AUFTRAGSVERARBEITUNGSVERTRAG („AV“)
nach ART. 28 DSGVO


zwischen den

Nutzern der Webanwendung ZenOperator

– nachfolgend „Auftraggeber“ genannt –


und dem Auftragsverarbeiter

Zen Operator GmbHUrbanstr. 7110967 Berlin

– nachfolgend „Auftragnehmer“ genannt –- nachfolgend zusammen die „Parteien“ genannt -


PRÄAMBEL


Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.


1. GEGENSTAND


1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.

1.2 Die Beschreibung des jeweiligen Auftrags mit den Angaben über den Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.


2. ORT DER DATENVERARBEITUNG


2.1 Die vertraglich vereinbarte Verarbeitung findet im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („Sichere Staaten“) statt, sofern sich aus der Anlage nichts anderes ergibt.

2.2 Der Auftragnehmer darf Auftraggeberdaten durch Stellen außerhalb der Sicheren Staaten („Drittland“) nur verarbeiten oder verarbeiten lassen, wenn und soweit (i) für das betreffende Drittland auf Grundlage einer gültigen Entscheidung der Europäischen Kommission ein angemessenes Datenschutzniveau festgestellt ist oder (ii) die Verarbeitung auf Grundlage und nach Maßgabe der jeweils gültigen EUStandardvertragsklauseln („SCC“) erfolgt, welche dem Auftraggeber vorzulegen und mit der im Drittland ansässigen Stelle („Datenimporteur“) schriftlich zu vereinbaren sind. Sofern der Datenimporteur und der Auftragnehmer nicht identisch sind, hat der Auftragnehmer diesen SCC beizutreten. Die in dieser AV festgelegten Bestimmungen bleiben unberührt.


3. LAUFZEIT


3.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von drei Monaten gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrages bis zu der regulären Beendigung des Hauptvertrages/der Hauptverträge fort.

3.2 Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.


4. WEISUNG


4.1 Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.

4.2 Falls Weisungen die unter Ziffer 1 der Anlage dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.

4.3 Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrages und anschließend noch für drei Jahre aufzubewahren.

4.4 Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

4.5 Weisungen dürfen nur durch Personen erteilt werden, welche aufgrund ihrer organschaftlichen Stellung oder ihrer besonderen Funktion den Auftraggeber insoweit vertreten (z.B. Datenschutzbeauftragter, Chief Security Officer, etc.).

4.6 Der Auftragnehmer legt in der Anlage dieses Vertrages Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen.


5. UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS


5.1 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.

5.2 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.

5.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.


6. PRÜFUNGSRECHTE DES AUFTRAGGEBERS


6.1 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.

6.2 Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung mindestens 30 Tage im Voraus – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und beim Auftragnehmer Inspektionen vor Ort durchzuführen. Der Auftragnehmer ermöglicht dies und trägt dazu bei. Anlasslose Inspektionen sind auf maximal eine Inspektion pro Jahr beschränkt.

6.3 Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.


7. DATENSCHUTZBEAUFTRAGTER DES AUFTRAGNEHMERS


7.1 Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage dieses Vertrages unter Ziffer 3 angeführt.


8. VERTRAULICHKEIT


8.1 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers, das Datengeheimnis sowie die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.

8.2 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.

8.3 Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.


9. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN


9.1 Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.

9.2 Die technischen und organisatorischen Maßnahmen in der Anlage werden als verbindlich festgelegt. 

9.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.


10. INFORMATIONSPFLICHTEN DES AUFTRAGNEHMERS UND VERLETZUNG DES SCHUTZESPERSONENBEZOGENER DATEN


10.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personenbezogener Daten betreffen.

10.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.

10.3 Sollten die personenbezogenen Daten die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.

10.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht festgestellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.


11. UNTERAUFTRAGNEHMER


11.1 Der Auftraggeber berechtigt den Auftragnehmer, Subunternehmer in die Auftragsverarbeitung einzubeziehen. Einer gesonderten vorherigen Zustimmung durch den Auftraggeber bedarf es nicht. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Subunternehmers mindestens 6 Wochen vor der geplanten Umstellung.

