Zusatzvereinbarung zur Auftragsverarbeitung
Zusatzvereinbarung zur Auftragsverarbeitung
Anlage 1 – Technisch-organisatorische Maßnahmen
Anlage 2 – Zusatzvereinbarung zur Weisungsbefugnis
Anlage 3 – Auflistung Art der Daten und Kategorien der betroffenen Personen
Zusatzvereinbarung zur Auftragsverarbeitung
Diese Zusatzvereinbarung zur Auftragsverarbeitung ist für alle Produkte und Dienstleistungen bindend, die über die Domain www.osticket.com.de von osTicket.com.de, Inh. Jens Eberle (im folgenden als Auftragsverarbeiter bezeichnet) angeboten werden und ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGBs). Beim Vertragsschluß zwischen dem Auftragsverarbeiter und dem Kunden (im folgenden Verantwortlicher bezeichnet) sind ausschließlich unten aufgeführte Vereinbarungen gültig, in der zur Zeit des Vertragsschlusses geltenden Fassung. Abweichende und/oder ergänzende Besimmungen seitens des Verantwortlichen, denen der Auftragsverarbeiter nicht ausdrücklich schriftlich zustimmt, sind für ihn nicht bindend, auch wenn er diesen nicht ausdrücklich schriftlich widerspricht.
1. Gegenstand und Dauer des Auftrags
- Gegenstand Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus den Verträgen ergeben, die zwischen den oben genannten Parteien geschlossen werden. Sie findet Anwendung auf alle Tätigkeiten, die mit den Verträgen in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen könnten.
- Dauer Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des abgeschlossenen Hauptvertrages, sofern dies nicht in der Anlage „Zusatzvereinbarungen“ gesondert angegeben wird.
2. Konkretisierung des Auftragsinhalts
- Zweck der vorgesehenen Verarbeitung von Daten Der Zweck der vorgesehenen Verarbeitung von Daten ergibt sich aus der Leistungsbeschreibung des Hauptvertrages, sowie aus den Leistungsvereinbarungen der zusätzlich geschlossenen Verträge der Vertragsparteien, sofern vorhanden.
- Ort der vorgesehenen Verarbeitung von Daten Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. EU-DSGVO erfüllt sind.
- Art der Daten Die Art der verwendeten personenbezogenen Daten ist in der Anlage 3 „Auflistung Art der Daten und Kategorien der betroffenen Personen“ angegeben.
- Kategorien betroffener Personen Die Kategorien der durch die Verarbeitung betroffenen Personen sind in der Anlage 3 „Auflistung Art der Daten und Kategorien der betroffenen Personen“ angegeben.
3. Technisch-organisatorische Maßnahmen
- Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
- Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DSGVO zu berücksichtigen [Einzelheiten in Anlage 2 „Technisch-organisatorische Maßnahmen“].
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet die technisch-organisatorischen Maßnahmen gemäß Anlage 1, ohne Zustimmung des Verantwortlichen, durch alternative adäquate Maßnahmen zu ersetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
- Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
- Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Der Auftragsverarbeiter ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragsverarbeiter dient Herr Jens Eberle (Kontaktdaten unter www.osticket.com.de).
- Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO.
- Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 EU-DSGVO [Einzelheiten in Anlage 2 „Technisch-organisatorische Maßnahmen“].
- Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
- Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
- Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
- Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
- Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungspflichten weitere Unternehmen zur Leistungserfüllung unterbeauftragt. Diese sind unter Punkt 6-(5) dieser Zusatzvereinbarung angegeben. Der Auftragsverarbeiter darf darüber hinaus weitere Unterauftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Verantwortlichen beauftragen.
- Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
- Erteilt der Auftragsverarbeiter Aufträge an Unterauftragsverarbeiter, so obliegt es dem Auftragsverarbeiter, seine Pflichten aus diesem Vertrag dem Unterauftragsverarbeiter zu übertragen. Dies gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages.
