Vereinbarung über die Durchführung des Prüfverfahrens zur Erbringung mautdienstbezogener Leistungen (EEMD-ZVAnl I) : § 15 Datensicherheit

Vereinbarung über die Durchführung des Prüfverfahrens zur Erbringung mautdienstbezogener Leistungen: Inhaltsverzeichnis

Vergütungsrecht

§ 15 Datensicherheit

(1) Der Anbieter wird seine Datensysteme und Schnittstellen so ausgestalten, dass während des Prüfverfahrens zu jeder Zeit und uneingeschränkt ein verlustfreier und sicherer elektronischer Datenaustausch möglich ist.

(2) Der Mauterheber wird dem Anbieter die für das Prüfverfahren erforderlichen Daten zugänglich machen und während des Prüfverfahrens im erforderlichen Umfang aktualisieren und ergänzen.

(3) Der Anbieter verpflichtet sich, während des gesamten Prüfverfahrens und bis zu dem Zeitpunkt, in dem die Daten mit Zustimmung des Mauterhebers gemäß § 16

(1) Die vertraulichen Daten sind bis zu ihrer Vernichtung, Löschung oder Rückgabe sicher aufzubewahren bzw. zu speichern und vor dem Ein- und Zugriff Dritter zu schützen.

(2) In diesem Zeitraum verpflichtet sich der Anbieter, die vertraulichen Daten in einer Weise aufzubewahren, dass sie von Dritten nicht eingesehen, verändert, kopiert, entwendet oder vernichtet werden können. Der Anbieter stellt zu diesem Zweck insbesondere sicher, dass seine Datensicherungssysteme einen Ein- und Zugriff durch Dritte verlässlich ausschließen.

(3) Der Anbieter wird die vertraulichen Daten einschließlich aller Sicherungskopien nur mit Zustimmung des Mauterhebers vernichten oder löschen und dabei insbesondere gewährleisten, dass Vertraulichkeit im Sinne des § 17 Absatz 4 jederzeit eingehalten wird und Dritte auch nach Vernichtung oder Löschung keinen Zugang zu diesen Daten erlangen. Soweit die Löschung von Daten erforderlich ist, wird der Anbieter diese Löschung in einer Weise vornehmen, die eine Wiederherstellung der Daten technisch ausschließt, die vorgenommenen Maßnahmen dokumentieren und sie auf Verlangen dem Mauterheber nachweisen.

(4) Sollten entgegen den Verpflichtungen dieses Paragraphen vertrauliche Daten abhandenkommen, kopiert werden oder sonst unberechtigt eingesehen werden, haftet der Anbieter dem Mauterheber für die daraus entstehenden Schäden und stellt den Mauterheber gemäß § 21 im dort geregelten Umfang von allen Ansprüchen frei. Dies gilt nicht, soweit er die Pflichtverletzung nicht zu vertreten hat.

(5) Nach Beendigung des Prüfverfahrens sind auf Verlangen einer Partei alle vertraulichen Daten im Sinne des § 17 an diese zurückzugeben oder – soweit dies nach Art der Daten nicht möglich ist – nachweislich zu löschen oder auf andere Weise zu vernichten. Dies gilt nicht, soweit ein berechtigtes Interesse an der Aufbewahrung der vertraulichen Daten im Hinblick auf eine spätere Rekonstruktion des Prüfverfahrens bei Streitfällen dargelegt wird. In diesem Falle sind die Daten zurückzugeben oder nachweislich zu löschen, wenn sie für diesen Zweck nicht mehr erforderlich sind.

(6) Für die Regelungen dieses Paragraphen gelten § 17 Absatz 3 und 8 entsprechend.

unwiderruflich gelöscht oder vernichtet werden, sicherzustellen, dass der Schutz der personenbezogenen und personenbeziehbaren Daten den Anforderungen des deutschen und europäischen Datenschutzrechts entspricht. Der Anbieter wird darüber hinaus jederzeit die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik ergreifen, um die seinem Zugriff unterliegenden Daten, Prozesse und Systeme sowie den Datenaustausch mit dem Mauterheber zu schützen, sodass jederzeit hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität der Daten, Prozesse und Systeme ein dem im Einzelfall festgestellten Schutzbedarf entsprechender Schutz vor technischer oder organisatorischer Kompromittierung gewährleistet ist. Dabei ist für alle Vorgänge, die

a)
personenbezogene und personenbeziehbare Daten und
b)
den Datenaustausch oder Systemberührungen mit dem Mauterheber betreffen,

von dem jeweils höchsten Schutzbedarf auszugehen. Der Anbieter wird insbesondere jederzeit die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, um alle beteiligten Daten, Systeme und Prozesse zu schützen, zu überwachen und bei Kenntnis eines realisierten oder potenziellen Verlustes der Vertraulichkeit, Verfügbarkeit oder Integrität von Daten, Systemen, oder Prozessen (insgesamt „Sicherheitsvorfall“) den Mauterheber unverzüglich zu informieren und unverzüglich in der jeweils erforderlichen Art und Weise zu reagieren, sodass insbesondere der Sicherheitsvorfall ausgeräumt oder seine Auswirkungen sowie damit verbundene Schäden und Beeinträchtigungen des Mauterhebers oder Dritter soweit wie möglich begrenzt und reduziert werden. Der Mauterheber kann verlangen, auf Veranlassung des Anbieters das Informationsschutz-Management-System des Anbieters im Rahmen eines Audits von einem externen Sachverständigen prüfen zu lassen.

(4) Der Anbieter haftet dem Mauterheber für jegliche mittelbaren und unmittelbaren Schäden, die dem Mauterheber aufgrund von Sicherheitsvorfällen aus dem Verantwortungsbereich des Anbieters entstehen; dies gilt nicht, soweit er die Pflichtverletzung nicht zu vertreten hat. Die Haftung schließt die dem Mauterheber entgangenen Mauteinnahmen ein. Der Anbieter übernimmt zudem die Kosten einer Wiederinstandsetzung, Reparatur oder sonstigen Überprüfung des Systems des Mauterhebers, die aufgrund von Sicherheitsvorfällen aus dem Verantwortungsbereich des Anbieters entstanden sind. Sollten aufgrund von Sicherheitsvorfällen aus dem Verantwortungsbereich des Anbieters Dritte Ansprüche gegenüber dem Mauterheber geltend machen, stellt der Anbieter den Mauterheber gemäß § 21

(1) Der Anbieter stellt den Mauterheber, die beim Mauterheber beschäftigten oder eingesetzten Personen sowie die vom Mauterheber im Zusammenhang mit dem Prüfverfahren hinzugezogenen oder beschäftigten Personen und Unternehmen (gemeinsam: die „Freistellungsberechtigten“) vollumfänglich von allen Ansprüchen frei, die aufgrund von Verletzungen dieser Vereinbarung durch den Anbieter im Zusammenhang mit der Durchführung des Prüfverfahrens von Dritten einschließlich anderer Anbieter gegen die Freistellungsberechtigten geltend gemacht werden. Der Freistellungsanspruch nach diesem Abschnitt erfasst auch alle Schäden und Kosten, die den Freistellungsberechtigten in Folge der Inanspruchnahme im Sinne dieses Paragraphen entstehen.

(2) Der Anbieter wird dem Mauterheber im Fall der Inanspruchnahme den zur Befriedigung des geltend gemachten Anspruchs erforderlichen Betrag zur Verfügung stellen. Sollten Anbieter und Mauterheber übereinstimmend davon ausgehen, dass die Ansprüche unberechtigt geltend gemacht wurden, wird der Mauterheber etwaige Regressansprüche gegen den Anspruchsteller an den Anbieter abtreten.

(3) Die Freistellung des Mauterhebers nach Absatz 1 und die Zurverfügungstellung des Betrags an den Mauterheber nach Absatz 2 erfolgen auf erstes Anfordern.

im dort geregelten Umfang von diesen Ansprüchen frei.

(5) Die Regelungen dieses Paragraphen gelten auch im Falle der Beendigung dieser Vereinbarung oder nach Abschluss eines Zulassungsvertrags zwischen Anbieter und Mauterheber fort.

