Auftragsverarbeitungsvertrag

Version: 2.0
Stand: 27.02.2025

1. Einleitung, Geltungsbereich, Definitionen

1.1. Dieser Auftragsverarbeitungsertrag (folgend „Vertrag“) regelt die Rechte und Pflichten von Auftraggeber und -nehmer (folgend „Parteien“) im Rahmen einer Verarbeitung von personenbezogenen Daten.

1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

2.1. Gegenstand

Der Auftragnehmer übernimmt folgende Verarbeitungen:

  • Bereitstellung eines Access as a Service (ACaaS)-Dienstes/einer ACaaS-Anwendung zur Nutzung, Entwicklung und Betrieb einer Zutrittsmanagement-Plattform, die Zutrittsanfragen von Drittsystemen entgegennimmt und auf dieser Basis Zutrittsberechtigungen erteilt. Gleichzeitig liefert die Plattform Informationen über bestehende und vergangene Zugangsberechtigungen.
  • Bereitstellung eines Identity as a Service (IDaaS)-Dienstes/einer IDaaS-Anwendung zur Nutzung, Entwicklung und Betrieb einer Identitätsmanagement-Plattform, die Berechtigungsanfragen von Drittsystemen entgegennimmt und auf dieser Basis Zugangsberechtigungen erteilt. Gleichzeitig liefert die Plattform Informationen über bestehende und vergangene Zugangsberechtigungen.

2.2. Bereitstellung von Support für Kunden und Nutzer der angebotenen Dienste

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag auf Grundlage des Kundenkontos bei BlueID sowie den AGB und der angebotenen Leistungen in der aktuellen Version (im Folgenden „Hauptvertrag“).

2.3. Dauer

Die Verarbeitung beginnt mit dem Start des Hauptvertrags und erfolgt auf unbestimmte Zeit und endet, wenn der zwischen den Parteien geschlossene Hauptvertrag endet.

3. Art und Zweck der Datenverarbeitung

3.1. Art und Zweck der Verarbeitung

Die Verarbeitung besteht in der Bereitstellung einer online Cloud-Lösung zur Verwaltung/Durchführung des Zutritts- und Identitätsmanagements sowie der Fernwartung der eingesetzten Systeme (siehe Ziffer 2.1.) beim Auftraggeber.

3.2. Art der Daten

Es werden je nach Zurverfügungstellung des Auftraggebers bzw. der von diesem autorisierten Nutzer folgende Daten verarbeitet:

  • Pseudonymisierte Nutzerdaten über mobile Geräte,
  • Vollständiger Name,
  • E-Mail-Adresse des Benutzers,
  • Zutrittsberechtigung (z. B. Tür- oder Raumbezeichnung),
  • Rollen bzw. Funktionsbezeichnung (z. B. Kunde, Mitarbeiter, Teamleiter, etc.),
  • Protokolldaten der Zugriffe auf das Schloss,
  • Fehlerursachen,
  • Anzahl der erfolgreichen und erfolglosen Öffnungsversuche,
  • Status- und Firmware-Daten.

3.3. Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind:

  • Mitarbeiter
  • Externe Gebäudebesucher (z. B. Hotelgäste, Bürobesucher, Mieter, Dienstleister)
  • Sonstige Nutzer der Systeme (z. B. B2B-Kunden)

4. Pflichten des Auftragnehmers

4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

4.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

4.3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

4.4. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

4.5. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

4.6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

4.7. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

4.8. Der Auftragnehmer sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem die erforderliche Zeit zur Erledigung seiner Aufgaben gewährt wird.

Datenschutzbeauftragter beim Auftragnehmer ist:

Malte Pignol
+49 (89) 8099026-00
datenschutz@blueid.net

Malte Pignol ist Wirtschaftsjurist mit Spezialisierung im europäischen Wirtschaftsrecht und insbesondere im Datenschutz. Als erfahrener interner und externer Datenschutzbeauftragter von kleinen und mittelständischen Unternehmen sowie Konzernen verfügt er über entsprechende Zertifizierungen als Datenschutzbeauftragter, Datenschutzauditor, Informationssicherheitsbeauftragter und Lead Auditor im Bereich Informationssicherheit.

5. Technische und organisatorische Maßnahmen (TOM)

5.1. Die in Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit sind erforderliche Änderungen vom Auftragnehmer unverzüglich umzusetzen.

5.2. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

5.3. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten strikt von anderen Datenbeständen getrennt werden.

