Hinweise zum Ausfüllen: Drucken Sie den Vertrag aus oder Speichern Sie das Dokument als PDF.
Lassen Sie dieses von der entsprechenden Person unterzeichnen und senden dieses als PDF mit dem Betreff "AVV" bitte an support@onevcard.de
Stand: August 2024
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sichergestellt werden.
b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
d) Die Anhänge I bis IV sind Bestandteil der Klauseln.
e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2
Unabänderbarkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3
Auslegung
a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
ABSCHNITT II
PFLICHTEN DER PARTEIEN
Klausel 5
Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 6
Pflichten der Parteien
6.1. Weisungen
a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
6.2. Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
6.3. Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
6.4. Sicherheit der Verarbeitung
a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6.5. Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
6.6. Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
6.7. Einsatz von Unterauftragsverarbeitern
a) Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens einen Monat vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter findet sich in Anhang IV. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand.
b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
6.8. Internationale Datenübermittlungen
a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 6.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 7
Unterstützung des Verantwortlichen
a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 7 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 8
Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
8.1. Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
8.2. Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
ABSCHNITT III
SCHLUSSBESTIMMUNGEN
Klausel 9
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 6.1 Buchstabe b verstoßen.
d) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten des Auftraggebers zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Der Auftragnehmer weist unaufgefordert dem Auftraggeber in Textform mit Datumsangabe nach, dass er sämtliche Daten sowie sonstige Unterlagen datenschutzkonform vernichtet oder gelöscht und somit keine Daten des Auftraggebers zurückbehalten hat.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
Klausel 10
Kontrollrechte des Auftraggebers
Der Auftraggeber ist berechtigt, vor Beginn der Verarbeitungsleistungen und währenddessen regelmäßig die technischen und organisatorischen Maßnahmen sowie die Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zu kontrollieren. Dazu kann der Auftraggeber oder ein beauftragter Prüfer die Datenverarbeitungsanlagen und die Datenverarbeitungsprogramme des Auftragnehmers inspizieren.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber zu den üblichen Geschäftszeiten Zutritt zu den Räumlichkeiten zu gewähren, in denen die Daten des Auftraggebers physisch oder elektronisch verarbeitet werden. Der Auftraggeber stimmt der Durchführung der Inspektionen mit dem Auftragnehmer so ab, dass der Betriebsablauf beim Auftragnehmer nicht beeinträchtigt wird.
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der technischen und organisatorischen Maßnahmen sowie der Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zur Verfügung. Zu diesen Informationen gehören insbesondere aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, externe Sachverständige, IT-Sicherheits- oder Datenschutzauditoren) und geeignete Zertifizierung (z.B. nach BSI-Grundschutz). Der Auftragnehmer erteilt dem Auftraggeber unverzüglich konkrete Auskunft im Einzelfall.
Diese Kontrollrechte stehen auch dem Betriebsrat des Auftraggebers zu und dürfen auch von diesem ausgeübt werden.
ANHANG I
Unternehmen / Organisation inkl. Rechtsform: __________________________________
Anschrift: __________________________________
Vorname der Kontaktperson: __________________________________
Nachname der Kontaktperson: __________________________________
E-Mail-Adresse der Kontaktperson: __________________________________
Telefonnummer der Kontaktperson: __________________________________
Funktion der Kontaktperson: __________________________________
oneVcard GmbH
Anschrift: Babenhäuser Str. 37, 63762 Großostheim
Name, Funktion und Kontaktdaten der Kontaktperson: Fabian Ripp
Geschäftsführer, E-Mail: fr@onevcard.de
ANHANG II
Beschäftigte
· Vor- und Zuname
· Anschrift (dienstlich)
· Telefonnummer (dienstlich)
· Mobiltelefonnummer (dienstlich)
· E-Mail-Adresse (dienstlich)
· Funktion
· Foto(s)
· Nutzernamen der persönlichen Social-Media-Kanäle
· Sonstige personenbezogene Daten die vom Verantwortlichen bzw. dessen Beschäftigten im Profil hinterlegt werden.
Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
n/a
· Verwendung der personenbezogenen Daten zur Erstellung einer digitalen webbasierten Visitenkarte, Speicherung der personenbezogenen Daten in einem Rechenzentrum, Übermittlung der in der Visitenkarte enthaltenen Daten an gewünschte Empfänger per individuellem Internet-Link, in der E-Mail-Signatur, per vCard oder via QR-Code in der oneVcard-App Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
· Bereitstellung einer digitalen, webbasierten Visitenkarte (Website)
Laufzeit des Vertrags
ANHANG III
Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:
· Maßnahmen zur Sicherstellung eines Nicht-öffentlichen Datenbankzugriffs
· Maßnahmen zur Gewährleistung eines Datenbankzugriffs nur für autorisierte Mitarbeiter und nur mittels 2-Faktor-Authentifizierung
· Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
· Maßnahmen zum Schutz der Daten während der Speicherung
· Maßnahmen der verschlüsselten Übertragung personenbezogener Daten
· Maßnahmen zum Schutz der Daten während der Übermittlung
· Maßnahmen der Pseudonymisierung, bei der Erfassung und Verarbeitung von Informationen zur Verbesserung der Applikation
· Maßnahmen zur zufälligen Generierung von Nutzer-IDs
· Maßnahmen zur zufälligen Generierung von Produkt-IDs
· Maßnahmen der verschlüsselten Speicherung von Nutzer-Passwörtern
· Maßnahmen zur Eindämmung von Brute-Force-Attacken auf Nutzer-Accounts
· Maßnahmen zur Identifizierung und Autorisierung der Nutzer
· Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
· Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, außer im Falle der Löschung durch den Verantwortlichen
· Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
· Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
· Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
· Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
· Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
· Maßnahmen zur Gewährleistung der Datenminimierung
· Maßnahmen zur Gewährleistung der Datenqualität
· Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
· Maßnahmen zur Gewährleistung der Rechenschaftspflicht
· Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.
Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss:
· Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
· Maßnahmen zum Schutz der Daten während der Speicherung
· Maßnahmen zur Identifizierung und Autorisierung der Nutzer
· Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
· Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, außer im Falle der Löschung durch den Auftraggeber
· Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
· Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
· Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
· Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
· Maßnahmen zur Gewährleistung der Datenqualität
· Maßnahmen zur Gewährleistung der Rechenschaftspflicht
A. Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität
1.
Zutrittskontrollmaßnahmen zu Serverräumen
1.0
Werden personenbezogene Daten der Auftraggeberin auf Servern gespeichert, die von Ihnen oder etwaigen Dienstleistern betrieben werden?
☒ ja ☐ nein
Wenn nein: In diesem Fall müssen die weiteren Fragen zu A1 nicht beantwortet werden, sondern sogleich die Fragen ab A2. Auch die Fragen zu B1 und B2 entfallen.
1.1
Standort des Serverraums / Rechenzentrums (RZ).
Frankfurt und Nürnberg
1.2
Sind die personenbezogenen Daten auf mehr als einen Serverstandort / Rechenzentrum verteilt (z. B. Backup Server/ Nutzung von Cloud-Dienstleistungen)?
☐ ja ☒ nein
1.3
Falls ja: Machen Sie bitte die entsprechenden Standortangaben auch bzgl. weiterer Server.
Weitere Serverstandorte:
1.4
Gelten die folgenden Angaben zu Zutrittskontroll-Maßnahmen für alle im Einsatz befindlichen Server- / RZ Standorte?
☒ ja ☐ nein
1.5
Ist der Serverraum mittels einer Einbruchmeldeanlage (EMA) alarmgesichert?
☒ ja ☐ nein
1.6
Wenn ja: Wer wird informiert, wenn die EMA auslöst? Mehrfachantworten möglich!
☒ beauftragter Wachdienst ☐ Administrator ☐ Leiter IT ☐ Sonstiges:
1.7
Ist der Serverraum videoüberwacht?
