X
Back to the top
X
Diese Website benutzt Cookies. Wenn du die Website weiter nutzt, gehen wir von deinem Einverständnis aus.  Infos

Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

 

VERTRAG 

ÜBER 

DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM SINNE DES ART. 28 ABS. 3 DER EUROPÄISCHEN DATENSCHUTZ-GRUNDVERORDNUNG 2016/679 („DSGVO“) 

ZWISCHEN 

Kunde/Nutzer 

– nachfolgend AUFTRAGGEBER (VERANTWORTLICHER) genannt – UND 

catcher & pitcher GmbH i.G. Maria Theresien Str. 42a 6020 Innsbruck Österreich.

– nachfolgend AUFTRAGNEHMER (AUFTRAGSVERARBEITER) genannt – 

Präambel 

Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich bei der Erbringung der beauftragten Leistung ergeben. Er findet Anwendung auf alle Tätigkeiten, die mit der Leistung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte weitere Auftragsverarbeiter auftragsgegenständliche personenbezo- gene Daten („Daten“) im Auftrag des Auftraggebers im Sinne der Art. 4 Nr. 2 und 28 DS-GVO verar- beiten („Auftragsverarbeitung“). 

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung 

1.1. Aus dem Hauptvertrag ergeben sich Gegenstand, Dauer, Art und Zweck der Auftragsverarbeitung so- wie die Art der Daten und die Kategorien betroffener Personen. Soweit sich diese Spezifizierungen aus dem Hauptvertrag nicht ergeben, sind diese Angaben in Nr. I der Anlage 1 zu diesem Vertrag aufgenommen. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen bedürfen der Schriftform oder eines dokumentierten elektronischen Formats. 

1.2. Die in diesem Vertrag und dem Hauptvertrag vereinbarten Dienstleistungen werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung von Dienstleistungen oder von Teilarbei- ten dazu in ein Drittland („Verlagerung“) bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Europäischen Kommission, Standarddatenschutzklauseln, geneh- migte Verhaltensregeln). Alle zu Beginn der Verarbeitung auf Basis dieser Grundsätze bereits vorge- nommenen Verlagerungen sind in Nr. II der Anlage 1 zu diesem Vertrag aufgenommen. 

1.3. Die Laufzeit und Kündigungsmöglichkeit dieses Vertrages richtet sich nach dem Hauptvertrag, sofern sich aus den Bestimmungen dieses Vertrages nichts anderes ergibt. 

Der Auftraggeber kann diesen Vertrag und den Hauptvertrag – soweit dieser die in diesem Vertrag näher konkretisierte Dienstleistung betrifft – jedoch jederzeit ohne Einhaltung einer Frist kündigen, (1) wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen die- ses Vertrages vorliegt, oder (2) der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will, oder (3) der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbeson- dere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Die Kündigung hat schriftlich oder in einem dokumentierten elektroni- schen Format zu erfolgen (Sonderkündigungsrecht bei schweren Datenschutzverstößen). 

2. Rechte und Pflichten des Auftragnehmers 

2.1. Der Auftragnehmer verarbeitet Daten von betroffenen Personen ausschließlich im Rahmen der ge- troffenen Vereinbarungen und der dokumentierten Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auf- tragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlung von Strafverfolgungs- oder Staats- schutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese recht- lichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). 

2.2. Vorbehaltlich des Art. 28 Abs. 3 Satz 2 lit. a DS-GVO informiert der Auftragnehmer den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. In 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 2 von 20 

diesem Fall darf der Auftragnehmer die Umsetzung der Weisung solange aussetzen, bis die Parteien 

eine einvernehmliche Lösung gefunden haben.
2.3. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen und ins- 

besondere nicht für eigene Zwecke. Kopien oder Duplikate der Daten werden ohne Wissen des Auf- 

traggebers nicht erstellt.
2.4. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der Daten die Vertrau- 

lichkeit zu wahren und insbesondere alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu be- handeln. Diese Verpflichtung besteht auch nach Abschluss der Verarbeitung bzw. nach Beendigung des Vertrages fort. Der Auftragnehmer sichert insoweit zu, dass die für den Auftraggeber verarbei- teten Daten von sonstigen Datenbeständen strikt getrennt werden. Datenträger, die vom Auftragge- ber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet; Ein- gang und Ausgang sowie die laufende Verwendung werden dokumentiert. 

2.5. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Massnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrneh- mung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Person nachzukommen (Art. 28 Abs. 3 lit. e DS-GVO). 

