Für Einzelkunden

Standardvertragsklauseln

Für die Zwecke von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 (DSGVO) 

Zwischen dem Nutzer (dem für die Datenverarbeitung Verantwortlichen)

UNTERNEHMEN
NAME
ZEITSTAMPEL
BENUTZER-IP
EMAIL

und

Data & More ApS
Flæsketorvet 68
DK-1711 København V
CVR-Nr.: 38185659 (der Datenverarbeiter)

jeder eine "Partei"; zusammen "die Parteien".

haben die folgenden Vertragsklauseln (die Klauseln) vereinbart, um die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Person zu gewährleisten.

Inhaltsübersicht

1. Präambel 3
2. Die Rechte und Pflichten des für die Verarbeitung Verantwortlichen 3
3. Der Datenverarbeiter handelt gemäß den Anweisungen 3
4. Vertraulichkeit 4
5. Sicherheit der Verarbeitung 4
6. Einsatz von Unterauftragsverarbeitern 5
7. Übermittlung von Daten an Drittländer oder internationale Organisationen 6
8. Unterstützung des für die Verarbeitung Verantwortlichen 6
9. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten 7
10. Löschung und Rückgabe von Daten 8
11. Audit und Inspektion 8
12. Die Vereinbarung der Parteien über andere Bedingungen 8
13. Beginn und Beendigung 8
14. Ansprechpartner/Kontaktstellen für den für die Verarbeitung Verantwortlichen und den Datenverarbeiter 9

Anhang A Informationen über die Verarbeitung 10

1. Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen ist: 10
2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung): 10
3. Die Verarbeitung umfasst die folgenden Arten von personenbezogenen Daten über die betroffenen Personen: 11
4. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Daten 11
5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen kann zu dem Zeitpunkt erfolgen, zu dem die Klauseln in Kraft treten. Die Verarbeitung hat die folgende Dauer: 11

Anhang B Zugelassene Unterauftragsverarbeiter 13

1. Zugelassene Unterauftragsverarbeiter 13

Anhang C Anweisung zur Verwendung von personenbezogenen Daten 14

1. Gegenstand der Verarbeitung/Anweisung zur Verarbeitung 14
2. Sicherheit der Verarbeitung 14

Organisatorische Sicherheit 14

Physische Sicherheit 14

Technische Sicherheit: Zugang zu und Schutz von IT-Systemen 15

Technische Sicherheit: Zugang zu personenbezogenen Daten 15

Technische Sicherheit: Verschlüsselung 16

Technische Sicherheit: Schutz personenbezogener Daten bei der Übermittlung 16

Technische Sicherheit: Verfügbarkeit und Robustheit 16

3. Unterstützung des Controllers 16
4. Lagerdauer/Messverfahren 17
5. Bearbeitungsort 17
6. Anweisung zur Übermittlung personenbezogener Daten an Drittländer 17
7. Verfahren für Audits, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter durch den für die Verarbeitung Verantwortlichen 17
8. Verfahren für Audits, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter. 18
9. Anhang D Die Vereinbarung der Parteien über andere Themen 20
10. Andere Angelegenheiten 20
11. Der Datenverarbeitungsvertrag regelt keine anderen Angelegenheiten. 20

• Präambel

 

1. Diese Vertragsklauseln (die Klauseln) legen die Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Datenverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen fest.

 

1. Die Klauseln wurden entwickelt, um die compliance von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen.

 

1. Im Rahmen der Bereitstellung des Data & More Compliance Servers verarbeitet der Datenverarbeiter personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen in Übereinstimmung mit den Klauseln.

 

1. Die Klauseln haben Vorrang vor ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien.

 

1. Vier Anhänge sind den Klauseln beigefügt und bilden einen integralen Bestandteil der Klauseln.

 

1. Anhang A enthält Einzelheiten über die Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.

 

1. Anhang B enthält die Bedingungen des für die Verarbeitung Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Datenverarbeiter sowie eine Liste der vom für die Verarbeitung Verantwortlichen zugelassenen Unterauftragsverarbeiter.

 

1. Anhang C enthält die Anweisungen des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Datenverarbeiter umzusetzenden Mindestsicherheitsmaßnahmen und die Art und Weise, wie Audits des Datenverarbeiters und etwaiger Unterauftragsverarbeiter durchgeführt werden sollen.

 

1. Anhang D enthält Bestimmungen für andere Tätigkeiten, die nicht von den Klauseln erfasst werden. 

 

1. Die Klauseln und ihre Anhänge sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.

 

1. Die Klauseln befreien den Datenverarbeiter nicht von den Verpflichtungen, denen er gemäß der Allgemeinen Datenschutzverordnung (DSGVO) oder anderen Rechtsvorschriften unterliegt.

• Die Rechte und Pflichten des für die Datenverarbeitung Verantwortlichen

 

1. Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in compliance mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten Datenschutzbestimmungen und den Klauseln erfolgt.

 

1. Der für die Verarbeitung Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.

 

1. Der für die Verarbeitung Verantwortliche ist u. a. dafür verantwortlich, dass die Verarbeitung personenbezogener Daten, mit der der Datenverarbeiter beauftragt wird, auf einer Rechtsgrundlage beruht. 

• Der Datenverarbeiter handelt gemäß den Anweisungen

 

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet. Solche Weisungen sind in den Anhängen A und C zu spezifizieren. Spätere Weisungen können während der gesamten Dauer der Verarbeitung personenbezogener Daten auch von dem für die Verarbeitung Verantwortlichen erteilt werden, doch sind solche Weisungen stets zu dokumentieren und schriftlich, auch elektronisch, in Verbindung mit den Klauseln aufzubewahren. 

 

1. Der Datenverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn die Anweisungen des für die Verarbeitung Verantwortlichen nach Ansicht des Datenverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstoßen.

 

1. Darüber hinaus unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der compliance seiner Pflichten gemäß Artikel 32 DSGVO, indem er dem für die Verarbeitung Verantwortlichen unter anderem Informationen über die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gemäß Artikel 32 DSGVO bereits getroffen hat, sowie alle anderen Informationen zur Verfügung stellt, die der für die Verarbeitung Verantwortliche benötigt, um seinen Pflichten gemäß Artikel 32 DSGVO nachzukommen.
2. Erfordert die Minderung der festgestellten Risiken nach Einschätzung des für die Verarbeitung Verantwortlichen weitere Maßnahmen, die vom Auftragsverarbeiter zu ergreifen sind, als die, die der Auftragsverarbeiter bereits gemäß Artikel 32 DSGVO ergriffen hat, so gibt der für die Verarbeitung Verantwortliche diese zusätzlichen Maßnahmen in Anhang C an.

