|
§ 2 Weisungen der Auftraggeber
- Der Auftragnehmer verarbeitet die ihm von dem Auftraggeber
übermittelten Daten ausschließlich entsprechend deren
Weisungen und Vorgaben. Der Auftragnehmer verpflichtet sich, die
Daten nur zu dem Zweck zu verarbeiten und zu nutzen, zu dem ihm
die Daten von dem Auftraggeber übermittelt worden sind. Eine
Nutzung zu anderen Zwecken ist nur zulässig, wenn der Auftraggeber
hierzu ausdrücklich und schriftlich seine Zustimmung erklärt.
- Der Auftraggeber kann insbesondere vom Auftragnehmer jederzeit
Auskunft über die bei ihm gespeicherten und von dem Auftraggeber
übermittelten, personenbezogenen Daten verlangen, ferner
kann der Auftraggeber jederzeit Berichtigung, Löschung oder
Sperrung der von ihm an den Auftragnehmer übermittelten personenbezogenen
Daten verlangen.
§ 3 Kontrollbefugnisse der Auftraggeber
Der Auftraggeber entsendet in regelmäßigen Zeitabständen
einen Beauftragten, der die ordnungsgemäße Durchführung
dieses Vertrages, insbesondere der datenschutzrechtlichen Vorgaben
und die Einhaltung des Bankgeheimnisses durch den Auftragnehmer
kontrolliert. Der Auftragnehmer gewährt dem Beauftragten
des Auftraggebers ungehinderten Zugriff und Zugang zu allen Datenverarbeitungsanlagen,
Dateien und sonstigen Unterlagen, die für die Verarbeitung
und Nutzung der von dem Auftraggeber übermittelten personenbezogenen
Daten verwendet werden. Dem Beauftragten sind seitens des Auftragnehmers
alle Auskünfte zu erteilen, die dieser zur Erfüllung
seiner Kontrollfunktion für erforderlich hält.
§ 4 Einsatz von Subunternehmen, Weitergabe von Daten
an Dritte
- Der Auftragnehmer ist nicht berechtigt, dritte konzernfremde
Personen, insbesondere Subunternehmer, mit der Erfüllung ihrer Pflichten aus diesem
Vertrag zu beauftragen.
- Die Weitergabe der von dem Auftraggeber übermittelten
personenbezogenen Daten kann an konzernangehörige Kreditinstitute
zur Bewerbung von Finanzdienstleistungen erfolgen; sie ist darüber
hinaus untersagt und ist an Dritte nur mit ausdrücklicher
Zustimmung des Auftraggebers im Rahmen der von den Kartenkunden
erteilten Einwilligungen gestattet.
§ 5 Datensicherung
Der Auftragnehmer und der Auftraggeber verpflichten sich zur Durchführung
und Aufrechterhaltung folgender Datensicherungsmaßnahmen:
Zugangskontrolle
Der Auftragnehmer gewährleistet durch geeignete Maßnahmen,
daß Unbefugten der Zugang zu der Datenverarbeitungsanlage,
auf der die von den Auftraggeber übermittelten Daten verarbeitet
werden, vermehrt wird.
Dies geschieht u.a. durch:
a. Festlegung von Sicherungsbereichen,
b. Absicherung und Beschränkung der Zugangswege,
c. Sicherung dezentraler Datenverarbeitungsanlagen und Personalcomputern,
d. Festlegung von Zugangsberechtigungen einschließlich ihrer
Dokumentation für Mitarbeiter und Firmenfremde,
e. Legitimation der Zugangsberechtigten,
f. Regelungen des Schlüssel-Codes,
g. Schlüsselregelung
h. Codekarten-Besucherausweise,
i. Anwesenheitsaufzeichnungen (An - oder Abwesenheitsliste), Besucherbuch,
Zeiterfassungseinrichtung,
k. Sicherung durch Alarmanlage oder andere geeignete Sicherungsmaßnahmen.
Datenträgerkontrolle
Der Auftragnehmer verpflichtet sich, durch geeignete Maßnahmen
zu verhindern, daß die bei ihm verwendeten Datenträger
mit persönlichen Daten von Kartenkunden unbefugt gelesen,
kopiert, verändert oder entfernt werden können.
Dies geschieht u. a. durch:
a. Festlegung der Bereiche, in denen sich Datenträger befinden
dürfen/ befinden müssen,
b. Festlegung der Personen, die aus diesen Bereichen befugt Datenträger
entfernen dürfen,
c. Kontrolle der Entfernung von Datenträgern,
d. Absicherung der Bereiche, in denen sich Datenträger befinden,
e. Ausgabe von Datenträgern nur an autorisierte Personen,
f. Bestandskontrolle, kontrollierte Vernichtung von Datenträgern
mit Protokollierung,
g. Regelung der Anfertigung von Kopien.