2.6. Der Auftragnehmer unterstützt den Auftraggeber in angemessener Weise bei der Einhaltung der in den Art. 32 bis 36 DS-GVO genannten Pflichten, wie etwa der Erstellung der Verzeichnisse von Ver- arbeitungstätigkeiten oder bei erforderlichen Datenschutz-Folgenabschätzungen des Auftraggebers (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. 

2.7. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Störungen, Verstöße und Ver- letzungen datenschutzrechtlicher Bestimmungen oder der Vereinbarungen dieses Vertrages durch bei ihm beschäftigte Personen oder von ihm beteiligte Dritte. Dies gilt bereits beim Verdacht einer entsprechenden Störung und insbesondere im Hinblick auf mögliche Melde- und Benachrichtigungs- pflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert insoweit zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemes- sen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO darf der Auftragnehmer für den Auftraggeber nur nach vorheriger Weisung selbst durchführen. Er wird jedoch in jedem Falle unverzüglich alle erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen treffen und sich hierzu mit dem Auftraggeber absprechen. 

2.8. Der Auftragnehmer wird dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Ein- haltung der in Art. 28 DS-GVO für die Auftragsverarbeitung niedergelegten Pflichten zur Verfügung stellen und – grundsätzlich nach vorheriger Terminvereinbarung – Überprüfungen und Inspektionen, die vom Auftraggeber oder einem anderen, von diesem beauftragten Prüfer, durchgeführt werden, ermöglichen und zu ihnen beitragen (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Ergänzend hierzu gelten die Ziffern 3.3 und 0 dieses Vertrages. 

2.9. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz- rechtlichen Vorschriften der DS-GVO bekannt sind und er die mit der Erbringung der Dienstleistung beschäftigten Personen vor Aufnahme der Verarbeitung mit den für sie maßgeblichen Bestimmun- gen des Datenschutzes vertraut gemacht hat. Er verpflichtet sich, auch die für diesen Auftrag rele- vanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Diese sind, sofern ge- geben, in Nr. III der Anlage 1 zu diesem Vertrag aufgenommen. 

2.10. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Da- ten außerhalb der Weisungen zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 3 von 20 

zur Verarbeitung der Daten befugten Personen vor der Verarbeitung zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO) und diese Vertraulichkeits- bzw. Verschwiegenheitspflicht auch nach Beendigung des mit der zur Verarbeitung der Daten befugten Person geschlossenen Vertrages bzw. der Auftragsverarbeitung fortbesteht. 

2.11. Der Auftragnehmer nennt dem Auftraggeber einen Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen und als konkreten Weisungsempfänger auf Seiten des Auftragneh- mers. Dieser (und der konkrete Weisungsberechtigte des Auftraggebers) ist in Nr. IV der Anlage 1 zu diesem Vertrag zu nennen. Bei einem Wechsel oder einer längerfristigen Verhinderung einer der ge- nannten Personen ist dem anderen Vertragspartner unverzüglich in Schriftform oder einem doku- mentierten elektronischen Format ein Nachfolger bzw. Vertreter mitzuteilen. 

Weisungen sind für ihre Geltungsdauer und anschließend noch für drei weitere, volle Kalenderjahre aufzube- wahren. 

2.12. Der Auftragnehmer hat Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Ver- arbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt. 

2.13. Sofern die gesetzlichen Voraussetzungen vorliegen hat der Auftragnehmer eine(n) Beauftragte(n) für den Datenschutz zu bestellen. Näheres hierzu, insbesondere die Kontaktdaten der oder des ggf. bestellen Beauftragten für den Datenschutz, ist in Nr. V der Anlage 1 zu diesem Vertrag festgelegt. Jeder Wechsel in der Person der(s) Datenschutzbeauftragten sowie die Erfüllung der gesetzlichen Voraussetzungen und die daraus folgende Bestellung eines(s) Datenschutzbeauftragten ist dem Auf- traggeber schriftlich oder in einem dokumentierten elektronischen Format mitzuteilen. 

2.14. Nach der Beendigung der Auftragsverarbeitung sind sämtliche beim Auftragnehmer vorhandenen oder an Subunternehmen gelangte Daten, Datenträger, Unterlagen und sonstige Materialen sowie insbesondere alle Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftrags- verhältnis stehen, nach Wahl des Auftraggebers herauszugeben oder datenschutzgerecht zu löschen bzw. zu vernichten. Näheres hierzu ist in Nr. VI der Anlage 1 zu diesem Vertrag festgelegt. 

