Allgemeine Nutzungsbedingungen für das BMW Group Partner Portal

0. Präambel
Diese Nutzungsbedingungen gelten sowohl für externe als auch interne Nutzer und wurden im Rahmen der BMW Group Partner Portal Abstimmung mit ausgewählten BMW Partnern erarbeitet.

1. Geltungsbereich
Die BMW AG (nachfolgend "BMW" genannt) bietet auf der Website https://b2b.bmw.com den Internetdienst BMW Group Partner Portal (nachfolgend "Portal" genannt) an.

Für die Mitarbeiter der BMW AG und deren verbundene Unternehmen erfolgt der Zugang über das BMW Intranet über die Website https://b2b.bmwgroup.net.
Die folgenden Bedingungen regeln die Nutzung des Portals.
Soweit aus dem Portal auf Anwendungen der BMW AG oder deren verbundene Unternehmen verwiesen wird, so können hierfür besondere bereits bestehende Verträge (u.a. Nutzungsbedingungen, Geheimhaltungsvereinbarungen, Einkaufsbedingungen) gelten, die im Fall von Widersprüchen den vorliegenden Regelungen vorgehen.

2. Leistungsangebot
Das BMW Group Partner Portal verfügt über einen öffentlich zugänglichen sowie über einen geschützten Bereich, für den eine Zulassung benötigt wird. Nach erfolgtem Login steht den registrierten Partnern dort ein Basisangebot und ein rollenspezifisches Angebot von Informationen und Anwendungen zur Verfügung.

3. Kosten
Für die Bereitstellung und Nutzung des Portals selbst wird seitens BMW kein Entgelt verlangt. Soweit durch das Portal kostenpflichtige Dienste vermittelt werden, werden hierzu gesonderte Vereinbarungen getroffen.
Die im Rahmen der Portalnutzung anfallenden Aufwände der Nutzer wie insbesondere solche für die Internetnutzung, die Eigenadministration sowie die Anschaffung geeigneter Hard- und Software werden von BMW nicht erstattet.

4. Organisatorische Zugangsvoraussetzungen
Der Zugriff auf die nicht-öffentlichen Seiten des Portals ist beschränkt auf die Mitarbeiter von BMW und deren verbundene Unternehmen und den von BMW bestimmten Partnerunternehmen. Der Zugriff bedarf der vorangehenden Registrierung: .
Die Registrierung erfolgt ausschließlich durch autorisierte Master-/Administratoren innerhalb Ihres Unternehmens. Für Master-/Administratoren gelten ergänzende Bestimmungen.
Zu Beginn jeder Nutzung (Session) muss sich der Nutzer anmelden. Die erforderlichen Zugangsdaten (Benutzername und initiales Passwort) werden ihm im Rahmen der Registrierung zugewiesen.
BMW behält sich das Recht vor, Registrierungs- bzw. Anmeldebegehren ganz oder teilweise abzulehnen bzw. Zugriffsrechte nachträglich zu entziehen.

5. Technische Zugangsvoraussetzungen
Die aktuellen technischen Zugangsvoraussetzungen sind unter IT-Voraussetzungen beschrieben, die Sie im Portal unter "Hilfe" finden. Diese Beschreibung kann bei Bedarf angepasst werden.

6. Dauer und Umfang der Nutzungsberechtigung
Das Recht zur Nutzung des Portals beschränkt sich auf Mitarbeiter von BMW und deren verbundene Unternehmen sowie auf Mitarbeiter der von BMW bestimmten Partnerunternehmen von BMW..
Der vorgenannte Personenkreis darf das Portal ausschließlich im Rahmen der bestehenden Geschäftsbeziehungen mit BMW oder deren verbundenen Unternehmen nutzen. Die Nutzung ist zeitlich und inhaltlich auf die Erfüllung der jeweiligen vertraglichen Pflichten beschränkt. Jegliche darüber hinausgehende Nutzung ist ausgeschlossen. Dies gilt insbesondere auch dann, wenn die dem Nutzer zugewiesene Rolle nicht benötigte Berechtigungen enthält.
BMW ist berechtigt, Dauer und Umfang konkreter Zugangsberechtigungen sowie den allgemeinen Leistungsumfang der im Rahmen des Portals angebotenen Dienste festzulegen. Beendet BMW das Nutzungsverhältnis ohne Vorliegen eines nachvollziehbaren Grundes, obwohl der Nutzer den Zugang benötigt, um seine
vertraglichen Verpflichtungen gegenüber BMW zu erfüllen, kann BMW aus der Nichterfüllung der Pflichten keine Verzugsansprüche gelten machen.
Sowohl der Nutzer als auch BMW können das Nutzungsverhältnis jederzeit beenden.

7. Sorgfaltspflichten des Nutzers
Zugangsberechtigungen werden personengebunden erteilt. Der Nutzer hat dafür Sorge zu tragen, dass kein unbefugter Dritter Kenntnis seines Passwortes erhält. Stellt der Nutzer fest, dass eine unbefugter Dritter von seinem Passwort Kenntnis erlangt hat, oder besteht der Verdacht einer missbräuchlichen Nutzung seiner Zugangsdaten, so hat er unverzüglich sein Passwort zu ändern. Besteht hierzu keine Möglichkeit, so hat er unverzüglich seinen Master-/Administrator hiervon in Kenntnis zu setzen.
Bei einem Stellen- und/oder Aufgabenwechsel hat der Nutzer bei seinem zuständigen Master-/Administrator die Korrektur bestehender Zugriffsberechtigungen entsprechend seiner geänderten Aufgabenstellung zu veranlassen. Darüber hinaus ist der Nutzer verpflichtet, den zuständigen Master-/Administrator zu informieren, wenn die Grundlage der Vergabe der Zugriffsberechtigung entfällt, etwa bei Beendigung seines Beschäftigungsverhältnisses beim Partnerunternehmen oder bei einer vorzeitigen Beendigung des Auftragsverhältnisses zwischen BMW oder deren verbundenen Unternehmen und dem Partnerunternehmen.
Bei Verstoß gegen diese Regelungen, insbesondere bei einem Missbrauch der personengebundenen Zugangsdaten, behält sich BMW die Sperrung der Zugangsberechtigung und weitergehende rechtliche Schritte vor.
Der Nutzer ist ferner verpflichtet, alle Aktivitäten zu unterlassen, die zu einer Zerstörung oder Manipulation von Datenbeständen oder IT-Systemen von BMW oder deren verbundenen Unternehmen oder den von BMW bestimmten Partnerunternehmen durch ihn oder Dritte führen könnten.

8. Geheimhaltung, Informationsschutz, Datenschutz
Unbeschadet sonstiger bestehender gesetzlicher oder vertraglicher Verpflichtungen zur Vertraulichkeit und Geheimhaltung gilt zeitlich unbegrenzt und damit auch über das Ende des Nutzungsverhältnisses hinaus folgendes:
Der Nutzer ist verpflichtet, alle im Rahmen des Nutzungsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse vertraulich zu behandeln.
Der Nutzer hat alle ihm im Zusammenhang mit der Nutzung des Portals zur Kenntnis gelangten schutzbedürftigen Informationen gegen die Kenntnisnahme durch Unbefugte zu sichern.
Die Anforderungen an den Informationsschutz sind im Einzelnen unter Informationsschutz beschrieben.

BMW beachtet die international anerkannten Datenschutz-Standards. Einzelheiten hierzu finden Sie in der Datenschutzerklärung zum Portal unter Datenschutzrechtlicher Hinweis zum Portal.

9. Haftung
Das Portal wird mit der gebotenen Sorgfalt betrieben. Trotzdem kann keine Gewähr für die Verfügbarkeit des Portals sowie die Fehlerfreiheit und Genauigkeit der enthaltenen Informationen übernommen werden. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung bzw. der Nichtnutzbarkeit des Portals entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen. Zur Klarstellung wird festgestellt, dass die in diesem Abschnitt enthaltene Haftungsbeschränkung das Recht der Lieferanten unberührt lässt, BMW die Nichtverfügbarkeit des Portals sowie die Fehlerhaftigkeit oder Ungenauigkeit von Informationen Ansprüchen von BMW gegen den Lieferanten entgegenzuhalten, sofern die Nutzung des Portals für die Erbringung der Leistung des Lieferanten vertraglich vereinbart und erforderlich war.

Sofern vom Portal auf Internetseiten verwiesen wird, die von Dritten betrieben werden, übernimmt BMW keine Verantwortung für deren Inhalte.

10. Markenzeichen
Soweit nicht anders angegeben, sind alle im Rahmen des Portals verwendeten Markenzeichen markenrechtlich zugunsten der BMW AG oder deren verbundenen Unternehmen geschützt. Dies gilt insbesondere für Marken, Typenbezeichnungen, Logos und Embleme.

11. Lizenz
Das im Portal enthaltene geistige Eigentum wie Patente, Marken und Urheberrechte ist geschützt. Nutzungsrechte werden nur insoweit und solange eingeräumt als dies zur rechtmäßigen Nutzung des Portals erforderlich ist. Darüber hinaus wird keine Lizenz zur Nutzung des geistigen Eigentums der BMW AG oder deren verbundenen Unternehmen oder Dritten erteilt.

12. Urheberrechte
Texte, Bilder, Grafiken, Sound, Animationen und Videos sowie deren Anordnung auf dem Portal unterliegen dem Schutz des Urheberrechts und anderer Schutzgesetze. Nutzungsrechte werden nur insoweit und solange eingeräumt als dies zur rechtmäßigen Nutzung des Portals erforderlich ist. Darüber hinaus darf der Inhalt dieser Website nicht zu kommerziellen Zwecken kopiert, verbreitet, verändert oder Dritten zugänglich gemacht werden. Auf den Websites enthaltene Bilder können dem Urheberrecht Dritter unterliegen.

13. Ergänzende Bestimmungen für Administratoren
Die folgenden Bestimmungen gelten für Master-/Administratoren.

Der Master-/Administrator ist im Rahmen der Portalnutzung der zentrale organisatorische Ansprechpartner auf Seiten des Partnerunternehmens. Er organisiert und koordiniert die elektronische Kommunikation zwischen dem Partnerunternehmen und BMW. Zu seiner Unterstützung können Stellvertreter und im Falle einer dezentralen Nutzer-Administration zusätzliche Administratoren benannt werden.
Der Masteradministrator erhält grundsätzlich alle Informationen, die den Betrieb und die Nutzung des Portal-Servers betreffen und hat Zugriff auf alle Informationen des Portal-Servers, die für sein Unternehmen bestimmt sind.
Die Master-/Administratoren werden durch das jeweilige Partnerunternehmen benannt und handeln in deren Namen.
Die Master-/Administratoren sind dafür verantwortlich, dass nur Zulassungsanträge berechtigter Personen an BMW verbindlich weitergeleitet bzw. bestätigt werden. Sie pflegen die Nutzer-Daten Ihres Unternehmens in Eigenverantwortung und halten diese aktuell. Sie sind verpflichtet bei einem Stellen- und/oder Aufgabenwechsel des Nutzers die Korrektur bestehender Zugriffsberechtigungen entsprechend seiner geänderten Aufgabenstellung zu veranlassen, etwa bei Beendigung seines Beschäftigungsverhältnisses beim Partnerunternehmen oder bei einer vorzeitigen Beendigung des betroffenen Auftragsverhältnisses zwischen der BMW AG oder deren verbundenen Unternehmen und dem Partnerunternehmen.