☒ ja, ohne Bildaufzeichnung ☐ ja, mit Bildaufzeichnung ☐ nein
1.8
Ist der Serverraum mit einem elektronischen Schließsystem versehen?
☒ ja ☐ nein, mit mechanischem Schloss
1.9
Wenn ja: Welche Zutrittstechnik kommt zum Einsatz? Mehrfachantworten möglich!
☒ RFID ☐ PIN ☒ Biometrie ☐ Sonstiges:
1.10
Wenn ja: Werden die Zutrittsrechte personifiziert vergeben?
☒ ja ☐ nein
1.11
Wenn ja: Werden die Zutritte zum Raum im Zutrittssystem protokolliert?
☒ ja, sowohl erfolgreiche als auch erfolglose Zutrittsversuche
☐ ja, aber nur erfolgreiche Zutritte
☐ ja, aber nur erfolglose Zutrittsversuche
☐ nein, das Schloss wird nur freigegeben oder nicht
1.12
Wird der Serverraum neben seiner eigentlichen Funktion noch für andere Zwecke genutzt?
☐ ja ☒ nein
1.13
Wenn ja: Was wird in dem Serverraum noch aufbewahrt?
☐ Telefonanlage ☐ Lagerung Büromaterial ☐ Lagerung Akten ☐ Archiv
☐ Lagerung von IT Ausstattung ☐ Sonstiges:
2.
Zutrittskontrollmaßnahmen zu Büroräumen
2.1
Standort der Clientarbeitsplätze, von denen auf personenbezogene Daten zugegriffen wird:
Zugriff ausschließlich per VPN
2.2
Existiert ein Pförtnerdienst / ständig besetzter Empfangsbereich zum Gebäude bzw. zu Ihren Büros?
☒ ja ☐ nein
2.3
Wird ein Besucherbuch geführt?
☐ ja ☒ nein
2.4
Ist das Gebäude oder sind die Büroräume mittels einer Einbruchmeldeanlage (EMA) alarmgesichert?
☐ ja ☒ nein
2.5
Wenn ja: Wer wird informiert, wenn die EMA auslöst?
☐ beauftragter Wachdienst ☐ Administrator ☐ Leiter IT ☐ Sonstiges:
2.6
Werden das Bürogebäude bzw. seine Zugänge videoüberwacht?
☐ ja, ohne Bildaufzeichnung ☐ ja, mit Bildaufzeichnung ☒ nein
2.7
Wenn „ja, mit Bildaufzeichnung“, wie lange werden die Bilddaten gespeichert?
3
Zugangs- und Zugriffskontrollmaßnahmen
3.1
Existiert ein Prozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der Neueinstellung und beim Ausscheiden von Mitarbeitern bzw. bei organisatorischen Veränderungen?
☒ definierter Freigabeprozess
☐ kein definierter Freigabeprozess, auf Zuruf
☐ Sonstige Vergabeweise:
3.2
Werden die Vergabe bzw. Änderungen von Zugriffsberechtigungen protokolliert?
☒ ja ☐ nein
3.3
Authentisieren sich die Mitarbeiter über eine individuelle Kennung gegenüber dem zentralen Verzeichnisdienst?
☒ ja ☐ nein
3.4
Existieren verbindliche Passwortparameter im Unternehmen?
☒ ja ☐ nein
3.5
Passwort-Zeichenlänge: 50
Muss das Passwort Sonderzeichen enthalten?
☒ ja ☐ nein
Mindest-Gültigkeitsdauer in Tagen: 90
3.6
Zwingt das IT System den Nutzer zur Einhaltung der oben genannten PW Vorgaben?
x ja ☐ nein
3.7
Wird der Bildschirm bei Inaktivität des Benutzers gesperrt?
Wenn ja, nach wieviel Minuten?
10 Minuten
3.8
Welche Maßnahmen ergreifen Sie bei Verlust, Vergessen oder Ausspähen eines Passworts?
