Lexware Office App: Auftragsverabeitungsvereinbarung

Stand: 27. Mai 2025

Inhalt:

1. ABSCHNITT I
   1. Zweck und Anwendungsbereich
   2. Unabänderbarkeit der Klauseln
   3. Auslegung
   4. Vorrang
   5. Kopplungsklausel
2. ABSCHNITT II – PFLICHTEN DER PARTEIEN
   1. Beschreibung der Verarbeitung
   2. Pflichten der Parteien
   3. Unterstützung des Verantwortlichen
   4. Meldung von Verletzungen des Schutzes personenbezogener Daten
3. ABSCHNITT III – SCHLUSSBESTIMMUNGEN
   1. Verstöße gegen die Klauseln und Beendigung des Vertrags
4. ANHANG I – LISTE DER PARTEIEN
5. ANHANG II – BESCHREIBUNG DER VERARBEITUNG
   1. Ausgangslage
   2. Applikationen / mögliche Verarbeitungsvorgänge
   3. Überleitende Bemerkung
6. ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
   1. Maßnahmen zur dauerhaften Gewährleistung der Sicherheit
   2. Organisatorische Maßnahmen zur Überwachung und Dokumentation
   3. Schulungs- und Awareness-Maßnahmen
   4. Arbeitsweise
   5. Verschlüsselung
   6. Zutrittskontrolle
   7. Zugangskontrolle
   8. Zugriffskontrolle
   9. Weitergabekontrolle
   10. Eingabekontrolle
   11. Auftragskontrolle
   12. Trennungskontrolle
   13. Verfügbarkeitskontrolle, Wiederherstellbarkeit, Belastbarkeit
7. ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

AUFTRAGSVERARBEITUNGSVEREINBARUNG

Hinweis 1: Alle der nachfolgenden Personenbezeichnungen beziehen sich auf alle Geschlechter und ihre Sprachformen und verstehen sich stets mit dem Zusatz „(w/m/d)“.

Hinweis 2: Die nachfolgende Vertragsurkunde beruht auf einem Muster der EU-Kommission, die exakt diese Vertragsurkunde als rechtmäßig ansieht. Dazu hat die EU-Kommission extra einen Durchführungsbeschluss über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29 (7) der Verordnung (EU) 2018/1725 gefasst. Der Durchführungsbeschluss kann hier eingesehen werden: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0915. Er darf nicht mit den Standarddatenschutzklauseln i.S.v. Artikel 46 DSGVO, die eine Drittlandübermittlung regeln, verwechselt werden.

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

1. Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.
2. Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten. 
3. Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
4. Die Anhänge I bis IV sind Bestandteil der Klauseln. 
5. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt. 
6. Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden. 

Klausel 2

Unabänderbarkeit der Klauseln

1. Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
2. Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. 

Klausel 3

Auslegung

1. Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung. 
2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet. 

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang. 

Klausel 5

Kopplungsklausel

1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet. 
2. Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I. 
3. Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt. 

Klausel 7

Pflichten der Parteien

7.1 Weisungen 

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren. 
2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen. 

7.2 Zweckbindung 

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält. 

7.3 Dauer der Verarbeitung personenbezogener Daten 

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet. Nach Ablauf der dort angegebenen Zeiträume oder auf Weisung des Verantwortlichen werden die Daten gelöscht, spätestens sechs Monate nach Ende des Hauptvertrages. 

7.4 Sicherheit der Verarbeitung 

1. Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung. 
2. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

7.5 Sensible Daten 

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.  

7.6 Dokumentation und Einhaltung der Klauseln 

1. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
2. Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise. 
3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen. 
4. Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. 
5. Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung. 

7.7 Einsatz von Unterauftragsverarbeitern

1. Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens drei Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
2. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt. 
3. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen. 
4. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt. 
5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. 

7.8 Internationale Datenübermittlungen

1. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen. 
2. Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind. 

Klausel 8

Unterstützung des Verantwortlichen

1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt. 
2. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen. 
3. Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten: 
   1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
   2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft; 
   3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den DE 7 DE Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind; 
   4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679
4. Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. 

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt. 

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten 

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

1. bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen); 
2. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen: 
   1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; 
   2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; 
   3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt; 
3. bei der Einhaltung der Pflicht gemäß: Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten 

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten: 

1. eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
2. Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können; 
3. die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. 

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen. 

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

1. Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten. 
2. Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn 
   1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
   2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt; 
   3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
3. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen. 
4. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln. 

ANHANG I – LISTE DER PARTEIEN 

Verantwortliche(r): 

Das Unternehmen, das den Auftragsverarbeiter mit der Bereitstellung einer Applikation beauftragt. Die Vereinbarung wird über die elektronische Form geschlossen; dies bei Download/Installation der auftragsgegenständlichen App.

