haussichten DESIGNER

Vertrag zur Auftragsverarbeitung

Vertrag zur Auftragsverarbeitung
nach Art. 28 EU-Datenschutzgrundverordnung

 

zwischen

Testkunde

– nachfolgend „Auftraggeber“

und

ZwoVadis GmbH
Projektstraße 4
52134 Herzogenrath

– nachfolgend „ZwoVadis“ –

– nachfolgend gemeinsam „Parteien“ –

 

Präambel

Der Auftraggeber möchte ZwoVadis mit den in Ziffer 1 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten für den Auftraggeber. Insbesondere Art. 28 EU-Datenschutzgrundverordnung („DS-GVO“) stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist. Für diese Vereinbarung gelten die gesetzlichen Begriffsdefinitionen aus Art. 4 DS-GVO, auf den insoweit verwiesen wird.

1. Vertragsgegenstand

1.1. Gegenstand der Vereinbarung ist die Erhebung bzw. Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch ZwoVadis für den Auftraggeber in dessen Auftrag und nach dessen Weisung im Zusammenhang mit der Nutzung der Online Software haussichten Magazin Designer (kurz: HSD).

1.2. Diese Vereinbarung gilt als Ergänzung zu der Vereinbarung über diese Nutzung der Software haussichten Magazin Designer unter der Vertrags-/Kundennummer (Kundennummer) (nachstehend „Hauptvertrag“ genannt).

1.3. ZwoVadis erhält Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch ZwoVadis und die daraus resultierenden Weisungen (SaaS-Produkte) ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung).

1.4. Weisungen erteilt der Auftraggeber primär über die Benutzeroberfläche des jeweiligen SaaS-Produkts. Die Löschung einzelner Nutzerkonten durch den Auftraggeber beinhaltet zudem die Weisung an ZwoVadis etwaige vorhandene Kundendaten zu löschen. Im Übrigen kann der Auftraggeber Weisungen auch schriftlich oder Textform erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder Textform zu bestätigen.

1.5. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen ZwoVadis und ihre Beschäftigten oder Beauftragte der ZwoVadis mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

2. Art der verarbeiteten Daten, Kreis der Betroffenen

2.1. Im Rahmen der Durchführung des Hauptvertrags erhält ZwoVadis Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten.

2.2. Der Kreis der von der Datenverarbeitung Betroffenen sind

  • Kunden/Interessenten des Auftraggebers, deren Immobilie durch Mitarbeiter des Auftraggebers mit Hilfe des HSD in das Magazin haussichten aufgenommen und dort präsentiert werden soll sowie
  • alle zu den SaaS-Produkten der ZwoVadis zugriffsberechtigten Mitarbeiter des Auftraggebers

3. Rechte und Pflichten des Auftraggebers

3.1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der Betroffenen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich; er bleibt Verantwortlicher i.S.d. Art. 4 Ziff. 7 DS-GVO. Insbesondere obliegt es dem Auftraggeber, sich gegebenenfalls erforderliche Einwilligungen von den datenschutzrechtlich Betroffenen einzuholen oder behördliche Meldepflichten einzuhalten. Gleiches gilt für die Gestaltung eines rechtssicheren Rahmens für ggf. beabsichtigte Übermittlung von personenbezogenen Daten in Drittstaaten, bei welchen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Gleichwohl ist ZwoVadis verpflichtet, alle Anfragen Betroffener, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2. Der Auftraggeber garantiert die Rechtmäßigkeit der Verarbeitung i.S.d. Art. 6 DS-GVO, insbesondere soweit er Daten Dritter oder von Mitarbeitern unter Zuhilfenahme der Systeme von ZwoVadis verarbeitet. Der Auftraggeber verpflichtet sich, die Betroffenen im Rahmen der Informationspflichten des Art. 13 DS-GVO u.a. auch auf diese vertragsnotwendigen Übermittlungen in ausreichend transparenter Weise hinzuweisen.

3.3. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und ZwoVadis abzustimmen und mindestens in Textform festzulegen.