• Vertraulichkeit

 

1. Der Datenverarbeiter gewährt nur den ihm unterstellten Personen, die sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen, Zugang zu den personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, und zwar nur auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft. Auf der Grundlage dieser Überprüfung kann der Zugang zu personenbezogenen Daten widerrufen werden, wenn er nicht mehr erforderlich ist, und die personenbezogenen Daten sind dann für diese Personen nicht mehr zugänglich.

 

1. Der Datenverarbeiter weist auf Verlangen des für die Verarbeitung Verantwortlichen nach, dass die betroffenen Personen, die dem Datenverarbeiter unterstellt sind, der oben genannten Geheimhaltungspflicht unterliegen.

• Sicherheit der Verarbeitung 

 

1. Artikel 32 DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten.

 

Der für die Verarbeitung Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen, um diese Risiken zu mindern. Je nach Relevanz können die Maßnahmen Folgendes umfassen:

1. Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

 

1. die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;

 

1. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen;

 

1. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

1. Gemäß Artikel 32 DSGVO muss der Auftragsverarbeiter auch - unabhängig von dem für die Verarbeitung Verantwortlichen - die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen. Zu diesem Zweck stellt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter alle Informationen zur Verfügung, die zur Ermittlung und Bewertung dieser Risiken erforderlich sind.

 

1. Darüber hinaus unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen bei der compliance seiner Pflichten gemäß Artikel 32 DSGVO, indem er u.a. dem für die Verarbeitung Verantwortlichen Informationen über die technischen und organisatorischen Maßnahmen zur Verfügung stellt, die der für die Verarbeitung Verantwortliche gemäß Artikel 32 DSGVO bereits ergriffen hat, sowie alle anderen Informationen, die der für die Verarbeitung Verantwortliche benötigt, um seinen Verpflichtungen gemäß Artikel 32 DSGVO nachzukommen.

 

Erfordert die Minderung der festgestellten Risiken - nach Einschätzung des für die Verarbeitung Verantwortlichen - weitere Maßnahmen, die der Auftragsverarbeiter zu ergreifen hat, als die, die er bereits gemäß Artikel 32 DSGVO ergriffen hat, so gibt der für die Verarbeitung Verantwortliche diese zusätzlichen Maßnahmen in Anhang C an.

• Einsatz von Unterauftragsverarbeitern

 

1. Der Auftragsverarbeiter muss die in Artikel 28 Absätze 2 und 4 DSGVO genannten Anforderungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) zu beauftragen.

 

1. Der Datenverarbeiter darf daher keinen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Erfüllung der Klauseln beauftragen, ohne dass er zuvor eine ausdrückliche schriftliche Genehmigung des für die Datenverarbeitung Verantwortlichen.

 

1. Der Datenverarbeiter darf Unterauftragsverarbeiter nur mit ausdrücklicher vorheriger Genehmigung des für die Verarbeitung Verantwortlichen beauftragen. Der Auftragsverarbeiter stellt den Antrag auf Sondergenehmigung mindestens 30 Tage vor der Beauftragung des betreffenden Unterauftragsverarbeiters. Die Liste der bereits von dem für die Verarbeitung Verantwortlichen zugelassenen Unterauftragsverarbeiter ist in Anhang B zu finden.

 

1. Beauftragt der Datenverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem Unterauftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt nach EU-Recht oder dem Recht eines Mitgliedstaats dieselben Datenschutzverpflichtungen auferlegt, wie sie in den Klauseln festgelegt sind, insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung den Anforderungen der Klauseln und der DSGVO entspricht.

 

Der Datenverarbeiter ist daher dafür verantwortlich, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen einhält, denen der Datenverarbeiter gemäß den Klauseln und der DSGVO unterliegt.

 

1. Eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und spätere Änderungen sind - auf Verlangen des für die Verarbeitung Verantwortlichen - dem für die Verarbeitung Verantwortlichen vorzulegen, so dass der für die Verarbeitung Verantwortliche die Möglichkeit hat, sicherzustellen, dass dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegt werden, wie sie in den Klauseln festgelegt sind. Klauseln zu geschäftsbezogenen Fragen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen dem für die Verarbeitung Verantwortlichen nicht vorgelegt werden.  

 

1. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben, falls der Auftragsverarbeiter faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist.

 

1. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so bleibt der Datenverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang haftbar, was die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters betrifft. Dies berührt nicht die Rechte der betroffenen Personen nach der DSGVO - insbesondere die in den Artikeln 79 und 82 DSGVO vorgesehenen Rechte - gegenüber dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter, einschließlich des Unterauftragsverarbeiters.

• Übermittlung von Daten an Drittländer oder internationale Organisationen

 

1. Jegliche Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Datenverarbeiter darf nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen erfolgen und muss stets im compliance mit Kapitel V der Datenschutz-Grundverordnung stehen. 

 

1. Ist die Übermittlung von Daten an Drittländer oder internationale Organisationen, mit der der Datenverarbeiter nicht von dem für die Verarbeitung Verantwortlichen beauftragt wurde, nach dem Recht der EU oder eines Mitgliedstaats, dem der Datenverarbeiter unterliegt, erforderlich, so unterrichtet der Datenverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.

 

1. Ohne dokumentierte Anweisungen des für die Datenverarbeitung Verantwortlichen kann der Datenverarbeiter daher nicht im Rahmen der Klauseln tätig werden:

 

1. personenbezogene Daten an einen Datenverantwortlichen oder einen Datenverarbeiter in einem Drittland oder in einer internationalen Organisation zu übermitteln

 

1. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland zu übertragen 

 

1. die Verarbeitung der personenbezogenen Daten durch den Datenverarbeiter in einem Drittland zu veranlassen

 

1. Die Anweisungen des für die Verarbeitung Verantwortlichen für die Übermittlung personenbezogener Daten in ein Drittland, gegebenenfalls einschließlich des Übermittlungsinstruments gemäß Kapitel V DSGVO, auf das sie sich stützen, sind in Anhang C.6 aufgeführt.

 

1. Die Klauseln sind nicht mit den Standard-Datenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO zu verwechseln, und die Klauseln können von den Parteien nicht als Übermittlungsinstrument gemäß Kapitel V der DSGVO herangezogen werden.