☒ Admin vergibt neues Initialpasswort
☐ keine
3.9
Gibt es eine Begrenzung von erfolglosen Anmeldeversuchen?
☒ ja, 3 Versuche ☐ nein
3.10
Wenn ja, Wie lange bleiben Zugänge gesperrt, wenn die maximale Zahl erfolgloser Anmeldeversuche erreicht wurde?
☒ Die Zugänge bleiben bis zur manuellen Aufhebung der Sperre gesperrt
☐ Die Zugänge bleiben für bitte Wert in Minuten eintragen Minuten gesperrt.
3.11
Wie erfolgt die Authentisierung bei Fernzugängen:
Authentisierung mit ☐ Token ☒ VPN-Zertifikat ☐ Passwort
3.12
Gibt es eine Begrenzung von erfolglosen Anmeldeversuchen bei Fernzugängen?
☒ ja, 3 Versuche ☐nein
3.13
Wenn ja, Wie lange bleiben Zugänge gesperrt, wenn die maximale Zahl erfolgloser Anmeldeversuche erreicht worden ist?
☒ Die Zugänge bleiben bis zur manuellen Aufhebung der Sperre gesperrt
☐ Die Zugänge bleiben für bitte Wert in Minuteneintragen Minuten gesperrt.
3.14
Wird der Fernzugang nach einer gewissen Zeit der Inaktivität automatisch getrennt?
☒ ja, nach 30 Minuten ☐ nein
3.15
Werden die Systeme, auf denen personenbezogene Daten verarbeitet werden, über eine Firewall abgesichert?
☒ ja ☐ nein
3.16
Wenn ja: Wird die Firewall regelmäßig upgedatet?
☒ ja ☐ nein
3.17
Wenn ja: Wer administriert Ihre Firewall?
☒ eigene IT ☐ Externer Dienstleister
4
Maßnahmen zur Sicherung von Papier-Unterlagen, mobilen Datenträgern und mobilen Endgeräten
4.1
Wie werden nicht mehr benötigte Papier-Unterlagen mit personenbezogenen Daten (bspw. Ausdrucke / Akten / Schriftwechsel) entsorgt?
☐ Altpapier / Restmüll
☒ Es stehen hierfür Schredder zur Verfügung, deren Nutzung angewiesen ist.
☐ Es sind verschlossene Datentonnen aufgestellt, die von einem Entsorgungsdienstleister zur datenschutzkonformen Vernichtung abgeholt werden.
☐ Sonstiges:
4.2
Wie werden nicht mehr benötigte Datenträger (USB Sticks, Festplatten), auf denen personenbezogene Daten gespeichert sind, entsorgt?
☐ Physische Zerstörung durch eigene IT.
☒ Physische Zerstörung durch externen Dienstleister.
☐ Löschen der Daten
☐ Löschen der Daten durch bitte Anzahl angeben Überschreibungen
☐ Sonstiges:
4.3
Dürfen im Unternehmen mobile Datenträger verwendet werden (z.B. USB-Sticks)
☒ ja
☐ nein
4.4
Dürfen die Mitarbeiter private Datenträger (z.B. USB Sticks) verwenden?
☐ generell ja
☐ ja, aber nur nach Genehmigung und Überprüfung des Speichermediums durch die IT.
☒ nein, alle benötigten Speichermedien werden vom Unternehmen gestellt.
4.5
Werden personenbezogene Daten auf mobilen Endgeräten verschlüsselt?
☒ Verschlüsselung der Festplatte
☐ Verschlüsselung einzelner Verzeichnisse
☐ keine Maßnahmen
4.6
Verarbeiten Mitarbeiter personenbezogene Daten auch auf eigenen privaten Geräten (bring your own device)?
☐ ja ☒ nein
5
Maßnahmen zur sicheren Datenübertragung
5.1
Erfolgt der Transfer personenbezogener Daten durchgängig verschlüsselt?