Die Master-/Administratoren sind ferner verpflichtet, Nutzerdaten bei Ausscheiden des Nutzers oder auf Wunsch des Nutzers zu löschen.

14. Schlussbestimmungen
Werden Änderungen dieser Allgemeinen Nutzungsbedingungen erforderlich, so wird BMW den Nutzer hierüber informieren und ihm die Fortsetzung des Nutzungsverhältnisses zu den geänderten Bedingungen anbieten. Lehnt der Nutzer die Änderung ab, so wird BMW das Nutzungsverhältnis kündigen und die bestehenden Zugriffsberechtigungen löschen.
Sollte eine Regelung dieser Allgemeinen Nutzungsbedingungen unwirksam sein oder werden, so wird dadurch die Gültigkeit dieser Allgemeinen Nutzungsbedingungen im übrigen nicht berührt. BMW und das Partnerunternehmen sind im Rahmen des Zumutbaren nach Treu und Glauben verpflichtet, die unwirksame Bestimmung durch eine ihr im wirtschaftlichen Erfolg gleichkommende, zulässige Regelung zu ersetzen, sofern dadurch keine wesentliche Änderung des Inhalts herbeigeführt wird.

Die Bestimmungen dieser Bedingungen sowie die Rechtsbeziehungen der Parteien unterliegen dem deutschen Recht. Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesen Allgemeinen Nutzungsbedingungen ergeben, ist München.

Ansprechstelle für alle die Allgemeinen Nutzungsbedingungen betreffenden Fragen ist b2b.info@bmw.de.

Informationsschutz für das BMW Group Partner Portal

Der national und international zunehmende Wettbewerbsdruck zwingt jedes Unternehmen, seine Betriebss- und Geschäftsgeheimnisse zu schützen. Andererseits ist die Zusammenarbeit mit Zulieferfirmen, Systemlieferanten und Mitkonstrukteuren ohne den Austausch vertraulicher Informationen unter den Geschäftspartnern nicht mehr denkbar. Es ist also im gemeinsamen Interesse, dass Betriebs- und Geschäftsgeheimnisse beiderseits gewahrt und geschützt werden.

Der Schutz von Informationen umfasst im wesentlichen folgende Schwerpunkte:

• 1. Sicherheitsmanagement
• 2. Organisation und Personal
• 3. Mitarbeiterverantwortung
• 4. Bautechnische Infrastruktur
• 5. Informations- und kommunikationstechnische Infrastruktur
• 6. Systemverwaltung
• 7. Produktsicherheit

 

1. Sicherheitsmanagement

1.1 Die Geschäftsleitung/Unternehmensleitung muss eine Sicherheitspolitik beschrieben haben. Sie muss sicherstellen, dass diese auf allen Ebenen verstanden, verwirklicht und aufrecht erhalten wird. Bei der Umsetzung der Sicherheitspolitik sind zu definieren:

• klar festgelegte, messbare Sicherheitsziele nach Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität (VIVA),
• der Geltungsbereich,
• die umzusetzenden Prinzipien und Verhaltensregeln,
• Maßnahmen zur Aufrechterhaltung des Sicherheitsprozesses.

Die Umsetzungsregelungen müssen insbesondere auf folgende Themen eingehen:

• Geheimhaltung und Abgrenzung vertraulicher Daten (z.B. Entwicklungs- und Konstruktionsdaten)
• Integrität, Verfügbarkeit von Daten,
• Zutrittsschutz in sicherheitskritische Bereiche
• Wiederanlauffähigkeit und
• die Einbindung von Partnerfirmen

Entsprechende messbare Ziele müssen beschrieben sein.

1.2 Die Geschäftsleitung/Führungskraft muss zur Erreichung ihrer/seiner Sicherheitsziele angemessene Mittel sowie geschultes Personal für leitende und ausführende Tätigkeiten bereitstellen (Ressourcenmanagement).

1.3 Zur Umsetzung der Sicherheitspolitik muss ein Sicherheitsprozess existieren, der dokumentiert ist und aufrechterhalten wird. Dieser muss berücksichtigen:

• Feststellung des Schutzbedarfs der Geschäftsprozesse und Unternehmensdaten (nach den o.g. VIVA-Kriterien),
• Analyse der Bedrohungen/Risiken für schutzbedürftige Entwicklungsprojekte (z.B.: Unberechtigtes Fotografieren von Design oder Innovationen; Weitergabe von vertraulichen Unterlagen, Zeichnungen oder Daten; Aneignung von Rechten/Geschmacksmusterschutz),
• Analyse der Bedrohungen/Risiken für schutzbedürftige IT-Systeme, -Anwendungen und Daten (z.B.: nachlässiger, unsachgemäßer Umgang mit IT-Systemen und Daten, Einbruch in das System, Aneignung von Rechten, Denial-of-Service-Attacken, Hardwareausfälle, Computerviren),
• Planung, Realisierung und Aufrechterhaltung von Sicherheitsmaßnahmen zur Reduktion festgestellter Bedrohungen/Risiken,
• Schulung von Management und Mitarbeitern, insbesondere bei Übernahme neuer Projekte und Einführung neuer Systeme,
• Kontinuierliche Überprüfung der Angemessenheit der Ressourcen,
• Planung, Durchführung und Dokumentation interner Checks (Audits) zur Prüfung, ob die sicherheitsbezogenen Tätigkeiten und Maßnahmen den geplanten Festlegungen entsprechen und ob der Sicherheitsprozess wirksam ist,
• Erarbeitung und Training von Notfallmaßnahmen,
• Verfolgung, Korrektur und Aufzeichnung sicherheitsrelevanter Vor- und Notfälle.

