Da das vielfach verwendete Muster der WKO einige problematische Details enthält stellen wir ein eigenes Muster für Vereinbarungen für Auftragsverarbeitung nach § 28 DSGVO zur Verfügung.
Falls Sie das WKO-Muster oder ein anderes Muster verwenden wollen beachten Sie bitte unbedingt unserer "Änderungen zur WKO-Vorlage" und Anmerkungen im übernächsten Kapitel.
Die Bearbeitung unserer Vorlagen durch Kunden hat sich als Fatal für das Layout erwiesen. Wir bitten daher um Download des Musters als PDF und um Bekanntgabe aller "auszufüllenden" Daten, wir schicken dann umgehend ein ausgefülltes PDF retour.
Version, Veröffentlichungsdatum | Änderung(en) | Download als PDF |
---|---|---|
veraltet: 1.0 vom 7.5.2018 | ||
veraltet: 1.1 vom 23.5.2018 | ||
veraltet: 1.2 vom 24.5.2018 | ||
veraltet: 1.2.1 v. 5.5.2020 | 1 Copy/Paste-Fehler korrigiert | - |
aktuell: 1.2.2 v. 21.6.2021 | Büro-Adresse, Liste Housing-Anbieter | Auftragsverarbeitungs-Vereinbarung_ITEG-Muster_1.2.2.pdf |
In der folgenden Liste finden Sie aller bisher veröffentlichten Stände unserer /wiki/spaces/HOSTING/pages/101810224 als PDF-Download:
Version, Veröffentlichungsdatum | Download als PDF |
---|---|
aktuell: 1.0 vom 7.5.2018 | ITEG-TOMs_1.0_vom_2018-05-07.pdf |
Dieses Kapitel bietet ein paar "Ausfüllhilfen" zur Vervollständigung des ITEG-Musters oder einer anderen ähnlichen Vorlage.
Bei Verwendung fremder Muster beachten Sie bitte unsere "Änderungen zur WKO-Vorlage" im nächsten Kapitel.
Bei den Vertragspartnern bevorzugen wir die DSGVO-Begriffe "Verantwortlicher" und "Auftragsverarbeiter" über die Wirtschafts-Begriffe "Auftraggeber" und "Auftragnehmer".
Die Kontaktdaten von ITEG finden Sie unter iteg.at/kontakt.
Wir müssen darauf bestehen bei den Daten des Verantwortlichen oder in einem eigenen Satz unbedingt einen Kontakt (E-Mail-Adresse und Telefonnummer) anzugeben an die wir Informationsanfragen von potentiell betroffenen Personen weiterleiten können.
Die Branchen-typische Überbegriffe, passend für Kap. 1. (1), sind:
Überbegriff | Kurzbeschreibung |
---|---|
"Shared Hosting" bzw. "Webhosting" bzw. "LAMP-Hosting" | Hosting von Webauftritten und zugehörigen Datenbanken auf Shared-Hosting-Servern. Auf einem Shared-Hosting-Server werden meist Webauftritte verschiedener Kunden parallel gehostet. Die Bereiche der verschiedenen Kunden werden so gut wie mit vertretbarem Aufwand untereinander getrennt, aber ein Rest-Risiko von "local privilege escalations" besteht immer. Administrativen Zugriff auf den ganzen Server haben nur die Administratoren von ITEG. |
"Mail-Hosting" | Hosting von E-Mail-Postfächern und/oder Weiterleitungs-E-Mail-Adressen |
"Root-Hosting" | Beim Root-Hosting steht ein ganzer virtueller Linux-Server einem Hosting-Kunden (und dessen Web-Agenturen) exklusiv zur Verfügung. Dabei hat auch der Hosting-Kunden administrativen Zugriff auf den ganzen virtuellen Server. |
"Domain-Hosting" bzw. "DNS-Hosting" | Neben dem Betrieb des DNS (Domain-Name-Servers) umfasst das üblicherweise auch die Verwaltung der Inhaber-Daten der Domain beim jeweiligen Registrar, also bei der für Domainvergabe authorisierten Stelle. |
Für die Kategorien der verarbeiteten Daten für Kap. 1. (2) gibt es verschiedene Ansätze.
Hier einige Beispiele:
Begriff | Anmerkungen |
---|---|
Personenstammdaten | Im Zweifel sollten Details angegeben werden, z.B. Adresse, E-Mail-Adresse, Kontonummern, Bonitätsdaten, ... Manche Daten unterliegen besonderem Schutz, z.B. Religionsbekenntnis, Ethnische Herkunft, Strafregisterauszug |
Kommunikationsdaten | z.B. E-Mails, laut "Erwägung 30" auch IP-Adressen (in Log-Files auch von Web-Servern) |
Vertragsdaten | Angebote, Bestellungen, Aufträge, Lieferscheine, ... |
Protokolldaten | ... |
Anmerkung: Wichtige Log-Dateien (inkl. IP-Adressen) werden bei ITEG üblicherweise 6 Monate aufbewahrt was wir als angemessen und für Nachforschungen notwendig erachten.
Bei den Kategorien der betroffenen Personen für Kap. 1. (3) kann bzw. muss man relativ großzügig pauschalisieren.
Z.B.: Kunden, Interessenten, Lieferanten, Mitarbeiter.
Die Unterscheidung zwischen privatpersonen und Firmen ist insbesondere in Österreich relativ sinnlos (Personen-Definition im Verfassung), aber auch international wird man kaum Daten einer Firma verarbeiten ohne dass zumindest die Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse) einer natürlichen Ansprechperson enthalten sind.
ITEG greift zur Datenverarbeitung auf keinerlei Sub-Auftragsverarbeiter zurück.
Das CityNet Hall als Anbieter bzw. Sub-Auftragnehmer für Serverhousing hat zwar physischen Zugriff auf unsere Server und könnte theoretisch Festplatten "rauben", darf dies aber nicht und ist selbst mehrfach ISO-zertifiziert (ISO-27001, ISO-9001). Der Zugang zum Data-Center ist ausserdem mit 2 Zugagnschips und PIN abgesichert und das ganze Data-Center ist Video-überwacht.
Wir betrachten die Tätigkeit des CityNets als Rackspace-Vermieter und Access-Lieferant (Carrier) daher nicht als Sub-Auftragsverarbeitung.
ITEG ist seit 18.12.2018 von CIS nach ISO-27001 zertifiziert, was um eine DImension besser ist als alle TOM-Listen die sich in Mustern für Auftragsvereitungs-Vereinbarungen finden.
Wir bitten daher entweder auf unsere ISO-Zertifizierung oder auf unsere eigene Liste der /wiki/spaces/HOSTING/pages/101810224 zurückzugreifen bzw. zu verweisen, siehe Download-Liste ganz oben auf dieser Seite.
Aktuell ist Version 1.0 vom 7.5.2018: ITEG-TOMs_1.0_vom_2018-05-07.pdf
Falls Sie sich mit dem Muster der WKO schon beschäftigt haben oder als Kunde eine selbst formulierte Auftragsverarbeitungs-Vereinbarung evtl. auf dieser Basis schreiben möchten bitten wir um Beachtung folgender erforderlicher Änderungen gegenüber dem WKO-Muster.
Bitte beachten Sie grundsätzlich auch die Ausfüllhilfen weiter oben.
Bitte, Danke.
Kein Verweis auf "Anhang 1" (siehe unten) sondern:
Einzeilheiten sind ITEG's Technischen und Organisatorischen Maßnahmen in der zum Zeitpunkt der Vereinbarung gültigen Version 1.0 vom 7.5.2018 zu entnehmen (siehe https://iteg.at/TOMs).
Die einzigen Maßnahmen die ITEG im Sinne dieser Ziffer setzen kann sind das sicherstellen einer normalen Server-Verfügbarkeit und die Erreichbarkeit für irrtümlich an ITEG gestellte Informationsanfragen von potentiell betroffenen Personen.
Daher möglichst im ersten Satz statt "Der Auftragsverarbeiter ergreift die technischen ..." erweitert "Der Auftragsverarbeiter ergreift im Rahmen seiner Zuständigkeit die technischen ..."
Bezüglich der Auftragsverarbeitungen beschränkt sich das Verarbeitungsverzeichnis auf die in Kapitel 1. der einzelnen Vereinbarungen genannten Rahmeninformationen pro Hosting-Kunde.
Eine "jederzeitiger Einsichtnahme und Kontrolle ... der Datenverarbeitungseinrichtungen" ist weder organisatorisch noch rechtlich möglich.
Auf ausdrücklichen Wunsch kann nach Voranmeldung (auch beim Betreiber des Data-Centers) eine Besichtigung des Data-Centers organisiert werden.
Daher: "jederzeitiger Einsichtnahme" durch "zur stichprobenartigen Einsichtnahme" ersetzen.
Weiters bitte anhängen:
Einsichtnahmen sind nur nach Voranmeldung und mit Zustimmung des Betreibers des Datacenters möglich.
Die Variante "/ in dessen Auftrag zu vernichten [1]" ist zu streichen.
Der Satz mit "speziellen technischen Format" ist irrelevant und kann gestrichen werden.
Da wir den Housing-Anbieter (Rackspace- und Access-Anbieter) nicht als Auftragsverarbetier sehen gibt es seitens ITEG keine Sub-Auftragsverarbeiter. Siehe dazu auch in der Ausfüllhilfe weiter oben und unser Muster.
Daher kann Kapitel 5 weggelassen oder durch den Satz aus unserem ersetzt oder ergänzt werden.
Alle bisherigen Security-Incidents bei ITEG hatten Ihren Ursprung in mangelhafter Qualität bzw. Wartung der vom Hosting-Kunden eingesetzten Software, z.B. in unsicheren WordPress-Plugins, ungeschützten Administrations-Zugängen von J2EE-Frameworks, unsicherer Programmierung seitens der individuellen Web-Entwickler, u.ä.
Daher möchten wir folgende Kundenpflicht in Auftragsverarbeitungs-Vereinbarungen aufnehmen (z.B. als Kap. 6, siehe unser Muster):
Der Verarbeiter bzw. Auftraggeber ist verpflichtet
Zugangsdaten zu ITEG-Systemen (Webspace, Mailboxen, u.ä.) geheim zu halten bzw. nur soweit unbedingt nötig an IT-Betreuer bzw. Web-Designer bzw. Web-Entwickler weiterzugeben.
Unter Zugangsdaten fallen von ITEG vergebene Passwörter sowie von ITEG eingetragene Kunden-eigene private SSH-Keys.
den Verlust solcher Zugangsdaten zu ITEG-Systemen sowie etwaige Hacks eines bei ITEG gehosteten eigenen Web-Auftritts umgehend an ITEG zu melden
Nur zur klaren Trennung vom vorigen Kapitel.
Die Schlagwort-Liste im WKO-Muster passt nicht auf Hosting bzw. auf ITEG als hochspezialisiertem KMU.
Stattdessen muss in Kap. 3. Ziffer (3) auf ITEG's /wiki/spaces/HOSTING/pages/101810224 verwiesen werden, vgl. unseren Formulierungsvorschlag weiter oben.
Aktuelle Version unserer TOMs ist Version 1.0 vom 7.5.2018: ITEG-TOMs_1.0_vom_2018-05-07.pdf.