3. Rechte und Pflichten des Auftraggebers 

3.1. Für die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftrag- geber verantwortlich. 

3.2. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemes- sener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatori- schen Maßnahmen sowie der in diesem Vertrag und dem Hauptvertrag festgelegten Verpflichtungen zu überzeugen (vgl. Ziffer 2.8). 

3.3. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von ihm beauftragten Prüfer erforderlich sein, werden diese grundsätzlich zu den üblichen Geschäftszeiten ohne Störung des Be- triebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorankündigung von we- nigstens 28 Tagen durchgeführt. Im Falle einer Schutzverletzung i.S.d. Art. 4 Nr. 12 DS-GVO und bei schwerwiegenden Vertragsverstößen können Inspektionen auch mit kürzerer Ankündigungsfrist durchgeführt werden. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegen- heitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und orga- nisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen die- sen ein Einspruchsrecht. 

3.4. Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den Auftragsergeb- nissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 4 von 20 

3.5. Der Auftraggeber nennt dem Auftragnehmer einen Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen und als konkreten Weisungsberechtigten des Auftraggebers. Dieser (und der konkrete Weisungsempfänger auf Seiten des Auftragnehmers) ist in Nr. IV der Anlage 1 zu diesem Vertrag zu nennen. Bei einem Wechsel oder einer längerfristigen Verhinderung einer der ge- nannten Personen ist dem anderen Vertragspartner unverzüglich in Schriftform oder einem doku- mentierten elektronischen Format ein Nachfolger bzw. Vertreter mitzuteilen. 

3.6. Weisungen werden anfänglich durch den Hauptvertrag bzw. diesen Vertrag festgelegt. Spätere Wei- sungen sind grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format an die vom Auftragnehmer bezeichnete Stelle (vgl. Nr. IV der Anlage 1 zu diesem Vertrag) zu erteilen. Mündliche Weisungen sind für ihre Gültigkeit unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Weisungen sind für ihre Geltungsdauer und drei weitere Jahre, beginnend mit dem Ablauf des Kalenderjahres, in dem die Geltung der Weisung endet, aufzubewah- ren. 

3.7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu be- handeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. 

4. Anfragen betroffener Personen 

4.1. Im Falle der Inanspruchnahme einer der Parteien durch eine betroffene Person wegen etwaiger An- sprüche nach Art. 82 DS-GVO sind der Auftragnehmer und der Auftraggeber verpflichtet sich gegen- seitig bei der Abwehr des Anspruchs im Rahmen ihrer jeweiligen Möglichkeiten zu unterstützen. 

4.2. Wendet sich eine betroffene Person mit einer Aufforderung zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verwei- sen bzw. den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiterleiten, sofern eine Zuordnung an den Auftraggeber auf Basis der Angaben der betroffenen Person möglich ist. Der Auftragnehmer ist nur nach vorheriger Zustimmung oder Weisung des Auftraggebers berechtigt, be- troffenen Personen oder anderen Dritten Auskünfte über Daten, deren Verarbeitung oder das Auf- tragsverhältnis zu geben. 

5. Technische und organisatorische Maßnahmen 

5.1. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Der Auftragnehmer wird alle erforderlichen technischen und organisatorischen Maßnahmen zum ange- messenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung, insbesondere deren Art. 32 DS-GVO genügen. Diese technischen und organisato- rischen Maßnahmen („TOM“) sind diesem Vertrag als Anlage 2 beigefügt. Sie beinhalten eine detail- lierte Darstellung aller zum ermittelten Risiko passenden und unter Berücksichtigung der Schutzziele und der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer implementierten Maßnahmen. Der Auftragnehmer hat dabei insbesondere solche Maßnahmen zu treffen, die die Ver- traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. 

5.2. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Be- trieb. 

Die Maßnahmen beim Auftragnehmer oder einem beauftragten Subunternehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst wer- den, dürfen aber die vereinbarten sowie gesetzlich vorgesehenen Standards nicht unterschreiten. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen. Wesentliche 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 5 von 20 

Änderungen der technischen und organisatorischen Maßnahmen muss der Auftragnehmer mit dem Auftraggeber schriftlich oder in einem dokumentierten elektronischen Format abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages und für drei weitere Jahre, beginnend mit dem Ende des Kalenderjahres, in dem dieser Vertrag endet, aufzubewahren. 

5.3. Der Auftragnehmer sichert zu, seinen Pflichten nach Art. 32 Abs. 1 lit. d DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. Die Ergebnisse sind dem Auftraggeber jeweils mitzuteilen. 

6. Garantien, Nachweise 

6.1. Der Auftragnehmer garantiert, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der Europäischen Datenschutz-Grund- verordnung und diesem Vertrag erfolgt und den Schutz der Rechte der betroffenen Person gewähr- leistet (Art. 28 Abs. 1 DS-GVO). Er garantiert zudem, dass die durchgeführten technischen und orga- nisatorischen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungs- kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos ein angemessenes Schutzniveau ge- währleisten (Art. 32 Abs. 1 DS-GVO). Die Einhaltung dieser Garantien weist der Auftragnehmer dem Auftraggeber mit geeigneten Mitteln (z.B. Dokumente, Zertifikate, Audits, Testate etc.) nach. Nähe- res hierzu ist in Nr. VII der Anlage 1 zu diesem Vertrag festgelegt. 

6.2. Sofern einschlägig verpflichtet sich der Auftragnehmer, den Auftraggeber über den vorläufigen oder endgültigen Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Wi- derruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren. 

7. Subunternehmer (weitere Auftragsverarbeiter) 

7.1. Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers bedarf grund- sätzlich entweder der gesonderten Zustimmung des Auftraggebers im Einzelfall oder der allgemeinen Genehmigung (Art. 28 Abs. 2 DS-GVO). Der Auftragnehmer muss in jedem Falle dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem imple- mentierten technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen. 

7.2. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Vo- raussetzungen der Artt. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln). 

7.3. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauf- tragt. Nicht als Subunternehmerverhältnis im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftrags- durchführung in Anspruch nimmt. Hierzu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice (wenn kein Zugriff auf Daten des Auftraggebers erfolgen kann), Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Die Einbindung von Entsorgungsunternehmen ist je- doch anzeigepflichtig, wenn der Kern der Beauftragung die Entsorgung von Dokumenten/Datenträ- gern welche Daten des Auftraggebers enthalten, beinhaltet. Der Auftragnehmer wird jedoch auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinba- rungen treffen und erforderliche Kontrollmaßnahmen ergreifen, um den Schutz und die Sicherheit der Daten des Auftraggebers zu gewährleisten. 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 6 von 20 

7.4. Bei Beauftragung von Subunternehmern hat der Auftragnehmer vertraglich sicherzustellen, dass die zwischen ihm und dem Auftraggeber vereinbarten Regelungen auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abge- grenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwort- lichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. 

7.5. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem doku- mentierten elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO). 

7.6. Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat. 

7.7. Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Daten- schutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden. 

7.8. Die Entscheidungen darüber, ob Subunternehmer eingeschaltet werden dürfen und ggf. die dann fol- gende Verfahrensweise bei der Beauftragung von Subunternehmern ist in Nr. IX der Anlage 1 zu diesem Vertrag geregelt. 

7.9. Gegebenenfalls abweichend von den Festlegungen in Nr. IX der Anlage 1 zu diesem Vertrag sind für den Auftragnehmer bereits bei Abschluss dieses Vertrages die in Nr. VIII der Anlage 1 zu diesem Vertrag bezeichneten Subunternehmer mit der Verarbeitung von Daten in dem dort genannten Um- fang beschäftigt. Insoweit sichert der Auftragnehmer zu, dass die in dieser Ziffer 7 genannten Vo- raussetzungen für die Beauftragung dieser Subunternehmer eingehalten worden sind. Vorbehaltlich der Vorlage der Prüfunterlagen gemäß Ziffer 5 dieses Vertrages, erklärt sich der Auftraggeber mit der Beauftragung der in der Anlage genannten Subunternehmer einverstanden. 

8. Haftung und Schadensersatz 

8.1. Die Vertragsparteien haften entsprechend den einschlägigen gesetzlichen Bestimmungen, gegenüber betroffenen Personen insbesondere gemäß Art. 82 DS-GVO. 

8.2. Soweit der Auftraggeber wegen einer rechts- oder pflichtwidrigen Verarbeitung von Daten, die in den Verantwortungsbereich des Auftragnehmers oder eines von ihm beauftragten Dritten (Subunterneh- mer) fällt, in Anspruch genommen wird, stellt der Auftragnehmer den Auftraggeber von diesen An- sprüchen Dritter frei. 

