Auftragsverarbeitungs- vertrag
Präambel
Folgender Auftragsverarbeitungsvertrag gilt gemäß § 10 Abs. 2 der allgemeinen Geschäftsbedingungen zwischen dem gewerblichen Nutzer (Auftraggeber im folgenden AG) und reasy (Auftragnehmer im folgenden AN). Die Verarbeitung von personenbezogenen Daten im Rahmen der Softwarenutzung stellt eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. Der vorliegende Vertrag stellt die vertragliche Regelung der ordnungsgemäßen Verarbeitung personenbezogener Daten durch den AN im Auftrag des AG dar. Der Verantwortliche für die Verarbeitung im Sinne des Art. 4 Nr. 7 sowie Art. 28 DSGVO ist der AG.
§ 1. Grundlage, Gegenstand, Dauer und Kündigung des Vertrags
- Die Grundlage dieses Auftrags ist der Nutzungsvertrag mit dem AN der durch die Nutzung der Software zustande kommt.
- Der Gegenstand der Datenverarbeitung ergibt sich aus der oben genannten Grundlage.
- Die Dauer dieses Auftrags entspricht der Laufzeit der oben genannten Grundlage.
Die Möglichkeit zur ordentlichen und fristlosen Kündigung ergibt sich aus den allgemeinen Geschäftsbedingungen oder, falls nicht vereinbart, aus den einschlägigen gesetzlichen Regelungen.
§ 2. Art und Zweck der Verarbeitung der Daten
- Die Art und der Zweck der Verarbeitung der personenbezogenen Daten sind weisungsgebunden und umfassen die Erfassung, Speicherung und Aufarbeitung von Informationen zu Immobilien, inkl. der die Immobilie bewohnenden Mieter. Zu dieser Verarbeitung gehört auch die Entfernung eines jeglichen Personenbezuges aus den Immobiliendaten zum Zwecke der Risikoermittlung durch unsere künstliche Intelligenz.
Zu dem genannten Zweck dürfen die Daten auf den Systemen des AG und des AN gespeichert werden.
§ 3 Art der personenbezogenen Daten und die Kategorien betroffener Personen
1. Die Arten der von der Verarbeitung erfassten Daten sind:
a. Vorname
b. Name
c. Geburtsdatum
d. Anschrift
e. Kontaktdaten
f. Bankverbindung
g. Log-In
2. Die Kategorien betroffener Personen der Datenverarbeitung sind:
a. Mieter und Nutzer
b. Interessenten
c. Dienstleister
d. Eigentümer.
§ 4 Zweckbindung und Weisungsbefugnis des AG
- Die personenbezogenen Daten des AG sind von den personenbezogenen Daten anderer AG und denen des AN getrennt zu verarbeiten. Ferner ist es dem AN untersagt, die Daten des AG für andere als für die vertragsgemäß festgelegte Aufgabenstellung zu verarbeiten oder zu nutzen. Die Übermittlung von Daten an Dritte darf nur im Rahmen der festgelegten Vertragszwecke erfolgen. Hierzu ist vorab weiterhin die Genehmigung des AG erforderlich.
- Sollte der AN eine Übermittlung der personenbezogenen Daten an ein Drittland oder eine internationale Organisation vornehmen wollen, die nicht dem Recht der Europäischen Union oder der Mitgliedstaaten unterliegt, so muss dies der AG vorab genehmigen. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen dies und eventuelle rechtliche Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der AN darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des AG berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den AN wendet, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Der AG hat das Recht, dem AN jederzeit, insbesondere hinsichtlich der Art und des Zwecks der Datenverarbeitung, Weisungen zu erteilen. Für Weisungen, die über die vertraglichen Vereinbarungen hinausgehen und auch nicht erforderlich sind, um Rechtsverstöße im Zuständigkeitsbereich des AN zu verhindern bzw. abzustellen, kann ein gesondertes Entgelt gemäß § 315 BGB verlangt werden. Der AN kann fordern, dass diese in Textform auf elektronischem Weg erteilt werden oder dass mündliche Weisungen durch den AG auf selbigem Wege bestätigt werden.
- Der AN hat den AG unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Vorschriften der DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten. Der AN ist dann berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis diese durch den AG bestätigt oder geändert wird.
- Weisungen können nur über die E-Mail abgegeben werden, die bei der Anmeldung zur Nutzung übermittelt wurde.
