Vereinbarung zur Auftragsdatenverarbeitung
Diese Auftragsdatenverarbeitung regelt die Rechte und Pflichten des/der Verantwortlichen („Kunde”) und VISUAL WORLD GmbH („Auftragsverarbeiter”) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag (Vereinbarung). Diese Vereinbarung ist so konzipiert, dass es den Bestimmungen der geltenden EU-Datenschutz-Grundverordnung („DSGVO“) gerecht wird. Im Falle eines Widerspruchs zwischen den Bestimmungen diese Vereinbarung und des Vertrags haben die Bestimmungen dieser Vereinbarung Vorrang.
Sofern in dieser Vereinbarung nicht anders definiert, gelten die Definitionen des Vertrags bzw. der DSGVO.
Der Kunde stimmt den Bedingungen dieser Vereinbarung im eigenen Namen und im Namen aller verbundenen Unternehmen zu, die an der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung beteiligt sein können.
1. Dauer
Die Dauer dieser Vereinbarung entspricht der Dauer der Leistungsvereinbarung. Die Kündigung dieser Vereinbarung entspricht einer Kündigung der Leistungsvereinbarung.
2. Gegenstand der Verarbeitung, Kategorien der Daten und Betroffenen
2.1. Der Gegenstand des Vertrags ergibt sich aus der zwischen den Parteien abgeschlossenen Vereinbarung über die Bereitstellung von Software zum Zugriff über das Internet (SaaS) und/oder die Erbringung von Wartung, Support und/oder IT-Services des Auftragsverarbeiter an den Kunden, auf die hier (folgend Hauptauftrag) verwiesen wird. Diese Vereinbarung zur Auftragsverarbeitung findet Anwendung auf alle Tätigkeiten, die mit der Auftragsverarbeitung bei der Erbringung von Leistungen gemäß Hauptvertrag in Zusammenhang stehen und bei denen der Auftragsverarbeiter mit personenbezogenen Daten, die dem Auftragsverarbeiter vom Kunden übermittelt oder offengelegt werden, in Berührung kommen kann.
Details bezüglich der möglichen Datenverarbeitung ergeben sich aus den Ziffern 2.1.1 und 2.1.2 Der für die Verarbeitung beim Kunden Verantwortliche erkennt an, dass der Umfang der Datenverarbeitung im Ermessen des Kunden liegt und je nach Nutzung der Software variieren kann.
2.1.1. Folgende Datenarten/ -kategorien sind regelmäßig Gegenstand der Verarbeitung:
· Personalstammdaten (Name, Vorname, Anschrift2, Geburtsdatum2, Alter2, Geschlecht2, Familienstand2, Schulkinder2)
· Nutzer Identifikation (Nutzername = Firmen-E-Mail-Adresse, Transponder-Identifikationsnummer1)
· Kommunikationsdaten (Telefon2, Firmen-E-Mail-Adresse)
· Bilder (Profilbild2)
· Planungs- und Steuerungsdaten (Arbeitszeiten, Abwesenheiten, Urlaubspläne, Krankmeldungen)
· Zeitstempel
· Lokalisierungsdaten (Geolokationsdaten/GPS-Daten3)
· Anstellungsinformationen (Firmenname, Rolle, Einstellungsdatum, Mitarbeiternummer, Arbeitsstelle2, Austrittsdatum)
· Anstellungsorganisation (Abteilungszugehörigkeit2, Abteilungs-/Teamverantwortlichkeiten2, Projekte, Projekttätigkeiten, Verrechenbare Stunden, Einnahmen pro Stunde2)
· vom Verantwortlichen eingegebenen Daten (Dies deckt alle anderen persönlichen Daten ab, die der Verantwortliche in die benutzerdefinierten Freitextfelder eintragen kann.)
1Optional bei Verwendung eines Terminals mit Transponder Funktion.
2Optionale Daten, welche nur verarbeitet werden, sofern der Kunde die Daten in der Software des Anbieters zur Verfügung stellt.
3Optional bei Verwendung der nativen Apps. Der Benutzer hat in der App die Möglichkeit, die Verarbeitung der Daten zu widersprechen. Kann im Account deaktiviert werden, sodass nie GPS-Daten verarbeitet werden.
