Auftragsverarbeitungsvertrag
1 Definitionen
1.1 Die in diesem Auftragsverarbeitungsvertrag (“AVV”) definierten Begriffe haben die gleiche Bedeutung, und es gelten die gleichen Auslegungsregeln wie im übrigen Teil unseres Vertrages. Darüber hinaus haben in diesem AVV nachfolgende Begriffe folgende Bedeutungen:
• Angemessene Sicherheitsvorkehrungen bezeichnet den/die rechtlich durchsetzbare(n) Mechanismus(en) für die Übermittlung personenbezogener Daten, der/die nach den Datenschutzgesetzen zulässig ist/sind;
• Antrag einer betroffenen Person bedeutet ein Antrag einer betroffenen Person auf Ausübung der Rechte der betroffenen Person nach den Datenschutzgesetzen;
• Anwendbares Recht bedeutet das jeweils geltende Recht der Europäischen Union (EU), des Europäischen Wirtschaftsraumes (EWR) oder eines Mitgliedsstaates der EU oder des EWR gemeinsam mit dem jeweils geltenden Recht in Deutschland;
• Aufsichtsbehörde bedeutet jede lokale, nationale oder multinationale Einrichtung, Abteilung, jeder Beamte, jedes Parlament, jede Person des öffentlichen Lebens oder juristische Person oder jede staatliche Stelle oder Berufsorganisation, Regulierungs- oder Aufsichtsbehörde, Verwaltungsrat oder sonstige Stelle, die für die Durchführung der Datenschutzgesetze zuständig ist;
• Auftragsverarbeiter hat die in den Datenschutzgesetzen für diesen Begriff vorgesehene Bedeutung;
• Betroffene Person hat die in den Datenschutzgesetzen für diesen Begriff vorgesehene Bedeutung;
• Datenschutzgesetze bezeichnet alle anwendbaren Gesetze in Bezug auf die Verarbeitung, den Datenschutz und/oder die Verwendung von persönlichen Daten, die auf eine der Parteien oder die Dienste anwendbar sind, einschließlich der folgenden Gesetze, soweit sie unter den gegebenen Umständen anwendbar sind:
(a) die DSGVO;
(b) das Bundesdatenschutzgesetz;
(c) alle Gesetze, die solche Gesetze umsetzen; und
(d) alle Gesetze, die einen der vorstehenden Punkte ersetzen, erweitern, wieder in Kraft setzen, konsolidieren oder ändern;
• Datenschutz-Schäden bedeutet alle Verbindlichkeiten, einschließlich aller:
(a) Kosten (einschließlich Prozesskosten), Ansprüche, Forderungen, Klagen, Vergleiche, Zinsen, Gebühren, Verfahren, Aufwendungen, Verluste und Schäden (einschließlich materielle und immaterielle Schäden); und
(b) in dem nach anwendbarem Recht zulässigen Umfang:
(i) Geldbußen, Strafen, Sanktionen, Inanspruchnahmen oder andere von einer Aufsichtsbehörde verhängte Rechtsfolgen;
(ii) Entschädigungen, die von einer Aufsichtsbehörde angeordnet und an eine betroffene Person gezahlt werden; und
(iii) die angemessenen Kosten für die Folgeleistung im Rahmen von Untersuchungen durch eine Aufsichtsbehörde;
• DSGVO bedeutet die Datenschutz-Grundverordnung, Verordnung (EU) 2016/679;
• Eingeschränkte Übermittlung bedeutet die Übermittlung geschützter Daten vom Kunden an den Anbieter, die nach den Datenschutzgesetzen verboten wäre, wenn der Kunde und der Anbieter nicht die Standardvertragsklauseln abschließen würden;
• Geschäftsbedingungen bedeutet die neueste Version der regelmäßig aktualisierten Geschäftsbedingungen des Anbieters;
• Geschützte Daten bedeutet personenbezogene Daten in den Kundendaten;
• Personenbezogene Daten hat die in den Datenschutzgesetzen für diesen Begriff vorgesehene Bedeutung;
• Standardvertragsklauseln bedeutet die, von der Europäischen Kommission als geeignete Garantie übernommene Standardvertragsklauseln, welche die Anforderungen der eingeschränkte Übermittlung erfüllen;
• Übermittlung hat die gleiche Bedeutun, wie das Wort „Übermittlung“ im Artikel 44 der DSGVO; ähnliche Begriffe wie „Übermitten“ und „Übertragung“ sind entsprechend auszulegen.
• Unter-Auftragsverarbeiter bedeutet einen weiteren Auftragsverarbeiter, der durch den Anbieter mit der Durchführung der Verarbeitung der geschützten Daten im Namen des Kunden beauftragt wurde;
• Verantwortlicher hat die in den Datenschutzgesetzen für diesen Begriff vorgesehene Bedeutung;
• Verarbeitung hat die Bedeutungen, die diesem Begriff in den Datenschutzgesetzen gegeben werden (und verwandte Begriffe wie Verarbeiten haben entsprechende Bedeutungen);
• Verarbeitungsanweisungen hat die Bedeutung, die diesem Begriff in Ziff. 3.1.1 gegeben wird;
• Verletzung des Schutzes personenbezogener Daten bedeutet jede Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf geschützte Daten führt;
2 Auftragsverarbeiter und Aufsicht
2.1 Die Parteien vereinbaren, dass für die geschützten Daten der Kunde der Verantwortliche und der Anbieter der Auftragsverarbeiter ist. Keine Bestimmung dieser Vereinbarung entbindet den Kunden von seiner datenschutzrechtlichen Veantwortlichkeit oder Haftung.
2.2 Der Anbieter verarbeitet die geschützten Daten in Übereinstimmung mit:
2.2.1 den Verpflichtungen aus den Datenschutzgesetzen hinsichtlich der Erfüllung seiner und ihrer Verpflichtungen aus unserem Vertrag; und
2.2.2 den Bestimmungen unseres Vertrags.
2.3 Der Kunde muss sicherstellen, dass seine verbundenen Unternehmen und alle berechtigten Nutzer jederzeit Folgendes befolgen:
2.3.1 alle Datenschutzgesetze im Zusammenhang mit der Verarbeitung geschützter Daten, der Nutzung der Dienste (und jedes Teils davon) und der Ausübung und Erfüllung ihrer jeweiligen Rechte und Pflichten im Rahmen unseres Vertrages, einschließlich der Führung aller relevanten behördlichen Registrierungen und Benachrichtigungen, wie in den Datenschutzgesetzen gefordert; und
2.3.2 die Bestimmungen unseres Vertrags.
2.4 Der Kunde gewährleistet, versichert und verpflichtet sich, Folgendes jederzeit einzuhalten:
2.4.1 alle geschützten Daten (wenn sie in Übereinstimmung mit unserem Vertrag verarbeitet werden) müssen in jeder Hinsicht, auch in Bezug auf ihre Erhebung, Speicherung und Verarbeitung, den Datenschutzgesetzen entsprechen;
2.4.2 alle geschützten Daten müssen der Ziff. 9.2 der Allgemeinen Geschäftsbedingungen entsprechen;
2.4.3 den betroffenen Personen wurden angemessene Informationen über die Verarbeitung und sonstige Informationen gewährt (und alle gff notwendigen Einwilligungen von diesen betroffenen Personen eingeholt und jederzeit aufrechterhalten), soweit dies nach den Datenschutzgesetzen im Zusammenhang mit allen Verarbeitungsaktivitäten in Bezug auf die geschützten Daten, die vom Anbieter und seinen Unter-Auftragsverarbeitern gemäß unserem Vertrag durchgeführt werden können, erforderlich ist;
2.4.4 die geschützten Daten sind korrekt und auf dem neuesten Stand;
2.4.5 die vollständigen und genauen Sicherungskopien aller geschützten Daten, die dem Anbieter (oder einer in seinem Namen handelnden Person) zur Verfügung gestellt werden, werden aufbewahrt, um zu ermöglichen, diese geschützten Daten im Falle von Verlust, Beschädigung oder Verfälschung dieser geschützten Daten durch den Anbieter oder eine andere Person sofort wiederherzustellen und zu rekonstruieren; und
2.4.6 alle dem Anbieter in Bezug auf personenbezogene Daten erteilten Anweisungen müssen jederzeit im Einklang mit den Datenschutzgesetzen stehen.
3 Anweisungen und Einzelheiten der Verarbeitung
3.1 Soweit der Anbieter geschützte Daten im Auftrag des Kunden verarbeitet, wird der Anbieter:
3.1.1 die geschützten Daten nur nach den dokumentierten Weisungen des Kunden, wie in diesem Abschnitt 3.1 und den Abschnitten 3.3 und 3.4 (Verarbeitungsvorschriften) oder von einem vereinbarten Kundenvertreter zu einem vereinbarten Lieferantenvertreter verarbeiten (und Maßnahmen ergreifen, um sicherzustellen, dass diese erfolgt für jede Person, die unter seiner Autorität handelt), es sei denn, das geltende Recht schreibt etwas anderes vor;
3.1.2 wenn das anwendbare Recht verlangt, dass er geschützte Daten anders als in Übereinstimmung mit den Verarbeitungsanweisungen verarbeitet, den Kunden vor der Verarbeitung der geschützten Daten über eine solche Anforderung informieren (es sei denn, das anwendbare Recht verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses); und
3.1.3 den Kunden unverzüglich informieren, wenn der Anbieter Kenntnis von einer Verarbeitungsanweisung erhält, die nach Ansicht des Anbieters gegen Datenschutzgesetze verstößt. Soweit es das zwingende Recht zulässt, übernimmt der Anbieter keinerlei Haftung (weder aus Vertrag, unerlaubter Handlung (einschließlich Fahrlässigkeit) oder anderweitig) für Verluste, Kosten, Ausgaben oder Verbindlichkeiten (einschließlich Datenschutzverluste), die sich aus oder im Zusammenhang mit einer Verarbeitung gemäß den Verarbeitungsanweisungen des Kunden nach Erhalt dieser Informationen durch den Kunden ergeben.
3.2 Der Kunde ist verpflichtet, sicherzustellen, dass alle berechtigten verbundenen Unternehmen und berechtigten Nutzer die Datenschutzrichtlinie (in der jeweils aktualisierten Fassung) gelesen und verstanden haben.
