Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

Version 2.8

Stand: 01.04.2024

1. Gegenstand, Grundsätzliches und Dauer der Vereinbarung

  1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch Designery GmbH (nachfolgend Auftragnehmer) als Auftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
  2. Die Dauer der Verarbeitung entspricht der im Vertrag vereinbarten Laufzeit.
  3. Nach dem Inhalt des Vertrags über die Leistungen des Auftragnehmers und nach den vom Auftraggeber vorgenommenen Nutzungen ist es nicht ausgeschlossen, dass der Auftragnehmer dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO verarbeitet und dass der Auftragnehmer dabei keine eigenen Zwecke im Umgang mit diesen Daten des Auftraggebers verfolgt. Wenn dies geschieht, so erfolgt diese Verarbeitung von personenbezogenen Daten des Auftraggebers „im Auftrag und auf Weisung“ für die Zwecke des Auftraggebers nach diesem Vertrag.
  4. Die maßgebliche Konkretisierung der Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung enthält Anlage 1.
  5. „Weisung“ ist die auf einen bestimmten datenschutzmäßigen Umgang des Auftragnehmers mit personenbezogenen Daten, die der Auftraggeber verarbeitet, gerichtete Anordnung des Auftraggebers (z.B. Daten zu anonymisieren, zu sperren, zu löschen, herauszugeben). Bereits bestehende Weisungen können vom Auftraggeber danach durch einzelne Weisungen geändert, ersetzt oder ergänzt werden (Einzelweisungen).
  6. Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten durch ihn auf den IT-Systemen des Auftragnehmers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der Auftraggeber hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen für „seine“ Datenverarbeitungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einhaltung von Löschfristen und zulässiger Speicherdauer, die Einholung von Einwilligungserklärungen. Das gilt insbesondere dann, wenn der Auftraggeber besonders sensible Daten im Sinne des Art. 9 DSGVO verarbeiten lässt.
  7. Der Auftraggeber stellt den Auftragnehmer in seinem Verantwortungsbereich von Ansprüchen Betroffener gegenüber dem Auftragnehmer frei. (Art. 82 DSGVO bleibt unberührt).
  8. Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung ist für den Auftraggeber durch seine Tarifwahl/Produktwahl zum Vertrag vorgegeben. Die Leistungsinhalte des Auftragnehmers ergeben sich aus den jeweiligen Leistungsbeschreibungen/Tarifbeschreibungen und ggf. mitgeltenden Dokumenten.
  9. Im Rahmen der tarifspezifischen/produktspezifischen Möglichkeiten kann der Auftraggeber Art und Umfang seiner Datenverarbeitung durch Art und Weise der Nutzung des Tarifes/Produktes bestimmen. Im Rahmen dieser Tarife und Produkte können insbesondere dann Weisungsrechte des Auftraggebers im Falle der Inanspruchnahme von Support- Dienstleistungen oder im Einzelfall gewünschten Programmierdienstleistungen wahrgenommen werden, wenn der Auftragnehmer im Einzelfall auf den Datenbestand des Auftragnehmers Zugriff nehmen soll.
  10. Sämtliche Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung dieser Dienstleistungen oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. ein Angemessenheitsbeschluss der Kommission vorliegt, Standarddatenschutzklauseln verwendet werden oder genehmigte Verhaltensregeln vorliegen).
  11. Dieser Auftragsverarbeitungsvertrag beginnt mit seinem Zustandekommen und wird auf unbestimmte Zeit geschlossen. Er endet mit dem Ende der vertraglich vereinbarten Leistungen des Auftragnehmers aus dem Vertrag.
  12. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Art der Verarbeitung entsprechend der Definition von Art. 4 Nr. 2 DSGVO), der Zweck der Verarbeitung, die Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO) sowie die Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DSGVO) ergeben sich aus Anlage 1.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

3.1        Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2       Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

3.3       Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

3.4       Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

3.5       Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäfts- geheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

4.1        Weisungsberechtigte Personen des Auftraggebers und Weisungsempfänger des Auftragnehmers sind in Anlage 1 enthalten.

4.2      Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

5. Pflichten des Auftragnehmers

5.1        Der Auftragnehmer verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DSGVO).

5.2       Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

5.3       Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet.

5.4       Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten.

5.5       Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

5.6       Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt.

5.7       Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftragnehmer oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.

5.8       Der Auftragnehmer verpflichtet sich, auch die Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen.

5.9      Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

5.10     Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutz- rechtlichen Vorschriften in seinem Betrieb.

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DSGVO mit. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Unterauftragsverhältnisse mit Subunternehmern
(Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

7.1         Der Auftragnehmer als Auftragsverarbeiter nimmt die weiteren Auftragsverarbeiter (als Subunternehmer) in Anspruch, die in der Anlage 1 genannt sind. Allgemein darf der Auftragnehmer weitere Subunternehmer einsetzen, wenn diese Konzernunternehmen im Sinne des Aktienrechts sind. In diesem Fall informiert der Auftragnehmer den Auftraggeber über eine solche beabsichtigte Änderung, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt.

7.2       Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

7.3       Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten.

7.4       Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).

7.5       Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

7.6       Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

7.7        Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DSGVO).

8. Technische und organisatorische Maßnahmen
nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO)

8.1        Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

8.2       Das in Anlage 2 beschriebene Datenschutzkonzept (Technische und organisatorische Maßnahmen) stellt die Auswahl der technischen und organisatorischen Maßnahmen dar. Diese passen zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer. Unbeschadet bleibt die Verantwortung des Auftraggebers (vgl. Ziffer 8.6).

8.3       Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

8.4       Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

8.5       Die technischen und organisatorischen Maßnahmen kann der Auftragnehmer nach eigenem pflichtgemäßem Ermessen der technischen und organisatorischen Weiterentwicklung anpassen.

8.6      Der Auftraggeber ist als Verarbeiter von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz in erster Linie selbst verantwortlich, ob und wie er dort personenbezogene Daten verarbeitet. Entsprechend muss der Auftraggeber selbst für „seine“ Datenverarbeitungsvorgänge technische und organisatorische Maßnahmen ergreifen, etwa E-Mails verschlüsseln oder seine Webseiten mit SSL-Zertifikaten versehen, um die Schutzziele aus Art. 32 DSGVO zu erreichen.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags,
Art. 28 Abs. 3 Satz 2 lit. g DSGVO

9.1        Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinem Besitz sowie an Subunter- nehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.

9.2       Unbeschadet von Ziffer 9.1 bleibt die Verpflichtung des Auftraggebers aus dem Vertrag, den zum Gebrauch überlassenen Speicherplatz mit Beendigung des Vertrags im gelöschten Zustand an den Auftragnehmer zurück- zugeben.

10. Vergütung

10.1      Spezielle Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich vereinbarten Leistungen und Tarif- bzw. Produktparameter hinausgehen und zu einem Mehraufwand für den Auftraggeber führen, sind entsprechend gesondert zu vergüten. Die Vergütung der Auftragsverarbeitungsleistungen des Auftragnehmers ist – nicht abschließend – in Anlage 1 geregelt.

10.2    Bei speziellen Weisungen, deren Umsetzung für den Auftragnehmer nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann der Auftragnehmer den Vertrag und diesen Auftragsverarbeitungsvertrag zum Ende eines laufenden Kalendermonats mit einer Frist von 20 Kalendertagen kündigen.

11. Haftung

Auf Art. 82 DSGVO wird verwiesen.

12. Sonstiges

12.1      Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

12.2     Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

12.3     Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

12.4     Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

12.5     Diese Vereinbarung unterliegt deutschem Recht.

12.6    Ab dem Zeitpunkt des Zustandekommens dieser Vereinbarung werden Verträge über die Auftrags(daten)vereinbarung, die zwischen den Parteien bis zu diesem Zeitpunkt bestehen, durch diese Vereinbarung mit Wirkung für die Zukunft ersetzt.

