Allgemeine Geschäftsbedingungen (A) inkl. der Bedingungen zur Auftragsverarbeitung (B)

Stand: 10.06.2021, Version 2.0

Inhalt

(A) Allgemeine Geschäftsbedingungen der WABSOLUTE GmbH

1. Allgemeines

1.1. Folgende Allgemeine Geschäftsbedingungen (AGB) sind Bestandteil aller Verträge (in schriftlicher sowie elektronischer Form) zwischen der WABSOLUTE GmbH, Technologiepark 14, 33100 Paderborn (nachfolgend WABSOLUTE genannt) und dem Auftraggeber. Abweichende AGB der nationalen und internationalen Vertragspartner werden nicht Vertragsbestandteil.

1.2. Nebenabreden und sonstige Abweichungen von unseren Verträgen, Lizenzbedingungen bzw. von diesen AGB bedürfen der Schriftform. Mündliche Aussagen müssen schriftlich bestätigt werden.

1.3. Im Einzelfall zwischen den Vertragsparteien getroffene Vereinbarungen (auch Nebenabreden, Ergänzungen und Änderungen) haben in jedem Fall Vorrang vor diesen Geschäftsbedingungen.

1.4. Diese allgemeinen Geschäftsbedingungen gelten auch für alle zukünftigen Geschäfte mit dem Auftraggeber, soweit es sich um Rechtsgeschäfte verwandter Art handelt.

1.5. Wir bieten keine Dienstleistungen für Verbraucher an. Das Angebot von WABSOLUTE richtet sich ausschließlich an Kunden, die Unternehmer im Sinne des § 14 BGB, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen sind.

1.6. „Auftraggeber“ meint im Zusammenhang mit der Vereinbarung zur Auftragsverarbeitung den Kunden von WABSOLUTE

1.7. „Auftragnehmer“ ist im Zusammenhang mit der Vereinbarung zur Auftragsverarbeitung WABSOLUTE.

2. Leistungen/ Mitarbeiterschutz

2.1. WABSOLUTE stellt diverse Dienstleistungen zur Verfügung; wie z.B. Webdesign, Konzeption, Beratung, Softwareentwicklung, Webentwicklung sowie Support- und Schulungsleistungen. Die jeweils gültige Leistungsbeschreibung, die den Umfang der Tätigkeit beschreibt wird zwischen den Parteien separat vereinbart. Der genaue Umfang der Leistung ist dort abschließend geregelt. Dort nicht vereinbarte Leistungen sind nicht Vertragsgegenstand und werden separat nach den jeweils gültigen Stundensätzen vereinbart.

2.2. Der Auftraggeber verpflichtet sich, während sowie bis ein Jahr nach Beendigung jeglicher Vertragsbeziehungen keine angestellten Mitarbeiter von WABSOLUTE, über die er aufgrund der Zusammenarbeit der Parteien Kenntnis erlangt hat, direkt oder indirekt abzuwerben. Für jeden Fall einer Zuwiderhandlung gegen diese Bestimmung in Satz 1 zahlt der Auftraggeber an WABSOLUTE eine Vertragsstrafe in Höhe von 50.000 €. Der Auftraggeber trägt die Beweislast, dass eine Zuwiderhandlung gemäß Satz 1 nicht erfolgt ist.

3. Zahlungsbedingungen

3.1. Alle Preise gelten zzgl. gesetzlicher Umsatzsteuer.

3.2. Die Vergütung ist jeweils zum Abschluss einer Projektstufe entsprechend dem für den Vertrag vereinbarten Zeitplan fällig.

3.3. Ist keine projektstufenbezogene Abrechnung definiert, wird eine monatliche Abrechnung nach Projektfortschritt vereinbart. Die Rechnungsstellung erfolgt in dem Fall jeweils zum Beginn des Folgemonats und wird 10 Tage nach Rechnungsstellung fällig.

3.4. Soweit nicht anders vereinbart, sind alle Vergütungen sofort, spätestens aber nach 10 Tagen nach Rechnungsstellung fällig. WABSOLUTE ist berechtigt Teilleistungen abzurechnen.

4. Nutzungsrechte

4.1. Soweit keine andere bestimmungsgemäße Nutzung vereinbart ist, räumt WABSOLUTE dem Auftraggeber jeweils zum Zeitpunkt der Übergabe bzw. Überlassung eines Werkes das nicht ausschließliche, örtlich unbeschränkte und dauerhafte Recht ein, die Leistungen vertragsgemäß zu nutzen, das heißt insbesondere dauerhaft oder temporär zu speichern und zu laden, sie anzuzeigen und ablaufen zu lassen, auch soweit hierfür Vervielfältigungen notwendig werden.

4.2. Die in der Software etwaig enthaltenen Copyright- Vermerke, Markenzeichen, andere Rechtsvorbehalte, Seriennummern sowie sonstige der Programmidentifikation dienenden Merkmale dürfen nicht verändert oder unkenntlich gemacht werden.

4.3. Stellt WABSOLUTE Open Source Software zur Verfügung gelten insbesondere die folgenden Ziffern:

4.4. Open Source Software meint Software, die jedermann von vornherein benutzen, kopieren, verbreiten darf, entweder verändert oder unverändert. Im Besonderen bedeutet das, dass der Quellcode verfügbar sein muss.

4.5. Soweit u.a. Open Source Software Gegenstand einer Lieferung/Leistung ist, überträgt WABSOLUTE dem Auftraggeber keinerlei Nutzungsrechte an derselben. Es gelten insoweit die Lizenzbestimmungen der jeweiligen Open Source Software, die WABSOLUTE im Falle der Zurverfügungstellung mitliefert.

4.6. Die Anfertigung einer Sicherungskopie und die Vervielfältigung im Rahmen der üblichen Datensicherungen in angemessener Anzahl durch den Auftraggeber sind erlaubt.

4.7. Die Dekompilierung im Rahmen des § 69e UrhG bleibt ebenfalls gestattet. Die Rechte des Auftraggebers aus §§ 69 d Abs. 2 und 3 UrhG bleiben ebenfalls unberührt.

4.8. An Entwürfen, Modellen, Skizzen u. ä. Arbeiten von WABSOLUTE, die der Erarbeitung des endgültigen Projekts dienen, werden dem Auftraggeber keine Nutzungsrechte eingeräumt. Wünscht der Auftraggeber eine Nutzung von Konzepten und Ideen aus der Entwurfsphase, bedarf es für die Einräumung von Nutzungsrechten einer gesonderten Vereinbarung.

4.9. WABSOLUTE behält sich das Recht vor, mit dem Produkt in den üblichen Medien zu werben und den Auftraggeber als Referenz zu nennen. Dies kann durch Abbildungen sowie über funktionsfähige Ausschnitte des Produktes geschehen.

4.10. Bis zur vollständigen Bezahlung der der WABSOLUTE zustehenden Vergütung behält sich WABSOLUTE das Recht vor, die nach dieser Klausel eingeräumten Nutzungsrechte des Auftraggebers jederzeit ohne Fristsetzung und ohne vorherige Ankündigung zu widerrufen.

5. Vorgaben des Kunden

5.1. Wünsche und Vorgaben des Auftraggebers die bei der Herstellung des Vertragsgegenstandes berücksichtigt werden sollen und zwischen den Parteien vereinbart worden sind, bedürfen stets mindestens der Textform (z.B. E-Mail).

5.2. Gegebenenfalls wird der Leistungsumfang durch Zusatzaufträge, die zwingend schriftlich oder in Textform (z.B. E-Mail) erteilt werden müssen, erweitert. Ist nichts anderes vereinbart, gilt der jeweils aktuelle Stundensatz der WABSOLUTE als vereinbart.