Anmerkung 1:
Bei hohem Schutzbedarf/Schadenspotential kann eine systematische Risikoanalyse angemessen sein. Diese muss mindestens enthalten:

• eine Risikodefinition (quantitative Verknüpfung von Schadensausmaß und Eintrittswahrscheinlichkeit),
• eine Inventarisierung der hochsicherheitsrelevanten Sicherheitssysteme, -anlagen, Anwendungen, Programme, Informationen und ihre Risikoeinstufung,
• Zuordnung von Gegenmaßnahmen zur Risikoreduktion.

 

Anmerkung 2:
Gegebenenfalls ist eine besondere Sicherheitsstrategie für externe Dienste (Reinigungs-, Instandhaltungs-, Servicepersonal) festzulegen und zu dokumentieren ("Berechtigungs-Konzept"). Diese kann enthalten:

• "Vieraugenprinzip",
• Schlüsselverantwortung, besondere Sicherheitsrichtlinien, Zugangskontrollen und Zugangsprotokolle.

Anmerkung 3:
Gegebenenfalls ist eine besondere Sicherheitsstrategie für externe Dienste (World Wide Web, E-Mail, Application Gateway) des Unternehmens festzulegen und zu dokumentieren ("Firewall-Konzept"). Diese kann enthalten:

• Einrichtung einer Demilitarisierten Zone,
• besondere Sicherheitsrichtlinien / Zugangskontrollen und Zugangsprotokolle.

Anmerkung 4:
Der Sicherheitsprozess muss spezielle Bedrohungen berücksichtigen, wie den unautorisierten Zugriff auf vertrauliche Modelle, Prototypen, Teile, Daten, Zeichnungen, Bildmaterial durch:

• Mitarbeiter oder Fremdpersonal,
• Angreifer während der Weiterleitung von Daten, gezielte Angriffe (Einbruch, Korruption, Social Engineering, Hacker, Korruption Viren/Trojaner, Denial of Service, etc.) zum Zwecke der Wirtschaftsspionage oder des Enthüllungs-Journalismus,
• Angreifer / Fotografen während Versuchsfahrten,
• mangelhaften Zutrittsschutz.

Die mittelbare Weiterleitung von Daten und neuen Produkten an Dritte muss dabei betrachtet werden.

1.4 Bei der Umsetzung der Sicherheitspolitik müssen Sicherheitsvorfälle, Notfall- und Katastrophensituationen berücksichtigt werden. Die IT-Sicherheit und konventionelle Sicherheit betreffenden Beschwerden, sicherheitsrelevante Vor- und Notfälle müssen aufgezeichnet und dem Management zur Kenntnis gebracht werden.

1.5 Interne Checks (Audits) müssen sich neben der IT-Landschaft auch mit den konventionellen Sicherheitsprozessen, die speziellen Bedrohungen ausgesetzt sind, sowie auf die Auswertung von Sicherheitsvorfällen ausrichten.

 

2. Organisation und Personal

2.1 Die Verantwortung, Kompetenz, Befugnis, Vertretung und die gegenseitige Beziehung von Personal, deren Tätigkeit Einfluss auf den Sicherheitsprozess hat, muss festgelegt und bekannt sein. Die aus der Sicherheitspolitik und den Anforderungen der Kunden (insbesondere der SE-Partner) abgeleiteten Maßnahmen müssen bzgl. Verantwortlichkeiten und Kompetenzen des Personals Regelungen enthalten im Hinblick auf

• die Einrichtung, Erhaltung und Zuordnung von Prozessen, die den Geschäftsbeziehungen der Partner entsprechen,
• die inhaltliche und technische Abgrenzung dieser Prozesse zum Zweck der Geheimhaltung,
• die regelmäßige Information/Schulung der Mitarbeiter, insbesondere bei der Einführung neuer Prozesse oder Systeme,
• Verhaltensregeln im Zusammenhang mit Kommunikationsdiensten (Telefon, Fax, E-Mail, Datenaustausch, Nutzung des BMW Group Partner Portals, etc.)
• die Aufzeichnung, Protokollierung und Auswertung sicherheitsrelevanter Vorgänge,
• Sicherheits-, Notfall- und Katastrophensituationen,
• Problemlösungen nach festgelegten Abläufen zu veranlassen.

2.2 Die verantwortliche Stelle/Bereich (z.B. Geschäftsleitung/Führungskraft) muss in ausreichendem Umfang Informationsschutzbeauftragte (ISB) benennen, die festgelegte Befugnisse besitzen, um:

• sicherzustellen, dass ein Sicherheitsprozess festgelegt, verwirklicht und aufrecht erhalten wird, der die Anforderungen der Schutzmaßnahmen erfüllt;
• der Unternehmensleitung in mindestens jährlichem Abstand über die Wirksamkeit des Sicherheitsprozesses als Grundlage für dessen Verbesserung zu berichten.

Regelungen zu Verantwortlichkeiten, Kompetenzen, Stellvertretern müssen in geeigneter Form festgelegt und dokumentiert sein, z.B. mittels Organigramm.

