Datenschutzpaket (AVV-Entwurf + TOM-Anforderungen)

Die Verarbeitung kann Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung/Konfiguration, Abruf, Abfrage, Nutzung, Weitergabe durch Übermittlung (nur an autorisierte Stellen), Abgleich/Kombination (z. B. Integration), Einschränkung, Löschung und Vernichtung umfassen. Die automatisierte Verarbeitung erfolgt typischerweise innerhalb der CAFM-Plattform und integrierter Systeme, während die manuelle Verarbeitung im Rahmen administrativer Unterstützungstätigkeiten, der Beantwortung von Prüfungsfragen oder kontrollierter Export-/Prüfaufgaben erfolgen kann.

Zweck der Datenverarbeitung ist es, dem Auftraggeber die kontrollierte Durchführung von FM-bezogenen Arbeitsabläufen und die entsprechende Governance zu ermöglichen. Im Kontext von CAFM kann die Datenverarbeitung die Raum- und Belegungsverwaltung, das Anlagen- und Instandhaltungsmanagement, die Bearbeitung von Serviceanfragen, die Benutzerbereitstellung und Rollenzuweisung, die Zugriffsverwaltung für Auftragnehmer (sofern zutreffend), das Berichtswesen und die Einhaltung von Vorschriften sowie die Auditierbarkeit unterstützen. Die Datenverarbeitung ist auf das zur Bereitstellung der CAFM-Lösung und der im Ausschreibungsgegenstand definierten zugehörigen Dienstleistungen Notwendige zu beschränken und darf nicht für unabhängige Bieterzwecke wie Produktmarketing, Analysen, die über die Anweisungen des Auftraggebers hinausgehen, oder nicht ausdrücklich genehmigte Datenanreicherung verwendet werden.

Je nach endgültigem Umfang können die betroffenen Personen Mitarbeiter des Auftraggebers, Nutzer/Bewohner der Einrichtung, Auftragnehmer und Dienstleister, Besucher (sofern besucherbezogene Arbeitsabläufe in den Geltungsbereich fallen) sowie das Supportpersonal, das das CAFM-System verwaltet, umfassen. Die genauen Kategorien sind: [________].

Personenbezogene Daten können Identifikations- und Kontaktdaten (z. B. Name, geschäftliche E-Mail-Adresse, Benutzerkennung, Abteilung), Authentifizierungs- und Zugriffsdaten (z. B. Anmeldedaten, Rollenzuweisungen), Inhalte von Serviceanfragen mit persönlichen Angaben, Informationen zur Arbeitsplatz-/Auftragszuweisung sowie Kontaktdaten von Lieferanten/Auftragnehmern umfassen. Sofern Module wie Raumzuweisung, Reservierungen, Zugangskoordination oder Vorfallprotokolle relevant sind, können im Rahmen von Geschäftsprozessen zusätzliche Datenfelder verarbeitet werden.

Besondere Kategorien personenbezogener Daten werden nicht erwartet, sofern dies nicht ausdrücklich in den Anforderungen angegeben ist. Falls aufgrund der Art bestimmter Serviceanfragen oder Anhänge (z. B. gesundheitsbezogene Notizen in einer Anfrage) die Verarbeitung besonderer Kategorien möglich ist, muss der Bieter diese Daten als potenziell vorhanden behandeln und erhöhte Sicherheitsvorkehrungen treffen, einschließlich Zugriffsbeschränkung, Datenminimierung und sicherer Handhabung. Ob besondere Kategorien zulässig sind und unter welchen Bedingungen, muss wie folgt angegeben werden: [Zulässig/Nicht zulässig/Bedingt: ________].

In der Angebotsphase agieren die Bieter grundsätzlich als unabhängige Verantwortliche für die personenbezogenen Daten ihrer eigenen Mitarbeiter und beauftragter Dritter und erhalten nur in dem Umfang Daten des Auftraggebers, wie dies für die Teilnahme am Angebot unbedingt erforderlich ist. Sämtliche im Rahmen des Angebotsverfahrens offengelegten personenbezogenen Daten des Auftraggebers dürfen ausschließlich für den Beschaffungszweck verwendet und streng vertraulich behandelt werden.

In der Vertragsphase (nach der Auftragsvergabe) ist vorgesehen, dass der Auftraggeber als Verantwortlicher und der erfolgreiche Bieter als Auftragsverarbeiter für die im Auftrag des Auftraggebers im CAFM-System und den zugehörigen Diensten verarbeiteten personenbezogenen Daten fungiert. Erbringt der Bieter separate Dienstleistungen, die eine eigenständige Festlegung von Zweck und Mitteln erfordern (z. B. unabhängige Analysedienstleistungen), müssen diese Dienstleistungen klar definiert und schriftlich vereinbart werden, einschließlich der entsprechenden rechtlichen Rollenzuweisung.

Der Bieter muss sicherstellen, dass er alle Auftragsverarbeiterpflichten gemäß geltendem Recht erfüllen kann und eine interne Governance implementieren, die den Mitarbeitern den Unterschied zwischen den Verantwortlichkeiten des Verantwortlichen und des Auftragsverarbeiters verdeutlicht. Sind Konsortialpartner oder Unterauftragnehmer beteiligt, müssen deren Rollen klar definiert und entsprechend weitergegeben werden.

Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten, einschließlich Anweisungen zur Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern dies nicht gesetzlich vorgeschrieben ist. Die Anweisungen erfolgen über die Vertragsdokumente, schriftliche Änderungsanträge, Service-Management-Tickets oder andere vom Auftraggeber festgelegte Mechanismen. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, wenn eine Anweisung gegen geltendes Recht zu verstoßen scheint.

Der Auftragsverarbeiter hat sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten berechtigten Personen zur Vertraulichkeit verpflichtet sind. Die Vertraulichkeit gilt während des gesamten Beschäftigungs-/Auftragsverhältnisses und bleibt auch nach dessen Beendigung bestehen. Der Zugriff auf personenbezogene Daten ist auf diejenigen Mitarbeiter zu beschränken, die diese zur Erbringung der vertraglich vereinbarten Leistungen benötigen. Der Auftragsverarbeiter hat eine Liste oder Rollenübersicht der Funktionen mit Zugriff auf personenbezogene Daten zu führen und diese dem Verantwortlichen auf Anfrage – vorbehaltlich der Sicherheitsbestimmungen – zur Verfügung zu stellen.

Der Auftragsverarbeiter darf personenbezogene Daten nicht an Dritte weitergeben, es sei denn, dies ist in diesem Leistungsverzeichnis und im Vertrag ausdrücklich gestattet; dies gilt auch für die Genehmigung von Unterauftragsverarbeitern.

Der Bieter muss alle beabsichtigten Unterauftragnehmer benennen, die an der Verarbeitung personenbezogener Daten des Auftraggebers beteiligt sind. Dies umfasst Hosting-Anbieter, Managed-Service-Anbieter, Support-Desk-Anbieter und Fachberater mit Zugriff auf Produktions- oder Nichtproduktionsumgebungen. Die vorläufige Liste der Unterauftragnehmer lautet: [________]. Sollte die Liste zum Zeitpunkt der Angebotsabgabe noch nicht finalisiert sein, müssen die Bieter zumindest die Kategorien der Unterauftragnehmer und die von jeder Kategorie voraussichtlich durchgeführten Verarbeitungsvorgänge angeben.

Die Beauftragung von Unterauftragnehmern muss einem von der Auftraggeberin festgelegten Genehmigungsmodell folgen, beispielsweise einer allgemeinen Genehmigung mit vorheriger Ankündigung oder einer spezifischen Genehmigung pro Unterauftragnehmer. Das anwendbare Modell lautet: [Allgemein / Spezifisch: ], mit einer Ankündigungsfrist von: [ ] Tagen. Die Verantwortliche muss das Recht haben, aus berechtigten datenschutzrechtlichen Gründen Widerspruch einzulegen, und die Parteien müssen ein Verfahren zur Behebung eines Widerspruchs vereinbaren.

Der Auftragsverarbeiter muss sicherstellen, dass Unterauftragsverarbeiter durch schriftliche Vereinbarungen an dieselben Datenschutzverpflichtungen gebunden sind wie der Auftragsverarbeiter gemäß der Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter. Dies umfasst insbesondere Vertraulichkeit, Sicherheit, Unterstützung, Meldung von Datenschutzverletzungen sowie Lösch- und Rückgabeverpflichtungen. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der Verpflichtungen der Unterauftragsverarbeiter vollumfänglich haftbar.

Es dürfen keine Unterauftragnehmer eingesetzt werden, um Beschränkungen für internationale Datentransfers oder Sicherheitsanforderungen zu umgehen.

Sofern eine Verarbeitung die Übermittlung personenbezogener Daten außerhalb des Geltungsbereichs der anwendbaren Datenschutzbestimmungen (z. B. außerhalb des EWR gemäß DSGVO) beinhaltet, muss der Bieter die Übermittlungsszenarien, einschließlich Zielländer, Empfängerstellen, Art der übermittelten Daten, Zwecke und Übermittlungsmechanismus, klar beschreiben. Übermittlungsszenarien sind: [________].

Internationale Datentransfers müssen auf einem gültigen Rechtsmechanismus beruhen, wie beispielsweise einem Angemessenheitsbeschluss, Standardvertragsklauseln (SCCs) oder anderen zulässigen Schutzmaßnahmen, gegebenenfalls ergänzt durch Folgenabschätzungen und technische Maßnahmen. Der Bieter darf Transfervereinbarungen nicht ohne die dokumentierte Genehmigung des Verantwortlichen einleiten oder ändern. Sofern der Fernzugriff auf Supportleistungen zu grenzüberschreitendem Zugriff führen könnte, muss der Bieter dies als Transferszenario behandeln und entsprechende Kontrollmaßnahmen (wie eingeschränkte Supportfenster, Jump-Hosts, starke Authentifizierung und Sitzungsprotokollierung) gemäß diesem Paket implementieren.

Der Bieter muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dabei sind Art, Umfang, Kontext und Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Die Maßnahmen müssen Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Systeme und Dienste umfassen. Der Bieter muss, sofern in den Ausschreibungsunterlagen gefordert, ein Sicherheitskonzept für die vorgeschlagene CAFM-Lösung und die zugehörigen Dienste vorlegen, das anerkannten Standards oder Rahmenwerken (z. B. ISO/IEC 27001 oder gleichwertig) entspricht.

Die nachstehend beschriebenen Sicherheitsmaßnahmen stellen Mindestanforderungen dar und müssen an das Hosting-Modell (On-Premise, Private Cloud, Public Cloud, SaaS) und die vereinbarte Architektur angepasst werden.

Der Zugriff auf die CAFM-Plattform, die Administrationskonsolen, Datenbanken und die zugehörige Infrastruktur muss rollenbasiert (RBAC) und nach dem Prinzip der minimalen Berechtigungen geregelt werden. Rollen müssen klar definiert und den jeweiligen Aufgaben zugeordnet sein. Privilegierte Zugriffe (Systemadministrator, Datenbankadministrator, Sicherheitsadministrator) müssen eingeschränkt, genehmigt und regelmäßig überprüft werden. Die Authentifizierung muss definierten Standards entsprechen, wie z. B. sicheren Passwörtern und Multi-Faktor-Authentifizierung (MFA) für privilegierte Konten und Fernzugriff. Die erforderliche Authentifizierungsgrundlage ist: [MFA erforderlich für: ________]. Das Kontolebenszyklusmanagement muss die Prozesse für Beitritt, Versetzung und Austritt von Benutzern, die rechtzeitige Deaktivierung von Berechtigungen und die regelmäßige Rezertifizierung der Zugriffsrechte umfassen. Gemeinsam genutzte Konten sind verboten, sofern sie nicht explizit durch entsprechende Kontrollmechanismen autorisiert sind.

Personenbezogene Daten müssen während der Übertragung durch starke Verschlüsselung (z. B. TLS mit modernen Verschlüsselungssuiten) geschützt werden. Ruhende Daten müssen, soweit möglich und dem Risiko angemessen, verschlüsselt werden, insbesondere Datenbanken, Backups und portable Datenträger. Die Verwaltung der Verschlüsselungsschlüssel muss kontrolliert werden; der Zugriff muss beschränkt und die Schlüssel durch sichere Schlüsselverwaltungsverfahren geschützt sein. Der erforderliche Mindeststandard für die Verschlüsselung ist: [________]. Wenn die CAFM-Lösung in andere Systeme integriert wird, müssen auch die Integrationskanäle verschlüsselt und authentifiziert werden, und alle API-Token oder Anmeldeinformationen müssen sicher gespeichert werden.

Systeme müssen durch Netzwerksegmentierung, Firewalls, sichere Konfigurationsrichtlinien und Härtungsmaßnahmen geschützt werden. Der Bieter muss ein Schwachstellenmanagement implementieren, einschließlich regelmäßiger Scans und zeitnaher Patches für Betriebssysteme, Middleware, Anwendungen und Abhängigkeiten. Patch-Zeitpläne sollten risikobasiert sein und definierte Behebungsziele für kritische Schwachstellen enthalten. Der Bieter muss die Überwachung auf ungewöhnliche Aktivitäten gewährleisten und sichere Administrationswege (z. B. VPN mit MFA, Bastion-Hosts oder Zero-Trust-Zugriff, falls zutreffend) bereitstellen. Bei der Nutzung von Cloud-Diensten müssen die Sicherheitskontrollen die Härtung der Mandantenkonfiguration, Identitätssicherheit und kontinuierliche Konfigurationsüberwachung umfassen.

Der Bieter muss eine Protokollierung implementieren, die ausreichend ist, um Sicherheitsüberwachung, Vorfallserkennung und forensische Untersuchungen zu unterstützen. Die Protokolle müssen Authentifizierungsereignisse, privilegierte Aktionen, Konfigurationsänderungen, Zugriffe auf sensible Datensätze, administrative Exporte und Integrationsaktivitäten umfassen. Die Protokolle müssen vor Manipulation geschützt und für einen Zeitraum aufbewahrt werden, der den Anforderungen des Verantwortlichen und geltendem Recht entspricht. Die Mindestaufbewahrungsdauer für Protokolle beträgt: [________]. Sicherheitsereignisse müssen korreliert und mithilfe geeigneter Tools (z. B. SIEM oder Managed Detection) gemeldet werden. Der Bieter muss zudem definierte Verfahren zum Umgang mit Sicherheitsvorfällen festgelegt haben.

Der Bieter muss die Ausfallsicherheit und Wiederherstellbarkeit des CAFM-Dienstes gewährleisten. Backup-Zeitpläne, Aufbewahrungsrichtlinien und Wiederherstellungstests müssen definiert werden. Die Disaster-Recovery-Funktionen (DR) müssen auf die Geschäftsanforderungen abgestimmt sein, einschließlich Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Die erforderlichen RTO/RPO-Ziele sind: [RTO ________ / RPO ________]. Die Geschäftskontinuitätsplanung muss Verfahren für größere Ausfälle, Cyberangriffe und den Verlust wichtiger Abhängigkeiten umfassen. Der Bieter muss nachweisen können, dass die Backups verschlüsselt und geschützt sind und die Wiederherstellung in angemessenen Abständen getestet wurde.

Bei Rechenzentren oder On-Premise-Hosting muss die physische Sicherheit Zugangskontrollen, Besuchermanagement, Videoüberwachung, Klimatisierung und die sichere Entsorgung von Datenträgern umfassen. Bei Nutzung von Public Cloud oder SaaS muss der Bieter sicherstellen, dass die physischen Sicherheitsmaßnahmen des Anbieters anerkannten Standards entsprechen und durch Zertifizierungen oder Prüfberichte nachgewiesen werden können. Akzeptierte Nachweise sind beispielsweise ISO-Zertifikate, SOC-Berichte.

Der Bieter muss die Vergabestelle unverzüglich benachrichtigen, sobald er von einer Verletzung des Schutzes personenbezogener Daten der Vergabestelle Kenntnis erlangt. Die maximale Benachrichtigungsfrist beträgt: [z. B. innerhalb von ___ Stunden: ________]. Die Benachrichtigung muss über den von der Vergabestelle festgelegten offiziellen Kommunikationskanal für Vorfälle erfolgen und, soweit zum Zeitpunkt der Benachrichtigung verfügbar, die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die zur Behebung der Verletzung und zur Minderung ihrer negativen Auswirkungen ergriffenen oder vorgeschlagenen Maßnahmen enthalten.

Sofern nicht alle Einzelheiten sofort verfügbar sind, muss der Bieter zunächst eine Meldung abgeben und anschließend in vereinbarten Abständen bis zum Abschluss des Verfahrens fortlaufende Aktualisierungen übermitteln. Der Bieter muss ein internes Register für Verstöße führen und die Vergabestelle bei der Erfüllung ihrer Meldepflichten unterstützen, einschließlich der Erstellung von Vorfallszusammenfassungen, die gegebenenfalls für Aufsichtsbehörden und betroffene Personen geeignet sind.

Der Bieter darf die Aufsichtsbehörden oder die betroffenen Personen nicht direkt benachrichtigen, es sei denn, er wird von der Vergabestelle dazu angewiesen oder es ist gesetzlich vorgeschrieben. In diesem Fall muss der Bieter die Vergabestelle unverzüglich informieren, um die Reaktion zu koordinieren.

Der Bieter ist verpflichtet, dem Auftraggeber angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen zu gewähren, insbesondere hinsichtlich des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit und Rechte im Zusammenhang mit automatisierten Entscheidungsfindungsprozessen. Die Unterstützung muss die Fähigkeit umfassen, relevante Datensätze zu finden, Daten in einem nutzbaren Format zu exportieren, Daten auf Anweisung zu berichtigen oder zu löschen sowie gegebenenfalls Prüfprotokolle bereitzustellen.

Der Bieter ist verpflichtet, den Auftraggeber bei der Erfüllung seiner Compliance-Pflichten zu unterstützen, beispielsweise bei Datenschutz-Folgenabschätzungen (DSFA), Sicherheitsberatungen, der Führung von Verarbeitungsverzeichnissen und der Beantwortung von Anfragen der Aufsichtsbehörden. Die Antwortfristen und Servicelevel für diese Unterstützung sind: [________]. Der Bieter hat sicherzustellen, dass die Unterstützungsprozesse sicher sind und dass vor jeder Offenlegung oder Maßnahme Identitäts- und Autorisierungsprüfungen durchgeführt werden.

Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutz- und Sicherheitsverpflichtungen zu prüfen, sofern dies unter angemessener Vorankündigung und unter Einhaltung der erforderlichen Sicherheitsvorkehrungen erfolgt. Die Prüfungen können die Überprüfung von Richtlinien, Verfahren, Schulungsnachweisen, Zugriffskontrolldokumenten, Schwachstellenmanagement-Dokumentationen, Zusammenfassungen von Penetrationstests, Vorfallsmanagement-Dokumentationen und Unterauftragnehmervereinbarungen im Zusammenhang mit der Datenverarbeitung umfassen.

Die Prüfungsmodalitäten können Fragebögen, Fernprüfung von Nachweisen, Vor-Ort-Besichtigungen oder Audits durch Dritte umfassen. Der Auftraggeber kann unabhängige Prüfberichte (z. B. SOC 2 Typ II oder ISO/IEC 27001-Zertifizierung) als Teilnachweis akzeptieren, behält sich jedoch das Recht vor, bei Bedarf zusätzliche Informationen zur Beurteilung spezifischer Risiken anzufordern. Häufigkeit, Ankündigungsfrist und Prüfungszeitraum sind: [________]. Der Bieter muss alle wesentlichen Feststellungen innerhalb der vereinbarten Fristen zur Behebung von Mängeln unverzüglich umsetzen.

Der Bieter ist verpflichtet, auf Anfrage Dokumentationen vorzulegen, die die Einhaltung dieses Leistungspakets und der geltenden Datenschutzbestimmungen belegen. Diese Dokumentation kann Aufzeichnungen über Verarbeitungstätigkeiten für die betreffenden Dienste, Sicherheitsrichtlinien, Risikobewertungen, Schulungsnachweise, Nachweise über Zugriffsüberprüfungen, Änderungsmanagementprotokolle, Verfahren zur Reaktion auf Sicherheitsvorfälle, Notfallpläne und Aufzeichnungen zur Überwachung von Unterauftragnehmern umfassen.

Sofern die Ausschreibung spezifische Nachweise zur Einhaltung der Vorschriften erfordert, muss der Bieter diese im vorgegebenen Format bereitstellen. Typische Nachweise sind beispielsweise ein Sicherheitskonzept, eine Beschreibung der Transaktionsbetriebsmodelle (TOMs), ein Datenflussdiagramm, eine Liste der Unterauftragnehmer, eine Bewertung des internationalen Datentransfers sowie relevante Zertifizierungen. Der Bieter muss sicherstellen, dass die Nachweise aktuell sind und das dem Auftraggeber vorgeschlagene Betriebsmodell widerspiegeln.

Bei Beendigung oder Ablauf des Vertrags oder auf vorherige Anweisung des Auftraggebers, sofern dies rechtlich zulässig ist, hat der Bieter alle personenbezogenen Daten des Auftraggebers zurückzugeben und verbleibende Kopien sicher zu löschen, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben. Der Rückgabe- und Löschvorgang ist zu dokumentieren und muss eine Bestätigung über die Durchführung enthalten.

Die Rückgabe muss in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen, das dem CAFM-Datenmodell und den Integrationsanforderungen entspricht. Erforderliche Exportformate sind: [________]. Die Löschung muss Daten in Produktionssystemen, – sofern möglich – in Backups sowie in Test- und Staging-Umgebungen umfassen, vorbehaltlich der technischen Einschränkungen der Backup-Rotation. Ist eine sofortige Löschung aus Backups nicht möglich, muss der Bieter sicherstellen, dass die Backups geschützt bleiben und die Daten nach Ablauf der Backup-Frist gelöscht werden. Nachweise hierfür sind vorzulegen. Der Bieter muss die Löschung durch eine schriftliche, von einem Bevollmächtigten unterzeichnete Erklärung bestätigen.

Haftung und Freistellung im Zusammenhang mit Datenschutzverpflichtungen richten sich nach den in den Ausschreibungsunterlagen enthaltenen Vertragsbedingungen. Grundsätzlich sollten Bieter davon ausgehen, dass jede Partei für die Einhaltung geltenden Rechts im Rahmen ihrer jeweiligen Rolle selbst verantwortlich bleibt und dass der Auftragsverarbeiter für Verstöße gegen seine Auftragsverarbeiterpflichten haftet, auch für solche, die durch Unterauftragsverarbeiter verursacht werden. Der Vertrag legt Haftungsobergrenzen, Ausschlüsse und spezifische Freistellungen fest, einschließlich der Haftungsverteilung für Bußgelder, Ansprüche Dritter, Kosten der Reaktion auf Sicherheitsvorfälle und Kosten für Abhilfemaßnahmen.

Bieter müssen alle von ihnen vorgeschlagenen Standardvertragsbeschränkungen klar offenlegen, jedoch darauf hinweisen, dass nicht verhandelbare Datenschutzklauseln gelten können. Alle vorgeschlagenen Abweichungen müssen im vorgegebenen Format präsentiert werden und werden anhand der verbindlichen Anforderungen und Risikotoleranzgrenzen des Auftraggebers bewertet. Der Platzhalter für die anwendbare Haftungsstruktur lautet: [________].