muss – unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art und des Umfangs der Datenverarbeitung sowie der Eintrittswahrscheinlichkeit von Risiken. Im Folgenden werden die wichtigsten Sicherheitsaspekte einzeln und detailliert dargestellt:

Ein fundamentales Element der Datensicherheit ist die Zugriffskontrolle: Nur befugte Personen dürfen auf Daten und Systeme zugreifen. Dazu gehören mehrere Ebenen von Kontrollen: physische Zutrittskontrolle zu Räumlichkeiten/Rechenzentren sowie logische Zugangskontrolle in IT-Systemen. Auf physischer Ebene bedeutet dies z. B. gesicherte Gebäude und Serverräume (Schlüsselmanagement, elektronische Schließsysteme, Alarmanlagen) – Unbefugten wird der Zutritt konsequent verwehrt. Auf technischer Ebene werden Benutzerzugänge strikt reglementiert: Jeder Mitarbeiter hat einen persönlichen, individuellen Login mit starken Passwörtern und angemessenen Berechtigungen. Prinzipien wie Need-to-know und Least Privilege werden umgesetzt, d. h. jeder Nutzer erhält nur die minimal nötigen Rechte, um seine Aufgabe zu erfüllen. Administratorenrechte werden auf ein absolut notwendiges Minimum beschränkt und genau protokolliert. Zugriffsversuche und Änderungen an kritischen Daten können protokolliert und überwacht werden, um unautorisierte Aktivitäten zu erkennen. Insgesamt stellen solche Zugriffsbeschränkungen sicher, dass Vertraulichkeit gewahrt bleibt – personenbezogene Daten können nicht von Unbefugten eingesehen, kopiert oder verändert werden. Dieses Kapitel des Konzepts dokumentiert auch ein Rechte- und Rollenkonzept: Es ist klar definiert, welche Rolle (z. B. Administrator, Support, Benutzer) auf welche Daten zugreifen darf. Regelmäßige Überprüfung der Berechtigungen (Rezertifizierungen) stellt sicher, dass veraltete Zugriffsrechte entzogen werden. Durch diese Maßnahmen wird eine Zugriffskontrolle im Sinne des Art. 32 Abs. 1 lit. b DSGVO erreicht – die Vertraulichkeit der Daten ist gewährleistet.

Neben Vertraulichkeit muss auch die Integrität und Verfügbarkeit personenbezogener Daten garantiert sein. Das Konzept sieht daher umfangreiche Maßnahmen zur Datensicherung vor. Zunächst werden regelmäßige Backups aller wichtigen Daten durchgeführt. Diese Datensicherungen erfolgen nach dem Prinzip der Redundanz (z. B. tägliche inkrementelle und wöchentliche Voll-Backups), idealerweise auf geografisch verteilten Speichermedien oder externen Backup-Systemen, um auch beim Ausfall eines Standortes geschützt zu sein. Ebenso werden Backup-Daten verschlüsselt abgelegt, um sie vor unbefugtem Zugriff zu schützen. Das Konzept verlangt zudem, die Wiederherstellbarkeit der Daten periodisch zu testen – Backup-Routinen allein genügen nicht, es muss auch geprüft werden, ob die Wiederherstellung im Ernstfall funktioniert. Entsprechend Art. 32 Abs. 1 lit. c DSGVO wird so die Fähigkeit geschaffen, nach einem physischen oder technischen Zwischenfall den Zugriff auf personenbezogene Daten zeitnah wiederherzustellen.