§ 5 Berufsgeheimnis
Berufsgeheimnisse im Sinne des § 203 StGB dürfen mit der Software nicht verarbeitet werden.
§ 6 Datenübermittlung in Drittstaaten
Jede Verlagerung der vereinbarten Datenverarbeitung in ein Drittland bedarf der vorherigen Genehmigung des AG. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet bis dahin ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, es sei denn, der AG gestattet die Datenverarbeitung in einem Drittland vorab und der AN hat sich davon überzeugt, dass bei der datenverarbeitenden Stelle im Drittland ein erforderliches Schutzniveau für die Datenverarbeitung im Sinne des Art. 44 Satz 2 DSGVO vorliegt oder hergestellt wurde. Der AN prüft für Verlagerungen der vereinbarten Datenverarbeitung in ein Drittland oder Hinzuziehung dort befindlicher Auftragsverarbeiter, dass die Einhaltung der besonderen Voraussetzungen der Art. 44 – 50 DSGVO erfüllt sind. Für die Zulässigkeit der Verlagerung in ein Drittland oder die Einbeziehung von Auftragsverarbeitern in einem Drittland trägt der AN die Verantwortung. Er hat die Zulässigkeit und die Einhaltung der DSGVO auf Verlangen des AG nachzuweisen. Werden seitens des AN mit der datenverarbeitenden Stelle Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO zur Legitimation der Datenübermittlung geschlossen, so hat der Auftragsverarbeiter, soweit erforderlich, sicherzustellen, dass neben der Verwendung von Standardvertragsklauseln zudem zusätzliche Maßnahmen in Zusammenarbeit mit der datenverarbeitenden Stelle implementiert werden, um die Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus zu gewährleisten.
§ 7 Rückgabe und Löschung der Daten
- Kopien der personenbezogenen Daten dürfen ohne Genehmigung des AG nicht erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
- Nach Abschluss der Erbringung der Verarbeitungsleistungen oder früher nach Aufforderung durch den AG – spätestens nach Kündigung oder Erfüllung des Auftrags – hat der AN sämtliche in seinen Besitz gelangten personenbezogenen Daten nach 60 Tagen zu löschen, es sei denn es gibt gesetzliche Aufbewahrungsfristen oder der AN hat ein berechtigtes Interesse an der weiteren Aufbewahrung.
- Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
§ 8 Datenschutzbeauftragter des AN
Der AN gewährleistet, dass er einen Datenschutzbeauftragten benannt hat, insofern dieser gemäß § 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO dazu verpflichtet ist, und dass der Datenschutzbeauftragte seine Tätigkeit gemäß § 38 Abs. 2 BDSG und Art. 38 und 39 DSGVO ausüben kann. Dessen Kontaktdaten sind auf der Homepage des AN abrufbar.
§ 9 Technische und organisatorische Maßnahmen zum Schutz der Daten
- Der AN gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 und Art. 5 Abs. 1 und 2 DSGVO. Diese hat der AN auf seiner Homepage zugänglich zu machen. Bei wesentlichen Änderungen gilt § 10 Abs. 1 dieses Vertrages entsprechend.
- Insgesamt handelt es sich bei den zu treffenden Maßnahmen um solche der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der involvierten Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO zu berücksichtigen. Hierzu hat der AN insbesondere die Räume, in denen sich die Daten des AG befinden, so zu sichern, dass Unbefugten der Zutritt verwehrt wird, und sicherzustellen, dass der Zugriff auf die personenbezogenen Daten Unbefugten verwehrt wird. Er muss auch verhindern, dass die Unterlagen des AG von Unbefugten gelesen, verändert, kopiert oder entfernt werden können, und seine innerbetriebliche Organisation so gestalten, dass diese den besonderen Ansprüchen des Datenschutzes gerecht wird und die Daten nur im Rahmen der Weisungen des AG verarbeitet werden und während einer Übertragung ausreichend geschützt sind. Den für die Auftragsverarbeitung zuständigen Mitarbeitern des AN müssen diese Weisungen bekannt gemacht werden.
- Die getroffenen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der AN ist dazu verpflichtet, die technischen und organisatorischen Maßnahmen dynamisch an dem Stand der Technik anzupassen. Dabei darf das vorherige Sicherheitsniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
§ 10 Einbeziehung weiterer Auftragsverarbeiter
- Der AN veröffentlicht eine Liste der vom ihm beauftragten Subunternehmer siehe unten. Bei Änderungen oder Hinzuziehung von weiteren Subunternehmern informiert der AN den AG 14 Tage vorher und gibt diesem die Gelegenheit über die, bei der Nutzung angegebene E-Mail-Adresse, zu widersprechen. Im Falle des Widerspruches hat der AN das Recht den Nutzungsvertrag mit dem AG nach § 8 der allgemeinen Geschäftsbedingungen zu kündigen.
