Auftragsverarbeitungsvertrag

1.1. Dieser Auftragsverarbeitungsertrag (folgend „Vertrag“) regelt die Rechte und Pflichten von Auftraggeber und -nehmer (folgend „Parteien“) im Rahmen einer Verarbeitung von personenbezogenen Daten.

1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2.1. Gegenstand

Der Auftragnehmer übernimmt folgende Verarbeitungen:

Bereitstellung eines Access as a Service (ACaaS)-Dienstes/einer ACaaS-Anwendung zur Nutzung

Entwicklung und Betrieb einer Zutrittsmanagement-Plattform, die Zutrittsanfragen von Drittsystemen entgegennimmt und auf dieser Basis Zutrittsberechtigungen erteilt. Gleichzeitig liefert die Plattform Informationen über bestehende und vergangene Zugangsberechtigungen.

Bereitstellung eines Identity as a Service (IDaaS)-Dienstes/einer IDaaS-Anwendung zur Nutzung

Entwicklung und Betrieb einer Identitätsmanagement-Plattform, die Berechtigungsanfragen von Drittsystemen entgegennimmt und auf dieser Basis Zugangsberechtigungen erteilt. Gleichzeitig liefert die Plattform Informationen über bestehende und vergangene Zugangsberechtigungen.

2.2. Bereitstellung von Support für Kunden und Nutzer der angebotenen Dienste

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag auf Grundlage des Kundenkontos bei BlueID sowie den AGB und der angebotenen Leistungen in der aktuellen Version (im Folgenden „Hauptvertrag“).

2.3. Dauer

Die Verarbeitung beginnt mit dem Start des Hauptvertrags und erfolgt auf unbestimmte Zeit und endet, wenn der zwischen den Parteien geschlossene Hauptvertrag endet.

3.1.  Art und Zweck der Verarbeitung

Die Verarbeitung besteht in der Bereitstellung einer online Cloud-Lösung zur Verwaltung/Durchführung des Zutritts- und Identitätsmanagements sowie der Fernwartung der eingesetzten Systeme (siehe Ziffer 2.1.) bei dem Auftraggeber.

3.2. Art der Daten

Es werden je nach Zurverfügungstellung des Auftraggebers bzw. der von diesem autorisierten Nutzer folgende Daten verarbeitet:

• Pseudonymisierte Nutzerdaten über mobile Geräte,
• Vollständiger Name,
• E-Mail-Adresse des Benutzers,
• Zutrittsberechtigung (bspw. Tür- oder Raumbezeichnung),
• Rollen bzw. Funktionsbezeichnung (bspw. Kunde, Mitarbeiter, Teamleiter, etc.)
• GPS-Position des erhebenden Admin-Smartphones für Schloss-Position,
• Protokolldaten der Zugriffe auf das Schloss,
• Fehlerursachen,
• Anzahl der erfolgreichen und erfolglosen Öffnungsversuche auf dem Smartphone des Nutzers und
• Status- und Firmware-Daten.

3.3. Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind:

• Mitarbeiter
• Externe Gebäudebesucher (bspw. Hotelgäste, Bürobesucher, Mieter, Dienstleister)
• Sonstige Nutzer der Systeme (bspw. B2B-Kunden)

4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

4.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

4.3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

4.4. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

4.5. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

4.6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

4.7. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

4.8. Der Auftragnehmer sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem die erforderliche Zeit zur Erledigung seiner Aufgaben gewährt wird.

Datenschutzbeauftragter bei dem Auftragnehmer ist:

Malte Pignol
+49 (89) 8099026-00
datenschutz@blueid.net

Malte Pignol ist Wirtschaftsjurist mit Spezialisierung im europäischen Wirtschaftsrecht und insbesondere dem Datenschutz. Als erfahrener interner und externer Datenschutzbeauftragter von kleinen und mittelständischen Unternehmen sowie Konzernen verfügt er über Personenzertifizierungen als Datenschutzbeauftragter, Datenschutzauditor, Informationssicherheitsbeauftragter und Information Security Lead Auditor.

5.1. Die in Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt.  Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen.

5.2. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

5.3. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

5.4. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

5.5. Die Verarbeitung von Daten in Privatwohnungen ist nur unter Beachtung geeigneter technischer und organisatorischer Maßnahmen erlaubt. Soweit eine solche Verarbeitung er-folgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.

5.6. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

6.1. Im Rahmen des Hauptvertrags verarbeitete Daten wird der Auftragnehmer nur entsprechend des vorliegenden Vertrags berichtigen, löschen oder in der Verarbeitung ein-schränken.

6.2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

6.3. Der Auftragnehmer ist berechtigt Datenverarbeitungen auszusetzen bzw. ergänzende Weisungen nicht umzusetzen, sollten durch objektive Anhaltspunkte ein gerechtfertigter Zweifel an der Rechtmäßigkeit oder Zulässigkeit der Verarbeitung bestehen. Hierzu zählen insbesondere Verstöße gegen datenschutzrechtliche Bestimmungen oder Bestimmungen des Hauptvertrags. In einem solchen Fall setzt der Auftragnehmer den Auftraggeber unverzüglich hierüber in Kenntnis.

7.1. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer für den Rechenzentrumsbetrieb, die in Anhang 2 genannten, Unterauftragnehmer einsetzt.

7.2. Der Auftragnehmer darf ohne Zustimmung des Auftraggebers auch weitere oder andere Unterauftragnehmer für die Verarbeitung der vertragsgegenständlichen Daten einsetzen, wenn die vertragsgegenständlichen Daten lediglich innerhalb der Bundesrepublik Deutschland oder der EU/EWR verarbeitet werden. Hierüber ist der Auftraggeber mit Namensnennung des Unterauftragnehmers schriftlich zu informieren.

7.3. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.

7.4. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

7.5. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen.

7.6. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der Bedingungen des Vertrags möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.

7.7. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

8.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

8.2. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

8.3. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.

8.4. Der Auftraggeber wird keine eigenhändigen Kontrollen durchführen, soweit der Auftragnehmer den angeforderten Nachweis durch Vorlage eines marktüblichen Zertifikats (etwa nach IS, DIN oder SOC-Standard) oder anderweitig führen kann. Kontrollen beim Auftragnehmer haben im Übrigen ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers statt.

9.1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat ohne schuldhaftes Zögern ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen, in jedem Fall aber die gesetzlichen Fristen zu wahren. Sie muss mindestens folgende Angaben enthalten:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
• eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maß-nahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

9.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

9.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maß-nahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

9.4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen

10.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfol-gen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

10.2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.

10.3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben. Die Löschung erfolgt auf Verlangen des Auftraggebers unverzüglich, was eine Frist von bis zu vier Wochen beanspruchen kann, so-fern nicht nach den jeweiligen Umständen eine frühere Löschung geboten ist. Sofern ausnahmsweise eine Löschung früher erfolgen soll, wird der Auftraggeber dies dem Auftragnehmer mit ausreichendem Vorlauf mitteilen.

11.1. Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

12.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Be-stehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur dokumentierten Freigabe (Schrift- oder Textform) durch die andere Partei als vertraulich zu behandeln.

12.2. Sofern der Zugriff auf die Daten, die der Auftraggeber dem Auftragnehmer zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (bspw. Maßnahmen eines Insolvenzverwalters oder Beschlagnahme durch Finanzbehörden) gefährdet wird, hat der Auftragnehmer den Auftraggeber hierüber unverzüglich zu benachrichtigen.

12.3. Im Falle von Widersprüchen zwischen den Bestimmungen des vorliegenden Vertrags und den Regelungen der Hauptvertrags gehen die Bestimmungen des vorliegenden Vertrags vor.

12.4. Nebenabreden bedürfen der mindestens der Textform.

12.5. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auf-trag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossenSollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies nicht die Wirksamkeit der übrigen Vertragsklauseln.