2.1.2.Die Kategorien, der durch die Verarbeitung betroffenen Personen können in Bezug auf den Kunden (oder ein verbundenes Unternehmen des Kunden) regelmäßig umfassen:
· Beschäftigte: Angestellte, Freiwillige oder Freiberufliche Angestellte
· Ehemalige beschäftigte: Angestellte, Freiwillige oder anderweitig Beauftragte
· Zukünftige Beschäftigte: Freiwillige oder Bewerber
2.1.3.Die vertraglich zugesicherte Datenverarbeitung erfolgt nur in einem Mitgliedsland der Europäischen Union, in einem Staat des Europäischen Wirtschaftsraums oder in einem Land, das gemäß Art. 45 DSGVO von der Europäischen Kommission als datenschutzkonform anerkannt wurde.
2.1.4.Der Auftragsverarbeiter ist berechtigt, personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums nur in Übereinstimmung mit der DSGVO zu übertragen und muss dabei die von der DSGVO geforderten angemessenen Schutzvorkehrungen treffen.
2.1.5.Der Auftragsverarbeiter darf eine internationale Übermittlung personenbezogener Daten in ein Land außerhalb des Europäischen Wirtschaftsraums nur in Übereinstimmung mit der DSGVO durchführen und muss in dem nach der DSGVO erforderlichen Umfang angemessene Schutzmaßnahmen ergreifen.
3. Vertraulichkeit
Der Auftragsverarbeiter sorgt für die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. (b), 29 und 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Mitarbeiter ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeitete unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Kunden verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
4. Pflichten des Kunden
4.1. Der Kunde ist für die Einhaltung der DSGVO in Bezug auf die Nutzung der Software (soweit zutreffend) verantwortlich.
4.2. Der Kunde hat den Auftragsverarbeiter unverzüglich zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
4.3. Der Kunde nennt dem Auftragsverarbeiter bei Bedarf den/die Ansprechpartner/in für im Rahmen dieser Vereinbarung anfallenden Datenschutzfragen.
5. Weisungen
5.1. Der Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen von Weisungen des Kunden verarbeiten (vorausgesetzt, diese Weisungen fallen in den Anwendungsbereich der Software) oder soweit es zur Einhaltung der DSGVO erforderlich ist.
5.2. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
5.3. Der Kunde benennt die ausschließlich weisungsbefugten Personen innerhalb der Software. Falls keine weisungsbefugte Person benannt wird, sind nur natürliche Personen, die zur gesetzlichen Vertretung des Kunden befugt sind, zur Erteilung von Weisungen berechtigt. Der Auftragsverarbeiter kann die Ausführung von Weisungen so lange aussetzen, bis der Kunde dem Auftragsverarbeiter die Befugnis zur gesetzlichen Vertretung des Kunden nachgewiesen hat.
6. Pflichten des Auftragsverarbeiter
6.1. Allgemeine Pflichten des Auftragsverarbeiter
Der Auftragsverarbeiter benennt eine/n Datenschutzbeauftragte/n. Die (von Zeit zu Zeit aktualisierten) Kontaktdaten des/der Datenschutzbeauftragten werden auf der Website des Auftragsverarbeiters veröffentlicht.
6.2. Der Auftragsverarbeiter wird den Kunden unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten aus dieser Auftragsverarbeitung beim Auftragsverarbeiter ermittelt, es sei denn, der Auftragsverarbeiter ist gesetzlich oder behördlich verpflichtet, eine Mitteilung zu unterlassen.
7. Überprüfungen
7.1. Der Kunde ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragsverarbeiter in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragsverarbeiter soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragsverarbeiter ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
7.2. Kontrollen beim Auftragsverarbeiter haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Kunden zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragsverarbeiters, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragsverarbeiter den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Punkt 6 dieser Vereinbarung vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken, der Auftragsverarbeiter behält er sich das Recht vor die anlasslose Vor-Ort-Prüfung dieses Abschnitts abzulehnen. Geeignete Nachweise können insbesondere genehmigte Verhaltensregeln im Sinne von Art. 40 DSGVO oder ein genehmigtes Zertifizierungsverfahren im Sinne von Art. 42 DSGVO sein. Beide Parteien einigen sich darauf, dass auch die Vorlage von Testaten oder Berichten unabhängiger Instanzen, ein schlüssiges Datensicherheitskonzept oder eine geeignete Zertifizierung durch ein IT-Sicherheits- und Datenschutzaudit als geeignete Nachweise anerkannt werden.