3.4. Der Auftraggeber informiert ZwoVadis unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

3.5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen von ZwoVadis vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Rechte und Pflichten von ZwoVadis

4.1. ZwoVadis verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrags und nach Weisungen des Auftraggebers, sofern sie nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, denen ZwoVadis unterliegt, zu einer darüber hinausgehenden Verarbeitung verpflichtet ist (z. B. im Rahmen von Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt ZwoVadis dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). ZwoVadis verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Pflichten erforderlich sind.

4.2. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat ZwoVadis unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2). lit. e und f DS-GVO). Der Auftraggeber hat vorgenannte Mitwirkungs- und Unterstützungshandlungen schriftlich mit einem angemessenen Vorlauf zu beantragen und ZwoVadis hierdurch entstehende Kosten zu erstatten (vgl. Ziffer 9).

4.3. ZwoVadis wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). ZwoVadis ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Eine Pflicht zu einer rechtlichen Prüfung und/oder Bewertung von Weisungen ist damit jedoch nicht verbunden. Dies bleibt im Verantwortungsbereich des Auftraggebers.

4.4. ZwoVadis hat personenbezogene Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen von ZwoVadis dem nicht entgegenstehen.

4.5. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis darf ZwoVadis an Dritte oder den Betroffenen nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. ZwoVadis ist berechtigt, Auskunftsersuchen von Dritten, Betroffenen oder von Strafverfolgungsbehörden, sofern im Einzelfall zulässig, an den Auftraggeber zur Bearbeitung weiterzuleiten und die jeweils auskunftsersuchende Person/Stelle hierüber in Kenntnis zu setzen. In diesem Zusammenhang ist es ZwoVadis ausdrücklich gestattet, der auskunftsersuchenden Person/Stelle die unternehmerischen Kontaktdaten des Auftraggebers zu übermitteln und diese an den Auftraggeber zu verweisen.

4.6. ZwoVadis erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften, Zertifikaten, die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). ZwoVadis sichert zu, dass sie, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. ZwoVadis behält sich vor, hierdurch entstehende Kosten erstattet zu verlangen (vgl. Ziffer 9).

4.7. ZwoVadis bestätigt, dass ihr die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. ZwoVadis verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese Pflicht besteht auch nach Beendigung des Vertrages fort.

4.8. ZwoVadis sichert zu, dass sie die bei der Durchführung ihrer Leistungen eingesetzten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). ZwoVadis überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in ihrem Betrieb.

4.9. ZwoVadis ist gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner bei ZwoVadis wird Frau Eileen Falke, datenschutz@zwovadis.de benannt.

5. Mitteilungspflichten der ZwoVadis bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

ZwoVadis benachrichtigt den Auftraggeber unverzüglich über Störungen, Verstöße der ZwoVadis oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie über den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. ZwoVadis sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf ZwoVadis nur nach vorheriger Weisung durchführen.

6. Unterauftragsverhältnisse mit Subunternehmern

6.1. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 3 genannten Subunternehmer durchgeführt. ZwoVadis ist im Rahmen ihrer vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. ZwoVadis setzt den Auftraggeber hiervon unverzüglich in Kenntnis.

6.2. ZwoVadis trägt dafür Sorge, dass sie Subunternehmer unter besonderer Berücksichtigung der Eignung sorgfältig auswählt. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln). ZwoVadis hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und ZwoVadis auch gegenüber Subunternehmern gelten. In dem Vertrag mit Subunternehmern sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten der ZwoVadis und des jeweiligen Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

7. Technische und organisatorische Maßnahmen

7.1. Die technischen und organisatorischen Maßnahmen sind dieser Vereinbarung als Anlage 2 beigefügt. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen, derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Diesbezüglich werden die im Anhang beschriebenen technischen und organisatorischen Maßnahmen als verbindlich festgelegt. ZwoVadis hat in regelmäßigem Turnus sowie bei gegebenem Anlass eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO).