11.2 Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.

11.3 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

11.4 Der Auftraggeber erteilt hiermit zudem explizit seine Zustimmung zur Beauftragung der in der Anlage aufgeführten Unterauftragnehmer.

11.5 Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unterauftragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

11.6 Auf Verlangen des Auftraggebers hat der Auftragnehmer den Abschluss, der mit dem Subunternehmer geschlossenen Vereinbarungen gegenüber dem Auftraggeber nachzuweisen. Der Nachweis hat in Textform zu erfolgen. Erhebt der Auftraggeber gegen die beabsichtigte Änderung eines Subunternehmerverhältnisses vor dessen Inkrafttreten (innerhalb der 6 Wochen laut 11.1 dieser AV) Einspruch, so ist der Auftragnehmer berechtigt, die AV sowie den Hauptvertrag außerordentlich zu kündigen.


12. LÖSCHUNG UND RÜCKGABE PERSONENBEZOGENER DATEN


12.1 Der Auftragnehmer ist nach Abschluss der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat innerhalb von 35 Tagen zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Dateneinzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten innerhalb von 35 Tagen zu löschen, sobald die Pflicht zur Speicherung entfällt. Hinweis: Eine Löschung innerhalb von weniger als 35 Tagen ist aufgrund des etablierten Backupkonzeptes der verwendeten Datenbanken technisch nicht möglich.

12.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.

12.3 Die Vorgänge sind mit Angabe von Datum zu protokollieren.


13. HAFTUNG


13.1 Die Parteien haften gem. Art. 82 DSGVO.

13.2 Im Innenverhältnis haftet der Auftragnehmer nur für in seiner Sphäre liegendes Verschulden gegenüber dem Auftraggeber. Die Haftungsregelungen des Hauptvertrags bleiben im Innenverhältnis unberührt.


14. SCHLUSSBESTIMMUNGEN


14.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.

14.2 Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben. 

14.3 Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.

14.4 Sofern zwischen den Parteien wegen der in dieser AV festgelegten oder in Bezug genommenen Leistungen bereits Vereinbarungen zur Datenverarbeitung im Auftrag bestehen, werden diese Vereinbarungen mit Wirksamkeit dieser AV aufgehoben und regelt diese AV abschließend die insoweit bestehenden Rechte und Pflichten der Parteien.

14.5 Die Parteien sind sich einig, dass diese AV mittels elektronischer Signatur unterzeichnet werden soll und alternativ in Schriftform abgefasst werden kann. Sie kann mittels elektronischer Signatur wirksam dergestalt unterzeichnet werden, dass die Parteien die jeweils von ihnen unterzeichneten Exemplare in elektronischer Form als pdf austauschen. Eine Unterzeichnung kann ebenfalls durch den digitalen OnlineRegistrierungsprozess des Auftragnehmers erfolgen. Der Auftraggeber garantiert, dass die signierende oder den Online-Registrierungsprozess abschließende Person (Bevollmächtigter) über sämtliche zum Abschluss dieser AV erforderlichen Vollmachten und Vertretungsberechtigungen verfügt. Der Auftraggeber wird sich sämtliche Erklärungen des Bevollmächtigten zurechnen lassen. Änderungen dieser AV einschließlich ihrer Anhänge unterliegen ebenfalls den in dieser Ziffer geregelten Formerfordernissen.

14.6 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.

14.7 Diese AV unterliegt deutschem Recht. Gerichtsstand für Streitigkeiten aus dieser AV entspricht der Regelung des Hauptvertrags.


Anlage zum Auftragsverarbeitungsvertrag


1. GEGENSTAND DES AUFTRAGES


1.1 GEGENSTAND DES AUFTRAGES:Der Auftragsverarbeiter ist Hersteller und Anbieter von Unternehmenssoftware zur Abwicklung aller Unternehmens Prozesse. Hierzu zählen der Vertrieb, die Beratung, Implementierung sowie Integration, Hosting und Support der Lösungen. Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben angegebenen Zwecke.