Zusätzlich zu Backups beinhaltet das Konzept ein umfassendes Notfall- und Desaster-Recovery-Konzept. Dieses Notfallkonzept beschreibt Vorgehensweisen für verschiedene Szenarien, etwa schwerwiegende Systemausfälle, Cyberangriffe oder sonstige Datenpannen. Es gibt klare Pläne, wie im Falle eines IT-Sicherheitsvorfalls vorzugehen ist, um Datenverluste zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten. Konkret gehören dazu z. B. redundante Systemarchitekturen, Notfallkommunikationspläne, definierte Verantwortlichkeiten im Krisenfall und regelmäßige Notfallübungen. Eine solche Vorbereitung stellt sicher, dass auch unter widrigen Umständen die Daten schnell wieder verfügbar sind und die Betriebsabläufe so wenig wie möglich beeinträchtigt werden. Ferner enthält das Konzept organisatorische Regelungen zur Datenaufbewahrung und -entsorgung: Es werden Fristen für die Aufbewahrung personenbezogener Daten festgelegt sowie Verfahren für die Löschung oder Archivierung nicht mehr benötigter Daten beschrieben. Auch die sichere Entsorgung von Datenträgern (etwa physische Vernichtung alter Festplatten oder zertifizierte Löschung) ist Teil der Integritäts- und Verfügbarkeitsmaßnahmen. Insgesamt gewährleisten diese Vorkehrungen, dass personenbezogene Daten gegen Verlust, unbeabsichtigte Zerstörung oder Beschädigung geschützt sind – ein Kernelement der Datensicherheit.

Verschlüsselung ist ein zentrales technisches Mittel, um personenbezogene Informationen vor unbefugtem Zugriff zu schützen. Im Datenschutz- und Sicherheitskonzept wird festgelegt, dass alle sensiblen Daten sowohl bei der Übertragung (-> Transportverschlüsselung, z. B. SSL/TLS für Datenverkehr) als auch bei der Speicherung (-> Verschlüsselung at rest, z. B. Datenbank- oder Festplattenverschlüsselung) mit modernen kryptographischen Verfahren geschützt werden. Die DSGVO nennt die Verschlüsselung personenbezogener Daten ausdrücklich als Beispiel einer angemessenen Schutzmaßnahme. Durch starke Verschlüsselung wird erreicht, dass selbst im Falle eines Datenabflusses (etwa Diebstahl eines Laptops oder Hacker-Zugriff) die ausgelesenen Informationen für Dritte unlesbar bleiben. Das Konzept schreibt Mindeststandards für die Kryptografie vor – z. B. anerkannte Algorithmen (AES, RSA etc.) in ausreichender Schlüssellänge – und verbietet die Verwendung veralteter, unsicherer Verfahren. Zudem werden Richtlinien zum Schlüsselmanagement beschrieben (sichere Generierung, Verteilung, Speicherung und Wechsel von Schlüsseln), um die Wirksamkeit der Verschlüsselung zu gewährleisten.

Darüber hinaus wird, wo immer möglich, der Einsatz von Pseudonymisierung empfohlen. Bei der Pseudonymisierung werden personenbezogene Daten so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können (z. B. Ersetzung von Klarnamen durch Codes, wobei die Zuordnungsschlüssel getrennt aufbewahrt werden). Dies vermindert die Risiken für die Betroffenen, falls doch einmal Daten in falsche Hände geraten. Zwar bleiben pseudonymisierte Daten technisch gesehen personenbezogen (solange eine Re-Identifizierung möglich ist), doch bieten sie einen erhöhten Schutz der Privatsphäre. Das Konzept legt fest, in welchen Anwendungsfällen Pseudonymisierung oder auch Anonymisierung vorzunehmen ist – etwa bei der Nutzung von Echtdaten in Testsystemen oder bei der Auswertung von Nutzungsstatistiken. Insgesamt tragen Verschlüsselungs- und Pseudonymisierungsmaßnahmen maßgeblich dazu bei, die Vertraulichkeit und Datenschutzkonformität der Verarbeitung sicherzustellen.

Datenschutz und Sicherheit sind keine einmaligen Zustände, sondern erfordern einen kontinuierlichen Verbesserungsprozess. Daher beinhaltet das Konzept auch Maßnahmen zur regelmäßigen Überprüfung und Anpassung der Sicherheitsvorkehrungen. Gemäß Art. 32 Abs. 1 lit. d DSGVO muss ein Verfahren eingerichtet werden, um die Wirksamkeit der technischen und organisatorischen Maßnahmen laufend zu prüfen, zu bewerten und zu evaluieren. In der Praxis bedeutet dies: Der Dienstleister führt in definierten Abständen Sicherheitsaudits durch – intern oder durch externe Experten – bei denen die implementierten Maßnahmen auf ihre Effektivität getestet werden. Schwachstellenanalysen, Penetrationstests und Risiko-Assessments sind Werkzeuge, um mögliche Lücken frühzeitig zu identifizieren. Die Ergebnisse solcher Prüfungen werden dokumentiert und fließen in Updates des Sicherheitskonzepts ein. Prozesse zur kontinuierlichen Verbesserung stellen sicher, dass das Schutzniveau mit der sich wandelnden Bedrohungslage Schritt hält.