2.3 Alle Mitarbeiter des Bereiches der Abteilung einschließlich externe Mitarbeiter und Führungskräfte, die in Kontakt mit sicherheitsrelevanten und/oder vertraulichen Informationen/Daten kommen, müssen über die Sensibilität dieser Daten informiert werden und schriftlich zu deren vertraulichen Handhabung verpflichtet sein. Diese Mitarbeiter müssen vertrauliche oder in sonstiger Weise sicherheitsrelevante Tätigkeiten und die Ansprechpartner im Rahmen ihres Verantwortungsbereiches kennen.

2.4 Dies gilt in gleicher Weise für externe Partner.

Anmerkung:
Mitarbeiter, die durch ihre Arbeit mit personenbezogenen Daten in Berührung kommen, müssen entsprechend des Bundesdatenschutzgesetzes (BDSG) und des Teledienstedatenschutzgesetzes (TDDSG) schriftlich auf das Datengeheimnis verpflichtet sein. Datenschutz darf nicht mit Informationsschutz verwechselt werden.

2.5 Bei der Personalauswahl müssen, insbesondere bei externen Mitarbeitern, bezüglich der Sicherheit angemessene Auswahlkriterien berücksichtigt werden. Pflege, Verwaltung und Service von Entwicklungsprojekten dürfen nur von entsprechend benanntem, autorisiertem und zur Geheimhaltung verpflichtetem Personal durchgeführt werden.

 

3. Mitarbeiterverantwortung am Arbeitsplatz, in Arbeitsbereichen und in der Öffentlichkeit

3.1 Für Büro und Arbeitsplätze sind insbesondere, wenn der Zugriff auf vertrauliche Daten möglich ist, Verhaltensweisen durch den Informationsschutzbeauftragten (ISB) bzw. durch die Führungskraft festzulegen und zu überwachen. Soweit zutreffend, müssen diese umfassen:

• Erstellen, Ändern, Ablegen, Weitergeben, Kopieren, Ausdrucken, Sichern, Archivieren von Daten und Dokumenten,
• Nutzung von ungeschützten Austauschverzeichnissen,
• Virenschutz, insbes. Umgang mit E-Mails, Attachments, Datenträgeraustausch,
• Umgang mit Passwörtern,
• Kopieren oder Mitnehmen von Datenträgern und Dokumenten,
• Postversand sicher verpacken (seriöser Kurierdienst oder per Einschreiben),
• Verlassen des Arbeitsplatzes (Passwortschutz, Abschließen, "Clear Desk Policy" (wegschließen von vertraulichen Unterlagen, usw.),
• Umgang mit Laptops,
• Entsorgung von Informationen und Daten (Nutzung von Schreddern, sicheres Löschen)
• Verhalten in Notfällen, Störungen bei mangelnder Verfügbarkeit der Ressourcen und Virenattacken,
• Telearbeitsplätze / Home Offices,
• Weitergabe von Informationen am Telefon oder per Anrufbeantworter,
• Wirkung der Geheimhaltung in, bzw. gegenüber der Öffentlichkeit (Messen, Flugzeug, Freundeskreis, etc.)
• Verhalten bei Anfragen von Medien, zu wissenschaftlichen Veröffentlichungen,
• Aufspielen/Kopieren von Software,
• Zugang, Überwachung und Kontrolle von Reinigungs- und Fremdpersonal sowie Besuchern.

 

4. Bautechnische Infrastruktur

4.1 Es muss durch angemessene Zugangskontrollen sichergestellt sein, dass nur befugtes Personal Zugang in die geschützten Bereiche sowie direkten Zugang zu Daten und geheimen Produkten sowie IT-Systemen hat. Je nach Schutzbedarf/Risiko kann dies sichergestellt sein durch:

• Regelungen zu persönlichen Kontrollen,
• technische Zugangseinrichtungen,
• geeignete bauliche und organisatorische Maßnahmen zum Zugangsschutz,
• abgestufte Schutzzonen,
• Alarmverfolgung.

4.2 Den besonderen Bedrohungen entsprechend sind geeignete Zutrittsregelungen zu erarbeiten und dies angemessen umzusetzen (z.B. Besucherbegleitung, sichtbares tragen eines Ausweisdokumentes).

4.3 Es müssen erforderliche Sichtschutzmaßnahmen erbracht werden. Nach Betrachtung des Risikos können dies im Einzelnen sein:

• Rollläden, Jalousien,
• Verdunkelung von Fensterscheiben,
• Stellwände, Vorhänge,
• Abdeckplanen, Tarnnetze,
• Sichtschutzmauern um Parkflächen.

4.4 Es müssen dem Schutzbedarf / dem Risiko entsprechende, wirksame physische Schutzeinrichtungen vorhanden sein, die insbesondere folgenden möglichen Bedrohungen entgegenwirken:

• Abhören von Leitungen und Geräten,
• Stromausfall,
• Brand,
• Wasserschaden,
• Zerstörung / terroristische Attacken
• Ausfall betriebsnotwendiger Klimatisierungen.

 

5. Informations- und kommunikationstechnische Infrastruktur

5.1 Alle Systeme, die vertrauliche Daten verarbeiten (Know How, Konstruktionspläne, Stücklisten, Designstudien etc.) müssen mit wirksamen Maßnahmen entsprechend der Einstufung in die jeweilige Schutzbedarfsklasse gegen den Verlust der Vertraulichkeit ausgestattet sein. Datenübertragungseinrichtungen (Telefon, Fax, E-Mail, Datenaustauschsysteme, Web-Portale) müssen so gestaltet sein, dass streng vertrauliche Informationen nicht unverschlüsselt und nur mit geeigneter Authentisierung über öffentliche Netze übertragen werden.

