Auftragsverarbeitungsvereinbarung der KS Sales Solutions GmbH
abgeschlossen zwischen
KS Sales Solutions GmbH
Friedrich-Ebert-Anlage 36
60325 Frankfurt am Main
im Folgenden „Auftragsverarbeiter“
und
dem im jeweiligen Angebot bezeichneten Kunden
im Folgenden „Verantwortlicher“.
Die Vertragsparteien werden gemeinsam auch „Parteien“ und einzeln „Partei“ genannt.
§ 1 Gegenstand, Zweck und Anwendungsbereich
(1) Diese Auftragsverarbeitungsvereinbarung, nachfolgend „AVV“, dient der Einhaltung von Art. 28 Abs. 3 und 4 der Verordnung (EU) 2016/679, Datenschutz-Grundverordnung, nachfolgend „DSGVO“.
(2) Diese AVV gilt unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß DSGVO unterliegt.
(3) Gegenstand und Zweck dieser AVV ist die Durchführung der zwischen Auftragsverarbeiter und Verantwortlichem im Hauptvertrag beziehungsweise Angebot festgelegten Leistungen. Diese umfassen insbesondere die Bereitstellung, Einrichtung, Wartung, Betreuung und Weiterentwicklung von Softwarelösungen, insbesondere CRM-Systemen, sowie die Speicherung und den Zugriff auf Daten innerhalb der vom Auftragsverarbeiter bereitgestellten oder betreuten Softwareumgebung.
(4) Diese AVV findet Anwendung auf alle Tätigkeiten, bei denen der Auftragsverarbeiter, dessen Beschäftigte oder eingesetzte Unterauftragsverarbeiter personenbezogene Daten des Verantwortlichen im Sinne von Art. 4 Nr. 1 DSGVO im Auftrag verarbeiten.
§ 2 Art der personenbezogenen Daten
(1) Im Rahmen der Auftragsverarbeitung können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:
- Stamm- und Kontaktdaten, insbesondere Name, Anschrift, E-Mail-Adresse und Telefonnummer
- Kommunikationsdaten
- Vertrags- und Leistungsdaten
- Vertriebs-, Interessenten- und Kundendaten
- Nutzungs- und Zugriffsdaten
- Termin-, Aufgaben- und Aktivitätsdaten
- Dokumente, Notizen, Gesprächsinhalte und sonstige vom Verantwortlichen in die Software eingebrachte Daten
§ 3 Kategorien betroffener Personen
(1) Im Rahmen der Auftragsverarbeitung können personenbezogene Daten insbesondere folgender Kategorien betroffener Personen verarbeitet werden:
-Interessenten des Verantwortlichen
- Kunden des Verantwortlichen
- Ansprechpartner und Kontaktpersonen
- Beschäftigte des Verantwortlichen
- Nutzer der Software
- Dienstleister, Geschäftspartner und sonstige Kontaktpersonen des Verantwortlichen
- sonstige Personen, deren Daten der Verantwortliche in die Software einbringt
§ 4 Auslegung
(1) Werden in dieser AVV Begriffe verwendet, die in der DSGVO definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der DSGVO.
(2) Diese AVV ist im Lichte der Bestimmungen der DSGVO auszulegen.
(3) Diese AVV darf nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte und Grundfreiheiten betroffener Personen beschränkt.
§ 5 Vorrang
(1) Im Falle eines Widerspruchs zwischen dieser AVV und sonstigen Vereinbarungen zwischen den Parteien hat diese AVV Vorrang, soweit datenschutzrechtliche Pflichten der Auftragsverarbeitung betroffen sind.
(2) Im Übrigen gelten das jeweilige Angebot, die Allgemeinen Geschäftsbedingungen sowie sonstige vertragliche Vereinbarungen zwischen den Parteien.
§ 6 Dauer der Datenverarbeitung
(1) Die Dauer der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter entspricht der Dauer des zugrunde liegenden Hauptvertrags beziehungsweise Angebots.