7.2. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

7.3. Wesentliche Änderungen muss ZwoVadis mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch oder in Textform) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

8. Verpflichtungen der ZwoVadis nach Beendigung des Auftrags

Nach Abschluss der vertraglichen Arbeiten hat ZwoVadis sämtliche in ihrem Besitz sowie an Subunternehmen gelangte personenbezogenen Daten der in Ziffer 2.2 benannten Betroffenen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Die Löschung bzw. Vernichtung ist dem Auftraggeber auf Verlangen schriftlich oder in Textform zu bestätigen. Sofern ZwoVadis hierdurch Kosten entstehen, behält sie sich vor, diese vom Auftraggeber ersetzt zu verlangen. Auf Ziffer 9 wird Bezug genommen.

9. Vergütung
Erteilt der Auftraggeber Einzelweisungen, die über den vereinbarten Leistungsumfang des Hauptvertrags hinausgehen, sind die dadurch begründeten Kosten grundsätzlich vom Auftraggeber zu tragen. ZwoVadis behält sich vor, für die Erfüllung von Auskunftspflichten gegenüber Betroffenen, sowie von sonstigen Pflichten, die nach der Datenschutzgrundverordnung oder dem Bundesdatenschutzgesetz dem Auftraggeber obliegen, und die nicht vom Hauptvertrag umfasst sind, vom Auftraggeber eine angemessene Vergütung zu verlangen. Gleiches gilt für besondere Löschungs- und Vernichtungsaufträge des Auftraggebers (vgl. Ziffer 8). Auch für die Ermöglichung von Kontrollen durch den Auftraggeber, ob schriftlich oder durch Vor-Ort-Termine, behält sich ZwoVadis die Geltendmachung von Vergütungsansprüchen sowie zurechenbarer Kosten (z.B. durch die gem. Ziffer 6 eingesetzten Subunternehmer in Rechnung gestellte Kosten) vor. Ebenso hat der Auftraggeber der ZwoVadis eine angemessene Vergütung für angeforderte Mitwirkungs- und Unterstützungsleistungen nach Ziffer 4.3 zu zahlen. Im Übrigen wird für die Einhaltung der in diesem Vertrag geregelten Verpflichtungen keine gesonderte Vergütung fällig. Insbesondere wird klargestellt, dass für Betroffene aus der Geltendmachung ihrer Rechte, sowohl gegenüber dem Auftraggeber als auch gegenüber der ZwoVadis, keinerlei Kosten entstehen.

10. Haftung

10.1. Soweit es sich beim Auftraggeber um ein Unternehmen handelt, das die Leistungen der ZwoVadis nutzt, um sie Dritten anzubieten bzw. weiterzuverkaufen, stellt der Auftraggeber ZwoVadis von sämtlichen Schadensersatz-, Aufwendungsersatz- und sonstigen Haftungsansprüchen Dritter sowie von Rechtsanwaltskosten frei, die durch die Verletzung der in diesem Vertrag vereinbarten oder unmittelbar gem. DS-GVO geltenden Pflichten durch den Auftraggeber im Zusammenhang mit der Nutzung/Weiterveräußerung der Produkte/Leistungen der ZwoVadis verursacht werden. Art. 82 DS-GVO sowie sonstige zwingende Vorschriften bleiben im Übrigen unberührt.

10.2. Kann ZwoVadis die vereinbarte Leistung wegen höherer Gewalt, Krieg, Aufruhr, Streik, Aussperrung oder Stromausfall nicht oder nicht rechtzeitig erfüllen, so ist sie von der Leistung frei. Die Beweislast hierfür obliegt ZwoVadis. Der Auftraggeber hat in diesem Falle keinen Anspruch auf Schadenersatz. Er hat jedoch das Recht, ein anderes Dienstleistungsunternehmen mit der Auftragsausführung zu beauftragen.

11. Sonstiges

11.1. Mündliche Nebenabreden bestehen nicht.

11.2. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so bleibt die Vereinbarung im Übrigen hiervon unberührt.

11.3. Gerichtsstand für sämtliche sich aus diesem Auftragsverarbeitungsvertrag ergebende Streitigkeiten ist, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögens oder im Inland ohne Gerichtsstand ist, Aachen.

Anlage 1: Art der personenbezogenen Daten

Die Art der personenbezogenen Daten, die ZwoVadis für die Kunden verarbeitet, ist abhängig von dem jeweiligen eingesetzten SaaS-Produkt und stellt sich wie folgt dar:

  • Personenstammdaten
  • Kommunikationsdaten
  • Immobiliendaten
  • Statistische Daten

Anlage 2: Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen bei unseren Subunternehmern:
ZwoVadis bedient sich für die Zwecke der Leistungserbringung eines technischen Dienstleisters, derzeit:

InterNetX GmbH
Johanna-Dachs-Straße 55
93055 Regensburg
nachfolgend („InterNetX“)

Im Folgenden werden die technischen und organisatorischen Maßnahmen des technischen Dienstleisters dargestellt.

1. GRUNDSÄTZE
Die Mitarbeiter und Mitarbeiterinnen der InterNetX GmbH und ihrer Tochterunternehmen erachten Informationen und Daten, insbesondere wenn sie personenbezogen sind, als kritische Werte für die Unternehmensgruppe. Die unternehmens- und personenbezogenen Daten sowie die Systeme, die diese Informationen und Daten verarbeiten, sind vor Verlust, Zerstörung, Nicht-Verfügbarkeit, Diebstahl, unberechtigten Veränderungen, Informationsabfluss, Verfälschung beweiserheblicher Daten und unberechtigten Zugriff zu schützen.
Die Mitarbeiter sind hinsichtlich Datenschutz und ihrer Pflichten zum ordnungsgemäßen Umgang mit Daten und DV-Technik informiert und entsprechend verpflichtet (Datengeheimnis, Betriebs- und Geschäftsgeheimnisse). Sie werden regelmäßig über die strafrechtlichen Bestimmungen informiert, die für den unrechten Umgang mit Daten gelten.

2. MASSNAHMEN NACH ART. 32 DS-GVO
Folgende Maßnahmen werden ergriffen, um ein dem Risiko angemessenes Schutzniveau i.S.d. Art. 32 DS-GVO zu gewährleisten:

2.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

2.1.1 Zutrittskontrolle

Datacenter München
Die Räumlichkeiten des Rechenzentrums in München sind hochgesichert. Bevor Zutritt gestattet wird, haben sich Besucher des Rechenzentrums, die sich vorher anzumelden haben, einer Personenkontrolle unter Vorlage eines gültigen Personalausweises zu unterziehen. Neue Mitarbeiter haben sich unter Vorlage einer entsprechenden Autorisierung des Rechenzentrumleiters schriftlich zu registrieren. Jeder Besucher wird von mindestens einem Mitarbeiter begleitet. Alle Rechenzentrumstüren sind biometrisch gesichert und können daher nur von registrierten Mitarbeitern per Fingerabdruck geöffnet werden. Des Weiteren werden alle Türen und Gänge im technischen Bereich sowie die Serverräume videoüberwacht. Das Rechenzentrum ist an 365 Tagen im Jahr rund um die Uhr besetzt. Zudem ist das gesamte Rechenzentrum gem. ISO 27001 zertifiziert.