6. Lieferzeit

6.1. Liefertermine bedürfen der schriftlichen Vereinbarung in einem Zeitplan. Im Übrigen sind die von WABSOLUTE genannten Termine „ca. –Termine“ und nur dann verbindlich, wenn dies mit dem Auftraggeber schriftlich vereinbart wurde

6.2. Der Auftraggeber ist verpflichtet, WABSOLUTE alle notwendigen Informationen und Materialien für die Durchführung des Vertrages zu übermitteln. Eine Verzögerung dieser Übermittlung durch den Auftraggeber oder durch am Projekt beteiligter Drittfirmen zieht auch eine entsprechende Verzögerung des Liefertermins nach sich.

6.3. Für die Dauer der Prüfung von Entwürfen, Demos, Testversionen, Programmen oder Programmteilen etc. durch den Auftraggeber ist die Lieferzeit jeweils unterbrochen. Die Unterbrechung wird vom Tage der Benachrichtigung des Auftraggebers bis zum Tage des Eintreffens seiner Stellungnahme gerechnet.

6.4. Verlangt der Auftraggeber nach Auftragserteilung Änderungen des Auftrags, welche die Anfertigungsdauer beeinflussen, so ist WABSOLUTE berechtigt, die Lieferzeit im eigenen Ermessen und unter Berücksichtigung der Interessen des Auftraggebers entsprechend zu verlängern.

6.5. Bei Lieferungsverzug ist der Auftraggeber in jedem Falle erst nach Stellung einer angemessenen Nachfrist von mindestens zwei Wochen zur Ausübung der ihm gesetzlich zustehenden Rechte berechtigt.

7. Anschließende Betreuung durch WABSOLUTE

7.1. Nach Fertigstellung des Projektes (Abnahme) ist eine weitere Betreuung des Projektes des Auftraggebers durch WABSOLUTE nach Vereinbarung möglich.

7.2. Die weitere vereinbarte Betreuung durch WABSOLUTE ist, soweit nicht anders vereinbart, von dem Auftraggeber nach seinem regelmäßigen Stundensatz zum Zeitpunkt der Beauftragung zu vergüten.

8. Change Request – Änderungen

8.1. Beide Vertragspartner sind berechtigt, unter Angabe wichtiger Gründe den anderen Vertragspartner aufzufordern, über Änderungen oder fachliche Feinspezifikationen zu beraten und zu verhandeln.

8.2. Soweit der Auftraggeber über den vereinbarten Umfang hinausgehende Änderungen wünscht, wird WABSOLUTE, gegen Vergütung auf Zeit- und Materialbasis stundensätzlich tätig. WABSOLUTE wird den dabei entstehenden Aufwand prüfen, sowie ob die gewünschte Änderung durchführbar ist und den Auftraggeber dann darüber informieren, welche Änderungen sich dabei insbesondere hinsichtlich der Kosten und des Zeitplans voraussichtlich ergeben. Soweit möglich und notwendig, wird WABSOLUTE auch prüfen, inwieweit eine solche Änderung Auswirkungen auf bisher realisierte Leistungen und deren Nutzbarkeit hat.

8.3. Wird über ein Änderungsverlangen keine Einigung erzielt, werden die Parteien, soweit sie keine andere Vereinbarung treffen, das Projekt entsprechend in der bisher aktuellen Version realisieren.

8.4. Änderungsverlangen bedürfen der Textform, können auch von WABSOLUTE per E-Mail bestätigt werden.

9. Abnahme / Beanstandungen

9.1. WABSOLUTE zeigt die Abnahmebereitschaft der Projektergebnisse durch Übergabe oder durch formlose Mitteilung an den Auftraggeber an.

9.2. Der Auftraggeber wird die Projektergebnisse daraufhin unverzüglich untersuchen und testen, ob diese im Wesentlichen vertragsgemäß sind. Etwaige Mängel wird der Auftraggeber WABSOLUTE umgehend mitteilen.

9.3. Entsprechen die Projektergebnisse im Wesentlichen den vertraglichen Bestimmungen, ist der Auftraggeber verpflichtet, die Abnahme zu erklären. Diese Erklärung kann in Textform durch einen Freigabevermerk erklärt werden.

9.4. Geht in einer Frist von längstens 4 Wochen nach Anzeige der Abnahmebereitschaft der Projektergebnisse keine detaillierte schriftliche Mängelrüge von nicht unerheblichen Mängeln ein, so gelten die abgelieferten Projektergebnisse als abgenommen bzw. freigegeben.

9.5. Für Mängel, die dem Auftraggeber bei Abnahme bekannt waren, die bei einer ordnungsgemäßen Erstuntersuchung offensichtlich gewesen wären oder die sonst fahrlässig dem Auftraggeber nicht bekannt wurden oder die vom Auftraggeber nicht gemeldet wurden, stehen dem Auftraggeber die Rechte aus der Mängelgewährleistung nicht zu.

10. Sach- und Rechtsmängel

10.1. Soweit keine Dienstleistung Gegenstand des Vertrags ist, gilt das Gewährleistungsrecht des Werkvertrags, mit einer Gewährleistungsfrist von 12 Monaten ab Abnahme.

10.2. Ist nichts anderes vereinbart, ist bei Weblösungen der Quellcode zur Darstellung auf die jeweils bei Vertragserfüllung aktuellste Version der sog. Standardbrowser geeignet. Standardbrowser sind Internet Explorer, Chrome, Firefox und Safari. Der Anwender/Betrachter hat im Browser (Betrachtungssoftware für Internetseiten) individuelle Einstellmöglichkeiten, die die Darstellungsweise der Seiten verändern können. Die verschiedenen Browser interpretieren den Quellcode zum Teil ebenfalls unterschiedlich, was zu unterschiedlichen Darstellungsarten führen kann. Die unterschiedliche Darstellung mit unterschiedlichen Browsern und geringfügigen Abweichungen stellt deswegen keinen Mangel dar, insbesondere nicht abweichende Darstellung oder fehlende Funktionalitäten durch veraltete Browser.

10.3. Nutzungsbeschränkungen oder Fehler, die durch Bedienung, Hardware, Betriebssystem, Systemumgebung des Auftraggebers oder durch einen anderen Dritten verursacht sind, sind keine Mängel. Für den Fall, dass sich bei der Fehlersuche oder Überprüfung zeigt, dass die Betriebsstörung nicht auf einem der WABSOLUTE zurechenbaren Mangel beruht, ist WABSOLUTE berechtigt, den dadurch veranlassten Aufwand nach den regelmäßigen Stundensätzen in Rechnung zu stellen.

10.4. Bei berechtigten Mängelrügen, hat der Auftraggeber ein Recht zur Nacherfüllung. Im Rahmen der Nacherfüllung beseitigt WABSOLUTE den Mangel nach ihrer Wahl entweder durch Nachlieferung oder Nachbesserung. Der Auftraggeber hat WABSOLUTE eine angemessene Frist zur Nacherfüllung zu gewähren. WABSOLUTE trägt im Falle der Mangelbeseitigung die erforderlichen Aufwendungen, soweit sich diese nicht erhöhen, weil der Vertragsgegenstand sich an einem anderen Ort als dem Erfüllungsort befindet.

10.5. Die Mangelbeseitigung durch WABSOLUTE kann auch durch telefonische, schriftliche oder elektronische Handlungsanweisung an den Auftraggeber erfolgen oder durch Überlassung einer Umgehungslösung.

10.6. Die Gewährleistung bezieht sich nicht auf die eingesetzte Open Source Software, da hier auch keine Nutzungsrechte von WABSOLUTE übertragen werden. Eine Haftung von WABSOLUTE für Sach- und/oder Rechtsmängel ist demnach aufgrund der spezifischen Natur von Open Source Software ausgeschlossen.

10.7. Der Auftraggeber gibt WABSOLUTE zum Zweck der Gewährleistungsmaßnahmen jede notwendige Unterstützung, insbesondere durch Fehlermeldungen, Anwendungsdaten, Einblick in die Betriebsunterlagen, Benutzung der EDV-Anlage, Zugang zu den Betriebsräumen usw.

10.8. Ist die Nacherfüllung fehlgeschlagen oder hat WABSOLUTE die Nacherfüllung endgültig und ernsthaft verweigert, kann der Auftraggeber nach seiner Wahl Herabsetzung des Kaufpreises (Minderung) verlangen oder den Rücktritt vom Vertrag erklären.

10.9. Schadensersatzansprüche wegen des Mangels kann der Auftraggeber neben Rücktritt und Minderung geltend machen, wenn WABSOLUTE ein Verschulden trifft. Das Recht des Auftraggebers zur Geltendmachung von weitergehenden Schadensersatzansprüchen zu den nachfolgenden Bedingungen bleibt hiervon unberührt.

10.10. Im Falle der Arglist und im Falle der Übernahme einer Garantie durch WABSOLUTE bleiben die gesetzlichen Gewährleistungsbestimmungen unberührt.

10.11. Die Ansprüche wegen Sach- und Rechtsmängel entfallen, wenn das Programm ohne die schriftliche Zustimmung von WABSOLUTE verändert wurde und der Auftraggeber nicht beweist, dass der Mangel von einer vertragswidrigen Nutzung unabhängig ist und eine entsprechende substantiierte Behauptung, dass dieser Umstand den Mangel herbeigeführt hat, nicht widerlegt.

10.12. Im Übrigen gilt im Falle einer Haftungsbeschränkung § 12 dieser AGB.

11. Haftung / Rechte Dritter

11.1. Für Schäden, die an anderen Rechtsgütern als dem Leben, Körper oder Gesundheit entstehen ist die Haftung ausgeschlossen, soweit die Schäden nicht auf vorsätzlichem oder grob fahrlässigem Verhalten der WABSOLUTE, eines von deren gesetzlichen Vertreter oder eines von deren Erfüllungsgehilfen beruhen und das Verhalten auch keine Verletzung von für den Vertragszweck wesentlichen Nebenpflichten ist. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Dieser Haftungsausschluss gilt nicht, soweit Ansprüche nach dem Produkthaftungsgesetz betroffen sind, ein Mangel arglistig verschwiegen wurde oder eine Beschaffenheitsgarantie übernommen wurde.

11.2. Der Auftraggeber gewährleistet, dass die WABSOLUTE zur Verfügung gestellten Inhalte und Materialien vollumfänglich frei von Rechten Dritter sind und auch aus rechtlicher Sicht für die Nutzung im Projekt zur Verfügung gestellt werden dürfen.

11.3. Für den Fall, dass trotzdem Rechte Dritter (z.B. Marken-, Geschmacksmuster oder Patentrechte) durch die Nutzung der übermittelten Materialien durch WABSOLUTE berührt werden, stellt der Auftraggeber WABSOLUTE von etwaigen Ansprüchen Dritter frei und wird dies auch gegenüber den Dritten auf Anfrage mitteilen. Im laufenden Verfahren wird der Auftraggeber auf Seiten der WABSOLUTE beitreten. Er wird dieser sämtliche notwendiger Kosten, insbesondere auch die notwendigen Kosten der Rechtsverfolgung, im Rahmen der Rechtsverletzung erstatten.

11.4. Der Auftraggeber ist verpflichtet, angemessene Vorkehrungen für den Fall zu treffen, dass ein Programm ganz oder teilweise nicht ordnungsgemäß arbeitet, und zwar durch ein Ausweichverfahren, Datensicherung, Störungsdiagnose usw. Der Auftraggeber ist verpflichtet etwaigen Datenverlust vorzubeugen und regelmäßige und ordnungsgemäße Datensicherung vorzunehmen. WABSOLUTE haftet lediglich in Höhe der regelmäßigen Kosten, die durch die Wiederherstellung bei ordnungsgemäßer Datensicherung entstehen würden, es sei denn WABSOLUTE ist mit der (regelmäßigen) Datensicherung beauftragt worden.

12. Datensicherheit

12.1. WABSOLUTE verwendet die vom Auftraggeber zum Zwecke des Vertrages angegeben persönlichen Daten (wie z.B. Name, Anschrift, Zahlungsdaten) ausschließlich zur Erfüllung und Abwicklung des Vertrages. Die Daten werden außer zum Zwecke der Vertragsdurchführung nicht an Dritte weitergegeben. Mit der vollständigen Abwicklung des Vertrages, wozu auch die vollständige Zahlung der vereinbarten Vergütung gehört, werden die Kundendaten, soweit eine Aufbewahrung nicht aus gesetzlichen Gründen notwendig ist, gelöscht, sofern der Auftraggeber einer weiteren Verarbeitung und Nutzung der Daten nicht ausdrücklich eingewilligt hat. Der Auftraggeber kann jederzeit unentgeltlich die gespeicherten Daten bei WABSOLUTE abfragen, ändern oder löschen lassen. Etwaige Einwilligungen können jederzeit widerrufen werden.

13. Schlussbestimmungen

13.1. Dieser Vertrag und die gesamten Rechtsbeziehungen der Parteien unterliegen dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

13.2. Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag Paderborn. Dasselbe gilt, wenn der Kunde keinen allgemeinen Gerichtsstand in Deutschland hat oder Wohnsitz oder gewöhnlicher Aufenthalt im Zeitpunkt der Klageerhebung nicht bekannt sind. Erfüllungsort ist Sitz von WABSOLUTE.

13.3. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt.

7. Verpflichtungen der WABSOLUTE nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

7.1. Nach Abschluss der vertraglichen Arbeiten hat WABSOLUTE sämtliche in ihren Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auf Anfrage auszuhändigen bzw. zu löschen.

Anlage 1

(Version 1.0)

Technische und organisatorische Maßnahmen nach der DSGVO für den Entwicklungsstandort Paderborn

Für den Entwicklungsstandort Paderborn sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden. Die Beurteilung des angemessenen Schutzniveaus obliegt dem Auftraggeber.

1. Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

✔ Wenn ein unmittelbarer Personenbezug während der Verarbeitung theoretisch möglich wäre, so wird dies präventiv mit Pseudonymen ersetzt (soweit die Notwendigkeit des unmittelbaren Personenbezugs nicht Bestandteil der Beauftragung ist).

✔ Geschieht die Auftragsverarbeitung außerhalb des verarbeiteten Primärsystems (anhand einer Kopie) so werden personenbezogene Daten, wenn diese für die Verarbeitung nicht erforderlich sind, mit Pseudonymen ersetzt, um eine Zuordnung zu verhindern.

2. Verschlüsselung

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

✔ Verschlüsselung der Datenträger auf denen die personenbezogenen Daten gespeichert werden (Laptops, USB Sticks, Systeme/Server)

✔ Verschlüsseltes WLAN

✔ Verwendung von gesicherten Verbindungen (z.B. VPN, SSH)

✔ Protokollierung der Übertragungsvorgänge

✔ Home-Office: Mitarbeiter des Auftragnehmers können vom Home-Office aus über gesicherte Verbindungen zugreifen.

    • Alle Mitarbeiter des Auftragnehmers werden auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen verpflichtet.
    • Alle Mitarbeiter des Auftragnehmers, Home-Office verfügen über dedizierte Hardware, die mit einem zum aktuellen Zeitpunkt als sicher geltenden Verschlüsselungsverfahren verschlüsselt ist.

3. Gewährleistung der Vertraulichkeit

3.1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

✔ Zutrittskontrollsystem

✔ Türsicherungen (elektrische Türöffner, Transponder-Schließsystem)

✔ Schlüsselverwaltung/ Protokollierung der Schlüsselvergabe

✔ Alarmanlage

✔ Bewegungsmelder

✔ Schutzvorkehrungen des Serverraums

✔ Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern

3.2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

✔ Persönlicher und individueller User-Log-In bei Anmeldung am Server bzw. Unternehmensnetzwerk

✔ Autorisierungsprozess für Zugangsberechtigungen

✔ Begrenzung der befugten Benutzer

✔ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

✔ Protokollierung des Zugangs

✔ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

✔ Firewall

3.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

✔ Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation

✔ Auswertung von Protokollierungen

✔ Archivierungskonzept

✔ Protokollierung von Zugriffen und Missbrauchsversuchen

✔ Stets aktueller Virenschutz

✔ Firewall (Hard- und Software)

✔ Nicht-reversible Vernichtung von Datenträgern

3.4. Weitergabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“.

Alle Mitarbeiter der WABSOLUTE GmbH und deren Unterauftragnehmer (siehe Anlage 2) werden zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet. Soweit erforderlich werden die Daten gegen Zugriffe auf Netz- werkebene geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenaustausch gesichert.

3.5. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

✔ Berechtigungskonzepte

✔ Softwareseitige Kundentrennung

✔ Trennung von Test- und Produktivsystemen

✔ Einsatz von zweckspezifischen Pseudonymen, Anonymisierungsdiensten, anonymen Credentials, Verarbeitung pseudonymer bzw. anonymisierter Daten

4. Gewährleistung der Integrität

4.1. Eingabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“ und „Weitergabekontrolle“.

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden.

Beschreibung der Datenintegrität:

✔ Einspielen neuer Releases und Patches mit Release-/Patchmanagement

✔ Funktionstests bei Installation und Releases/Patches durch IT-Abteilung

✔ Logging

✔ Datensignierung

4.2. Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Beschreibung der Übertragungskontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselter Datentransfer mit limitiertem Zugriff

4.3. Transportkontrolle

Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Beschreibung der Transportkontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselungsverfahren, die Datenveränderungen während des Transports aufdecken

4.4. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung der Eingabekontrolle:

✔ Systemseitige Protokollierung

✔ Nutzerspezifische Zugänge

✔ Dokumentation

4.5. Passwort-Management

Es wird ein zentrales Passwort Management betrieben, welches einen selektiven Zugang nach differenzierten Berechtigungen zu gemeinsamen Diensten bietet.

5. Gewährleistung der Verfügbarkeit

5.1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

✔ Back-Up Verfahren

✔ Geeignete Archivierungsräumlichkeiten für Papierdokumente

✔ Klimatisierter Serverraum

✔ Gesicherter Serverzugang

✔ Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage z. B. DDOS, höhere Gewalt durch z.B. Virenschutz / Firewall, Einspielen von Sicherheitsupdates, Alarmanlage)

✔ Ausreichende Kapazität von IT-Systeme und Anlagen

✔ Vertretungsregelungen für abwesende Mitarbeiter

5.2. Rasche Wiederherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:

✔ Datensicherungsverfahren

5.3. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Beschreibung der Maßnahmen zur Zuverlässigkeit:

✔ Notfallpläne mit Verantwortlichkeiten

✔ automatisches Monitoring mit E-Mail-Benachrichtigung (sofern vom Auftraggeber beauftragt)

✔ regelmäßige Tests der Datenwiederherstellung (sofern vom Auftraggeber beauftragt)

6. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

6.1. Überprüfungsverfahren

Die technischen und organisatorischen Maßnahmen werden mindestens einmal jährlich oder anlassbezogen gemäß dem IT-Sicherheitskonzepts und des Datenschutzkonzepts überprüft.

Beschreibung der Überprüfungsverfahren:

✔ Datenschutzmanagement

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen

6.2. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

✔ Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten.

✔ Formalisiertes Auftragsmanagement

✔ Schriftliche Festlegung der Weisungen

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen

(B) Ergänzende Bedingungen zur Auftragsverarbeitung

1. Allgemeines

1.1. Die nachfolgenden Ziffern zur Auftragsverarbeitung dienen als Grundlage zur Erfüllung der datenschutzrechtlichen Vorschriften nach EU-Datenschutzgrundverordnung (nachfolgend DS-GVO) und des Bundesdatenschutzgesetzes in der seit dem 25.05.2018 gültigen Fassung (nachfolgend BDSG), wenn und soweit WABSOLUTE als „Auftragsverarbeiter“ tätig wird.

2. Gegenstand, Art, Zweck und Dauer der Verarbeitung

2.1. Der Gegenstand und die Dauer des Auftrages ergeben sich aus dem geschlossenen Hauptvertrag bzw. dem Angebot (soweit angenommen) von WABSOLUTE.

2.2. WABSOLUTE verarbeitet im Rahmen des Auftrages personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO nur auf der Grundlage dieser Bedingungen.

2.3. Die vertraglich vereinbarte Leistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

2.4. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß von WABSOLUTE gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, WABSOLUTE eine Weisung des Auftraggebers nicht ausführen kann oder will oder WABSOLUTE Kontrollrechte des Auftraggebers vertragswidrig verweigert.

2.5. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schwerwiegenden Verstoß dar.

2.6. Die Art und der Zweck der Vereinbarung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergibt sich aus der nachfolgenden Auflistung und dem geschlossenen Hauptvertrag oder aus dem Angebot.

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO):

  • Bestandsdaten (z.B., Namen, Adressen).
  • Kontaktdaten (z.B., E-Mail, Telefonnummern).
  • Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
  • Vertragsdaten (z.B., Vertragsgegenstand, Laufzeit).
  • Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie).
  • Nutzungsdaten (z.B., Interessen, besuchte Webseiten, Kaufverhalten, Zugriffszeiten, Protokolldaten).
  • Meta-/Kommunikationsdaten (z.B., Geräte-IDs, IP-Adressen, Standortdaten).
  • Beschäftigtenstammdaten (z.B., Namen, Adressen, Lohngruppe, Steuermerkmale).
  • Bewerberdaten (z.B., Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen).

Es werden grundsätzlich keine besonderen Kategorien von Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet, außer diese werden durch den Auftraggeber/ seine Kunden, Nutzer oder Mitarbeiter, etc. der Verarbeitung zugeführt.

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

  • Kunden / Interessenten / Nutzer des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Lieferanten und Dienstleister des Auftraggebers

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

  • Software- und Designentwicklung / -beratung oder Pflege.
  • Datenanalyse/ Beratungsleistungen.
  • Werbung / Marketing.

2.7. Der Kunde ist seinerseits verpflichtet, die vorgenannte Beschreibung zu prüfen und kann etwaige Ergänzungen verlangen. Gegenstand des Auftrags, Laufzeit, konkrete Beschreibung der Leistungen, Daten sind im Rahmen der Leistungsbeschreibung beschrieben.

2.8. Kategorien besonderer personenbezogener Daten werden nur in Ausnahmefällen verarbeitet. In diesem Fall hat der Auftraggeber diesen Umstand und etwaige besondere Schutzbedürftigkeit mitzuteilen.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

3.1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist WABSOLUTE verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und WABSOLUTE abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

3.3. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

3.4. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der bei WABSOLUTE getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

3.5. Der Auftraggeber informiert WABSOLUTE unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

3.6. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der WABSOLUTE vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

3.7. Die Weisungsberechtigten des Auftraggebers sowie die Weisungsempfänger von WABSOLUTE werden sich die Parteien auf Anfrage mitteilen.

3.8. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner des Kunden sind WABSOLUTE unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

3.9. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

4. Pflichten von WABSOLUTE

4.1. WABSOLUTE verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

4.2. WABSOLUTE verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

4.3. WABSOLUTE gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren.

4.4. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat WABSOLUTE im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Sie hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsberechtigte Person des Auftraggebers weiterzuleiten.

4.5. WABSOLUTE wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). WABSOLUTE ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

4.6. WABSOLUTE hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen der WABSOLUTE dem nicht entgegenstehen.

4.7. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf WABSOLUTE nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

4.8. WABSOLUTE erklärt sich damit einverstanden, dass der Auftraggeber – nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

4.9. WABSOLUTE ist verpflichtet, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken.

4.10. WABSOLUTE bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. WABSOLUTE verpflichtet sich, für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Auf besondere Geheimnisschutzregeln weist der Auftraggeber WABSOLUTE zuvor hin.

4.11. WABSOLUTE verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

4.12. WABSOLUTE gewährleistet, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO).

4.13. WABSOLUTE überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im eigenen Betrieb. Eine Datenschutzbeauftragte ist bestellt:

Frau Carola Sieling
Technologiewerft GmbH c/o Kanzlei Sieling
Gurlittstraße 24
20099 Hamburg

Tel.: +49 40 41923921
Fax: +49 40 41923922
E-Mail: datenschutz@wabsolute.de

4.14. WABSOLUTE verpflichtet sich, den Auftraggeber über den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, für den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

4.15. Mitteilungspflichten der WABSOLUTE bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten.

4.16. WABSOLUTE teilt dem Auftraggeber unverzüglich Störungen, Verstöße von WABSOLUTE oder der bei WABSOLUTE beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO.

4.17. WABSOLUTE gewährleistet, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 32 bis 36 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf WABSOLUTE nur nach vorheriger Weisung dieses Vertrages durchführen.

5. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

5.1. Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist WABSOLUTE nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DS-GVO.

5.2. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, welche sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, welche WABSOLUTE z.B. als Telekommunikations- und Informationsleistungen, Post-/Transportdienstleistungen, im Zahlungsverkehr (Banken, Kreditkarteninstitute), Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. WABSOLUTE ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

5.3. WABSOLUTE ist berechtigt, Unterauftragnehmer einzusetzen.

5.4. Mit folgenden Unterauftragnehmern erklärt sich der Auftraggeber ausdrücklich einverstanden:

Name Art der Dienstleistung Anschrift Datenschutzbeauftragte:r Kontaktdaten des DSB
maxcluster GmbH Hosting-Partner Technologiepark 8
D-33100 Paderborn
Gundula Wentker gwentker@maxcluster.de
+49 5251 414 13 0
OVH Hosting-Partner Dudweiler Landstraße 5
D-66123 Saarbrücken
Dr. Sebastian Kraska datenschutz@ovh.de

5.5. WABSOLUTE hat die Einhaltung der Pflichten der Subunternehmer regelmäßig im Rahmen von Befragungen und ggf. örtlicher Begehung zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

5.6. WABSOLUTE informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO). Wenn und soweit diesen Unterauftragnehmern personenbezogene Daten des Auftraggebers zugänglich werden, setzt WABSOLUTE diese Unterauftragnehmer erst nach vorheriger Zustimmung des Auftraggebers ein. Der Auftraggeber wird seine Zustimmung erteilen, wenn nicht schwerwiegende datenschutzrechtliche Gründe entgegenstehen. Die Zustimmung gilt als erteilt, wenn der oder die Betroffene nicht innerhalb einer Frist von 4 Wochen widerspricht. Können sich Auftraggeber und WABSOLUTE nach Ausübung des 4-wöchigen Widerspruchsrechts nicht auf eine einvernehmliche Lösung einigen, kann WABSOLUTE den Hauptvertrag innerhalb von 12 Wochen nach Scheitern der Verhandlungen kündigen (Sonderkündigungsrecht).

5.7. Wenn und soweit Unterauftragnehmern von WABSOLUTE personenbezogene Daten des Auftraggebers zugänglich sind bzw. werden, verpflichtet WABSOLUTE den jeweiligen Unterauftragnehmer zu geeigneten technischen und organisatorischen Maßnahmen. Die Weiterleitung von personenbezogenen Daten des Auftraggebers durch WABSOLUTE an Unterauftragnehmern erfolgt erst, nachdem der Unterauftragnehmer entsprechend verpflichtet wurde.

5.8. Erbringt Unterauftragnehmer die vereinbarten Leistungen außerhalb der EU / des EWR, stellt WABSOLUTE die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher bzw. holt die Einwilligung des Auftraggebers ein.

5.9. Zurzeit sind für WABSOLUTE die in der Leistungsbeschreibung des jeweiligen Dienstes mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

6. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

6.1. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet.

6.2. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

6.3. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt.

6.4. Das Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse bei WABSOLUTE dar.

6.5. WABSOLUTE hat bei gegebenem Anlass sowie regelmäßig, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber auf Anfrage mitzuteilen.

6.6. Soweit die bei WABSOLUTE getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt sie den Auftraggeber unverzüglich.

6.7. Die Maßnahmen bei WABSOLUTE können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

6.8. Wesentliche Änderungen muss WABSOLUTE mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

7. Verpflichtungen der WABSOLUTE nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

7.1. Nach Abschluss der vertraglichen Arbeiten hat WABSOLUTE sämtliche in ihren Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auf Anfrage auszuhändigen bzw. zu löschen.

8. Haftung

8.1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen Datenverarbeitung oder -nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich, soweit nicht der Auftragnehmer oder ein Unterauftragnehmer oder Mitarbeiter von diesen gegen seine/ihre Pflichten aus Gesetz oder aus diesem Vertrag bzw. dem Hauptvertrag verstoßen haben.

8.2. Die Vertragspartner stellen sich jeweils von der Haftung frei, wenn ein Vertragspartner nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

8.3. Der Auftragnehmer ist zum Zwecke der Enthaftung gem. Art. 82 Abs. 3 DS-GVO dazu befugt, Details zu Weisungen des Auftraggebers und zur erfolgten Datenverarbeitung offenzulegen. Der Auftraggeber ist dazu verpflichtet, den Auftragnehmer bestmöglich zu unterstützen, damit sich der Auftragnehmer gegenüber dem Dritten nach Art. 82 Abs. 3 DS-GVO enthaften kann.

8.4. Sofern gegen den Auftragnehmer ein Bußgeld aufgrund des Verstoßes gegen eine datenschutzrechtliche Verpflichtung, die ausschließlich den Auftraggeber trifft, verhängt wird, hat der Auftraggeber den Auftragnehmer freizustellen.

9. Sonstiges

9.1. Weisungsempfänger bei WABSOLUTE ist die Geschäftsführung des Auftragnehmers: Christoph Meironke, Sebastian Tempel

9.2. Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

9.3. Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

9.4. Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers bei WABSOLUTE durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat WABSOLUTE den Auftraggeber unverzüglich zu verständigen.

9.5. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

9.6. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

10. Technische und organisatorische Maßnahmen der WABSOLUTE

10.1. Es wird vom Auftragnehmer ein für die konkrete Auftragsverarbeitung angemessenes Schutzniveau gewährleistet. Die allgemeinen technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit sind in Anlage 1 beschrieben. Auftragsspezifische Maßnahmen sind den jeweiligen Leistungsbeschreibungen zu entnehmen.

Anlage 1

(Version 1.0)

Technische und organisatorische Maßnahmen nach der DSGVO für den Entwicklungsstandort Paderborn

Für den Entwicklungsstandort Paderborn sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden. Die Beurteilung des angemessenen Schutzniveaus obliegt dem Auftraggeber.

1. Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

✔ Wenn ein unmittelbarer Personenbezug während der Verarbeitung theoretisch möglich wäre, so wird dies präventiv mit Pseudonymen ersetzt (soweit die Notwendigkeit des unmittelbaren Personenbezugs nicht Bestandteil der Beauftragung ist).

✔ Geschieht die Auftragsverarbeitung außerhalb des verarbeiteten Primärsystems (anhand einer Kopie) so werden personenbezogene Daten, wenn diese für die Verarbeitung nicht erforderlich sind, mit Pseudonymen ersetzt, um eine Zuordnung zu verhindern.

2. Verschlüsselung

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

✔ Verschlüsselung der Datenträger auf denen die personenbezogenen Daten gespeichert werden (Laptops, USB Sticks, Systeme/Server)

✔ Verschlüsseltes WLAN

✔ Verwendung von gesicherten Verbindungen (z.B. VPN, SSH)

✔ Protokollierung der Übertragungsvorgänge

✔ Home-Office: Mitarbeiter des Auftragnehmers können vom Home-Office aus über gesicherte Verbindungen zugreifen.

    • Alle Mitarbeiter des Auftragnehmers werden auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen verpflichtet.
    • Alle Mitarbeiter des Auftragnehmers, Home-Office verfügen über dedizierte Hardware, die mit einem zum aktuellen Zeitpunkt als sicher geltenden Verschlüsselungsverfahren verschlüsselt ist.

3. Gewährleistung der Vertraulichkeit

3.1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

✔ Zutrittskontrollsystem

✔ Türsicherungen (elektrische Türöffner, Transponder-Schließsystem)

✔ Schlüsselverwaltung/ Protokollierung der Schlüsselvergabe

✔ Alarmanlage

✔ Bewegungsmelder

✔ Schutzvorkehrungen des Serverraums

✔ Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern

3.2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

✔ Persönlicher und individueller User-Log-In bei Anmeldung am Server bzw. Unternehmensnetzwerk

✔ Autorisierungsprozess für Zugangsberechtigungen

✔ Begrenzung der befugten Benutzer

✔ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

✔ Protokollierung des Zugangs

✔ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

✔ Firewall

3.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

✔ Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation

✔ Auswertung von Protokollierungen

✔ Archivierungskonzept

✔ Protokollierung von Zugriffen und Missbrauchsversuchen

✔ Stets aktueller Virenschutz

✔ Firewall (Hard- und Software)

✔ Nicht-reversible Vernichtung von Datenträgern

3.4. Weitergabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“.

Alle Mitarbeiter der WABSOLUTE GmbH und deren Unterauftragnehmer (siehe Anlage 2) werden zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet. Soweit erforderlich werden die Daten gegen Zugriffe auf Netz- werkebene geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenaustausch gesichert.

3.5. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

✔ Berechtigungskonzepte

✔ Softwareseitige Kundentrennung

✔ Trennung von Test- und Produktivsystemen

✔ Einsatz von zweckspezifischen Pseudonymen, Anonymisierungsdiensten, anonymen Credentials, Verarbeitung pseudonymer bzw. anonymisierter Daten

4. Gewährleistung der Integrität

4.1. Eingabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“ und „Weitergabekontrolle“.

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden.

Beschreibung der Datenintegrität:

✔ Einspielen neuer Releases und Patches mit Release-/Patchmanagement

✔ Funktionstests bei Installation und Releases/Patches durch IT-Abteilung

✔ Logging

✔ Datensignierung

4.2. Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Beschreibung der Übertragungskontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselter Datentransfer mit limitiertem Zugriff

4.3. Transportkontrolle

Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Beschreibung der Transportkontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselungsverfahren, die Datenveränderungen während des Transports aufdecken

4.4. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung der Eingabekontrolle:

✔ Systemseitige Protokollierung

✔ Nutzerspezifische Zugänge

✔ Dokumentation

4.5. Passwort-Management

Es wird ein zentrales Passwort Management betrieben, welches einen selektiven Zugang nach differenzierten Berechtigungen zu gemeinsamen Diensten bietet.

5. Gewährleistung der Verfügbarkeit

5.1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

✔ Back-Up Verfahren

✔ Geeignete Archivierungsräumlichkeiten für Papierdokumente

✔ Klimatisierter Serverraum

✔ Gesicherter Serverzugang

✔ Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage z. B. DDOS, höhere Gewalt durch z.B. Virenschutz / Firewall, Einspielen von Sicherheitsupdates, Alarmanlage)

✔ Ausreichende Kapazität von IT-Systeme und Anlagen

✔ Vertretungsregelungen für abwesende Mitarbeiter

5.2. Rasche Wiederherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:

✔ Datensicherungsverfahren

5.3. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Beschreibung der Maßnahmen zur Zuverlässigkeit:

✔ Notfallpläne mit Verantwortlichkeiten

✔ automatisches Monitoring mit E-Mail-Benachrichtigung (sofern vom Auftraggeber beauftragt)

✔ regelmäßige Tests der Datenwiederherstellung (sofern vom Auftraggeber beauftragt)

6. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

6.1. Überprüfungsverfahren

Die technischen und organisatorischen Maßnahmen werden mindestens einmal jährlich oder anlassbezogen gemäß dem IT-Sicherheitskonzepts und des Datenschutzkonzepts überprüft.

Beschreibung der Überprüfungsverfahren:

✔ Datenschutzmanagement

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen

6.2. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

✔ Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten.

✔ Formalisiertes Auftragsmanagement

✔ Schriftliche Festlegung der Weisungen

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen

(B) Ergänzende Bedingungen zur Auftragsverarbeitung

1. Allgemeines

1.1. Die nachfolgenden Ziffern zur Auftragsverarbeitung dienen als Grundlage zur Erfüllung der datenschutzrechtlichen Vorschriften nach EU-Datenschutzgrundverordnung (nachfolgend DS-GVO) und des Bundesdatenschutzgesetzes in der seit dem 25.05.2018 gültigen Fassung (nachfolgend BDSG), wenn und soweit WABSOLUTE als „Auftragsverarbeiter“ tätig wird.

2. Gegenstand, Art, Zweck und Dauer der Verarbeitung

2.1. Der Gegenstand und die Dauer des Auftrages ergeben sich aus dem geschlossenen Hauptvertrag bzw. dem Angebot (soweit angenommen) von WABSOLUTE.

2.2. WABSOLUTE verarbeitet im Rahmen des Auftrages personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO nur auf der Grundlage dieser Bedingungen.

2.3. Die vertraglich vereinbarte Leistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

2.4. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß von WABSOLUTE gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, WABSOLUTE eine Weisung des Auftraggebers nicht ausführen kann oder will oder WABSOLUTE Kontrollrechte des Auftraggebers vertragswidrig verweigert.

2.5. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schwerwiegenden Verstoß dar.

2.6. Die Art und der Zweck der Vereinbarung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergibt sich aus der nachfolgenden Auflistung und dem geschlossenen Hauptvertrag oder aus dem Angebot.

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO):

  • Bestandsdaten (z.B., Namen, Adressen).
  • Kontaktdaten (z.B., E-Mail, Telefonnummern).
  • Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
  • Vertragsdaten (z.B., Vertragsgegenstand, Laufzeit).
  • Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie).
  • Nutzungsdaten (z.B., Interessen, besuchte Webseiten, Kaufverhalten, Zugriffszeiten, Protokolldaten).
  • Meta-/Kommunikationsdaten (z.B., Geräte-IDs, IP-Adressen, Standortdaten).
  • Beschäftigtenstammdaten (z.B., Namen, Adressen, Lohngruppe, Steuermerkmale).
  • Bewerberdaten (z.B., Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen).

Es werden grundsätzlich keine besonderen Kategorien von Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet, außer diese werden durch den Auftraggeber/ seine Kunden, Nutzer oder Mitarbeiter, etc. der Verarbeitung zugeführt.

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

  • Kunden / Interessenten / Nutzer des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Lieferanten und Dienstleister des Auftraggebers

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

  • Software- und Designentwicklung / -beratung oder Pflege.
  • Datenanalyse/ Beratungsleistungen.
  • Werbung / Marketing.

2.7. Der Kunde ist seinerseits verpflichtet, die vorgenannte Beschreibung zu prüfen und kann etwaige Ergänzungen verlangen. Gegenstand des Auftrags, Laufzeit, konkrete Beschreibung der Leistungen, Daten sind im Rahmen der Leistungsbeschreibung beschrieben.

2.8. Kategorien besonderer personenbezogener Daten werden nur in Ausnahmefällen verarbeitet. In diesem Fall hat der Auftraggeber diesen Umstand und etwaige besondere Schutzbedürftigkeit mitzuteilen.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

3.1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist WABSOLUTE verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und WABSOLUTE abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

3.3. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

3.4. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der bei WABSOLUTE getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

3.5. Der Auftraggeber informiert WABSOLUTE unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

3.6. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der WABSOLUTE vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

3.7. Die Weisungsberechtigten des Auftraggebers sowie die Weisungsempfänger von WABSOLUTE werden sich die Parteien auf Anfrage mitteilen.

3.8. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner des Kunden sind WABSOLUTE unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

3.9. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

4. Pflichten von WABSOLUTE

4.1. WABSOLUTE verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

4.2. WABSOLUTE verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

4.3. WABSOLUTE gewährleistet, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Das Ergebnis der Kontrollen ist zu dokumentieren.

4.4. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat WABSOLUTE im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Sie hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsberechtigte Person des Auftraggebers weiterzuleiten.

4.5. WABSOLUTE wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). WABSOLUTE ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

4.6. WABSOLUTE hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen der WABSOLUTE dem nicht entgegenstehen.

4.7. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf WABSOLUTE nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

4.8. WABSOLUTE erklärt sich damit einverstanden, dass der Auftraggeber – nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

4.9. WABSOLUTE ist verpflichtet, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken.

4.10. WABSOLUTE bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. WABSOLUTE verpflichtet sich, für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. Auf besondere Geheimnisschutzregeln weist der Auftraggeber WABSOLUTE zuvor hin.

4.11. WABSOLUTE verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

4.12. WABSOLUTE gewährleistet, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO).

4.13. WABSOLUTE überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im eigenen Betrieb. Eine Datenschutzbeauftragte ist bestellt:

Frau Carola Sieling
Technologiewerft GmbH c/o Kanzlei Sieling
Gurlittstraße 24
20099 Hamburg

Tel.: +49 40 41923921
Fax: +49 40 41923922
E-Mail: datenschutz@wabsolute.de

4.14. WABSOLUTE verpflichtet sich, den Auftraggeber über den Ausschluss von etwaig genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer erhaltenen, für den Auftraggeber relevanten Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

4.15. Mitteilungspflichten der WABSOLUTE bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten.

4.16. WABSOLUTE teilt dem Auftraggeber unverzüglich Störungen, Verstöße von WABSOLUTE oder der bei WABSOLUTE beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO.

4.17. WABSOLUTE gewährleistet, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 32 bis 36 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf WABSOLUTE nur nach vorheriger Weisung dieses Vertrages durchführen.

5. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

5.1. Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist WABSOLUTE nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DS-GVO.

5.2. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, welche sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, welche WABSOLUTE z.B. als Telekommunikations- und Informationsleistungen, Post-/Transportdienstleistungen, im Zahlungsverkehr (Banken, Kreditkarteninstitute), Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. WABSOLUTE ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

5.3. WABSOLUTE ist berechtigt, Unterauftragnehmer einzusetzen.

5.4. Mit folgenden Unterauftragnehmern erklärt sich der Auftraggeber ausdrücklich einverstanden:

Name Art der Dienstleistung Anschrift Datenschutzbeauftragte:r Kontaktdaten des DSB
maxcluster GmbH Hosting-Partner Technologiepark 8
D-33100 Paderborn
Gundula Wentker gwentker@maxcluster.de
+49 5251 414 13 0
OVH Hosting-Partner Dudweiler Landstraße 5
D-66123 Saarbrücken
Dr. Sebastian Kraska datenschutz@ovh.de

5.5. WABSOLUTE hat die Einhaltung der Pflichten der Subunternehmer regelmäßig im Rahmen von Befragungen und ggf. örtlicher Begehung zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

5.6. WABSOLUTE informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO). Wenn und soweit diesen Unterauftragnehmern personenbezogene Daten des Auftraggebers zugänglich werden, setzt WABSOLUTE diese Unterauftragnehmer erst nach vorheriger Zustimmung des Auftraggebers ein. Der Auftraggeber wird seine Zustimmung erteilen, wenn nicht schwerwiegende datenschutzrechtliche Gründe entgegenstehen. Die Zustimmung gilt als erteilt, wenn der oder die Betroffene nicht innerhalb einer Frist von 4 Wochen widerspricht. Können sich Auftraggeber und WABSOLUTE nach Ausübung des 4-wöchigen Widerspruchsrechts nicht auf eine einvernehmliche Lösung einigen, kann WABSOLUTE den Hauptvertrag innerhalb von 12 Wochen nach Scheitern der Verhandlungen kündigen (Sonderkündigungsrecht).

5.7. Wenn und soweit Unterauftragnehmern von WABSOLUTE personenbezogene Daten des Auftraggebers zugänglich sind bzw. werden, verpflichtet WABSOLUTE den jeweiligen Unterauftragnehmer zu geeigneten technischen und organisatorischen Maßnahmen. Die Weiterleitung von personenbezogenen Daten des Auftraggebers durch WABSOLUTE an Unterauftragnehmern erfolgt erst, nachdem der Unterauftragnehmer entsprechend verpflichtet wurde.

5.8. Erbringt Unterauftragnehmer die vereinbarten Leistungen außerhalb der EU / des EWR, stellt WABSOLUTE die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher bzw. holt die Einwilligung des Auftraggebers ein.

5.9. Zurzeit sind für WABSOLUTE die in der Leistungsbeschreibung des jeweiligen Dienstes mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

6. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

6.1. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet.

6.2. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

6.3. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt.

6.4. Das Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse bei WABSOLUTE dar.

6.5. WABSOLUTE hat bei gegebenem Anlass sowie regelmäßig, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber auf Anfrage mitzuteilen.

6.6. Soweit die bei WABSOLUTE getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt sie den Auftraggeber unverzüglich.

6.7. Die Maßnahmen bei WABSOLUTE können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

6.8. Wesentliche Änderungen muss WABSOLUTE mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

7. Verpflichtungen der WABSOLUTE nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

7.1. Nach Abschluss der vertraglichen Arbeiten hat WABSOLUTE sämtliche in ihren Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auf Anfrage auszuhändigen bzw. zu löschen.

8. Haftung

8.1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen Datenverarbeitung oder -nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich, soweit nicht der Auftragnehmer oder ein Unterauftragnehmer oder Mitarbeiter von diesen gegen seine/ihre Pflichten aus Gesetz oder aus diesem Vertrag bzw. dem Hauptvertrag verstoßen haben.

8.2. Die Vertragspartner stellen sich jeweils von der Haftung frei, wenn ein Vertragspartner nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

8.3. Der Auftragnehmer ist zum Zwecke der Enthaftung gem. Art. 82 Abs. 3 DS-GVO dazu befugt, Details zu Weisungen des Auftraggebers und zur erfolgten Datenverarbeitung offenzulegen. Der Auftraggeber ist dazu verpflichtet, den Auftragnehmer bestmöglich zu unterstützen, damit sich der Auftragnehmer gegenüber dem Dritten nach Art. 82 Abs. 3 DS-GVO enthaften kann.

8.4. Sofern gegen den Auftragnehmer ein Bußgeld aufgrund des Verstoßes gegen eine datenschutzrechtliche Verpflichtung, die ausschließlich den Auftraggeber trifft, verhängt wird, hat der Auftraggeber den Auftragnehmer freizustellen.

9. Sonstiges

9.1. Weisungsempfänger bei WABSOLUTE ist die Geschäftsführung des Auftragnehmers: Christoph Meironke, Sebastian Tempel

9.2. Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

9.3. Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

9.4. Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers bei WABSOLUTE durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat WABSOLUTE den Auftraggeber unverzüglich zu verständigen.

9.5. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

9.6. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

10. Technische und organisatorische Maßnahmen der WABSOLUTE

10.1. Es wird vom Auftragnehmer ein für die konkrete Auftragsverarbeitung angemessenes Schutzniveau gewährleistet. Die allgemeinen technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit sind in Anlage 1 beschrieben. Auftragsspezifische Maßnahmen sind den jeweiligen Leistungsbeschreibungen zu entnehmen.

Anlage 1

(Version 1.0)

Technische und organisatorische Maßnahmen nach der DSGVO für den Entwicklungsstandort Paderborn

Für den Entwicklungsstandort Paderborn sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden. Die Beurteilung des angemessenen Schutzniveaus obliegt dem Auftraggeber.

1. Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

✔ Wenn ein unmittelbarer Personenbezug während der Verarbeitung theoretisch möglich wäre, so wird dies präventiv mit Pseudonymen ersetzt (soweit die Notwendigkeit des unmittelbaren Personenbezugs nicht Bestandteil der Beauftragung ist).

✔ Geschieht die Auftragsverarbeitung außerhalb des verarbeiteten Primärsystems (anhand einer Kopie) so werden personenbezogene Daten, wenn diese für die Verarbeitung nicht erforderlich sind, mit Pseudonymen ersetzt, um eine Zuordnung zu verhindern.

2. Verschlüsselung

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

✔ Verschlüsselung der Datenträger auf denen die personenbezogenen Daten gespeichert werden (Laptops, USB Sticks, Systeme/Server)

✔ Verschlüsseltes WLAN

✔ Verwendung von gesicherten Verbindungen (z.B. VPN, SSH)

✔ Protokollierung der Übertragungsvorgänge

✔ Home-Office: Mitarbeiter des Auftragnehmers können vom Home-Office aus über gesicherte Verbindungen zugreifen.

    • Alle Mitarbeiter des Auftragnehmers werden auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen verpflichtet.
    • Alle Mitarbeiter des Auftragnehmers, Home-Office verfügen über dedizierte Hardware, die mit einem zum aktuellen Zeitpunkt als sicher geltenden Verschlüsselungsverfahren verschlüsselt ist.

3. Gewährleistung der Vertraulichkeit

3.1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

✔ Zutrittskontrollsystem

✔ Türsicherungen (elektrische Türöffner, Transponder-Schließsystem)

✔ Schlüsselverwaltung/ Protokollierung der Schlüsselvergabe

✔ Alarmanlage

✔ Bewegungsmelder

✔ Schutzvorkehrungen des Serverraums

✔ Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern

3.2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

✔ Persönlicher und individueller User-Log-In bei Anmeldung am Server bzw. Unternehmensnetzwerk

✔ Autorisierungsprozess für Zugangsberechtigungen

✔ Begrenzung der befugten Benutzer

✔ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

✔ Protokollierung des Zugangs

✔ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

✔ Firewall

3.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

✔ Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation

✔ Auswertung von Protokollierungen

✔ Archivierungskonzept

✔ Protokollierung von Zugriffen und Missbrauchsversuchen

✔ Stets aktueller Virenschutz

✔ Firewall (Hard- und Software)

✔ Nicht-reversible Vernichtung von Datenträgern

3.4. Weitergabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“.

Alle Mitarbeiter der WABSOLUTE GmbH und deren Unterauftragnehmer (siehe Anlage 2) werden zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet. Soweit erforderlich werden die Daten gegen Zugriffe auf Netz- werkebene geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenaustausch gesichert.

3.5. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

✔ Berechtigungskonzepte

✔ Softwareseitige Kundentrennung

✔ Trennung von Test- und Produktivsystemen

✔ Einsatz von zweckspezifischen Pseudonymen, Anonymisierungsdiensten, anonymen Credentials, Verarbeitung pseudonymer bzw. anonymisierter Daten

4. Gewährleistung der Integrität

4.1. Eingabekontrolle

Siehe auch Maßnahmen unter „Verschlüsselung“ und „Weitergabekontrolle“.

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden.

Beschreibung der Datenintegrität:

✔ Einspielen neuer Releases und Patches mit Release-/Patchmanagement

✔ Funktionstests bei Installation und Releases/Patches durch IT-Abteilung

✔ Logging

✔ Datensignierung

4.2. Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Beschreibung der Übertragungskontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselter Datentransfer mit limitiertem Zugriff

4.3. Transportkontrolle

Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Beschreibung der Transportkontrolle:

✔ Transportprozesse mit individueller Verantwortlichkeit

✔ Verschlüsselungsverfahren, die Datenveränderungen während des Transports aufdecken

4.4. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung der Eingabekontrolle:

✔ Systemseitige Protokollierung

✔ Nutzerspezifische Zugänge

✔ Dokumentation

4.5. Passwort-Management

Es wird ein zentrales Passwort Management betrieben, welches einen selektiven Zugang nach differenzierten Berechtigungen zu gemeinsamen Diensten bietet.

5. Gewährleistung der Verfügbarkeit

5.1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

✔ Back-Up Verfahren

✔ Geeignete Archivierungsräumlichkeiten für Papierdokumente

✔ Klimatisierter Serverraum

✔ Gesicherter Serverzugang

✔ Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage z. B. DDOS, höhere Gewalt durch z.B. Virenschutz / Firewall, Einspielen von Sicherheitsupdates, Alarmanlage)

✔ Ausreichende Kapazität von IT-Systeme und Anlagen

✔ Vertretungsregelungen für abwesende Mitarbeiter

5.2. Rasche Wiederherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:

✔ Datensicherungsverfahren

5.3. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Beschreibung der Maßnahmen zur Zuverlässigkeit:

✔ Notfallpläne mit Verantwortlichkeiten

✔ automatisches Monitoring mit E-Mail-Benachrichtigung (sofern vom Auftraggeber beauftragt)

✔ regelmäßige Tests der Datenwiederherstellung (sofern vom Auftraggeber beauftragt)

6. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

6.1. Überprüfungsverfahren

Die technischen und organisatorischen Maßnahmen werden mindestens einmal jährlich oder anlassbezogen gemäß dem IT-Sicherheitskonzepts und des Datenschutzkonzepts überprüft.

Beschreibung der Überprüfungsverfahren:

✔ Datenschutzmanagement

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen

6.2. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

✔ Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten.

✔ Formalisiertes Auftragsmanagement

✔ Schriftliche Festlegung der Weisungen

✔ Formalisierte Prozesse für Datenschutzvorfälle

✔ Weisungen des Auftraggebers werden dokumentiert

✔ Formalisiertes Auftragsmanagement

✔ Service-Level-Agreements für die Durchführung von Kontrollen