9. Schlussbestimmungen 

9.1. Soweit dieser Vertrag vor dem 25.05.2018 und damit vor Geltungserlangung der DS-GVO abgeschlos- sen wurde, sind sich die Vertragsparteien einig, dass bis zu diesem Zeitpunkt das jeweils national geltende Datenschutzrecht entsprechend anzuwenden ist. Dies gilt insbesondere für solche Regelun- gen, die ausdrücklich auf die DS-GVO verweisen. 

9.2. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Drit- ter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu infor- mieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen und Beteiligten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen. 

9.3. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der dazugehörigen Datenträger ausgeschlossen. 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 7 von 20 

9.4. Technische organisatorische Maßnahmen und jede Änderung zu diesen sowie Kontroll- und Prüfungs- unterlagen (auch zu Subunternehmern) sind während der Laufzeit dieses Vertrages und für drei wei- tere Jahre, beginnend mit dem Ende des Kalenderjahres, in dem dieser Vertrag endet, aufzubewah- ren. 

9.5. Mündliche Nebenabreden zu diesem Vertrag bzw. zu den mit diesem Vertrag geregelten Gegenstän- den wurden nicht getroffen. Gegebenenfalls bestehende, frühere mündliche Absprachen werden mit Zustandekommen dieses Vertrages aufgehoben. 

9.6. Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen und Garantien des Auftraggebers – bedürfen einer schriftlichen Vereinbarung, die auch in einem dokumentierten elektronischen Format erfolgen kann, und des ausdrücklichen Hin- weises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 

9.7. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages und seiner Anlagen den Regelungen des Hauptvertrages vor; die Anlagen dieses Vertrages gehen dem Vertrag vor. 

9.8. Sollten einzelne Bestimmungen dieses Vertrages oder seiner Anlagen ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so ist die Wirksamkeit der übrigen Regelungen hiervon nicht betroffen. In diesem Falle werden die Parteien einvernehmlich eine neue Regelung oder Ergänzung der bestehenden Regelung vereinbaren, die die unwirksame oder undurchführbare Regelung in einer Art und Weise ersetzt bzw. ergänzt, die der ursprünglich von den Parteien bei Abfassung dieses Ver- trages und seiner Anlagen beabsichtigten Regelung am nächsten kommt, hätten sie denn die Un- wirksamkeit oder Undurchführbarkeit bedacht. Dies gilt auch für Regelungslücken. 

9.9. Dieser Vertrag und seine Anlagen unterliegen dem Recht der Bundesrepublik Deutschland. 

Dieser Vertrag wurde von beiden Seiten auf elektronischem Weg akzeptiert und ist daher auch ohne Unter- schrift gültig. 

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 8 von 20 

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 9 von 20 

Anlage 1 

zum VERTRAG ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM SINNE DES ART. 28 ABS. 3 DER EUROPÄISCHEN DATENSCHUTZ-GRUNDVERORDNUNG 2016/679 (DS-GVO) 

Kreis der von der Datenverarbeitung betroffenen Personen: -entsprechend der Definition von Art. 4 Nr. 1 DS-GVO-
☒ Kunden des Auftraggebers
☒ Kunden von Kunden des Auftraggebers 

☒ Beschäftigte des Auftraggebers
☒ Beschäftigte von Kunden des Auftraggebers
☒ Ansprechpartner von Lieferanten des Auftraggebers
☒ Ansprechpartner von Lieferanten von Kunden des Auftraggebers ☒ Interessenten des Auftraggebers
☒ Interessenten von Kunden des Auftraggebers 

☐ Andere 

 

II. zu Ziffer 1.2 – Bestehende Verlagerungen der vertraglich vereinbarten Dienstleistung (oder Teilen) in ein Drittland: 

Dienstleistung / Verarbeitungsprozess Angabe zum Drittland Bes. Vorr. der Artt. 44 ff. DS-GVO 

                   

III. zu Ziffer 2.9 – Für den Auftrag relevante Geheimnisschutzregeln:
(z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB 

etc.) 

