Richtlinien zum Einsatz von Fremdpersonal

Diese Richtlinien gelten für alle Verfahren, bei denen Fremdpersonal für Zwecke von Installation, Wartung oder Gewährleistung per Fernwartung oder physisch vor Ort auf Daten oder IT-Systeme der Universität Bamberg Zugriff erhält.

Zeitlich begrenzter Zugriff

Bei der Gewährung des Zugriffs auf Systeme der Universität, sei es per Fernzugriff oder vor Ort, ist der Zugriff durch Beschäftigte der Universität zu überwachen. Falls der Zugang zu Räumlichkeiten der Universität gewährt wird, ist das Fremdpersonal permanent zu begleiten. Tätigkeiten von Fremdpersonal an Terminals mit Administrationszugriff auf Systeme der Universität dürfen nur im Beisein von Beschäftigten der Universität erfolgen. Fernzugriffe bspw. per VPN oder Fernwartungstools sind zu überwachen. Dauerhaft gültige Zugangsdaten dürfen nicht weitergegeben werden. Gegebenenfalls sind zeitlich befristete Zugangsaccounts einzurichten oder Passwörter für den Zeitraum des Zugriffs temporär zu ändern.

Des Weiteren ist Fremdpersonal auf die Einhaltung der Datenschutzgesetze und Wahrung der Vertraulichkeit hinzuweisen.

Permanenter Zugriff

Falls Fremdpersonal für Zwecke der Wartung oder Instandhaltung für einen längeren Zeitraum Zugriff auf Systeme der Universität Bamberg erhält, sind die Rahmenbedingungen in Form einer Vereinbarung festzulegen. Der Zugriff kann über definierte Schnittstellen wie bspw. einen VPN-Zugang zu den fraglichen Systemen erfolgen. Der Zugriff ist auf das notwendige Maß an Zugriffsrechten zu beschränken.

Der das Fremdpersonal bereitstellende Auftragnehmer ist zu verpflichten,

  • dass Accounts ausschließlich von den intern zuständigen Beschäftigten für die Authentifizierung gegenüber des VPN-Clienten und für die Systemadministration der vereinbarten Zwecke verwendet werden,
  • dass Beschäftigte, denen der Zugriff eröffnet wird, auf das Datengeheimnis nach den einschlägigen Datenschutzgesetzen und nach dem Verpflichtungsgesetz verpflichtet sind,
  • dass sie über die einschlägigen Regelungen der Datenschutzgesetze sowie sonstige datenschutzrechtliche Vorgaben angemessen und der Aufgabensituation entsprechend belehrt und geschult wurden und über genügend Sachkunde für die ordnungsgemäße Abwicklung der Aufgaben verfügen,
  • dass nur qualifiziertes und zuverlässiges Personal eingesetzt wird,
  • dass die im Rahmen der Fernwartung notwendigen Arbeitsschritte hausintern ohne Speicherung oder Zwischenspeicherung von personenbezogenen Daten durchgeführt werden, so dass am Ende des Wartungsdialogs keine Kopien der Daten anfallen und nur solche Zugriffsmöglichkeiten genutzt werden, die für die Aufgabenerfüllung unbedingt erforderlich sind.
  • dass die auf den Servern gespeicherten Daten der Nutzerinnen und Nutzer nur in unvermeidbaren oder aus Datenschutzgründen erforderlichen Fällen und nur nach vorheriger Abstimmung mit den Ansprechpartnern der Universität verändert, kopiert oder gelöscht und personenbezogene Daten nur im Rahmen der Weisungen der Universität erhoben, verarbeitet oder genutzt werden (Grundsatz der Datenvermeidung und Datensparsamkeit)
  • dass die Daten nach Beendigung der Instandhaltung/ Wartung unverzüglich gelöscht werden,
  • dass die im Rahmen der Systemadministration bekannt gewordenen Daten der Komponenten, der Nutzer und über Nutzer und die erhaltenen Administrator- und Nutzerpassworte geheim gehalten werden, d.h. weder an Dritte weitergegeben noch in anderer Form Dritten zugänglich gemacht werden,
  • dass nur bewährte Verfahren, Tools und Werkzeuge verwendet und die technischen und organisatorischen datenschutzrechtlichen Anforderungen erfüllt werden,
  • dass der Auftragnehmer oder die Auftragnehmerin die seinem oder ihrem Zugriff unterliegenden Systeme gegen Unbefugte Kenntnisnahme, Speicherung, Veränderung sowie sonstige nicht autorisierte Zugriffe oder Angriffe, gleich welcher Art, durch Dritte schützt,
  • dass die Universität berechtigt ist, die Einhaltung der Datensicherheitsanforderungen jederzeit nach vorheriger schriftlicher Ankündigung von mindestens 14 Werktagen zu überprüfen. Hierzu wird der Auftragnehmer oder die Auftragnehmerin zu seinen oder ihren üblichen Geschäftszeiten Zugang zu den für die Prüfung relevanten Geschäftseinrichtungen, insbesondere den IT-Systemen, gewähren.
  • dass im Fall der Hinzuziehung Dritter ohne Rücksicht auf die Art und rechtliche Ausgestaltung der Zusammenarbeit die vorstehenden Pflichten auch diesen auferlegt werden.
  • dass der Auftragnehmer oder die Auftragnehmerin seine oder ihre Pflichten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers oder der Auftraggeberin auf Dritte übertragen darf.
  • für eine geeignete Vertretung ihrer Mitarbeiterinnen und Mitarbeiter zu sorgen.

Notwendige weitergehende datenschutzrechtliche Regelungen/Konkretisierungen bleiben vorbehalten; Datenträger mit personenbezogenen Daten werden dem Auftragnehmer oder der Auftragnehmerin von der Universität nicht überlassen. Im Fall der Beendigung der Zusammenarbeit werden die Zugänge durch die Universität ohne weiteren Hinweis gesperrt bzw. gelöscht.

Des Weiteren sind Ansprechpartner und Ansprechpartnerinnen der Universität und des Auftragnehmers oder der Auftragnehmerin zu benennen.

Sie haben noch Fragen?