Anlagen:

Anlage 1 – Individuelle Vertragsbestandteile

Anlage 2 – Technische und organisatorische Maßnahmen Auftragsverarbeitung

Individuelle Vertragsbestandteile zum Auftragsverarbeitungsvertrag



Anlage 1

Teil A (Angaben zum Auftraggeber – Kunden)

1            Vereinbarte Auftragsverarbeitungsleistungen nach Weisung des Auftraggebers (Kunden):

Der Gegenstand einer Auftragsverarbeitung ergibt sich aus den Inhalten, die der Kunde im jeweiligen Vertrag gewählt hat und aus den zugrunde liegenden Allgemeinen Geschäftsbedingungen. Neben der regelmäßigen Prüfung und Wartung der Speichermedien erfolgen Zugriffe des Auftragnehmers auf (ggf. personenbezogene) Daten des Kunden ggf. im Rahmen von technischen Hilfestellungen (Supportleistungen), die der Auftraggeber hinsichtlich der auf seine Veranlassung auf den ihm überlassenen Speicherplätzen erzeugten (personenbezogenen) Daten durch Abruf/Weisung beim Auftragnehmer verlangt. Dies betrifft insbesondere Weisungen zur Löschung oder zur Sicherung von Daten. Der Auftragnehmer bietet standardisierte Produkte des Webhosting an und stellt dem Kunden die technische Umgebung und Anbindung an das Internet zur Verfügung. Der Kunde ist als Verarbeiter von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz in erster Linie selbst verantwortlich, ob und wie er dort personenbezogene Daten verarbeitet. Entsprechend muss der Kunde selbst für „seine“ Datenverarbeitungsvorgänge technische und organisatorische Maßnahmen ergreifen, etwa E-Mails verschlüsseln oder seine Webseiten mit SSL- Zertifikaten versehen, um die Schutzziele aus Art. 32 DSGVO zu erreichen. Der Kunde behält sich Weisungen im Einzelfall vor, insbesondere im Fall der beim Auftragnehmer angefragten Supportleistungen.

2           Die Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DSGVO) im Auftrag des Auftraggebers (Kunden) ist:

Die Art der Verarbeitung der personenbezogenen Daten wird durch den Kunden bestimmt. Art und Umfang hängen von den durch den Kunden bestellten und benutzten Leistungen und der hierzu benutzten Software ab. Die mit den Webhosting-Dienstleistungen verbundenen Verarbeitungsarten betreffen regelmäßig die Speicherung und die Löschung von Daten sowie die Anbindung der Daten an das Internet.

3           Der Zweck der Verarbeitung, der durch den Auftraggeber (Kunden) bestimmt wurde, ist:

Der Zweck der Verarbeitung von „seinen“, d.h. durch den Kunden auf seinem Speicherplatz verarbeiteten personenbezogenen Daten wird durch den Kunden bestimmt. Je nach den von ihm auf seinen Speicherplätzen installierten Diensten und der hierfür zur Verfügung stehenden Software, wozu auch E-Mail- Server-Funktionalitäten gehören, bestimmt der Kunde diese Zwecke alleine. Die mit den Webhosting-Dienstleistungen durch den Kunden verbundenen Verarbeitungszwecke betreffen regelmäßig die Veröffentlichung von Webseiten, die Datenhaltung in Datenbanken und die Benutzung von E-Mail-Funktionalitäten.