- Als hinzugezogene Auftragsverarbeiter im Sinne dieser Regelung sind solche Dienstleister zu verstehen, die sich unmittelbar ganz oder teilweise auf die Erbringung der beauftragten Datenverarbeitung beziehen. Nicht hierzu gehören Nebenleistungen, die der AN z. B. als Telekommunikationsleistungen und Post-/Transportdienstleistungen in Anspruch nimmt.
- Zieht es der Auftragsverarbeiter in Erwägung, die Dienste eines weiteren Auftragsverarbeiters hinzuzuziehen, um bestimmte Verarbeitungstätigkeiten im Namen des AG auszuführen, so wird der AN diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Europäischen Union oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegen, die in diesem vorliegendem Vertrag zwischen AG und dem AN vereinbart sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so umgesetzt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sämtliche Änderungen dieses Vertrags zur Auftragsverarbeitung hat der AN auch hinzugezogenen Auftragsverarbeitern fortwährend aufzuerlegen.
- Der AG erhält vom AN auf Aufforderung Einblick in die relevanten Vertragsunterlagen und die entsprechenden Anlagen mit dem hinzugezogenen Auftragsverarbeiter, wobei der AN berechtigt ist, Preise und Vergütungen o. Ä. unkenntlich zu machen.
§ 11 Kontrollbefugnisse des AG
- Der AG ist gesetzlich verpflichtet, sich von der Einhaltung der in diesem Vertrag niedergelegten Pflichten, der erteilten Weisungen und der technischen und organisatorischen Maßnahmen im Sinne des § 8 beim AN zu überzeugen. Der AG hat das Recht, im Benehmen mit dem AN und seinen eingesetzten Unterauftragnehmern Überprüfungen durchzuführen oder durch die im Einzelfall zu benennendem Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der in diesem Vertrag niedergelegten Pflichten durch den AN in dessen Geschäftsbetrieb und im Geschäftsbetrieb der Unterauftragnehmer zu überzeugen. Zu diesem Zweck darf das Betriebsgelände des AN oder seines Unterauftragnehmers im Beisein eines Beauftragten des AN zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch den AG oder dessen Datenschutzbeauftragten betreten werden, damit sich von der Einhaltung der in diesem Vertrag niedergelegten Pflichten, der Weisungen und Umsetzung der Maßnahmen überzeugt werden kann.
- Der AN stellt sicher, dass sich der AG oder dessen Datenschutzbeauftragter von der Erfüllung der datenschutzrechtlichen Pflichten des AN überzeugen kann. Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte und Informationen zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
- Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO erfolgen. Wenn dem AG ausreichend, können hierzu auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. von Wirtschaftsprüfern, Revision, Datenschutzbeauftragten, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits verwendet werden.
§ 12 Unterstützungspflichten des AN
- Der AG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Soweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der AN nach besten Kräften zu unterstützen.
- Der AN unterstützt den AG angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der AN wird entsprechende Anträge nicht selbst bearbeiten bzw. beantworten, sondern diese unverzüglich an den AG weiterleiten.
- Der AN stellt dem AG auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
- Der AN unterstützt den AG bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu gehören insbesondere:
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
- die Verpflichtung, Verletzung des Schutzes personenbezogener Daten unverzüglich an den AG zu melden,
- die Verpflichtung, den AG im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen,
- die Unterstützung des AG bei der Erstellung von dessen Verzeichnis der Verarbeitungstätigkeiten, insofern sich dies auf die beauftragte Datenverarbeitung bezieht,
- die Unterstützung des AG für dessen Datenschutz-Folgenabschätzung und
- die Unterstützung des AG im Rahmen vorheriger Konsultationen der Aufsichtsbehörde.
§ 13 Informationspflichten des AN
- Der AN gewährleistet die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt.
- Sollten die Daten des AG bei dem AN durch Pfändung oder Beschlagnahmung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die „Hoheit und das Eigentum“ an den Daten ausschließlich beim AG als Verantwortlichem im Sinne der DSGVO liegen.
- Der AN hat dem AG unverzüglich – auch bei bloßem Verdacht – alle Verletzungen der Sicherheit in seinem Haus, soweit diese Auswirkungen auf die Verarbeitung von personenbezogenen Daten des AG gehabt haben bzw. haben könnten, zu melden. Gemeldet werden müssen ferner alle Vorkommnisse, die Einfluss auf den Datenbestand des AG haben können (z. B. Einbrüche, Diebstähle, Feuerschäden usw.).
§ 14 Verschwiegenheit
- Der AN sichert zu, dass das von ihm eingesetzte Personal sämtliche während der Erfüllung des Auftrags auch zufällig zugänglich gewordenen Daten geheim hält, sich weder Aufzeichnungen darüber macht noch Kopien anfertigt, entsprechende Daten nicht an Dritte weitergibt oder für eigene Zwecke nutzt.
- Für eine Unterrichtung, Verpflichtung und Schulung des durch den AN eingesetzten Personals ist der AN verantwortlich. Der AN sichert zu, dass dieser nur Personal einsetzt, das mit den Anforderungen der DSGVO und allen nationalen sowie anderen einschlägigen Datenschutzbestimmungen, den Pflichten aus dieser Verpflichtungserklärung und zur Vertraulichkeit im Sinne des Art. 28 Abs. 3 Satz 2 lit. b) DSGVO vertraut ist.
§ 15 Schlussbestimmungen
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. An die Stelle der unwirksamen Bestimmungen wird eine andere treten, die wirksam ist und die nach Inhalt und Zweck der unwirksamen Bestimmung am nächsten kommt.
Technisch organisatorische Maßnahmen (TOM)
- Zutrittskontrolle
Zutrittskontrollsystem, Magnetkarte, Chipkarte, Türsicherung (elektrische Türöffner, Gegensprechanlage), Zutrittsberechtigungsregelungen für Mitarbeiter, Umzäunung, Schutz vor direkter unberechtigter Einsichtnahme von Monitoren durch Sichtschutz/Stellwände/Milchglas Folien, Wahl eines risikoarmen Standorts
- Zugangskontrolle
Schriftliche Fixierung der Zugangsberechtigungen, Zuordnung von Benutzerprofilen zu Endgeräten, restriktive Vergabe von Zugangsberechtigungen, Regelung von Vertretungsberechtigungen, Einrichtung und Pflege einer elektronischen Benutzerverwaltung, Ausgestaltung der Passwörter möglichst nach Vorgaben des BSI (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts), Erstellung einer Passwortrichtlinie in Form einer Dienstanweisung, Einrichtung eines Passwortschutzes für Hard- und Software, Passwortvergaberegelungen, automatische Sperrung (z. B. Kennwort, Pausenschaltung oder bei mehrfachen Fehlversuchen der Nutzung), Einrichtung eines Benutzerstammsatzes pro User, Verschlüsselung von Datenträgern, Erstellung von Protokollen über Aktivitäten der DV-Anlage/Auswertung der Protokolle zur Erkennung von Unregelmäßigkeiten, Verwendung von Magnet- oder Chipkarten/biometrischen Verfahren zur Authentifikation, Vermeidung von Fernzugriffen/Fernwartungen, Verwendung von Firewalls/Antivirensoftware, Verwendung von Endgeräten ohne Netzwerkanschluss (Stand-alone-Systeme), Einrichtung von Signaturverfahren zur Nutzeridentifizierung, Verwendung von abschließbaren Tastaturen und PCs sowie Nutzung von VPN.
- Zugriffskontrolle
Festlegung der Zuständigkeit bzgl. der Zugriffsrechtevergabe, ausreichend detaillierte, abgestufte und schriftliche Fixierung der Zugriffsrechte sowie Kommunikation selbiger an die jeweiligen Rechteinhaber, differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Protokollierung und Auswertung der Zugriffe und Zugriffsversuche, technische Einschränkung der Abfrage- und Zugriffsmöglichkeiten, Zuordnung von Zugriffsrechten zu Endgeräten und Benutzerprofilen, restriktive Vergabe der Zugangsberechtigungen, Regelung von Vertretungsberechtigungen, Einrichtung eines Passwortschutzes von Datensätzen bzw. Datengruppen, Regelung der Datenlöschung bzw. Datenträgervernichtung, richtige Archivierung von Daten/Verschlussmöglichkeiten, Regelung der Zugriffsrechte auf archivierte Daten, Nutzung des Mehraugenprinzips, Sperren von Datentransferschnittstellen, Verwendung von Magnet- oder Chipkarten/biometrischen Verfahren zur Authentifikation, automatische Zugriffssperren bei mehrfachen Fehlversuchen des Zugriffs.