(2) Mit Beendigung des Hauptvertrags endet grundsätzlich auch diese AVV, ohne dass es einer gesonderten Kündigung bedarf.
(3) Verpflichtungen, die ihrer Natur nach fortbestehen, insbesondere Vertraulichkeits-, Nachweis- und Löschungspflichten, bleiben unberührt.
§ 7 Weisungen des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch für eine etwaige Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.
(2) Ist der Auftragsverarbeiter gesetzlich zur Verarbeitung verpflichtet, teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(3) Die anfänglichen Weisungen ergeben sich aus dem jeweiligen Angebot, den Vertragsunterlagen, den Allgemeinen Geschäftsbedingungen und dieser AVV.
(4) Weitere Weisungen des Verantwortlichen sind in Textform, insbesondere per E-Mail, an den Auftragsverarbeiter zu richten und zu dokumentieren.
(5) Weisungen sind nur verbindlich, soweit sie sich auf die Verarbeitung personenbezogener Daten im Rahmen der vereinbarten Leistung beziehen.
(6) Weisungen, die über die im Hauptvertrag festgelegte Leistungspflicht des Auftragsverarbeiters hinausgehen, gelten als Antrag auf Leistungsänderung und können gesondert vergütet werden.
(7) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzvorschriften verstößt.
(8) Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung bis zur Bestätigung oder Änderung der Weisung auszusetzen.
§ 8 Dokumentation und Einhaltung dieser AVV
(1) Die Parteien müssen die Einhaltung dieser AVV nachweisen können.
(2) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung personenbezogener Daten gemäß dieser AVV in angemessener Weise.
(3) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dieser AVV festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind.
(4) Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter Prüfungen der unter diese AVV fallenden Verarbeitungstätigkeiten, soweit diese erforderlich und angemessen sind.
(5) Prüfungen erfolgen nach vorheriger Anmeldung, während üblicher Geschäftszeiten und mit angemessener Vorlaufzeit.
(6) Prüfungen dürfen den regulären Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.
(7) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Der Prüfer darf nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen und muss zur Vertraulichkeit verpflichtet sein.
(8) Der Auftragsverarbeiter kann die Durchführung einer Prüfung von der vorherigen Unterzeichnung einer angemessenen Verschwiegenheitserklärung abhängig machen.
(9) Die Parteien stellen der zuständigen Aufsichtsbehörde die in dieser AVV genannten Informationen, einschließlich etwaiger Prüfungsergebnisse, auf Anfrage zur Verfügung.
§ 9 Zweckbindung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für die im Hauptvertrag, im jeweiligen Angebot und in dieser AVV festgelegten Zwecke, sofern er keine weitere dokumentierte Weisung des Verantwortlichen erhält.
§ 10 Sensible Daten
(1) Sofern der Verantwortliche besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeitet, bleibt er für die Zulässigkeit dieser Verarbeitung verantwortlich.
(2) Der Verantwortliche darf solche Daten nur in die Software einbringen, wenn hierfür eine geeignete Rechtsgrundlage besteht und die Verarbeitung vom vereinbarten Leistungsumfang umfasst ist.
(3) Der Auftragsverarbeiter verarbeitet solche Daten ausschließlich nach Maßgabe dieser AVV und der dokumentierten Weisungen des Verantwortlichen.
§ 11 Einsatz von Unterauftragsverarbeitern
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über eingesetzte Unterauftragsverarbeiter durch eine Liste gemäß Anhang II oder durch eine geeignete Veröffentlichung.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte wesentliche Änderungen beim Einsatz von Unterauftragsverarbeitern, insbesondere durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern, in geeigneter Weise.
(4) Dem Verantwortlichen steht ein Widerspruchsrecht aus wichtigem datenschutzrechtlichem Grund zu. Der Widerspruch ist in Textform zu erklären und zu begründen.
(5) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen, erfolgt diese Beauftragung auf Grundlage eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt, die für den Auftragsverarbeiter nach dieser AVV gelten.