12.6. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Der Gerichtsstand ist der Sitz des Auftragnehmers

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

• Verschwiegenheitsverpflichtung für Mitarbeiter ist Bestandteil aller Arbeitsverträge bei BlueID und untersagt u.a. auch die Weitergabe persönlicher oder geschäftlicher Daten Dritter, insbesondere von Kunden des Arbeitgebers an unbefugte Dritte. Zuwiderhandlung wird mit einer Vertragsstrafe geahndet.
• Regelmäßige Datenschutzschulungen für Mitarbeiter
• Besonders qualifizierter Datenschutzbeauftragter: siehe AVV 4.8
• Orientierung an den Standards der ISO 27001
• Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern

2.1.   Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zugang zu Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene Daten verarbeitet werden.

Da BlueID keine eigenen Server unterhält, verweisen wir bezüglich der Serversicherheit auf die umfassenden Maßnahmen, welche für die von uns genutzten Rechenzentren vom Betreiber Amazon Web Services („AWS”) auf der Perimeter-, Infrastruktur-, Daten- sowie Umweltebene ergriffen werden. Eine detaillierte Beschreibung der von AWS ergriffenen Schutzmaßnahmen für die betriebenen Serverstandorte ist im Webauftritt des Unternehmens zu finden: https://aws.amazon.com/de/compliance/data-center/data-centers/

2.2.   Zugangs- und Benutzerkontrolle

Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

• Authentifikation mit Benutzername/Passwort
• Technische Erzwingung von Passwortkomplexität
• Verschlüsselte Speicherung von Passwörtern
• Automatische Sperrmechanismen
• Automatische Update Installation über Admin Policy auf Clients
• Nutzung von Firewalls, Virenscanner, Spam Filter Anti-Spy Programmen, gesicher-ter Remoteverbindungen
• Verschlüsselung von Datenträgern in mobilen Systemen
• Verbot von USB-Datenträgern (außer bei technisch/administrativen Tätigkeiten z.B. Client Installation)
• Standardisierter Prozess zur Antragstellung, Genehmigung, Einrichtung, Löschung von Benutzeraccounts
• Prüfung bei geänderter Aufgabenstellung, Versetzungen, Austritten; etc.
• Ein Benutzerstammsatz pro User
• Verwendung sicherer Kennwörter
• Erzwungener Passwortwechsel bei Erstanmeldung
• Verbot gemeinsamer Nutzung von Passwörtern
• Rücksetzung von gesperrten Benutzerkonten nur nach sicherer Authentifizierung
• Administrationszugänge sind auf die notwendige Anzahl beschränkt
• Aufgaben-/bereichsbezogene Administrationszugänge
• Richtlinien zur Clean-Desk-Policy, Passwortvergabe und zur manuellen Computersperrung

2.3.   Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Personen nur im Rahmen ihrer Zugriffsberechtigung auf Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Dokumentiertes Berechtigungskonzept vorhanden
• Zuordnung von Benutzerrechten/Erstellen von Benutzerprofilen
• Verwaltung der Rechte durch System-Administrator
• Anzahl der Administratoren auf das "Notwendigste" reduziert
• Protokollierung von Änderungen von Daten
• Verschlüsselung von Datenträgern
• Sichere Aufbewahrung von Datenträgern
• Ordnungsgemäße Vernichtung von Datenträgern

2.4. Löschungskonzept für Daten Transport- und Übergangskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

2.5.   Firewall: Die nach dem Stand der Technik erforderlichen Firewall-Technologien sind implementiert und werden auf dem aktuellen Stand gehalten

2.6.   Erstellen einer Übersicht von Datenträgern bei analogem Aus- und Eingang

3.1.  Eingabekontrolle/Verarbeitungskontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Aufbewahrungs-/Löschungsfrist für Protokolle vorhanden

3.2.   Dokumentationskontrolle

Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.

Dokumentation der eingesetzten IT-Systeme und deren Systemkonfiguration

3.3.   Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Transportverschlüsselung beim E-Mail-Versand
• Einsatz von VPN
• Websites sind https verschlüsselt

4.1. Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und im Störfall wiederhergestellt werden können.