3.3 Der Kunde nimmt zur Kenntnis und stimmt zu, dass die Ausführung eines Computerbefehls zur Verarbeitung (einschließlich der Löschung) geschützter Daten, die bei der Nutzung eines der abonnierten Dienste durch einen berechtigten Nutzer erfolgt, eine Verarbeitungsanweisung darstellt. Der Kunde stellt sicher, dass berechtigte Nutzer einen solchen Befehl nur mit Zustimmung des Kunden (und aller anderen relevanten Verantwortlichen) ausführen, und bestätigt, dass der Anbieter nicht verpflichtet ist, sich um die Wiederherstellung geschützter Daten zu bemühen, wenn diese aufgrund eines solchen Befehls gelöscht werden.
3.4 Vorbehaltlich des Auftrags erfolgt die Verarbeitung der geschützten Daten durch den Anbieter für die Dauer und zu Zwecken unseres Vertrages und umfasst die in Anhang 1 aufgeführten Arten von personenbezogenen Daten und Kategorien von betroffenen Personen.
4 Technische und organisatorische Maßnahmen
4.1 Unter Berücksichtigung der Art der Verarbeitung hat der Anbieter geeignete technische und organisatorische Maßnahmen (siehe Anhang 2) zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung geschützter Daten und vor versehentlichem Verlust oder versehentlicher Zerstörung oder Beschädigung geschützter Daten zu treffen und aufrechtzuerhalten, die dem Schaden, der sich aus der unbefugten oder unrechtmäßigen Verarbeitung oder dem versehentlichen Verlust, der versehentlichen Zerstörung oder Beschädigung ergeben könnte, und der Art der zu schützenden geschützten Daten unter Berücksichtigung des Stands der technologischen Entwicklung angemessen sind.
5 Einsatz von Personal und anderen Verarbeitern
5.1 Der Kunde erteilt dem Verarbeiter hiermit eine allgemeine Ermächtigung zur Ernennung der auf der Webseite des Anbieters unter www.esendex.co.uk/subprocessors (Webseite) aufgeführten Unter-Auftragsverarbeiter. Der Anbieter kann die Website von Zeit zu Zeit aktualisieren und informiert den Kunden per E-Mail über jede Aktualisierung der Website, sofern der Kunde seine E-Mail-Adresse auf der Website registriert. Der Kunde hat die Möglichkeit, innerhalb von 20 Tagen nach Vornahme einer Änderung durch schriftliche Mitteilung an den Anbieter Einspruch gegen jede Ergänzung oder jeden Ersatz zu erheben. Im Falle des Einspruchs ist der Anbieter berechtigt, den Vertrag außerordentlich zu kündigen, sofern die vertraglich vereinbarte Leistung ohne die Ergänzung oder den Ersatz des betreffenden Unter-Auftragsverarbeiters unmöglich wird.
5.2 Der Anbieter:
5.2.1 muss, bevor der betreffende Unter-Auftragsverarbeiter Verarbeitungsaktivitäten in Bezug auf die geschützten Daten durchführt, jeden Unter-Auftragsverarbeiter im Rahmen eines schriftlichen Vertrags beauftragen, der im Wesentlichen die gleichen Verpflichtungen wie unter den Absätzen 2 bis (einschließlich) 12 enthält und der vom Anbieter durchsetzbar ist (einschließlich der Bestimmungen, die sich auf ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen beziehen);
5.2.2 hat sicherzustellen, dass jeder dieser Unter-Auftragsverarbeiter alle diese Verpflichtungen erfüllt; und
5.2.3 bleibt in vollem Umfang für alle Handlungen und Unterlassungen jedes Unter-Auftragsverarbeiters haftbar, als wären es seine eigenen.
5.3 Der Anbieter stellt sicher, dass alle Personen, die von ihm (oder einem Unter-Auftragsverarbeiter) zur Verarbeitung geschützter Daten autorisiert sind, einer verbindlichen schriftlichen vertraglichen Verpflichtung unterliegen, die geschützten Daten vertraulich zu behandeln (es sei denn, dass eine Offenlegung gemäß anwendbarem Recht erforderlich ist; in diesem Fall wird der Anbieter, soweit durchführbar und nicht durch anwendbares Recht verboten, den Kunden vor einer solchen Offenlegung über eine solche Anforderung informieren).
6 Unterstützung bei der Einhaltung der Vorschriften und Rechte von betroffenen Personen
6.1 Der Anbieter leitet alle bei ihm eingehenden Anfragen von betroffenen Personen unverzüglich an den Kunden weiter.
6.2 Der Anbieter leistet dem Kunden die angemessene Unterstützung, die der Kunde begründetermaßen benötigt (unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter zur Verfügung stehenden Informationen), um die Einhaltung der datenschutzrechtlichen Verpflichtungen des Kunden zu gewährleisten in Bezug auf:
6.2.1 die Sicherheit der Verarbeitung;
6.2.2 Datenschutz-Folgenabschätzungen (entsprechend der Definition dieses Begriffs in den Datenschutzgesetzen);
6.2.3 vorherige Konsultation mit einer Aufsichtsbehörde bezüglich hoher Risiken der Verarbeitung; und
6.2.4 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und/oder Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person durch den Kunden als Reaktion auf eine Verletzung des Schutzes personenbezogener Daten,
7 Internationale Datenübermittlung
7.1 Wenn die Übermittlung geschützter Daten vom Kunden an den Anbieter eine eingeschränkte Übermittlung bedeutet, gelten die Standardvertragsklauseln für diesen AVV. Im Falle eines Widerspruchs oder einer Unvereinbarkeit zwischen den Bestimmungen dieses Nachtrags zum Datenschutz und den Standardvertragsklauseln gelten die Standardvertragsklauseln.
7.2 Der Anbieter darf keine geschützten Daten in ein Land außerhalb des EWR übermitteln, es sei denn:
7.2.1 eine solcher Übermittlung erfolgt ausschließlich für den in Anhang 1 dargelegten Zweck;
7.2.2 es wurde ein Angemessenheitsbeschluss in Bezug auf das betreffende Land durch die Europäische Kommission erlassen oder es wurden angemessene Sicherheitsvorkehrungen getroffen;
7.2.3 die betroffene Person hat durchsetzbare Rechte und wirksame Rechtsmittel; und
7.2.4 eine solche Übermittlung steht in Übereinstimmung mit den Datenschutzgesetzen und unserem Vertrag, und die Bestimmungen unseres Vertrages bestimmen die Anweisungen des Kunden in Bezug auf Übermittlungen gemäß Ziff. 3.1.1 .
8 Information und Audit
8.1 Der Anbieter führt in Übereinstimmung mit den für den Anbieter verbindlichen Datenschutzgesetzen schriftliche Aufzeichnungen über alle Kategorien von Verarbeitungsaktivitäten, die im Auftrag des Kunden durchgeführt werden.
8.2 Der Anbieter wird auf Anfrage des Kunden in Übereinstimmung mit den Datenschutzgesetzen dem Kunden die Informationen zur Verfügung stellen, die angemessenerweise notwendig sind, um die Einhaltung der Verpflichtungen des Anbieters gemäß diesem Nachtrag zum Datenschutz und Artikel 28 der DSGVO (und gemäß allen Datenschutzgesetzen, die diesem Artikel 28 entsprechen) nachzuweisen, und Audits, einschließlich Inspektionen, durch den Kunden (oder einen anderen vom Kunden beauftragten Auditor) zu diesem Zweck ermöglichen, vorausgesetzt, dass:
8.2.1 ein solches Audit, Inspektion oder Informationsanforderung begründet ist, sich auf Informationen, die sich im Besitz oder unter der Kontrolle des Anbieters (oder eines Unter-Auftragsverarbeiters) befinden, beschränkt und der Kunde den Anbieter über eine solche Prüfung, Inspektion oder Informationsanforderung angemessen im Voraus informiert;
8.2.2 der Kunde die entstandenen angemessenen Kosten des Anbieters für die Zulassung von Audits oder Inspektionen begleicht (es sei denn, dass ein solches Audit oder eine solche Inspektion von einer Aufsichtsbehörde verlangt wird oder auf einen Verstoß des Anbieters gegen diesen AVV zurückzuführen ist); der Anbieter hat die voraussichtlichen Kosten, die sich auf Grundlage des zu erwartenden Aufwands der beteiligten Mitarbeiter des Anbieters ergeben, dem Kunden vorab mitzuteilen;
8.2.3 die Parteien (die jeweils vernünftig handeln und ihr Einverständnis nicht ohne Grund zurückhalten oder verzögern) den Zeitpunkt vereinbaren, den Umfang und die Dauer des Audits, der Inspektion oder der Informationsfreigabe zusammen mit allen spezifischen Richtlinien oder anderen Schritten, die der Kunde oder der Auditor als Dritter einhalten muss (einschließlich des Schutzes der Sicherheit und Vertraulichkeit anderer Kunden, um sicherzustellen, dass der Anbieter nicht gegen eine andere Vereinbarung mit einem anderen Kunden verstößt, und um den Rest dieser Ziff. 8.2 einzuhalten);
8.2.4 die Rechte des Kunden gemäß diesem Absatz 8.2 nur einmal in jedem aufeinanderfolgenden 12-Monatszeitraum ausgeübt werden können, es sei denn, eine Aufsichtsbehörde verlangt etwas anderes oder der Kunde ist (begründeterweise) der Ansicht, dass der Anbieter gegen diesen AVV verstößt;
8.2.5 der Kunde dem Anbieter unverzüglich jeden durch das Audit, die Inspektion oder die Freigabe von Informationen festgestellten Verstoß melden muss;
8.2.6 der Kunde sicherstellt, dass alle Informationen, die der Kunde oder sein(e) Auditor(en) im Zusammenhang mit solchen Informationsanfragen, Inspektionen und Audits erhalten oder erzeugt hat, streng vertraulich behandelt werden (mit Ausnahme der Offenlegung, die nach geltendem Recht erforderlich ist);
8.2.7 der Kunde sicherstellt, dass solche Audits oder Inspektionen während der normalen Geschäftszeiten und mit minimaler Unterbrechung der Geschäfte des Anbieter und jedes Unter-Auftrasverarbeiters durchgeführt werden; und
8.2.8 der Kunde sicherstellt, dass jede Person, die in seinem Namen im Zusammenhang mit einer solchen Prüfung oder Inspektion handelt (einschließlich des Personals eines externen Auditors), während der Durchführung einer solchen Prüfung oder Inspektion durch keine Handlung oder Unterlassung eine Beschädigung, Zerstörung, einen Verlust oder eine Verfälschung von oder an Systemen, Ausrüstung oder Daten, die sich in der Kontrolle oder im Besitz des Anbieters oder eines Unter-Auftragsverarbeiters befinden, verursacht oder dazu beiträgt.
