Vereinbarung zur Datenverarbeitung

Last updated: April 8, 2022

Wichtiger Hinweis: Dies ist eine ausschließlich zu Informationszwecken bereitgestellte Übersetzung der Vereinbarung zur Datenverarbeitung. Rechtliche Gültigkeit besitzt einzig und allein die Originalerklärung, die in englischer Sprache vorliegt: https://www.centrldesk.com/dpa.
In keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.

 

Im Rahmen der Erfüllung des Vertrages zwischen der xenthics Solutions GmbH, Alte Landstr. 25, 85521 Ottobrunn, Deutschland (der "Auftragsverarbeiter") und dem Auftraggeber (der "Auftraggeber", zusammen mit dem Auftragsverarbeiter die "Parteien") über die Bereitstellung der Software und der Plattform des Auftragsverarbeiters für den Auftraggeber (der "Vertrag") im Rahmen des jeweiligen Auftrages gemäß den jeweils gültigen Nutzungsbedingungen und Datenschutzerklärung ist es möglich, dass der Auftragsverarbeiter mit personenbezogenen Daten im Sinne von Art. 4 Nr. 1 General Data Protection Regulation ("GDPR") bzw. Datenschutz-Grundverordnung ("DSGVO"), d.h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Namen, Adressen oder Telefonnummern von Personen, die Kunden des Auftraggebers sind), in Bezug auf die der Auftraggeber als Verantwortlicher im Sinne des Datenschutzrechts handelt (die "Kundendaten"). Diese Vereinbarung (die "Vereinbarung") regelt die datenschutzrechtlichen Pflichten und Rechte der Parteien im Zusammenhang mit der Verwendung von Kundendaten durch den Auftragsverarbeiter zur Erbringung der vertraglichen Leistungen.

1. Umfang der Verarbeitung

Der Auftragsverarbeiter verarbeitet die Kundendaten im Auftrag und nach den Weisungen des Auftraggebers im Sinne von Art. 28 DSGVO. Der Auftraggeber bleibt der Verantwortliche im Sinne von Art. 28 DSGVO.

Die Verarbeitung von Kundendaten durch den Auftragsverarbeiter erfolgt in der Art und Weise, dem Umfang und zu dem Zweck, der wie folgt festgelegt ist.

Zweck und Umfang der Datenverarbeitung:
Bereitstellung der Centrldesk-Software als Webanwendung, die als Plattform für die Erstellung von Geschäftslösungen fungiert, Erfüllung der Verpflichtungen des Auftragsverarbeiters aus dem Vertrag, Marketing und Qualitätssicherung oder gemäß weiteren angemessenen Anweisungen des Auftraggebers.

Arten von personenbezogenen Daten:
Kontaktdaten, Nutzungsdaten, alle vom Auftraggeber in die Software eingegebenen Daten, Mitarbeiterdaten, Kundendaten, Lieferantendaten, nutzergenerierte Daten, Benutzerdaten, Profildaten, Benutzernamen, Passwörter, E-Mails, Logfiles oder jede Art von Daten, die der Auftraggeber in die Software oder den Dienst aufgenommen hat.

Arten der Verarbeitung:
Erhebung, Speicherung, Übermittlung, Sperrung, Löschung, Anonymisierung, Pseudonymisierung, Verschlüsselung oder sonstige Nutzung von Daten.

Kategorien von betroffenen Personen:
Benutzer der Centrldesk-Software; möglicherweise andere betroffene Personen, die in den vom Auftraggeber in der Software oder im Dienst ausgefüllten Daten erwähnt oder enthalten sind.

Die Verarbeitung bezieht sich auf die darin genannten Arten personenbezogener Daten und Kategorien von betroffenen Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Vertrages.