8. Technische und organisatorische Maßnahmen
8.1. Der Auftragsverarbeiter ist verpflichtet, die Datensicherheit gemäß Art. 28 Abs. 3 lit. c, 32 DS-GVO, insbesondere in Bezug auf Art. 5 Abs. 1 und Abs. 2 DS-GVO, sicherzustellen. Die umzusetzenden Maßnahmen dienen der Datensicherheit und gewährleisten ein Schutzniveau, das hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dem Risiko angemessen ist. Dabei sind Faktoren wie der aktuelle Stand der Technik, die Kosten der Umsetzung sowie Art, Umfang und Zweck der Datenverarbeitung zu berücksichtigen. Auch die Wahrscheinlichkeit und die potenzielle Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DS-GVO spielen eine Rolle. Die spezifischen Maßnahmen sind vom Auftragsverarbeiter in einem Maßnahmenkonzept dokumentiert, welches im Anhang 1 zu finden ist.
8.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
8.3. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
9. Unterauftragsverhältnisse
9.1. Unterauftragsverhältnisse im Rahmen dieser Bestimmung beziehen sich direkt auf Dienstleistungen, die in direktem Zusammenhang mit der Hauptleistung stehen. Davon ausgenommen sind Nebenleistungen, die der Auftragsverarbeiter beispielsweise in Form von Telekommunikationsdiensten, Post-/Transportdiensten, Wartung, Benutzerservice, Entsorgung von Datenträgern oder Maßnahmen zur Sicherung von Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit von Hard- und Software nutzt. Dennoch hat der Auftragsverarbeiter sicherzustellen, dass auch bei ausgelagerten Nebenleistungen der Datenschutz und die Datensicherheit des Kunden gewahrt bleiben. Dazu sind geeignete und
Wenn gemäß diesem Vertrag eine Datenverarbeitung durch einen Unteranbieter rechtmäßig außerhalb eines Mitgliedstaates der Europäischen Union oder eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum erfolgt, gewährleistet der Auftragsverarbeiter, dass die Daten nach aktuellen Standards so stark verschlüsselt sind, dass sie ohne unverhältnismäßigen technischen Aufwand von Dritten außer dem Auftragsverarbeiter nicht entschlüsselt werden können.
9.2. Der Auftragsverarbeiter ist berechtigt, Unteranbieter (weitere Auftragsverarbeiter) nur mit vorheriger, ausdrücklicher und schriftlich oder dokumentiert festgehaltener Zustimmung des Kunden einzuschalten. Der Kunde gibt seine Zustimmung zur Beauftragung der nachstehenden Unteranbieter, vorausgesetzt es wird eine vertragliche Regelung gemäß Art. 28 Abs. 2-4 DS-GVO getroffen.
| Firma | Adresse | Erbrachte Leistung und Zweck | Datenkategorien |
| OVH GmbH | OVH GmbH Christophstraße 19, 50670 Köln | Hosting | Alle Arten personenbezogener Daten gemäß Punkt 2.1.1 dieser Vereinbarung. |
| IONOS | Elgendorfer Str. 57 56410 Montabaur | E-Mails | Name, Kontaktinformationen, Anstellungsorganisation gemäß Punkt 2.1.1 dieser Vereinbarung. |
| MarketPress GmbH | Karcherallee 13 01277 Dresden | Rechnungsstellung | Rechnungsanschrift des Kunden, |
| Stripe Payments Europe, Limited (SPEL) | 1 Grand Canal Street Lower Grand Canal Dock Dublin D02 H210 Irland | Zahlungsdurchführung | Zahlungsdaten des Kunden |
Ein Wechsel des bestehenden Unteranbieters ist erlaubt, wenn:
· der Anbieter den Kunden über die beabsichtigte Auslagerung an einen Unteranbieter angemessen frühzeitig schriftlich oder in Textform informiert,
· der Kunde bis zum Zeitpunkt der Datenübergabe keinen schriftlichen oder in Textform verfassten Einspruch gegen die vorgesehene Auslagerung beim Anbieter einlegt und
· die Beauftragung auf Basis einer vertraglichen Regelung gemäß Art. 28 Abs. 2-4 DS-GVO erfolgt.