Auftragsverarbeiter: 

Name: Eshop Guide GmbH 

Anschrift: Husemannplatz 5a, 44787 Bochum

Name, Funktion und Kontaktdaten der Kontaktperson: Oliver Schönbett, Patrick Rosenblatt, David Crowder, Geschäftsführung, erreichbar unter der o.g. Anschrift, mit dem Adresszusatz „persönlich, vertraulich, nur für die Geschäftsführung“

Die Vereinbarung wird über die elektronische Form geschlossen; dies bei Download/Installation der auftragsgegenständlichen App.

ANHANG II – BESCHREIBUNG DER VERARBEITUNG 

Vorbemerkung

1. Ausgangslage

Die proprietäre E-Commerce-Software Shopify ermöglicht es Unternehmen, Onlineshops zu betreiben. Zusätzlich zu den Diensten, die Shopify anbietet, können Shopbetreiber weitere Applikationen integrieren, die nicht von Shopify selbst, sondern von Dritten angeboten werden. Einer dieser Dritten ist der hiesige Auftragsverarbeiter. Die Verantwortliche betreibt einen Onlineshop über Shopify und hat entweder eine oder mehrere der Applikationen, die der hiesige Auftragsverarbeiter anbietet, mit seinem Shop verknüpft. Allen auftragsgegenständlichen Applikationen ist gemein, dass sie die Funktionalität aus Sicht der Endkunden erweitern bzw. die Customer Journey beeinflussen. 

2. Applikationen / mögliche Verarbeitungsvorgänge

Folgende Applikationen können Gegenstand der Auftragsverarbeitung sein:

• B2B App (2.1)
• Lexware Office App (2.2)
• sevdesk App (2.3)
• idealo App (2.4)
• DHL Packstaion App (2.5)

2.1 Shopify B2B App

Nur sofern die Verantwortliche die Bereitstellung dieser Applikation beauftragt, verläuft die Verarbeitung wie folgt:

1. Ein (potenzieller) Kunde der Verantwortlichen besucht ihren Online-Shop. 
2. Dann wird mithilfe der auftragsgegenständlichen Applikation differenziert, ob es sich hierbei um einen Verbraucher/B2C-Kunden oder einen Unternehmer-/B2B-Kunden handelt. Falls es sich um einen Verbraucher/B2C-Kunden handelt, wird dieser zum „normalen“ Shop der Verantwortlichen weitergeleitet (2_1). Falls es sich um einen Unternehmer-/B2B-Kunden handelt, werden seine Daten bis zum Ende der Prozesskette über die auftragsgegenständliche Applikation verarbeitet, die insoweit als sog. Proxy des Shops der Verantwortlichen agiert. Nur in diesem Fall setzt sich die auftragsgegenständliche Verarbeitung fort.
3. Die Interaktionen mit der Checkout-Seite werden an den Shop der Verantwortlichen übertragen.
4. Die kaufbedingten Interaktionen Seite werden an den Shop der Verantwortlichen übertragen.
5. Es wird eine Bestellbestätigung ausgelöst.

Die Auftragsverarbeiterin speichert die hierbei anfallenden Daten nicht dauerhaft, sie werden aber in den Drittsystemen, die in der Einflusssphäre der Verantwortlichen liegen, gespeichert.

2.2 Lexwareoffice App / 2.3 Sevdesk App

Nur sofern die Verantwortliche die Bereitstellung dieser Applikation (entweder Lexwareoffice App oder Sevdesk App) beauftragt, verläuft die Verarbeitung wie folgt:

1. Ein (potenzieller) Kunde kauft etwas im Online-Shop des Verantwortlichen oder hat dort etwas in der Vergangenheit gekauft. 
2. Die aktuellen (oder historischen) Bestelldaten werden dann mithilfe der auftragsgegenständlichen Applikation (als Schnittstelle) an eine externe Buchhaltungsapplikation (lexwareoffice, sevdesk) übermittelt.
3. Dort werden, je nach Weisungslage der Verantwortlichen, die Daten verarbeitet, etwa dergestalt, dass Belege (z.B. Rechnungen, Gutschriften) erstellt werden.
4. Optional besteht die Möglichkeit, dass über Drittapplikation auch der Versand ausgelöst wird. Die Interaktionen mit der Checkout-Seite werden an den Shop der Verantwortlichen übertragen.
5. Mit Deinstallation der auftragsgegenständlichen Applikation werden alle ggf. noch vorhandenen Daten aus den Systemen der Auftragsverarbeiterin gelöscht.
6. Optional besteht die Möglichkeit, dass die Kunden auch Rechnungen über die Applikation abrufen; dies jedoch nur bei entsprechender Weisungslage.