Der Auftragsverarbeiter behält sich das Recht vor, die Kundendaten so zu anonymisieren oder zu aggregieren, dass eine Identifizierung der einzelnen betroffenen Personen nicht mehr möglich ist, und sie in dieser Form zum Zwecke der bedarfsgerechten Gestaltung, des maschinellen Lernens, der Entwicklung und Optimierung sowie der Erbringung der vertraglich vereinbarten Leistungen zu verwenden. Die Parteien sind sich darüber einig, dass anonymisierte und entsprechend der obigen Anforderung aggregierte Kundendaten nicht als Kundendaten im Sinne dieses Vertrages gelten.

Der Auftragsverarbeiter darf die Kundendaten für seine eigenen Zwecke als Verantwortlicher verarbeiten und nutzen, soweit das Datenschutzrecht dies gesetzlich zulässt, wenn eine gesetzliche Erlaubnis oder die Einwilligung der betroffenen Person dies erlaubt. Diese Vereinbarung gilt nicht für eine solche Datenverarbeitung.

Die Verarbeitung von Kundendaten durch den Auftragsverarbeiter findet grundsätzlich innerhalb der Europäischen Union oder eines anderen Vertragsstaates des Europäischen Wirtschaftsraums (EWR) statt. Dem Auftragsverarbeiter ist es jedoch gestattet, die Daten des Auftraggebers nach Maßgabe dieses Vertrages außerhalb des EWR zu verarbeiten, wenn der Auftragsverarbeiter den Auftraggeber vorab (z.B. in der Datenschutzerklärung) über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder wenn eine Ausnahme gemäß Art. 49 DSGVO gilt.

2. Weisungsrecht des Auftraggebers

Der Auftragsverarbeiter verarbeitet die Kundendaten gemäß den Anweisungen des Auftraggebers, es sei denn, der Auftragsverarbeiter ist gesetzlich verpflichtet, anders zu handeln. In letzterem Fall unterrichtet der Auftragsverarbeiter den Auftraggeber vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, das Gesetz verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.

Die Weisungen des Auftraggebers sind in den Bestimmungen dieses Vertrages grundsätzlich abschließend geregelt und dokumentiert. Einzelne Weisungen, die von den Bestimmungen dieses Vertrages abweichen oder zusätzliche Anforderungen stellen, bedürfen der Zustimmung des Auftragsverarbeiters.

Der Auftragsverarbeiter stellt sicher, dass die Daten des Auftraggebers gemäß den vom Auftraggeber erteilten Weisungen verarbeitet werden. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Auftraggebers gegen diese Vereinbarung oder gegen geltendes Datenschutzrecht verstößt, ist er nach entsprechender Unterrichtung des Auftraggebers berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt. Die Parteien vereinbaren, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Kundendaten beim Kunden liegt.

3. Rechtliche Verantwortung des Auftraggebers

Für die Zulässigkeit der Verarbeitung der Kundendaten und die Wahrung der Rechte der Betroffenen im Verhältnis zwischen den Parteien ist allein der Auftraggeber verantwortlich. Sollten Dritte Ansprüche gegen den Auftragsverarbeiter geltend machen, die auf der Verarbeitung von Kundendaten gemäß dieser Vereinbarung beruhen, so stellt der Auftraggeber den Auftragsverarbeiter von allen derartigen Ansprüchen auf erstes Anfordern frei.

Der Auftraggeber ist dafür verantwortlich, dem Auftragsverarbeiter die Kundendaten rechtzeitig für die Erbringung der vertragsgemäßen Leistungen zur Verfügung zu stellen, und der Auftraggeber ist für die Qualität der Kundendaten verantwortlich. Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Ergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten im Hinblick auf Datenschutzbestimmungen oder Anweisungen des Auftraggebers feststellt.

Auf Verlangen stellt der Auftraggeber dem Auftragsverarbeiter die in Art. 30 Abs. 2 DSGVO genannten Informationen zur Verfügung, soweit sie dem Auftragsverarbeiter nicht bereits vorliegen.