- Trennungskontrolle
„Interne Mandantenfähigkeit“ (Kunden- bzw. Mandantentrennung), Zweckbindung, Dokumentation von Zwecken, zu denen die Daten erhoben wurden, Erstellung eines Berechtigungskonzepts, Erlass von Dienstanweisungen zur ausschließlich zweckgebundenen Datenverarbeitung, Deaktivierung von Möglichkeiten zur Exportierung von Daten aus Systemen, Unterbindung von Datenübermittlungen, Vergabe differenzierter Zugriffsrechte, Vergabe unterschiedlicher Rollen in Systemen, Trennung von Test- und Produktivdaten,Trennung der Zuordnungsdaten von pseudonymisierten Daten, Verschlüsselung der gespeicherten Daten und Speicherung von Daten in separierten Datenbanken/Datenbanksegmenten/Computerprogrammen.
- Pseudonymisierung
Ziel der Maßnahmen: Die Verarbeitung personenbezogener Daten ist in einer Weise vorzunehmen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen zu deren Schutz unterliegen.
- Weitergabekontrolle
Aufzeichnung und Dokumentation aller durchgeführten und geplanten Übermittlungen mit Nennung des Empfängers, der Datenkategorien, des Übermittlungszwecks, des Absenders und des Datums sowie der Uhrzeit der Übermittlung, stichprobenartige Kontrolle der protokollierten Übermittlungen auf Zulässigkeit und Datenschutzkonformität, ausschließliche Vergabe von Lese- und Schreibrechten für den jeweiligen PC-Nutzer, Einschränkung der Möglichkeit eines elektronischen Verbindungsaufbaus auf berechtigte Nutzer, Nutzung eines Content-Filters/einer Firewall, Nutzung von Übertragungsprotokollen wie TLS/SSL oder SSH, Weitergabe der Daten möglichst in anonymisierter oder pseudonymisierter Form, Verbot der Speicherung sensibler Daten auf mobilen Datenträgern, Verschlüsselung/Passwortsicherung von Datenträgern.
- Eingabekontrolle
Protokollierungs- und Protokollauswertungssysteme, Protokollierung der Administratoraktivitäten über Systemprotokolle, Führung eines Berechtigungskonzepts zur Eingabe/Veränderung/Entfernung von Daten, Protokollierung der Benutzeranmeldungen an Datenverarbeitungsanlagen, Protokollierung von erfolgreichen und gescheiterten Software-Log-ins, Protokollierung der Aktivitäten auf Servern und der Systemverwalter sowie Benutzer, Dokumentation von Eingabesoftware, Einrichtung von erforderlicher Identifikation zur Nutzung von Datenverarbeitungsanlagen und Software (z. B. durch Eingabe von Nutzername und Passwort oder Fingerabdruck), Einhaltung des Mehr-Augen-Prinzips, sichere Aufbewahrung von Schichtplänen/Belegen/Dokumenten, Dokumentation von Stellvertreterregelungen sowie Abzeichnung der Belege und Dokumente und Richtigkeit über Stichprobenkontrollen.
- Verschlüsselung
Mögliche Beispiele: Verschlüsselung durch Komprimierungsprogramme (z. B. 7-Zip), kryptografische Maßnahmen, Verschlüsselung mittels Hashwerts (z. B. Blockchain-Technologie).
- Verfügbarkeit und Belastbarkeit
Mögliche Beispiele: Back-up-Verfahren, Spiegeln von Festplatten, z. B. RAID-Verfahren, unterbrechungsfreie Stromversorgung (USV), getrennte Aufbewahrung, Virenschutz, Firewall, Installierung von Schutzsteckdosenleisten, Brandschutztüren, Alarmanlagen, Blitzableiter, keine Platzierung von Servern in Räumen mit Wasserleitungen in der Raumdecke, Synchronisierung von Daten, regelmäßiger Test der Funktion der Datensicherungen und der Einspielbarkeit der gesicherten Daten, Kühlung und Belüftung von Servern, Bereitstellung von Feuerlöschern, Installierung von Brandmeldern, Durchführung von Brandschutzbegehungen, Installierung von Brandfrüherkennungsanlagen, Durchführung von internen Überprüfungen der Belastbarkeit und Belastung der Systeme sowie Durchführung von IT-Penetrationstests durch einen externen Dienstleister.
