Vereinbarung zur Auftragsverarbeitung (AVV)
Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)
1. Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß AGB (nachfolgend Hauptvertrag) und insbesondere die Nutzung der Software propform.io zur Erstellung eigener Webformulare, soweit eine Verarbeitung von personenbezogenen Daten durch die maklerform UG (haftungsbeschränkt) (nachfolgend Auftragnehmer) als Auftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2 Dieser Vertrag wird auf unbestimmte Zeit geschlossen und ist an den Hauptvertrag gebunden, bei dem der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet. Solange dieser in Kraft ist, gelten die Bestimmungen dieses Vertrages bis zu der regulären Beendigung des Hauptvertrages/der Hauptverträge fort.
1.3 Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
2. Art und Zweck der Verarbeitung
2.1 Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags. Im Rahmen des Auftrages verarbeitet der Auftragnehmer verschiedene Daten für den Auftraggeber. Diese Daten werden zur weiteren Verarbeitung durch den Auftraggeber zwischenzeitlich beim Auftragnehmer gespeichert. Die Daten werden innerhalb der Software propform.io gespeichert und in die CRM-Maklersoftware des Auftraggebers per API gespeichert.
2.2 Die Software bietet dem Auftraggeber einen Baukasten für Webformulare. Nach einer Veröffentlichung eines Webformulars durch den Auftraggeber kann der Auftraggeber verschiedene Daten mit dem Webformular erheben. Der Auftraggeber kann während der Erstellung des Webformulars festlegen, welche Daten erhoben werden sollen.
2.3 Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung.
3. Art der personenbezogenen Daten
3.1 Die Art der Daten, die der Auftragnehmer im Namens des Auftraggebers verarbeitet, kann nicht abschließend definiert werden, da diese abhängig von den Webformularen und den Fragen im Webformular des Auftraggebers ist.
3.2 Im Normalfall werden folgende Daten über die Software des Auftragnehmers generiert:
• Berufliche Kontakt- und (Arbeits-) Organisationsdaten: z.B. Name, Vorname, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Unternehmensgröße, Titel, Position etc.
• Private Kontakt- und Identifikationsdaten: z.B. Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Geburtsdatum/-ort, Titel etc.
• Immobiliendaten: z.B. Adresse, Koordinaten, Baujahr, Wohnfläche, Grundstücksfläche, Angebotspreise, Ausstattung etc.
4. Kreis der Betroffenen
4.1 Der Kreis der Betroffenen, von denen der Auftragnehmer im Namens des Auftraggebers Daten verarbeitet, kann nicht abschließend definiert werden, da dieser abhängig von den Webformularen und der Ausspielung der Webformulare des Auftraggebers ist.
4.2 Im Normalfall gelten folgende Personengruppen als Betroffenengruppen:
• Mitarbeiter des Auftraggebers/des Verantwortlichen: Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen (z.B. Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte).
• Kunden & Lieferanten des Auftraggebers/ des Verantwortlichen: Personen, die in einer Geschäftsbeziehung mit dem Auftraggeber stehen (z.B. Kunden, Lieferanten)
• Außenstehende: Jede Person, die in keiner Geschäftsbeziehung mit der jeweiligen Gesellschaft (verantwortlichen Stelle) steht (z.B. Besucher, Gäste, Interessenten)
5. Technische und organisatorische Maßnahmen
5.1 Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
5.2 Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anhang 1 zu diesem Vertrag beigefügt.
5.3 Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen (Einzelheiten in Anhang 1).
5.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
6. Verantwortlichkeit
6.1 Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
6.2 Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern nicht zur Erbringung der Leistung der Datentransfer in Drittstaaten erforderlich wird. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
7. Verarbeitung auf dokumentierte Weisungen
7.1 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Die Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben.
7.2 Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird, und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
8. Allgemeine Pflichten des Auftragnehmers
8.1 Sofern der Auftragnehmer nach Art. 37 DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, hat dieser seine Tätigkeit gemäß Art. 38 und 39 DSGVO auszuüben. Gemäß Art. 38 Abs. 1 Satz 1 BDSG n.F. ist der Auftragnehmer zum Zeitpunkt des Zustandekommens dieser Vereinbarung nicht verpflichtet, einen Datenschutzbeauftragen zu bestellen. Die Benennung eines Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.
8.2 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
8.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.
8.4 Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
8.5 Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
9. Unterstützungspflichten des Auftragnehmers
9.1 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen (Anhang 1), um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
9.2 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
9.3 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
10. Prüfungsrechte des Auftraggebers
10.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
10.2 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.
10.3 Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.
11. Vertraulichkeit
11.1 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis sowie die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.
11.2 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.
11.3 Auskünfte an Dritte darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.
11. Informationspflichten des Auftragnehmers und Verletzung des Schutzes personenbezogener Daten
11.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personenbezogener Daten betreffen.
11.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
11.3 Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.
11.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht festgestellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.
11.5 Diese Ziffer 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.
12. Unterauftragnehmer
12.1 Es werden Unterauftragnehmer eingesetzt um die Auftrag des Auftraggebers auszuführen. Im Folgenden werden alle Unterauftragnehmer aufgelistet.
• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur: Hosting der Domain und des Servers (Serverstandort: Deutschland)
12.2 Der Auftragnehmer kann weitere Unterauftragnehmer beauftragen, wenn deren Dienstleistung den Auftragnehmer bei der Erfüllung des Auftrages unterstützt. Er informiert den Auftraggeber in Textform über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Unterauftragnehmer, wodurch der Auftraggeber die Möglichkeit erhält, binnen zwei Wochen gegen derartige Änderungen Einspruch zu erheben. Erhebt der Auftraggeber Einspruch gegen die Änderungen, besteht beidseitiges außerordentliches Kündigungsrecht des allgemeinen Auftragsverhältnisses zum Tag des Einspruches. Die Umsetzung der außerordentlichen Kündigung ist in den AGBs des Auftragnehmers geregelt. Zu diesem Zweck wird der Auftragnehmer dem Auftraggeber in Textform folgende Informationen übersenden: Beschreibung der geplanten Änderung, Name und Adresse des Unterauftragnehmers; welche Leistungen der Unterauftragnehmer erbringen soll, die Art der personenbezogenen Daten und Kategorie von Betroffenen.
12.3 Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.
12.4 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
12.5 Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unterauftragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.
13. Löschung personenbezogener Daten
13.1 Der Auftragnehmer ist nach Abschluss der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
13.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
14. Haftung
14.1 Auftraggeber und Auftragnehmer haften im Außenverhältnis nach Art. 82 Abs. 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind sowohl der Auftraggeber als auch der Auftragnehmer für einen solchen Schaden gemäß Art. 82 Abs. 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadensersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit es ihrem Anteil an der Verantwortung entspricht.
14.2 Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen, wenn der Auftraggeber einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist.
14.3 Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen.
15. Schlussbestimmungen
15.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.
15.2 Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.
15.3 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.
Anhang 1: Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. VERTRAULICHKEIT (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um den Zutritt Unbefugter zu den Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verhindern:
• mehrstufiges Barrierensystem: Zugang zum Gebäude, Zugang zur organisatorischen Einheit im Gebäude. Für den Zutritt sind unterschiedliche Schlüssel erforderlich, die jeweils nur den für den Zutritt jeweils Berechtigten zur Verfügung stehen.
• Sicherheitsschlösser
• Schlüsselregelung (Schlüsselausgabe / -rückgabe)
• Kontrollgang bei Verlassen des Standortes
• Besucher und Dienstleister werden begleitet
• Videoüberwachung des Außenbereichs
1.2 Zugangskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um die Systemnutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern:
• Sichere Authentifizierung durch starke und regelmäßig aktualisierte Passwörter für alle Systeme (Entwicklungssystem, Server, Datenbank, Domainverwaltung).
• Vorgaben für Passwörter und Passwort-Änderung
• Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf kritische Systeme
• Einsatz von Firewall und IP-Blockern auf Server- und Datenbankebene, um unbefugten Zugriff und potenzielle Bedrohungen durch nicht autorisierte IP-Adressen zu verhindern.
• Einsatz von Fail2ban
• Passwörter werden nur nach Umwandlung durch Ein-Wege-Funktionen (Hash-Funktionen) gespeichert. Der Zugriff auf die umgewandelten Passwortdaten ist durch Berechtigungskonzepte abgesichert und nur Mitarbeitern mit entsprechender Verantwortlichkeit gestattet.
• Rechte- und Rollenkonzept (Need-to-know-Prinzip)
• Sicherheitsschlösser
• Schlüsselregelung (Schlüsselausgabe / -rückgabe)
• Besucher und Dienstleister werden begleitet
• Verschlüsselung von mobilen Datenträgern und Computern
• Einsatz von Antiviren-Software
1.3 Zugriffskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems zu verhindern:
• Rechte- und Rollenkonzept (Need-to-know-Prinzip)
• Anzahl der Administratoren auf das notwendigste reduziert
• Vorgaben für Passwörter- und Passwortänderungen
• Verschlüsselung von mobilen Datenträgern und Computern
• Ordnungsgemäße Vernichtung von physischen Datenträgern und Medien (z.B. Schredder)
1.4 Trennungskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um die getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, sicherzustellen:
• Trennung von Lokal, Development, Test und Produktion (Live-System)
• Rechte- und Rollenkonzept (Need-to-know-Prinzip)
• Trennung der Datenhaltung in Form von logischer Datentrennung mit mandantenspezifischen Accounts
• Verschlüsselte Ablage aller Daten, die über, von Auftraggebern erstellte, Formulare abgesendet werden