Speicherkontrolle
Der Auftragnehmer verpflichtet sich, durch geeignete Maßnahmen
die unbefugte Eingabe in den Datenspeicher sowie die unbefugte
Kenntnisnahme, Veränderung oder Löschung gespeicherter
Daten von Kartenkunden zu verhindern.
Dies geschieht u.a. durch:
a. Festlegung der Befugnis zur Eingabe von Daten in den Speicher
sowie zur Kenntnisnahme, Veränderung und Löschung gespeicherter
Daten,
b. Legitimation der Befugten,
c. Absicherung der Eingabe von Daten in den Speicher, der Kenntnisnahme,
Veränderung und Löschung gespeicherter Daten,
d. Einsatz von Anwender-Codes (Paßwort)
e. Einsatz von Verschlüsselungsroutinen für kritische
Sicherheitsdateien,
f. Differenzierte Zugriffsregelungen für Prozeduren, Steuerkarten,
Verfahren zur Ablaufsteuerung, Befugnis zum Katalogisieren von
Programmen,
g. Richtlinien für die Dateiorganisation,
h. Protokollierung der Dateibenutzung (Konsolprotokoll, Logbuch,
Schichtbuch, Zählerstand),
i. Trennung von Produktion und Test bei Bibliotheken und Dateien,
j. Abschließbarkeit der DV-Anlageräumlichkeiten (Räume
mit EDV Hardware und Zubehör),
k. Automatisches Abschalten der Datenstationen nach längerer
Zeit der Nichtbenutzung.
Benutzerkontrolle
Der Auftragnehmer verhindert durch geeignete Maßnahmen,
daß seine Datenverarbeitungssysteme mit Hilfe von Einrichtungen
zur Datenübertragung von Unbefugten genutzt werden können.
Dies geschieht u.a. durch:
a. Identifizierung des Terminals und/oder der Terminalbenutzer
gegenüber dem DV-System,
b. Automatisches Abschalten der Datenstationen bei mehrfachen
fehlerhaften Paßworteingaben, Meldung an den Verantwortlichen,
c. Vergebe und Sicherung von Identifizierungsschlüsseln,
d. Zuordnung einzelner Terminals und Identifizierungsmerkmale
ausschließlich für bestimmte Funktionen,
e. Auswertung von Protokollen.
Personenkontrolle
Auf Anfrage stellt der Auftragnehmer dem Auftraggeber eine Liste
derjenigen Mitarbeiter zur Verfügung, die bei dem Auftragnehmer
mit der Verarbeitung der von dem Auftraggeber übermittelten
personenbezogenen Daten betraut sind, zusammen mit einer Beschreibung
ihrer Zugriffsrechte. Bei sachlichen und/oder personellen Veränderungen
stellt der Auftragnehmer dem Auftraggeber eine aktualisierte Liste
zur Verfügung.
Zugriffskontrolle
Der Auftragnehmer gewährleistet, daß die zur Benutzung
ihres DV-Systems Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können.
Dies geschieht u.a. durch:
a. Zuordnung einzelner Terminals und Identifizierungsmerkmale
ausschließlich für bestimmte Funktionen,
b. Funktionelle und/oder zeitlich beschränkte Nutzung von
Terminals und Identifizierungsmerkmalen,
c. Datenstationen mit Funktionsberechtigungsschlüsseln, direkter
Zugriff, Stapelbetrieb, Zugriff auf Arbeitsbereiche,
d. Elektronische Überprüfung der Berechtigung,
e. Auswertung von Protokollen.
Übermittlungskontrolle
Der Auftragnehmer gewährleistet, daß überprüft
und festgestellt werden kann, an welche Stellen die Daten der
Kartenkunden durch seine Einrichtungen zur Datenübertragung
übermittelt werden können.
Dies geschieht u.a. durch:
a. Dokumentation der Abruf- und Übermittlungsprogramme,
b. Dokumentation der Stellen, an die eine Übermittlung vorgesehen
ist, sowie der Übermittlungswege-
Eingabekontrolle
Der Auftragnehmer gewährleistet, daß nachträglich
überprüft und festgestellt werden kann, welche personenbezogenen
Daten von Kartenkunden zu welcher Zeit von wem in seine DV-Systeme
eingegeben worden sind.