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 10 von 20 

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 11 von 20 

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 12 von 20 

VIII. zu Ziffer 7.9 – Zu Beginn der Verarbeitung bereits beauftragte Subunternehmer: Name und Adresse Beschreibung der vom Subunternehmer erbrachten Leistungen 

   

Flownative UG (haftungsbeschränkt), Arnimstraße 19c, 23566 Lübeck 

Hosting 

     

SMSAPI
ComVision sp. z o. o. ul. Toszecka 101 44-100 Gliwice Poland 

Versand von SMS 

     

Mailjet
Mailjet SAS (Global HQ) 13-13 bis, rue de l’Aubrac, 75012 Paris, France 

 

Versand von E-Mails 

      

Google
1600 Amphitheatre Parkway, Mountain View, CA, USA 

–  Analyse von Zugriffen auf Websites (Google Analytics)

–  Übermittlung von Daten, die auf Wallet Karten für Google Pay dargestellt werden.

      

Hubspot
25 First Street, 2nd Floor Cambridge, MA 02141 United States 

 

CRM-System 

     

Newsletter2Go Newsletter2Go UG (haftungsbeschränkt) Köpenicker Str. 126 10179 Berlin, Germany 

  

MailChimp
The Rocket Science Group, LLC
675 Ponce de Leon Ave NE Suite 5000
Atlanta, GA 30308 USA 

Versand von Newslettern 

      

Versand von Newslettern 

     

Kayako
Sixth Floor
20 Ropemaker Street London EC2Y 9AR United Kingdom 

 

Support-System 

  

FastBill UG (haftungsbeschränkt) Bockenheimer Anlage 15, 60322 Frankfurt am Main , Germany 

    

Buchhaltungssoftware 

  

Functional Software, Inc. dba Sentry, 132 Hawthorne Street, San Francisco, CA 94107. USA 

    

Error Tracking System 

   

 

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 13 von 20 

  

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 14 von 20 

Anlage 1 

zum VERTRAG ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM SINNE DES ART. 28 ABS. 3 DER EUROPÄISCHEN DATENSCHUTZ-GRUNDVERORDNUNG 2016/679 (DS-GVO) 

IX. zu Ziffer 7 – Regelung zum Umgang mit Subunternehmern
☒ Der Auftraggeber genehmigt allgemein, dass der Auftragnehmer weitere bzw. andere Subunternehmer 

einbindet. Der Auftragnehmer hat den Auftraggeber aber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Subunternehmers schriftlich oder in einem dokumentierten elektroni- schen Format zu informieren. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben. Liegt ein wichtiger datenschutzrechtlicher Grund für den Einspruch vor und die Parteien erzielen keine einvernehm- liche Lösung über das weitere Vorgehen, steht dem Auftraggeber ein fristloses Sonderkündigungsrecht hin- sichtlich der gesamten Auftragsverarbeitung zu. Erfolgt innerhalb von 28 Tagen nach Übersendung der An- zeige kein Einspruch durch den Auftraggeber, gilt die Zustimmung zur Änderung als erteilt. 

☐ Der Auftragnehmer hat vor jeder Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Subunter- nehmers die Zustimmung des Auftraggebers einzuholen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunterneh- mers mitteilt und zusichert, dass die in Ziffer 0 Dieses Vertrages niedergelegten Grundsätze für die Einschal- tung von Subunternehmern eingehalten wurden. Die Zustimmung ist nur wirksam, wenn sie in Schriftform oder einem dokumentierten elektronischen Format erfolgt; sie darf nur aus wichtigen datenschutzrechtlichen Gründen verweigert werden. 

☐ Die Beauftragung von Subunternehmern sowie ggf. die Änderung bestehender, genehmigter Subunter- nehmerverhältnisse (Nr. VIII dieser Anlage) durch den Auftragnehmer zur Erbringung der im Vertrag verein- barten Leistungen und Tätigkeiten ist unzulässig. 

Solarwinds Worldwide, LLC 7171 Southwest Parkway Building 400
Austin, Texas 78735 

Logfile Monitoring/Management 

 

ANLAGE 2 

ZUM VERTRAG ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM SINNE DES ART. 28 ABS. 3 DER EUROPÄISCHEN DATENSCHUTZ-GRUNDVERORDNUNG 2016/679 (DS-GVO) 

zu Ziffer 5 des Vertrages – technische und organisatorische Maßnahmen
Der Auftragnehmer hat zum Zeitpunkt des Abschlusses dieses Vertrages folgende technischen und organisatori- 

schen Maßnahmen (TOMs) implementiert: 

Einzelne Verarbeitungstätigkeiten 

   

V.1.7 VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 15 von 20 

☒Onlineshop.
☒Website.
☒Marketingmaßnahmen. ☐Personalmanagement. ☐Finanzbuchhaltung.
☒Kommunikation (E-Mail, Messenger, etc.). ☐Sicherheitsmanagement. ☐Lieferantenverwaltung. ☒Kundenverwaltung. 