Vertretungspläne für Personal.
- Auftragskontrolle
Eindeutige Vertragsgestaltung, formalisierte Auftragserteilung, Nutzung von Auftragsformularen, Kriterien zur Auswahl des Auftragnehmers, Erstellung und Aktualisierung einer Übersicht über die ergriffenen technischen und organisatorischen Maßnahmen, Abschluss eines schriftlichen Vertrags zur Auftragsverarbeitung mit den gesetzlichen Mindestinhalten sowie darüber hinausgehenden Informationen zur genauen Auftragsgestaltung, Zugänglichmachung des Vertrags zur Auftragsverarbeitung und der Weisungen für die involvierten Beschäftigten, Erteilung einer schriftlichen Anweisung zur Einhaltung der Weisungen des Auftraggebers, Schulung der Mitarbeiter auf die Anforderungen an den Datenschutz in Auftragsverarbeitungsverhältnissen, Verpflichtung der Beschäftigten auf Einhaltung des Datenschutzes, bei Bedarf Erstellung eines Fernwartungskonzepts, Abstimmung unpräziser oder unklarer Weisungen, Datenübergaben gegen Quittierungen, Prüfung der Identität und Weisungsbefugnis von unbekannten weisungsgebenden Personen, Verschlüsselung von Daten während der Übermittlung, Trennung der Daten verschiedener Mandanten, vollständige Löschung der Daten nach Auftragsabschluss und Datenübergabe, Regelung der Daten- bzw. Datenträgervernichtung, Definierung sicherer Transport- bzw. Übermittlungswege und ausschließliche Nutzung selbiger, Dokumentation der verschiedenen Schritte der Auftragsverarbeitung, sichere Aufbewahrung von Belegen/Dokumenten über die Verarbeitung der Daten, Stichprobenkontrollen über die Einhaltung der Weisungen durch Mitarbeiter, Zuordnung und ausschließliche Verwendung von Datenträgern je Auftraggeber und keine Verwendung von Echtdaten für Testzwecke.
- Organisatorische Maßnahmen
Regelmäßige Mitarbeiterschulungen, Sicherheitskonzept, schriftlich unterschriebene Verpflichtung auf das Datengeheimnis, schriftliche Arbeitsanweisungen, Betriebsvereinbarungen, Richtlinien oder Merkblätter zum Datenschutz, schriftliche Dokumentation zum Ein- oder Austritt ins Unternehmen, schriftlich geregelte und dokumentierte Schlüsselvergabe, Dokumentation von Auskunftsersuchen, Anliegen, Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten, manuell geführte Protokolle, schriftliche Einwilligung, Verpflichtung aller Dienstleister auf den Datenschutz, Nutzung von Schweigepflichtentbindung, Prüfungen durch die interne oder externe Revision, Riskmanager, Compliance Officer, IT-Sicherheitsbeauftragten, Qualitätsmanager, etablierte Meldeprozesse für Datenschutzverstöße und Incident-Response-Management für IT-Sicherheitsvorfälle, Durchführen von internen und externen Audits, Erlangung einer Datenschutzzertifizierung, Definition und Einhaltung von Verhaltensregelungen und Selbstverpflichtungen.
- Datenschutzfreundliche Voreinstellung
Mögliche Beispiele: Voreinstellung der Löschfristen innerhalb einer Software. Begrenzung innerhalb der Software auf die erforderlichen Daten, die für die jeweiligen Bearbeitungsprozesse notwendig sind.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Mögliche Beispiele: Durchführung regelmäßiger Audits. Die technischen und organisatorischen Maßnahmen müssen stetig dem Stand der Technik entsprechen.
Liste der Subunternehmer:
Stripe Payments Europe Limited
Stripe Payments Europe Limited (1 Grand Canal Street Lower,
Grand Canal Dock, Dublin, D02 H210, Ireland; „Stripe“). https://stripe.com/de.
Feedback
„Feedbackbutton“, ein Service der Feedback Button (10705 Vernon Avenue Huntington Woods, Michigan 48070, USA; im Folgenden: „Feedbacktool“).
Google Adressen Autovervollständigung und Validierung
Diese Dienste werden von Google LLC, 1600 Amphitheatre Parkway, Mountain
View, CA 94043, USA angeboten.