☐ gar nicht
☐ nein, Datenübertragung erfolgt per MPLS
☐ nur vereinzelt
☐ per verschlüsselter Datei als Mailanhang
☐ per PGP / S/MIME
☐ per verschlüsseltem Datenträger
☐ per VPN
☒ per https/TLS
☐ per SFTP
☐ Sonstiges:
5.2
Wer verwaltet die Schlüssel bzw. die Zertifikate?
☐ Anwender selbst ☐ eigene IT ☒ Externer Dienstleister
5.3
Werden die Übertragungsvorgänge protokolliert?
☐ ja ☒ nein
5.4
Wenn 5.3 ja: Wie lange werden diese Protokolldaten aufbewahrt?
bitte Wert in Tagen eintragen Tage
5.5
Wenn 5.3 ja: Werden die Protokolle regelmäßig ausgewertet?
☐ ja ☐ nein, eine Auswertung wäre aber im Bedarfsfall möglich
B. Maßnahmen zur Sicherstellung der Verfügbarkeit
1.
Serveraum
1.1
Verfügt der Serverraum über eine feuerfeste bzw. feuerhemmende Zugangstür?
☒ ja ☐ nein
1.2
Ist der Serverraum mit Rauchmeldern ausgestattet?
☒ ja ☐ nein
1.3
Ist der Serverraum an eine Brandmeldezentrale angeschlossen?
☒ ja ☐ nein
1.4
Ist der Serverraum klimatisiert?
☒ ja ☐ nein
1.5
Verfügt der Serverraum über eine unterbrechungsfreie Stromversorgung (USV)?
☒ ja ☐ nein
2
Backup- und Notfall-Konzept, Virenschutz
2.1
Existiert ein Backupkonzept?
☒ ja ☐ nein
2.2
Wird die Funktionalität der Backup-Wiederherstellung regelmäßig getestet?
☒ ja ☒ nein
2.3
In welchem Rhythmus werden Backups vom Systemen angefertigt, auf denen personenbezogene Daten gespeichert werden?
☒ Echtzeitspiegelung ☐ täglich ☐ ein bis dreimal pro Woche
☐ Sonstiges:
2.4
Auf was für Sicherungsmedien werden die Backups gespeichert?
☒ Zweiter redundanter Server ☐ Sicherungsbänder ☐ Festplatten
☐ Sonstiges:
2.5
Wo werden die Backups aufbewahrt?
☒ Zweiter redundanter Server steht an einem anderen Ort ☐ Safe, feuerfest, datenträger- und dokumentensicher
☐ einfacher Safe ☐ Bankschließfach ☐ abgeschlossener Aktenschrank / Schreibtisch
☐ Im Serverraum ☐ Privathaushalt ☐ Sonstiges:
2.6
Zu 2.5: Im Falle eines Transports der Backups: Wie wird dieser durchgeführt?
☐ Mitnahme durch einen MA der IT / Geschäftsleitung / Sekretärin
☐ Abholung durch Dritte (bspw. Bankmitarbeiter / Wachunternehmen)
☒ Sonstiges: Es gibt keinen physischen Transport
2.7
Sind die Backups verschlüsselt?
☒ ja ☐ nein
2.8
Befindet sich der Aufbewahrungsort der Backups in einem vom primären Server aus betrachtet getrennten Brandabschnitt bzw. Gebäudeteil?
☒ ja ☐ nein
2.9
Existiert ein dokumentierter Prozess zum Software- bzw. Patchmanagement?
☒ ja ☐ nein ☐ Prozess existiert, ist jedoch nicht dokumentiert
2.10
Wenn 2.9 ja, wer ist für das Software- bzw. Patchmanagement verantwortlich?
☐ Anwender selbst ☐ eigene IT ☒ Externer Dienstleister
2.11
Existiert ein Notfallkonzept (bspw. Notfallmaßnahmen bei Hardwaredefekte / Brand / Totalverlust etc.)?