Die Auftragsverarbeiterin speichert die hierbei anfallenden Daten nicht dauerhaft, sie werden aber in den Drittsystemen, die in der Einflusssphäre der Verantwortlichen liegen, gespeichert.

2.4 idealo App

Nur sofern die Verantwortliche die Bereitstellung dieser Applikation beauftragt, verläuft die Verarbeitung wie folgt:

1. Die Applikation ruft die Produkte aus dem Shop der Verantwortlichen ab und überträgt diese zum Preisvergleichsportal Idealo. 
2. Sofern die Endkunden dort ein Produkt erwerben möchten, werden sie zum Shop der Verantwortlichen weitergeleitet.

Hier werden keine Endkundendaten gespeichert.

2.5 DHL Packstation App

Nur sofern die Verantwortliche die Bereitstellung dieser Applikation beauftragt, verläuft die Verarbeitung wie folgt:

1. Ein (potenzieller) Kunde kauft etwas im Online-Shop der Verantwortlichen.
2. Der Kunde klickt auf den Button „Nach Packstation“ suchen.
3. Dann wird die Lieferanschrift abgerufen und übertragen.
4. Die Lieferanschrift wird mit einer Datenbank (DHL API), die Packstation enthält, abgeglichen und die nächst gelegenenen Packstationen werden ermittelt. 
5. Das Ergebnis wird an den Shop der Verantwortlichen übertragen und dem Kunden angezeigt.
6. Optional besteht die Möglichkeit, dass der Kunde sich den Standort der nächsten Packstation bei Google Maps anzeigen lässt; dies ist jedoch abhängig von der Weisungslage des Verantwortlichen.

Die Auftragsverarbeiterin speichert die hierbei anfallenden Daten nicht dauerhaft, sie werden aber in den Drittsystemen, die in der Einflusssphäre der Verantwortlichen liegen, gespeichert.

3. Überleitende Bemerkung

Die hiesigen Parteien schließen einen schuldrechtlichen Hauptvertrag, in dem geregelt wird, welche der o.g. Applikationen die Verantwortliche nutzt. Hiervon hängt auch ab, welcher Teil der Auftragsverarbeitung gilt.

Diese Vorbemerkung vorausgeschickt kann die auftragsgegenständliche Datenverarbeitung wie folgt beschrieben werden:

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:

Betroffene sind stets 

• potenzielle Kunden der Verantwortlichen
• aktuelle Kunden der Verantwortlichen
• ehemalige Kunden der Verantwortlichen

Kategorien personenbezogener Daten, die verarbeitet werden

Art der Verarbeitung

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden 

Dauer der Verarbeitung

Die Verarbeitung endet mit Weisung der hiesigen Verantwortlichen oder Beendigung dieses Vertrages, je nachdem, was früher eintritt.

ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN: 

Vorbemerkung:

Der Kern der auftragsgegenständlichen Verarbeitung findet im Shopify-Account der Verantwortlichen (Sphäre der Verantwortlichen) sowie in den externen cloudbasierten Infrastrukturen der in ANHANG IV näher bezeichneten Unterauftragsverarbeiter (Sphäre des Auftragsverarbeiters) statt.

Anders ausgedrückt: Die auftragsgegenständliche Verarbeitung findet weder auf lokalen servern oder clients des Auftragsverarbeiterin noch auf sonstige Weise in seinen Betriebsräumen statt. Maßgeblich für die Maßnahmen der Vertraulichkeit in der Sphäre des Auftragsverarbeiters sind also v.a. die Maßnahmen, die die Unterauftragsverarbeiterinnen ergreifen.

Dennoch hat der hiesige Auftragsverarbeiter Maßnahmen ergriffen, die hier ebenfalls geschildert werden.

Maßnahmen zur dauerhaften Gewährleistung der Sicherheit

Die Achtung kern- und nebendatenschutzrechtlicher Regelungen ist ein formuliertes Compliance Ziel des hiesigen Auftragsverarbeiters. Die organisatorische Hoheit zur Sicherstellung der Datenschutzkonformität liegt qua Amt bei der Geschäftsführung. 

Es wird im Abstand von 24 Monaten anlasslos kontrolliert, 

• ob die nachstehenden Maßnahmen noch ergriffen werden. Falls das nicht mehr der Fall ist, werden neue Maßnahmen erneut umgesetzt. Dieser Vorgang wird dokumentiert.
• ob die nachstehenden Maßnahmen noch genügen, um die erforderliche Sicherheit herzustellen. Falls das nicht mehr der Fall ist, werden neue Maßnahmen festgelegt und umgesetzt. Dieser Vorgang wird dokumentiert.