Ist der Auftragsverarbeiter verpflichtet, einer staatlichen Stelle oder Person Auskunft über die Verarbeitung von Kundendaten zu erteilen oder mit diesen Stellen in sonstiger Weise zusammenzuarbeiten, ist der Auftraggeber verpflichtet, den Auftragsverarbeiter auf erstes Anfordern bei der Erteilung dieser Auskünfte und bei der Erfüllung sonstiger angemessener Mitwirkungspflichten zu unterstützen.

4. Anforderungen an Personal und Systeme

Der Auftragsverarbeiter verpflichtet alle Personen, die mit der Verarbeitung von Kundendaten befasst sind, zur Vertraulichkeit im Hinblick auf die Verarbeitung von Kundendaten.

5. Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft die erforderlichen angemessenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Kundendaten sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen, um ein dem Risiko angemessenes Schutzniveau der Kundendaten zu gewährleisten. Zu den umgesetzten technischen und organisatorischen Maßnahmen gehören die in Anhang A aufgeführten Maßnahmen.

Der Auftragsverarbeiter hat das Recht, die technischen und organisatorischen Maßnahmen während der Laufzeit dieser Vereinbarung zu ändern, sofern sie weiterhin den gesetzlichen Anforderungen genügen.

6. Einschaltung von weiteren Verarbeitern

Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Ermächtigung, weitere Auftragsverarbeiter mit der Verarbeitung von Auftraggeberdaten zu beauftragen. Die zum Zeitpunkt des Abschlusses dieser Vereinbarung beauftragten weiteren Auftragsverarbeiter sind nachstehend aufgeführt:

Name des weiteren Verarbeiters Zweck der Datenverarbeitung
200OK LLC (ProfitWell/Price Intelligently), 10 Kingston Street, Boston, MA 02111, USA und ihre Tochtergesellschaften Analyse von Abonnements und Nachverfolgung von Zahlungsausfällen
Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA und ihre Tochtergesellschaften
Hosting
DigitalOcean LLC, 101 Avenue of the Americas, New York, NY 10013, USA und ihre Tochtergesellschaften Hosting

 

Bei Vertragsverhältnissen mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsvorgängen oder -systemen durch Dritte zum Gegenstand haben oder sonstige Zusatzleistungen beinhalten, ist in der Regel keine Genehmigung erforderlich, auch wenn der Zugriff auf Kundendaten nicht ausgeschlossen werden kann, sofern der Auftragsverarbeiter angemessene Maßnahmen zum Schutz der Vertraulichkeit der Kundendaten trifft. Widerspricht der Auftraggeber, so ist der Auftragsverarbeiter berechtigt, den Vertrag und diese Vereinbarung mit einer Frist von drei Monaten zum Monatsende zu kündigen.

Die Vereinbarung zwischen dem Auftragsverarbeiter und dem weiteren Verarbeiter muss dem weiteren Verarbeiter dieselben Verpflichtungen auferlegen, die dem Auftragsverarbeiter nach dieser Vereinbarung obliegen. Die Parteien sind sich einig, dass diese Anforderung erfüllt ist, wenn der Vertrag ein Schutzniveau aufweist, das diesem Vertrag entspricht.

Vorbehaltlich der Einhaltung der Anforderungen von Abschnitt 1 dieses Vertrages gelten die Bestimmungen dieses Abschnitts auch, wenn ein weiterer Verarbeiter in einem Drittland beteiligt ist. Der Auftraggeber ermächtigt hiermit den Auftragsverarbeiter, im Namen des Auftraggebers einen Vertrag mit einem weiteren Auftragsverarbeiter auf der Grundlage der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß der Entscheidung der Europäischen Kommission vom 5. Februar 2010 abzuschließen. Der Kunde erklärt seine Bereitschaft, bei der Erfüllung der Anforderungen von Art. 49 DSGVO im erforderlichen Umfang mitzuwirken.

7. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des Zumutbaren durch technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtung des Auftraggebers zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Personen.

