Verpflichtung zur Einhaltung der
datenschutzrechtlichen Anforderungen nach
der europäischen Datenschutz-Grundverordnung (DSGVO) für externe Dienstleister und
externe Projektmitglieder
Stand 27.02.2024
Hiermit verpflichten Sie sich, personenbezogene Daten nicht unbefugt oder unrechtmäßig zu verarbeiten oder absichtlich oder unabsichtlich die Sicherheit der Verarbeitung in einer Weise zu verletzen, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder unbefugtem Zugang führt. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Einwilligung vorhanden ist, eine vertragliche oder gesetzliche Regelung die Verarbeitung erlaubt oder eine Verarbeitung vorgeschrieben ist. Die Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten sind in Art. 5 Abs. 1 DSGVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:
Alle Daten, Programme (Software) und Geräte (Rechner, Notebooks sowie andere Hardware in diesem Sinne) dürfen nur auf die Weise verwahrt, verarbeitet oder ausgegeben werden, wie es von entscheidungsberechtigten Stellen angeordnet wird.
- Daten, Programme und andere Informationen dürfen nicht zu einem anderen als dem geschäftlichen Zweck vervielfältigt werden.
- Es ist untersagt, …
… Daten oder Programme zu verfälschen, unechte Daten oder Programme herzustellen sowie vorsätzlich unechte oder verfälschte Daten und Programme zu gebrauchen.
… Veränderungen an Geräten (s.o.), deren Konfiguration und Software vorzunehmen, die nicht mit dem Beauftragenden abgesprochen oder beauftragt sind.
… eigene Geräte an das Hausnetz anzuschließen. Diese dürfen nur an gekennzeichnete Netzwerkanschlüsse in Besprechungsräumen angeschlossen werden. Dabei müssen eigene Geräte auf Sicherheit überprüft sein (Virencheck, frei von Spyware, mit aktuellen Patches upgedatet sein; eine Stichprobe durch den Datensicherheitsbeauftragenden behält sich das Unternehmen vor.
- Es dürfen nur die für die konkrete Aufgabenerfüllung notwendigen Daten abgerufen werden. Ein Internetzugang (E-Mails und Downloads) darf ausschließlich für die konkrete Aufgabenerfüllung genutzt werden.
- Eine Weitergabe personenbezogener Daten an Dritte ist nur zulässig, wenn dem Empfänger ein Recht auf Kenntnisnahme aufgrund einer Rechtsvorschrift zusteht.
- Unterlagen mit personenbezogenen Daten sind sicher vor dem Zugriff Dritter aufzubewahren, vertraulich zu halten und keinesfalls an Dritte weiterzugeben. Das schließt analog und elektronisch gespeicherte Daten ein. Nach der Tätigkeit für den Beauftragenden sind sämtliche Daten an den Beauftragenden zurückzugeben oder zu löschen, je nachdem, was abgesprochen wurde.
Zum Schutz personenbezogener Daten ist im Rahmen der zugewiesenen Aufgabe die notwendige Sorgfalt anzuwenden; festgestellte Mängel sind sofort zu melden. Es dürfen weder zugewiesene Rechte umgangen noch missbraucht werden. Zugangsdaten (Anmeldename, Kennung, SMSPasscodes) dürfen in keinem Fall weitergegeben werden, deren Verlust ist sofort dem Vergebenden zu melden.
Weiter müssen personenbezogene Daten
- auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung von dienstvertraglichen Pflichten oder spezieller Geheimhaltungspflichten darstellen.
Auch (zivilrechtliche) Schadenersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben. Ihre sich aus Ihrem Dienstvertrag oder gesonderten Vereinbarungen ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.
Durch die Auswahl „JA“ bestätige ich diese Verpflichtung. Diese Verpflichtungserklärung ist unter diesem Link abrufbar.