Auftragsverarbeitungsvertrag
1. Geltungsbereich
Der nachfolgende Auftragsverarbeitungsvertrag i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (nachfolgend „Auftragsverarbeitungsvertrag“) konkretisiert die Verpflichtungen zum Datenschutz der Trailblazer eG, Bergstr. 66, 53639 Königswinter (nachfolgend „Auftragnehmer“) als Auftragnehmer, die sich aus der Auftragsverarbeitung gegenüber dem Kunden, der das unter www.edu-7.com vorgehaltene Angebot nutzt, (nachfolgend „Auftraggeber“) ergeben. Der Auftragsverarbeitungsvertrag findet Anwendung auf alle Tätigkeiten, die mit dem zwischen den Parteien geschlossenen Hauptvertrag über die unter www.edu-7.com vorgehaltenen Leistungen (nachfolgend „Vertrag“) in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachfolgend „Daten“) des Auftraggebers verarbeiten.
2. Gegenstand und Spezifizierung der Auftragsverarbeitung
Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:
|
Kategorien betroffener Personen |
Art der Daten |
Art und Zweck der Datenverarbeitung |
|
Mitarbeitende |
Kontaktdaten, Eingabedaten |
Zur Bereitstellung der Leistungen des Vertrages, zur Erfüllung des Vertrages |
|
Teilnehmende |
Kontaktdate, Eingabedaten |
Zur Bereitstellung der Leistungen des Vertrages, insbesondere zur Teilnahme an Umfragen und weiteren digitalen Begleitleistungen zu Vorträgen und Workshops des Kunden, zur Erfüllung des Vertrages |
3. Dauer der Auftragsverarbeitung
Die Laufzeit dieses Auftragsverarbeitungsvertrages richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieses Auftragsverarbeitungsvertrages nicht darüber hinausgehende Verpflichtungen ergeben.
4. Anwendungsbereich und Verantwortlichkeit
4.1 Der Auftragnehmer verarbeitet Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der obigen Beschreibung unter Ziffer 1 konkretisiert sind. Der Auftraggeber ist im Rahmen des Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).
4.2 Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (nachfolgend „Einzelweisung“). Einzelweisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Einzelweisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
5. Weisungsgebundene Verarbeitung und Remonstrationspflicht
5.1 Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor.
5.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt (Remonstrationspflicht). Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
6. Vertraulichkeits-/ Verschwiegenheitspflicht
6.1 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten befassten Mitarbeitern und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
6.2 Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
6.3 Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der Daten befugten Personen nur im Rahmen der Erforderlichkeit auf personenbezogene Daten zugreifen („Need to know“).
6.4 Soweit der Auftraggeber gesetzlichen Geheimhaltungspflichten unterliegt, verpflichtet der Auftragnehmer die zur Durchführung des Auftragsverarbeitungsvertrages beschäftigten Personen sowie etwaige weitere Subunternehmer zur Geheimhaltung unter Berücksichtigung einschlägigen Rechts, insbesondere entsprechendem berufsständischen Recht.
7. Technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO
7.1 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Diese technischen und organisatorischen Maßnahmen sind in der beigefügten Anlage 1 spezifiziert.
7.2 Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
7.3 Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
7.4 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
7.5 Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieser Auftragsverarbeitungsvertrages sind diese durch den Auftragnehmer fortlaufend an die Anforderungen der Auftragsverarbeitung anzupassen und dem technischen Fortschritt entsprechend weiterzuentwickeln. Das Sicherheitsniveau der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen darf hierbei nicht unterschritten werden.
7.6 Der Auftragnehmer verpflichtet sich, Änderungen der technischen und organisatorischen Maßnahmen, die eine wesentliche Verschlechterung des gewährleisteten Sicherheitsniveaus zur Folge haben, als Ergänzung der Anlage 1 in Textform zu dokumentieren und den Auftraggeber in Textform zu informieren.
8. Unterstützung zur Pflichterfüllung des Verantwortlichen
8.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Daten des Auftraggebers bekannt werden.
8.2 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
8.3 Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung treffen).
8.4 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung treffen.)
9. Ansprechpartner
Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
10. Pflichten des Auftraggebers
10.1 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
10.2 Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
11. Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
12. Nachweismöglichkeiten und Inspektionen
12.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen und Dokumente zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem Auftragsverarbeitungsvertrag niedergelegten Pflichten auf Anforderung zur Verfügung, einschließlich etwaiger Verträge mit Subunternehmern.