(6) Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter verantwortlich.
§ 12 Drittlandübermittlungen
(1) Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Dies kann insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission, EU-Standardvertragsklauseln oder sonstiger geeigneter Garantien erfolgen.
(3) Der Einsatz von Unterauftragsverarbeitern mit Sitz in einem Drittland oder mit Zugriffsmöglichkeiten aus einem Drittland ist zulässig, sofern die gesetzlichen Voraussetzungen hierfür eingehalten werden.
§ 13 Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jede Anfrage einer betroffenen Person, soweit diese Anfrage personenbezogene Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden, und soweit eine Zuordnung möglich ist.
(2) Der Auftragsverarbeiter beantwortet Anfragen betroffener Personen nicht eigenständig, es sei denn, er wurde vom Verantwortlichen hierzu angewiesen oder ist gesetzlich dazu verpflichtet.
(3) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen in angemessenem Umfang bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen außerdem bei der Einhaltung folgender Pflichten:
- Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, soweit erforderlich
- Pflicht zur Konsultation der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO, soweit erforderlich
- Pflicht zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
- Pflicht zur Meldung und Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und 34 DSGVO
(5) Im Rahmen der Unterstützungspflichten sind die Interessen, Größe und wirtschaftliche Situation des Auftragsverarbeiters angemessen zu berücksichtigen.
(6) Aufwand, der über den vertraglich vereinbarten Leistungsumfang hinausgeht, kann gesondert vergütet werden.
§ 14 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn in angemessenem Umfang dabei, seinen Verpflichtungen gemäß Art. 33 und 34 DSGVO nachzukommen.
(2) Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, die personenbezogene Daten des Verantwortlichen betrifft, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung enthält, soweit dem Auftragsverarbeiter bekannt und verfügbar, insbesondere folgende Informationen:
- Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
- soweit möglich, Kategorien und ungefähre Anzahl der betroffenen Personen
- soweit möglich, Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
- Name und Kontaktdaten einer Anlaufstelle für weitere Informationen
- voraussichtliche Folgen der Verletzung
- ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung sowie Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen
(4) Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu diesem Zeitpunkt verfügbaren Informationen.
(5) Weitere Informationen werden ohne unangemessene Verzögerung nachgereicht.
(6) Die Meldung kann per E-Mail oder über einen anderen üblicherweise zwischen den Parteien verwendeten Kommunikationsweg erfolgen.
§ 15 Vertragsdauer, Verstöße gegen die AVV und Beendigung
(1) Die Dauer dieser AVV entspricht der Dauer des Hauptvertrags.
(2) Mit Beendigung des Hauptvertrags endet grundsätzlich auch diese AVV, ohne dass es einer gesonderten Kündigung bedarf.
(3) Bis zur vollständigen Löschung oder Rückgabe personenbezogener Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser AVV.
(4) Falls der Auftragsverarbeiter seinen Pflichten gemäß dieser AVV in erheblichem Umfang oder fortdauernd nicht nachkommt, ist der Verantwortliche berechtigt, die Verarbeitung personenbezogener Daten auszusetzen, bis der Auftragsverarbeiter diese AVV wieder einhält oder der Hauptvertrag beendet wird.
(5) Der Auftragsverarbeiter ist berechtigt, die Verarbeitung auszusetzen, soweit der Verantwortliche auf einer Weisung besteht, nachdem der Auftragsverarbeiter darauf hingewiesen hat, dass diese Weisung gegen geltende Datenschutzbestimmungen verstößt.
§ 16 Rückgabe und Löschung personenbezogener Daten
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt diese zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(2) Die Rückgabe erfolgt in einem üblichen, maschinenlesbaren Format, soweit dies technisch möglich und vom Leistungsumfang umfasst ist.
(3) Trifft der Verantwortliche innerhalb angemessener Frist nach Vertragsende keine Wahl, ist der Auftragsverarbeiter berechtigt, die personenbezogenen Daten nach Maßgabe der gesetzlichen und vertraglichen Vorgaben zu löschen.
(4) Die Löschung bestehender Sicherungskopien und Backups kann zeitversetzt erfolgen, soweit eine sofortige Löschung technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
(5) Bis zur Löschung werden die Daten weiterhin nach Maßgabe dieser AVV geschützt.
(6) Dokumentationen, die als Nachweis einer ordnungsgemäßen Datenverarbeitung erforderlich sind, bleiben von der Löschung unberührt.
(7) Der Auftragsverarbeiter bestätigt die Löschung oder Rückgabe auf Wunsch in Textform.
§ 17 Haftung
(1) Die Parteien haften gegenüber betroffenen Personen nach Maßgabe von Art. 82 DSGVO.
(2) Im Innenverhältnis gelten ergänzend die Haftungsregelungen des Hauptvertrags sowie der Allgemeinen Geschäftsbedingungen der KS Sales Solutions GmbH, soweit gesetzlich zulässig und soweit diese AVV keine speziellere Regelung enthält.
§ 18 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter ergreift mindestens die in Anhang I aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten.
(2) Diese Maßnahmen umfassen den Schutz der Daten vor einer Verletzung der Sicherheit, insbesondere vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang.
(3) Bei der Beurteilung des angemessenen Schutzniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten betroffener Personen.
(4) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu personenbezogenen Daten, wie dies für die Durchführung, Verwaltung, Betreuung, Wartung oder Überwachung der vereinbarten Leistungen erforderlich ist.
(5) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(6) Änderungen der technischen und organisatorischen Maßnahmen bleiben dem Auftragsverarbeiter vorbehalten, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
§ 19 Schlussbestimmungen
(1) Die Anhänge I und II bilden einen integralen Bestandteil dieser AVV.
(2) Änderungen und Ergänzungen dieser AVV bedürfen mindestens der Textform.
(3) Keine der Parteien ist berechtigt, Rechte oder Pflichten aus dieser AVV isoliert auf Dritte zu übertragen, soweit nicht ausdrücklich etwas anderes vereinbart ist.
(4) Auch die längere Nichtausübung eines Rechts führt nicht zum Rechtsverlust und ist nicht als Verzicht zu werten.
(5) Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(6) Es gilt deutsches Recht.
Anhang I – Technische und organisatorische Maßnahmen
§ 1 Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten
(1) Der Auftragsverarbeiter setzt angemessene technische Maßnahmen ein, um personenbezogene Daten zu schützen.
(2) Hierzu zählen insbesondere verschlüsselte Verbindungen, Passwortschutz, rollenbasierte Zugriffskonzepte sowie, soweit technisch vorgesehen, weitere Absicherungsmaßnahmen.
§ 2 Maßnahmen zur Sicherstellung der laufenden Vertraulichkeit
(1) Der Auftragsverarbeiter ergreift Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit.
(2) Dazu gehören insbesondere Maßnahmen zur physischen und elektronischen Zugangskontrolle.
§ 3 Physische Zugangskontrolle
(1) In den Büroräumlichkeiten des Auftragsverarbeiters befinden sich keine eigenen produktiven Serversysteme für Kundendaten, soweit diese bei externen Hosting- oder Infrastrukturdienstleistern betrieben werden.
(2) Der Zutritt zu geschäftlich genutzten Räumlichkeiten des Auftragsverarbeiters ist auf berechtigte Personen beschränkt.
(3) Betriebsfremde Personen erhalten nur bei Bedarf und unter angemessener Kontrolle Zugang.
(4) Der Auftragsverarbeiter nutzt Server beziehungsweise Infrastruktur der in Anhang II genannten Unterauftragsverarbeiter oder sonstiger entsprechend verpflichteter Dienstleister.
§ 4 Elektronische Zugangskontrolle
(1) Der Zugang zu personenbezogenen Daten wird nur einem berechtigten Personenkreis gewährt.
(2) Der Zugriff auf personenbezogene Daten erfolgt über individuelle Benutzerkonten und geeignete Authentifizierungsverfahren.