1.2 UMFANG, ART (ART. 4 NR. 2 DSGVO) UND ZWECK DER DATENVERARBEITUNG:Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereitstellung der Software-as-a-Service Anwendung ZenOperator, mit deren Hilfe die Unternehmensprozesse des Auftraggebers erfolgt.

Das bedeutet insbesondere
● Hosting (Daten, Applikation, System, Komponenten)
● Betrieb (Applikation, System, Komponenten)
● Wartung/Pflege (Applikation, System, Komponenten)
● Support (Applikation, System, Komponenten)
● Weiterentwicklung (Applikation, System, Komponenten)

Zu diesem Zweck werden personenbezogene Daten erfasst, gespeichert, ausgelesen, organisiert und geordnet, in Benutzeroberflächen angezeigt sowie gelöscht.

1.3 KREIS DER BETROFFENEN UND ART DER DATEN:Zu folgenden Personengruppen werden personenbezogene Daten erhoben, verarbeitet und genutzt, sofern diese zur Erfüllung des genannten Zweckes erforderlich sind:
● Interne und externe Mitarbeiter (z.B. Freelancer) & Aushilfen des Auftraggebers:
   - Berufliche Kontakt- und (Arbeits-) Organisationsdaten zur Verwaltung von Usern: Name, Vorname, Geschlecht, E-        Mail, Telefonnummer, Foto
    - Daten zu beruflichen Verhältnissen: Berufsbezeichnung, Log-File-Informationen, IPAdresse, Arbeitszeit,        Abwesenheitszeiten, Tätigkeiten
● Interessenten, Kunden und sonstige Geschäftspartner des Auftraggebers
      - Berufliche Kontakt- und (Arbeits-) Organisationsdaten: Name, Vorname, E-Mail, Telefonnummer


2. WEISUNGSBERECHTIGTE PERSONEN


2.1 WEISUNGSBERECHTIGTE PERSONEN DES AUFTRAGGEBERS:Weisungen dürfen nur durch Personen erteilt werden, welche aufgrund ihrer organschaftlichen Stellung oder ihrer besonderen Funktion den Auftraggeber insoweit vertreten (z.B. Datenschutzbeauftragter, Chief Security Officer, etc.).

2.2 WEISUNGSEMPFÄNGER BEIM AUFTRAGNEHMER SIND:
Name: Sebastian Martensen
Funktion: Geschäftsführer
Kommunikationskanal für Weisungen: info@ZenOperator.com


3. DATENSCHUTZBEAUFTRAGTER


Name: Sebastian Martensen
Funktion: Geschäftsführer
Kommunikationskanal für Weisungen: info@ZenOperator.com


4. UNTERAUFTRAGNEHMER


Zum Kreis der genehmigten Unterauftragnehmer bei Abschluss dieses Vertrages gehören:

4.1 HOSTING
Das komplette Hosting der Anwendungen erfolgt in europäischen Rechenzentren. Hierfür wird der nachfolgende Rechenzentren-Betreiber eingesetzt:
Amazon Web Services, Inc. P.O. BOX 81226, Seattle, WA 98108-1226

● Speicherung der Anwendungsdaten in persistenten Datenbanken
● Betrieb der Anwendung und primäre Datenverarbeitung
● Garantien: EU Standardvertragsklauseln, ISO 27001 zert. Serverstandort garantiert in der EU

4.2 SONSTIGE DATENVERARBEITER


Wir hosten unsere Website bei Webflow. Anbieter ist die Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA (nachfolgend: Webflow). Wenn Sie unsere Website besuchen, erfasst Webflow verschiedene Logfiles inklusive Ihrer IP-Adressen.

Webflow ist ein Tool zum Erstellen und zum Hosten von Websites. Webflow speichert Cookies oder sonstige Wiedererkennungstechnologien, die für die Darstellung der Seite, zur Bereitstellung bestimmter Webseitenfunktionen und zur Gewährleistung der Sicherheit erforderlich sind (notwendige Cookies).

Details entnehmen Sie der Datenschutzerklärung von Webflow: EU & Swiss Privacy Policy | Webflow 191.

Die Verwendung von Webflow erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt.


5. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN


5.1 ZUTRITTSKONTROLLE ZU RÄUMLICHKEITEN UND EINRICHTUNGEN, IN DENEN DATEN VERARBEITET WERDEN

a) Zutritt zu den Räumlichkeiten des Auftragnehmers, die zur Durchführung des Auftrags verwendet werden, ist auf die zur Durchführung des Auftrags erforderlichen Personen beschränkt.

b) Die Eingänge zu den Räumlichkeiten des Auftragnehmers, in denen Personenbezogene Daten verarbeitet werden, sind mit Sicherheits- oder Magnetkartenschlössern gegen Zutritt Unbefugter gesichert.

c) Die Ausgabe von Schlüsseln und Zugangskarten ist protokolliert.

d) Türen, Tore und Fenster der Räumlichkeiten des Auftragnehmers, in denen Personenbezogene Daten verarbeitet werden, sind außerhalb der Betriebszeiten fest verschlossen; Türen, Tore und Fenster in Keller und Erdgeschoss sowie alle weiteren leicht zu erreichenden Zugänge zu diesen Räumen sind derart ausgeführt, dass diese Unbefugten nur erheblich erschwert zugänglich sind, etwa durch einbruchhemmende Türen, Tore, Fenster und Schlösser und/oder den Einsatz einer Einbruchmeldeanlage, sowie die in VdS 2333 beschriebenen Sicherungsmaßnahmen der Sicherungsklasse SG1.

e) Zur Durchführung des Auftrags vom Auftragnehmer verwendete Server sind in einem separat abgesicherten Serverraum oder Rechenzentrum untergebracht, welche durch eine Zutrittskontrollanlage entsprechend Klasse B nach VdS 2367 gegen den Zutritt Unbefugter gesondert gesichert sind. Diese Räume sind einbruchhemmend geschützt und mindestens gemäß den Vorgaben der Sicherungsklasse SG1 nach VdS 2333 ausgeführt. Der Zutritt zu diesen Räumlichkeiten ist auf das zur Wartung und Instandsetzung sowie auf die im Übrigen konkret erforderlichen Rollen und Personen beschränkt.

5.2 ZUGANGSKONTROLLE

a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt.

b) Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben.

c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert.

d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergeben. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich.

e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an.

f) Die Wahl der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter.

g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk).

h) Jede Herausgabe von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

5.3 ZUGRIFFSKONTROLLE

a) Sofern Personenbezogene Daten zur Durchführung des Auftrags auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, ist für sämtliche Zugriffe auf personenbezogene Daten ein abgestuftes und geeignet granulares Rechtesystem eingerichtet und technisch implementiert. Dadurch ist sichergestellt, dass die Zugriffsrechte so gestaltet sind, dass sie nur den für die Leistungserbringung eingesetzten Mitarbeiter jeweils für die Erfüllung der konkreten Aufgaben im notwendigen Umfang Zugriff auf die personenbezogenen Daten erlauben. Dabei ist die Vergabe von Administratorenrechte auf das zwingend erforderliche Maß an Mitarbeitern des Auftragsverarbeiters begrenzt.

b) Alle verarbeiteten Daten werden verschlüsselt übertragen. Alle personenbezogenen Daten werden verschlüsselt in unseren Datenbanksystemen abgelegt. Jeder Zugriff erfolgt ebenfalls über verschlüsselte Datenkanäle.

c) Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, werden sämtliche Zugriffe auf personenbezogene Daten (einschließlich des lesenden, verändernden und löschenden Zugriffs) nach Benutzer, Datum, Uhrzeit und den jeweils betroffenen Personenbezogene Daten mindestens für die Dauer von 90 Tagen protokolliert.

d) Alle im Rahmen der Auftragsverarbeitung verwendeten Endgeräte (Laptops, Telefone usw.) sind mit automatischer Bildschirmsperre bei Inaktivität versehen.