Headquarter Regensburg
Die Zugänge zu den Büroräumen der Firmenzentrale in Regensburg sind ebenfalls durch ein Zutrittssystem gesichert. Die Zutrittskontrolle erfolgt über Transponder, die nur an zutrittsberechtigte Mitarbeiter vergeben werden. Die Vergabe der Transponder wird protokolliert. Scheidet ein Mitarbeiter aus, ist der Transponder am letzten Arbeitstag zurückzugeben. Erfolgt die Rückgabe nicht rechtzeitig, wird der Transponder deaktiviert, so dass mit diesem kein Zutritt mehr möglich ist. Die Zutrittskontrolle wird über verschiedene Berechtigungsstufen kontrolliert und überwacht; die Mitarbeiter haben generell nur an den regulären Arbeitstagen und während der Geschäftszeiten Zutritt in die für sie freigegebenen Räumlichkeiten. Änderungen von Berechtigungsstufen für einzelne Mitarbeiter können nur durch die jeweils besonders autorisierten Personen im Vier-Augen-Prinzip beantragt werden. Änderungen und Neuvergaben bzgl. der Zutrittsberechtigungen werden protokolliert und regelmäßig überprüft.
Besucher erhalten ausschließlich beim ausgeschilderten Empfang Zutritt, nachdem sie sich an der Gegensprechanlage (mit Videokamera) zu erkennen gaben. Besucher erhalten grundsätzlich keinen eigenen Transponder. Um in die verschiedenen Abteilungen zu gelangen, ist daher die persönliche Begleitung durch einen Mitarbeiter mit entsprechender Zutrittsberechtigung erforderlich.
Die Eingänge zu den jeweiligen Abteilungen sowie wichtige Räumlichkeiten der Infrastruktur, wie z.B. Serverräume, werden zusätzlich mit Kameras überwacht, deren Aufnahmen über einen Bewegungssensor gestartet und räumlich getrennt gespeichert werden.

2.1.2 Zugangskontrolle
Um eine unbefugte Systembenutzung auszuschließen, wird der Zugang zu Datenverarbeitungssystemen durch verschiedene Vorkehrungen eingeschränkt und ist somit nur autorisierten Mitarbeitern möglich. Obligatorisch ist ein voreingestellter Passwortschutz an Servern, Workstations, Notebooks, mobilen Endgeräten und Applikations-Software. Als weitere Vorkehrung sind alle Server und Workstations mittels Portsecurity an den Switch-Port angeschlossen, wodurch ein unberechtigter Zugriff durch ein fremdes, nicht freigegebenes Endgerät auf das Firmennetzwerk unterbunden wird. Die mobilen Endgeräte wie Notebooks und Smartphones verfügen zusätzlich zum Passwortschutz über weitere Vorkehrungen wie z.B. automatisches Sperren, Fernzugriff und Lokalisierung im Falle eines Diebstahls. Durch den Fernzugriff ist es möglich, die kompletten Daten zu löschen. Die Datenträger der Notebooks sind zusätzlich mit einer Verschlüsselung nach aktuellen Sicherheitsstandards verschlüsselt, um einen unberechtigten Zugriff auf die Daten zu verhindern.
Die Passwortnutzung, Anmeldung und der VPN-Zugriff werden zusätzlich protokolliert. Die Datenträgerarchive werden in einem Schutzbereich (teilweise außer Haus) betrieben und sind nur autorisiertem Personal zugänglich. Vor unberechtigten System- bzw. Datenzugriff schützen Anti-Virensoftware und Firewalls, welche ständig aktualisiert werden.
Es wird jedoch darauf hingewiesen, dass für den Zugangsschutz datenverarbeitender Systeme, welche Kunden / Auftraggeber von InterNetX mieten, grundsätzlich der jeweilige Kunde / Auftraggeber selbst zuständig ist. Es liegt in seiner Verantwortung, diese vor unbefugtem Zugriff Dritter zu schützen, Passwörter geheim zu halten etc.

2.1.3 Zugriffskontrolle
Die Zugriffskontrolle wird durch ein entsprechendes Berechtigungskonzept für sämtliche Server-Systeme der InterNetX GmbH gewährleistet. Hierbei werden mitarbeiterindividuell die Benutzerberechtigungen festgelegt, durch die Geschäftsleitung freigegeben und systemseitig hinterlegt. Die Rechtevergabe erfolgt nur im jeweils erforderlichen Rahmen. Bei Austritt eines Mitarbeiters werden unverzüglich dessen Zugangsberechtigungen entzogen bzw. gelöscht.