• Unterstützung des für die Verarbeitung Verantwortlichen

 

1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des für die Verarbeitung Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO.

Dies bedeutet, dass der Datenverarbeiter den für die Verarbeitung Verantwortlichen bei der compliance der folgenden Rechte der betroffenen Person unterstützen muss, soweit dies möglich ist:

 

1. das Recht, bei der Erhebung personenbezogener Daten von der betroffenen Person informiert zu werden
2. das Recht, informiert zu werden, wenn personenbezogene Daten nicht von der betroffenen Person erhalten wurden
3. das Recht auf Auskunft durch die betroffene Person
4. das Recht auf Berichtigung
5. das Recht auf Löschung ("das Recht auf Vergessenwerden")
6. das Recht auf Einschränkung der Verarbeitung
7. Meldepflicht zur Berichtigung oder Löschung personenbezogener Daten oder zur Einschränkung der Verarbeitung
8. das Recht auf Datenübertragbarkeit
9. das Recht auf Widerspruch 
10. das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht

 

1. Zusätzlich zu der Verpflichtung des Datenverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Ziffer 8.1. zu unterstützen, unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der compliance der Vorschriften:

 

1. Die Verpflichtung des für die Verarbeitung Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde mitzuteilen. Die zuständige nationale Datenschutzbehörde - in Dänemark die dänische Datenschutzbehörde - ist zu benachrichtigen, es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

 

1. die Verpflichtung des für die Verarbeitung Verantwortlichen, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;

 

1. die Verpflichtung des für die Verarbeitung Verantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungen auf den Schutz personenbezogener Daten vorzunehmen (Datenschutz-Folgenabschätzung);

 

1. die Verpflichtung des für die Verarbeitung Verantwortlichen, die zuständige Aufsichtsbehörde zu konsultieren. Die zuständige nationale Datenschutzbehörde - in Dänemark die dänische Datenschutzbehörde - ist vor der Verarbeitung zu benachrichtigen, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung trifft.

 

1. Die Parteien legen in Anlage C die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Datenverarbeiter den für die Verarbeitung Verantwortlichen zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung. Dies gilt für die in den Ziffern 9.1. und 9.2. vorgesehenen Verpflichtungen.

 

• Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

 

1. Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Datenverarbeiter den für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung, nachdem er davon Kenntnis erlangt hat.

 

1. Die Benachrichtigung des Datenverarbeiters an den für die Verarbeitung Verantwortlichen erfolgt nach Möglichkeit innerhalb von 24 Tagen, nachdem der Datenverarbeiter von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, damit der für die Verarbeitung Verantwortliche seiner Verpflichtung nachkommen kann, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden, vgl. Artikel 33 DSGVO.

 

1. Gemäß Klausel 9 Absatz 2 unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, was bedeutet, dass der Auftragsverarbeiter bei der Beschaffung der nachstehend aufgeführten Informationen behilflich ist, die gemäß Artikel 33 Absatz 3 DSGVO in der Meldung des für die Verarbeitung Verantwortlichen an die zuständige Aufsichtsbehörde aufgeführt werden müssen:  

 

1. Die Art der personenbezogenen Daten, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze; 

 

1. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

 

1. die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen. 

 

1. Die Parteien legen in Anhang C alle Angaben fest, die der Datenverarbeiter bei der Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu machen hat.

 

• Löschung und Rückgabe von Daten

 

1. Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten ist der Datenverarbeiter verpflichtet alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem für die Verarbeitung Verantwortlichen zu bescheinigen, dass er dies getan hat.

 

• Audit und Inspektion

 

1. Der Datenverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die compliance der in Artikel 28 und in den Klauseln festgelegten Verpflichtungen nachzuweisen, und er gestattet Audits, einschließlich Inspektionen, die von dem für die Verarbeitung Verantwortlichen oder einem anderen von dem für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden, und leistet seinen Beitrag dazu.

 

1. Die Verfahren für Audits, einschließlich Inspektionen, des Datenverarbeiters und der Unterauftragsverarbeiter durch den für die Verarbeitung Verantwortlichen sind in den Anhängen C.7. und C.8. aufgeführt.    

 

1. Der Auftragsverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters haben, oder den im Auftrag dieser Aufsichtsbehörden handelnden Vertretern gegen Vorlage eines entsprechenden Ausweises und im Einklang mit dem Verfahrensrecht der Union oder der Mitgliedstaaten Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren. 

• Die Vereinbarung der Parteien über andere Bedingungen 

 

1. Die Parteien können weitere Klauseln über die Erbringung des Dienstes zur Verarbeitung personenbezogener Daten vereinbaren, in denen z. B. die Haftung geregelt ist, sofern sie nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte und -freiheiten der betroffenen Person und den durch die DSGVO gewährten Schutz beeinträchtigen.

• Beginn und Beendigung

 

1. Die Klauseln treten mit dem Datum der Unterzeichnung durch beide Parteien in Kraft.

 

1. Beide Parteien haben das Recht, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzesänderungen oder die Unzweckmäßigkeit der Klauseln Anlass zu einer solchen Neuverhandlung geben. 

 

1. Die Klauseln gelten für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Klauseln für die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbart.

 

• Wird die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gemäß Klausel 11.1. und Anhang C.4. gelöscht oder an den für die Verarbeitung Verantwortlichen zurückgegeben, können die Klauseln von beiden Parteien durch schriftliche Mitteilung gekündigt werden.

• Unterschrift

 

Im Namen des Datenverarbeiters

 

Name: Kristian Boe Helweg Hansen

Titel: Customer Success & Compliance Manager

Mobil: +45 60843418

E-Mail: kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

Im Namen des Nutzers (des für die Datenverarbeitung Verantwortlichen)

 

UNTERNEHMEN

NAME

ZEITSTAMPEL
BENUTZER-IP
EMAIL

• Ansprechpartner/Kontaktstellen für den für die Verarbeitung Verantwortlichen und den Datenverarbeiter

 

1. Die Parteien können sich über die folgenden Kontakte/Kontaktstellen miteinander in Verbindung setzen:

 

1. Die Parteien sind verpflichtet, sich gegenseitig laufend über Änderungen der Ansprechpartner/Kontaktstellen zu informieren.