Soweit eine betroffene Person einen Antrag auf Ausübung ihrer Rechte direkt an den Auftragsverarbeiter richtet, leitet der Auftragsverarbeiter diesen Antrag zeitnah an den Auftraggeber weiter.

Der Auftragsverarbeiter informiert den Auftraggeber über alle Informationen zu den gespeicherten Kundendaten, über die Empfänger von Kundendaten, an die der Auftragsverarbeiter diese weisungsgemäß weitergeben darf, und über den Zweck der Speicherung, soweit der Auftraggeber nicht über diese Informationen verfügt und soweit er sie nicht selbst erheben kann.

Der Auftragsverarbeiter wird dem Auftraggeber im Rahmen des Zumutbaren und Erforderlichen die Berichtigung, Löschung oder Einschränkung der Weiterverarbeitung von Auftraggeberdaten ermöglichen oder auf Weisung des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der Weiterverarbeitung selbst vornehmen, wenn und soweit dies dem Auftraggeber nicht möglich ist. In diesem Fall sind dem Auftragsverarbeiter die ihm in diesem Zusammenhang entstandenen und gegenüber dem Auftraggeber nachgewiesenen Aufwendungen und Kosten zu erstatten.

Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit in Bezug auf die Kundendaten gemäß Art. 20 DSGVO hat, unterstützt der Auftragsverarbeiter den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen bei der Übermittlung der Kundendaten in einem strukturierten, gängigen und maschinenlesbaren Format, wenn der Auftraggeber die Daten nicht anderweitig erhalten kann. In diesem Fall sind dem Auftragsverarbeiter die ihm in diesem Zusammenhang entstandenen und gegenüber dem Auftraggeber nachgewiesenen Aufwendungen und Kosten zu erstatten.

8. Melde- und Unterstützungspflichten des Auftragsverarbeiters

Soweit den Auftraggeber eine gesetzliche Meldepflicht wegen einer Verletzung der Sicherheit der Kundendaten trifft (insbesondere gemäß Art. 33, 34 DSGVO), informiert der Auftragsverarbeiter den Auftraggeber rechtzeitig über meldepflichtige Ereignisse im Verantwortungsbereich des Auftragsverarbeiters. Auf Verlangen des Auftragsverarbeiters unterstützt der Auftragsverarbeiter den Auftraggeber bei der Erfüllung der Meldepflichten, soweit dies angemessen und erforderlich ist. In diesem Fall sind dem Auftragsverarbeiter die ihm in diesem Zusammenhang entstandenen und gegenüber dem Auftraggeber nachgewiesenen Aufwendungen und Kosten zu erstatten.

Der Auftragsverarbeiter unterstützt den Auftraggeber im angemessenen und erforderlichen Umfang bei den vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und ggf. anschließenden Konsultationen mit der Aufsichtsbehörde gemäß Art. 35, 36 DSGVO. In diesem Fall sind dem Auftragsverarbeiter die ihm in diesem Zusammenhang entstandenen und gegenüber dem Auftraggeber nachgewiesenen Aufwendungen und Kosten zu erstatten.

9. Löschung und Rückgabe von Kundendaten

Bei Beendigung dieser Vereinbarung wird der Auftragsverarbeiter nach dem Ermessen des Auftraggebers,

  • die Kundendaten entweder löschen oder zurückgeben und
  • bestehende Kopien davon zu löschen

es sei denn, der Auftragsverarbeiter ist gesetzlich zur weiteren Aufbewahrung der Kundendaten verpflichtet.

Der Auftragsverarbeiter kann Dokumentationen, die als Nachweis für die ordnungsgemäße und korrekte Verarbeitung von Kundendaten dienen, auch nach Beendigung dieser Vereinbarung aufbewahren.

10. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Verlangen alle Informationen zur Verfügung, die der Auftragsverarbeiter benötigt, um die Einhaltung seiner Verpflichtungen aus diesem Vertrag nachzuweisen.

Der Auftraggeber ist berechtigt, den Auftragsverarbeiter im Hinblick auf die Einhaltung der Bestimmungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen (einschließlich Inspektionen).

