Auftragsverarbeitungsvertrag

zwischen

Kunde in Übereinstimmung mit den AGB als Verantwortlicher (im Folgenden "Verantwortlicher"),

und

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland als Auftragsverarbeiter (im Folgenden "Auftragsverarbeiter" genannt), Verantwortlicher und Auftragsverarbeiter (gemeinsam die "Parteien")

Präambel

Der Verantwortliche hat den Auftragsverarbeiter in den AGB (im Folgenden "Hauptvertrag" genannt) mit den darin genannten Leistungen beauftragt. Teil der Vertragserfüllung ist die Verarbeitung personenbezogener Daten. Insbesondere Art. 28 DSGVO stellt besondere Anforderungen an eine solche Auftragsverarbeitung. Um diesen Anforderungen gerecht zu werden, schließen die Parteien den folgenden Vertrag über die Auftragsverarbeitung (im Folgenden "Vertrag" genannt), dessen Erfüllung nicht gesondert vergütet wird, es sei denn, es wurde ausdrücklich vereinbart.

§ 1 Begriffsbestimmungen

(1) Gemäß Art. 4 (7) DSGVO ist der Verantwortliche die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

(2) Gemäß Art. 4 (8) DSGVO ist ein Auftragsverarbeiter, eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Gemäß Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten gemäß Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Personen hervorgehen, personenbezogene Daten gemäß Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, sowie genetische Daten gemäß Art. 4 (13) DSGVO, biometrische Daten gemäß Art. 4 (14) DSGVO, Gesundheitsdaten gemäß Art. 4 (15) DSGVO sowie Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

(5) Nach Art. 4 Abs. 2 DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.

(6) Gemäß Artikel 4 Absatz 21 DSGVO ist die Aufsichtsbehörde eine unabhängige staatliche Stelle, die von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtet wurde.

§ 2 Vertragsgegenstand

(1) Der Auftragsverarbeiter erbringt die im Hauptvertrag genannten Leistungen für den Verantwortlichen. Dabei erhält der Auftragsverarbeiter Zugang zu personenbezogenen Daten, die er ausschließlich im Auftrag und nach Weisung des Verantwortlichen für den Verantwortlichen verarbeitet. Der Umfang und der Zweck der Auftragsverarbeitung durch den Auftragsverarbeiter sind im Hauptvertrag und den dazugehörigen Leistungsbeschreibungen festgehalten. Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Auftragsverarbeitung verantwortlich.

(2) Die Parteien schließen diese Vereinbarung, um die gegenseitigen datenschutzrechtlichen Rechte und Pflichten festzulegen. Im Zweifelsfall haben die Bestimmungen dieser Vereinbarung Vorrang vor den Bestimmungen des Hauptvertrags.

(3) Die Bestimmungen dieses Vertrages gelten für alle Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen der Auftragsverarbeiter und seine Mitarbeiter oder von ihm beauftragte Personen mit personenbezogenen Daten in Berührung kommen, die von dem Verantwortlichen stammen oder für den Verantwortlichen erhoben wurden.

(4) Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, soweit sich nicht aus den nachfolgenden Bestimmungen weitere Verpflichtungen oder Kündigungsrechte ergeben.

§ 3 Weisungsrecht

(1) Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und nach den Weisungen des Verantwortlichen erheben, verarbeiten oder nutzen. Ist der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Weiterverarbeitung verpflichtet, so hat er den Verantwortlichen vor der Verarbeitung auf diese rechtlichen Anforderungen hinzuweisen.

(2) Die Weisungen der verantwortlichen Stelle werden zunächst durch diesen Vertrag bestimmt. Danach können sie des Verantwortlichen in Schrift- oder Textform durch Einzelweisungen (Einzelweisungen) geändert, ergänzt oder ersetzt werden. Der Verantwortliche ist berechtigt, solche Weisungen jederzeit zu erteilen. Dazu gehören auch Weisungen hinsichtlich der Berichtigung, Löschung und Sperrung von Daten.

(3) Alle erteilten Weisungen sind vom Verantwortlichen zu dokumentieren. Weisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, so hat er dies dem Verantwortlichen unverzüglich mitzuteilen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie des Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter kann sich weigern, eine offensichtlich rechtswidrige Weisung auszuführen.