Dies geschieht u.a. durch:
a. Nachweis der organisatorisch festgelegten Zuständigkeiten
für die Eingabe,
b. Elektronische Protokollierung von Eingaben.
Auftragskontrolle
Der Auftragnehmer gewährleistet, daß die von dem Auftraggeber
übermittelten Daten der Kartenkunden nur entsprechend den
Weisungen des Auftraggebers verarbeitet werden können.
Dies geschieht u.a., durch:
a. Verbindliche Festlegung von Richtlinien für Arbeits- und
Organisationsabläufe für die Auftragnehmer-Mitarbeiter
unter vorheriger Abstimmung des Inhalts der Richtlinien mit dem
Auftraggeber,
b. Gewährleistung des Zutritts auf Anfrage für Mitarbeiter
oder Beauftragte des Auftraggebers, die die Einhaltung dieses
Vertrages durch den Auftragnehmer überprüfen (vgl. §
3 dieses Vertrages).
Transportkontrolle
Der Auftragnehmer und der Auftraggeber verhindern durch geeignete
Maßnahmen, daß bei der Übertragung der persönlichen
Daten der Kartenkunden sowie beim Transport von Datenträgern
die Daten unbefugt gelesen, kopiert, verändert und gelöscht
werden können.
Dies geschieht u.a. durch:
a. Verschlüsselung der Daten bei Online-Übertragung
und Transport mittels Datenträger,
b. Vollständigkeits- und Richtigkeitsprüfung der übermittelten
Daten.
Organisationskontrolle
Der Auftragnehmer gestaltet seine innerbetriebliche Organisation
in der Weise, daß sie den besonderen Anforderungen dieses
Vertrages gerecht wird.
Dies geschieht u.a. durch:
a. Richtlinien, Arbeitsanweisungen, Verfahrensbeschreibungen,
Regelung von Programmierung, Test und Freigabe, soweit sie die
Verarbeitung solcher Daten betreffen, die von dem Auftraggeber
übermittelt worden sind.
b. Festlegung eines Datensicherungskonzeptes, welches inhaltlich
mit dem Auftraggeber abzustimmen ist,
c. Regelungen zur System- und Programmprüfung,
d. Festlegung eines Notfallplans.
§ 6 Beauftragter für den Datenschutz
- Der Auftragnehmer verpflichtet sich, schriftlich einen Beauftragten
für den Datenschutz zu bestellen und diesen gegenüber
dem Auftraggeber zu benennen. Der Auftragnehmer wählt hierfür
einen Mitarbeiter aus, der die zur Erfüllung einer solchen
Aufgabe erforderlichen Sachkunde und Zuverlässigkeit besitzt.
Auch dies ist dem Auftraggeber in geeigneter Form nachzuweisen.
- Der Beauftragte für den Datenschutz ist der Geschäftsführung
des Auftragnehmers unmittelbar zu unterstellen, Er ist bei Anwendung
seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei.
Er hat - zusammen mit dem Beauftragten des Auftraggebers gem.
§ 3 dieses Vertrages - die ordnungsgemäße Durchführung
dieser Vereinbarung und die Einhaltung der datenschutzrechtlichen
Anforderungen in Bezug auf die von dem Auftraggeber übermittelten
personenbezogenen Daten zu überwachen. Ein Wechsel der Bestellung
des Beauftragen für den Datenschutz ist dem Auftraggeber
zuvor schriftlich anzuzeigen. Der Beauftragte für den Datenschutz
unterliegt der Geheimhaltungsverpflichtung.
- Der Beauftragte für den Datenschutz steht dem Auftraggeber
als Ansprechpartner vor Ort zur Verfügung.
§ 7 Verpflichtung zur Verschwiegenheit
Der Auftragnehmer verpflichtet die bei ihm mit der Verarbeitung
der von dem Auftraggeber übermittelten personenbezogenen
Daten beauftragten Mitarbeiter zur Verschwiegenheit. Der Auftragnehmer
verpflichtet diese Mitarbeiter ferner auf das Daten- und Bankgeheimnis.
Dies ist durch Unterschrift der betreffenden Mitarbeiter zu dokumentieren
und dem Auftraggeber auf Verlangen nachzuweisen.
§ 8 Rechte der Betroffenen
- Jeder Kartenkunde, dessen Daten vom Kreditinstitut an die Auftraggeber
und von dort an den Auftragnehmer weitergegeben wurden, kann gegenüber
dem Auftraggeber jederzeit Auskunft über
- die zu seiner Person gespeicherten Daten, auch soweit sie
sich auf Herkunft und Empfänger beziehen,
- den Zweck der Speicherung,
- Personen und Stellen, an die seine Daten regelmäßig
übermittelt werden,
verlangen. Die Auskunft ist grundsätzlich schriftlich zu
erteilen.