 

Name: Kristian Boe Helweg Hansen

Titel: Customer Success & Compliance Manager

Mobil: +45 60843418

E-Mail: kbhh@dataandmore.com

 

Für Unterstützung bei technischen Fragen wenden Sie sich bitte an: 

 

E-Mail: support@dataandmore.com

 

Anhang A Informationen über die Verarbeitung

 

1. Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen ist:

   1. Die folgenden Zwecke bilden die Grundlage für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen: Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereinigung und Übersicht von Daten, die personenbezogene Informationen (PII-Daten) enthalten, die unnötig oder veraltet sind, mit dem Ziel, die Daten zu löschen. Der Auftragsverarbeiter bietet Unterstützung sowie Wartung und Instandhaltung des Data & More Compliance Servers, der sich in der Einrichtung des Auftragsverarbeiters befindet. 
      1. Darüber hinaus erfolgt die Verarbeitung personenbezogener Daten, um die folgenden Zwecke zu erfüllen: Der Auftragsverarbeiter erbringt Beratungsleistungen zur Unterstützung der Wartung und Instandhaltung des Data & More Compliance Servers, der sich in den Räumlichkeiten des Auftragsverarbeiters oder des für die Verarbeitung Verantwortlichen befindet. 

2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung):

 

1. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung): Das Abrufen und Strukturieren verschiedener Kategorien sensibler personenbezogener Daten, die im Zusammenhang mit der Erbringung der Dienstleistung erhoben wurden. Dieser Abruf erfolgt nach den Anweisungen des für die Verarbeitung Verantwortlichen und betrifft überwiegend unstrukturierte Datensätze, einschließlich, aber nicht beschränkt auf E-Mail-Konten, File-Sharing-Laufwerke oder gleichwertige Systeme. 
2. Wenn der Auftragsverarbeiter Beratungsdienstleistungen erbringt, umfasst die Verarbeitung personenbezogener Daten in der Regel begrenzte und spezifische Tätigkeiten, die zur Erfüllung der mit dem für die Verarbeitung Verantwortlichen vereinbarten vertraglichen Verpflichtungen erforderlich sind. Diese Tätigkeiten können Folgendes umfassen: Der Auftragsverarbeiter leistet Unterstützung und übernimmt die Wartung und Pflege des Data & More Compliance Servers, der sich in den Räumlichkeiten des Auftragsverarbeiters befindet. 
3. Zugriff auf Daten im Bedarfsfall: Der Auftragsverarbeiter kann auf personenbezogene Daten zugreifen, um Probleme im Zusammenhang mit den von ihm gewarteten oder verbesserten Systemen oder Diensten zu analysieren, zu diagnostizieren oder zu beheben, und zwar stets auf Anweisung des für die Verarbeitung Verantwortlichen. 
4. Durchführung von technischer Unterstützung: Bei Beratungsdiensten kann es erforderlich sein, dass der Auftragsverarbeiter mit Systemen interagiert, die personenbezogene Daten speichern oder verarbeiten, um Anleitungen zu geben, Änderungen vorzunehmen oder die Funktionalität sicherzustellen. Diese Verarbeitung ist auf das beschränkt, was für die Erbringung der Dienstleistung unbedingt erforderlich ist. 
5. Compliance von Anweisungen: Die Rolle des Auftragsverarbeiters besteht ausschließlich darin, nach den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen zu handeln. Der Auftragsverarbeiter bestimmt nicht den Zweck oder die Mittel der Verarbeitung, sondern stellt sicher, dass die erbrachten Dienstleistungen mit den Anweisungen des für die Verarbeitung Verantwortlichen und den Bestimmungen dieser Vereinbarung übereinstimmen. 
6. Implementierung von Schutzmaßnahmen: Personenbezogene Daten, die im Rahmen von Beratungsdienstleistungen verarbeitet werden, werden sicher verarbeitet, wobei Maßnahmen zum Schutz ihrer Vertraulichkeit, Integrität und Verfügbarkeit getroffen werden. Dazu gehören sichere Zugangskontrollen, Verschlüsselung und andere technische und organisatorische Maßnahmen, wie sie in der DSGVO und in den Bestimmungen dieser Vereinbarung vorgeschrieben sind. 
7. Vorübergehende Dateninteraktion: Die Verarbeitung kann vorübergehend oder gelegentlich erfolgen, z. B. bei der Fehlersuche oder bei Konfigurationsaufgaben. Der Auftragsverarbeiter stellt sicher, dass keine Daten über den Umfang des Dienstes hinaus aufbewahrt werden, es sei denn, dies wurde ausdrücklich mit dem für die Verarbeitung Verantwortlichen vereinbart. 
8. Insgesamt umfassen die Beratungsdienste des Auftragsverarbeiters eine streng notwendige und kontrollierte Verarbeitung personenbezogener Daten, um die von dem für die Verarbeitung Verantwortlichen festgelegten Ziele zu erreichen, und zwar in voller compliance mit den Grundsätzen der DSGVO und den vertraglichen Vereinbarungen. 

1. Die Verarbeitung umfasst die folgenden Arten von personenbezogenen Daten über die betroffenen Personen:

   1. Adresse, Bankverbindung (Kartendaten oder Kontoinformationen), Abrechnungs- und Buchhaltungsunterlagen, Geburtsdatum, E-Mail, Informationen über das von den Nutzern verwendete Gerät, IP-Adresse, Name, Passwort für ein oder mehrere Systeme, Telefonnummer, Sozialversicherungsnummer, Benutzername für ein oder mehrere Systeme, verschiedene personenbezogene Daten auf den Systemen der Kunden, zu denen Zugang gewährt wird, verschiedene personenbezogene Daten, die vom Kunden oder den Kunden des Kunden bereitgestellt oder aufgezeichnet werden, ohne dass die Organisation diese aktiv verarbeitet und identifiziert, verschiedene personenbezogene Daten, die im Zusammenhang mit der Erbringung der Dienstleistung aufgezeichnet werden und nicht genau definiert werden können
   2. Sozialversicherungsnummer, Geburtsdatum, Bankdaten (Kartendaten oder Kontoinformationen), Abrechnungs- und Buchhaltungsunterlagen, Passwort für ein oder mehrere Systeme, Benutzername für ein oder mehrere Systeme, E-Mail, Adresse, Telefonnummer, Name, IP-Adresse, Informationen über das von den Nutzern verwendete Gerät, verschiedene personenbezogene Daten, die vom Kunden oder den Kunden des Kunden zur Verfügung gestellt oder aufgezeichnet werden, ohne dass die Organisation diese aktiv verarbeitet und identifiziert, verschiedene personenbezogene Daten auf den Systemen der Kunden, zu denen Zugang gewährt wird, verschiedene personenbezogene Daten, die im Zusammenhang mit der Erbringung der Dienstleistung aufgezeichnet werden und nicht genau definiert werden können. 
   3. Verschiedene personenbezogene sensible Daten, die im Zusammenhang mit der Erbringung der Dienstleistung erfasst werden und nicht genau definiert werden können. Verschiedene personenbezogene Daten im Zusammenhang mit dem Gehalt und der Bezahlung, die im Zusammenhang mit der Erbringung der Dienstleistung erfasst werden und nicht genau definiert werden können.

2. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen

   1. Derzeitige Mitarbeiter, ehemalige Mitarbeiter, Bewerber oder potenzielle Kandidaten für Einstellungen, Kunden, die Verbraucher oder Einzelunternehmer sind, Mitarbeiter und Partner von Kunden.
   2. (wenn es sich bei den Kunden um Unternehmen handelt), Kunden von Kunden und deren Mitarbeiter (z. B. für CRM-Lieferanten), Lieferanten, bei denen es sich um Personen oder Einzelunternehmer handelt, Mitarbeiter von Lieferanten (wenn es sich bei den Lieferanten um Unternehmen handelt), verbundene Unternehmen, bei denen es sich um Personen oder Einzelunternehmer handelt, Mitarbeiter von verbundenen Unternehmen (wenn es sich bei den verbundenen Unternehmen um Unternehmen handelt), verschiedene Kategorien, die nicht im Voraus identifiziert werden können

3. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen kann zu dem Zeitpunkt erfolgen, zu dem die Klauseln in Kraft treten. Die Verarbeitung hat die folgende Dauer:

   1. Die Verarbeitung personenbezogener Daten erfolgt bis zur Beendigung der Dienste des Auftragsverarbeiters; danach werden die personenbezogenen Daten gemäß Ziffer 10.1 gelöscht. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt so lange, wie der zugrunde liegende Handelsvertrag bzw. die zugrunde liegenden Handelsverträge bestehen.

Anhang B Zugelassene Unterauftragsverarbeiter

1. Zugelassene Unterauftragsverarbeiter

 

1.1 Mit Inkrafttreten der Klauseln genehmigt der für die Verarbeitung Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Deutschland

Back up / Hosting Zentrum ist Server Hosting Partner für Data & More ApS

 

1.2 Der für die Verarbeitung Verantwortliche genehmigt bei Inkrafttreten der Klauseln den Einsatz der oben genannten Unterauftragsverarbeiter für die beschriebene Verarbeitung für diese Partei. Der Auftragsverarbeiter ist ohne die ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen nicht berechtigt, einen Unterauftragsverarbeiter für eine "andere" als die vereinbarte Verarbeitung zu beauftragen oder einen anderen Unterauftragsverarbeiter mit der beschriebenen Verarbeitung zu beauftragen.

Anhang C Anweisung über die Verwendung personenbezogener Daten

 

• Gegenstand der Verarbeitung/Anweisung zur Verarbeitung

 

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten als Berater im Auftrag der verantwortlichen Stelle, um der verantwortlichen Stelle die Nutzung des IT-Systems Data & More Compliance Server zu erleichtern, das von dem Auftragsverarbeiter verwaltet wird. Im Rahmen dieser Datenverarbeitungsvereinbarung ist der Auftragsverarbeiter berechtigt, auf den Data & More Compliance Server zuzugreifen, um Wartungs-, Konfigurations- und Qualitätssicherungsaufgaben durchzuführen, die die Verarbeitung personenbezogener Daten von Mitarbeitern, Kunden und Partnern des für die Verarbeitung Verantwortlichen erfordern können, und zwar ausschließlich zum Zweck der Erfüllung dieser Aufgaben.

 

• Sicherheit der Verarbeitung

 

1. Bei der Höhe der Sicherheit ist Folgendes zu berücksichtigen:

1. Der Auftragsverarbeiter muss unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitungstätigkeit sowie des Risikos für die Rechte und Freiheiten natürlicher Personen ein angemessenes Sicherheitsniveau gewährleisten.
2. Der Auftragsverarbeiter ist in der Folge berechtigt und verpflichtet, Entscheidungen über die technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, die zur Schaffung des erforderlichen (und vereinbarten) Datensicherheitsniveaus anzuwenden sind.
3. Der Auftragsverarbeiter muss jedoch in jedem Fall und mindestens die folgenden Maßnahmen ergreifen, die mit dem für die Verarbeitung Verantwortlichen vereinbart wurden:

 

Organisatorische Sicherheit 

Der Auftragsverarbeiter muss die folgenden organisatorischen Sicherheitsmaßnahmen durchführen: 

1. Alle Mitarbeiter des Auftragsverarbeiters unterliegen der Geheimhaltungspflicht, die für die gesamte Verarbeitung personenbezogener Daten gilt. 
2. Mitarbeiter mit Zugang zu sensiblen personenbezogenen Daten oder kritischen IT-Systemen haben sich vor ihrer Einstellung einer Sicherheitsüberprüfung unterzogen. 
3. Der Zugang der Mitarbeiter zu den personenbezogenen Daten ist begrenzt, so dass nur die zuständigen Mitarbeiter Zugang zu den erforderlichen personenbezogenen Daten haben. 
4. Die Mitarbeiter des Auftragsverarbeiters, die Zugang zu "sensiblen" personenbezogenen Daten oder kritischen IT-Systemen haben, wurden vor ihrer Einstellung einer Sicherheitsüberprüfung unterzogen. 
5. Die von den Mitarbeitern des Auftragsverarbeiters vorgenommene Verarbeitung personenbezogener Daten wird protokolliert und kann bei Bedarf überprüft werden. 
6. Der Auftragsverarbeiter verfügt über eine IT-Sicherheitspolitik. 
7. Der Auftragsverarbeiter verfügt über dokumentierbare Verfahrensbeschreibungen für Verstöße gegen die Sicherheit personenbezogener Daten, die mindestens einmal jährlich überprüft werden. 
8. Der Auftragsverarbeiter hat Verfahren eingerichtet, die eine ordnungsgemäße Löschung oder eine kontinuierliche Vertraulichkeit sicherstellen, wenn die Hardware repariert, gewartet oder entsorgt wird. i) Der Auftragsverarbeiter hat die Möglichkeit, auf Verstöße seiner Mitarbeiter gegen die Datensicherheit oder gegen die Anweisungen zur Verarbeitung personenbezogener Daten gemäß dem Arbeitsrecht zu reagieren. 
9. Die Mitarbeiter des Auftragsverarbeiters dokumentieren und melden regelmäßig Verstöße gegen die Sicherheit personenbezogener Daten oder entsprechende Risiken. 

 

Physische Sicherheit

Der Verarbeiter hat die folgenden physischen Sicherheitsmaßnahmen zu ergreifen:

1. Die Büroräume des Bearbeiters können abgeschlossen werden.
2. Der Prozessor verwendet Alarmsysteme, um Einbrüche zu erkennen und zu verhindern.
3. Der Verarbeiter setzt Feuermelder und Rauchmelder ein, um Brände zu erkennen und zu verhindern.
4. Der Verarbeiter hat den Notfall- und Evakuierungsplan für Notfälle getestet.
5. Die Geräte des Prozessors (einschließlich PCs, Server usw.) sind hinter verschlossenen Türen gesichert.
6. Der Bearbeiter und die Besucher usw. werden durch Ausweise identifiziert.
7. Die Räumlichkeiten und Einrichtungen des Verarbeiters oder die Zugangswege werden per Video oder Bild überwacht.
8. Der Bearbeiter verwendet ein Verifizierungsverfahren oder ein Verifizierungssystem, um die Identität der Besucher zu kontrollieren.
9. Der Auftragsverarbeiter verwendet eine Schlüsselverwaltung, d. h. er gibt die Schlüssel an die zuständigen und erforderlichen Mitarbeiter weiter usw.
10. Die Rezeption ist rund um die Uhr besetzt, und außerhalb der Bürozeiten gibt es einen Sicherheitsdienst.
11. Die Gebäude des Verarbeiters sind in Zutrittszonen unterteilt, zu denen dann Zutrittskarten erforderlich sind.
12. Über die Besucher des Prozessors wird ein Protokoll geführt.
13. Die Mitarbeiter des Verarbeiters sind verpflichtet, einen Personalausweis mit sich zu führen.

Das Sicherheitsniveau muss dem großen Umfang der verarbeiteten personenbezogenen Daten Rechnung tragen.

sowie die hohe Vertraulichkeit der verarbeiteten Informationen und erfordern daher ein hohes Maß an Sicherheit.

Technische Sicherheit: Zugang zu und Schutz von IT-Systemen

Der Auftragsverarbeiter ergreift die folgenden technischen Sicherheitsmaßnahmen für den Zugang zu seinen Systemen und deren Schutz:

1. Der Prozessor verwendet eine logische Zugangskontrolle mit Benutzernamen und Passwort oder einer anderen eindeutigen Autorisierung.
2. Der Prozessor verwendet Antivirenprogramme, die regelmäßig aktualisiert werden.
3. Der Prozessor protokolliert und kontrolliert unbefugte oder wiederholt fehlgeschlagene Anmeldeversuche.
4. Der Auftragsverarbeiter verlangt von seinen Mitarbeitern die Verwendung individueller Passwörter.
5. Die Rechner des Prozessors haben einen automatischen Zugriffsschutz bei Inaktivität, d.h..

gesperrter Bildschirmschoner.

1. Der Bearbeiter hat Richtlinien für die Zusammensetzung von Passwörtern, einschließlich Mindestanforderungen.
2. Es gibt Verfahren für den Entzug von Berechtigungen, wenn ein Mitarbeiter aufhört oder die Abteilung wechselt.
3. Es gibt Verfahren für die Erteilung von Berechtigungen für IT-Systeme bei der Einstellung neuer Mitarbeiter.

Das Sicherheitsniveau muss dem großen Umfang der verarbeiteten personenbezogenen Daten sowie der hohen Vertraulichkeit der verarbeiteten Informationen Rechnung tragen und erfordert daher ein hohes Maß an Sicherheit.

Technische Sicherheit: Zugang zu personenbezogenen Daten

Der Auftragsverarbeiter ergreift die folgenden technischen Sicherheitsmaßnahmen für den Zugang zu personenbezogenen Daten:

1. Der Bearbeiter überprüft regelmäßig die Systemkontrollen.
2. Der Auftragsverarbeiter erteilt Einzelpersonen oder Gruppen von Nutzern die Berechtigung, auf die verarbeiteten personenbezogenen Daten zuzugreifen, sie zu ändern und zu löschen.
3. Der Prozessor verfügt über ein oder mehrere Verfahren zur Wiederherstellung von Daten aus dem Backup.
4. Der Bearbeiter prüft und verifiziert regelmäßig die Benutzerberechtigungen für bestimmte Systeme.
5. Der Prozessor protokolliert und kontrolliert unbefugte oder wiederholt fehlgeschlagene Versuche, Daten zu löschen.
6. Der Auftragsverarbeiter protokolliert und kontrolliert unbefugte oder wiederholt fehlgeschlagene Versuche, auf Daten zuzugreifen.
7. Der Auftragsverarbeiter kann den Zugriff, die Änderung und die Löschung von Daten durch einzelne Nutzer nachvollziehen.

Das Sicherheitsniveau muss dem großen Umfang der verarbeiteten personenbezogenen Daten sowie der hohen Vertraulichkeit der verarbeiteten Informationen Rechnung tragen und erfordert daher ein hohes Maß an Sicherheit.

Technische Sicherheit: Verschlüsselung

Der Auftragsverarbeiter muss die folgenden technischen Sicherheitsmaßnahmen zur Verschlüsselung durchführen:

1. Die auf den Computern des Bearbeiters usw. gespeicherten Passwörter sind verschlüsselt.
2. Inhalte auf externen Festplatten, USB-Sticks usw. werden verschlüsselt, wenn diese Medien persönliche oder sensible Daten enthalten.
3. Das Netz ist verschlüsselt.
4. Die Computer des Bearbeiters haben verschlüsselte Festplatten.
5. Der Auftragsverarbeiter verschlüsselt die personenbezogenen Daten in den Systemen und/oder auf den Geräten.
6. Der Auftragsverarbeiter verschlüsselt sensible personenbezogene Daten in Systemen und/oder auf Geräten.
7. Die Webseiten und Webformulare des Bearbeiters verwenden SSL-Zertifikate / HTTPS (Hyper Text Transfer Protocol Secure).

Siehe zusätzliches Dokument zur Sicherheitspolitik des DAM-Netzwerks.

Technische Sicherheit: Schutz personenbezogener Daten bei der Übermittlung

Der Auftragsverarbeiter ergreift die folgenden technischen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung:

1. Der Bearbeiter verwendet und hat Richtlinien für sichere E-Mails.
2. Ausgehende E-Mails mit sensiblen persönlichen Daten oder Informationen über rein private Angelegenheiten werden verschlüsselt.
3. Der Bearbeiter hat Richtlinien für die Nutzung von Arbeits-E-Mails, einschließlich der Nutzung für private Zwecke, angemessene Nutzung, Verschlüsselung, sichere Nutzung usw.

Technische Sicherheit: Verfügbarkeit und Robustheit

Der Auftragsverarbeiter ergreift die folgenden technischen Sicherheitsmaßnahmen in Bezug auf Verfügbarkeit und Robustheit:

1. Die Zugänglichkeit und Robustheit der Systeme und Server des Auftragsverarbeiters wird durch einen Dritten gesichert, mit dem der Auftragsverarbeiter eine Vereinbarung getroffen hat.
2. Nur befugte Mitarbeiter haben Zugang zu den eigenen Servern des Verarbeiters.
3. Die Serverräume sind mit Rauchmeldern und Feuerlöschern ausgestattet.
4. Der Serverraum ist klimatisiert.
5. Für die Datensicherung gibt es Regeln und Richtlinien.
6. Es gibt Regeln und Richtlinien für die Wiederherstellung von Daten aus einer Sicherung.
7. Es werden regelmäßig Sicherungskopien erstellt (entweder intern oder beim Lieferanten).
8. Aktive Alarmierung bei unbefugten Versuchen, auf Serverräume und/oder Verarbeitungssysteme und Daten zuzugreifen.
9. Es wird eine unterbrechungsfreie Stromversorgung (USV) verwendet.
10. Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen.
11. Der Auftragsverarbeiter verfügt über Verfahrensbeschreibungen für Verstöße gegen die Sicherheit personenbezogener Daten, die mindestens einmal jährlich überprüft werden.

1. Unterstützung des Controllers

 

3.1 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen nach Maßgabe der Ziffern 8.1, 9.1 und 9.2 im Rahmen seiner Möglichkeiten - im Rahmen und im Umfang der nachstehend genannten Unterstützung - durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen:

 

1. Erhält der für die Verarbeitung Verantwortliche einen Antrag auf Ausübung eines der Rechte der betroffenen Personen gemäß dem geltenden Datenschutzrecht und erfordert die ordnungsgemäße Beantwortung des Antrags die Unterstützung des Auftragsverarbeiters, so unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen mit den erforderlichen und relevanten Informationen und Unterlagen sowie mit geeigneten technischen und organisatorischen Sicherheitsmaßnahmen.
2. Benötigt der für die Verarbeitung Verantwortliche zur Beantwortung eines Antrags einer betroffenen Person die Unterstützung des Auftragsverarbeiters, so muss der für die Verarbeitung Verantwortliche ein schriftliches Ersuchen um Unterstützung an den Auftragsverarbeiter richten, der daraufhin so schnell wie möglich, spätestens jedoch innerhalb von sieben Kalendertagen nach Eingang des Ersuchens, die erforderliche Hilfe oder Dokumentation bereitstellt.
3. Erhält der Auftragsverarbeiter einen Antrag auf Ausübung der Rechte nach geltendem Datenschutzrecht von anderen Personen als dem für die Verarbeitung Verantwortlichen, und betrifft der Antrag personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, so leitet er den Antrag unverzüglich an den für die Verarbeitung Verantwortlichen weiter.

 

4. Lagerdauer/Messverfahren

4.1 Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten löscht der Auftragsverarbeiter die personenbezogenen Daten gemäß Ziffer 10.1, es sei denn, der für die Verarbeitung Verantwortliche hat - nach Unterzeichnung des Vertrags - die ursprüngliche Entscheidung des für die Verarbeitung Verantwortlichen geändert. Eine solche Änderung ist zu dokumentieren und schriftlich, auch elektronisch, in Verbindung mit den Klauseln aufzubewahren.

5. Verarbeitungsort

5.1 Die Verarbeitung personenbezogener Daten im Rahmen der Klauseln kann ohne vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen nicht an anderen als den nachstehend genannten Orten erfolgen:

Hetzner Online GmbH,

USt-IdNr. Nr.: DE812871812 Industriestr. 25

91710 Gunzenhausen in Deutschland

6. Anweisung zur Übermittlung personenbezogener Daten an Drittländer

6.1 Personenbezogene Daten werden vom Auftragsverarbeiter nur an den in Klausel C.5. Der Auftragsverarbeiter übermittelt keine personenbezogenen Daten an Drittländer oder internationale Organisationen.

6.2 Wenn der für die Verarbeitung Verantwortliche in diesen Klauseln oder später keine dokumentierte Anweisung für die Übermittlung personenbezogener Daten in ein Drittland erteilt, ist der Auftragsverarbeiter nicht berechtigt, solche Übermittlungen im Rahmen dieser Klauseln vorzunehmen.

6.3 Die Übermittlung personenbezogener Daten kann in jedem Fall nur in Übereinstimmung mit diesen Klauseln, auf Anweisung des für die Verarbeitung Verantwortlichen und in dem nach dem geltenden Datenschutzrecht zulässigen Umfang erfolgen.

6.4 Wenn der Auftragsverarbeiter in Übereinstimmung mit diesen Klauseln personenbezogene Daten an Unterauftragsverarbeiter in Drittländern außerhalb der EU/des EWR übermittelt, muss der Auftragsverarbeiter unabhängig eine Rechtsgrundlage für die Übermittlung in Übereinstimmung mit Kapitel 5 der DSGVO sicherstellen.

7. Verfahren für Audits, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter durch den für die Verarbeitung Verantwortlichen

7.1 Der Auftragsverarbeiter dokumentiert dem für die Verarbeitung Verantwortlichen auf dessen schriftliche Anfrage hin, dass der Auftragsverarbeiter

7.1.1 seinen Verpflichtungen aus diesen Klauseln und der Anweisung nachkommt, und

7.1.2 mit den einschlägigen Artikeln der DSGVO in Bezug auf die personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden.

 

7.2 Gemäß Klausel C.7.1 Die Dokumentation des Auftragsverarbeiters ist dem für die Verarbeitung Verantwortlichen innerhalb einer angemessenen Frist nach Erhalt des Antrags zu übermitteln.