4           Die Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO), die im Auftrag verarbeitet werden sollen, sind:

Der Kunde bestimmt mit den von ihm verfolgten Zwecken auch die Art der personenbezogenen Daten, die aufgrund seiner Tätigkeit mit den ihm möglichen Nutzungen auf seinem Speicherplatz verarbeitet werden können. Die mit den Webhosting-Dienstleistungen betroffenen Datenarten betreffen regelmäßig Protokolldateien (Server- Logfiles), Online-Kennungen, E-Mail-Adressen sowie Bestands-, Nutzungs-, Rechnungs- und Inhaltsdaten von Benutzern der kundeneigenen Webseiten und Datenbanken.

5           Die Kategorien der von der Datenverarbeitung betroffenen Personen (entsprechend der Definition von Art. 4 Nr. 1 DSGVO) sind:

Der Kunde bestimmt mit den von ihm verfolgten Zwecken auch die Kategorien (Betroffenenkreise) derjenigen natürlichen Personen, deren Daten durch ihn verarbeitet werden. Die mit den Webhosting-Dienstleistungen betroffenen Personenkategorien sind regelmäßig Webseitennutzer, Datenbankennutzer und E-Mail-Nutzer.

6           Die weisungsberechtigte Person auf Seiten des Auftraggebers (Kunden) ist:

Der Kunde bzw. der gesetzliche Vertreter selbst oder eine von ihm namhaft gemachte und autorisierte Person.

Teil B (Angaben zum Auftragnehmer)

7           Auftragnehmer:

Designery GmbH, Schildergasse 14-16, 50667 Köln, Deutschland

8           Zurzeit tätige Subunternehmer des Auftragnehmers in der Auftragsverarbeitung (Vertragsbetreuung, Support und Rechenzentrum):

Designery GmbH, Schildergasse 14-16, 50667 Köln, Deutschland

9           Weisungsempfänger beim Auftragnehmer:

9.1 Vorname, Name: Die zuständige Mitarbeiterin/der zuständiger Mitarbeiter im Kundensupport bzw. in der technischen Abteilung.
9.2 Genaue postalische Adresse: Designery GmbH, Schildergasse 14-16, 50667 Köln, Deutschland
9.3 Telefon (Support): +49 221 99985050
9.4 Telefax (Support): +49 221 99985099
9.5 E-Mail (Support): info@designery.de

Teil C (Vergütung für Auftragsverarbeitungsleistungen)

10         Abschluss des Auftragsverarbeitungsvertrags:

Kostenfrei, sofern das Vertragsmuster des Auftragnehmers verwendet wird. Kostenpflichtig nach Vereinbarung, sofern der Vertrag individuell verhandelt werden soll. Kostenfrei, sofern das Vertragsmuster des Auftragnehmers und der online zur Verfügung gestellte Vertragstext (PDF-Dokument) verwendet werden. Soweit der Kunde den Text des Auftragsverarbeitungsvertrags verhandeln möchte, behält sich der Auftragnehmer die Vereinbarung einer aufwandsbezogenen Vergütung vor.

11          Für Tätigkeiten nach Ziffer 2 (Ausführung spezieller Weisungen):

Erfolgen Tätigkeiten der Verarbeitung des Auftragnehmers im Datenbestand des Kunden durch technische Zugriffe auf ausdrücklichen Wunsch und nach Weisung des Kunden, so weist der Auftragnehmer den Kunden auf eine eventuelle Kostenpflicht vor Annahme und Durchführung des Auftrags hin und vereinbart die Vergütung hierfür. Alle übrigen Leistungen des Kunden-Support sind in der Vergütung des Tarifs gemäß Vertrag inbegriffen.

12         Für Tätigkeiten nach Ziffer 5.9 des Auftragsverarbeitungsvertrags (Überprüfungen/Inspektionen):

Für die Mitwirkung eines Beschäftigten bei Überprüfungen/Inspektionen beim Auftragnehmer vor Ort ist der Auftragnehmer berechtigt, dem Kunden eine zeitaufwandsabhängige Vergütung nach einem Stundensatz in Höhe von 220,00 Euro (zzgl. der gesetzlichen Umsatzsteuer) zu berechnen.