5.4. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt, ausgenommen technisch notwendige, temporäre Vervielfältigungen, sofern eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

5.5. Die Verarbeitung von Daten in Privatwohnungen ist nur unter Beachtung geeigneter technischer und organisatorischer Maßnahmen zulässig. Soweit eine solche Verarbeitung erfolgt, stellt der Auftragnehmer sicher, dass ein dem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und dass die im Vertrag vorgesehenen Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mithilfe privater Geräte ist in keinem Fall gestattet.

5.6. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen einer kontinuierlichen Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

6. Regelungen zur Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten

6.1. Daten, die im Rahmen des Hauptvertrags verarbeitet werden, wird der Auftragnehmer ausschließlich gemäß diesem Vertrag berichtigen, löschen oder in der Verarbeitung einschränken.

6.2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrags hinaus Folge leisten.

6.3. Der Auftragnehmer ist berechtigt, Datenverarbeitungen auszusetzen bzw. ergänzende Weisungen nicht umzusetzen, sollten objektive Anhaltspunkte berechtigte Zweifel an der Rechtmäßigkeit oder Zulässigkeit der Verarbeitung aufzeigen. Dies umfasst insbesondere Verstöße gegen datenschutzrechtliche Bestimmungen oder Bestimmungen des Hauptvertrags. In einem solchen Fall informiert der Auftragnehmer den Auftraggeber unverzüglich.

7. Unterauftragsverhältnisse

7.1. Der Auftraggeber stimmt zu, dass der Auftragnehmer für den Betrieb des Rechenzentrums die in Anhang 2 aufgeführten Unterauftragnehmer einsetzt.

7.2. Der Auftragnehmer darf ohne Zustimmung des Auftraggebers weitere oder andere Unterauftragnehmer für die Verarbeitung der vertragsgegenständlichen Daten einsetzen, sofern diese Daten ausschließlich innerhalb der Bundesrepublik Deutschland oder der EU/EWR verarbeitet werden. Der Auftraggeber wird hierzu mit Namensnennung des Unterauftragnehmers schriftlich informiert.

7.3. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber jederzeit berechtigt sein, Kontrollen auch bei Subunternehmern im hier festgelegten Umfang durchzuführen oder durch Dritte durchführen zu lassen.

7.4. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der technischen und organisatorischen Maßnahmen des Subunternehmers sorgfältig aus.

7.5. Die Weiterleitung der im Auftrag verarbeiteten Daten an den Subunternehmer ist nur zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt. Der Auftragnehmer hat dem Auftraggeber die entsprechende Dokumentation unaufgefordert vorzulegen.

7.6. Die Beauftragung von Subunternehmern, die Datenverarbeitungen nicht ausschließlich innerhalb der EU oder des EWR erbringen, ist nur unter Einhaltung der Vertragsbedingungen zulässig. Dies ist insbesondere nur dann gestattet, wenn der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein entsprechender Nachweis zu erlangen ist.

7.7. Unterauftragsverhältnisse im Sinne dieses Vertrags umfassen nur Leistungen, die in direktem Zusammenhang mit der Erbringung der Hauptleistung stehen. Nebenleistungen, wie beispielsweise Transport, Wartung, Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Kundendienst, sind nicht erfasst. Die Verpflichtung des Auftragnehmers, auch in diesen Fällen den Datenschutz und die Datensicherheit sicherzustellen, bleibt unberührt.

8. Rechte und Pflichten des Auftraggebers

8.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für den Schutz der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

8.2. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

8.3. Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte zu überprüfen, insbesondere durch das Einholen von Auskünften, Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme sowie durch sonstige Vor-Ort-Kontrollen. Den mit der Kontrolle beauftragten Personen ist der erforderliche Zutritt und Einblick durch den Auftragnehmer zu gewähren. Der Auftragnehmer ist verpflichtet, alle erforderlichen Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu erbringen, die zur Durchführung einer Kontrolle notwendig sind.

8.4. Der Auftraggeber wird keine eigenen Kontrollen durchführen, sofern der Auftragnehmer den angeforderten Nachweis durch Vorlage eines marktüblichen Zertifikats (z. B. nach ISO, DIN oder SOC-Standard) erbringen kann. Kontrollen beim Auftragnehmer sollen ohne vermeidbare Beeinträchtigung des Geschäftsbetriebs stattfinden, sofern nicht dringende, vom Auftraggeber zu dokumentierende Gründe etwas anderes erfordern.

