Mit der Nutzung unserer Website stimmen Sie dem Einsatz von Cookies und unserer Datenschutzerklärung zu.

 
Zusatzvereinbarung zur Auftragsverarbeitung
Anlage 1 – Technisch-organisatorische Maßnahmen
Anlage 2 – Zusatzvereinbarung zur Weisungsbefugnis
Anlage 3 – Auflistung Art der Daten und Kategorien der betroffenen Personen

 

Zusatzvereinbarung zur Auftragsverarbeitung

 

Diese Zusatzvereinbarung zur Auftragsverarbeitung ist für alle Produkte und Dienstleistungen bindend, die über die Domain www.osticket.com.de von osTicket.com.de, Inh. Jens Eberle (im folgenden als Auftragsverarbeiter bezeichnet) angeboten werden und ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGBs). Beim Vertragsschluß zwischen dem Auftragsverarbeiter und dem Kunden (im folgenden Verantwortlicher bezeichnet) sind ausschließlich unten aufgeführte Vereinbarungen gültig, in der zur Zeit des Vertragsschlusses geltenden Fassung. Abweichende und/oder ergänzende Besimmungen seitens des Verantwortlichen, denen der Auftragsverarbeiter nicht ausdrücklich schriftlich zustimmt, sind für ihn nicht bindend, auch wenn er diesen nicht ausdrücklich schriftlich widerspricht.

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand
Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus den Verträgen ergeben, die zwischen dem Auftragsverarbeiter und dem Verantwortlichen geschlossen werden. Sie findet Anwendung auf alle Tätigkeiten, die mit den Verträgen in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen könnten.
(2) Dauer
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Verträge, die an die Allgemeinen Geschäftsbedingungen gebunden sind.

2. Konkretisierung des Auftragsinhalts

(1) Zweck der vorgesehenen Verarbeitung von Daten
Der Zweck der vorgesehenen Verarbeitung von Daten ergibt sich aus der Leistungsbeschreibung des Hauptvertrages, sowie aus den Leistungsvereinbarungen der zusätzlich geschlossenen Verträge der Vertragsparteien, sofern vorhanden.
(2) Ort der vorgesehenen Verarbeitung von Daten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind.
(3) Art der Daten
Die Art der verwendeten personenbezogenen Daten sind Adress-, Kontakt-, Kommunikations- und Authentifizierungsdaten und können unter Verwendung der Anlage 3 „Auflistung und der personenbezogenen Daten und Zweck Ihrer Verarbeitung“ vom Verantwortlichen ergänzt werden.
(4) Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen sind Interessenten, Kunden und Mitarbeiter und könnnen in der Anlage 3 „Auflistung Art der Daten und Kategorien der betroffenen Personen“ ergänzt werden.

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragsverarbeiter hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage „Technisch-organisatorische Maßnahmen“].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet die technisch-organisatorischen Maßnahmen gemäß Anlage 1, ohne Zustimmung des Verantwortlichen, durch alternative adäquate Maßnahmen zu ersetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
(1) Der Auftragsverarbeiter ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragsverarbeiter dient Herr Jens Eberle
(Kontaktdaten unter www.osticket.com.de).
(2) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO.
(3) Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
(4) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage „Technisch-organisatorische Maßnahmen“].
(5) Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
(6) Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
(7) Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
(8) Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
(9) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungspflichten verbundene Unternehmen des Auftragsverarbeiters zur Leistungserfüllung heranzieht bzw. dritte Unternehmen mit Leistungen unterbeauftragt.
(3) Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(4) Erteilt der Auftragsverarbeiter Aufträge an Unterauftragnehmer, so obliegt es dem Auftragsverarbeiter, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Dies gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages.
(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Verantwortlichen (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
(2) Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(4) Für die Ermöglichung von Kontrollen durch den Verantwortlichen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen.

8. Pflichten des Verantwortlichen

(1) Der Verantwortliche und der Auftragsverarbeiter sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.
(2) Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses gem. § 4g Abs. 2 S. 2 BDSG liegt beim Verantwortlichen.
(4) Dem Verantwortlichen obliegen die aus § 42a BDSG resultierenden Informationspflichten.

9. Mitteilung bei Verstößen des Auftragsverarbeiters

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen.

10. Weisungsbefugnis des Verantwortlichen

(1) Weisungen des Verantwortlichen an den Auftragsverarbeiter müssen schriftlich erfolgen.
(2) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
(3) Weisungsbefugt ist ausschließlich die Person, mit der der Vertrag geschlossen wurde. Weitere weisungsbefugte Personen können in der Anlage 2 „Zusatzvereinbarung zur Weisungsbefugnis“ angegeben werden. Sollen weitere Personen die Weisungsbefugnis erhalten, ist die Anlage 2 "Zusatzvereinbarung zur Weisungsbefugnis" vom Verantwortlichen auszufüllen und unterschrieben beim Auftragsverarbeiter einzureichen. Verliert eine dieser Personen, bzw. erhält eine neue Person das Weisungsrecht gegenüber dem Auftragsverarbeiter (z.B. durch Beendigung bzw. Aufnahme des Arbeitsverhältnisses beim Verantwortlichen), ist dies dem Auftragsverarbeiter unverzüglich schriftlich mitzuteilen.

11. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten bzw. Dienstleistungen oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten, sofern es keine andere Weisung des Verantwortlichen diesbezüglich gibt.
(3) Der Auftragsverarbeiter behält sich das Recht vor, die Kosten für die Bereitstellung der personenbezogenen Daten zum Ende der Leistungsvereinbarung in Rechnung zu stellen.

12. Informationspflichten, Annahmeerklärung, Schriftformklausel, AGB

(1) Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen als „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes liegen.
(2) Der Verantwortliche verzichtet auf die Erklärung der Annahme durch den Auftragsverarbeiter
(§ 151 Satz 1 BGB).
(3) Änderungen und Ergänzungen dieser Zusatzvereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(4) Im Übrigen gelten die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.

 

Anlage 1 – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

In diesem Dokument beschreiben wir die wesentlichen technischen und organisatorischen Sicherheitsmaßnahmen, die wir zum Schutz Ihrer Daten ergreifen. Aus Sicherheitsgründen geben wir nur eine allgemeine Beschreibung, denn der beste Schutz Ihrer Daten ist die Geheimhaltung der genauen Sicherheitsmaßnahmen. Soweit erforderlich, sinnvoll und wirtschaftlich werden die wesentlichen Systeme mit den beschriebenen Maßnahmen ganz oder teilweise ausgestattet. Die Sicherheit und Verfügbarkeit unserer genutzten Rechenzentren wird regelmäßig nach DIN ISO 27001 geprüft. Datenschutz und Datensicherheit sind für uns von zentraler Bedeutung. Die Sicherheitsmaßnahmen werden kontinuierlich an den technischen Fortschritt und die aktuellen Gefährdungsszenarien angepasst.

Zutrittskontrolle

Unsere Rechenzentrumsgebaude sind durch Türsicherungen (z.B. Sicherheitsschlosser, elektronische Türoffner usw.) gesichert. Der Zutritt über die vorgesehenen Zutrittswege ist nur autorisierten Personen moglich und werden durch Wachschutz, Video- und Alarmanlagen gesichert. Zutrittsberechtigte Mitarbeiter sind organisatorisch festgelegt, Zutrittsberechtigungen werden nur entsprechend der Organisationsanweisung vergeben.

Zugangskontrolle

Der Zugang zu Systemen erfolgt mit Authentifizierung durch individuelle Benutzerkennung und Passwort. Berechtigungen werden nach einem Zugangsberechtigungskonzept vergeben, die Passworter müssen den Sicherheitsanforderungen nach ISO 27001 genügen. Die Systeme sind gegen unberechtigten Zugang z.B. durch eine Firewall gesichert.

Zugriffskontrolle

Die Berechtigungen sind in den IT-Systemen festgelegt und werden restriktiv vergeben. Alle Mitarbeiter und beauftragte Partner des Auftragsverarbeiters sind gemäß BDSG zur Einhaltung der datenschutzrechtlichen Gesetze und Regelungen verpflichtet und entsprechend geschult. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt.