 

7.3 Der Auftragsverarbeiter muss dem für die Verarbeitung Verantwortlichen eine Dokumentation über die kontinuierliche compliance der Bestimmungen vorlegen. Diese Selbstprüfungsberichte sind mindestens einmal jährlich zu erstellen und müssen den Grundsätzen und Kontrollzielen des Prüfungsstandards ISAE 3000, wie er vom Common Strategic Framework (CSF) - Danish Auditors und der dänischen Datenschutzbehörde festgelegt wurde, sowie ISAE 3402 (und/oder alternativ international anerkannten Standards wie ISO/IEC 27701:2019) entsprechen. Selbstauditberichte können als Teil der Informationsbeschaffung des für die Verarbeitung Verantwortlichen durchgeführt werden und müssen von der Leitung des Auftragsverarbeiters unterzeichnet werden. Um den Bedarf des für die Verarbeitung Verantwortlichen an Einblicken und Gewissheit über die sichere Verarbeitung personenbezogener Daten durch den Datenverarbeiter zu decken, muss der Datenverarbeiter die compliance der Klauseln durch den Datenverarbeiter, einschließlich der festgelegten Sicherheitsmaßnahmen, alle 12 Monate durch einen externen, unabhängigen Dritten überprüfen und die vollständigen Aufzeichnungen an den für die Verarbeitung Verantwortlichen übermitteln.

 

7.4 Ungeachtet der Klausel C.7.3hat der Auftragsverarbeiter darüber hinaus Audits und Inspektionen durch vom für die Verarbeitung Verantwortlichen bestellte Prüfer und die zuständigen Behörden zu ermöglichen und daran mitzuwirken, soweit dies erforderlich ist, um die compliance dieser Klauseln und des geltenden Datenschutzrechts durch den Auftragsverarbeiter zu überprüfen. Der betreffende Prüfer muss durch Gesetz oder Vereinbarung zur Verschwiegenheit verpflichtet sein. Der für die Verarbeitung Verantwortliche muss die Audits innerhalb von 14 Kalendertagen schriftlich bekannt geben.

8. Verfahren für Audits, einschließlich Inspektionen, der von Unterauftragsverarbeitern durchgeführten Verarbeitung personenbezogener Daten.

 

8.1 Der Auftragsverarbeiter führt mindestens jeden 12. Monat auf eigene Kosten ein Audit der Unterauftragsverarbeiter des Auftragsverarbeiters durch und legt dem für die Verarbeitung Verantwortlichen die Dokumentation für dieses Audit vor.

8.2 Die Vertragsparteien kommen überein, dass der Bestätigungsvermerk ISAE 3000 des unabhängigen Wirtschaftsprüfers zu diesem Zweck verwendet werden kann.

 

C.8. [WENN ANWENDBAR] Verfahren für Audits, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter

Der Datenverarbeiter muss JÄHRLICH auf Kosten des Datenverarbeiters einen [PRÜFUNGSBERICHT/INSPIRATIONSBERICHT] von einem unabhängigen Dritten über die compliance der DSGVO, der geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und der Klauseln durch den Unterauftragsverarbeiter einholen.

Die Parteien haben vereinbart, dass die folgenden Arten von [AUDITOR'S REPORT/INSPECTION REPORT] in compliance mit den Klauseln verwendet werden können:

• Hetzner-TÜV-Auditbericht 
• Aktualisierte ISO/IEC 27001:2013-Zertifikate
• Hetzner_GDPR compliance Art 28 und 32 Dokumentation

Der BERICHT DES AUDITORS wird dem für die Verarbeitung Verantwortlichen unverzüglich zur Kenntnisnahme vorgelegt. Der für die Verarbeitung Verantwortliche kann den Umfang und/oder die Methodik des Berichts anfechten und in diesem Fall ein neues Audit/eine neue Inspektion mit einem geänderten Umfang und/oder einer anderen Methodik verlangen.

Auf der Grundlage der Ergebnisse eines solchen Audits/einer solchen Inspektion kann der für die Verarbeitung Verantwortliche verlangen, dass weitere Maßnahmen ergriffen werden, um die compliance der DSGVO, der geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und der Klauseln zu gewährleisten.

Der Auftragsverarbeiter oder der Vertreter des Auftragsverarbeiters hat darüber hinaus Zugang zu den Orten, an denen die Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter erfolgt, einschließlich der physischen Einrichtungen sowie der für die Verarbeitung verwendeten und damit zusammenhängenden Systeme, und kann diese auch physisch inspizieren. Eine solche Inspektion wird durchgeführt, wenn der Datenverarbeiter (oder der für die Verarbeitung Verantwortliche) dies für erforderlich hält.

Die Unterlagen für solche Inspektionen werden dem für die Verarbeitung Verantwortlichen unverzüglich zur Kenntnisnahme vorgelegt. Der für die Verarbeitung Verantwortliche kann den Umfang und/oder die Methodik des Berichts anfechten und in diesem Fall eine neue Inspektion mit einem geänderten Umfang und/oder einer anderen Methodik verlangen."

Der für die Verarbeitung Verantwortliche kann - falls erforderlich - beschließen, eine physische Inspektion des Unterauftragsverarbeiters zu veranlassen und daran teilzunehmen. Dies kann der Fall sein, wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass die Überwachung des Unterauftragsverarbeiters durch den Datenverarbeiter dem für die Verarbeitung Verantwortlichen keine ausreichenden Unterlagen zur Verfügung gestellt hat, anhand derer er feststellen kann, dass die Verarbeitung durch den Unterauftragsverarbeiter im Einklang mit den Klauseln durchgeführt wird.

Die Teilnahme des für die Verarbeitung Verantwortlichen an einer Inspektion des Unterauftragsverarbeiters ändert nichts an der Tatsache, dass der Datenverarbeiter weiterhin die volle Verantwortung dafür trägt, dass der Unterauftragsverarbeiter die DSGVO, die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und die Klauseln compliance ."

Die Kosten des Datenverarbeiters und des Unterauftragsverarbeiters im Zusammenhang mit der physischen Überwachung/Inspektion in den Einrichtungen des Unterauftragsverarbeiters gehen nicht zu Lasten des für die Verarbeitung Verantwortlichen - unabhängig davon, ob der für die Verarbeitung Verantwortliche eine solche Inspektion veranlasst und daran teilgenommen hat.    

• Die Vereinbarung über die Datenverarbeitung regelt keine anderen Fragen.