9.3. Die Weitergabe von personenbezogenen Daten des Kunden an den Unteranbieter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
9.4. Erbringt der Unteranbieter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
9.5. Eine weitere Auslagerung durch den Unteranbieter bedarf der ausdrücklichen Zustimmung des Kunden (mind. Textform);
10. Betroffenenrechte
10.1. Richtet sich ein/e Betroffene/r an den Auftragsverarbeiter mit einer Forderung aus Kapitel III der DSGVO im Hinblick auf die Rechte der betroffenen Personen, dann wird der Auftragnehmer die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angabe der betroffenen Personen möglich ist.
10.2. Der Kunde erkennt an, dass die Software eine umfassende Selbstverwaltung seiner personenbezogenen Daten ermöglicht, um ihn bei der Erfüllung seiner Pflichten nach der DSGVO (einschließlich seiner Pflichten zur Beantwortung von Anfragen der betroffenen Personen) zu unterstützen. Soweit der Kunde nicht in der Lage ist, eine Anfrage eigenständig zu bearbeiten, leistet der Auftragsverarbeiter angemessene Unterstützung.
10.3. Der Auftragnehmer haftet nicht, sofern das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird und dies einzig von diesem verschuldet ist.
11. Informations- und Mitteilungspflichten
Der Auftragsverarbeiter informiert den Kunden umgehend, wenn er Kenntnis von einer Datenschutzverletzung erlangt, die die personenbezogenen Daten des Kunden betrifft. Diese Mitteilung erfolgt in Übereinstimmung mit Artikel 33 der DSGVO.
12. Herausgabe und Löschung von Daten
12.1. Nach Abschluss der Auftragsverarbeitung ist der Auftragsverarbeiter verpflichtet, die ihm überlassenen personenbezogenen Daten gemäß den nachstehenden Bestimmungen herauszugeben. In der Regel endet die Auftragsverarbeitung mit dem Ablauf des Vertrages.
12.2. Nach Vertragsende hat der Auftragsverarbeiter die Pflicht, die bereitgestellten personenbezogenen Daten für einen Zeitraum von 30 Tagen zu speichern. Innerhalb dieser Frist hat der Kunde das Recht, jederzeit schriftlich in Textform die Aushändigung der personenbezogenen Daten in einem maschinenlesbaren Format zu fordern, die Löschung der gespeicherten Daten zu verlangen oder, wenn möglich, die Daten direkt aus der Software herunterzuladen. Die Verantwortung für den rechtzeitigen Datenexport liegt ausschließlich beim Kunden.
12.3. Wenn der Kunde dem Auftragsverarbeiter eine verbindliche Löschungsanweisung in Textform erteilt, ist der Auftragsverarbeiter auch vor Ende der in Ziffer 13.2 genannten Aufbewahrungsfrist befugt, die Daten zu löschen. Ausgenommen davon sind nur jene Daten, die der Auftragsverarbeiter aufgrund gesetzlicher Vorschriften aufbewahren muss.
12.4. Wenn der Kunde bis zum Ende der in Ziffer 13.2 genannten Frist weder die Ausgabe der Daten verlangt noch deren Löschung gefordert hat, muss der Auftragsverarbeiter diese Daten eigenständig löschen.
13. Haftung
13.1. Beide Parteien haften gemäß Art. 82 DSGVO für Schäden, die durch einen Verstoß gegen diese Vereinbarung oder die DSGVO verursacht werden.
13.2. Sind gemäß Art. 82 Abs. 4 DSGVO beide Parteien für Ansprüche Betroffener oder Dritter verantwortlich, so haftet der Kunde allein für den Schaden, es sei denn, dass ein Teil des Gesamtschadens dem Auftragsverarbeiter zuzurechnen ist. Der Kunde trägt die Beweislast dafür, dass der Schaden nicht auf Umstände zurückzuführen ist, die er zu vertreten hat.
