WP E-Signature by Approve Me - Sign Documents Using WordPress -

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Vertragsparteien

Diese Vereinbarung wird zwischen

als Auftraggeber (nachfolgend „AG“)

und der Endereco UG (haftungsbeschränkt) als Auftragnehmer mit Sitz in 97236 Randersacker, Balthasar-Neumann-Str. 4B (nachfolgend „AN“) geschlossen.

§ 1 Allgemeines

(1) Der AN verarbeitet personenbezogene Daten im Auftrag des AG i.S.d. Art. 4 Abs. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.

(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i. S. d. Art. 4 Abs. 2 DSGVO zugrunde gelegt.

§ 2 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

(1) Gegenstand des Auftrags, Art und Zweck der Verarbeitung und die verarbeitenden Datenkategorien sowie die Kategorien der betroffenen Personen ergeben sich aus dem dazugehörigen mit dem AG geschlossenen Hauptvertrag über entsprechende Nutzungsrechte an den Endereco Services (im Folgenden „Leistungsvereinbarung“) und werden in Anlage 1 zu diesem Vertrag festgelegt.

Sofern der AG zu einem späteren Zeitpunkt weitere Nutzungsrechte oder sonstige zusätzliche Leistungen beauftragt, so gilt diese Vereinbarung entsprechen auch für diese Leistungen.

(2) Die Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO tritt zeitgleich mit dem unter §2 (1) des Auftragsverarbeitungsvertrags näher bezeichneten Vertrag in Kraft und erlischt, wenn dieser näher bezeichnete Vertrag selbst erlischt.

(3) Die Vereinbarung wird zur regelmäßigen Ausführung erteilt.

§ 3 Ort der Verarbeitung

(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, personenbezogene Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

§ 4 Anwendungsbereich und Verantwortlichkeit

(1) Der AN verarbeitet personenbezogene Daten im Auftrag des AG. Der AG ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den AN sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom AG danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom AN bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt und vom AN dokumentiert. Mündliche Weisungen sind vom AG unverzüglich schriftlich oder in Textform zu bestätigen und vom AN zu dokumentieren.
Ansprechperson für Weisungen des AGs beim AN ist:
Name: Olena Schmitt
Funktion: interne Datenschutzbeauftragte
Rufnummer: +49 931 663 98 39 2
e-Mailadresse: datenschutz@endereco.de

§ 5 Pflichten des AN als Auftragsverarbeiter

(1) Der AN darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des AG verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 litt. a) DSGVO vor. Der AN informiert den AG unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der AN darf die Umsetzung der Weisung solange aussetzen, bis sie vom AG bestätigt oder abgeändert wurde.

(2) Der AN verpflichtet in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des AG treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der AN hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem AG sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Einzelheiten zu den vom AN nach Art 32 DSGVO getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sind in Anlage 3 aufgeführt.

(3) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem AN ohne gesonderte Ankündigung dann vorbehalten, wenn das vertraglich vereinbarte Schutzniveau dadurch nicht unterschritten wird und sie nicht der DSGVO widersprechen. Im Standardfall handelt es sich dabei um Verbesserungen der Datensicherheit durch Maßnahmen im Sinne von Informationssicherheit, Datenschutz und Qualitätsmanagement.

(4) Der AN gewährleistet, dass es den mit der Verarbeitung der Daten des AG befassten Mitarbeiter und andere für den AN tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der AN, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(5) Der AN unterstützt, soweit vereinbart, den AG im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

(6) Der AN unterrichtet den AG unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des AG bekannt werden oder ihm Umstände bekannt werden, die eine Verletzung nahelegen. Der AN trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem AG ab.

(7) Der AN gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

(8) Der AN berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der AG dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der AN die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den AG oder gibt diese Datenträger an den AG zurück, sofern nicht im Vertrag bereits vereinbart.

(9) Daten, Datenträger sowie sämtliche sonstigen Materialien werden vom AN nach Vertragende auf Verlangen des AG analog § 5 Abs. 8 entweder herausgegeben oder gelöscht. Im Falle von Test- und Ausschussmaterialien ist eine Einzelweisung für die Löschung nicht erforderlich. Entstehen zusätzliche Kosten durch vom AG davon abweichende, marktunübliche und nicht aus geltendem Datenschutzrecht oder aus den Verträgen resultierende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der AG.