- Der Betroffene kann ferner von dem Auftraggeber jederzeit Berichtigung
seiner gespeicherten Daten verlangen, sofern sie unrichtig sind.
Dies gilt auch, soweit die Daten bei dem Auftragnehmer gespeichert
sind.
-
3. Der Betroffene kann gegenüber dem Auftraggeber die Löschung
oder Sperrung seiner bei diesem und/oder Auftragnehmer gespeicherten
Daten verlangen, wenn
- ihre Speicherung unzulässig ist,
- es sich um Daten über gesundheitliche Verhältnisse,
strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse
und politische Anschauung handelt und ihre Richtigkeit von dem
jeweils zuständigen Auftraggeber nicht bewiesen werden kann,
- sie für eigene Zwecke verarbeitet werden, sobald ihre
Kenntnis für die Erfüllung des Zwecks der Speicherung
nicht mehr erforderlich ist.
Im übrigen wird auf die gesetzliche Regelung in § 35
BDSG verwiesen, die den Vertragsparteien bekannt ist und zu der
sie sich bekennen.
- Der Betroffene kann von dem Auftraggeber die Sperrung seiner
personenbezogenen Daten verlangen, wenn er ihre Richtigkeit bestreitet
und sich weder die Richtigkeit noch die Unrichtigkeit feststellen
läßt. Dies gilt auch, sofern seine Daten bei dem Auftragnehmer
gespeichert sind.
- Bei Verstößen gegen das Daten- und Bankgeheimnis
durch das Kreditinstitut, den Auftraggeber oder Auftragnehmer
steht dem Betroffenen der datenschutzrechtliche Anspruch auf Ersatz
des ihm entstandenen Schadens zu. Das Kreditinstitut oder der
Auftraggeber haften dem Betroffenen gegenüber ausdrücklich
auch für solche Ansprüche, die sich gegen den Auftragnehmer
oder ihre Erfüllungsgehilfen aufgrund von Verstößen
gegen diese Vereinbarung richten.
- Der Auftragnehmer bekennt sich zu den sich für das Kreditinstitut
und den Auftraggeber gegenüber den Betroffenen ergebenden
Verpflichtungen und verspricht, im Interesse und zu Gunsten der
Betroffenen allen entsprechenden Anweisungen zu folgen. Die betroffenen
Kartenkunden können ihre Rechte auch unmittelbar gegenüber
dem Auftragnehmer geltend machen und in dem für den Auftragnehmer
geltenden allgemeinen Gerichtsstand verfolgen.
§ 9 Benachrichtigung des Betroffenen
Der Auftraggeber verpflichtet sich, den von der Datenübermittlung
an Auftragnehmer betroffenen Kartenkunden in geeigneter Form Nachricht
von der Übermittlung ihrer Daten an den Auftragnehmer zu
geben.
§ 10 Datenschutzaufsicht
- Der Auftraggeber und das Kreditinstitut unterliegen der datenschutzrechtlichen
öffentlichen Kontrolle durch die für sie zuständigen
Aufsichtsbehörden.
- Der Auftragnehmer verpflichtet sich auf Verlangen des Kreditinstituts
oder des Auftraggebers, den zuständigen Aufsichtsbehörden
die Auskünfte zu erteilen und Prüfungsgelegenheiten
einzuräumen, die ihnen gegenüber dem Kreditinstitut
oder dem Auftraggeber selbst zustehen, dies schließt die
Befugnis zur Überprüfung vor Ort durch die Aufsichtsbehörde
oder durch von ihr beauftragte Personen mit ein, soweit keine
für den Auftragnehmer verbindlichen Anweisungen der zuständigen
amerikanischen Behörden oder sonstiger Hoheitsträger
entgegenstehen.
§ 11 Bankenaufsicht
- Sämtliche Belege, Handelsbücher sowie die zu ihrem
Verständnis erforderlichen Arbeitsanweisungen und sonstigen
Organisationsunterlagen verbleiben in gegenständlicher Form
bei dem Auftraggeber, soweit nicht in rechtlich zulässiger
Weise die in Rede stehenden Unterlagen durch Scanning-Systeme
elektronisch archiviert worden sind.
- Der Auftraggeber und der Auftragnehmer verpflichten sich, die
in Deutschland gültigen Grundsätze ordnungsmäßiger
Buchführung bei computergestützten Verfahren und deren
Prüfung, insbesondere FAMA 1/1987, zu beachten.