Zur Durchführung von Kontrollen gemäß Abschnitt 10 ist der Auftraggeber berechtigt, die Geschäftsräume des Auftragsverarbeiters, in denen die Daten des Auftraggebers verarbeitet werden, innerhalb der üblichen Geschäftszeiten (Montags bis Freitags von 9 bis 18 Uhr) nach rechtzeitiger Voranmeldung gemäß Abschnitt 10 auf eigene Kosten, ohne Störung des Geschäftsbetriebes und unter strikter Wahrung der Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters zu betreten.

Der Auftragsverarbeiter ist berechtigt, nach eigenem Ermessen und unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers Informationen, die im Hinblick auf den Geschäftsbetrieb des Auftragsverarbeiters sensibel sind oder durch deren Offenlegung der Auftragsverarbeiter gegen gesetzliche oder sonstige vertragliche Bestimmungen verstoßen würde, nicht offen zu legen. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Auftraggeber des Auftragsverarbeiters, zu Kosteninformationen, Qualitätskontroll- und Vertragsmanagementberichten oder zu sonstigen vertraulichen Daten des Auftragsverarbeiters zu erhalten, die nicht unmittelbar für die vereinbarten Prüfungszwecke relevant sind.

Der Auftraggeber informiert den Auftragsverarbeiter rechtzeitig (in der Regel mindestens zwei Wochen im Voraus) über alle Umstände im Zusammenhang mit der Durchführung des Audits. Der Auftraggeber darf nicht mehr als ein Audit pro Kalenderjahr durchführen.

Beauftragt der Auftraggeber einen Dritten mit der Durchführung des Audits, so hat er diesen Dritten in gleicher Weise schriftlich zu verpflichten, wie er es gegenüber dem Auftragsverarbeiter gemäß diesem Abschnitt 10 tut. Darüber hinaus hat der Auftraggeber den Dritten durch schriftliche Vereinbarung zur Geheimhaltung und Vertraulichkeit zu verpflichten, es sei denn, der Dritte unterliegt einer beruflichen Verschwiegenheitspflicht. Auf Verlangen des Auftragsverarbeiters wird der Auftraggeber dem Auftragsverarbeiter die Verpflichtungs- und Geheimhaltungsvereinbarungen mit dem Dritten unverzüglich vorlegen. Der Auftraggeber darf keinen Konkurrenten des Auftragsverarbeiters mit der Durchführung des Audits beauftragen.

Der Nachweis der Einhaltung der Verpflichtungen aus diesem Vertrag kann nach Wahl des Auftragsverarbeiters anstelle einer Prüfung durch Vorlage eines geeigneten aktuellen Gutachtens oder Berichts einer unabhängigen Stelle (z.B. Wirtschaftsprüfer, Revisionsstelle, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (der "Auditbericht") erbracht werden, wenn der Auditbericht es dem Auftraggeber ermöglicht, sich in geeigneter Weise von der Einhaltung der vertraglichen Verpflichtungen des Auftragsverarbeiters aus diesem Vertrag zu überzeugen.

11. Vertragslaufzeit und Beendigung

Für die Dauer und Beendigung dieser Vereinbarung gelten die Bestimmungen über die Dauer und Beendigung des Vertrags. Eine Beendigung des Vertrages führt automatisch zu einer Aufhebung dieser Vereinbarung. Eine isolierte Beendigung dieses Vertrages ist ausgeschlossen.

12. Haftung

Die Haftung des Auftragsverarbeiters aus dieser Vereinbarung richtet sich nach den im Vertrag vorgesehenen Haftungsausschlüssen und -beschränkungen. Soweit Dritte Ansprüche gegen den Auftragsverarbeiter geltend machen, die auf einer schuldhaften Verletzung dieser Vereinbarung oder einer datenschutzrechtlichen Verpflichtung des Auftraggebers als Verantwortlichem beruhen, stellt der Auftraggeber den Auftragsverarbeiter auf erstes Anfordern von diesen Ansprüchen frei und schadlos.