☒ ja ☐ nein
2.12
Sind die IT Systeme technisch vor Datenverlusten / unbefugten Datenzugriffen geschützt? Ja, mittels stets aktualisiertem ☒ Virenschutz ☒ Anti-Spyware ☐ Spamfilter
2.13
Wenn 2.12 ja, wer ist für den aktuellen Virenschutz, Anti-Spyware und Spamfilter verantwortlich?
☐ Anwender selbst ☐ eigene IT ☒ Externer Dienstleister
3
Netzanbindung
3.1
Verfügt das Unternehmen über eine redundante Internetanbindung?
☒ ja ☐ nein
3.2
Sind die einzelnen Standorte des Unternehmens redundant miteinander verbunden?
☒ ja ☐ nein
3.3
Wer ist für die Netzanbindung des Unternehmens verantwortlich?
☐ eigene IT ☒ Externer Dienstleister
C. Pseudonymisierung/Verschlüsselung, Art. 32 Abs. 1 lit. a DSGVO
1.
Einsatz von Pseudonymisierung
1.1
Werden verarbeitete personenbezogene Daten pseudonymisiert?
☐ ja ☒ nein
Wenn 1.1 nein: In diesem Fall müssen die weiteren Fragen zu C1 nicht beantwortet werden, sondern sogleich die Fragen ab C2.
1.2
Werden Algorithmen zur Pseudonymisierung eingesetzt?
☐ ja ☐ nein
1.3
Wenn 1.1 ja: Welcher Algorithmus wird zur Pseudonymisierung eingesetzt?
1.4
Erfolgt eine Trennung der Zuordnungsdaten und eine Aufbewahrung in getrennten Systemen?
☐ ja ☐ nein
1.5
Wie kann die Pseudonymisierung bei Bedarf Rückgängig gemacht werden? Mehrfachantworten möglich!
☐ gemäß einem definierten Verfahren
☐ im Mehr-Augen-Prinzip
☐ Direktzugriff auf nicht pseudonymisierte Rohdaten
☐ Auf Weisung des Vorgesetzten
☐ Sonstiges:
2.
Einsatz von Verschlüsselung
2.1
Werden verarbeitete personenbezogene Daten über die bereits beschriebenen Maßnahmen hinaus verschlüsselt?
☒ ja Passwörter ☐ nein
Wenn 2.1 nein: In diesem Fall müssen die weiteren Fragen zu C2 nicht beantwortet werden, sondern sogleich die Fragen ab D1.
2.2
Welcher Arten der Verschlüsselung werden eingesetzt? Mehrfachantworten möglich! Im Fall der Mehrfachantworten beschreiben Sie bitte im Feld „Sonstige“, welche Art der Verschlüsselung für welche Daten eingesetzt wird.
☒ Ende-zu-Ende-Verschlüsselung ☐ Transportverschlüsselung ☐ Data-at-Rest-Verschlüsselung
☐ Sonstige: bitte eintragen.
2.3
Welche kryptographischen Algorithmen werden zur Verschlüsselung oder für verschlüsselungsartige Maßnahmen (z. B. Hashen von Passwörtern) eingesetzt?
☐ AES ☒ SHA-256 ☐ RSA-2048 oder höher ☐ Sonstige:
2.4
Wer hat Zugriff auf die Verschlüsselten Daten?
Mitarbeiter aus den Abteilungen: bitte eintragen. Insgesamt haben 0 Mitarbeiter Zugriff auf die verschlüsselten Daten
D. Sonstige Maßnahmen nach Art. 32 Abs. 1 lit. b, c, d DSGVO
1.
Belastbarkeit
Es existieren Maßnahmen, die die Fähigkeit gewährleiten, die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
☐ nein
☒ ja Monitoring, regelmäßige Lasttests, IP-Blocking
2
Wiederherstellbarkeit
Existieren Notfall- oder Recoverykonzepte und Maßnahmen über B.2.11 hinaus, die die Fähigkeit gewährleisten, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen?