13.3. Etwaige Haftungsbeschränkungen in diesem Vereinbarung gelten nicht bei Vorsatz oder grober Fahrlässigkeit oder bei Schäden aus der Verletzung von Leben oder Körper.
13.4. Im Übrigen richtet sich die Haftung nach dem Vertrag.
14. Schlussbestimmungen
14.1. Beide Vertragsparteien verpflichten sich, sämtliche Informationen und Kenntnisse über Geschäftsgeheimnisse und Datensicherheitsmaßnahmen der jeweils anderen Partei, die sie im Rahmen des Vertragsverhältnisses erhalten haben, auch nach Beendigung des Vertrages vertraulich zu behandeln. Dies betrifft insbesondere den Inhalt dieses Vertrags sowie alle im Zuge eines Datenschutzaudits bereitgestellten Dokumente, Belege und ähnliches. Bei Unsicherheit, ob eine Information der Geheimhaltungspflicht unterliegt, muss diese so lange vertraulich behandelt werden, bis die andere Partei eine schriftliche Freigabe erteilt.
14.2. Änderungen und Ergänzungen dieser Vereinbarung sowie all ihrer Bestandteile – einschließlich jeglicher Zusicherungen des Auftragsverarbeiters – bedürfen gemäß der DSGVO der Textform. Dies kann auch elektronisch, beispielsweise per E-Mail, erfolgen. Es muss jedoch ausdrücklich darauf hingewiesen werden, dass es sich um eine Änderung oder Ergänzung der Bedingungen handelt. Dies gilt ebenso für das Absehen von diesem Formerfordernis. Beide Parteien sind sich einig, dass Anpassungen dieser Vereinbarung in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO vorgenommen werden können.
14.3. Es gilt das Recht der Bundesrepublik Deutschland. Das UN-Übereinkommen über Verträge über den internationalen Warenkauf (CISG) ist nicht anwendbar. Ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung ist, soweit zulässig, Chemnitz.
14.4. Diese Vereinbarung ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen, Verträge oder Mitteilungen zwischen dem Kunden und dem Auftragsverarbeiter, ob schriftlich oder mündlich, in Bezug auf den Gegenstand dieser Vereinbarung, es sei denn die Parteien haben vor dem 01. September 2023 einen Auftragsverarbeitungsvertrag geschlossen.
14.5. Diese Vereinbarung ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen, Verträge oder Mitteilungen zwischen dem Kunden und dem Auftragsverarbeiter, ob schriftlich oder mündlich, in Bezug auf den Gegenstand diese Vereinbarung, es sei denn die Parteien haben vor dem 01. September einen Auftragsverarbeitungsvertrag geschlossen.
Anhang 1: TECHNISCHE-ORGANISATORISCHE MASSNAHMEN
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind. Der Auftragsverarbeiter stellt sicher, dass folgende Angaben umgesetzt werden:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1. Zutrittskontrolle
Maßnahmen, die einen unbefugten Zutritt zu Datenverarbeitungsanlagen verhindern
· Schlüsselverwaltung für Mitarbeiter; geregelter Zutritt zu den Büroräumen
· Regelung für Besucher und Wartungspersonal
1.2. Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können
· Regelung des Zugangs zu den Datenverarbeitungssystemen über ein Benutzer- und Berechtigungskonzept
· Vergabe von personalisierten Benutzer-Accounts mit entsprechenden Kennwort-Richtlinien (minimale Kennwort-Länge 10 Zeichen, Komplexitätsanforderungen, regelmäßige Änderung)
· Sperren des Zugangs bei zehn fehlerhaften Anmelde-Versuchen
· Sperren der Arbeitsstationen bei Verlassen des Arbeitsplatzes (automatisch nach 15 Minuten oder manuelles Sperren mit Reaktivierungskennwort)
· Dokumentation und sichere Aufbewahrung der Administrator-Zugänge
· Protokollierung der An- und Abmeldevorgänge
· Einsatz von Firewall, Spamfilter und Antivirus-Software
· Verschlüsselung mobiler Datenträger/Smartphones
1.3. Zugriffskontrolle
Maßnahmen, die unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems verhindern
· Vergabe von Zugriffsrechten nach Benutzergruppen
· Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte („Least Privilege-Prinzip“)
· Jährliche Überprüfung der Zugriffskontrollen
· Vernichtung nicht mehr benötigter, schriftlicher Unterlagen nach DIN 66399 Sicherheitsstufe P3 (Papier)
· Nicht-reversible Löschung/Vernichtung elektronischer Datenträger nach Ausmusterung
1.4. Trennungskontrolle
Maßnahmen für die getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
· Mandantenfähige IT-Systeme
· Trennung von Entwicklungs- und Produktionsumgebung
· Zugriffsberechtigungen nach funktioneller Zuständigkeit
1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen
Nicht auftragsrelevant
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1. Weitergabekontrolle
Maßnahmen, die unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport verhindern
· Weitergabe der Daten auf elektronischem Weg entsprechend den Möglichkeiten des Auftraggebers
· Fernwartungskonzept
· Protokollierung von Datenübertragung oder Datentransport
· Verschlüsselte Datenverbindungen (VPN, SFTP, HTTPS)
2.2. Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
· Regelung organisatorischer Zuständigkeiten
· Systemseitige Protokollierung
· Regelung der Zugriffsbefugnisse auf Protokolldaten
2.3. Einhaltung beim Mitarbeiter
· Verpflichtungserklärung zum Datengeheimnis bei der Bearbeitung von Daten und den damit verbundenen Verantwortungen
· IT-Sicherheitsbestimmungen
· Mitarbeiter onboarding/offboarding Prozesse
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
3.1. Verfügbarkeitskontrolle
Maßnahmen zum Schutz vor zufälliger oder mutwilliger Zerstörung bzw. Verlust
· Redundante Datenspeicherung (z.B. RAID)
· Backup-Internetanbindung
· Feuerlöscher/Feuermelder
· Backup-Strategie
· Gesicherte Aufbewahrung für Sicherungsmedien
· Regelmäßige Installation von Sicherheitsupdates
· Meldewege und Notfallpläne
· Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
· Cloud-Services
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
4.1. Datenschutz-Management
Maßnahmen, die gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist
· Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
· Bestellung eines Datenschutzbeauftragten
· Verpflichtung zur Vertraulichkeit der Mitarbeiter (Datengeheimnis)
· Hinreichende Schulung der Mitarbeiter in Datenschutzangelegenheiten
· Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DS-GVO)
· Durchführen von Datenschutzfolgeabschätzungen, soweit erforderlich (Art. 35 DS-GVO)
· Periodische Prüfung durch Datenschutzbeauftragten
4.2. Incident-Response-Management
Maßnahmen, die gewährleisten, dass im Fall von Datenschutzverstößen ein Meldeprozess ausgelöst wird
· Meldeprozess für Vertrags- und Datenschutzverletzungen gegenüber dem Auftraggeber nach Art. 28 Abs. 3 Satz 3 sowie Art. 33 und Art. 34 DS-GVO
· Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DS-GVO gegenüber den Aufsichtsbehörden
· Unterstützung für Auftraggeber im Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DS-GVO gegenüber den Aufsichtsbehörden (Art 33 DS-GVO)
4.3. Datenschutzfreundliche Voreinstellungen
Maßnahmen, die sicherstellen, dass von vornherein möglichst wenig Daten erhoben, gespeichert und geteilt werden
· Datenschutzfreundliche Technikgestaltung („Privacy by design“)
· Datenschutzfreundliche Voreinstellungen („Privacy by default“)
4.4. Auftragskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten nur entsprechend der Weisungen des Auftraggebers verarbeitet werden
· Subunternehmen mit schriftlichen Datenschutzvereinbarungen nach Art. 28 DS-GVO
· Vereinbarung zur Auftragsverarbeitung mit Regelungen zu Rechten und Pflichten des Auftragnehmers und Auftraggebers
· Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
· Verpflichtung der Mitarbeiter auf das Datengeheimnis
· Formalisiertes Auftragsmanagement
· Standardisiertes Vertragsmanagement zur Kontrolle von Dienstleistern