§ 4 Arten der verarbeiteten Daten, Gruppe der betroffenen Personen, Drittland

(1) Im Rahmen der Durchführung des Hauptvertrages hat der Auftragsverarbeiter Zugriff auf die in Anhang 1 näher bezeichneten personenbezogenen Daten.

(2) Der von der Auftragsverarbeitung betroffene Personenkreis ist in Anhang 1 aufgeführt.

(3) Eine Übermittlung personenbezogener Daten in ein Drittland kann unter den Voraussetzungen der Art. 44 ff. DSGVO erfolgen.

§ 5 Schutzmaßnahmen des Auftragsverarbeiters

(1) Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen zum Datenschutz zu beachten und die aus dem Bereich der verantwortlichen Stelle gewonnenen Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind unter Berücksichtigung des Standes der Technik gegen die Kenntnisnahme durch Unbefugte zu sichern.

(2) Der Auftragsverarbeiter hat die interne Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Anlage 2 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gemäß Art. 32 DSGVO getroffen, die der Verantwortliche als angemessen anerkennt. Der Auftragsverarbeiter behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern und dabei sicherzustellen, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Den bei der Auftragsverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter verpflichtet alle von ihm mit der Verarbeitung und Erfüllung dieses Vertrages betrauten Personen (im Folgenden "Mitarbeiter") entsprechend (Verschwiegenheitspflicht, Art. 28 (3) lit. b DSGVO) und sorgt mit der gebotenen Sorgfalt für die Einhaltung dieser Verpflichtung.

(4) Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte des Auftragsverarbeiters ist die heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Informationspflichten des Auftragsverarbeiters

(1) Bei Störungen, vermuteten Datenschutzverletzungen oder Verstößen gegen vertragliche Pflichten des Auftragsverarbeiters, vermuteten sicherheitsrelevanten Vorfällen oder sonstigen Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, durch von ihm im Rahmen des Auftrags eingesetzte Personen oder durch Dritte hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Das Gleiche gilt für Überprüfungen des Auftragsverarbeiters durch die Datenschutzaufsichtsbehörde. Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss mindestens die folgenden Angaben enthalten:

(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der betroffenen Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Daten;

(b) eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes und gegebenenfalls Maßnahmen zur Abmilderung seiner möglichen nachteiligen Auswirkungen;

(c) eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten.

(2) Der Auftragsverarbeiter ergreift unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Abmilderung möglicher nachteiliger Folgen für die betroffenen Personen, unterrichtet den Verantwortlichen darüber und fordert weitere Anweisungen an.

(3) Darüber hinaus ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen jederzeit Auskunft zu erteilen, soweit Daten des Verantwortlichen von einer Verletzung nach Absatz 1 betroffen sind.

(4) Der Auftragsverarbeiter hat den Verantwortlichen über wesentliche Änderungen der Sicherheitsmaßnahmen nach § 5 Abs. 2 zu unterrichten.

§ 7 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche kann sich vor Beginn der Auftragsverarbeitung und danach regelmäßig einmal jährlich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Zu diesem Zweck kann der Verantwortliche z.B. Auskünfte bei dem Auftragsverarbeiter einholen, vorhandene Bescheinigungen von Sachverständigen, Zertifizierungen oder interne Audits einholen oder nach rechtzeitiger Abstimmung die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters während der üblichen Geschäftszeiten persönlich überprüfen oder durch einen fachkundigen Dritten überprüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Verantwortliche führt die Kontrollen nur in dem erforderlichen Umfang durch und darf dabei den Betrieb des Auftragsverarbeiters nicht unverhältnismäßig stören.

(2) Der Auftragsverarbeiter verpflichtet sich, der verantwortlichen Stelle auf deren mündliche oder schriftliche Anfrage innerhalb einer angemessenen Frist alle Informationen und Nachweise zur Verfügung zu stellen, die zur Überprüfung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.