Anlage 2

Technische und organisatorische Maßnahmen

Auftragsverarbeitungsvertrag Art. 32 Abs. 2 DSGVO

1 Auftragsverarbeiter

1.1         Auftragsverarbeiter ist Designery GmbH, Schildergasse 14-16, 50667 Köln, Deutschland

1.2        Der Auftragsverarbeiter (Auftragnehmer des Auftragsverarbeitungsvertrags) hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die für eine Auftragsverarbeitung erforderlichen technischen und organisatorischen Maßnahmen getroffen, um bei der (Auftrags-)Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die (Auftrags-)Verarbeitung besonderer Kategorien personenbezogener Daten.

1.3        Die nachstehenden entsprechend dem Katalog aus § 64 BDSG (2017) beschriebenen Maßnahmen beziehen sich auf ergriffene Maßnahmen, die im Rahmen der Auftragsverarbeitung erforderlich sind. Aus Sicherheitsgründen erfolgt nachstehend nur eine allgemeine Beschreibung.

1.4        Sämtliche getroffenen Maßnahmen bauen auf der Mitverantwortung des Kunden (Auftraggeber des Auftragsverarbeitungsvertrags) auf, weil der Kunde im Rahmen des zur Verfügung gestellten E-Mail-Servers einen an das Internet angebundenen Speicherplatz zur Ablage von Informationen/ personenbezogenen Daten für Zwecke deren Verarbeitung erhält, der zunächst „leer“ ist. Die Zwecke des „ob“ und des „wie“ der Nutzung bestimmt ausschließlich der Kunde. Demzufolge hat der Auftragsverarbeiter zunächst originär keine vertragliche Befugnis, auf diese Daten des Kunden zuzugreifen, selbst wenn dies technisch möglich ist. Die erforderliche Software zur Datenverarbeitung wird durch den Auftragnehmer auf den zugewiesenen Speicherplatz hochgeladen bzw. dort aktiviert. Der Auftragsverarbeiter sorgt für die technische Einsatzbereitschaft der IT-Systeme entsprechend den vertraglichen Vereinbarungen.

1.5        Ausnahmsweise jedoch nimmt der Auftragsverarbeiter im Rahmen der getroffenen Vereinbarung zur Auftragsverarbeitung Weisungen des Kunden entgegen und verarbeitet nur dann personenbezogene Daten des Kunden auf den diesem zur Nutzung überlassenen IT-Systemen in dessen Auftrag und aufgrund dessen Weisung.

Vertraulichkeit

1 Zutrittskontrolle

Gewährleistungsziel: Verwehrung des Zutritts zu Verarbeitungsanlagen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte.

Getroffene Maßnahmen:

1.1         Das Rechenzentrum und das Servicezentrum befinden sich in Deutschland. Das Webhosting erfolgt ausschließlich auf Datenspeichern, die physikalisch in Deutschland gelegen sind.

1.2        Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den autorisierten Zutritt zum Rechenzentrum, in welchem die IT-Systeme für den Kunden vorgehalten werden, sowie zum Servicezentrum aus welchem die IT-Systeme administriert werden.

1.3        Zutritte von Besuchern im Rechenzentrum werden stets durch Beschäftigte des Auftragsverarbeiters oder eines Subunternehmers begleitet. Das Rechenzentrum ist 24/7 durch Beschäftigte besetzt. Unbegleitete Zutritte sind nicht möglich.

1.4        Es sind Videokameras zur Überwachung des Zutritts und Einbruchs- bzw. Kontaktmelder im Einsatz.

1.5        Zutrittsberechtigte Beschäftigte sind organisatorisch festgelegt, Magnetkarten bzw. Schlüssel werden nur entsprechend einer Organisationsanweisung vergeben. Über den Zutritt von Besuchern des Rechenzentrums werden Anwesenheitslisten geführt, Regelungen für Fremdpersonal und zur Begleitung von Gästen sind vorhanden.