Ebenfalls essenziell sind Mitarbeiterschulungen und Awareness-Maßnahmen. Das Konzept betont, dass alle Mitarbeiter des Dienstleisters, die mit den IT-Systemen oder den Daten arbeiten, regelmäßig im Datenschutz und in der IT-Sicherheit geschult werden. Sensibilisierung für Themen wie Phishing, Social Engineering, sichere Passwortverwendung und Umgang mit Vorfällen erhöht die Sicherheit zusätzlich. Zudem werden alle Mitarbeiter vertraglich auf die Einhaltung von Datenschutz und Geheimhaltung verpflichtet (siehe oben), was durch Schulungen untermauert wird. Die Organisationsstruktur des Dienstleisters sieht typischerweise auch die Benennung eines Datenschutzbeauftragten und/oder eines Informationssicherheitsbeauftragten vor, die die Einhaltung der Richtlinien überwachen. Über definierte Meldewege können Sicherheitsvorfälle oder Datenschutzverstöße intern sofort weitergeleitet und behandelt werden. Somit etabliert das Unternehmen eine Sicherheitskultur, in der Datenschutz kein einmaliges Projekt, sondern fester Bestandteil der täglichen Abläufe ist. Die Kombination aus technischen Kontrollen, regelmäßigen Audits und qualifiziertem, sensibilisiertem Personal gewährleistet eine robuste und nachhaltige Datensicherheitsstrategie.

Oftmals wird das Datenschutz- und Sicherheitskonzept in ein umfassenderes Informationssicherheitskonzept eingebettet, das an etablierten Standards ausgerichtet ist. Insbesondere die Norm ISO/IEC 27001 (Informationssicherheits-Managementsystem, ISMS) dient vielen Unternehmen als Rahmen, um systematisch für Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen zu sorgen. In diesem Vertragsanhang kann Bezug auf ein bestehendes ISO-27001-zertifiziertes Sicherheitskonzept des Dienstleisters genommen werden. Ein nach ISO 27001 aufgebautes ISMS umfasst z. B. eine strukturierte Risikobewertung, definierte Sicherheitsrichtlinien, organisatorische Zuständigkeiten und eine Dokumentation aller Sicherheitsprozesse. Die hier beschriebenen technischen Maßnahmen (Zugriffskontrolle, Verschlüsselung, Backup etc.) decken sich typischerweise mit den Kontrollen des Annex A der ISO 27001. Durch die ISO-Orientierung wird sichergestellt, dass das Sicherheitskonzept ganzheitlich ist – es berücksichtigt neben Datenschutz auch die allgemeine IT-Sicherheit und Business Continuity. So werden etwa auch Themen wie Netzwerksicherheit (z. B. Firewalls, Intrusion Detection), Patch-Management, Notfallmanagement und Lieferantenmanagement mit betrachtet, welche für einen vollständigen Schutz nötig sind.

Für den Auftraggeber ist ein an ISO 27001 ausgerichtetes Konzept ein Qualitätsmerkmal: Eine Zertifizierung oder die Anwendung dieser Standards belegt, dass der Dienstleister die Sicherheit systematisch und nach international anerkannten Best Practices handhabt. Tatsächlich sieht auch die DSGVO vor, dass anerkannte Zertifizierungsverfahren als Nachweis für geeignete Sicherheitsmaßnahmen herangezogen werden können. Datenschutz und Informationssicherheit greifen hierbei ineinander – beide Aspekte sind eng miteinander verknüpft und ergänzen sich. Während die DSGVO den Fokus auf den Schutz personenbezogener Daten legt, erweitert ein ISO-27001-Konzept den Blick auf alle schützenswerten Informationen und die Sicherstellung des Geschäftsbetriebs. In Summe untermauert die Implementierung eines Informationssicherheitskonzepts nach ISO 27001 die im vorliegenden Anhang definierten Maßnahmen und zeigt das Engagement des Dienstleisters für höchste Sicherheitsstandards.