☐ nein
☒ ja , tägliche Backups
3
Verfahren zur Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen
3.1
Existiert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung?
☐ nein
☒ ja
3.2
Wenn 3.1 ja: In welchen Abständen finden die Überprüfungen statt?
Bei Änderungen der Infrastruktur, ansonsten alle 6 Monate
3.3
Wenn 3.1 ja: Werden die Ergebnisse der Prüfungen dokumentiert?
☒ ja ☐ nein
3.4
Gibt es Zertifizierungen mit Bezug zu den technisch-organisatorischen Maßnahmen und wenn ja, welche?
☐ ja
☒ nein
ANHANG VI
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
Name: Hetzner
Anschrift: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Name und Kontaktdaten der Kontaktperson: Margit Müller, E-Mail: data-protection@hetzner.com
Beschreibung der Verarbeitung: Hosting, Computing, Storage, DBaaS, Kubernetes
Name: A1
Anschrift: A1 Digital Deutschland GmbH, St.-Martin-Straße 59, 81669 München, Deutschland
Name und Kontaktdaten der Kontaktperson: Elisabetta Castiglioni, E-Mail: info@a1.digital
Beschreibung der Verarbeitung: Hosting, Computing, Storage, DBaaS, Kubernetes
Name: Mailjet
Anschrift: Mailjet SAS, 13-13 bis rue de l’Aubrac, 75012 Paris, Frankreich
Name und Kontaktdaten der Kontaktperson:
Darine Fayed, Datenschutzbeauftragte, E-Mail: dfayed@mailjet.com
Beschreibung der Verarbeitung: Mailing
Name: Axonaut
Anschrift: DIGITICA SAS, 12 rue Louis Renault, 31130 Balma, Frankreich
Name und Kontaktdaten der Kontaktperson:
Nicolas Ricard, Datenschutzbeauftragter, E-Mail: nicolas.richard@axonaut.com
Beschreibung der Verarbeitung: CRM, Mailing, Ticket System
Name: Celonis
Anschrift: Celonis SE , Theresienstr. 6, 80333 München, Deutschland
Name und Kontaktdaten der Kontaktperson: Martin Klenk, E-Mail: info@celonis.com
Beschreibung der Verarbeitung: Process Automation, DBaaS, Storage
Name: LifeOn Digital
Anschrift: LifeOn Digital GmbH, Saaläckerstraße 2A, 63801 Kleinostheim, Deutschland
Name und Kontaktdaten der Kontaktperson: Jannis Bussalb, E-Mail: Datenschutz@Lifeon.digital
Beschreibung der Verarbeitung: CRM, AI Services, Process Automation, Office Software
ANHANG VII
Folgende Unterauftragnehmer sind im Standard nicht aktiv. Nur wenn ihr Unternehmen oder Organisation explizit eine Integration, API oder anderweitig diesen Dienst bei uns beauftragt oder aktiviert hat, sind diese Teil ihres AVV's.
Im Falle der Verwendung von "Zapier":
Name: Zapier Inc.
Anschrift: Zapier, Inc. Attn: Legal Department/Privacy, 548 Market St. #62411, San Francisco, CA 94104-5401
Name und Kontaktdaten der Kontaktperson:
Darine Fayed, Datenschutzbeauftragte, E-Mail: privacy@zapier.com
Im Falle der Verwendung von "Google Ads" oder "Google Analytics":
Name: Google Ireland Limited
Anschrift: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Name und Kontaktdaten der Kontaktperson:
Nicholas Leeder, Geschäftsführer, E-Mail: support-deutschland@google.com
Im Falle der Verwendung von "Personio"
Name: Personio GmbH & Co. KG
Anschrift: Personio GmbH & Co. KG, Rundfunkplatz 4, 80335 München, Deutschland
Name und Kontaktdaten der Kontaktperson:
Hanno Renner, Geschäftsführer, E-Mail: support@personio.comVertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO