Datenschutzvereinbarung

1.1 Vertragsgegenstand

Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten im Rahmen von digitalen forensischen Untersuchungen, Cybersicherheitsanalysen und verwandten Dienstleistungen gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1.2 Rechtliche Grundlagen

Die Datenverarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung von Rechtsansprüchen)

1.3 Rollenverteilung

Der Auftraggeber ist in der Regel Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Der Auftragnehmer handelt grundsätzlich als Auftragsverarbeiter gemäß Art. 28 DSGVO, soweit nicht eine eigenständige Verantwortlichkeit vorliegt.

2.1 Verarbeitungszwecke

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

• Durchführung digitaler forensischer Untersuchungen
• Erstellung von Sachverständigengutachten
• Datenrettung und -rekonstruktion
• Cybersicherheitsanalysen
• Rechtliche Beratung und Prozessunterstützung
• Erfüllung gesetzlicher Aufbewahrungspflichten

2.2 Kategorien personenbezogener Daten

Je nach Auftrag können folgende Kategorien personenbezogener Daten verarbeitet werden:

2.3 Betroffene Personengruppen

Zu den betroffenen Personen können gehören:

• Mitarbeiter des Auftraggebers
• Kunden oder Nutzer des Auftraggebers
• Zeugen oder Beteiligte in Rechtsfällen
• Tatverdächtige oder Geschädigte
• Dritte Personen in digitalen Kommunikationen

3.1 Sicherheitsmaßnahmen

Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

3.2 Chain of Custody

Für forensische Untersuchungen wird eine lückenlose Beweiskette (Chain of Custody) gewährleistet:

• Dokumentierte Übergabe und Annahme der Datenträger
• Kryptographische Hashwerte zur Integritätssicherung
• Protokollierung aller Zugriffe und Veränderungen
• Sichere Aufbewahrung in versiegelten Behältnissen

4.1 Grundsatz der Datenminimierung

Eine Übermittlung personenbezogener Daten an Dritte erfolgt nur, wenn dies zur Auftragserfüllung erforderlich ist und eine entsprechende Rechtsgrundlage vorliegt.

4.2 Unterauftragnehmer

Der Einsatz von Unterauftragnehmern erfolgt nur mit vorheriger schriftlicher Zustimmung des Auftraggebers. Aktuelle Unterauftragnehmer:

4.3 Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur bei Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien gemäß Art. 44 ff. DSGVO.

5.1 Speicherfristen

Die Speicherdauer richtet sich nach:

• Dem Zweck der Datenverarbeitung
• Gesetzlichen Aufbewahrungsfristen
• Vertraglichen Vereinbarungen
• Erforderlichkeit für laufende Rechtsverfolgung

5.2 Regelfristen

5.3 Löschungsverfahren

Die Löschung erfolgt sicher und nachvollziehbar:

• Mehrfaches Überschreiben digitaler Daten
• Physische Vernichtung von Datenträgern
• Dokumentation der Löschung
• Bestätigung gegenüber dem Auftraggeber

6.1 Informationspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO.

6.2 Betroffenenrechte

Bei Anfragen betroffener Personen unterstützt der Auftragnehmer den Auftraggeber bei der Umsetzung folgender Rechte:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

6.3 Besonderheiten bei forensischen Verfahren

7.1 Meldeverfahren

Bei Verletzungen des Schutzes personenbezogener Daten meldet der Auftragnehmer diese unverzüglich dem Auftraggeber. Die Meldung enthält:

• Art und Umfang der Datenpanne
• Betroffene Personen und Datenkategorien
• Wahrscheinliche Folgen der Verletzung
• Ergriffene und geplante Abhilfemaßnahmen

7.2 Zusammenarbeit

Der Auftragnehmer unterstützt den Auftraggeber bei:

• Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
• Benachrichtigung betroffener Personen (Art. 34 DSGVO)
• Aufklärung und Schadensbegrenzung

8.1 Zuständige Aufsichtsbehörde

8.2 Kooperation bei Kontrollen

Der Auftragnehmer stellt sicher, dass Kontrollen durch Aufsichtsbehörden oder vom Auftraggeber beauftragte Prüfer ermöglicht werden und unterstützt bei der Beantwortung von Anfragen.

9.1 Haftungsverteilung

Die Haftung für Datenschutzverletzungen richtet sich nach der jeweiligen Verantwortlichkeit und den Bestimmungen der DSGVO. Der Auftragnehmer haftet nur für Schäden, die durch Verletzung seiner spezifischen Pflichten entstehen.

9.2 Versicherungsschutz

Der Auftragnehmer unterhält eine angemessene Berufshaftpflichtversicherung, die auch Datenschutzverletzungen abdeckt.

10.1 Rückgabe und Löschung

Nach Beendigung des Auftrags werden alle personenbezogenen Daten:

• An den Auftraggeber zurückgegeben oder
• Nach Weisung sicher gelöscht
• Ausnahme: Gesetzliche Aufbewahrungsfristen

10.2 Nachweis der Löschung

Der Auftragnehmer bestätigt die ordnungsgemäße Löschung oder Rückgabe aller Daten schriftlich gegenüber dem Auftraggeber.