Vertrag zur Auftragsverarbeitung

Auftragsverarbeitungs-
vertrag

zwischen

dem Teilnehmer der Saiga App
als Verantwortlicher (nachstehend „Auftraggeber“ genannt)

und

der Saiga GmbH,
Kyffhäuserstraße 10, 10781 Berlin
als Auftragsverarbeiter (nachstehend „Auftragnehmer“ genannt)

Präambel

Der Auftraggeber hat den Auftragnehmer mit den in Ziffer 1 genannten Leistungen beauftragt. Einen Teil der Vertragsdurchführung kann die Verarbeitung von personenbezogenen Daten beinhalten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
Für diese Vereinbarung gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.

1 Vertragsgegenstand

1.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Erledigung privater und geschäftlicher Angelegenheiten („Concierge Service“) auf Grundlage des Nutzungsvertrags über die App (nachstehend „Hauptvertrag“ genannt). Dabei kann der Auftragnehmer Zugriff auf die in Anlage 1 genannten personenbezogenen Daten erhalten und verarbeitet diese im Auftrag und nach Weisung des Auftraggebers.

1.2 Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

1.3 Einzelheiten zu Art, Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus Anlage 1, soweit sich diese nicht bereits aus dem Hauptvertrag (und ggf. der dazugehörigen Leistungsbeschreibung) ergeben.

1.4 Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

2 Vertragslaufzeit

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

3 Ort der Verarbeitung und Niederlassung des Auftragnehmers

Die Verarbeitung der vertragsgegenständlichen personenbezogenen Daten durch den Auftragnehmer findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede sonstige Verarbeitung oder Nutzung außerhalb dieser Gebiete bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen für Datenexporte in Drittländer gemäß Art. 44 ff. DSGVO erfüllt sind, beispielsweise durch die Nutzung der EU-Standardvertragsklauseln.

4 Weisungen des Auftraggebers

4.1 Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

4.2 Die Weisungen des Auftraggebers werden anfänglich durch diese Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind unverzüglich in einem dokumentierten elektronischen Format zu bestätigen. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

4.3 Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Erteilt der Auftraggeber Einzelweisungen hinsichtlich des Umgangs mit personenbezogenen Daten, die über den hauptvertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

4.4 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

5 Verantwortlichkeiten und Pflichten des Auftraggebers

5.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer, für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Rechte der Betroffenen allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).

5.2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

5.3 Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person wird der Auftraggeber den Auftragnehmer bei der Abwehr etwaiger Ansprüche nach Art. 82 DSGVO im notwendigen Umfang unterstützen, soweit personenbezogene Daten aus diesem Auftragsverhältnis betroffen sind.

5.4 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser Vereinbarung bestehen.

6 Pflichten des Auftragnehmers

6.1 Der Auftragnehmer ist verpflichtet, die für ihn geltenden gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

6.2 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e) und f) DSGVO).

7 Technische und organisatorische Maßnahmen, Vertraulichkeit

7.1 Der Auftragnehmer gewährleistet für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

7.2 Das in Anlage 2 beschriebene Datenschutz- und Sicherheitskonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar und wird als verbindlich festgelegt. Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die gemäß Anlage 2 vereinbarten Standards nicht unterschreiten. Über wesentliche Änderung der Sicherheitsmaßnahmen hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten. Solche Änderungen sind zu dokumentieren.

7.3 Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt dieser den Auftragnehmer unverzüglich.

7.4 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis sowie die Vertraulichkeit zu wahren. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.

7.5 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

7.6 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

8 Mitteilungspflichten des Auftragnehmers

8.1 Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33 DSGVO bestehen kann, die eine Meldung bei Datenschutzverletzungen an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Bei Störungen, Verdacht auf Datenschutzverletzungen, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen.

9 Anfragen und Rechte Betroffener

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie 32 bis 36 DSGVO. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft unmittelbar an den Auftragnehmer, wird der Auftragnehmer die betroffene Person unverzüglich an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

10 Kontrollrechte des Auftraggebers

10.1 Der Auftraggeber ist berechtigt, sich und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu dieser Vereinbarung zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. Für die Ermöglichung von Vor-Ort-Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

10.2 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.