Referenzen

(1) Die vertraulichen Daten sind bis zu ihrer Vernichtung, Löschung oder Rückgabe sicher aufzubewahren bzw. zu speichern und vor dem Ein- und Zugriff Dritter zu schützen.

(2) In diesem Zeitraum verpflichtet sich der Anbieter, die vertraulichen Daten in einer Weise aufzubewahren, dass sie von Dritten nicht eingesehen, verändert, kopiert, entwendet oder vernichtet werden können. Der Anbieter stellt zu diesem Zweck insbesondere sicher, dass seine Datensicherungssysteme einen Ein- und Zugriff durch Dritte verlässlich ausschließen.

(3) Der Anbieter wird die vertraulichen Daten einschließlich aller Sicherungskopien nur mit Zustimmung des Mauterhebers vernichten oder löschen und dabei insbesondere gewährleisten, dass Vertraulichkeit im Sinne des § 17 Absatz 4 jederzeit eingehalten wird und Dritte auch nach Vernichtung oder Löschung keinen Zugang zu diesen Daten erlangen. Soweit die Löschung von Daten erforderlich ist, wird der Anbieter diese Löschung in einer Weise vornehmen, die eine Wiederherstellung der Daten technisch ausschließt, die vorgenommenen Maßnahmen dokumentieren und sie auf Verlangen dem Mauterheber nachweisen.

(4) Sollten entgegen den Verpflichtungen dieses Paragraphen vertrauliche Daten abhandenkommen, kopiert werden oder sonst unberechtigt eingesehen werden, haftet der Anbieter dem Mauterheber für die daraus entstehenden Schäden und stellt den Mauterheber gemäß § 21 im dort geregelten Umfang von allen Ansprüchen frei. Dies gilt nicht, soweit er die Pflichtverletzung nicht zu vertreten hat.

(5) Nach Beendigung des Prüfverfahrens sind auf Verlangen einer Partei alle vertraulichen Daten im Sinne des § 17 an diese zurückzugeben oder – soweit dies nach Art der Daten nicht möglich ist – nachweislich zu löschen oder auf andere Weise zu vernichten. Dies gilt nicht, soweit ein berechtigtes Interesse an der Aufbewahrung der vertraulichen Daten im Hinblick auf eine spätere Rekonstruktion des Prüfverfahrens bei Streitfällen dargelegt wird. In diesem Falle sind die Daten zurückzugeben oder nachweislich zu löschen, wenn sie für diesen Zweck nicht mehr erforderlich sind.

(6) Für die Regelungen dieses Paragraphen gelten § 17 Absatz 3 und 8 entsprechend.

(1) Der Anbieter stellt den Mauterheber, die beim Mauterheber beschäftigten oder eingesetzten Personen sowie die vom Mauterheber im Zusammenhang mit dem Prüfverfahren hinzugezogenen oder beschäftigten Personen und Unternehmen (gemeinsam: die „Freistellungsberechtigten“) vollumfänglich von allen Ansprüchen frei, die aufgrund von Verletzungen dieser Vereinbarung durch den Anbieter im Zusammenhang mit der Durchführung des Prüfverfahrens von Dritten einschließlich anderer Anbieter gegen die Freistellungsberechtigten geltend gemacht werden. Der Freistellungsanspruch nach diesem Abschnitt erfasst auch alle Schäden und Kosten, die den Freistellungsberechtigten in Folge der Inanspruchnahme im Sinne dieses Paragraphen entstehen.

(2) Der Anbieter wird dem Mauterheber im Fall der Inanspruchnahme den zur Befriedigung des geltend gemachten Anspruchs erforderlichen Betrag zur Verfügung stellen. Sollten Anbieter und Mauterheber übereinstimmend davon ausgehen, dass die Ansprüche unberechtigt geltend gemacht wurden, wird der Mauterheber etwaige Regressansprüche gegen den Anspruchsteller an den Anbieter abtreten.

(3) Die Freistellung des Mauterhebers nach Absatz 1 und die Zurverfügungstellung des Betrags an den Mauterheber nach Absatz 2 erfolgen auf erstes Anfordern.