Organisatorische Maßnahmen zur Überwachung und Dokumentation 

Der hiesige Auftragsverarbeiter führt ein umfassendes Verzeichnis von Verarbeitungstätigkeiten. Neben dem eigenen Verzeichnis für Verarbeitungstätigkeiten, bei denen er selbst Verantwortlicher i.S.v. Artikel 4 Ziffer 7 DSGVO ist, führt er die Verzeichnisse i.S.v. Artikel 30 Absatz 2 DSGVO mit allen gesetzlichen Pflichtangaben. Ferner unterstützt er seine Auftraggeber bei Datenschutzfolgeabschätzungen; dies in Erfüllung seiner Pflichten als Auftragsverarbeiter. 

Er hat einen Projektplan „Datenschutzorganisation“ verabschiedet, der sicherstellt, dass

• dass mindestens eine für die Sicherstellung datenschutzrechtlicher Pflichten verantwortliche Person (fortan: Datenschutzmanagement) ernannt wird,
• alle Kontaktkanäle, die der hiesige Auftragsverarbeiter eröffnet, dahingehend überwacht werden, ob Betroffene ihre Rechte über einen dieser Kanäle geltend machen und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• alle Kontaktkanäle, die der hiesige Auftragsverarbeiter eröffnet, dahingehend überwacht werden, ob Betroffene oder sonstige Dritte auf einen Vorfall i.S.v. Artikel 33, 34 DSGVO hinweisen und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• neu geschaffene Kontaktkanäle (z.B. neue oder zusätzliche Anschriften, Telefonnummern, E-Mail-Adressen, Kontaktformulare usw.) aufgedeckt, intern gemeldet und anschließend im Projektplan „Datenschutzorganisation“ dokumentiert werden und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• alle Veränderungen in der Verarbeitung personenbezogener Daten, für die der hiesige Auftragsverarbeiter die Verantwortung nach Artikel 4 Ziffer 7 DSGVO trägt, aufgedeckt, intern gemeldet und anschließend dokumentiert werden und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• alle Veränderungen in der Verarbeitung personenbezogener Daten, die der hiesige Auftragsverarbeite lediglich i.S.v. Artikel 4 Ziffer 8 DSGVO verarbeitet, aufgedeckt, intern gemeldet und anschließend dokumentiert werden und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• alle externen Dienstleister, die der hiesige Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten betraut oder unterbeauftragt, aufgedeckt, intern gemeldet und anschließend dokumentiert werden (dies nach den hier festgelegten Vorgaben der Auftragskontrolle) und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• alle Veränderungen der Rechtslage (Gesetze, Verordnungen, internationale Abkommen, Rechtsprechung, Behördenauffassungen usw.) überwacht, intern gemeldet und anschließend dokumentiert werden und dass in einem solchen Fall das Datenschutzmanagement informiert wird,
• der Projektplan „Datenschutzorganisation“ Gegenstand regelmäßiger, datenschutzrechtlicher Schulungen ist,

Schulungs- und Awareness-Maßnahmen

Die Beschäftigten werden regelmäßig (i.d.R. einmal jährlich) geschult. Zum Schulungskonzept ist folgendes auszuführen: Ziel der Schulung ist, die Beschäftigten (m/w/d) mit den Grundlagen und Grundbegriffen des Datenschutzrechts vertraut zu machen. Insbesondere sollen die Beschäftigten (m/w/d) anschließend in der Lage sein, anhand des Verbots mit Erlaubnisvorbehalts die grundlegende Frage zu beantworten, wann die Verarbeitung personenbezogener Daten rechtmäßig und wann sie rechtswidrig ist. Ferner sollen sie die erforderlichen technischen und organisatorischen Maßnahmen kennen und wissen, wie sie bei der Umsetzung in ihrem Unternehmen daran mitwirken können und müssen. Ferner soll ein Überblick über die sonstigen datenschutzrechtlichen Pflichten erfolgen, insbesondere jene nach DSGVO und BDSG2018. Insbesondere erfolgt eine Belehrung über das Datengeheimnis. Abschließend wird auch der Projektplan „Datenschutzorganisation“ geschult. Während der Schulungen besteht jederzeit die Möglichkeit, Fragen zu stellen. Zum Aufbau ist insbesondere auszuführen:

1. Block 1 beginnt mit einer groben Einführung, bei der ein Überblick über die kommende Schulung verschafft wird.
2. Block 2 beginnt mit einer Einführung in das Datenschutzrecht. Es werden die Grundbegriffe geschult, insbesondere die Begriffe „personenbezogene Daten“, „Verarbeitung“, „Einwilligung“, „Rechtsvorschrift.“. Die Schulung orientiert sich an den Legaldefinitionen der DSGVO und des BDSG2018. Es wird das Verbot mit Erlaubnisvorbehalt erläutert. Werden die Rechtmäßigkeitsvoraussetzungen für die Einwilligung besprochen. Anschließend werden die wichtigsten, einwilligungsunabhängigen Rechtsvorschriften erläutert, insbesondere § 26 BDSG2018 (Beschäftigtendatenschutz), Artikel 6 Absatz 1 lit. b DSGVO (Kundendatenschutz) und Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse). Zu jeder Erlaubnisnorm wird mindestens ein Beispielsfall mit den Schulungsteilnehmern (m/w/d) diskutiert, um sicherzustellen, dass alle mit den Normen umgehen können. Außerdem werden die Voraussetzungen der Einwilligung erläutert.
3. Block 3 beginnt mit einer Einführung zu den technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO. Hierbei wird v.a. erläutert, dass und welche Risiken zu analysieren sind. Dann wird erklärt, dass diese Risiken mit technischen und organisatorischen Maßnahmen zu minimieren sind. Ferner wird auf die Nachweispflicht eingegangen. Sodann werden die wichtigsten technischen und organisatorischen Maßnahmen im Unternehmen besprochen. Abschließend wird hier der Projektplan „Datenschutzorganisation“ geschult.
4. Block 4 beschäftigt sich mit spezifischen Fragen des Datenschutzrechts im des Geschäftsfeldes eines Applikation-Anbieters, wobei insbesondere der Umgang mit den Daten von Auftraggebern besprochen wird. Hierbei wird auf die Weisungsbefugnis der Auftraggeber hingewiesen sowie auf den engen Verarbeitungskorridor. Es werden Beispiele diskutiert.  

Arbeitsweise

Die auftragsgegenständlichen Verarbeitungsvorgänge werden sowohl in den Geschäftsräumen (Präsenzarbeit) als auch außerhalb der Geschäftsräume (remote-Arbeit) ausgeführt.

Verschlüsselung

Es werden folgende Maßnahmen ergriffen:

Maßnahmen des hiesigen Auftragsverarbeiters

Der Auftragsverarbeiter selbst ergreift folgende Maßnahmen:

• HTTPS-Transportverschlüsslung
• Keine Speicherung, daher keine Verschlüsselung im Ruhezustand

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Es wird der Dienst Heroku eingesetzt, der als Datenbank und Webserver für die Applikationen eingesetzt wird. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: TLS ist für Webanwendungen optional aktivierbar. Verbindungen zu Postgres-Datenbanken erfordern SSL-Verschlüsselung. Bestimmte Heroku Postgres-Pläne bieten zudem Verschlüsselung im Ruhezustand.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Daten werden während der Übertragung und im Ruhezustand verschlüsselt. Es wird eine starke Verschlüsselungstechnologie eingesetzt, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Daten im Besitz der Unterauftragsverarbeiterin werden im Ruhezustand verschlüsselt. Jede elektronische Übertragung von personenbezogenen Daten außerhalb der IT-Systeme der Unterauftragsverarbeiterin oder über ein öffentliches Netzwerk erfolgt ebenfalls verschlüsselt, um die Sicherheit der Übertragung zu gewährleisten.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Daten werden über SSL oder TLS für Webanwendungen verschlüsselt, um sicherzustellen, dass Daten sicher und nur für beabsichtigte Empfänger bestimmt sind.

Zutrittskontrolle

Es werden folgende Maßnahmen ergriffen:

Maßnahmen des hiesigen Auftragsverarbeiters

Der Auftragsverarbeiter selbst ergreift folgende Maßnahmen: Durch eine interne Dienstanweisung „remote-Arbeit“ i.S.v. § 106 der Gewerbeordnung hat der Auftragsverarbeiter angeordnet, dass die Beschäftigten ihren Arbeitsbereich auf einen Raum innerhalb ihrer Wohnung oder an einem vergleichbar sicheren Ort beschränken, der ggf. auch abschließbar ist. Ferner sind die Wohnungstüren bei Verlassen der Wohnung so häufig wie möglich, i.d.R. zweimal zu verschließen. 