Innerhalb der genutzten Rechenzentren von AWS sind eine Vielzahl von Maßnahmen zum Schutz vor Störungen und Katastrophen implementiert. Diese umfassen u.a.:

• Unterbrechungsfreie Stromversorgung (USV)
• Überspannungsschutz
• Schutz gegen Umwelteinflüsse (Sturm, Wasser)
• Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Feuer- und Rauchmeldeanlagen
• Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
• Testen von Datenwiederherstellung
• Klimaanlage in Serverräumen
• regelmäßige Backups
• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
• Virenschutzsystem
• Spiegelung von Festplatten (z. B. RAID-Verfahren)
• Konzept für Katastrophenfall vorhanden

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

• Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
• Versehen der Datensätze mit Zweckattributen/Datenfeldern
• Logische Mandantentrennung (softwareseitig)
• Trennung von Produktiv- und Testsystem
• Festlegung Technologie von Datenbankrechten
• Steuerung über dokumentiertes Berechtigungskonzept
• Trennung von Daten verschiedener Auftraggeber

6.1 Maßnahmen, die gewährleisten, dass regelmäßig bzw. anlassbezogen überprüft wird, ob die datenschutzrechtlichen Anforderungen erfüllt werden.

• Durchführung von Audits
• Anfertigung von Datenschutz-Folgenabschätzungen
• Ggf. Hinzuziehung weiterer Prüfer
• Aktuelle Datenschutzorganisation inkl. Schulung für Beschäftigte

7.1. AWS / AWS3 / AWS SES

Wir verwenden den Dienst von Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (folgend „AWS“) für unseren App-Server (auf denen die Backends laufen) sowie AWS S3 für das Hosting der hochgeladenen Dateien in unseren Apps und AWS SES für Versand von Einladungs-E-Mails innerhalb unserer Apps für unsere Nutzer.

Die Standorte der genutzten Server-/Rechenzentren befinden sich innerhalb der von AWS betriebenen „Region Frankfurt” (siehe auch https://aws.amazon.com/de/region-frankfurt/).

AWS erfüllt hohe, internationale Sicherheitsstandards und ist nach den folgend genannten Normen zertifiziert: ISO/IEC 27001:2013, 27017:2015, 27018:2014 sowie 9001:2015. Einzelheiten zu den genannten Normen sowie die Zertifizierungen sind einsehbar unter https://aws.amazon.com/de/compliance/iso-certified/

AWS „Anhang zur Datenverarbeitung” ist hier einzusehen: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

Weitere Informationen zum Datenschutz bei salesforce.com finden Sie unter: https://www.salesforce.com/de/company/privacy/

7.2. weclapp

Wir nutzen weclapp.com der weclapp GmbH mit Sitz in der Friedrich-Ebert-Straße 28
97318 Kitzingen (folgend "weclapp") als Dienstleister für die Vertriebssteuerung, unsere Marketingprozesse und zur Servicebearbeitung. Für den Einsatz von weclapp haben wir einen Auftragsverarbeitungsvertrag zum Schutze Ihrer personenbezogenen Daten geschlossen.

Weitere Informationen zum Datenschutz bei weclapp.com finden Sie unter: https://www.weclapp.com/de/datenschutz/

7.3.   Notion

Für das Projektmanagement und die Software-Entwicklung nutzen wir Notion Labs, Inc., 548 Market Street Suite 74567 San Francisco, CA 94104, USA (folgend „Notion“).

Wir haben einen Auftragsverarbeitungsvertrag mit Notion abgeschlossen, in dem wir Notion verpflichten, die Daten unserer Kunden zu schützen, sie nicht an Dritte weiterzugeben und bei einem Transfer von personenbezogenen Daten in Drittstaaten die Regelungen des EU-US Data Privacy Frameworks einzuhalten.

Weitere Informationen und die geltenden Datenschutzbestimmungen von Notion können unter  https://www.notion.so/Terms-and-Privacy-28ffdd083dc3473e9c2da6ec011b58ac eingesehen werden.