10.3 Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

11 Unterauftragsverhältnisse (Subunternehmer)

11.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen und diese dem Auftraggeber auf Verlangen nachzuweisen.

11.2 Der Auftraggeber erteilt hiermit seine allgemeine Zustimmung zur Hinzuziehung von Subunternehmen durch den Auftragnehmer und der Begründung von entsprechenden Unterauftragsverhältnissen. Die bereits bei Abschluss dieser Vereinbarung bestehenden Unterauftragsverhältnisse sind in Anlage 3 aufgeführt.

11.3 Der Auftragnehmer ist verpflichtet, den Auftraggeber über jede beabsichtigte Hinzuziehung weiterer oder die Ersetzung der in Anlage 3 aufgeführten Subunternehmer in Textform zu informieren. Der Auftraggeber ist berechtigt, gegen angezeigte Änderungen bei Vorliegen eines berechtigten Interesses innerhalb von 2 Wochen ab Zugang der Änderungsanzeige Einspruch zu erheben. Ein berechtigtes Interesse liegt insbesondere vor, wenn objektive Zweifel an der Zuverlässigkeit des Subunternehmers und der Datenschutzkonformität der Leistungen des Subunternehmers bestehen. Der Einspruch bedarf der Textform und ist zu begründen. Erfolgt ein solcher Einspruch und ist eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich, steht dem Auftragnehmer ein Recht zur außerordentlichen Kündigung des Hauptvertrages und dieser Vereinbarung zu.

11.4 Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

12 Löschung und Rückgabe von Daten

12.1 Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Im Falle der Löschung von Daten hat der Auftragnehmer diese in einem Protokoll zu dokumentieren. Über die Rückgabe oder Löschung der Daten nach Vertragsende hat der Auftraggeber spätestens zwei Wochen nach Vertragsende zu entscheiden.

12.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, hat der Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

12.3 Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

13 Schlussbestimmungen

13.1 Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser Vereinbarung geht diese Vereinbarung vor, soweit die Regelungen dieser Vereinbarung die Verarbeitung personenbezogener Daten betreffen.

13.2 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

13.3 Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

13.4 Ist der Teilnehmer Unternehmer, vereinbaren die Parteien Berlin als Gerichtsstand für alle Streitigkeiten aus diesem Vertrag. Saiga bleibt jedoch berechtigt, am Sitz des Teilnehmers zu klagen.    

13.5 Es gilt das Recht der Bundesrepublik Deutschland. Handelt es sich bei dem Teilnehmer um einen Verbraucher, bleiben die zwingenden Schutzvorschriften des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, weiterhin anwendbar.  

13.6 Anlagen 1, 2 und 3 sind wesentlicher Bestandteil dieser Vereinbarung.

Anlagen

Anlage 1 – Details zur Datenverarbeitung, Kontakte, Datenschutzbeauftragter
Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
Anlage 3 – Liste Subunternehmer


Anlage 1: Details zur Datenverarbeitung, Kontakte, Datenschutzbeauftragter

Art und Zweck der Verarbeitung

Datenverarbeitung im Rahmen der Unterstützung bei privaten und geschäftlichen Angelegenheiten des Auftraggebers. Hierfür lädt der Auftraggeber die für die Wahrnehmung der Unterstützungshandlung erforderlichen Unterlagen in der App hoch.  

Kategorien von Betroffenen

Werden vom Auftraggeber Unterlagen zum Zwecke der Wahrnehmung einer Unterstützungsleistung übermittelt, können unter anderem personenbezogene Daten folgender betroffener Personen mitübertragen und vom Auftragnehmer erhoben und verarbeitet werden:


   • Familienangehörige, Freunde, Bekannte
   • Eigene Angestellte/Mitarbeiter
   • Angestellte/Mitarbeiter von Vertragspartnern  
   • Behördenmitarbeiter

Art der zu verarbeitenden personenbezogenen Daten

Werden vom Auftraggeber Unterlagen zum Zwecke der Wahrnehmung einer Unterstützungsleistung übermittelt, können unter anderem folgende personenbezogene Daten der oben genannten betroffenen Personen mitübertragen und vom Auftragnehmer erhoben und verarbeitet werden:  