Trennungskontrolle

Die Daten sind physikalisch oder logisch / virtuell von anderen Daten getrennt. Die Datensicherung erfolgt auf physikalisch oder virtuell getrennten Einheiten. Eine gemeinsame oder übergreifende
Verarbeitung von personenbezogenen Daten verschiedener Verantwortlichen ist technisch und programmtechnisch ausgeschlossen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Alle unsere Mitarbeiter werden auf das Datengeheimnis nach § 5 BDSG verpflichtet. Soweit erforderlich werden die Daten gegen Zugriffe geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenexport gesichert.

Eingabekontrolle

Die Daten werden vom Verantwortlichen selbst eingegeben. Wir nehmen Sperrungen aus rechtlichen oder technischen Gründen sowie im Falle des Zahlungsverzuges vor. Die Vornahme von Sperrungen wird protokolliert.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Die Rechenzentren verfügen über eine unterbrechungsfreie Stromversorgung durch Batterien und Dieselaggregate. Die Primartechnik und die wesentliche Sekundartechnik ist redundant aufgebaut. Backups werden regelmäßig erstellt und die Daten auf getrennten Systemen gespeichert. Wiederherstellungsmoglichkeiten bei Datenverlust sind vorgesehen. Brandmeldeanlagen, Loschanlagen und ein Notfallplan für die verschiedenen Gefahrdungsszenarien sorgen für den physikalischen Schutz Ihrer Daten.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Der Auftragsverarbeiter wird bis 25.05.2018 ein Datenschutz Management System gemäß der EU DSGVO einführen.

Auftragskontrolle

Die Auswahl unserer Auftragsverarbeiter werden unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich der Datensicherheit ausgewählt und durch schriftliche Weisungen (z.B. durch Auftragsdatenverarbeitungsvertrag) i.S.d. § 11 Abs. 2 BDSG verpflichtet. Zur Überwachung des Datenschutzes hat der Auftragsverarbeiter einen Datenschutzbeauftragten bestellt. Die Mitarbeiter des Auftragsverarbeiters sind auf das Datengeheimnis (§ 5 BDSG) verpflichtet.

 

Anlage 2 – Zusatzvereinbarung zur Weisungsbefugnis

 

Möchten Sie weitere Personen Weisungsbefugnis gegenüber dem Auftragsverarbeiter einräumen, füllen Sie bitte die Anlage 2 - Zusatzvereinbarung zur Weisungsbefugnis aus. Bitte reichen Sie diese Anlage ausgefüllt und vom Verantwortlichen (Vertragsinhaber) unterschrieben beim Auftragsverarbeiter (Dienstleister) ein. Möchten Sie keinen weiteren Personen Weisungsbefugnis erteilen, müssen Sie diese Anlage nicht ausfüllen.

Zusatzvereinbarung zur Weisungsbefugnis

 

Anlage 3 – Auflistung Art der Daten und Kategorien der betroffenen Personen

 

In Punkt 2.3 der "Zusatzvereinbarung zur Auftragsverarbeitung" werden unter Art der Daten folgende Daten bereits angegeben:
- Adress- und Kontaktdaten
- Authentifizierungsdaten

In Punkt 2.4 der "Zusatzvereinbarung zur Auftragsverarbeitung" werden unter Kategorien betroffener Personen bereits angegeben:
- Interessenten
- Kunden
- Mitarbeiter

Möchten Sie darüber hinaus weitere Arten der Daten oder weitere Kategorien der betroffenen Personen angeben, verwenden Sie bitte diese Anlage zur Zusatzvereinbarung, um die Vertragsdaten zu vervollständigen. Bitte reichen Sie diese Anlage ausgefüllt und vom Verantwortlichen (Vertragsinhaber) unterschrieben beim Auftragsverarbeiter (Dienstleister) ein. Werden Ihre Bereiche bereits abgedeckt, müssen Sie diese Anlage nicht ausfüllen.

Auflistung Art der Daten und Kategorien der betroffenen Personen

 

Stand der Zusatzvereinbarung zur Auftragsverarbeitung: 25.05.2018