2 Zugangskontrolle

Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte.

Getroffene Maßnahmen:

2.1        Der Zugang zu Datenverarbeitungssystemen ist nur durch Authentifizierung möglich, wenigstens durch ein System von Benutzername und Passwort.

2.2.      Im Übrigen sind Zugänge durch ein Berechtigungskonzept (abgestufte Zugriffsberechtigungen) nur besonders autorisierten Beschäftigten vorbehalten.

3 Datenträgerkontrolle

Gewährleistungsziel: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.

Getroffene Maßnahmen:

3.1        s.o. Ziffer 2.1 und 2.2.

3.2       Soweit auf Weisung des Kunden Daten im Auftrag verarbeitet und personenbezogene Daten auf Festplatten- Speicherplätzen als Datenträger gespeichert sind, erfolgen Zugriffe des Auftragsverarbeiters durch ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration), Support, Domainverwaltung und Kundenbuchhaltung. Berechtigungsbewilligung (organisatorisch) und Berechtigungs- vergabe (technisch) sind getrennt. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt.

3.3       Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages durch geeignete Techniken (Software) zu verschlüsseln.

4 Speicherkontrolle

Gewährleistungsziel: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Getroffene Maßnahmen:

4.1        Die Bereitstellung der dem Kunden zur Nutzung überlassenen IT-Systeme des Auftragsverarbeiters und die Anbindungen des Kunden an das Internet erfolgt außerhalb eines Weisungsrechts des Kunden ausschließlich in Verantwortung des Auftragsverarbeiters.

4.2      Der Zugang des Kunden auf die Datenspeicher des Auftragsverarbeiters, mit welchen die Webhosting-Dienstleistungen erbracht werden, erfolgt ausschließlich von außerhalb der Betriebsgebäude über Datenleitungen bzw. das Internet durch ein System der Anmeldung des Kunden mit einem ihm vergebenem Benutzernamen und einem Passwort.

4.3      Je nach den Nutzungshandlungen, die der Kunde auf dem ihm zur Nutzung überlassenen Datenspeichern vornimmt, ist es alleine seine Verantwortung zu verhindern, dass eine unbefugten Eingabe von personenbezogenen Daten sowie eine unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten erfolgt.

4.4.      Soweit jedoch der Auftragsverarbeiter auf Weisung des Kunden tätig wird, personenbezogene Daten des Kunden auf den ihm überlassenen Datenspeichern zu verarbeiten, hat nur ausgewähltes technisches Personal Zugangsrechte auf die betroffenen IT-Systeme.

4.5.      Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Speicherkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.

5 Benutzerkontrolle

Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

Getroffene Maßnahmen:

5.1        Soweit im Rahmen der Auftragsverarbeitung durch den Auftragsverarbeiter „Einrichtungen zur Datenübertragung“ in den IT-Systemen des Auftragsverarbeiters genutzt werden, werden diese Einrichtungen durch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren betrieben, wenn der Schutzbedarf eine Verschlüsselung erfordert.

5.2       Sämtliche Beschäftigte des Auftragsverarbeiters bzw. des Subunternehmens für das Rechenzentrum sind zum Personendatenschutz geschult und entsprechend zur Vertraulichkeit verpflichtet.

5.3       Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Benutzerkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.

6 Übertragungskontrolle

Gewährleistungsziel: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Getroffene Maßnahmen:

6.1        Soweit der Auftragsverarbeiter Übermittlungen oder Zurverfügungstellungen auf Weisung des Kunden vornimmt, werden die betroffenen Übermittlungsstellen dokumentiert.

6.2      Soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt und Schnittstellen gegen unbefugten Datenexport gesichert.

6.3      Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Übertragungskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren und durch eine Verschlüsselung, z.B. SSL/TSL, dafür zu sorgen, dass die von ihm zu übertragenen Daten für Dritte nicht lesbar sind.

