Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer

Bei der w3 GmbH können auch Lieferanten oder sonstige Auftragnehmer für die Durchführung von Leistungen beauftragt werden.

Um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten zu gewährleisten, macht diese Richtlinie Vorgaben für Beschäftigte der w3 GmbH, aus denen sich ergibt, ob und wie Lieferanten oder sonstige Auftragnehmer im Hinblick auf die Wahrung der Vertraulichkeit und des Datenschutzes beauftragt werden können.

Diese Richtlinie gilt für die Beauftragung von Lieferanten oder sonstigen Auftragnehmern durch die w3 GmbH.

Diese Richtlinie gilt für alle Standorte der w3 GmbH.

Diese Richtlinie verpflichtet alle Beschäftigten der w3 GmbH zur Einhaltung der hier festgelegten Pflichten und Vorgaben.

Diese Richtlinie soll dazu beitragen, dass die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen bei Erbringung von Leistungen durch Lieferanten oder sonstige Auftragnehmer gewährleistet wird.

Wenn Lieferanten oder sonstige Auftragnehmer im Zusammen mit ihrer Tätigkeit für die w3 GmbH Zugriff auf Informationen des Unternehmens und oder personenbezogene Daten, die vom Unternehmen verarbeitet werden, erhalten können, ist die Beauftragung vorher vom Vorgesetzen zu genehmigen.
Der Vorgesetzte wird sich mit dem Datenschutz- und Informationssicherheitsteam (DST) der w3 GmbH in Verbindung setzen, um die datenschutzrechtliche Zulässigkeit und rechtliche Absicherung der Inanspruchnahme des Lieferanten oder sonstigen Auftragnehmers zu prüfen und zu klären.

Wenn eine Kenntnisnahme von personenbezogenen Daten durch den Lieferanten oder sonstigen Auftragnehmer nicht möglich ist, so sollte gleichwohl eine Geheimhaltungsverpflichtung mit dem jeweiligen Auftragnehmer abgeschlossen werden. Eine entsprechende Vorlage für eine solche Erklärung ist bei der Unternehmensleitung zu erhalten.

Alle Mitarbeiter sollten beachten, dass für den Fall, dass der Lieferant oder sonstige Auftragnehmer personenbezogene Daten im Auftrag verarbeitet und/oder eine Wartung oder Pflege von IT-Systemen durchgeführt wird, bei der eine Kenntnisnahme von personenbezogenen Daten theoretisch möglich ist, zwingend ein sog. Auftragsdatenverarbeitungsvertrag abzuschließen ist.

Vor dem Abschluss hat eine Kontrolle des Auftragnehmers durch das DST der w3 GmbH zu erfolgen. Es ist daher wichtig, dass hier frühzeitig eine Information an das DST erfolgt, damit die Prüfung zügig durchgeführt und eine Beauftragung rasch erfolgen kann.

Um die IT-Infrastruktur vor Störungen zu schützen und die Sicherheit der in ihr verarbeiteten, gespeicherten und übertragenen Informationen zu gewährleisten, sind Lieferanten und sonstige Auftragnehmer, die Zugriff auf IT-Systeme der w3 GmbH haben, zwingend auf nachfolgende Regelungen zu verpflichten:

• Das unrechtmäßige Abrufen oder Verbreiten von Inhalten, die urheberrechtlich geschützt sind, ist untersagt.
• Ebenfalls untersagt ist das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten.
• Jede in der IT-Infrastruktur eingesetzte Hard- und Software wird vor ihrem Einsatz erst nach Prüfung durch den Informationssicherheitsbeauftragten der w3 GmbH freigegeben.
• Das eigenmächtige Herunterladen von Software sowie die Installation oder Verwendung nicht freigegebener Hard- und Software ist den Lieferanten oder sonstigen Auftragnehmern nicht gestattet.
• Der Zugriff auf das Internet oder auf Netzwerke die nicht vom Unternehmen betrieben werden, erfolgt grundsätzlich nur über die vom Unternehmen speziell dafür bereitgestellten Zugänge.
• Zugangskennungen für die Nutzung der IT-Infrastruktur (wie z. B. Passwörter) sind von einem Lieferanten oder sonstigen Auftragnehmer geheimzuhalten und dürfen grundsätzlich nicht an Dritte weitergegeben werden. Auch innerhalb der jeweiligen Organisation des Lieferanten oder sonstigen Auftragnehmers ist dieser verpflichtet, die Daten vor anderen Beschäftigten des Auftragnehmers geheimzuhalten. Ausnahmen hiervon können gemacht werden, wenn die Leistungen des Auftragnehmers von einem Team von Personen für w3 GmbH durchgeführt werden.
• Die private Nutzung von IT-Systemen der w3 GmbH ist jedem Lieferanten oder Auftragnehmer untersagt.
• Bei einem Einsatz von IT-Dienstleistern sind stets folgende Punkte zu berücksichtigen: IT-Systeme des Dienstleisters müssen über grundlegende Sicherheitsmaßnahmen verfügen:
• Das IT-System muss ausreichend vor Schadsoftware gesichert sein. Es ist ein Virenscanner zu verwenden, der eine tagesaktuelle Versorgung mit Updates von Virendefinitionen gewährleistet. Der Virenscanner muss permanent aktiviert sein.
• Betriebssysteme auf den IT-Systemen müssen auf dem jeweils aktuellen Stand von Sicherheitsupdates des jeweiligen Betriebssystemanbieters sein. Es sind nur Betriebssysteme zu verwenden, die vom Hersteller noch unterstützt und gepflegt werden („Support“).

Ein Verstoß gegen diese Richtlinien kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.

Die Verträge mit den Lieferanten oder sonstigen Auftragnehmern sollten ebenfalls Sanktionsmöglichkeiten für Verstöße der Auftragnehmer gegen die jeweils vereinbarten Pflichten im Zusammenhang mit Datenschutz und Informationssicherheit vorsehen.