Der Auftraggeber verpflichtet sich, den Auftragsverarbeiter auf erstes Anfordern von allen möglichen Bußgeldern freizustellen, die gegen den Auftragsverarbeiter verhängt werden und die dem Anteil des Auftraggebers an der Verantwortung für den mit dem Bußgeld geahndeten Verstoß entsprechen.

13. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine rechtlich zulässige Regelung zu ersetzen, die dem Zweck der unwirksamen Bestimmung am nächsten kommt und damit den Anforderungen des Art. 28 DSGVO entspricht.

Im Falle von Widersprüchen zwischen dieser Vereinbarung und anderen Vereinbarungen der Parteien, insbesondere dem Vertrag, haben die Bestimmungen dieser Vereinbarung Vorrang.

Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus und in Zusammenhang mit dieser Vereinbarung ist, soweit gesetzlich zulässig, München Stadt.

 

Anhang A

Gemäß Art. 32 DSGVO müssen Verantwortliche und Auftragsverarbeiter personenbezogener Daten technische und organisatorische Maßnahmen (TOM) ergreifen, um sicherzustellen, dass die Sicherheits- und Schutzanforderungen des Datenschutzes erfüllt werden. Unter technischen Maßnahmen sind alle Schutzmaßnahmen zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie z.B. die Sicherung von Türen und Fenstern oder in Soft- und Hardware umgesetzte Maßnahmen, wie z.B. die Einrichtung eines Benutzerkontos und Passwortpflicht. Unter organisatorischen Maßnahmen sind Schutzversuche zu verstehen, die durch Anweisungen, Verfahren und Prozesse umgesetzt werden.

Kategorie der Maßnahmen Beschreibung der Kategorie Technische Maßnahmen Organisatorische Maßnahmen
Pseudonymisierung und Verschlüsselung Kryptografische Maßnahmen, die sicherstellen, dass Informationen bei der Übertragung gehasht werden und nur mit dem richtigen Verschlüsselungscode wieder lesbar gemacht werden können.

Verschlüsselung von "data in transit";
Verschlüsselung von Datenträgern auf Laptops/Notebooks und mobilen Datenträgern ("data at rest");
Pseudonymisierung durch Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (möglichst verschlüsselt)

Interne Anweisung: personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist zu anonymisieren/pseudonymisieren
Vertraulichkeit - Zutrittskontrolle Maßnahmen, die verhindern, dass Unbefugte Zutritt zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden.

Manuelles Schließsystem;
Sicherheitsschlösser;
Absicherung durch Sicherheitsfirma;
Geschützte Behältnisse (Zahlencodes);
Keine Server in den eigenen Räumlichkeiten – rein cloud-basiert

Schlüsselregelung/Liste;
Besucherbuch/Protokoll der Besucher;
Besucher in Begleitung durch Mitarbeiter;
Sorgfalt bei Auswahl des Wachpersonals;
Sorgfalt bei Auswahl Reinigungsdienste;
Dienstanweisung für Mitarbeiter
Vertraulichkeit - Zugangskontrolle Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden können.

Login mit Benutzername + Passwort;
Login mit biometrischen Daten;
Regelmäßige Passworterneuerung;
Anti-Virus-/Anti-Spyware/Email-Schutz Software Clients;
Verschlüsselung von Datenträgern/Smartphones;
Automatische Desktopsperre;
Verschlüsselung von Notebooks/Tablet;
Cloud Multifaktor-Authentifizierung

Verwalten von Benutzerberechtigungen;
Erstellen von Benutzerprofilen;
Dienstanweisung Desktopsperre;
Richtlinie „Sicheres Passwort“;
Sofortige Sperrung der Berechtigung beim Ausscheiden von Mitarbeitern aus dem Unternehmen

Vertraulichkeit - Zugriffskontrolle Maßnahmen, die sicherstellen, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die Daten zugreifen können, auf die sie ein Zugriffsrecht haben, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Protokollierung von Zugriff auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten;
Regelmäßige Sicherheitsupdates;
Firewalls;
Einsatz von Aktenvernichtern oder entsprechenden Dienstleistern und physische Löschung von Datenträgern vor der Wiederverwendung

Einsatz Berechtigungskonzepte;
Minimale Anzahl an Administratoren;
Verwaltung Benutzerrechte durch Administratoren

Vertraulichkeit - Übertragungskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports oder der Speicherung auf Datenträgern nicht gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen die Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen vorgesehen ist. E-Mail Verschlüsselung;
Protokollierung der Zugriffe und Abrufe;
Sichere Transportbehälter;
Nutzung von Signaturverfahren;
Dokumentation aller Schnittstellen
Dokumentation der Datenempfänger sowie die Dauer der geplanten Überlassung bzw. der Löschfristen;
Übersicht regelmäßiger Abruf-und Übermittlungsvorgängen;
Weitergabe in anonymisierter oder pseudonymisierter Form;
Persönliche Übergabe mit Protokoll
Vertraulichkeit - Trennungskontrolle Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.

Physikalische Trennung (Systeme / Datenbanken / Datenträger);
Trennung von Entwicklungs-, Produktiv- und Testumgebung

Berechtigungskonzepte;
Festlegung von Datenbankrechten;
Festlegung von Cloudrechten;
Logische Mandantentrennung

Integrität - Eingangskontrolle Es muss eine vollständige Dokumentation der Datenverwaltung und -pflege geführt werden, um die laufende Integrität der Daten zu gewährleisten. Maßnahmen zur nachträglichen Kontrolle, ob und von wem Daten eingegeben, geändert oder entfernt (gelöscht) wurden. Technische Protokollierung der Eingabe, Änderung und Löschung von Daten;
Manuelle oder automatisierte Kontrolle der Protokolle

Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können;
Klare Zuständigkeiten für Löschungen;
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts;
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden

Verfügbarkeit - Verfügbarkeitskontrolle Maßnahmen, die sicherstellen, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind. Cloud-basierte Systeme mit eigenen Verfügbarkeitskonzepten und Redundanz Remote-Datensicherung an sicheren, ausgelagerten Standorten;
Datensicherungskonzepte
Verfügbarkeit - Auftragskontrolle Maßnahmen, die sicherstellen, dass im Falle einer Auftragsverarbeitung personenbezogener Daten die Daten nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden.  

Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation;
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit);
Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln;
Schriftliche Weisungen an den Auftragnehmer;
Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis;
Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen der Bestellpflicht;
Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer;
Regelung zum Einsatz weiterer Subunternehmer;
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags;
Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

Widerstandsfähigkeit Maßnahmen zur Sicherstellung der Ausfallsicherheit der Systeme und Dienste, die gewährleisten, dass die Systeme und Dienste so ausgelegt sind, dass auch hohe Spitzenlasten und hohe Dauerlasten der Verarbeitung bewältigt werden können.   Prüfung von Speicher-, Zugangs- und Ressourcenauslastung
Wiederherstellung der Verfügbarkeit und des Zugangs Maßnahmen, die sicherstellen, dass die Verfügbarkeit der Daten und der Zugang zu ihnen im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederhergestellt werden können. Dienste mit eigenen TOMs

Kontrolle des Sicherungsvorgangs;
Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse;
Existenz eines Notfallplans;
Backup-Konzept

Datenschutz-Management Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Dokumentierte Konzepte;
Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
Mitarbeiter mindestens jährlich sensiblisiert zu Vertraulichkeit/Datengeheimnis;
Die Organisation kommt den Informationspflichten nach Art. 13 und Art. 14 DSGVO nach

 

Fragen?

Bitte kontaktieren Sie uns unter privacy@centrldesk.com, falls Sie Fragen haben sollten.