-
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter
Zuhilfenahme folgender vom Verantwortlichen akzeptierter Unterauftragsverarbeiter durchgeführt:
- Aufgabe: Bereitstellung und Überwachung unserer Server
Name und Anschrift des Unterauftragsverarbeiters:
IP-Projects GmbH & Co KG, Michael Schinzel, Am Vogelherd 14, 97295 Waldbrunn
Unterauftragsverarbeiter dieses Unternehmens:- Aufgabe: Colocation
Name und Anschrift des Unterauftragsverarbeiters:
Accelerated IT Services GmbH, Kruppstraße 105, 60388 Frankfurt am Main, Telefon: 069 / 900 180 0, info@accelerated.de
- Aufgabe: Colocation
- Aufgabe: Bereitstellung und Überwachung unserer Server
Name und Anschrift des Unterauftragsverarbeiters:
Keyweb AG, Neuwerkstraße 45/46, D-99084 Erfurt - Aufgabe: Bereitstellung und Überwachung unserer Server
Name und Anschrift des Unterauftragsverarbeiters:
Contabo GmbH, Aschauer Straße 32a, 81549 München - Bei PayPal-Zahlungen
Aufgabe: Zahlungsabwicklung
Name und Anschrift des Unterauftragsverarbeiters:
PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg - Bei den Zahlungsarten Lastschrift und Kreditkarte
Aufgabe: Zahlungsabwicklung
Name und Anschrift des Unterauftragsverarbeiters:
Unzer GmbH (ehemals Heidelpay GmbH), Vangerowstraße 18, D–69115 Heidelberg
zusätzlich bei Kreditkartenzahlungen:
Unzer Luxembourg S.A. (ehemals Heidelpay S.A.), société anonyme 1, place du Marché L-6755 Grevenmacher
- Aufgabe: Bereitstellung und Überwachung unserer Server
- Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
7. Kontrollrechte des Verantwortlichen
- Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
- Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 EU-DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
-
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 EU-DSGVO
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
- Für die Ermöglichung von Kontrollen durch den Verantwortlichen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen.
8. Pflichten des Verantwortlichen
- Der Verantwortliche und der Auftragsverarbeiter sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.
- Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
9. Mitteilung bei Verstößen des Auftragsverarbeiters
-
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der
EU-DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen,
Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden
- die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
- die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung
- die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
- Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen.
10. Weisungsbefugnis des Verantwortlichen
- Weisungen des Verantwortlichen an den Auftragsverarbeiter müssen schriftlich erfolgen.
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
- Weisungsbefugte Personen des Verantwortlichen sind in der Anlage 2 „Zusatzvereinbarung zur Weisungsbefugnis“ angegeben. Verliert eine dieser Personen, bzw. erhält eine neue Person das Weisungsrecht gegenüber dem Auftragsverarbeiter (z.B. durch Beendigung bzw. Aufnahme des Arbeitsverhältnisses beim Verantwortlichen), ist dies dem Auftragsverarbeiter unverzüglich schriftlich mitzuteilen.
11. Löschung und Rückgabe von personenbezogenen Daten
- Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
- Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten, sofern es keine andere Weisung des Verantwortlichen diesbezüglich gibt.
- Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
- Der Auftragsverarbeiter behält sich das Recht vor, die Kosten für die Bereitstellung der personenbezogenen Daten zum Ende der Leistungsvereinbarung in Rechnung zu stellen.
- Sollten Sicherheit oder Verfügbarkeit der Daten vom Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse möglicherweise gefährdet sein, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu unterrichten und dem Verantwortlichen alle erforderlichen Auskünfte zur Sicherung der Daten selbst sowie ihrer Verfügbarkeit erteilen.
12. Schlussbestimmungen
- Soweit in dieser Zusatzvereinbarung nichts Abweichendes geregelt ist, gelten die Bestimmungen der jeweiligen Leistungsvereinbarung und die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters. Diese gelten auch entsprechend für etwaige Regelungslücken dieser Vereinbarung.
- Änderungen und Ergänzungen dieser Zusatzvereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Anlage 1 – Technisch-organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)
In diesem Dokument beschreiben wir die wesentlichen technischen und organisatorischen Sicherheitsmaßnahmen, die wir zum Schutz Ihrer Daten ergreifen. Aus Sicherheitsgründen geben wir nur eine allgemeine Beschreibung, denn der beste Schutz Ihrer Daten ist die Geheimhaltung der genauen Sicherheitsmaßnahmen. Soweit erforderlich, sinnvoll und wirtschaftlich werden die wesentlichen Systeme mit den beschriebenen Maßnahmen ganz oder teilweise ausgestattet. Die Sicherheit und Verfügbarkeit unserer genutzten Rechenzentren wird regelmäßig nach DIN ISO 27001 geprüft. Datenschutz und Datensicherheit sind für uns von zentraler Bedeutung. Die Sicherheitsmaßnahmen werden kontinuierlich an den technischen Fortschritt und die aktuellen Gefährdungsszenarien angepasst.
Zutrittskontrolle
Unsere Rechenzentrumsgebäude sind durch Türsicherungen (z.B. Sicherheitsschlösser, elektronische Türöffner usw.) gesichert. Der Zutritt über die vorgesehenen Zutrittswege ist nur autorisierten Personen möglich und werden durch Wachschutz, Video- und Alarmanlagen gesichert. Zutrittsberechtigte Mitarbeiter sind organisatorisch festgelegt, Zutrittsberechtigungen werden nur entsprechend der Organisationsanweisung vergeben.
Zugangskontrolle
Der Zugang zu Systemen erfolgt mit Authentifizierung durch individuelle Benutzerkennung und Passwort. Berechtigungen werden nach einem Zugangsberechtigungskonzept vergeben, die Passwörter müssen den Sicherheitsanforderungen nach ISO 27001 genügen. Die Systeme sind gegen unberechtigten Zugang z.B. durch eine Firewall gesichert.
Zugriffskontrolle
Die Berechtigungen sind in den IT-Systemen festgelegt und werden restriktiv vergeben. Alle Mitarbeiter und beauftragte Partner des Auftragsverarbeiters sind gemäß EU-DSGVO zur Einhaltung der datenschutzrechtlichen Gesetze und Regelungen verpflichtet und entsprechend geschult. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt.
Trennungskontrolle
Die Daten sind physikalisch oder logisch / virtuell von anderen Daten getrennt. Die Datensicherung erfolgt auf physikalisch oder virtuell getrennten Einheiten. Eine gemeinsame oder übergreifende Verarbeitung von personenbezogenen Daten verschiedener Kunden ist technisch und programmtechnisch ausgeschlossen.
2. Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)
Weitergabekontrolle
Alle unsere Mitarbeiter werden zum Datengeheimnis verpflichtet. Soweit erforderlich werden die Daten gegen Zugriffe geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenexport gesichert.
Eingabekontrolle
Die Daten werden vom Verantwortlichen selbst eingegeben. Wir nehmen Sperrungen aus rechtlichen oder technischen Gründen sowie im Falle des Zahlungsverzuges vor. Die Vornahme von Sperrungen wird protokolliert.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)
Verfügbarkeitskontrolle
Die Rechenzentren verfügen über eine unterbrechungsfreie Stromversorgung durch Batterien und Dieselaggregate. Die Primärtechnik und die wesentliche Sekundärtechnik ist redundant aufgebaut. Backups werden regelmäßig erstellt und die Daten auf getrennten Systemen gespeichert. Wiederherstellungsmöglichkeiten bei Datenverlust sind vorgesehen. Brandmeldeanlagen, Löschanlagen und ein Notfallplan für die verschiedenen Gefährdungsszenarien sorgen für den physikalischen Schutz Ihrer Daten.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)
Auftragskontrolle
Die Auswahl unserer Auftragsverarbeiter werden unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich der Datensicherheit ausgewählt und durch schriftliche Weisungen (z.B. durch Auftragsverarbeitungsvertrag) verpflichtet. Die Mitarbeiter des Auftragsverarbeiters sind zum Datengeheimnis verpflichtet.
Anlage 2 – Zusatzvereinbarung zur Weisungsbefugnis
Möchten Sie weitere Personen Weisungsbefugnis gegenüber dem Auftragsverarbeiter einräumen, füllen Sie bitte die Anlage 2 - Zusatzvereinbarung zur Weisungsbefugnis aus. Bitte reichen Sie diese Anlage ausgefüllt und vom Verantwortlichen (Vertragsinhaber) unterschrieben beim Auftragsverarbeiter (Dienstleister) ein. Möchten Sie keinen weiteren Personen Weisungsbefugnis erteilen, müssen Sie diese Anlage nicht ausfüllen.
Zusatzvereinbarung zur Weisungsbefugnis
Anlage 3 – Auflistung Art der Daten und Kategorien der betroffenen Personen
In Punkt 2.3 der "Zusatzvereinbarung zur Auftragsverarbeitung" werden unter Art der Daten
folgende Daten bereits angegeben:
- Adress- und Kontaktdaten
- Authentifizierungsdaten
In Punkt 2.4 der "Zusatzvereinbarung zur Auftragsverarbeitung" werden unter Kategorien
betroffener Personen bereits angegeben:
- Interessenten
- Kunden
- Mitarbeiter
Möchten Sie darüber hinaus weitere Arten der Daten oder weitere Kategorien der betroffenen Personen angeben, verwenden Sie bitte diese Anlage zur Zusatzvereinbarung, um die Vertragsdaten zu vervollständigen. Bitte reichen Sie diese Anlage ausgefüllt und vom Verantwortlichen (Vertragsinhaber) unterschrieben beim Auftragsverarbeiter (Dienstleister) ein. Werden Ihre Bereiche bereits abgedeckt, müssen Sie diese Anlage nicht ausfüllen.
Auflistung Art der Daten und Kategorien der betroffenen Personen
Stand der Zusatzvereinbarung zur Auftragsverarbeitung: 01.07.2023 (v1.5)