(3) Der für die Verarbeitung Verantwortliche dokumentiert die Ergebnisse der Inspektion und teilt sie dem Auftragsverarbeiter mit. (4) Stellt der Verantwortliche insbesondere bei der Kontrolle der Ergebnisse der Kontrolle Fehler oder Unregelmäßigkeiten fest, so hat sie den Auftragsverarbeiter unverzüglich zu unterrichten. Werden bei der Kontrolle Tatsachen festgestellt, deren künftige Vermeidung eine Änderung des angeordneten Verfahrens erfordert, so teilt der Verantwortliche dem Auftragsverarbeiter unverzüglich die erforderlichen Verfahrensänderungen mit.

§ 8 Inanspruchnahme von Dienstleistern

(1) Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 3 genannten Dienstleister (im Folgenden "Unterauftragsverarbeiter") erbracht. Der Verantwortliche erteilt dem Auftragsverarbeiter seine allgemeine Ermächtigung im Sinne von Art. 28 Abs. 2 S. 1 DSGVO, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverarbeiter zu beauftragen oder bereits beauftragte Unterauftragsverarbeiter zu ersetzen.

(2) Der Auftragsverarbeiter hat den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf die Einschaltung oder den Austausch eines Unterauftragsverarbeiters zu informieren. Der Verantwortliche kann der beabsichtigten Einschaltung oder Ersetzung eines Unterauftragsverarbeiters aus einem wichtigen datenschutzrechtlichen Grund widersprechen.

(3) Der Widerspruch gegen die beabsichtigte Einschaltung oder Ersetzung eines Unterauftragsverarbeiters muss innerhalb von 2 Wochen nach Erhalt der Information über die Änderung erhoben werden. Erfolgt kein Widerspruch, so gilt die Einschaltung oder der Austausch als genehmigt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nicht möglich, hat der Verantwortliche ein Sonderkündigungsrecht zum Ende des auf den Widerspruch folgenden Monats.

(4) Bei der Beauftragung von Unterauftragsverarbeitern hat der Auftragsverarbeiter diese gemäß den Bestimmungen dieses Vertrags zu verpflichten.

(5) Ein Unterauftragsverarbeitungsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Leistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versanddienste, Reinigungsdienste, Telekommunikationsdienste ohne besonderen Bezug zu den vom Auftragsverarbeiter für den Verantwortlichen erbrachten Leistungen und Bewachungsdienste. Wartungs- und Prüfdienste stellen ein zustimmungspflichtiges Unterauftragsverarbeitungsverhältnis dar, sofern sie für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Dienstleistungen für den Verantwortlichen genutzt werden.

§ 9 Anträge und Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten der verantwortlichen Stelle nach den Artikeln 12-22 und 32 bis 36 DSGVO.

(2) Macht eine betroffene Person Rechte wie das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten unmittelbar gegenüber dem Auftragsverarbeiter geltend, so wird dieser nicht selbständig tätig, sondern verweist die betroffene Person an den Verantwortlichen und wartet dessen Weisungen ab.

§ 10 Haftung

(1) Im Innenverhältnis zum Auftragsverarbeiter haftet allein der Verantwortliche gegenüber dem Betroffenen auf Ersatz des Schadens, der einem Betroffenen durch eine unzulässige oder unrichtige datenschutzrechtliche Auftragsverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung entsteht.

(2) Der Auftragsverarbeiter haftet unbeschränkt für Schäden, soweit die Schadensursache auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Auftragsverarbeiters, seines gesetzlichen Vertreters oder Erfüllungsgehilfen beruht.

(3) Der Auftragsverarbeiter haftet für fahrlässiges Verhalten nur bei der Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertraut und vertrauen darf, jedoch begrenzt auf den vertragstypischen Durchschnittsschaden. Im Übrigen ist die Haftung des Auftragsverarbeiters - auch für seine Erfüllungsgehilfen - ausgeschlossen.

(4) Die Haftungsbeschränkung nach § 10.3 gilt nicht für Schadensersatzansprüche aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Übernahme einer Garantie.