☒Verarbeitung von Daten im Auftrag Dritter (z.B. als Dienstleister).
☐ ________________________________________________________________ 

Speicherung von Daten zum Zwecke der Nutzung und Abrechnung, sowie des Marketings für die Online-Software Sprpss.
_
☒Bestandsdaten (Namen, Adressen). 

☒Kontaktdaten (E-Mail, Telefonnummern, Fax, Messenger).
☒Inhaltsdaten (Texteingaben, Fotografien, Videos).
☒Vertragsdaten (Zeitpunkt, Inhalt, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten). ☒Nutzungsdaten (Interessen, Besuchte Webseiten, Kaufverhalten, Zugriffszeiten). ☒Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten). ☐Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale). ☐Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen).
☒ Daten zu Kundenbindungsprogrammen, _____________________________________ ☐ ________________________________________________________________ 

(Art. 9 DSGVO, z.B. Gesundheitsdaten, genetische und biometrische Daten, sexuelle Orientierung, politische, religiöse, Gewerkschaftszugehörigkeit, ethnische Herkunft, etc.). 

☒Kunden.
☒Nutzer, Websitebesucher.
☒Empfänger von Marketingmaßnahmen.
☒Lieferanten, Dienstleister, Partnerunternehmen und deren Mitarbeiter.
☒Mitarbeiter, Bewerber.
☐ ________________________________________________________________ ☒Onlineformular.
☒Freiwillige Selbstangaben.
☐Öffentlich jedermann zugängliche Daten.
☐Mittels von Onlinetools/Verfahren ermittelte Daten.
☒Daten aus Kundendatenbanken
☒Elektronische Verarbeitung.
☐Verarbeitung in analogen Systemen (Aktenablage, etc.).
☐ ________________________________________________________________ ☒Begründung, Durchführung und Beendigung von Kauf oder Dienstleistungsverträgen. 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 16 von 20 

☐Begründung, Durchführung und Beendigung von Kauf oder Beschäftigungsverträgen. ☒Sicherheitsmaßnahmen.
☐Marktforschung.
☒Marketing und Werbezwecke. 

☒ Loyalitätsprogramme________________________________________________ ☒Art 6 Abs. 1 a), Art. 7 DSGVO (Einwilligung).
☐Art. 6 Abs. 1 lit. 1/b, § 26 BDSG-Neu / § 32 BDSG „Beschäftigungsverhältnis“. ☒ Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). 

☐ Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).
☒ Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
☐ ________________________________________________________________ ☐Personalabteilung
☐Finanzbuchhaltung
☒Marketing/PR
☒IT
☐Lager
☒Geschäftsführung
☒ Banken zwecks Begleichung/Einziehung Zahlungsforderungen.
☐ Speditionsunternehmen zwecks Warenlieferung.
☒ Trackinganbieter zwecks Reichweitenanalyse und Onlinemarketing.
☒ Hostinganbieter zwecks Datenverarbeitung
☐ ________________________________________________________________

Siehe III.
☒Löschung mit Vertragsbeendigung/ Kündigung.
☐6 J, gem. § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresab- 

schlüsse, Handelsbriefe, Buchungsbelege, etc.).
☒10 J, gem. § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Han- dels- und Geschäftsbriefe, Für Besteuerung relevante Unterlagen, etc.).
☐ ________________________________________________________________
☒ Siehe Allg. Sicherheitskonzept_____________________________________________
☐ ________________________________________________________________ 

☒Datenschutzerklärung.
☐Individuell (z.B. per E-Mail).
☐keine, Information, weil ______________________________ ☐________________________________________________________________ _ _______________________________________________________________ 

• • 

Data at Rest – Daten werden verschlüsselt gespeichert, wenn sie nicht aufgerufen werden
Transparenz der Daten für den Kunden – der Kunde hat jederzeit die Möglichkeit, nachzuvollziehen, welche Daten im System gespeichert sind und hat auch die Mög- lichkeit, diese zu löschen und zu verändern/korrigieren 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 17 von 20 

Verwendung sicherer Verschlüsselung von Passwörtern

Strikte, logische Trennung von Daten zwischen Mandanten

Regelmäßige Aktualisierung der eingesetzten Software (inklusive z.B. PHP-Frame-
works, Webserver) ☐________________________________________________________________ (falls ja, bitte beschreiben)
☒ nein, weil kein erhöhtes Risiko.
☐ ja, weil ________________________________________________________________ ________________________________________________________________