12.2 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer seine übliche Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
12.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Ziffer 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
13. Subunternehmer
13.1 Der Auftragnehmer ist berechtigt, die in Anlage 2 angegebenen Subunternehmer für die Verarbeitung von Daten im Auftrag einzusetzen.
13.2 Der Auftragnehmer hat den Subunternehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Subunternehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hat. Der Auftragnehmer wird den Auftraggeber im Falle eines geplanten Wechsels eines Subunternehmers oder bei geplanter Beauftragung eines weiteren Subunternehmers rechtzeitig, spätestens aber vier (4) Wochen vor dem Wechsel bzw. der Neubeauftragung in Textform informieren (nachfolgend „Information“). Der Auftraggeber hat das Recht, dem Wechsel oder der Neubeauftragung des Subunternehmers unter Angabe einer Begründung in Textform binnen drei (3) Wochen nach Zugang der Information zu widersprechen. Der Widerspruch kann vom Auftraggeber jederzeit in Textform zurückgenommen werden. Wenn kein Widerspruch des Auftraggebers binnen drei (3) Wochen nach Zugang der Information erfolgt, gilt dies als Zustimmung des Auftraggebers zum Wechsel bzw. zur Neubeauftragung des betreffenden Subunternehmers.
13.3 Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Auftragsverarbeitungsvertrag dem Subunternehmer zu übertragen. Der Auftragnehmer hat mit dem Subunternehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer dem Subunternehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auftragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
13.4 Der Auftragnehmer kann geschuldete Leistungen durch Subunternehmer ganz oder teilweise von einem Standort außerhalb der EU/EWR erbringen lassen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln).
13.5 Nicht als Subunternehmer i.S.d. dieser Ziffer 8 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um seine Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, sowie Post-/Transportdienstleistungen,. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Subunternehmerverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
14. Löschung und Rückgabe personenbezogener Daten
14.1 Der Auftragnehmer berichtigt oder löscht die Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung treffen.) In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung treffen.)
14.2 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
14.3 Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
15. Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
16. Informationspflichten, Rangfolge, Textform, Rechtswahl
16.1 Sollten die Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DSGVO liegen.
16.2 Bei etwaigen Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und dem Vertrag gehen die Regelungen dieses Auftragsverarbeitungsvertrages den Regelungen des Vertrages vor.
16.3 Änderungen und Ergänzungen dieses Auftragsverarbeitungsvertrages und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses Auftragsverarbeitungsvertrages handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
16.4 Bei etwaigen Widersprüchen gehen Regelungen dieses Auftragsverarbeitungsvertrages zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieses Auftragsverarbeitungsvertrages unwirksam sein, so berührt dies die Wirksamkeit des Auftragsverarbeitungsvertrages im Übrigen nicht.
16.5 Es gilt deutsches Recht.
17. Änderung dieses Auftragsverarbeitungsvertrages
17.1 Der Auftragnehmer behält sich vor, diesen Auftragsverarbeitungsvertrag einseitig zu ändern, wenn dies sachlich gerechtfertigt erscheint. Sachlich gerechtfertigt sind Änderungen beispielsweise bei einer Erweiterung oder Änderung der Funktionen von www.edu-7.com, einer Änderung der Rechts- oder Gesetzeslage (etwa, wenn die Rechtsprechung eine Klausel für unwirksam erklärt) oder wenn durch unvorhersehbare Änderungen, die der Auftragnehmer nicht veranlasst und auf die der Auftragnehmer auch keinen Einfluss hat, das bei Vertragsschluss bestehende Äquivalenzverhältnis in nicht unbedeutendem Maße gestört wird. Voraussetzung einer Änderung ist stets, dass diese dem Auftraggeber zumutbar ist und nicht in sein bestehendes Weisungsrecht eingreift.
17.2 Dem Auftraggeber werden Änderungen des Auftragsverarbeitungsvertrages bekannt gegeben. Sie gelten als genehmigt, wenn der Auftraggeber der Geltung des geänderten Auftragsverarbeitungsvertrages nicht innerhalb von vier (4) Wochen schriftlich oder per E-Mail gegenüber dem Auftragnehmer widersprochen hat und der Auftragnehmer auf die Rechtsfolgen eines unterbliebenen Widerspruches hingewiesen hat.
Anlage 1
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen implementiert:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
|
☑ Auslagerung dieser Tätigkeit an Dienstleister durch Nutzen einer unter ISO 27001 zertifizierten Cloud |
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
|
☑ Zuordnung von Benutzerrechten |
☑ Erstellen von Benutzerprofilen |
|
|
☑ Passwortvergabe |
☑ Authentifikation mit Benutzername / Passwort |
|
|
☑ Verschlüsselung von Datenträgern in Laptops / Notebooks |
☑ Einsatz von Anti-Viren-Software |
|
|
☑ Einsatz einer Software-Firewall |
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
|
☑ Erstellen eines Berechtigungskonzepts |
☑ Verwaltung der Rechte durch Systemadministrator |
|
☑ Anzahl der Administratoren auf das „Notwendigste“ reduziert |
☑ Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel |
|
☑ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten |
☑ Sichere Aufbewahrung von Datenträgern |
|
☑ physische Löschung von Datenträgern vor Wiederverwendung |
☑ ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) |
1.4 Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
|
☑ physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern |
☑ Trennung von Produktiv- und Testsystem |
|
☑ Erstellung eines Berechtigungskonzepts |
☑ Festlegung von Datenbankrechten |
1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
|
☑ Vornahme der Pseudonymisierung |
☑ Trennung von Schlüssel und Daten |
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
|
☑ Weitergabe von Daten über gesicherte API-Schnittstellen |
☑ Weitergabe von Daten in anonymisierter oder pseudonymisierter Form |
|
|
☑ Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen |
2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
|
☑ Protokollierung der Eingabe und Änderung von Daten |
☑ Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. |
|
☑ Nachvollziehbarkeit von Eingabe und Änderung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) |
☑ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
|
☑ Auslagerung dieser Tätigkeit an Dienstleister durch Nutzen einer unter ISO 27001 zertifizierten Cloud |
3.2 Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei Verlust oder Störung unverzüglich wiederhergestellt werden können.
|
☑ Regelmäßige Backups |
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
4.1 Datenschutz-Management
Die Mitarbeiter des Auftragnehmers setzen sich regelmäßig mit dem Datenschutz auseinander.
4.2 Incident-Response-Management
Im Falle einer Datenschutzverletzung setzen wir ein Verfahren auf, das die sofortige Identifikation, Bewertung und Meldung des Vorfalls an die zuständigen Behörden und betroffenen Personen beinhaltet. Nach jedem Datenschutzvorfall führen wir eine gründliche Untersuchung durch, um die Ursachen zu verstehen und Maßnahmen zu ergreifen, um ähnliche Vorfälle in der Zukunft zu verhindern.
4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Wir überprüfen regelmäßig unsere Produkte und Dienstleistungen, um sicherzustellen, dass die datenschutzfreundlichen Voreinstellungen immer den aktuellen Best Practices und gesetzlichen Anforderungen entsprechen. Basierend auf dem gewählten Paket werden personenbezogene Daten nur für Zwecke verarbeitet, die der Auftraggeber zugestimmt hat.
4.4 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
|
☑ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) |
☑ laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten |
|
☑ schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) |
☑ Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis |
|
☑ Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart |
☑ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags |
Anlage 2
Eingesetzte Subunternehmer
|
Name und Anschrift des Subunternehmers |
Beschreibung der Teilleistungen |
|
Twilio Sendgrid Twilio Irland Limited, 25 – 28 North Wall Quay, North Wall, Dublin 1, D01 H104, Irland |
Versand und Empfang von System E-Mails (z.B. E-Mails an Teilnehmende) |
|
MailerLite MailerLite Limited, Ground Floor, 71 Lower Baggot Street, Dublin 2, D02 P593, Irland |
Versand und Empfang von Marketing und Onboarding E-Mails |
|
Google Cloud Google Cloud EMEA Limited, 70 Sir John Rogerson’s Quay, Dublin 2, Irland |
Storage Speicherung aller hochgeladener Anhänge des Kunden |
|
MongoDB 1633 Broadway 38th floor, New York, NY 10019, Vereinigte Staaten Rechtsgrundlage: EU-U.S. Data Privacy Framework Serverstandort: Frankfurt am Main, Deutschland |
Datenbankanbieter |
|
Vercel Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA Rechtsgrundlage: Standard Contractual Clauses |
Hosting der Plattform edu7 Verarbeitung aller Eingabe- und Handlungsdaten der Plattform edu7 |
|
Strato STRATO AG, Pascalstraße 10,10587 Berlin, Deutschland |
Domain-Hosting Versand und Empfang von E-Mails |
|
Microsoft Office 365 Microsoft Irland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland |
Versand und Empfang von Marketing E-Mails |
|
Hotjar Hotjar Ltd., 3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta |
Nutzer-Tracking der Core-Kunden zur Verbesserung der Services |
|
Stripe Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA Rechtsgrundlage: EU-U.S. Data Privacy Framework |
Zahlungsdienstleister |