(3) Benutzerkonten werden bei Wegfall der Berechtigung deaktiviert oder gelöscht.
(4) Passwörter dürfen nicht unverschlüsselt gespeichert oder übertragen werden.
(5) Der Zugriff auf Systeme und Daten erfolgt, soweit technisch vorgesehen, über verschlüsselte Verbindungen.
§ 5 Maßnahmen zur Sicherstellung der laufenden Integrität
(1) Der Auftragsverarbeiter ergreift Maßnahmen zur Sicherstellung der Integrität von Daten und Systemen.
(2) Dazu gehören insbesondere Berechtigungskonzepte, Zugriffsbeschränkungen, Protokollierungen sowie Maßnahmen zur Kontrolle von Eingaben und Übermittlungen.
§ 6 Kontrolle der Übermittlung
(1) Personenbezogene Daten werden bei elektronischer Übermittlung durch geeignete technische Maßnahmen geschützt.
(2) Hierzu zählen insbesondere verschlüsselte Verbindungen, sichere Kommunikationswege und Zugriffsbeschränkungen.
§ 7 Eingabekontrolle
(1) Soweit systemseitig vorgesehen, kann nachvollzogen werden, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.
(2) Rechte zur Eingabe, Änderung oder Löschung werden auf Grundlage eines Berechtigungskonzepts vergeben.
§ 8 Maßnahmen zur Sicherstellung der laufenden Verfügbarkeit und Belastbarkeit
(1) Der Auftragsverarbeiter trifft Maßnahmen, um die laufende Verfügbarkeit und Belastbarkeit der eingesetzten Systeme im üblichen Betrieb zu unterstützen.
(2) Hierzu zählen insbesondere Wartungs-, Update-, Backup- und Wiederherstellungsverfahren sowie der Einsatz geeigneter Hosting- und Infrastrukturdienstleister.
§ 9 Maßnahmen zur Wiederherstellbarkeit
(1) Der Auftragsverarbeiter trifft Maßnahmen, um sicherzustellen, dass die Verfügbarkeit personenbezogener Daten und der Zugang zu ihnen im Falle eines physischen oder technischen Zwischenfalls im Rahmen der vorhandenen technischen Möglichkeiten wiederhergestellt werden können.
(2) Hierzu zählen insbesondere Datensicherungen, Wiederherstellungsverfahren, Überwachung technischer Systeme sowie Schutz vor zufälliger Zerstörung oder Verlust.
§ 10 Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(1) Der Auftragsverarbeiter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig und passt diese bei Bedarf an.
(2) Hierzu zählen insbesondere:
- regelmäßige Überprüfung von Zugriffsrechten
- Aktualisierung technischer und organisatorischer Maßnahmen
- Auswertung besonderer Vorkommnisse
- Sensibilisierung von Beschäftigten im Umgang mit IT, IT-Sicherheit und Datenschutz
- Prozesse zur Bearbeitung von Datenschutzanfragen
- Dokumentation wesentlicher Datenschutz- und Sicherheitsmaßnahmen
Anhang II – Unterauftragsverarbeiter
1. Serverinfrastruktur
Diese Art von Dienst dient dem Betrieb der Serverinfrastruktur sowie der Speicherung und Verarbeitung der im Rahmen der Vertragsdurchführung verarbeiteten Daten.
Hetzner Online GmbH
Industriestraße 25
91710 Gunzenhausen
Deutschland
2. Automatisierung
Diese Art von Dienst dient der Automatisierung von Geschäftsprozessen sowie der Übertragung von Daten zwischen verschiedenen Softwaresystemen im Auftrag des Verantwortlichen.
Make.com (Celonis, Inc.)
333 Seymour Street, Suite 1400
Vancouver, BC V6B 5A6
Kanada
3. Einsatz von KI
Diese Art von Dienst dient dazu, die Auftragsdaten mittels KI zu verarbeiten.
OpenAI Ireland Limited
1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper,
Dublin 1, D01 YC43, Irland