5.2 Alle Daten müssen nach Zugehörigkeit, sowie nach Schutzbedarf, insbesondere hinsichtlich der Vertraulichkeit, klassifiziert werden.

5.3 Die für die Aufrechterhaltung der Geschäftsprozesse kritischen technischen IT-Systeme müssen dem Bedarf, der angestrebten Verfügbarkeit und der sich aus dem Schutzbedarf ergebenden Vertraulichkeit und Integrität der Daten entsprechend ausgelegt sein. Es muss ein umfassendes Konzept zur Datensicherung und Archivierung sowie zum Disaster Recovery erstellt sein und dessen Umsetzung gewährleisten. Die Verfahren und Medien werden regelmäßig geprüft.

5.4 Es muss ein Konzept zur Erteilung von Berechtigungen existieren. Die Aufstellung der Mitarbeiter und deren Zugriffsrechte auf sicherheitsrelevante Daten ist aktuell zu halten (z.B. mittels Datenbank).

5.5 Systeme zum Schutz der Daten, sowie der informations- und kommunikationstechnischen Infrastruktur (Authentisierungseinrichtung, Firewall, Backup-Einrichtungen, Verschlüsselungseinrichtungen, ....) müssen dem Schutzbedarf und den Risiken entsprechend ausgelegt sein und betrieben werden.

5.6 Es muss ein Plan über die IT-Netztopologie, einschließlich der HW/SW-Inventurregister gepflegt werden.

Anmerkung:
Die Detailmaßnahmen für die Installation und den Betrieb der verschiedenen IT-Systeme können dem IT-Grundschutzhandbuch BSI entnommen werden.

 

6. Systemverwaltung

6.1 Bei der Nutzung zentraler Server, sind hinsichtlich der Sicherheitsanforderungen (VIVA-Kriterien) entsprechende Service-Level-Agreements (SLAs) zu treffen. Es müssen angemessene Regelungen und Verantwortlichkeiten bezüglich der Administration der sicherheitsrelevanten Systeme existieren. Diese müssen die spezifischen Gegebenheiten unterschiedlicher Betriebssysteme (Midrange/Mainframe, Unix, Windows, Novell Netware, etc.) und Netzinfrastrukturen (LAN, Intranet, Extranet, Internet) berücksichtigen. Soweit zutreffend, muss dies umfassen:

• Einrichten von Bildschirmarbeitsplätzen,
• Benutzerverwaltung, Rechteverwaltung und Zugriffskontrolle,
• Zentrale Systemadministration (Single-Sign-On, Netzwerkmanagementsysteme),
• Vernichtung von Datenträgern (Papier-Datenträger, Hardware),
• Betrieb von RAS-Zugängen (Remote Access Services),
• Zentrale Datenbank, zentrale Applikationen (Host, Server),
• Datensicherung und -archivierung,
• Wartung,
• Konfiguration,
• Aufzeichnen und Auswerten von Systemzugriffen,
• Verwaltung der Verschlüsselungsinfrastruktur,
• Betrieb von Datenübertragungseinrichtungen: Modem, ISDN, Funk, Fax, TK-Anlage, Standleitungen, Internet, Extranet
• Einrichtung, Verwaltung und Kontrolle von Sicherheitssoftware (Firewall, Virenscanner, Authentisierungssysteme usw.).

Anmerkungen:
Es muss eine aktuelle Aufstellung sämtlicher Software-Produkte gepflegt werden. Insbesondere muss die Verwaltung der Lizenzen/Nutzungsberechtigungen für Fremdsoftware bzw. Nachweise für eigenerstellte Software berücksichtigt sein.
Anregungen für diese Regelungen ergeben sich aus dem IT-Grundschutzhandbuch des BSI.

6.2 Es existiert ein Konzept für Remote-Management für Kunden und Eigenpersonal, welches die gesetzten Sicherheitsziele angemessen umsetzt. Notfallmaßnahmen müssen dem Management zur Kenntnis gebracht werden.

 

7. Produktsicherheit

7.1 Die Entwicklung oder der Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen erfordert einen besonderen Schutz des Design und der Innovationen. Insbesondere ist in den Abläufen darauf zu achten, dass die Risiken analysiert und wirkungsvolle Schutzmaßnahmen durchgeführt werden. Grundlage für den Umgang mit BMW Neuentwicklungen sind im BMW "Handling/Schutzmaßnahmen" für Neuentwicklungen geregelt (muss vom BMW Ansprechpartner zur Verfügung gestellt werden).

7.2 Beim Transport ist darauf zu achten dass:

• die Personen / die Spedition zur Geheimhaltung verpflichtet sind,
• die Erreichbarkeit des Fahrers (z.B. über Handy) ständig gewährleistet ist,
• das Transportmittel über geeignete Verschlussmöglichkeiten, ggf. auch über eine Alarmanlage verfügt,
• das Auf- und Abladen in einem gesicherten Bereich (Sichtschutz) verdeckt durchgeführt wird,
• die Übernahme/Übergabe durch einen Verantwortlichen beaufsichtigt wird.

7.3 Die Produkte müssen in gesicherten kontrollierten Bereichen abgestellt werden. Nach Arbeitsende sind diese mit einer Plane zu verdecken und einem Schloss zu sichern. In geschützten Prototypenräumen reicht ein Verdecken.

7.4 Das Fotografieren des Produktes ist nur mit Einverständnis des Auftraggebers zulässig und ist zu dokumentieren. Negative (sofern vorhanden) sind zu dokumentieren und im eigenem Labor oder bei Vertragspartnern zu entwickeln. Digitale Aufnahmen sind sicher (Zugriffsberechtigung/Verschlüsselung) zu handhaben und nach Transfer vom ursprünglichen Datenträger zu löschen.

7.5 Präsentationen gegenüber Dritten sind grundsätzlich untersagt. Ist im besonderen Fall dies zur Auftragserfüllung erforderlich, muss dies in einem gesicherten Bereich durchgeführt und mit dem Projektverantwortlichen abgestimmt werden.

7.6 Versuchsfahrten/Tests sind vorwiegend auf den Testgeländen durchzuführen. Fahrten auf öffentlichen Straßen bedürfen einer Freigabe des Auftraggebers. Tarnungen am Fahrzeug sind nur in Absprache mit dem Auftraggeber/Projektverantwortlichem zu entfernen. Der Informationsschutzbeauftragte des Auftraggebers ist zu informieren.

7.7 Nach Aufhebung der Geheimhaltung sind alle relevanten sensitiven Daten auf Aufrechterhaltung der Vertraulichkeit (z.B. in einem anderen Entwicklungsprojekt) zu prüfen.

7.8 Nach Aufhebung der Geheimhaltung bestehen meistens noch weitere Einschränkungen für das Produkt. Diese werden von der BMW Projektleitung definiert und müssen eingehalten werden.

7.9 Darüber hinaus haben die Projekt-/Produktverantwortlichen an die Nutzer den jeweils aktuellen Stand zum

• Handling (Schutzmaßnahmen)
• Transport (Regelungen)

zu kommunizieren.

Datenschutzrechtlicher Hinweis für das BMW Group Partner Portal

Dieser datenschutzrechtliche Hinweis gilt für den Internetdienst BMW Group Partner Portal (nachfolgend "Portal" genannt), der durch die BMW AG (nachfolgend "BMW" genannt) auf der Website https://b2b.bmw.com angebotenen wird.

Für die Mitarbeiter der BMW AG und deren verbundenen Unternehmen erfolgt der Zugang über das BMW Intranet über die Website https://b2b.bmwgroup.net.

Die im Rahmen der Registrierung und Nutzung des Portals erhobenen personenbezogenen Daten des Nutzers werden zum Zweck der Vertragsabwicklung entsprechend den deutschen Datenschutzbestimmungen verarbeitet und genutzt.

Persönlicher Datenschutz

Für die Gewährleistung der erforderlichen Vertraulichkeit der Kommunikation ist es erforderlich, personenbezogene Daten (Personendaten) zu erheben, zu verarbeiten und zu übermitteln.
BMW stellt die Einhaltung international anerkannter Datenschutz-Standards sicher und trägt Sorge, dass das mit der Datenverarbeitung betraute Personal den Sicherheits- und Vertraulichkeitsstandards gerecht wird.
Es werden Daten nur in der im Folgenden beschriebenen Weise erhoben, übermittelt und verarbeitet. Sollte sich der Nutzungsumfang ändern, so wird BMW die Nutzer darüber in angemessener Weise und rechtzeitig informieren und, sofern erforderlich, ihr Einverständnis einholen.

Umfang der Verarbeitung von Personendaten

Die Nutzung des öffentlichen Teils des Portals ist ohne Offenlegung der Identität möglich.
Der Zugriff auf die nicht-öffentlichen Seiten des Portals ist beschränkt auf die Mitarbeiter von BMW und deren verbundene Unternehmen und die von BMW bestimmten Partnerunternehmen weltweit und bedarf der vorangehenden Registrierung.
Zur ordnungsgemäßen Leistungserbringung und zur sicheren Identifizierung und Autorisierung des Nutzers werden für das nicht-öffentliche Informationsangebot folgende Angaben über die Nutzer erhoben und gespeichert:

• Firmenname, Postadresse und Lieferantennummer des Arbeitgebers
• Name, Stellenbezeichnung, Organisationseinheit, Telefonnummer und E-Mail-Adresse
• Online-Identifikation (Benutzername) und Passwort
• Applikationsbezogene persönliche Konfigurationseinstellungen und Präferenzen.

Alle personenbezogenen Daten werden während der Registrierung erhoben und sind vom Nutzer persönlich zu bestätigen. Es werden keine Daten aus anderen Quellen wie öffentlichen Verzeichnisdiensten oder externen Informationsanbietern erhoben.
BMW behält sich als Anbieter dieses Portals das Recht vor, die in den Nutzeranmeldungen enthaltenen Daten eingehend zu prüfen und Anmeldebegehren abzulehnen, bzw. den Zugang ganz oder teilweise - auch kurzfristig - zu sperren.
BMW wird keine Personendaten Dritten zugänglich machen. Jedoch ist es Nutzern möglich, Personendaten über das Kommunikationsangebot in Eigenverantwortung zu verteilen.

Teilnehmerverzeichnis

Um das Kommunikationsangebot aufrecht erhalten zu können, stellt BMW einen zentralen Verzeichnisdienst für alle Teilnehmer zur Verfügung.
Dieser Verzeichnisdienst enthält die zum Aufbau von Kommunikationsbeziehungen erforderlichen Personendaten. BMW wird den Umfang dieser Daten so gering wie möglich halten.
Die Aufnahme von Personendaten in den zentralen Verzeichnisdienst erfolgt nur mit vorangehender Zustimmung der entsprechenden Personen entsprechend der Datenschutzrechtlichen Einwilligungserklärung durch den Nutzer. Die Einwilligung erfolgt freiwillig und kann jederzeit widerrufen werden.

Sicherheit und Vertraulichkeit

BMW setzt umfangreiche Schutzmaßnahmen technischer und organisatorischer Art ein, um einen Missbrauch zu verhindern, insbesondere durch:

• unbefugte Modifikation oder Weitergabe von vertraulichen Informationen
• Datenverlust durch unautorisierte Löschung oder Systemausfälle.

Logging von Personendaten

BMW protokolliert im Rahmen der automatischen Datenverarbeitung der über das Portal ansprechbaren Anwendungen auch personenbezogene Daten zu folgenden Zwecken:

• Zur Nutzerverwaltung und -authentisierung
• Zur Aufrechterhaltung des Betriebs und gezielten Fehlersuche (Datensicherheit).

Zugriff auf die Logdaten haben nur einige ausgewählte Personen, diese sind auf das Datengeheimnis verpflichtet.

Datenübermittlung ins Ausland

Da die am Portal teilnehmenden Unternehmen der BMW AG und deren verbundene Unternehmen weltweit ansässig sind, kann auch ein Transfer personenbezogener Daten in Staaten außerhalb der Europäischen Union stattfinden, in denen ein angemessenes Datenschutzniveau möglicherweise nicht gewährleistet ist.

Anonyme Daten und Cookies

BMW verwendet Cookies zum Session Handling. Erst dadurch wird es möglich, Aktionen verlässlich einem bestimmten Nutzer zuzuordnen und Zugriffsberechtigungen zu etablieren. Die verwendeten Cookies finden nur für die Dauer einer Session Verwendung und enthalten als personenbezogenes Datum lediglich eine individuelle Session-ID welche zur späteren Nachweisbarkeit einem registrierten Nutzer zugeordnet werden kann.

Privatsphäre von Kindern

Das BMW Group Partner Portal ist für Kinder unzugänglich. BMW wird wissentlich keine Personendaten von Kindern unter 13 Jahren erheben oder aufzeichnen, ohne die vorherige Einwilligung des Erziehungsberechtigten einzuholen. BMW verpflichtet sich zur Einhaltung des Children's Online Protection Act des US-amerikanischen Rechtskreises.

Auskunfts- und Widerrufsrecht

BMW ermöglicht den Nutzern die jederzeitige Aktualisierung, Korrektur oder Sperrung von Informationen über die eigene Person zu initiieren.
Registrierte Nutzer können sich jederzeit und unentgeltlich über die über Ihre Person gespeicherten Daten informieren. Hierzu steht ein Selbstauskunftssystem im nicht-öffentlichen Teil des Informationsangebotes zur Verfügung. Alternativ können die am Ende dieses datenschutzrechtlichen Hinweises angegebenen Kontaktmöglichkeiten genutzt werden.
Erteilte Einwilligungen können jederzeit über das Portal-Menü 'Widerspruch Zugangsbedingungen' (unter 'Personalisierung') widerrufen werden.
Auskunftsersuchen sowie Widerrufe werden kostenfrei bearbeitet.

Anbieterkontakt

Bitte richten Sie Fragen oder Anregungen zu diesem datenschutzrechtlichen Hinweis an unsere Hotline. Sie erreichen uns per e-mail unter b2b.info@bmw.de.

Datenschutzrechtliche Einwilligungserklärung zum BMW Group Partner Portal durch den Nutzer

Ich erkläre mich mit der Erhebung, Verarbeitung und Nutzung von Daten zu meiner Person durch die BMW AG zum Zweck der Aufnahme der Daten in das Teilnehmerverzeichnis des BMW Group Partner Portals einverstanden. Mir ist bekannt, dass die Daten u.a. zur Sicherstellung der Identifizierung und Autorisierung der Nutzer gespeichert werden, um eine vertrauliche Kommunikation zwischen der BMW AG und den Partnerfirmen zu gewährleisten.

Folgende Daten werden über mich gespeichert:

• Firmenname, Postadresse und Lieferantennummer des Arbeitgebers
• Name, Stellenbezeichnung, Organisationseinheit, Telefonnummer und E-Mail-Adresse
• Online-Identifikation (Benutzername) und Passwort
• Applikationsbezogene persönliche Konfigurationseinstellungen und Präferenzen.

Die BMW AG protokolliert zu folgenden Zwecken auch personenbezogene Daten im Rahmen der automatischen Datenverarbeitung der über das Portal ansprechbaren Anwendungen:

• zur Nutzerverwaltung und -authentisierung
• zur Aufrechterhaltung des Betriebs und gezielten Fehlersuche (Datensicherheit).

Zugriff auf die Logdaten haben nur einige ausgewählte Personen, die auf das Datengeheimnis verpflichtet sind.

Meine Einwilligung umfasst auch die Verarbeitung und Nutzung dieser Daten durch die BMW AG und deren verbundene Unternehmen und die Übermittlung an Partner (Zulieferer) der BMW AG und deren verbundene Unternehmen im In- und Ausland, soweit diese Daten für den Aufbau und die Aufrechterhaltung von Kommunikationsbeziehungen erforderlich sind.

Die Abgabe dieser Erklärung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft über das Portal-Menü 'Widerspruch Zugangsbedingungen' (unter 'Personalisierung') widerrufen werden. Wird im Rahmen der Registrierung zum BMW Group Partner Portal keine Einwilligung zur Aufnahme in das Teilnehmerverzeichnis abgegeben, so ist eine Registrierung bzw. die Vergabe von Zugriffsberechtigungen für bestimmte Anwendungen u. U. nicht bzw. nur mit Einschränkungen möglich.

Den Datenschutzrechtlichen Hinweis für das BMW Group Partner Portal habe ich zur Kenntnis genommen, und ich erkläre mich mit dem Inhalt des Datenschutzrechtlichen Hinweises und dieser Datenschutzrechtlichen Einwilligungserklärung einverstanden.