5.4 EINGABEKONTROLLE 

a) Die Eingabe, Änderung und Löschung von Daten in den verwendeten Server-Systemen wird automatisiert protokolliert.

b) Die Eingabe, Änderung und Löschung von Daten in den verwendeten Server-Systemen ist durch das Verwenden individueller Benutzernamen nachvollziehbar.

c) Die Vergabe von Rechten zu Eingabe, Änderung und Löschung von Daten in den verwendeten Server Systemen erfolgt auf Basis eines Berechtigungskonzepts.

d) Dateien und Dokumente werden in Dokumentenmanagement-Systemen gespeichert, die Eingaben und Änderungen automatisch mit Datum und Benutzerkennung protokollieren.

e) Vor der Installation neuer Programme und Updates auf den verwendeten Serversystemen wird deren Integrität durch Funktionstests sichergestellt.

5.5 AUFTRAGSKONTROLLE 

a) Über die allgemeinen Grundsätze sowie über die sich aus dieser AV ergebenden spezifischen Anforderungen des Datenschutzes, einschließlich der Datensicherheit, werden die beim Auftragsverarbeiter zur Durchführung des Auftrags beschäftigten Personen vor dem Einsatz beim Auftragsverarbeiter zur Durchführung des Auftrags und sodann regelmäßig umfassend geschult.

b) Am Ende und auf Grundlage des in a) dieses Abschnitts festgelegten Schulungsprozesses werden die beim Auftragsverarbeiter zur Durchführung des Auftrags beschäftigten Personen auf die Vertraulichkeit und den Schutz personenbezogener Daten verpflichtet. Diese Verpflichtung erstreckt sich auf das Fernmeldegeheimnis und die damit verbundenen Grundsätze und Anforderungen an die Vertraulichkeit der Telekommunikation, wenn dies nach Maßgabe des konkreten Auftrags erforderlich ist, insbesondere wenn der Auftrag den Zugriff auf Verkehrsdaten umfasst.

c) Die Vergabe von Aufträgen an Unterauftragnehmer erfolgt ausschließlich schriftlich, nach Abschluss eines Auftragsverarbeitungsvertrages und eingehender Prüfung der beim Unterauftragnehmer etablierten Technischen und organisatorischen Maßnahmen.

d) Es wird ein zentrales Verzeichnis aller abgeschlossenen Auftragsverarbeitungsverträge der beauftragten Subunternehmer geführt.

e) Nach Beendigung der Zusammenarbeit mit Unterauftragnehmern werden diese angewiesen, sämtliche verarbeiteten personenbezogenen Daten ordnungsgemäß zu löschen.

5.6 GETRENNTE VERARBEITUNG VON DATEN/TRENNUNGSKONTROLLE

a) Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, wird eine vollständige Trennung der Personenbezogene Daten von personenbezogenen Daten anderer Auftraggeber realisiert und dadurch die jederzeitige und vollständige Identifizier- und Löschbarkeit von personenbezogene Daten sichergestellt, z.B., durch Speicherung der personenbezogenen Daten in einem eigenen Mandanten, in einer eigenen Partition oder unter eindeutigen Identifier getrennt abrufbar.

b) Eine entsprechende Trennung wird auch für personenbezogene Daten selbst realisiert, wenn sie zu verschiedenen Zwecken gespeichert werden.

5.7 WEITERGABEKONTROLLE

a) Personenbezogene Daten können nicht unbefugt kopiert (insbesondere auf externe Datenträger gespeichert), weitergegeben und/oder gelöscht werden.

b) Datenträger sowie sämtliche Dokumente, sofern sie Personenbezogene Daten enthalten (einschließlich sämtlicher gegebenenfalls vorhandener Sicherungskopien von personenbezogenen Daten und Kopien von Originaldokumenten) werden in ordnungsgemäß verschlossenen, und ausschließlich für die Durchführung des Auftrags genutzten Datensicherungsschränken verwahrt, wenn und solange sie nicht nach Maßgabe dieses Anhangs in der Bearbeitung sind.

c) Originaldokumente, die personenbezogene Daten enthalten, werden durch die den Prozess verantwortlich leitenden Personen an die zur Leistungserbringung eingesetzten Personen herauszugeben und von diesen nach Arbeitsschluss wieder entgegengenommen.

d) Den bei der Durchführung des Auftrags beschäftigten Personen ist die Anfertigung von handschriftlichen Aufzeichnungen nur in dem zur Leistungserbringung erforderlichen Umfang und auf besonders gekennzeichneten Arbeitsmitteln (z.B. paginiertes oder farbiges Papier) gestattet.

e) Nach Maßgabe dieses Anhangs herausgegebene Originaldokumente oder nach Maßgabe dieses Anhangs erstellte handschriftliche Aufzeichnungen werden, auch bei auch nur kurzzeitigem Verlassen des Arbeitsplatzes, vor unberechtigtem Zugriff geschützt (“Clean Desk Policy“).

f) Die den bei der Durchführung des Auftrags beim Auftragsverarbeiter beschäftigten Personen nutzen Client-Systeme die ausreichend gesichert sind. Alle Client Systeme sind mit Firewall und Virenschutz versehen und werden regelmäßig auf gängige Sicherheitsstandards überprüft.

g) Auf Durchführung des Auftrags vom Auftragsverarbeiter verwendeten Server-Systemen mit nichtflüchtigem Speicher, z.B. Netzwerkdrucker oder Scanner, werden personenbezogene Daten nicht über den unmittelbar zur Vertragsdurchführung erforderlichen Umfang hinaus gespeichert. Sofern Dritte mit der Wartung solcher Systeme betreut sind, gilt Ziffer 5.3 dieses Anhangs entsprechend.

h) In den Räumlichkeiten des Auftraggebers bereitgestellte WLAN-Zugänge für den Netzwerkzugriff sind verschlüsselt.

i) Besteht nach Maßgabe des Auftrags für den Auftragsverarbeiter eine Pflicht zur Löschung von personenbezogenen Daten, wird der Auftragsverarbeiter
  1. die datenschutzgerechte nicht wieder herstellbare Löschung sämtlicher, personenbezogene Daten enthaltender, löschbaren elektronischen Datenträger (insbesondere Festplatten, USB-Sticks, Disketten, Bänder) durchführen;
  2. die nachhaltige und irreversible Entfernung von personenbezogenen Daten aus Datenbank- oder File-Systemen sowie aus allen anderen löschbaren Speichermedien realisieren;
  3. sämtliche, personenbezogene Daten enthaltende Papierdokumente und sonstige nicht-gemäß (1.) oder (2.) dieser Ziffer löschbaren Datenträger (einschließlich sämtlicher personenbezogene Daten enthaltener Fehldrucke, Speicherkarten, USB-Sticks, etc.) mit einem handelsüblichen Dokumentenvernichter gemäß der Sicherheitsstufe 3 gemäß DIN-Norm 32757 oder einem mindestens gleichwertigen Verfahren vernichten, wobei defekte magnetische Datenträger, die nicht wie oben angegeben mechanisch vernichtet werden können (z.B. defekte Festplatten), sind mittels eines zugelassenen Löschgerätes nach DIN 33858 zu löschen;
  4. die Löschung für die Dauer des Auftrages protokollieren.

5.8 VERFÜGBARKEIT UND BELASTBARKEIT (ART. 32 ABS. 1 LIT. B DSGVO)

a) Vom Auftragsverarbeiter zur Durchführung des Auftrags verwendete Server-Systeme werden durch Firewalls geschützt, welche diese Server-Systeme gegen nicht betriebsnotwendige Zugriffe sichern.

b) Sämtliche gegebenenfalls vom Auftragnehmer zur Durchführung des Auftrags verwendete Software wird aktualisiert gehalten und sicherheitsrelevante Aktualisierungen (insbesondere Updates, Patches, Fixes) werden unverzüglich eingespielt, nachdem diese vom Hersteller der Software allgemein verfügbar gemacht und vom Auftragsverarbeiter im Rahmen eines dem Stand der Technik entsprechenden Verfahren getestet werden. Bei als „kritisch“ oder sinngemäß qualifizierten Aktualisierungen beträgt die Frist nach Satz 1 höchstens zwei (2) Tage.