1.5 Pseudonymisierung
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um personenbezogene Daten, wann immer möglich, in einer Weise zu verarbeiten, dass diese ohne zusätzliche Informationen nicht zugeordnet werden können:
• Personenbezogene Daten werden vor Speicherung in der Datenbank durch einen zufälligen alphanumerischen Code verschlüsselt
• Geeignete Wahl der Pseudonymisierungsschlüssel
1.6 Verschlüsselung
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um Klartext durch Schlüssel in nicht lesbaren Geheimtext umzuwandeln:
• Geeignete Wahl der Verschlüsselung (AES-256)
• Verschlüsselung von Entwicklungscomputern und Backups
• Automatische Protokollierung der Schlüsselnutzung
• Zugriffssteuerung (Need-to-know-Prinzip)
• Gesicherte und ausfallsichere Schlüsselverwaltung
2. INTEGRITÄT (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Übertragungskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport zu verhindern:
• Alle Datenübertragungen erfolgen über verschlüsselte Protokolle (HTTPS) zum Schutz der Datenintegrität und -vertraulichkeit (SSL-Verschlüsselung der Datenkommunikation)
• E-Mail-Verschlüsselung entsprechend gesetzlicher Vorgaben (IMAPS, STMPS, STARTTLS, SSL)
• Prävention von SQL-Injection und Cross-Site Scripting: Einsatz von Prepared Statements und Parametrisierung von Abfragen, Eingabevalidierung und –sanitierung, Verwendung von Web Application Firewalls (WAF)
2.2 Eingabekontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind:
• Protokollierung aller Änderungen (Eingabe, Änderung und Löschung von Daten) im Code und an Datenbeständen
2.3 Datenintegrität bei Fehlfunktionen
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können:
• Updates, Upgrades und Patches werden regelmäßig eingespielt
• Es werden regelmäßige Backups durchgeführt (z.B. Server, Datenbanken, Code-Base)
• Neue Software oder Versionen werden in Teststellungen getestet, um solch ein Fehlverhalten zu vermeiden.
3. VERFÜGBARKEIT UND BELASTBARKEIT (Art. 32 Abs. 1 lit. b, lit. c DSGVO)
3.1 Verfügbarkeitskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass Daten gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt sind:
• Regelmäßige Updates und Patch-Management: Regelmäßige Aktualisierung aller Systeme (Server, Entwicklungssysteme und -umgebungen, Datenbank-Software, Programmiersprache, Frameworks, Antivirensoftware etc.) mit den neuesten Sicherheits-Patches mit vorherigem Testing im Local- und Development-System.
• Einsatz von Firewall- und Antiviren-Software zum Schutz vor externen Bedrohungen.
• Einsatz von Fail2ban
• Regelmäßige Sicherungskopien
• Einsatz von Antivirensoftware
• Einsatz von Firewalls
• Durchführung von internen und externen Penetrationstests in regelmäßigen Abständen
3.2 Wiederherstellbarkeit
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden kann:
• Erstellen eines Notfallplans
• Regelmäßige Sicherungskopien/Redundanzen
3.3 Wartung und Aktualisierung
• Regelmäßige Updates und Patch-Management: Regelmäßige Aktualisierung aller Systeme (Server, Entwicklungssysteme und -umgebungen, Datenbank-Software, Programmiersprache, Frameworks, Antivirensoftware etc.) mit den neuesten Sicherheits-Patches mit vorherigem Testing im Local- und Development- und Test-System.
• Durchführung automatischer und manueller Tests während der Entwicklung
• Nutzung von Testumgebungen vor Go-Live von Code-Änderungen und Updates
• Ständige Überwachung der Systeme hinsichtlich Protokollierung und Admin-Benachrichtigung bei Fehlfunktionen im Produktions-Betrieb
4. VERFAHREN ZUR REGELMÄßIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1 Datenschutzmanagement
• Bestellung eines Datenschutzbeauftragten, sofern der Auftragnehmer hierzu gesetzlich verpflichtet ist
• Bestellung von Datenschutzkoordinatoren, sofern die Unternehmensgröße und -struktur des Auftragnehmer dies erfordert
• Verzeichnis von Verarbeitungstätigkeiten
• Schulungsmaßnahmen / Sensibilisierungsmaßnahmen der Mitarbeiter
• Verpflichtung auf Vertraulichkeit der Mitarbeiter
• Definierte und dokumentierte Prozesse
• Arbeitsanweisungen / Policies mit Datenschutzhintergrund
• Regelmäßige Reviews der technisch organisatorischen Maßnahmen
4.2 Incident-Response-Management
• Definition von Zuständigkeiten und Verantwortlichkeiten
• Definierter Meldeprozess
• Definierte Maßnahmen für relevante und denkbare Fälle
• Definierte Eskalationswege
• Aktuelle Melde- und Kontaktlisten
• Prüfungsprozess für gemeldete Vorfälle und anschließender Risikoklassifizierung wenn zutreffend
• Vorbereitete Reaktionen auf den Vorfall
• Reflektion und Nachbereitungsprozess
4.3 Datenschutzfreundliche Voreinstellungen
• Prozess zur Sicherstellung von Privacy by Design und Default bei Änderungen
4.4 Auftragskontrolle
• Verantwortlichkeiten von Auftraggeber und Auftragnehmer ergeben sich aus dem Hauptvertrag
• Sicherstellung, dass mit allen Sub-Dienstleistern AVVs und rechtliche Vertragsregelungen existieren
• Wahrung des Verschwiegenheits- und Datengeheimnis