7 Zugriffskontrolle

Gewährleistungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten, personenbezogenen Daten Zugang haben.

Getroffene Maßnahmen: Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.

8 Eingabekontrolle

Gewährleistungsziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.

Getroffene Maßnahmen:

8.1        Es ist Sache des Kunden, ggf. personenbezogene Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einzugeben und dazu, insbesondere nur geeignete Dritte einzusetzen (z.B. Webagenturen, Administratoren). Die Beschäftigten des Auftragsverarbeiters dürfen grundsätzlich nicht auf diese Daten zugreifen bzw. Daten eingeben, verändern oder löschen.

8.2       Das Verarbeiten von personenbezogenen Daten erfolgt somit grundsätzlich durch den Kunden, so dass durch den Auftragsverantwortlichen nicht nachträglich überprüft werden und festgestellt werden kann, welche personenbezogenen Daten der Kunde zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert hat.

8.3       Nur im Rahmen seiner Tätigkeiten nach Weisung protokolliert der Auftragsverarbeiter diese Eingaben und Veränderungen in angemessener Weise und dokumentiert die Uhrzeit und den Eingebenden.

8.4       Muss der Auftragsverarbeiter aus gesetzlichen Gründen Informationen entfernen oder den Zugang zu ihnen sperren (etwa im Falle der Nutzung vom Kunden auf den IT-Systemen für Dritte bereit gehaltenen Telemediendiensten bzw. elektronischen Kommunikationsdiensten), wird die Sperrung bzw. die Entfernung von Inhalten protokolliert. Die Protokolldaten werden aufbewahrt und enthalten die Mitarbeiterkennung. Die Löschung erfolgt nach dem Vertragsende automatisiert und wird protokolliert.

9 Transportkontrolle

Gewährleistungsziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Getroffene Maßnahmen:

9.1        Die Gewährleistung der Vertraulichkeit der Übermittlung von personenbezogenen Daten wird durch SSL/TSL- Verschlüsselungen über die Webseiten des Auftragsverarbeiters gewährleistet. Soweit nach der Art des personenbezogenen Datums eine Integritätswahrung erforderlich ist, setzt der Auftragsverarbeiter ein Prüfsummenverfahren ein.

9.2       Die Datenträgerentsorgung geschieht durch zertifizierte Entsorgungsdienstleister.

9.3       Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Transportkontrolle zu unterziehen und geeignete Verschlüsselungstechniken einzusetzen.

10 Pseudonymisierung

Getroffene Maßnahmen: Es ist Sache des Kunden, personenbezogene Daten auf dem ihm überlassenen Speicherplatz selbst zu pseudonymisieren, soweit dies gesetzlich erforderlich ist.

11 Klassifikationsschema für Daten

Getroffene Maßnahmen: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim, vertraulich, intern, öffentlich, normaler Schutz- bedarf, durchschnittlicher Schutzbedarf, hoher Schutzbedarf, sensibles Datum).

Integrität

12 Datenintegrität

Gewährleistungsziel: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

Getroffene Maßnahmen:

12.1      Es erfolgt die Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen und Transaktionshistorien sowie die Dokumentation der Syntax von Daten.

12.2     Es bestehen Reparaturstrategien und Ausweichprozesse.

12.3     Schreib- und Änderungsrechte sind eingeschränkt.

12.4     Erforderlichenfalls erfolgt der Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptografiekonzepts.

12.5     Es erfolgt ein Monitoring des Sollverhaltens von Prozessen. Es werden regelmäßig Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen durchgeführt.

12.6    Das Sollverhalten von Abläufen bzw. Prozessen wird festgelegt. Es erfolgt eine regelmäßige Durchführung von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

12.7     Über die Maßnahmen Ziffer 12.1 bis 12.6 hinaus, die der Auftragsverarbeiter für seine Daten und Systeme ergreift, ist es Sache des Kunden, für die Datenintegrität des Datenbestandes auf dem ihm überlassenen Speicherplatz selbst Sorge zu tragen.

Verfügbarkeit und Belastbarkeit

13 Verfügbarkeitskontrolle

Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.

Getroffene Maßnahmen:

13.1      Die Stromversorgung der Rechenzentren erfolgt über eigene Trafostationen. Die Stromversorgung und Netzersatz- anlagen garantieren höchste Ausfallsicherheit.

13.2     Die unmittelbare Stromversorgung der Server ist typenabhängig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet ist.

13.3     Der gesamte Energieverbrauch der Rechenzentren wird über unterbrechungsfreie Stromversorgungen (USV) sicher- gestellt. Im Falle eines Stromausfalls garantieren die USV-Anlagen eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtern die USV-Anlagen vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes.

13.4     Leistungsstarke Netzersatzanlagen (Dieselaggregate) versorgen bei Stromausfall die Rechenzentren und die Kühlsysteme mit konstanter Energie.

13.5     Es erfolgt eine gerätegestützte Überwachung der Temperatur und der Feuchtigkeit im Rechenzentrum.

13.6     Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz.

14 Wiederherstellbarkeit

Gewährleistungsziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

Getroffene Maßnahmen: Die eingesetzten Systeme sind technisch redundant vorhanden. Der Datenbestand unterliegt einer regelmäßigen Sicherung. Es ist Sache des Kunden, seinen Datenbestand auf dem ihm überlassenen Speicherplatz selbst durch geeignete Sicherungsmaßnahmen vor Datenverlust zu schützen.

15 Trennbarkeit

Gewährleistungsziel: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

Getroffene Maßnahmen:

15.1      Es erfolgt eine getrennte Verarbeitung und/oder Lagerung von Daten mit unterschiedlichen Verarbeitungszwecken.

15.2     Es ist ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration), Support, Domainverwaltung und Kundenbuchhaltung errichtet.

15.3     Es ist Sache des Auftraggebers, für die Trennung von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz, selbst Sorge zu tragen.

16 Zuverlässigkeit

Gewährleistungsziel: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Getroffene Maßnahmen: Die Verfügbarkeit der IT-technischen Systeme unterliegt einem 24/7 Monitoring.

Auftragsverarbeitung

17 Auftragskontrolle

Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Getroffene Maßnahmen:

17.1       Es erfolgt eine Kennzeichnung des Auftragsverarbeitungs-Status gegenüber dem Status der weisungsfreien Datenverarbeitung mit hinterlegtem Auftragsverarbeitungsvertrag und den dazugehörigen Anlagen in der Kundenmaske. Beschäftigte – insbesondere im Rahmen des Telefon-Support – haben somit ständig Kenntnis über das Vorliegen/Nichtvorliegen eines Auftragsverarbeitungsvertrags.

17.2     Es erfolgt eine Verarbeitung im Auftrag mit standardisierten Vertragsformularen des Auftragsverarbeiters, um eine gleichbleibende Qualität der Auftragsverarbeitung zu gewährleisten. Davon ggf. abweichende Formulare des Auftraggebers werden gegenüber den betroffenen Beschäftigten des Auftragsverarbeiters besonders gekennzeichnet, um Abweichungen in den Standards der Arbeitsabläufe zu erfassen.

Verfahrenzurregelmäßigen

Überprüfung, Bewertung und Evaluierung

18 Prüfung, Bewertung Evaluierung

Gewährleistungsziel: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung.

Getroffene Maßnahmen:

18.1      Datenschutz-Management

18.2     Regelmäßige Schulung der Beschäftigten.

18.3     Der Auftragsverarbeiter bzw. die zuständigen Subunternehmen setzt einen Kernbestand an langjährig und dauerhaft beschäftigtem Technikerpersonal mit DV-technischer Erfahrung und Expertise ein.