- Der Auftraggeber verpflichtet sich, dem Bundesaufsichtsamt
für das Kreditwesen vor Aufnahme der Datenübermittlung
an den Auftragnehmer ein Datenverarbeitungskonzept einschließlich
eines Datensicherungskonzeptes vorzulegen.
- Die Datenfernverarbeitung ist Gegenstand der Innenrevision
des Kreditinstitutes und/oder des Auftraggebers. Der Auftragnehmer
verpflichtet sich zur Zusammenarbeit mit der Innenrevision des
Kreditinstitutes bzw. des Auftraggebers. Diese hat Einsicht in
die Unterlagen der internen Revision des Auftragnehmer, soweit
diese den Datenbestand des Auftraggebers betreffen. Die Innenrevision
des Auftraggebers/Kreditinstitutes hat nach pflichtgemäßem
Ermessen Prüfungen bei dem Auftragnehmer vorzunehmen.
- Das Kreditinstitut, der Auftraggeber und der Auftragnehmer
werden sich in einer gemeinsamen Erklärung gegenüber
dem Bundesaufsichtsamt verpflichten, jederzeit auch die Einbeziehung
des Auftragnehmers in Prüfungen nach den Vorgaben von §
44 KWG zu gestatten und diese in keiner Weise zu erschweren oder
zu behindern, es sei denn, daß zwingende rechtliche Vorschriften
im Land des Auftragnehmers einer derartigen Prüfung entgegenstehen.
- Der Auftragnehmer wird sich um eine Bestätigung der für
den Auftragnehmer zuständigen inländischen Bankenaufsichtsbehörde
bemühen, worin diese ausdrücklich bestätigt, daß
sie keine Einwände gegen die geplante Datenfernverarbeitung
hat. Sollte diese Bestätigung nicht auf Anforderung des Auftraggebers
beigebracht werden können, so sind der Auftraggeber und das
Kreditinstitut berechtigt, von diesem Vertrag und dem zugrundeliegenden
Geschäftsbesorgungsvertrag mit dem Auftragnehmer zurückzutreten.
§ 12 Freistellungsanspruch
- Der Auftragnehmer stellt den Auftraggeber im Innenverhältnis
von Schadenersatzansprüchen der Kartenkunden, die sich aus
der Nichteinhaltung dieses Vertrages durch den Auftragnehmer ergeben,
frei.
- Der Auftraggeber stellt den Auftragnehmer im Innenverhältnis
von Schadenersatzansprüchen der Kartenkunden frei, die sich
auf die Nichteinhaltung dieses Vertrages durch den Auftraggeber
berufen und Ansprüche unmittelbar gegen den Auftragnehmer
richten.
§ 13 Vertragsdauer
- Dieser Vertrag tritt am XX.YY.ZZ in Kraft und wird auf unbestimmte
Zeit geschlossen. Er ist von den Parteien jeweils mit einer Frist
von 12 Monaten zum Ende eines Kalenderjahres kündbar. Das
Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
Die Kündigung einer Vertragspartei hat die Beendigung des
gesamten Vertrages auch zwischen den übrigen Vertragsparteien
zur Folge.
- Der Auftragnehmer verpflichtet sich, die im Zeitpunkt der Vertragsbeendigung
gespeicherten personenbezogenen Daten nach Weisung der Auftraggeber
auf diese zurückzuübertragen oder zu löschen.
§ 14 Geheimhaltung
Die Vertragsparteien verpflichten sich, über sämtliche
ihnen bekannt werdenden Geschäfts- und Betriebsgeheimnisse
der anderen Vertragsparteien auch in der Zeit nach Beendigung
dieses Vertrages strengstes Stillschweigen zu bewahren.
§ 15 Allgemeine Bestimmungen
- Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen
und Ergänzungen dieses Vertrages, einschließlich dieser Regelung, bedürfen
zu ihrer Wirksamkeit der Schriftform.
- Sollte eine Bestimmung dieses Vertrages unwirksam sein oder
werden oder der Vertrag eine Lücke enthalten, so bleibt die
Rechtswirksamkeit der übrigen Bestimmungen hiervon unberührt.
Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung
als vereinbart, die dem von den Parteien Gewollten wirtschaftlich
am nächsten kommt, das gleiche gilt im Falle einer Lücke.
- Gerichtsstand ist Frankfurt/M.
- Der Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.
Ort, Datum: | Ort, Datum: | Ort, Datum: |
___________ | ___________ | ___________ |
- Auftragnehmer - | - Auftraggeber - | - Kreditinstitut - |
|