(10) Im Falle einer Inanspruchnahme des AG durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der AN den AG bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

§ 6 Pflichten des AG als Verantwortlicher

(1) Der AG als Verantwortlicher stellt sicher, dass die Verarbeitung gemäß den Grundsätzen nach Kapitel II DSGVO erfolgt und die vom AN als Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen (Anlage 3) und jene in den Verträgen gegebenenfalls darüberhinausgehend festgelegten Maßnahmen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen ein angemessenes Schutzniveau bieten.

(2) Der AG hat den AN unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlichen Bestimmungen feststellt.

(3) Der AG als Verantwortlicher ist nach Art. 33 - 34 DSGVO verpflichtet alle Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu melden und davon betroffenen Personen zu benachrichtigen

(4) Im Falle einer Inanspruchnahme des AN durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt § 5 Abs. 10 entsprechend.

(5) Der AG nennt dem AN den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

§ 7 Datenschutzbeauftragter des Auftragnehmers

(1) Der AN bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der AN trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderlichen Qualifikation und das erforderliche Fachwissen verfügt. Die aktuellen Kontaktdaten sind auf der Webseite des AN leicht zugänglich hinterlegt.

Der AN kann dem AG den Namen und die Kontaktdaten seines Datenschutzbeauftragten nach Anfrage gesondert in Textform mitteilen.

§ 8 Anfragen betroffener Personen

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den AN, wird der AN die betroffene Person an den AG verweisen, sofern eine Zuordnung an den AG nach Angaben der betroffenen Person möglich ist. Der AN leitet den Antrag der betroffenen Person unverzüglich an den AG weiter. Der AN unterstützt den AG im Rahmen seiner Möglichkeiten auf Weisung so weit vereinbart.

(2) Der AN haftet nicht, wenn das Ersuchen der betroffenen Person vom AG nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

§ 9 Kontrollrechte des Auftraggebers

(1) Der AG hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des AG durch den AN jederzeit im erforderlichen Umfang zu kontrollieren.

(2) Der AN ist dem AG gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.

Der AN stellt dem AG auf Anfrage sämtliche Informationen, die zum Nachweis der Einhaltung der in dieser Vereinbarung geholfenen Verpflichtungen erforderlich sind, zur Verfügung.

(3) Der AG kann eine Einsichtnahme in die vom AN für den AG verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.

(4) Der AG kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des AN zu den jeweils üblichen Geschäftszeiten vornehmen. Der AG wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des AN durch die Kontrollen nicht unverhältnismäßig zu stören.

Der AG stimmt der Benennung eines unabhängigen externen Prüfers durch den AN zu, sofern der AN eine Kopie des Auditberichts zur Verfügung stellt.

Für die Unterstützung bei der Durchführung einer Inspektion darf der AN eine Vergütung verlangen, wenn dies im Vertrag vereinbart ist. Der Aufwand einer Inspektion ist für den AN grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

(5) Der AN ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem AG i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den AG zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der AG ist über entsprechende geplante Maßnahmen vom AN zu informieren.

(6) Vorbehaltlich abweichender Regelungen kann der AN eine zusätzliche Vergütung für Mehraufwendungen verlangen, die ihm durch die Kontrollmaßnahmen des AG entstehen. Diese werden nach den tatsächlich anfallenden Kosten und Stundensätzen berechnet.

§ 10 Subunternehmen

(1) Der AG erteilt hiermit seine Zustimmung zur Verarbeitung der Daten durch die Tochtergesellschaft mobilemojo – Apps & eCommerce UG (haftungsbeschränkt) & Co. KG, als Unterauftragsverarbeiterin, soweit dies für die Leistungserbringung gemäß des zu Grunde liegenden Hauptvertrages erforderlich ist.

(2) Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmenverhältnisse des AN sind diesem Vertrag in Anlage 2 beigefügt. Für die in Anlage 2 aufgezählten Subunternehmen gilt die Zustimmung mit Abschluss dieses Vertrages als erteilt.

Der AN hat mit diesen Dritten im erforderlichen Umfang Vereinbarungen getroffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.

Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der AN den AG in Textform.

Der AG kann der Änderung – innerhalb einer angemessenen Frist von 14 Tagen – aus wichtigem Grund – gegenüber der vom AN bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als erteilt.

Ansprechperson für den AG beim AN ist:
Name: Olena Schmitt
Funktion: interne Datenschutzbeauftragte
Rufnummer: +49 931 663 98 39 2
e-Mailadresse: datenschutz@endereco.de

(3) Erteilt der AN Aufträge an Subunternehmer, so obliegt es dem AN seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Insbesondere obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag nach Maßgabe des Art. 28 Abs. 4 S. 1 DSGVO auf den weiteren Auftragsverarbeiter zu übertragen.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtlichen Zulässigkeit durch entsprechende Maßnahmen sicher.

§ 11 Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des AG beim AN durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim AG als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.

(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des AN – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

(4) Es gilt deutsches Recht.

§ 12 Haftung und Schadensersatz

(1) Der AG und der AN haften gegenüber betroffenen Personen datenschutzrechtlich entsprechend der in Art 82 DSGVO getroffenen Regelung. Jegliche nicht datenschutzrechtlichen bzw. darüberhinausgehenden oder individuellen Haftungs- und Schadenersatzregelungen sind ausschließlich in den Angeboten und Verträgen zwischen dem AG und dem AN zu vereinbaren.

§ 13 Vertraulichkeit und Verschwiegenheit

(1) Beide Parteien verpflichten sich zur grundsätzlichen Vertraulichkeit und zur Verschwiegenheit bezüglich der Inhalte dieser Vereinbarung. Davon ausgenommen sind gesetzliche Offenlegungspflichten gegenüber Behörden, in Gerichts- oder Strafverfahren sowie vertragliche Verpflichtungen gegenüber Personen und Auditoren sowohl des AG als auch des AN, die sich zur Vertraulichkeit gegenüber dem AG bzw. dem AN verpflichten oder einer Verschwiegenheitsverpflichtung unterliegen, und letztlich auch weitere Auftragsverarbeiter und verbundene Unternehmen, für die die gegenständlichen Festlegungen einen integralen Bestandteil im Rahmen ihrer Tätigkeitserfüllung darstellen.

Anlage 1 – Gegenstand des Auftrags

1. Gegenstand der Verarbeitung

Der Auftrag des AG an den AN umfasst:
(1) Abgleich, Anpassung, Übermittlung und Speicherung der Kundenstammdaten direkt bei der Eingabe (Adresse, E-Mail, Anrede, Telefon usw.)
(2) Datenprüfung, Korrektur und Auswertung von bestehenden Daten

2. Arten der Verarbeitung

Im Rahmen des oben beschrieben Gegenstands der Datenverarbeitung nimmt der AN folgende Verarbeitungen für den AG vor:
(1) Erfassung und Übermittlung der von Kunden und Mitarbeitern eingegebenen Daten an Endereco Server
(2) Abgleich der von Kunden und Mitarbeitern eingegebenen Daten mit den Daten aus Adressdatenbanken (gehostet intern bei Endereco und/oder extern bei unseren Subunternehmen)
(3) Zwischenspeicherung der von Kunden und Mitarbeitern eingegebenen Daten auf den Endereco Servern
(4) Korrektur und Anreicherung der von Kunden und Mitarbeitern eingegebenen Daten
(5) Rückübermittlung korrigierter Daten an den AG
(6) Löschung aller übermittelter personenbezogener Daten unmittelbar nach ggf. korrigierter Rückübermittlung an den AG
(7) Ggf. Speicherung der von Kunden und Mitarbeitern eingegebenen Daten für bis zu 30 Tagen
(8) Speicherung von Meta-Informationen bei jeder Anfrage (Zeitpunkt, Referrer)

3. Zweck der Verarbeitung

(1) Die Verarbeitung dient dem Zweck der Betrugsprävention sowie der Wahrung einer zutreffenden Datengrundlage beim AG.
(2) Die Verarbeitung aus Punkt 2.7 dient dem Zweck der Fehleranalyse sowie der Qualitätssicherung der Endereco Services.
(3) Die Verarbeitung aus Punkt 2.8 dient dem Zweck der Betrugsprävention sowie der Nutzungsabrechnung der Endereco Services.

4. Art(en) der personenbezogenen Daten

Im Rahmen der vertraglichen Leistungserbringung werden folgende Datenarten verarbeitet:
(1) Personenstammdaten (z.B. Postalische Adressen, Anrede)
(2) Kommunikationsdaten (z.B. Telefon, E-Mail)
(3) Vertragsstammdaten
(4) Technische Daten (Referrer zum System des AGs, Zeitpunkt der Anfrage)

5. Kategorien betroffener Person

(1) Kunden des AGs
(2) Mitarbeiter des AGs

Anlage 2 – Unterauftragnehmer

Der AN nimmt für die Verarbeitung von Daten im Auftrag des AG Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). Dabei handelt es sich um nachfolgende(s) Unternehmen:

Firma/Unterauftragnehmer	Anschrift/Land	Auftragsinhalt
netcup GmbH	Daimlerstraße 25, 76185 Karlsruhe, Deutschland	Hosting von Datenbanken für Prüfungen und Reporting von Kundendaten
mobilemojo – Apps & eCommerce UG & CO.KG	Balthasar-Neumann-Str. 4B 97236 Randersacker Deutschland	Tochtergesellschaft - Entwicklung und Betrieb der Endereco Software
Cabalon	Eversstraße 13 19370 Parchim Deutschland	Redundantes Hosting der Adressprüfungslösung für nationale Adress-Services, sowie E-Mail Adressen
sms77 e.K.	Willestr. 4-6 24103 Kiel Deutschland	Prüfung von Telefonnummern auf Gültigkeit und Erreichbarkeit. Formatierung von Rufnummern
Post CH Netz AG	Wankdorfallee 4 3030 Bern Schweiz	Prüfung von Postadressen der Schweiz
Egon srl	Via Monte di Pietà 19 20121 MILANO MI Italia	Hosting und API für die Lösung für internationale Adressprüfung Services
Cobisi Research™	Via della Costituzione, 31 35010, Vigonza (PD) Italy	Prüfung von E-Mail Adressen
Melissa Data GmbH	Cäcilienstr. 42-44 50667 Köln Deutschland	Hosting und API für die Lösung für internationale Adressprüfung Services
Linkomat GmbH	Goldschlagstraße 110/30, 1150 Wien, Österreich	Prüfung von Umsatzsteuer-IDs und Firmendaten
Optimaize GmbH	Im Oberdorf 16, CH-8602 Wangen bei Zürich, Switzerland	Namen API

Anlage 3 – Organisatorische und technische Maßnahmen

Wir als Organisation, die selbst oder im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Endereco UG erfüllt diesen Anspruch durch folgende Maßnahmen:

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO

1.1 Zutrittskontrolle
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:

Technische Maßnahmen:
• manuelles Schließsystem
• Sicherheitsschlösser

Organisatorische Maßnahmen:
• Schlüsselregelung (Schlüsselübergabe etc.)
• Besucher in Begleitung durch Mitarbeiter
• Sorgfältige Auswahl von Reinigungspersonal
• Sonstige: Die Verträge mit unseren Sub-Unternehmen aus den Bereichen Hosting, regeln in den beiliegenden TOMs die Zutrittskontrollen zu den Servern als auch Büroräumen.

1.2 Zugangskontrolle
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:

Technische Maßnahmen:
• Login mit Benutzername + Passwort
• Automatische Desktopsperre
• keine Übertragung der Daten über unverschlüsselte Verbindungen
• Verschlüsselung der Datensicherungssysteme
• Einsatz von Intrusion-Detection-Systemen (Cloudflare)
• Einsatz von Anti-Viren-Software
• Verschlüsselung von Datenträgern in Laptops/ Notebooks
• Einsatz einer Software-Firewall

Organisatorische Maßnahmen:
• Verwalten von Benutzerberechtigungen
• Zentrale Passwortvergabe
• Richtlinie „Sicheres Passwort“
• Richtlinie „Löschen / Vernichten“
• Richtlinie „Clean desk“
• Anleitung „Manuelle Desktopsperre“
• Mobile Device Policy

1.3 Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Technische Maßnahmen:
• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
• Einsatz von Aktenvernichtern (Stufe P5)
• Sichere Aufbewahrung von Datenträgern
• Verschlüsselung von Datenträgern

Organisatorische Maßnahmen:
• Berechtigungskonzept
• Verwaltung der Rechte durch Systemadministrator
• regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. Bei Ausscheiden von Mitarbeitern o.Ä.)
• Richtlinie „Sicheres Passwort“

1.4 Trennungskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Technische Maßnahmen:
• Es erfolgt eine softwareseitige Trennung der Daten der einzelnen Kunden
• Entwicklung-, Test- und Produktivdaten sind strikt getrennt
• Entwicklung-, Test- und Produktivsystemen sind strikt getrennt
• Endereco nutzt unterschiedliche Domains und SSL Zertifikate für Test- und Produktivsysteme

Organisatorische Maßnahmen:
• Steuerung über Berechtigungskonzept
• Festlegung von Datenbankrechten

1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO, Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten wird in einer Weise durchgeführt, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen:

Technische Maßnahmen:
• Trennung/Löschung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten System
• kein Zugriff auf Daten durch den Shopbetreiber oder Lizenznehmer

Organisatorische Maßnahmen:
• Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle
Mithilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Technische Maßnahmen:
• Technisches Protokollieren der Eingabe, Änderung und Löschung der Daten
• Manuelle oder automatisierte Kontrolle der Protokolle

Organisatorische Maßnahmen:
• Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
• Klare Zuständigkeiten für Löschungen

2.2 Weitergabekontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und/oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:

Technische Maßnahmen:
• Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des E-Mail-Verkehrs)
• Verschlüsselung physischer Datenträger bei Transport
• Sichere Transportbehälter
• Bereitstellung über verschlüsselte Verbindungen wie sftp, https

Organisatorische Maßnahmen:
• Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
• Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Technische Maßnahmen:
• Testen von Datenwiederherstellung
• Regelmäßige Backups von Datenbanken
• Die technischen Maßnahmen für die Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme vonseiten der Hardware, werden durch die TOMs unserer Sub-Unternehmer aus den Bereichen Hosting, sichergestellt.

◦ Feuer- und Rauchmeldeanlagen
◦ Feuerlöscher Serverraum
◦ Serverraumüberwachung Temperatur und Feuchtigkeit
◦ Serverraum klimatisiert
◦ USV
◦ RAID System / Festplattenspiegelung

Organisatorische Maßnahmen:
• Erstellen eines Backup- & Recoverykonzepts
• Erstellen eines Notfallplans für interne Maßnahmen
• Die organisatorischen Maßnahmen für die Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme vonseiten der Hardware, werden durch die TOMs unserer Sub-Unternehmer aus den Bereichen Hosting, sichergestellt.

◦ Keine sanitären Anschlüsse im oder oberhalb des Serverraums
◦ Backup & Recovery-Konzept (ausformuliert)
◦ Kontrolle des Sicherungsvorgangs
◦ Existenz eines Notfallplans (z.B. BSI IT Grundschutz 100-4)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1 Datenschutz-Management

Technische Maßnahmen:
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (Wiki, Intranet …)
• Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

Organisatorische Maßnahmen:
• Interner Datenschutzbeauftragter
• Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
• Regelmäßiges Sensibilisieren der Mitarbeiter, mindestens jährlich
• Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
• Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
• Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

4.2 Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen:
• Einsatz von Firewall und regelmäßige Aktualisierung
• Einsatz von Spamfilter und regelmäßige Aktualisierung
• Einsatz von Virenscanner und regelmäßige Aktualisierung
• Intrusion Detection System (IDS)

Organisatorische Maßnahmen:
• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
• Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
• Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
• Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Privacy by design / Privacy by default

Technische Maßnahmen:
• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
• Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen

Organisatorische Maßnahmen:

4.4 Auftragskontrolle (Outsourcing an Dritte)

Technische Maßnahmen:

Organisatorische Maßnahmen:
• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln
• Schriftliche Weisungen an den Auftragnehmer
• Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
• Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
• Regelung zum Einsatz weiterer Sub-Unternehmer
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Stand: 02.05.2023

Leave this empty:

Your legal name

Your email address

Please Confirm full name and signature.

Draw Signature
Type In Signature

Draw your signature with your mouse, tablet or smartphone Clear

I agree that I am and I agree this is a legal representation of my signature for all purposes just the same as a pen-and-paper signature

I agree that I am and I understand this is a legal representation of my signature

Adopt & Sign

Timestamp

Audit

26. October 2021 15:38 CEST

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO Uploaded by Lena Schmitt - lena@endereco.de IP 87.191.228.164

8. November 2021 11:23 CEST

Document owner robert@endereco.de has handed over this document to lena@endereco.de 2021-11-08 11:23:27 - 87.191.228.164

16. November 2023 12:16 CEST

Carolin Schönweiß - carolin@endereco.de added by Lena Schmitt - lena@endereco.de as a CC'd Recipient Ip: 87.184.57.174

17. November 2023 9:19 CEST

Carolin Schönweiß - carolin@endereco.de added by Lena Schmitt - lena@endereco.de as a CC'd Recipient Ip: 87.191.228.164