9 Melden eines Verstoßes
9.1 In Bezug auf jede Verletzung des Schutzes personenbezogener Daten, die geschützte Daten betrifft, muss der Anbieter unverzüglich:
9.1.1 den Kunden über die Verletzung des Schutzes personenbezogener Daten informieren; und
9.1.2 dem Kunden Einzelheiten über die Verletzung des Schutzes personenbezogener Daten mitteilen.
10 Löschen geschützter Daten und Kopien
Nach dem Ende der Erbringung der Dienste (oder eines Teils davon) im Zusammenhang mit der Verarbeitung geschützter Daten muss der Anbieter die geschützten Daten gemäß seinen Verpflichtungen aus unserem Vertrag vernichten. Der Anbieter haftet nicht für die Löschung oder Vernichtung (gleich auf welcher Grundlage, einschließlich bei Fahrlässigkeit) solcher geschützter Daten, die in Übereinstimmung mit unserem Vertrag durchgeführt wurden.
11 Entschädigung und Ansprüche
11.1 Vorbehaltlich Ziff. 13 der Allgemeinen Geschäftsbedingungen haftet der Anbieter für Datenschutz-Schäden im Rahmen oder in Verbindung mit unserem Vertrag (gleichgültig, ob aus Vertrag, unerlaubter Handlung (einschließlich Fahrlässigkeit) oder anderweitig):
11.1.1 nur in dem Umfang, der durch die Verarbeitung geschützter Daten im Rahmen unseres Vertrages verursacht wurde und sich direkt aus der Verletzung unseres Vertrages durch den Anbieter ergibt; und
11.1.2 unter keinen Umständen in dem Umfang, in dem Datenschutz-Schäden (oder die Umstände, die dazu führen) zu einer Verletzung unseres Vertrages durch den Kunden beitragen oder durch diese verursacht werden (einschließlich in Übereinstimmung mit Absatz 3.1.3 b)).
11.2 Wenn gegen eine Partei ein Entschädigungsanspruch von einer Person im Zusammenhang mit der Verarbeitung geschützter Daten in Verbindung mit unserem Vertrag oder den Diensten geltend gemacht wird, muss sie die andere Partei unverzüglich darüber informieren und ihr alle Einzelheiten dieses Anspruchs mitteilen. Die Partei, welche das Verfahren führt, soll:
11.2.1 kein Schuldanerkenntnis abgeben und keinem Vergleich oder einer Regelung über den betreffenden Anspruch zustimmen, ohne die vorherige schriftliche Zustimmung der anderen Partei (die nicht unangemessen verweigert oder verzögert werden darf); und
11.2.2 sich in Bezug auf eine solche Klage umfassend mit der anderen Partei beraten, wobei die Bedingungen eines Vergleichs oder einer sonstigen Regelung über die Forderung ausschließlich in der Entscheidung der Partei liegen, die gemäß unserem Vertrag für die Zahlung der Entschädigung verantwortlich ist.
11.3 Dieser Absatz 11 soll für die Haftungsverteilung für Datenschutz-Schäden zwischen den Parteien gelten, einschließlich in Bezug auf die Entschädigung von Betroffenen, ungeachtet anders lautender Bestimmungen der Datenschutzgesetze, ausgenommen:
11.3.1 soweit dies nach anwendbarem Recht (einschließlich der Datenschutzgesetze) nicht zulässig ist; und
11.3.2 in Bezug auf die Haftung beider Parteien gegenüber betroffenen Personen.
12 Fortgeltung
Dieser Nachtrag zum Datenschutz gilt auch nach Beendigung (gleich aus welchem Grund) oder Auslaufen unseres Vertrages und solange fort, bis sich keine geschützten Daten mehr im Besitz oder unter der Kontrolle des Anbieters oder eines Unter-Auftragsverarbeiters befinden, mit der Ausnahme, dass die Absätze 10 bis (einschließlich) 12 auf unbestimmte Zeit bestehen bleiben
Anhang 1
Einzelheiten der Datenverarbeitung
Gegenstand der Verarbeitung:
Versenden von Geschäftskommunikation
Dauer der Verarbeitung:
Bis zur endgültigen Beendigung oder bis zum endgültigen Ablauf unseres Vertrages, je nachdem, was früher eintritt, sofern in unserem Vertrag nicht ausdrücklich etwas anderes bestimmt ist
Art und Zweck der Verarbeitung:
Verarbeitung im Einklang mit den Rechten und Pflichten der Parteien gemäß unserem Vertrag;
Verarbeitung, die begründetermaßen erforderlich ist zur Erbringung der Dienste;
Verarbeitung, wie sie von berechtigten Nutzern in Verbindung mit ihrer Nutzung der Dienste oder vom Kunden initiiert, angefordert oder angewiesen wurde, jeweils in einer Weise, die mit unserem Vertrag vereinbar ist; und/oder
In Bezug auf jeden abonnierten Dienst, ansonsten in Übereinstimmung mit der Art und dem Zweck, die in seiner Bestellung angegeben sind;
Art der persönlichen Daten:
Name;
Adresse;
Mobilfunknummer; und
wie im Auftrag näher beschrieben.
Kategorien von betroffenen Personen:
Kunden und/oder Mitarbeiter des Kunden
Anhang 2
Diese Maßnahmen beschreiben, wie Commify die sichere Verarbeitung personenbezogener Daten gemäß Art. 32 DSGVO gewährleistet.