§ 11 Beendigung des Hauptvertrages

(1) Nach Beendigung des Hauptvertrages hat der Auftragsverarbeiter alle ihm überlassenen Unterlagen, Daten und Datenträger an den Verantwortlichen zurückzugeben oder - auf Verlangen der verantwortlichen Stelle, soweit nicht nach Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Pflicht zur Aufbewahrung der personenbezogenen Daten besteht - zu löschen. Dies gilt auch für etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat auf Verlangen einen Nachweis über die ordnungsgemäße Löschung der Daten zu erbringen.

(2) Der Verantwortliche hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten beim Auftragsverarbeiter in geeigneter Weise zu kontrollieren.

(3) Der Auftragsverarbeiter ist verpflichtet, die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten auch über das Ende des Hauptvertrages hinaus geheim zu halten. Diese Vereinbarung gilt über das Ende des Hauptvertrages hinaus, solange der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Verantwortlichen übermittelt wurden oder die er für den Verantwortlichen erhoben hat.

§ 12 Schlussbestimmungen

(1) Soweit der Auftragsverarbeiter Unterstützungsleistungen im Rahmen dieses Vertrages nicht ausdrücklich unentgeltlich erbringt, kann er hierfür ein angemessenes Entgelt des Verantwortlichen verlangen, es sei denn, eigene Handlungen oder Unterlassungen des Auftragsverarbeiters haben eine solche Unterstützung unmittelbar erforderlich gemacht.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf dieses Formerfordernis. Der Vorrang einzelvertraglicher Vereinbarungen bleibt hiervon unberührt.

(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(4) Diese Vereinbarung unterliegt dem deutschen Recht.

Anhang 2 - Technische und organisatorische Maßnahmen des Auftragsverarbeiters

1. Einleitung

Dieses Dokument fasst die technischen und organisatorischen Maßnahmen zusammen, die der Auftragsverarbeiter im Sinne von Art. 32 Abs. 1 DSGVO. Es handelt sich um Maßnahmen, die der Auftragsverarbeiter zum Schutz personenbezogener Daten ergriffen hat. Zweck des Dokuments ist es, den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflichten gemäß Art. 5 Abs. 2 DSGVO zu erfüllen.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle

Die folgenden Maßnahmen verhindern, dass sich Unbefugte Zugang zu den Systemen der Auftragsverarbeitung verschaffen können:

• Arbeiten von zu Hause aus: Unbefugte haben keinen Zugang zu den Wohnungen der Mitarbeiter

• Arbeit im Home-Office: Anweisung an die Mitarbeiter, möglichst in einem vom Wohnzimmer getrennten Büro zu arbeiten

2.2 Zulassungskontrolle

Die folgenden Maßnahmen verhindern, dass sich Unbefugte Zugang zu den Systemen der Auftragsverarbeitung verschaffen können:

• Authentifizierung mit Benutzer und Passwort

• Einsatz von Firewalls

• Nutzung der Verwaltung mobiler Geräte

• Verschlüsselung von Datenträgern

• Automatische Desktop-Sperre

• Verwaltung von Benutzerberechtigungen

• Erstellen von Benutzerprofilen

• Zentrale Passwortregeln

• Verwendung der 2-Faktor-Authentifizierung

• Unternehmensrichtlinien für sichere Passwörter

• Allgemeine Anweisung zum manuellen Sperren des Desktops beim Verlassen des Arbeitsplatzes

2.3 Zugangskontrolle

Die folgenden Maßnahmen stellen sicher, dass Unbefugte keinen Zugang zu personenbezogenen Daten haben:

• Protokollierung des Zugriffs auf Anwendungen (insbesondere bei Eingabe, Änderung und Löschung von Daten)

• Die Anzahl der Administratoren wird so gering wie möglich gehalten.

