Vertrag zur Auftragsverarbeitung nach DSGVO
Inhaltsverzeichnis
1. Vertragsgegenstand
2. Umfang, Art und Zweck der Datenverarbeitung, und die Datenarten
3. Technische und organisatorische Maßnahmen zur Datensicherheit
4. Berichtigung, Löschung und Sperrung von Daten, Betroffenenrechte
5. Pflichten des Auftragnehmers und vorzunehmende Kontrollen
6. Unterauftragsverhältnisse
7. Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers
8. Mitzuteilende Verstöße des Auftragnehmers
9. Pflichten des Auftraggebers
10. Löschung der Daten nach Beendigung des Auftrags
11. Vergütung
Anlage 1
Anlage 2
Anlage 3
Zwischen
„Auftraggeber“
und
labforward GmbH, Elsenstr 106, 12435 Berlin, Deutschland
„Auftragnehmer“
Präambel
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
__________________________________________________________________________________________________________________________________________
1. Vertragsgegenstand
1.1 Gegenstand des Auftrages ist die Durchführung des zwischen den Parteien abgeschlossenen Vertrages über die Nutzung von Labforward Cloud Software Produkte durch den Auftraggeber (der „Hauptvertrag“).
1.2 Der Vertrag wird auf unbestimmte Zeit geschlossen. Er endet mit dem Hauptvertrag, ohne dass es einer Kündigung bedarf.
1.3 Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
1.4 Dieser Vertrag findet keine Anwendung, soweit die Verarbeitung personenbezogenen Daten im Rahmen einer Gratis- oder Testversion von Labforward Software Products gemäß den Regelungen des Hauptvertrages erfolgt.
1.5 Darüber hinaus sind sich die Parteien darüber einig, dass frühere Verträge zur Auftragsdatenverarbeitung mit Inkrafttreten dieses Vertrages einvernehmlich beendet werden.
__________________________________________________________________________________________________________________________________________
2. Umfang, Art und Zweck der Datenverarbeitung, und die Datenarten
2.1 Der Auftragnehmer ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistung zu verarbeiten.
2.2 Dem Auftragnehmer ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Verarbeitung oder Nutzung der personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Dem Auftragnehmer ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
2.3 Die Art der personenbezogenen Daten sind unter Buchstabe B. der Anlage 1 aufgeführt.
2.4 Der Kreis der Betroffenen ist unter Buchstabe C. der Anlage 1 aufgeführt.
2.5 Weitere Einzelheiten zu Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung ergeben sich aus dem unter § 1 genannten Hauptvertrag und der unter § 1 genannten Datenschutzerklärung.
__________________________________________________________________________________________________________________________________________
3. Technische und organisatorische Maßnahmen zur Datensicherheit
3.1 Der Auftragnehmer ist verpflichtet, technische und organisatorische Maßnahmen in einem angemessenen Verhältnis zum angestrebten Schutzzweck umzusetzen. Dabei ist unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
3.2 Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 2 zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können.
3.3 Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen oder eine negative Änderung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen mit sich bringen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden.
__________________________________________________________________________________________________________________________________________
4. Berichtigung, Löschung und Sperrung von Daten, Betroffenenrechte
4.1 Der Auftragnehmer hat nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren.
4.2 Soweit ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm diese Zuordnung möglich ist. Sofern ihm eine Zuordnung nicht möglich ist und der Auftragnehmer auch nicht als Verantwortlicher gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet ist, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Insoweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.
4.3 Im Übrigen wird der Auftragnehmer den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, der Erfüllung der ihm aus Kapitel 3 der DSGVO obliegenden Pflichten nachzukommen, sofern und soweit hierfür die Mitwirkung des Auftragnehmers geboten ist. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlungen er benötigt und dem Auftragnehmer insoweit die Daten zu überlassen, welche zur Erfüllung der Anfrage erforderlich sind (insb. Daten zu einer Identifizierung des Betroffenen und welche Unterstützungshandlungen gewünscht ist). Soweit der Auftragnehmer weitere Informationen vom Auftraggeber benötigt, um dessen Anfrage erfüllen zu können, wird er diesen unverzüglich in Textform darauf hinweisen. Im Übrigen erbringt der Auftragnehmer die von ihm zu erbringenden Leistungen in angemessener Frist.
4.4 Für die zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.
__________________________________________________________________________________________________________________________________________
5. Pflichten des Auftragnehmers und vorzunehmende Kontrollen
5.1 Der Auftragnehmer wird zur Durchführung des Vertrages nur Mitarbeiter oder sonstige Erfüllungsgehilfen einsetzen, die sich zur Vertraulichkeit verpflichtet haben und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht sind.
5.2 Der Auftragnehmer unternimmt Schritte, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu den personenbezogenen Daten haben, diese nur auf Anweisung des Auftraggebers verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
5.3 Ebenso unterstützt der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber auf Anforderung bei der Einhaltung von dessen Verpflichtungen gemäß den Art. 32 bis 36 DSGVO, insb. hinsichtlich der Sicherheit personenbezogener Daten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) sowie einer ggf. erforderlichen Datenschutz-Folgenabschätzung und vorherigen Konsultationen.
5.4 Ferner ist der Auftragnehmer verpflichtet, die einschlägigen Vorschriften zur Bestellung des Datenschutzbeauftragten zu erfüllen. Der Auftragnehmer hat durch geeignete Kontrollen sicherzustellen, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden, die übertragene Datenverarbeitung auftragsbezogen getrennt von anderen Auftragsdatenverarbeitungen erfolgt und die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Er unterwirft sich eventuellen Kontrollmaßnahmen der gesetzlich zuständigen Datenschutzaufsichtsbehörde und wird den Auftraggeber über derartige Kontrollmaßnahmen und deren Ergebnisse unverzüglich informieren, soweit personenbezogene Daten des Auftraggebers hiervon betroffen sind.
__________________________________________________________________________________________________________________________________________
6. Unterauftragsverhältnisse
6.1 Der Auftragnehmer ist berechtigt die in der Anlage 3 zu diesem Vertrag angegebenen Unterauftragnehmer für die Verarbeitung von Daten im Auftrag einzusetzen für die Verarbeitung von Daten im Auftrag einzusetzen. Der Wechsel von Unterauftragnehmern oder die Beauftragung weiterer Unterauftragnehmer ist unter den in Absatz 2 genannten Voraussetzungen zulässig.
6.2 Der Auftragnehmer hat Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass diese die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten können. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass Unterauftragnehmer die nach nach den Vorgaben dieses Vertrages und nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben.
6.3 Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat, sofern der Unterauftragnehmer zur Benennung eines Datenschutzbeauftragten gesetzlich verpflichtet ist.
6.4 Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 3 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten.
6.5 Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
__________________________________________________________________________________________________________________________________________
7. Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers
7.1 Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer im erforderlichen Umfang zu kontrollieren.
7.2 Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
7.3 Grundlagen einer Kostenberechnung werden dem Auftraggeber vom Auftragnehmer vor Durchführung der Kontrolle mitgeteilt.
7.4 Sollte der Auftraggeber begründete Zweifel haben, kann eine Vor-Ort-Kontrolle durch den Auftraggeber erfolgen. Dem Auftraggeber ist bekannt, dass eine Vor-Ort-Kontrolle nur in begründeten Ausnahmefällen möglich ist.
7.5 Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen.
__________________________________________________________________________________________________________________________________________
8. Mitzuteilende Verstöße des Auftragnehmers
8.1 Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich mitzuteilen. Die entsprechende Meldung soll zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Art und Menge der betroffenen Daten sowie Kategorien der betroffenen Personen;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
8.2 Jegliche, etwaig erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.
__________________________________________________________________________________________________________________________________________
9. Pflichten des Auftraggebers
9.1 Der Auftraggeber ist für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer und die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragnehmer allein verantwortlich und somit „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.
9.2 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. In diesem Fall verpflichtet sich der Auftraggeber, den Auftragnehmer von allen Ansprüchen betroffener Personen schadlos zu halten.
9.3 Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
__________________________________________________________________________________________________________________________________________
10. Löschung der Daten nach Beendigung des Auftrags
10.1 Der Auftragnehmer ist verpflichtet, die personenbezogenen Daten bei Beendigung des Vertrages oder aufgrund Weisung des Auftraggebers vollständig datenschutzgerecht zu löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) oder an den Auftraggeber zurückzugeben.
__________________________________________________________________________________________________________________________________________
11. Vergütung
11.1 Eine zusätzliche Vergütung für die Auftragsdatenverarbeitung erfolgt nicht, soweit vorstehend nicht anders vereinbart. Diese ist mit Entgelten für die Nutzung von Labforward Software Products abgegolten.
__________________________________________________________________________________________________________________________________________
Anlage 1
A Art und Zweck der Verarbeitung
(entsprechend der Definition von Art. 4 Nr. 2 DSGVO):
Hosting von Cloud Services (SaaS)
Supportleistungen
B Zu § 2 Art der personenbezogenen Daten
(entsprechend der Definition von Art. 4 Nr.1,13,14 und 15 DSGVO)
Name
Email
IP-Adresse
Nutzungsdaten
Benutzeraccounts
Andere Kategorien personenbezogener Daten:
C Zu § 2 Kreis der Betroffenen
(entsprechend der Definition von Art. 4 Nr. 1 DSGVO):
Beschäftigte
Freie Mitarbeiter
Kunden
Geschäftspartner
__________________________________________________________________________________________________________________________________________
Anlage 2
Maßnahmen zur Datenschutzkontrolle gemäß Art. 32 DSGVO
Dieses Dokument dient der Erfüllung gesetzlicher Anforderungen und soll eine allgemeine Beschreibung darstellen, die es ermöglicht, vorläufig zu beurteilen, ob die getroffenen Datensicherheitsmaßnahmen zu den unten angesprochenen Aspekten angemessen sind. Das Dokument ist Bestandteil des Vertrages und dem Auftraggeber bei wesentlichen Änderungen vorzulegen.
Bei Fragen zur Informationssicherheit von Labforward und deren Services wenden Sie sich bitte an den Datenschutzbeautragten:
DataCo GmbH
Dachauer Straße 65
80335 München
Deutschland
+49 89 7400 45840
www.dataguard.de
Datenschutzmaßnahmen
Die bei Labforward durchgeführten Datenschutzmaßnahmen haben das Ziel der Sicherstellung der Verfügbarkeit der Daten, Vertraulichkeit, Integrität und Transparenz aller Maßnahmen zur Prüfbarkeit.
Es werden Maßnahmen zur Verschlüsselung personenbezogener Daten durchgeführt, welche ein angemessenes Schutzniveau nach dem aktuellen Stand der Technik und der DSGVO gewährleisten. Alle Serversysteme, Dienste und technischen Maßnahmen sind für die dauerhafte Belastung hinsichtlich der damit verbundenen Datenverarbeitung ausgelegt. Damit stellen wir sicher, die Verfügbarkeit der personenbezogenen Daten nach einem physischen oder technischen Zwischenfall, zuverlässig und zügig wiederherzustellen. Darüber hinaus nutzen wir Maßnahmen und technische Verfahren der permanenten Überwachung und Bewertung zur Gewährleistung der Sicherheit der Verarbeitung.
Überdies orientieren sich die Geschäftsprozesse von Labforward nach den Maßgaben des Art. 32 der Datenschutz- Grundverordnung (EU-DSGVO)
Konkretisierung der Einzelmaßnahmen zum Schutz vor unbefugter Kenntniserlangung personenbezogener Daten
a Zutrittskontrolle
Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird:
• Schlüssel / Schlüsselvergabe
• Türsicherungen (elektrische Türöffner, usw.)
• Besucherkontrolle, Begleitung und Einweisung
b Zugangskontrolle
Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden:
• Zuordnung von Benutzerrechten
• Erstellen von Benutzerprofilen
• Kennwortverfahren
• Authentifikation mit Benutzername / Passwort
• Zuordnung von Benutzerprofilen zu IT-Systemen
• Automatische Sperrung
• Individuelle Benutzerkonten für berechtigte Nutzer (nicht Root)
• Einsatz von Anti-Viren-Software
• Verschlüsselung von Datenträgern in Laptops / Notebooks
c Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können:
• Bedarfsorientierte Ausgestaltung eines Berechtigungskonzeptes und der Zugriffsrechte sowie deren Überwachung und Protokollierung.
• Verwaltung der Rechte durch Systemadministrator
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
• Verschlüsselung von Datenträgern
• Beauftragung und Protokollierung von Jobs nur in Schriftform via Ticketsystem
• Automatische Erzeugung von Protokolldateien, wo technisch möglich und sinnvoll, sowie Auswertung dieser Logs im Verdachtsfall.
d Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
• Keine physische Speicherung oder Transport von personenbezogener Daten
• Protokollierung von Anmeldungen (Logins)
• Verschlüsselungen und Tunnelverbindungen (SSL, VPN, opt.)
e Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind:
• Protokollierung von beauftragten Datenbankänderungen
• Nachweis der Beauftragung und erfolgter Bearbeitung im Ticketsystem
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
f Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
• Vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
• Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag)
• Auftragnehmer hat Datenschutzbeauftragten bestellt• Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag)
• Sicherstellung der Rückgabe/Vernichtung von Daten nach Beendigung des Auftrags
• Verpflichtung der Mitarbeiter auf das Datengeheimnis gem. § 5 BDSG
• Kontrolle der Datensicherheitsvorkehrungen
g Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
• Erstellen eines Backup- & Recoverykonzepts
• Testen von Datenwiederherstellung
• Erstellen eines Notfallplans
• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
• Vermeidung von Single-Point-of-Failure als Grundgedanke aller Infrastruktur
• Monitoring der Infrastruktursysteme und Bereitstellungen
h Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werde können.
• Getrennte Entwicklungs-, Test- und Produktionsdatenverarbeitung
• Logische Mandantentrennung
• Festlegung von Datenbankrechten
• Berechtigungskonzept mit Festlegung der Zugriffsrechte
__________________________________________________________________________________________________________________________________________
Anlage 3
Benennung Unterauftragnehmer “Genehmigte Subunternehmer”
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxembourg
Hosting Services Labforward Daten, Backups
Billwerk GmbH
Mainzer Landstr. 51, 60329 Frankfurt/Main, DE
Rechnungsstellungssystem
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, IE
Hosting Services Labforward Daten, Email Hosting, Backups
Freshworks GmbH
Alte Jakobstraße 85/86, Hof 1, Haus 5,10179 Berlin, Deutschland
CRM System
Intercom R&D Unlimited Company
2nd Floor, Stephen Court, 18-21 Saint Stephen’s Green, Dublin 2
Messaging & notifications solution
Zoho Corporation B.V.
Beneluxlaan 4B, 3527 HT UTRECHT, NL
Rechnungsstellungssystem
Comments are closed.