   • Persönliche Informationen wie Name, Geburtsdatum, Adresse etc.
   • Familiäre Informationen
   • Informationen zum Freizeitverhalten (Hobbies, Interessen etc.)
   • Informationen zum Gesundheitszustand
   • Kontoinformationen  
   • Sonstige Informationen aus dem Privatbereich (Versicherungen, Immobilien, Kfz etc.)
   • Berufliche und geschäftliche Informationen

Anlage 2: Technische und organisatorische Sicherheitsmaßnahmen gem. Art. 32 DSGVO

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit gemäß Art. 32 DSGVO.

1 Datenschutz auf Mitarbeiterebene


    - Regelmäßige Schulungen von Mitarbeitern zum Datenschutz
    - Verpflichtung zur Vertraulichkeit

14 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

14.1 Zugangs- und Zutrittskontrolle


Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

    - Alarmanlage
    - Kontrollierte/dokumentierte Schlüsselvergabe
    - Manuelles Schließsystem
    - Nicht duplizierbare Schlüssel
    - Regelungen zum Verschluss von Eingängen / Büroräumen
    - Server ausgelagert
    - Server in verschlossenen Räumen
    - Sicherheitsschlösser
    - Sichere Passwortvergabe
    - Zuordnung von Benutzerrechten
    - Automatische Bildschirmsperrung
    - Erstellen von Benutzerprofilen
    - Zwei-Faktor-Authentifizierung
    - Firewall
    - Verschlüsselung von Datenträgern
    - Protokollierung von Zugriffen auf Daten
    - Absicherung von Fernwartungszugängen
    - Sorgfältige Auswahl von Reinigungspersonal

14.2 Trennungskontrolle

Maßnahmen, die eine getrennte Verarbeitung zweckgebundener Daten gewährleisten:


    - Logische Mandantentrennung
    - Sandboxing

15 Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

15.1 Weitergabekontrolle


Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

    - Verschlüsselung von Verbindungen
    - Absicherung von Fernwartungszugängen
    - Sperrung von USB-Ports / Anschlüssen
    - Verschlüsselte E-Mail-Kommunikation
    - WLAN-Verschlüsselung
    - Einrichtungen von Virtual Private Networks (VPN)
    - Elektronische Signatur

15.2 Eingabekontrolle


Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

    - Protokollierung der Eingabe, Änderung und Löschung von Daten
    - Dokumentenmanagement
    - Logfiles

15.3 Verfügbarkeit und rasche Widerherstellbarkeit  (Art. 32 Abs. 1 lit. b und c DSGVO)


Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, und Vorkehrungen, um möglichst schnell die Daten wieder herzustellen:

    - Backup-Strategie (regelmäßige Backups und Prüfungen auf erfolgreiche Wiederherstellung der Verfügbarkeit)
    - unterbrechungsfreie Stromversorgung (USV)
    - Virenschutz, Firewall
    - Meldewege und Notfallpläne
    - Feuer- und Rauchmeldeanlagen
    - Feuerlöschgeräte

16 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

    - Datenschutz-Management
    - Incident-Response-Management
    - Jährliche Überprüfung / Aktualisierung der getroffenen Maßnahmen gemäß dem Stand der Technik (durch DSB, IT–Revision etc.)
    - Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: eindeutige Vertragsgestaltung unter Berücksichtigung aller gesetzlichen Anforderungen gem. Art. 28 DSGVO, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen

17 Störfallmanagement

    - Konzept zur unverzüglichen und den gesetzlichen Anforderungen entsprechenden Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) und entsprechende Schulung der Mitarbeiter


Anlage 3: Vorhandene Subunternehmen

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden vom Auftragnehmer unter Einschaltung folgender Subunternehmen durchgeführt:

Name des Dienstleisters Anschrift des Dienstleisters Art der erbrachten Tätigkeit
Mailchimp The Rocket Science Group, LLC
675 Ponce de Leon Ave NE
Suite 5000
Atlanta, GA 30308 USA
Mailingliste verwalten