• Verwaltung von Benutzerrechten durch Systemadministratoren

• Belehrung der Mitarbeiter, dass die Daten nur nach Rücksprache gelöscht werden

2.4 Trennungskontrolle

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden:

• Physikalisch getrennte Speicherung auf separaten Systemen oder Datenträgern

• Trennung von Produktion und Testsystem

• Logische Client-Trennung (auf der Software-Seite)

• Definition von Datenbankrechten

• Interne Anweisung zur Anonymisierung/Pseudonymisierung personenbezogener Daten im Falle der Weitergabe oder nach Ablauf der gesetzlichen Löschungsfrist, sofern möglich.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Übertragungssteuerung

Es wird sichergestellt, dass personenbezogene Daten bei der Übermittlung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Um dies zu gewährleisten, wurden die folgenden Maßnahmen getroffen:

• WLAN-Verschlüsselung (WPA2 mit sicherem Passwort)

• Protokollierung von Zugriffen und Abrufen

• Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS

• Verbot des Hochladens von Unternehmensdaten auf externe Server

3.2 Eingangssteuerung

Die folgenden Maßnahmen stellen sicher, dass überprüft werden kann, wer zu welchem Zeitpunkt personenbezogene Daten in den Systemen der Auftragsverarbeitung verarbeitet hat:

• Protokollierung der Eingabe, Änderung und Löschung von Daten

• Manuelle oder automatische Kontrolle der Stämme

• Rückverfolgbarkeit von Dateneingabe, -änderung und -löschung durch individuelle Benutzernamen (nicht Benutzergruppen)

• Klare Zuständigkeiten für Löschungen

legal.dpa.latest.annexes.2.3.2.text.6

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dem Kunden jederzeit zur Verfügung stehen:

• Feuerlöscher in Serverräumen

• Geräte zur Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen

• Klimatisierung der Serverräume

• Schutzsteckdosenleisten in Serverräumen

• Unterbrechungsfreie Stromversorgung (UPS)

• Videoüberwachung in Serverräumen

• Alarmmeldung bei unbefugtem Zutritt zu Serverräumen

• Regelmäßige Backups

• Überprüfen des Sicherungsprozesses

• Speicherung von Datensicherungen an einem sicheren, externen Ort

• Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse

• Keine sanitären Einrichtungen im oder über dem Serverraum

• Hosting (zumindest der wichtigsten Daten) bei einem professionellen Hoster

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

5.1 Verwaltung des Datenschutzes

Die folgenden Maßnahmen sollen sicherstellen, dass die Organisation die grundlegenden Anforderungen des Datenschutzrechts erfüllt:

• Nutzung der heyData-Plattform für das Datenschutzmanagement

• Ernennung des Datenschutzbeauftragten heyData

• Verpflichtung der Mitarbeiter auf das Datengeheimnis

• Regelmäßige Datenschutzschulungen für Mitarbeiter

• Überblick über die Verarbeitungstätigkeiten (Art. 30 DSGVO)

5.2 Management der Reaktion auf Vorfälle

Die folgenden Maßnahmen sollen sicherstellen, dass im Falle von Datenschutzverletzungen Meldeverfahren eingeleitet werden:

• Meldeverfahren für Datenschutzverstöße gemäß Art. 4 Nr. 12 DSGVO an die Aufsichtsbehörden (Art. 33 DSGVO)

• Benachrichtigungsverfahren für Datenverletzungen gemäß Art. 4 Nr. 12 DSGVO an die betroffenen Personen (Art. 34 DSGVO)

• Einschaltung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenschutzverletzungen

• Einsatz von Firewalls

5.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Die folgenden Maßnahmen tragen den Anforderungen der Grundsätze "Privacy by Design" und "Privacy by Default" Rechnung:

• Schulung der Mitarbeiter in "Datenschutz durch Technik" und "Datenschutz durch Voreinstellungen"

• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

5.4 Auftragssteuerung

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten nur gemäß den Anweisungen verarbeitet werden können:

• Schriftliche Anweisungen an den Auftragnehmer oder Anweisungen in Textform (z. B. durch einen Auftragsverarbeitungsvertrag)

• Sicherstellung der Vernichtung der Daten nach Abschluss des Auftrags, z.B. durch Einholung entsprechender Bestätigungen

• Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (normalerweise im Auftragsverarbeitungsvertrag)

• Sorgfältige Auswahl von Auftragnehmern (insbesondere im Hinblick auf die Datensicherheit)

• Laufende Überprüfung der Auftragnehmer und ihrer Tätigkeiten

• Sicherstellung der Vernichtung der Daten nach Abschluss des Auftrags, z.B. durch Einholung entsprechender Bestätigungen

Version 1.4, gültig ab 20. April 2024