Richtlinien zum Einsatz von Fremdpersonal

Diese Richtlinien gelten für alle Verfahren, bei denen Fremdpersonal für Zwecke von Installation, Wartung oder Gew?hrleistung per Fernwartung oder physisch vor Ort auf Daten oder IT-Systeme der Universit?t Bamberg Zugriff erh?lt.

Zeitlich begrenzter Zugriff

Bei der Gew?hrung des Zugriffs auf Systeme der Universit?t, sei es per Fernzugriff oder vor Ort, ist der Zugriff durch Besch?ftigte der Universit?t zu überwachen. Falls der Zugang zu R?umlichkeiten der Universit?t gew?hrt wird, ist das Fremdpersonal permanent zu begleiten. T?tigkeiten von Fremdpersonal an Terminals mit Administrationszugriff auf Systeme der Universit?t dürfen nur im Beisein von Besch?ftigten der Universit?t erfolgen. Fernzugriffe bspw. per VPN oder Fernwartungstools sind zu überwachen. Dauerhaft gültige Zugangsdaten dürfen nicht weitergegeben werden. Gegebenenfalls sind zeitlich befristete Zugangsaccounts einzurichten oder Passw?rter für den Zeitraum des Zugriffs tempor?r zu ?ndern.

Des Weiteren ist Fremdpersonal auf die Einhaltung der Datenschutzgesetze und Wahrung der Vertraulichkeit hinzuweisen.

Permanenter Zugriff

Falls Fremdpersonal für Zwecke der Wartung oder Instandhaltung für einen l?ngeren Zeitraum Zugriff auf Systeme der Universit?t Bamberg erh?lt, sind die Rahmenbedingungen in Form einer Vereinbarung festzulegen. Der Zugriff kann über definierte Schnittstellen wie bspw. einen VPN-Zugang zu den fraglichen Systemen erfolgen. Der Zugriff ist auf das notwendige Ma? an Zugriffsrechten zu beschr?nken.

Der das Fremdpersonal bereitstellende Auftragnehmer ist zu verpflichten,

  • dass Accounts ausschlie?lich von den intern zust?ndigen Besch?ftigten für die Authentifizierung gegenüber des VPN-Clienten und für die Systemadministration der vereinbarten Zwecke verwendet werden,
  • dass Besch?ftigte, denen der Zugriff er?ffnet wird, auf das Datengeheimnis nach den einschl?gigen Datenschutzgesetzen und nach dem Verpflichtungsgesetz verpflichtet sind,
  • dass sie über die einschl?gigen Regelungen der Datenschutzgesetze sowie sonstige datenschutzrechtliche Vorgaben angemessen und der Aufgabensituation entsprechend belehrt und geschult wurden und über genügend Sachkunde für die ordnungsgem??e Abwicklung der Aufgaben verfügen,
  • dass nur qualifiziertes und zuverl?ssiges Personal eingesetzt wird,
  • dass die im Rahmen der Fernwartung notwendigen Arbeitsschritte hausintern ohne Speicherung oder Zwischenspeicherung von personenbezogenen Daten durchgeführt werden, so dass am Ende des Wartungsdialogs keine Kopien der Daten anfallen und nur solche Zugriffsm?glichkeiten genutzt werden, die für die Aufgabenerfüllung unbedingt erforderlich sind.
  • dass die auf den Servern gespeicherten Daten der Nutzerinnen und Nutzer nur in unvermeidbaren oder aus Datenschutzgründen erforderlichen F?llen und nur nach vorheriger Abstimmung mit den Ansprechpartnern der Universit?t ver?ndert, kopiert oder gel?scht und personenbezogene Daten nur im Rahmen der Weisungen der Universit?t erhoben, verarbeitet oder genutzt werden (Grundsatz der Datenvermeidung und Datensparsamkeit)
  • dass die Daten nach Beendigung der Instandhaltung/ Wartung unverzüglich gel?scht werden,
  • dass die im Rahmen der Systemadministration bekannt gewordenen Daten der Komponenten, der Nutzer und über Nutzer und die erhaltenen Administrator- und Nutzerpassworte geheim gehalten werden, d.h. weder an Dritte weitergegeben noch in anderer Form Dritten zug?nglich gemacht werden,
  • dass nur bew?hrte Verfahren, Tools und Werkzeuge verwendet und die technischen und organisatorischen datenschutzrechtlichen Anforderungen erfüllt werden,
  • dass der Auftragnehmer oder die Auftragnehmerin die seinem oder ihrem Zugriff unterliegenden Systeme gegen Unbefugte Kenntnisnahme, Speicherung, Ver?nderung sowie sonstige nicht autorisierte Zugriffe oder Angriffe, gleich welcher Art, durch Dritte schützt,
  • dass die Universit?t berechtigt ist, die Einhaltung der Datensicherheitsanforderungen jederzeit nach vorheriger schriftlicher Ankündigung von mindestens 14 Werktagen zu überprüfen. Hierzu wird der Auftragnehmer oder die Auftragnehmerin zu seinen oder ihren üblichen Gesch?ftszeiten Zugang zu den für die Prüfung relevanten Gesch?ftseinrichtungen, insbesondere den IT-Systemen, gew?hren.
  • dass im Fall der Hinzuziehung Dritter ohne Rücksicht auf die Art und rechtliche Ausgestaltung der Zusammenarbeit die vorstehenden Pflichten auch diesen auferlegt werden.
  • dass der Auftragnehmer oder die Auftragnehmerin seine oder ihre Pflichten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers oder der Auftraggeberin auf Dritte übertragen darf.
  • für eine geeignete Vertretung ihrer Mitarbeiterinnen und Mitarbeiter zu sorgen.

Notwendige weitergehende datenschutzrechtliche Regelungen/Konkretisierungen bleiben vorbehalten; Datentr?ger mit personenbezogenen Daten werden dem Auftragnehmer oder der Auftragnehmerin von der Universit?t nicht überlassen. Im Fall der Beendigung der Zusammenarbeit werden die Zug?nge durch die Universit?t ohne weiteren Hinweis gesperrt bzw. gel?scht.

Des Weiteren sind Ansprechpartner und Ansprechpartnerinnen der Universit?t und des Auftragnehmers oder der Auftragnehmerin zu benennen.

Sie haben noch Fragen?