c) Originaldokumente, die personenbezogene Daten enthalten, sowie beim Auftragsverarbeiter rechtmäßig auf informationsverarbeitenden Systemen gespeicherte Personenbezogene Daten werden durch technische und organisatorische Maßnahmen vor Verlust durch zufällige, fahrlässige oder vorsätzliche Löschung oder Veränderung geschützt

d) Sicherungskopien von beim Auftragnehmer rechtmäßig auf informationsverarbeitenden Systemen gespeicherten personenbezogene Daten werden nach denselben Maßgaben wie Originaldaten behandelt, insbesondere gegen unbefugten Zugriff gesichert.

e) Sämtliche verwendeten Server-Systeme verfügen über Feuer- und Rauchmeldeanlagen, Feuerlöschsysteme, klimatisierte Serverräume, Schutzmaßnahmen gegen Überspannung, Videoüberwachung sowie Alarmmeldungssysteme bei unberechtigten Zutritten zum Serverraum.

f) Sämtliche Speichersysteme verfügen über redundante Speichermedien (z.B. RAID-Systeme, Spiegelungen oder vergleichbar).

g) Der Auftragnehmer verfügt über ein Backup- und Recovery-Konzept, das die Wiederherstellung von Backups der letzten 30 Tage ermöglicht.

h) Die Datenspeicherung erfolgt getrennt von der Speicherung von Betriebs- und Anwendungssystemen.

i) Die Speicherung von Daten und Backups erfolgt in mindestens zwei getrennten Brandschutzzonen.

j) Die Datenwiederherstellung wird regelmäßig getestet und das Testergebnis protokolliert.

5.9 DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN, PRIVACY BY DEFAULT

a) Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

b) Durch geeignete technische Maßnahmen (Selbstständiges Anstoßen und Bestätigen des Löschvorgangs) wird die einfache Ausübung des Widerrufsrechts der Betroffenen gewährleistet.

5.10 ORGANISATIONSKONTROLLE

a) Es wird ein Datenschutzbeauftragter durch den Auftragnehmer bestellt.

b) Sämtliche Mitarbeiter des Auftragnehmers werden mindestens einmal pro Jahr in Datenschutzfragen und vorliegenden Datenschutzkonzepten geschult. Schulungsmaterialien liegen schriftlich und als Schulungsvideos vor.

c) Für Mitarbeiter des Auftragnehmers gelten interne Richtlinien und Arbeitsanweisungen zu
1. Umgang mit personenbezogenen Daten im Home-Office / Mobile-Office,
2. Nutzung des betrieblichen Internetzugangs und des betrieblichen E-Mail-Accounts,
3. Nutzung privater Geräte für betriebliche Tätigkeiten (Bring your own device).

d) Alle Mitarbeiter des Auftragnehmers werden schriftlich auf die datenschutzrechtliche Vertraulichkeit verpflichtet.

5.11 REGELMÄßIGE ÜBERPRÜFUNG UND WIRKSAMKEITSKONTROLLE

a) Die in diesem Anhang aufgeführten Maßnahmen werden mindestens einmal jährlich durch die Geschäftsführung und die IT-Leitung in Zusammenarbeit mit dem Datenschutzbeauftragten überprüft.

b) Für den Fall, dass bei der Überprüfung festgestellt wird, dass sich technologische Standards oder organisatorische Prozesse geändert haben und solche Änderungen eine Anpassung der hier aufgelistetenMaßnahmen erforderlich machen, werden die dadurch erforderlich werdenden Anpassung unverzüglich umgesetzt. Dabei wird der Grundsatz der Angemessenheit beachtet.

c) Änderungen werden zudem auf ad hoc Basis durchgeführt, sofern dies aus Gründen der Sicherheit erforderlich ist.

d) Die Überprüfung sowie daraus resultierende Änderungen werden dokumentiert und abgelegt.

Start
Warum Wir?
Preise
Kostenlos starten
Login
AGB
Datenschutz
Impressum
Impressum
AGB
AGB
Datenschutz
Impressum
Wenn Sie auf «Alle Cookies akzeptieren» klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Bedienung der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingbemühungen zu unterstützen. Lesen Sie unsere Datenschutzrichtlinie für weitere Informationen.
EinstellungenAblehnenAkzeptieren