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 18 von 20 

Sicherheitskonzept 

Datenschutz auf Mitar- beiterebene 

Archivierung, Lö- schung, Entsorgung und Einschränkung Verarbeitung 

Wahrung der Betroffe- nenrechte 

Notfallkonzept 

Zutrittskontrolle 

Zugangskontrolle / Zu- griffskontrolle 

☒Vertrauens-/Verschwiegenheitsverpflichtung.
☒Regelung BYOD.
☒Regelung Homeoffice.
☒Regelung betrieblicher Internet/E-Mail-Nutzung.
☐ Schulungen. ☐________________________________________________________________
☒Es liegt ein Archivierungs-, Lösch- und Entsorgungskonzept mit festgelegten Zuständigkeiten 

vor.
☒ Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und Vorgaben für Gerä- 

teentsorgung und Entsorgungsdienstleister unterrichtet. ☐________________________________________________________________
☒Es liegt ein Konzept, das die Wahrung der Rechte der Betroffenen (Auskunft, Korrektur, Da- 

tentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet, 

vor. 

☐ ________________________________________________________________ 

☐Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen ent- sprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. 

☐ ________________________________________________________________ ☒ Haustürschlösser.
☐ Zutrittsregelungen für betriebsfremde Personen
☐ Chipkarten-/Transponder-Schließsystem. 

☐ Sicherheitsschlösser.
☐ Fenstersicherung.
☐ Videoüberwachung.
☐ Beaufsichtigung von Hilfskräften.
☐ ________________________________________________________________ ☐ ________________________________________________________________ ☒Firewalls (Hardware/Software). 

☒Stets aktueller Virenschutz.
☒Stets aktuelle Softwareversionen.
☐Berechtigungs-/ Authentifizierungskonzepte mit auf Nötigste beschränkten Zugriffsregulierun- 

gen.
☒Mindestpasswortlängen und Passwortmanager.
☐Einsatz von VPN-Technologie.
☐Sperren von externen Schnittstellen (USB etc.).
☐Einsatz von Intrusion-Detection-Systemen.
☒Verschlüsselung von mobilen Datenträgern und GerätenVerschlüsselung von mobilen Daten- 

trägern und Geräten
☐Einsatz von zentraler Smartphone-Administrations-Software. ☒Protokollierung von ZugriffProtokollierung von Zugriffen auf Daten 

      

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 19 von 20 

☐Ordnungsgemäße Vernichtung von Datenträgern.
☐ ________________________________________________________________
☐ ________________________________________________________________
☒ Festlegung und Dokumentation der Empfänger.
☐ Pseudonymisierung.
☒ Verschlüsselung von Datenträgern und Verbindungen.
☐ Dedizierte Weitergabeberechtigungen.
☒ Die Mitarbeiter haben sich schriftlich verpflichtet, Daten nicht weiterzugeben, es sei denn 

dies ist zur Erfüllung von Anfragen von Ermittlungsbehörden nach Vorlage einer gesetzli- chen Grundlage notwendig. ☐ ________________________________________________________________ 

☒Protokollierung von Dateneingaben-, Änderungen und Löschungen.
☐Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernom- 

men worden sind.
☒Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Be- 

rechtigungskonzepts.
☐ ________________________________________________________________ ☐ ________________________________________________________________ ☒Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten.
☒Schriftliche Festlegung der Weisungen.
☒Kontrolle der Einhaltung bei Auftragnehmern.
☒Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.
☐ ________________________________________________________________ ☐ ________________________________________________________________ ☒Notfallkonzept.
☒Ständig kontrolliertes Backup- und Recoverykonzept.
☒Zusätzliche Sicherungskopien mit Lagerung an besonders geschützten Orten. ☒Durchführung von Belastbarkeitstests.
☐ ________________________________________________________________ ☐ ________________________________________________________________ ☐Physische Mandantentrennung (hardwareseitig).
☒Logische Mandantentrennung (softwareseitig).
☒Trennung von Produktiv- und Testsystem. 

☐Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf ei- nem getrennten, abgesicherten System. 

☐ ________________________________________________________________ ☐ ________________________________________________________________ 

 

V.1.7 

VereinbarungzurAuftragsverarbeitunggem.Art.28DS-GVO Seite 20 von 20 

© pass.fitness | alle Rechte vorbehalten | ImpressumDatenschutzAGB | Auftragsverarbeitungsvertrag | Cookies