9. Mitteilungspflichten

9.1. Der Auftragnehmer teilt dem Auftraggeber Datenschutzverletzungen unverzüglich mit. Auch begründete Verdachtsfälle sind zu melden. Die Mitteilung hat ohne schuldhaftes Zögern ab dem Zeitpunkt, zu dem der Auftragnehmer von dem betreffenden Ereignis Kenntnis erlangt, an eine vom Auftraggeber benannte Adresse zu erfolgen, wobei die gesetzlichen Fristen einzuhalten sind. Die Mitteilung muss mindestens folgende Angaben enthalten:

  • eine Beschreibung der Art des Datenschutzverstoßes, soweit möglich unter Angabe der betroffenen Kategorien sowie der ungefähren Anzahl der betroffenen Personen und Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen des Datenschutzverstoßes;
  • eine Beschreibung der vom Auftragnehmer ergriffenen oder geplanten Maßnahmen zur Behebung des Datenschutzverstoßes und zur Minderung etwaiger nachteiliger Auswirkungen.

9.2. Erhebliche Störungen bei der Auftragserfüllung sowie Verstöße des Auftragnehmers oder seiner Mitarbeiter gegen datenschutzrechtliche Bestimmungen oder vertragliche Regelungen sind ebenfalls unverzüglich mitzuteilen.

9.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder Dritten, sofern diese einen Bezug zur Auftragsverarbeitung aufweisen.

9.4. Der Auftragnehmer sichert zu, den Auftraggeber in dem erforderlichen Umfang bei dessen Pflichten gemäß Art. 33 und 34 DSGVO zu unterstützen.

10. Beendigung des Auftrags

10.1. Bei Beendigung des Auftragsverhältnisses oder auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Sämtliche vorhandenen Kopien der Daten sind ebenfalls zu vernichten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung der Daten, auch von Restinformationen, mit vertretbarem Aufwand nicht mehr möglich ist.

10.2. Der Auftragnehmer ist verpflichtet, die sofortige Rückgabe bzw. Löschung auch bei Subunternehmern sicherzustellen.

10.3. Dokumentationen, die den Nachweis einer ordnungsgemäßen Datenverarbeitung erbringen, sind durch den Auftragnehmer entsprechend der geltenden Aufbewahrungsfristen auch über das Vertragsende hinaus aufzubewahren. Diese können zur Entlastung dem Auftraggeber bei Vertragsende übergeben werden. Die Löschung erfolgt auf Verlangen des Auftraggebers unverzüglich, was eine Frist von bis zu vier Wochen in Anspruch nehmen kann, sofern nicht nach den Umständen eine frühere Löschung erforderlich ist. Falls eine frühere Löschung gewünscht wird, teilt der Auftraggeber dies mit ausreichender Vorlaufzeit mit.

11. Vergütung

11.1. Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrags erfolgt nicht.

12. Sonstiges

12.1. Beide Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse und Sicherheitsmaßnahmen der jeweils anderen Partei auch nach Beendigung des Vertrags vertraulich zu behandeln. Besteht Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, so ist diese bis zur schriftlichen oder in Textform dokumentierten Freigabe durch die andere Partei als vertraulich zu behandeln.

12.2. Sollte der Zugriff auf die vom Auftraggeber dem Auftragnehmer zur Verarbeitung übermittelten Daten durch Maßnahmen Dritter (z. B. durch einen Insolvenzverwalter oder Beschlagnahme durch Finanzbehörden) gefährdet werden, hat der Auftragnehmer den Auftraggeber unverzüglich zu benachrichtigen.

12.3. Im Falle von Widersprüchen zwischen den Bestimmungen dieses Vertrags und den Regelungen des Hauptvertrags gehen die Bestimmungen dieses Vertrags vor.

12.4. Nebenabreden bedürfen mindestens der Textform.

12.5. Das Zurückbehaltungsrecht gemäß § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und zugehörigen Datenträger ausgeschlossen. Sollte ein Teil dieses Vertrags unwirksam sein, so bleibt die Wirksamkeit der übrigen Vertragsklauseln unberührt.

12.6. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Der Gerichtsstand ist der Sitz des Auftragnehmers.

Anlage: Technische und organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

1. Allgemeine Maßnahmen

  • Verschwiegenheitsverpflichtung für Mitarbeiter ist Bestandteil aller Arbeitsverträge bei BlueID und untersagt u.a. auch die Weitergabe persönlicher oder geschäftlicher Daten Dritter, insbesondere von Kunden des Arbeitgebers an unbefugte Dritte. Zuwiderhandlung wird mit einer Vertragsstrafe geahndet.
  • Regelmäßige Datenschutzschulungen für Mitarbeiter.
  • Besonders qualifizierter Datenschutzbeauftragter: siehe AVV 4.8.
  • Orientierung an den Standards der ISO 27001.
  • Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern.

2. Vertraulichkeit

2.1. Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zugang zu Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene Daten verarbeitet werden.

Da BlueID keine eigenen Server unterhält, verweisen wir bezüglich der Serversicherheit auf die umfassenden Maßnahmen, welche für die von uns genutzten Rechenzentren von den Betreibern Amazon Web Services („AWS“) und Hetzner Online GmbH auf der Perimeter-, Infrastruktur-, Daten- sowie Umweltebene ergriffen werden.

Eine detaillierte Beschreibung der von AWS ergriffenen Schutzmaßnahmen für die betriebenen Serverstandorte ist im Webauftritt des Unternehmens zu finden: https://aws.amazon.com/de/compliance/data-center/data-centers/

Eine detaillierte Beschreibung der von Hetzner Online GmbH ergriffenen Schutzmaßnahmen für die betriebenen Serverstandorte ist im Webauftritt des Unternehmens zu finden: https://docs.hetzner.com/de/general/others/technical-and-organizational-measures/

2.2. Zugangs- und Benutzerkontrolle

Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Authentifikation mit Benutzername/Passwort
  • Technische Erzwingung von Passwortkomplexität
  • Verschlüsselte Speicherung von Passwörtern
  • Automatische Sperrmechanismen
  • Automatische Update-Installation über Admin Policy auf Clients
  • Nutzung von Firewalls, Virenscanner, Spam-Filtern, Anti-Spy-Programmen, gesicherten Remoteverbindungen
  • Verschlüsselung von Datenträgern in mobilen Systemen
  • Verbot von USB-Datenträgern (außer bei technisch/administrativen Tätigkeiten, z. B. Client Installation)
  • Standardisierter Prozess zur Antragstellung, Genehmigung, Einrichtung, Löschung von Benutzeraccounts
  • Prüfung bei geänderter Aufgabenstellung, Versetzungen, Austritten etc.
  • Ein Benutzerstammsatz pro User
  • Verwendung sicherer Kennwörter
  • Erzwungener Passwortwechsel bei Erstanmeldung
  • Verbot gemeinsamer Nutzung von Passwörtern
  • Rücksetzung von gesperrten Benutzerkonten nur nach sicherer Authentifizierung
  • Administrationszugänge sind auf die notwendige Anzahl beschränkt
  • Aufgaben-/bereichsbezogene Administrationszugänge
  • Richtlinien zur Clean-Desk-Policy, Passwortvergabe und zur manuellen Computersperrung

2.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Personen nur im Rahmen ihrer Zugriffsberechtigung auf Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Dokumentiertes Berechtigungskonzept vorhanden
  • Zuordnung von Benutzerrechten/Erstellung von Benutzerprofilen
  • Verwaltung der Rechte durch System-Administratoren
  • Reduzierung der Anzahl der Administratoren auf das "Notwendigste"
  • Protokollierung von Änderungen an Daten
  • Verschlüsselung von Datenträgern
  • Sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern

2.4. Löschungskonzept für Daten, Transport- und Übergangskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

2.5. Firewall: Die nach dem Stand der Technik erforderlichen Firewall-Technologien sind implementiert und werden aktuell gehalten.

2.6. Erstellung einer Übersicht von Datenträgern bei analogem Ein- und Ausgang.

3. Integrität

3.1. Eingabekontrolle/Verarbeitungskontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden sind.

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vorhandensein von Aufbewahrungs- und Löschfristen für Protokolle

3.2. Dokumentationskontrolle

Maßnahmen, die sicherstellen, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten so dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.

3.3. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports bzw. der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.

  • Transportverschlüsselung beim E-Mail-Versand
  • HTTPS-verschlüsselte Websites

4. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und im Störfall wiederhergestellt werden können.

Innerhalb der von Hetzner und AWS genutzten Rechenzentren sind zahlreiche Maßnahmen zum Schutz vor Störungen und Katastrophen implementiert, darunter:

  • Unterbrechungsfreie Stromversorgung (USV)
  • Überspannungsschutz
  • Schutz gegen Umwelteinflüsse (Sturm, Wasser)
  • Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Alarmierung bei unberechtigtem Zutritt zu Serverräumen
  • Testen von Datenwiederherstellungsverfahren
  • Klimaanlage in Serverräumen
  • Regelmäßige Backups
  • Sichere Auslagerung von Datensicherungen
  • Virenschutzsysteme
  • RAID-Verfahren zur Spiegelung von Festplatten
  • Vorhandensein eines Katastrophenkonzepts

5. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Physikalisch getrennte Speicherung auf separaten Systemen oder Datenträgern
  • Versehen von Datensätzen mit Zweckattributen bzw. Datenfeldern
  • Logische Mandantentrennung (softwareseitig)
  • Trennung von Produktiv- und Testsystemen
  • Festlegung von Datenbankzugriffsrechten
  • Steuerung über ein dokumentiertes Berechtigungskonzept
  • Trennung von Daten verschiedener Auftraggeber

6. Überprüfung, Bewertung und Evaluierung

Maßnahmen, die gewährleisten, dass regelmäßig bzw. anlassbezogen überprüft wird, ob die datenschutzrechtlichen Anforderungen erfüllt werden:

  • Durchführung von Audits
  • Anfertigung von Datenschutz-Folgenabschätzungen
  • Hinzuziehung externer Prüfer
  • Aktuelle Datenschutzorganisation inklusive regelmäßiger Schulungen für Mitarbeiter

7. Eingesetzte Unterauftragsverarbeiter

7.1. AWS / AWS3 / AWS SES

Wir nutzen den Dienst von Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (nachfolgend „AWS“) für unseren Nutzerauthentifizierungsservice (OpenID) sowie für unsere auslaufenden ACaaS- und IDaaS-Produkte als Anwendungserver (auf denen die Backends laufen), AWS S3 für das Hosting der in unseren Apps hochgeladenen Dateien und AWS SES für den Versand von Einladungs-E-Mails innerhalb unserer Apps an unsere Nutzer.

Die Standorte der genutzten Server-/Rechenzentren befinden sich in der von AWS betriebenen „Region Frankfurt“ (siehe auch https://aws.amazon.com/de/region-frankfurt/).

AWS erfüllt hohe internationale Sicherheitsstandards und ist nach den Normen ISO/IEC 27001, 27017, 27018 sowie 9001 zertifiziert. Einzelheiten zu diesen Normen und Zertifizierungen sind einsehbar unter https://aws.amazon.com/de/compliance/iso-certified/.

Den „Anhang zur Datenverarbeitung“ von AWS können Sie hier einsehen: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

7.2. weclapp

Wir nutzen weclapp.com der weclapp GmbH mit Sitz in der Friedrich-Ebert-Straße 28, 97318 Kitzingen (nachfolgend „weclapp“) als Dienstleister für die Vertriebssteuerung, unsere Marketingprozesse und die Servicebearbeitung. Für den Einsatz von weclapp haben wir einen Auftragsverarbeitungsvertrag zum Schutz Ihrer personenbezogenen Daten abgeschlossen.

Weitere Informationen zum Datenschutz bei weclapp.com finden Sie unter: https://www.weclapp.com/de/datenschutz/

7.3. Hetzner

Wir nutzen die Hetzner Online GmbH mit Sitz in der Industriestraße 25, 91710 Gunzenhausen (nachfolgend „Hetzner“) als Dienstleister für das Hosting unseres Cloud Access Backends und der App-Infrastruktur. Für den Einsatz von Hetzner haben wir einen Auftragsverarbeitungsvertrag zum Schutz Ihrer personenbezogenen Daten abgeschlossen.

Hetzner ist nach den Normen ISO/IEC 27001 und SOC2 zertifiziert. Die Standorte der genutzten Server-/Rechenzentren befinden sich in Deutschland.

Weitere Informationen zum Datenschutz bei Hetzner finden Sie unter: https://www.hetzner.com/de/legal/privacy-policy

7.4. MongoDB

Als Datenbankmanagementsystem setzen wir die Lösung MongoDB der MongoDB Deutsche GmbH, Solmsstraße 41, 60486 Frankfurt am Main ein. Mit dem Anbieter haben wir einen Auftragsverarbeitungsvertrag zum Schutz der uns zur Verfügung gestellten Daten abgeschlossen.

Weitere Informationen zum Datenschutz bei MongoDB können Sie unter https://www.mongodb.com/de-de/legal/privacy-policy einsehen.

7.5. New Spaces

Für die Bereitstellung gängiger Büroanwendungen (z. B. E-Mail, Textverarbeitung) nutzen wir unseren Partner New Spaces GmbH, Schönhauser Allee 163, 10435 Berlin. Die New Spaces GmbH setzt hierbei ausschließlich namhafte IT-Dienstleister ein. Weitere Informationen hierzu erhalten Sie bei unserem Datenschutzbeauftragten.