§ 14 Datensicherheit

(1) Zum Zwecke des elektronischen Austauschs der für die Durchführung des EETS erforderlichen Daten wird der Mauterheber den Anbieter über die für den Austausch erforderlichen System- und Schnittstellenspezifikationen in Kenntnis setzen, soweit der Anbieter über diese Daten nicht bereits aufgrund des EETS-Prüfverfahrens verfügt.

(2) Der Anbieter wird seine Datensysteme und -schnittstellen so ausgestalten, dass auf der Grundlage der vom Mauterheber zur Verfügung gestellten Spezifikationen zu jeder Zeit und uneingeschränkt ein verlustfreier, sicherer Datenaustausch möglich ist. Die Sicherheit der Datenübermittlung ist in dem der Gebrauchstauglichkeitsbescheinigung für den Anbieter zugrunde gelegten Datensicherheitskonzept des Anbieters dokumentiert.

(3) Der Mauterheber wird dem Anbieter im Wege der elektronischen Datenübermittlung die für die Durchführung des EETS erforderlichen Daten zugänglich machen und während der Durchführung des EETS durch den Anbieter aktualisieren und ergänzen. Dies betrifft insbesondere die für die Mauterhebung erforderlichen Datensätze und Kodierungen.

(4) Der Anbieter verpflichtet sich, während der gesamten Vertragslaufzeit und bis zu dem Zeitpunkt, in dem die Daten mit Zustimmung des Mauterhebers gemäß § 15 unwiderruflich gelöscht werden, sicherzustellen, dass der Schutz der personenbezogenen und personenbeziehbaren Daten den Anforderungen von § 13 entspricht. Der Anbieter wird darüber hinaus jederzeit die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik ergreifen, um die seinem Zugriff unterliegenden Daten, Prozesse und Systeme sowie den Datenaustausch mit dem Mauterheber zu schützen, so dass jederzeit hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität der Daten, Prozesse und Systeme ein dem im Einzelfall festgestellten Schutzbedarf entsprechender Schutz vor technischer oder organisatorischer Kompromittierung gewährleistet ist. Vom jeweils höchsten Schutzbedarf ist auszugehen für alle Vorgänge, die

1.: personenbezogene und personenbeziehbare Daten und
2.: den Datenaustausch oder Systemberührungen mit dem Mauterheber betreffen.

Der Anbieter verpflichtet sich insbesondere, jederzeit die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen einzusetzen, um alle beteiligten Daten, Systeme und Prozesse zu schützen, zu überwachen und bei Kenntnis eines realisierten oder potentiellen Verlustes der Vertraulichkeit, Verfügbarkeit oder Integrität von Daten, Systemen, oder Prozessen (insgesamt „Sicherheitsvorfälle") den Mauterheber unverzüglich zu informieren und unverzüglich in der jeweils erforderlichen Art und Weise zu reagieren, so dass insbesondere der Sicherheitsvorfall ausgeräumt oder seine Auswirkungen sowie damit verbundene Schäden und Beeinträchtigungen des Mauterhebers oder Dritter weitestmöglich begrenzt und reduziert werden.