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Es wird der Dienst Heroku eingesetzt, der als Datenbank und Webserver für die Applikationen eingesetzt wird. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Produktionsdatenzentren verfügen über Zugangssysteme, die nur autorisiertem Personal Zutritt zu gesicherten Bereichen gewähren. Diese Einrichtungen sind gegen widrige Wetterbedingungen geschützt und mit Rund-um-die-Uhr-Sicherheitskräften, Zwei-Faktor-Zugangskontrollen und eskortiertem Zugang gesichert. 

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Physische Sicherheitsvorkehrungen sind implementiert, um den Zugang zu den Serverräumen zu beschränken. Hierzu zählen Überwachungssysteme und Zugangskontrollsysteme.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Physische Zugangskontrollen, wie Zugangsausweise und Kartenlesegeräte, sowie Überwachungssysteme sind installiert, um unbefugten Zugang zu Datenverarbeitungssystemen zu verhindern.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Elektronische Zutrittskontrollsysteme, Feueralarmsysteme, interne und externe Kameras sowie Sicherheitspersonal gewährleisten physische Sicherheit in den Datenzentren. Besuche werden protokolliert, und Zugang erfolgt nur in Begleitung autorisierter Mitarbeiter.

Zugangskontrolle:

Es werden folgende Maßnahmen ergriffen:

Maßnahmen des hiesigen Auftragsverarbeiters

Der Auftragsverarbeiter selbst ergreift folgende Maßnahmen:

• Passwortrichtlinie
  • Es wurden Vorgaben für Passwortstandards getroffen, dies mit Blick auf die Passwortlänge sowie auf die Notwendigkeit von Sonderzeichen, Ziffern, Groß- und Kleinbuchstaben.
  • Nach der Installation neuer Software oder der Inbetriebnahme neuer Hardware werden Leer- und Standardpasswörter geändert.
  • Clients in Einzelbüros sind so aufgestellt, dass Unbefugte die Bildschirme nicht zufällig oder unbemerkt einsehen können.
  • Alle Beschäftigten haben individuelle Passwörter.
  • Administrator*innen nutzen ihre Admin-Zugänge nur für Admin-typische Tätigkeiten und im Übrigen einen davon unabhängigen Zugang.
  • Der Zugriff auf alle Passwörter ist nur einem eng begrenzten Personenkreis möglich. Hierzu zählen nur Personen, die diesen Zugang zur Erfüllung ihrer Aufgaben unbedingt benötigen.
• Maßnahmen zum Schutz von Betriebssystemen, Browsern und E-Mail-Programmen
  • Mit Blick auf das Betriebssystem werden die folgenden Maßnahmen ergriffen: Sicherheitspatches und Updates werden regelmäßig und automatisiert installiert.
  • Mit Blick auf den Browser werden die folgenden Maßnahmen ergriffen: Sicherheitspatches und Updates werden regelmäßig und automatisiert installiert. 
  • Mit Blick auf das E-Mail-Programme werden die folgenden Maßnahmen ergriffen: Sicherheitspatches und Updates werden regelmäßig und automatisiert installiert.
• Maßnahmen zum Schutz der betrieblichen Internetzugänge
  • Die Router wurden fachkundig in Betrieb genommen und wird weiterhin fachkundig gewartet.
  • Die Router verfügen über VPN-Funktionalität.
  • Das WLAN ist WPA2-gesichert.
• Maßnahmen zum Schutz von Soft- und Hardware
  • Vor Installation von Software werden das Handbuch und Sicherheitshinweise gelesen und erforderlichenfalls umgesetzt.
  • Die Inbetriebnahme von Hardware muss zentral und vorab freigegeben werden.
  • Vor Inbetriebnahme von Hardware werden das Handbuch und Sicherheitshinweise gelesen und erforderlichenfalls umgesetzt.
• Dienstanweisung: Durch eine interne Dienstanweisung „remote-Arbeit“ i.S.v. § 106 der Gewerbeordnung hat der Auftragsverarbeiter angeordnet, dass dienstliche Endgeräte und andere dienstliche Datenträger bei Nichtbenutzung wegzuschließen sind.

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Es wird der Dienst Heroku eingesetzt, der als Datenbank und Webserver für die Applikationen eingesetzt wird. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Zugänge zu den Diensten erfordern eine gültige Nutzer-ID und Passwort-Kombination, die SSL/TLS-verschlüsselt übertragen und als einseitiger Salt-Hash gespeichert werden. Alternativ wird Single Sign-On (SSO) mit SAML 2.0 unterstützt.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Zugänge zu Systemen sind passwortgeschützt und rollenbasiert. Sie verwenden Authentifizierungsprotokolle, um unberechtigte Zugriffe zu verhindern.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Berechtigungsschemata und Zugriffskontrollen werden implementiert und überwacht, um sicherzustellen, dass Personen Zugang nur zu Daten haben, für die sie berechtigt sind, und um eine unbefugte Datenverarbeitung zu verhindern.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Standard-Firewalls begrenzen den Zugriff zwischen internen und externen Netzwerken basierend auf Geschäftsanforderungen.

Zugriffskontrolle:

Es werden folgende Maßnahmen ergriffen:

Maßnahmen des hiesigen Auftragsverarbeiters

Der Auftragsverarbeiter selbst ergreift folgende Maßnahmen:

• Kontrolle interner Zugriffsmöglichkeiten
  • Eine zentrale Stelle innerhalb des Verantwortlichen verteilt die Zugriffsrechte an die Beschäftigten nach dem Need-To-Know-Prinzip.
  • Verändern sich die Aufgaben einer/s Beschäftigten werden die Zugriffsrechte erforderlichenfalls und wieder nach dem Need-To-Know-Prinzip angepasst.
  • Verlassen Beschäftigte den Auftragsverarbeiter werden sämtliche Rechte entzogen. 
• Dienstanweisung: Durch eine interne „remote-Arbeit“ i.S.v. § 106 der Gewerbeordnung hat der Auftragsverarbeiter angeordnet, dass nur die Beschäftigten selbst auf dienstliche Endgeräte zugreifen und der Zugriff Dritten, insbesondere Familienangehörigen, verwehrt ist.

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Es wird der Dienst Heroku eingesetzt, der als Datenbank und Webserver für die Applikationen eingesetzt wird. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die administrative Zugänglichkeit zu Anwendungen wird durch konfigurierbare Zugriffslisten kontrolliert. Kunden können festlegen, welche Konten Zugang zu Anwendungsprotokollen, Konfiguration oder Daten haben oder neuen Code bereitstellen dürfen. Die Anwendungen laufen in isolierten Umgebungen, was Interaktion mit anderen Anwendungen verhindert.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Es bestehen detaillierte Zugriffsberechtigungen für verschiedene Mitarbeiterrollen. Zugriffsversuche werden überwacht und protokolliert.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Berechtigungsschemata und Zugriffskontrollen werden implementiert und überwacht, um sicherzustellen, dass Personen Zugang nur zu Daten haben, für die sie berechtigt sind, und um eine unbefugte Datenverarbeitung zu verhindern.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Rollenbasierte Zugriffskontrollen auf Grundlage von Notwendigkeit und minimal erforderlichen Berechtigungen. Passwörter sind individuell gesalzen und verschlüsselt.

Weitergabekontrolle:

Es werden folgende Maßnahmen ergriffen:

Maßnahmen des hiesigen Auftragsverarbeiters

Der Auftragsverarbeiter selbst ergreift folgende Maßnahmen: Durch eine interne „remote-Arbeit“ i.S.v. § 106 der Gewerbeordnung hat der Auftragsverarbeiter angeordnet, dass die Beschäftigten ausschließlich die Datenübertragungsmittel wählen, die er für dienstliche Zwecke eingerichtet hat.

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Es wird der Dienst Heroku eingesetzt, der als Datenbank und Webserver für die Applikationen eingesetzt wird. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Heroku Services interagieren oder integrieren mit anderen von Salesforce oder Drittanbietern bereitgestellten Diensten; die diesbezüglichen Sicherheits-, Datenschutz- und Architekturdokumentationen sind verfügbar.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Übertragung von Daten erfolgt ausschließlich verschlüsselt. Zugriffsaufzeichnungen sollen sicherstellen, dass Daten nicht unbefugt weitergegeben werden.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Unterauftragsverarbeiterin stellt sicher, dass personenbezogene Daten während elektronischer Übertragungen und Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Verschlüsselung von Daten während der Übertragung, um sicherzustellen, dass Benutzerdaten sicher und nur für beabsichtigte Empfänger zugänglich sind.

Eingabekontrolle

Der Auftragsverarbeiter hat insoweit folgende Maßnahmen ergriffen:

• Dienstanweisung: Durch eine interne „remote-Arbeit“ i.S.v. § 106 der Gewerbeordnung hat der Auftragsverarbeiter angeordnet, dass die Beschäftigten ausschließlich die Dateneingabemittel wählen, die das Unternehmen für dienstliche Zwecke eingerichtet hat.
• Individuelle Zugänge: Durch den individuellen Login-Prozess ist sichergestellt, dass Eingaben in die IT-Systeme protokolliert und einzelnen, eingebenden Personen zugeordnet werden.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Alle Eingaben werden protokolliert, um die Nachverfolgbarkeit und die Korrektheit von Datenänderungen sicherzustellen.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Systemzugriffe werden geloggt, um sicherzustellen, dass Eingaben und Änderungen nur durch berechtigte Nutzer erfolgen und nachvollziehbar sind.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Audit-Logs protokollieren, welche Benutzer auf welche Systeme zugegriffen haben. Sicherheitsereignisse werden geloggt, überwacht und von geschulten Sicherheitsteammitgliedern bearbeitet.

Auftragskontrolle

Vor Inanspruchnahme von Unterauftragsverarbeitern wird geprüft, welche Risiken mit der Beauftragung einhergehen und ob der ausgewählte Auftragsverarbeiter hinreichende Maßnahmen ergreift, um diese Risiken angemessen zu minimieren. Sofern die Beauftragung eine Übermittlung in Länder außerhalb der EU mit sich bringt, werden die entsprechenden Garantien nach Artikel 44ff. DSGVO geprüft. Schlussendlich erfolgt die Beauftragung nur, wenn sie auf Grundlage der zuvor beschriebenen Prüfung rechtskonform ist und eine Vertragsurkunde i.S.v. Artikel 28 Absatz 3 DSGVO unterzeichnet wurde. Anschließend werden die Voraussetzungen gemäß dem o.g. Prüfzyklus nachgeprüft. Die Ergebnisse werden dokumentiert. In den Auswahl- und Revisionsprozess sind die folgenden Personen/Stellen eingebunden: Geschäftsführung.

Trennungskontrolle

Der Auftragsverarbeiter hat insoweit folgende Maßnahmen ergriffen:

Speicher- und Ordnerstruktur:

Die getrennte Speicherung beruht auf einer ausdifferenzierten Ordnerstruktur und ist durch ein Need-To-Know-Zugriffsmodell abgesichert.

Verfügbarkeitskontrolle, Wiederherstellbarkeit, Belastbarkeit

Daten werden ausschließlich in cloud-Systemen gespeichert. Daher werden folgende Maßnahmen ergriffen:

Maßnahmen des Unterauftragsverarbeiters Salesforce, Inc. (Heroku)

Anwendungen und Kundendaten werden in nahezu Echtzeit auf Datenbankebene automatisch repliziert und gesichert. Es gibt Notfallwiederherstellungspläne, die regelmäßig geprüft werden. Zusätzlich gibt es vor Ort Notstromgeneratoren.

Maßnahmen des Unterauftragsverarbeiters Redis EMEA Ltd (Redis Cloud)

Es wird der Dienst Redis Cloud zum Caching und für Hintergrundarbeiten verwendet. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Hochverfügbarkeitslösungen und redundante Systeme sind implementiert, um Datenzugriffe durchgehend sicherzustellen. Die Systeme sind so konzipiert, dass sie auch unter hoher Last zuverlässig funktionieren und keine Ausfallzeiten entstehen. Regelmäßige Sicherungen und ein umfassender Notfallplan gewährleisten, dass Daten im Notfall schnell wiederhergestellt werden können.

Maßnahmen des Unterauftragsverarbeiters Honeybadger Industries LLC (Honeybadger)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Honeybadger eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Die Implementierung von Backup-, Aufbewahrungs- und sicheren Zerstörungspolitiken, sowie einer unterbrechungsfreien Stromversorgung und Disaster-Recovery-Programmen sichert die Daten gegen zufällige Zerstörung oder Verlust. Sicheres Offsite-Speichern von Daten ermöglicht eine effektive Disaster-Recovery, um die Wiederherstellung im Falle eines Systemausfalls zu gewährleisten.

Maßnahmen des Unterauftragsverarbeiters SolarWinds Worldwide, LLC (Papertrail)

Es wird die cloud-basierte Monitoring- und Wartungsanwendung Papertrail eingesetzt. Dieser Dienstleister ergreift insoweit folgende Maßnahmen: Geografisch verteilte Datenzentren gewährleisten hohe Verfügbarkeit und Redundanz. Daten werden auf mehrere Systeme innerhalb des Datenzentrums repliziert. Daten werden gemäß Backup-Standards und -Leitlinien gesichert. Periodische Tests gewährleisten die sichere Wiederherstellung von gesicherten Daten. Infrastrukturserver sind hinter hochverfügbaren Firewalls, die Zugangsverkehr überwachen und steuern. Firewalls sind für eine geeignete Netzwerksegmentierung und Sicherheit eingerichtet. Ein Disaster-Recovery-Programm minimiert das Risiko eines einzelnen Ausfallpunkts. Schnellere Failover durch schnelle Verbindungen zwischen Datenzentren.

ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER: