3A5 DSGVO-Konformitätserklärung

Der Auftragnehmer erklärt ausdrücklich seine Konformität mit den anwendbaren Datenschutzgesetzen, insbesondere der DSGVO und dem BDSG. Eine formelle Erklärung der Einhaltung aller einschlägigen Bestimmungen wird als Bestandteil des Angebots eingereicht. Das Unternehmen hat einen Datenschutzbeauftragten gemäß Art. 37 DSGVO bestellt (bzw. einen verantwortlichen Datenschutzkoordinator benannt), der für die Überwachung der Datenschutz-Compliance und als Ansprechpartner für datenschutzrechtliche Belange zuständig ist. Dessen Kontaktdaten werden auf Anforderung gerne bereitgestellt.

Bei allen Verarbeitungstätigkeiten werden die Grundsätze der DSGVO strikt eingehalten. Insbesondere verpflichtet sich der Auftragnehmer zur Datenvermeidung und -sparsamkeit (nur Erhebung solcher personenbezogener Daten, die für den jeweiligen Zweck absolut notwendig sind), zur Zweckbindung (Verwendung der Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen), zur Transparenz gegenüber dem Auftraggeber und – soweit erforderlich – gegenüber betroffenen Personen, sowie zur Integrität und Vertraulichkeit aller verarbeiteten Daten. Ebenso wird auf die Richtigkeit der Daten geachtet (unrichtige Daten werden bei Kenntnis unverzüglich berichtigt oder gelöscht) und es gelten klare Vorgaben zur Speicherbegrenzung (personenbezogene Daten werden nicht länger als erforderlich aufbewahrt). Der Auftragnehmer trägt gemäß dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) dafür Sorge, dass die Einhaltung dieser Grundsätze jederzeit dokumentiert und nachweisbar ist.

Alle datenschutzrelevanten Verfahren des Auftragnehmers sind darauf ausgerichtet, die vertraglichen Pflichten aus einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zu erfüllen. Der Auftragnehmer wird mit dem Auftraggeber einen entsprechenden Vertrag zur Auftragsverarbeitung abschließen und sämtliche Weisungen des Auftraggebers in Bezug auf die Datenverarbeitung befolgen. Eine Verarbeitung personenbezogener Daten zu anderen als den vereinbarten Zwecken oder für eigene Zwecke des Auftragnehmers erfolgt keinesfalls. Der Auftragnehmer nutzt die erhaltenen personenbezogenen Daten ausschließlich im Rahmen des Auftrags und gibt sie nicht unbefugt an Dritte weiter. Sofern gesetzliche Aufbewahrungspflichten oder andere rechtliche Vorschriften besondere Maßnahmen erfordern, werden diese ebenfalls berücksichtigt.

• Zutritts- und Zugangskontrolle: Die Bereiche und IT-Systeme, in denen Daten verarbeitet oder gespeichert werden (z.B. Serverräume, Rechenzentren, Verwaltungsbereiche), sind gesichert. Es bestehen Schließsysteme, elektronische Zugangskarten, Alarmanlagen und Besucherkontrollen, um den Zutritt nur autorisierten Personen zu ermöglichen. Auf den IT-Systemen selbst wird der Zugang durch individuelle Benutzerkennungen, starke Passwörter und ein rollenbasiertes Berechtigungskonzept beschränkt. Nur befugte Mitarbeiter erhalten Zugriff auf personenbezogene Daten nach dem Prinzip der minimalen Rechtevergabe.

• Datenträger- und Zugriffskontrolle: Es ist sichergestellt, dass Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Server und Rechner sind mit aktuellen Firewalls und Virenschutz ausgestattet. Portable Datenträger (z.B. Laptops, USB-Sticks) werden – sofern sie personenbezogene Daten enthalten – verschlüsselt und gegen Diebstahl geschützt. Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind auf die Vertraulichkeit verpflichtet und geschult, einen sorgsamen Umgang mit Daten sicherzustellen.

• Übertragungskontrolle (Verschlüsselung): Für die elektronische Übermittlung von Daten gelten strenge Sicherheitsprotokolle. Personenbezogene oder sensible Daten, die das Firmennetzwerk verlassen (etwa bei Datenübertragungen an den Auftraggeber, im Fernwartungsverkehr oder beim mobilen Zugriff), werden durch geeignete Verschlüsselungsverfahren geschützt (z.B. SSL/TLS-Verschlüsselung bei Webanwendungen, VPN-Tunnel für Fernzugriffe, S/MIME oder PGP bei E-Mail-Kommunikation). Dadurch wird gewährleistet, dass Daten auf dem Transportweg nicht von Unbefugten mitgelesen oder verändert werden können.

• Eingabekontrolle und Protokollierung: Sämtliche Eingaben, Änderungen und Abrufe personenbezogener Daten in den Systemen des Auftragnehmers werden protokolliert. Es wird nachvollziehbar festgehalten, welcher Benutzer zu welchem Zeitpunkt welche Daten eingegeben, geändert oder gelöscht hat. Diese Protokolle werden regelmäßig ausgewertet, um Auffälligkeiten (z.B. unberechtigte Zugriffsversuche oder Änderungen) frühzeitig zu erkennen. Die Protokolldaten sind gegen unbefugten Zugriff geschützt und werden nach definierten Fristen gelöscht oder anonymisiert, sofern sie nicht zu Nachweiszwecken länger vorgehalten werden müssen.

• Auftragskontrolle (Subunternehmerkontrolle): Sofern im Rahmen der Leistungserbringung Subunternehmer oder externe Dienstleister personenbezogene Daten im Auftrag des Auftragnehmers verarbeiten, erfolgt dies ausschließlich nach vorheriger schriftlicher Zustimmung des Auftraggebers. Der Auftragnehmer stellt vertraglich sicher, dass jeder eingesetzte Subunternehmer denselben Datenschutzpflichten unterworfen ist wie er selbst. Mit Subunternehmern werden entsprechende Verträge zur Auftragsverarbeitung geschlossen, die die Einhaltung aller hier beschriebenen Maßnahmen und Pflichten sicherstellen. Der Auftragnehmer bleibt gegenüber dem Auftraggeber voll verantwortlich für die Einhaltung des Datenschutzes auch bei Einsatz von Subunternehmern.

• Verfügbarkeitskontrolle (Datensicherung und Notfallvorsorge): Um die Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten, sind Backup- und Notfallkonzepte implementiert. Alle relevanten Daten werden regelmäßig gesichert (z.B. tägliche inkrementelle und wöchentliche Vollsicherungen) und an einem sicheren, ausgelagerten Speicherort aufbewahrt. Die Backup-Daten sind ebenfalls durch Verschlüsselung und Zugriffsbegrenzung geschützt. Es existiert ein Notfallwiederherstellungsplan (Disaster-Recovery-Plan), der die rasche Wiederherstellung der IT-Systeme und Daten im Falle eines technischen Ausfalls oder Sicherheitsvorfalls gewährleistet. Dieser Plan wird periodisch getestet und bei Bedarf angepasst. Zusätzlich stehen redundante Systeme zur Verfügung, um einen unterbrechungsfreien Betrieb kritischer Dienste sicherzustellen.

• Organisatorische Maßnahmen und Schulungen: Neben technischen Vorkehrungen hat der Auftragnehmer organisatorische Maßnahmen getroffen, um den Datenschutz im Tagesgeschäft zu verankern. Dazu zählen klare Richtlinien und Arbeitsanweisungen zum Umgang mit personenbezogenen Daten, die Verpflichtung aller Mitarbeiter auf das Datengeheimnis gemäß § 53 BDSG (bzw. Art. 28 Abs. 3 DSGVO) sowie regelmäßige Schulungen der Beschäftigten in Datenschutz- und IT-Sicherheitsthemen. Verantwortlichkeiten im Datenschutz sind klar zugewiesen: Mitarbeiter wissen, an wen sie sich im Unternehmen wenden können (z.B. Datenschutzbeauftragter), und Sicherheitsvorfälle werden nach definierten Meldeketten unverzüglich intern gemeldet und bearbeitet.

Alle genannten technischen und organisatorischen Maßnahmen sind in internen Richtliniendokumenten ausführlich dokumentiert. Auf Verlangen des Auftraggebers kann der Auftragnehmer Nachweise über die implementierten Sicherheitsmaßnahmen vorlegen, z.B. in Form von Zertifizierungen (etwa ISO/IEC 27001-Zertifikat für das Informationssicherheits-Managementsystem) oder Prüfungsberichte unabhängiger Auditoren.

Ein besonderes Augenmerk gilt dem Schutz personenbezogener Daten in typischen Bereichen des technischen Gebäudemanagements. So wird beispielsweise bei der Verwaltung von Zutrittskontrollsystemen oder Videoüberwachungsanlagen sichergestellt, dass nur berechtigte Personen Zugriff auf die erhobenen Daten haben, dass die Daten gemäß den rechtlichen Vorgaben (z.B. regelmäßiges Überschreiben von Videoaufzeichnungen innerhalb der zulässigen Speicherfrist) gespeichert und gelöscht werden und dass betroffene Personen durch geeignete Hinweise (Beschilderung bei Videoüberwachung etc.) informiert werden, soweit dies erforderlich ist.

Schließlich verfügt der Auftragnehmer über ein etabliertes Datenschutz-Notfallmanagement. Etwaige Datenschutzvorfälle (z.B. Verlust von Geräten mit personenbezogenen Daten oder Hackerangriffe) werden nach einem definierten Incident-Response-Plan behandelt. Dieser sieht unter anderem vor, dass bei relevanten Vorfällen unverzüglich der Auftraggeber informiert wird (spätestens innerhalb der in Art. 33 DSGVO geforderten 72 Stunden) und gemeinsam Schritte zur Schadensbegrenzung und zur Information der Aufsichtsbehörden bzw. Betroffenen eingeleitet werden. Jeder Sicherheitsvorfall wird intern dokumentiert und ausgewertet („Lessons Learned“), um künftige Risiken weiter zu minimieren.

Aufbewahrungs- und Löschkonzept: Der Auftragnehmer hat für die verarbeiteten Daten ein differenziertes Aufbewahrungs- und Löschkonzept definiert. Für verschiedene Datenkategorien gelten festgelegte Speicherfristen, nach deren Ablauf eine Löschung oder Anonymisierung der Daten erfolgt.

Beispielsweise werden Besucherdaten (z.B. Anmeldelisten) nur für einen kurzen Zeitraum von wenigen Wochen vorgehalten und anschließend gelöscht, sofern keine gesetzliche Verpflichtung zu längerer Aufbewahrung besteht. Zugangskontroll-Protokolle (Logs über Zutritte zu Bereichen) werden routinemäßig nach einer festgelegten Frist (z.B. 3 Monaten) anonymisiert oder gelöscht, sofern sie nicht im Einzelfall zur Aufklärung von sicherheitsrelevanten Vorfällen länger benötigt werden. Personenbezogene Kontaktdaten von Ansprechpartnern beim Auftraggeber werden für die Dauer der Vertragsbeziehung und einer angemessenen Nachlaufzeit gespeichert und nach Zweckwegfall gelöscht, es sei denn, gesetzliche Aufbewahrungsfristen (etwa nach Handels- und Steuerrecht) erfordern eine längere Speicherung. In solchen Fällen werden die Daten für den weiteren Zugriff gesperrt und nach Ablauf der gesetzlichen Fristen sicher gelöscht.

Backups, die personenbezogene Daten enthalten, werden nur so lange aufbewahrt, wie es für die Datensicherung erforderlich ist. Gelöschte Daten werden in vorhandenen Sicherungen nicht reaktiv genutzt und verbleiben lediglich bis zur automatischen Überschreibung im Rahmen des Backup-Zyklus. Spätestens nach Ablauf der definierten Backup-Vorhaltezeit sind somit auch in Sicherungskopien keine personenbezogenen Informationen mehr enthalten.

Auf Verlangen des Auftraggebers wird der Auftragnehmer nach Abschluss des Auftrags sämtliche personenbezogenen Daten herausgeben oder datenschutzgerecht löschen und dies schriftlich bestätigen. Verarbeitungsbezogene Unterlagen und Nachweise (z.B. Wartungsprotokolle oder Berichte), die keine unmittelbaren personenbezogenen Daten enthalten, aber aus rechtlichen Gründen vorgehalten werden müssen, können unter Beachtung der Vertraulichkeit bis zum Ablauf der gesetzlichen Aufbewahrungsfristen archiviert werden.

Dieses Datenschutzkonzept einschließlich der oben beschriebenen technischen und organisatorischen Maßnahmen wird dem Auftraggeber im Rahmen der Angebotsabgabe schriftlich vorgelegt und verbindlich zugesichert. Alle hier dargestellten Regelungen gelten als integrierter Bestandteil des Leistungsversprechens des Auftragnehmers im Zuge der Ausschreibung. Sollte der Auftragnehmer den Zuschlag erhalten, werden die beschriebenen Datenschutzmaßnahmen in die operative Leistungserbringung implementiert und regelmäßig überwacht.

Soweit der Auftragnehmer Dritte oder Subunternehmer in die Leistungserbringung einbindet, wird er auch deren Einhaltung der DSGVO- und BDSG-Vorgaben sicherstellen und dokumentieren. Vor dem Zugriff von Subunternehmern auf personenbezogene Daten des Auftrags werden entsprechende vertragliche Vereinbarungen geschlossen (siehe Auftragskontrolle in Abschnitt 4), und der Auftragnehmer überprüft die Zuverlässigkeit und Schulung dieser Partner. Auf Verlangen des Auftraggebers können Nachweise zur Datenschutz-Compliance von Subunternehmen zur Verfügung gestellt werden.

Der Auftragnehmer verfügt intern über Richtlinien und Prozesse, die die vorstehend beschriebenen Maßnahmen stützen. So existieren etwa schriftliche Datenschutzrichtlinien, IT-Sicherheitsrichtlinien, Zugriffs- und Berechtigungskonzepte sowie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, in dem alle relevanten Datenverarbeitungsprozesse dokumentiert sind. Diese Unterlagen können im Rahmen von Audits oder auf Anforderung teilweise zur Einsicht bereitgestellt werden, sofern dies zur Prüfung der Datenschutz-Compliance erforderlich ist.

Gegebenenfalls vorhandene Zertifizierungen im Bereich Datenschutz und Informationssicherheit – etwa eine ISO/IEC 27001-Zertifizierung oder TÜV-geprüfte Datenschutzmanagement-Zertifikate – untermauern die Leistungsfähigkeit des Auftragnehmers im Datenschutz. Kopien entsprechender Zertifikate oder Prüfungsberichte können dem Angebot beigelegt werden, soweit dies vom Auftraggeber gewünscht ist.

Sollten sich während der Vertragslaufzeit Änderungen in den gesetzlichen Vorgaben oder in den vertraglichen Anforderungen ergeben, verpflichtet sich der Auftragnehmer, sein Datenschutzkonzept unverzüglich daraufhin zu überprüfen und bei Bedarf anzupassen. Über wesentliche Änderungen oder Aktualisierungen wird der Auftraggeber umgehend in Kenntnis gesetzt. Gleiches gilt, falls Sicherheitsvorfälle oder neue Risiken eine Anpassung der Sicherheitsmaßnahmen erfordern – in diesem Fall werden zusätzliche Schutzmaßnahmen zeitnah implementiert und dokumentiert.

Durch die Abgabe dieser Erklärung bestätigt der Auftragnehmer verbindlich, dass er sämtliche in diesem Dokument beschriebenen gesetzlichen, technischen und organisatorischen Anforderungen an den Datenschutz einhält.

Der Auftragnehmer erkennt an, dass die DSGVO-konforme Verarbeitung personenbezogener Daten eine grundlegende Vertragspflicht darstellt. Jede Nichteinhaltung oder Verletzung der Datenschutzpflichten wird als wesentlicher Verstoß gegen die vertraglichen Pflichten angesehen und kann zu entsprechenden Konsequenzen führen. Hierzu zählen je nach Schwere des Verstoßes Vertragsstrafen, Schadensersatzansprüche oder die außerordentliche Kündigung des Vertragsverhältnisses durch den Auftraggeber. Der Auftragnehmer verpflichtet sich daher, alle erforderlichen Maßnahmen zu ergreifen, um einen rechtskonformen und sicheren Umgang mit Daten jederzeit zu gewährleisten.

• Datenschutzkonzept (Hauptdokument): Vorliegendes Dokument mit Darstellung aller relevanten Datenschutzmaßnahmen und Verpflichtungen.

• Technisch-organisatorische Maßnahmen (Anlage): Gegebenenfalls detaillierte Auflistung der einzelnen Sicherheitsmaßnahmen (TOM) und deren Implementierungsstand.

• Aufbewahrungs- und Löschrichtlinie (Anlage): Schriftliche Richtlinie, welche die in Abschnitt 4 skizzierten Speicherfristen und Löschprozesse für die verschiedenen Datenarten verbindlich festlegt.

• Zertifikate und Nachweise (Anlage, falls verfügbar): Aktuelle Zertifikate (z.B. ISO 27001) oder Auditberichte, welche die Wirksamkeit des Datenschutz- und IT-Sicherheitskonzepts belegen.

• Auftragnehmer-Erklärung (unterzeichnet): Die unterschriebene Erklärung der DSGVO-Konformität und Vertraulichkeit gemäß nachfolgendem Abschnitt 8.

Der/die Unterzeichnende bestätigt hiermit, dass das vorliegende Datenschutzkonzept inhaltlich richtig, vollständig und wirksam umgesetzt ist. Es wird versichert, dass alle darin beschriebenen Maßnahmen aktuell angewandt werden und den Anforderungen der DSGVO, des BDSG sowie den Vorgaben dieser Ausschreibung entsprechen.

Ort: _______________________

Datum: ________________________

Unterschrift: ________________

Name (in Druckschrift): _____________________

Position/Funktion: _______________________

Firma/Unternehmen: _____________________