Während Commify die Plattform und die Bürosicherheit verwaltet, fungiert Microsoft Azure als unser Cloud-Service-Provider (CSP) und ist für die physische und umweltbezogene Sicherheit der Rechenzentren und der zugrunde liegenden Infrastruktur verantwortlich („Cloud-Sicherheit“).
Technische und organisatorische Maßnahmen
2.1 Zugangskontrolle (Physische Sicherheit)
Zweck: Unbefugten den physischen Zugang zu Datenverarbeitungsanlagen verwehren.
Umgesetzte Maßnahmen:
Bürosicherheit: Der Zugang wird durch manuelle Schließsysteme mit einem robusten Schlüsselmanagementprozess eingeschränkt.
Besuchermanagement: Besucher unserer Büros müssen jederzeit von Mitarbeitern begleitet werden.
Dienstprüfung: Dienstleistungen, die Zugang zu unseren physischen Büros benötigen, werden sorgfältig ausgewählt und geprüft.
Umgesetzte Maßnahmen in der Cloud-Infrastruktur (Microsoft Azure):
Perimetersicherheit der Rechenzentren: Einsatz physischer Barrieren, einschließlich Hochsicherheitszäunen, biometrischen Zugangskontrollpunkten und professionellem Sicherheitspersonal.
Überwachung: Videoüberwachung rund um die Uhr und automatisierte Alarmsysteme bei unbefugten Zugriffsversuchen.
2.2 Systemzugriffskontrolle (Logisch)
Zweck: Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen (Computer und Netzwerke).
Umgesetzte Maßnahmen:
Authentifizierung: Obligatorische Anmeldung mit einer eindeutigen Kombination aus Benutzername und Passwort.
Biometrischer Zugriff: Anmeldung gegebenenfalls über biometrische Daten gesichert.
Endpunkt- und Serversicherheit: Einsatz von Antivirensoftware auf Servern und Clientgeräten.
Netzwerkschutz: Implementierung von Firewalls und Intrusion-Detection-Systemen (IDS).
Mobile Sicherheit: Zentrale Geräteverwaltung über Mobile Device Management (MDM).
Sicherer Fernzugriff: Obligatorische Nutzung eines VPN (Virtual Private Network) für alle Fernzugriffe auf die Infrastruktur.
Verschlüsselung: Vollständige Verschlüsselung aller Datenträger, einschließlich Notebooks, Tablets und Smartphones.
Hardwaresicherheit: BIOS-Schutz mit separaten Passwörtern und Sperrung externer Schnittstellen (z. B. USB-Anschlüsse).
Automatisierter Schutz: Implementierung einer automatischen Desktop-Sperrrichtlinie.
Benutzerverwaltung: Formale Verfahren zur Verwaltung von Benutzerberechtigungen und zur Erstellung spezifischer Benutzerprofile.
Passwortverwaltung: Zentralisierte Passwortvergabe gemäß einer sicheren Passwortrichtlinie.
Interne Richtlinien: Durchsetzung einer Clean-Desk-Richtlinie und Anforderungen für die manuelle Desktop-Sperre.
Datengovernance: Einhaltung einer allgemeinen Datenschutz- und Sicherheitsrichtlinie, einer Richtlinie für mobile Geräte und von Datenlöschprozessen.
2.3 Datenzugriffskontrolle
Zweck: Sicherstellen, dass autorisierte Benutzer nur auf Daten innerhalb ihres jeweiligen Aufgabenbereichs zugreifen können. Umgesetzte Maßnahmen:
Nutzung von Autorisierungskonzepten: Implementierung eines strengen rollenbasierten Zugriffskontrollsystems (RBAC), um sicherzustellen, dass der Datenzugriff auf den Aufgabenbereich eines Mitarbeiters beschränkt ist.
Verwaltung von Benutzerrechten: Zentralisierte Verwaltung von Benutzerberechtigungen, die ausschließlich von autorisierten Administratoren verwaltet werden.
Protokollierung des Anwendungszugriffs: Umfassende technische Protokollierung der Systeminteraktionen, insbesondere Erfassung der Eingabe, Änderung und Löschung von Daten, um einen lückenlosen Prüfpfad zu gewährleisten.
Physische Löschung von Datenträgern: Sichere und endgültige Außerbetriebnahme von Speichermedien, um sicherzustellen, dass Daten nach der Verwendung nicht wiederhergestellt werden können.
Papierloses Büro: Operative Verpflichtung zu einer papierlosen Arbeitsumgebung, um das Risiko einer unbefugten physischen Offenlegung von Daten zu minimieren.
2.4 Trennung und Pseudonymisierung
Zweck: Sicherstellen, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet werden können und nicht in verschiedenen Kundenumgebungen vermischt werden.
Umgesetzte Maßnahmen:
Trennung von Produktions- und Testumgebungen: Strikte logische oder physische Trennung zwischen Live-Produktionsdaten und Entwicklungs-/Testumgebungen, um versehentliche Datenoffenlegung zu verhindern.
Mandantenfähigkeit: Anwendungen sind mandantenfähig konzipiert, um die strikte Trennung von Datensätzen verschiedener Kunden zu gewährleisten.
Zugriffskontrolle durch Autorisierung: Granulare Zugriffskontrollen stellen sicher, dass Benutzer nur auf die für ihre Rolle erforderlichen Datensätze zugreifen.
Definition von Datenbankrechten: Strenge Verwaltung von Datenbankberechtigungen zur Beschränkung des Zugriffs nach dem Prinzip der minimalen Berechtigungen.
2.5 Kontrolle der Offenlegung
Zweck: Sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können und dass überprüft werden kann, welche Stellen die Daten erhalten sollen.
Umgesetzte Maßnahmen:
Verschlüsselte Verbindungen: Die Datenübertragung erfolgt über sichere, branchenübliche Protokolle.
E-Mail-Verschlüsselung: Die E-Mail-Kommunikation wird verschlüsselt, um den Inhalt der Nachrichten während der Übertragung zu schützen.
Sicherer Fernzugriff: Die Nutzung eines VPN (Virtual Private Network) ist für die sichere Datenübertragung über öffentliche Netzwerke obligatorisch.
Zugriffsprotokollierung: Alle Datenzugriffe und -abrufe werden systematisch protokolliert, um einen lückenlosen Prüfpfad der Datenbewegungen zu gewährleisten. Für jeden physischen Datentransport werden sichere Transportmittel verwendet.
Dokumentation und Überwachung: Es wird eine detaillierte Dokumentation zu Datenempfängern, der Dauer geplanter Übertragungen und festgelegten Löschfristen geführt.
Prozesstransparenz: Alle regelmäßigen Datenabruf- und -übertragungsprozesse sind transparent.
Datenminimierung: Daten werden, soweit möglich, anonymisiert oder pseudonymisiert übertragen, um Risiken zu minimieren.
Protokolle für physische Datentransporte: Bei physischen Daten gewährleisten wir eine persönliche Übergabe gemäß einem formalen Protokoll und wählen Transportpersonal und -fahrzeuge mit größter Sorgfalt aus.
2.6 Eingabekontrolle
Zweck: Sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder gelöscht wurden.
Umgesetzte Maßnahmen:
Individuelle Rückverfolgbarkeit: Alle Dateneingaben, -änderungen und -löschungen sind den jeweiligen Benutzernamen zugeordnet, wodurch eine klare Verantwortlichkeit gewährleistet wird.
Technische Protokollierung: Systematische elektronische Protokollierung aller Eingabe-, Änderungs- und Löschvorgänge innerhalb der Plattform.
Protokollverwaltung: Implementierung manueller und automatisierter Kontrollen zur Überprüfung und Überwachung der Systemprotokolle auf Unregelmäßigkeiten.
Berechtigungsbasierte Rechte: Rechte zur Eingabe, Änderung oder Löschung von Daten werden streng nach einem formalen Berechtigungskonzept gemäß dem Prinzip der minimalen Berechtigungen vergeben.
Anwendungsübersicht: Pflege einer umfassenden Übersicht, die festlegt, welche Programme die Eingabe, Änderung oder Löschung von Daten ermöglichen.
Verantwortlichkeit für die Datenlöschung: Klar definierte Rollen und Verantwortlichkeiten für die Datenlöschung gewährleisten die Einhaltung der Anforderungen des Datenlebenszyklus.
2.7. Verfügbarkeit und Ausfallsicherheit
Zweck: Sicherstellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind und Systeme zeitnah wiederhergestellt werden können.
Infrastrukturmaßnahmen (verwaltet von Microsoft Azure):
Umweltsicherheit: Moderne Brand- und Rauchmeldesysteme, einschließlich spezieller Feuerlöscher für Serverumgebungen.
Klimatisierung: Kontinuierliche Überwachung von Temperatur und Luftfeuchtigkeit mit Klimaanlagen in Industriequalität.
Stromversorgungssicherheit: Einsatz von unterbrechungsfreien Stromversorgungen (USV) und Schutzsteckdosenleisten zur Vermeidung von Stromausfällen.
Physische Überwachung: Videoüberwachung der Serverräume rund um die Uhr und automatische Alarmbenachrichtigungen bei unbefugten Zugriffsversuchen.
Hardware-Ausfallsicherheit: Nutzung redundanter Netzwerkverbindungen, redundanter Stromversorgung und Kühlung, Hardware-, Cluster- und Rack-Redundanz sowie regelmäßige Übungen zur Sicherstellung der Verfügbarkeit in der gesamten Region.
Organisatorische Maßnahmen (verwaltet von Commify Germany):
Redundanzplanung: Nutzung der Multi-Availability-Zone-Infrastruktur von Azure zur Gewährleistung der Servicekontinuität.
2.8. Datenschutzmanagement
Zweck: Sicherstellen, dass die Verarbeitung personenbezogener Daten gemäß den Anforderungen der DSGVO erfolgt und die Wirksamkeit der Sicherheitsmaßnahmen regelmäßig überprüft wird.
Umgesetzte Maßnahmen:
Zentrale Dokumentation: Datenschutzverfahren und -anforderungen sind zentral dokumentiert und für Mitarbeiter bei Bedarf zugänglich.
Sicherheitszertifizierung: Die zugrunde liegende Infrastruktur ist durch branchenführende Zertifizierungen, einschließlich ISO 27001, abgesichert.
Regelmäßige Wirksamkeitsprüfungen: Die Wirksamkeit der technischen Maßnahmen wird im Rahmen interner und externer Audits regelmäßig überprüft.
Datenschutzbeauftragter (DSB): Wir haben einen DSB bestellt, der die Einhaltung der Vorschriften überwacht.
Mitarbeiterschulung: Alle Mitarbeiter sind gesetzlich zur Datengeheimhaltung und Vertraulichkeit verpflichtet. Mindestens jährlich findet für alle Mitarbeiter eine obligatorische Schulung zum Thema Datensicherheit statt.
Informationssicherheitsmanagement: Verwaltung und Überwachung interner Sicherheitskontrollen.
Datenschutz-Folgenabschätzung (DSFA): Es existiert ein formalisierter Prozess zur Durchführung von DSFA, wenn dies aufgrund der Art der Verarbeitung erforderlich ist.
Rechte betroffener Personen: Wir unterhalten ein formalisiertes Verfahren zur Bearbeitung von Informationsanfragen betroffener Personen und gewährleisten so die Einhaltung der Artikel 13, 14 und 15 der DSGVO.
2.9. Vorfallmanagement und -reaktion
Zweck: Sicherstellung der umgehenden Erkennung, effizienten Bearbeitung und Meldung von Sicherheitsvorfällen gemäß den gesetzlichen Bestimmungen.
Umgesetzte Maßnahmen:
Perimetersicherheit: Kontinuierlicher Einsatz von Firewalls und Intrusion-Detection-Systemen (IDS) mit regelmäßigen Updates zum Schutz vor sich entwickelnden Bedrohungen.
Bedrohungsfilterung: Einsatz regelmäßig aktualisierter Virenscanner und Spamfilter zur Verhinderung von Schadsoftware und unberechtigten Zugriffsversuchen.
Dokumentierte Vorfallprozesse: Es bestehen formale Verfahren zur Erkennung, Meldung und Bearbeitung von Sicherheitsvorfällen und Datenschutzverletzungen. Dies umfasst spezifische Protokolle zur Erfüllung der gesetzlichen Meldepflichten gegenüber den Aufsichtsbehörden.
Expertenbeteiligung: Obligatorische Beteiligung des Datenschutzbeauftragten und der IT-Sicherheitsteams am Management jedes vermuteten Sicherheitsvorfalls.
Verantwortlichkeit und Dokumentation: Es gibt Verfahren, die sicherstellen, dass alle Sicherheitsvorfälle und Datenschutzverletzungen zentral dokumentiert werden. Nachverfolgung und Behebung: Für die Nachverfolgung und Behebung von Vorfällen ist ein formaler Prozess mit klaren Verantwortlichkeiten eingerichtet, um ein erneutes Auftreten zu verhindern.
3.0 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Zweck: Sicherstellen, dass der Datenschutz in die Verarbeitungstätigkeiten integriert ist und standardmäßig nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten verarbeitet werden.
Umgesetzte Maßnahmen:
Datenminimierung: Es wurden technische und organisatorische Maßnahmen getroffen, um sicherzustellen, dass nicht mehr personenbezogene Daten erhoben oder verarbeitet werden, als für den jeweiligen Zweck unbedingt erforderlich sind.
Widerruf der Einwilligung: Wir bieten technische Maßnahmen, die es betroffenen Personen ermöglichen, ihr Widerrufsrecht jederzeit auszuüben und somit die Kontrolle über ihre personenbezogenen Daten zu gewährleisten.
3.1 Kontrolle durch Dritte
Zweck: Sicherstellen, dass von Dritten verarbeitete personenbezogene Daten gemäß den Anweisungen des Verantwortlichen und nach denselben hohen Sicherheitsstandards behandelt werden.
Umgesetzte Maßnahmen:
Sorgfältige Prüfung und Vorabprüfung: Sorgfältige Auswahl von Auftragnehmern auf der Grundlage spezifischer Sorgfaltskriterien mit besonderem Fokus auf deren technische und organisatorische Datenschutzmaßnahmen.
Vertragliche Schutzmaßnahmen: Abschluss formeller Auftragsverarbeitungsvereinbarungen (AVV) oder EU-Standardvertragsklauseln (SCC) gemäß den gesetzlichen Bestimmungen.
Schriftliche Anweisungen: Die Verarbeitungstätigkeiten unterliegen klaren, schriftlichen Anweisungen an den Auftragnehmer.
Vertraulichkeitsverpflichtungen: Wir stellen sicher, dass alle an der Datenverarbeitung beteiligten Mitarbeiter des Auftragnehmers rechtlich zur Vertraulichkeit der Daten verpflichtet sind.
Überwachung der Einhaltung der Vorschriften: Wir verpflichten Auftragnehmer zur Benennung eines Datenschutzbeauftragten, sofern dies rechtlich vorgeschrieben ist.
Prüf- und Kontrollrechte: Vertragliche Vereinbarung über wirksame Prüf- und Kontrollrechte zur Überprüfung der Einhaltung der Vorschriften durch den Auftragnehmer.
Regulierung von Unterauftragnehmern: Strenge Regeln für die Beauftragung weiterer Unterauftragnehmer gewährleisten, dass keine Daten ohne Transparenz und Genehmigung weitergegeben werden.
Datenlöschung: Prozesse zur sicheren Vernichtung oder Rückgabe von Daten nach Abschluss der Dienstleistung.
Laufende Überwachung: Wir überprüfen regelmäßig und fortlaufend das Sicherheitsniveau und die Schutzstandards des Auftragnehmers.