2.1.4 Trennungskontrolle
Personenbezogene Daten werden getrennt geführt und bereitgestellt. Im Web-Frontend werden nur relevante Daten dargestellt. So werden in Anwendungen, die Kunden / Auftraggebern zugänglich sind, nur diejenigen Informationen bereitgestellt, welche für die konkreten Prozesse zweckdienlich sind. Abrechnungsrelevante Daten sind nur im Backend verfügbar, dies auf getrennten Systemen in unterschiedlichen Segmenten. Gesonderte Testumgebungen arbeiten mit fingierten Datensätzen und sind von produktiven Umgebungen getrennt. Zudem sind sämtliche unternehmenseigenen Systeme mandantenfähig konzipiert.

2.1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Wo möglich und technisch sinnvoll, werden personenbezogene Daten pseudonymisiert. So werden beispielsweise Kontaktdatensätze, die ein Kunde / Auftraggeber zur Nutzung für in seinem Account befindliche Domains hinterlegt, in sog. Handle-IDs umgewandelt. Hierdurch können die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden. Die zusätzlichen Informationen, um die Datensätze wieder identifizierbar zu machen, werden getrennt gespeichert.
Weiterhin werden im Rahmen eines Privacy Service bei Domainregistrierungen Pseudonymisierungsdienste angeboten, die der Auftraggeber für sich und seine Kunden nutzen kann.

2.2. Integrität

2.2.1 Weitergabekontrolle
Eine Weitergabe der verarbeiteten Daten ist an die in den Verfahrensbeschreibungen angegebenen Stellen vorgesehen. Diese Übertragung findet automatisiert, aber auch manuell und nur im Rahmen des jeweiligen Auftrages statt. Zu vernichtende Drucke werden einer datenschutzgerechten Vernichtung zugeführt. Zur Vernichtung einzelner Dokumente ist ein Aktenvernichter installiert. Elektronische Datenträger werden durch mehrfaches Überschreiben gelöscht und konform zur DIN 66399-2 vernichtet, sodass keine Daten rekonstruiert werden können. Datentransfers erfolgen nur im Rahmen der gesetzlichen Regelungen. Insbesondere findet jedwede elektronische Kommunikation ausschließlich auf verschlüsseltem und gesichertem Wege nach aktuellem Stand der Technik statt.

2.2.2 Eingabekontrolle
Änderungen personenbezogener Daten werden zentral protokolliert und können nachträglich abgerufen werden. Zudem werden Änderungen an Anwendungen und Systemen lokal und remote protokolliert. Dabei ist der Zugriff auf das zentrale Protokollierungssystem stark restriktiv. Bezüglich sämtlicher Anwendungen und Systeme findet ein Monitoring statt, bei etwaigen Störungen und Veränderungen werden Benachrichtigungen an Mitarbeiter mit Sicherheitsfreigabe verschickt.

2.3. Verfügbarkeit und Belastbarkeit/Resilienz (Art. 32 Abs. 1 lit. b DS-GVO)
Zum Schutz vor Datenverlust sind alle Server-Systeme mit einer unterbrechungsfreien Stromversorgung (USV) ausgerüstet, die bei länger andauernden Stromausfällen das System automatisch und kontrolliert herunterfährt. Des Weiteren sind die Festplatten aller Workstations verschlüsselt und zum Schutz vor Diebstahl mit Kensington-Lock gesichert.
Jedes System wird mit einer Firewall betrieben, welche ausschließlich legitime Verbindungen zulässt. Zentrale Firewalls im Netzwerk sorgen für zusätzlichen Schutz vor Viren, Trojanern und weiterer Schadsoftware. Durch die Kombination von zentralen und dezentralen Firewalls als auch AntiViren Software wird ein Höchstmaß an Sicherheit erzielt.
Storages und zentrale Datenspeicher verfügen ebenfalls über AntiViren Software und unterliegen strengen internen Vorgaben bzgl. Nutzung und Sicherung. Alle Storages, Server und Systeme werden mindestens täglich gesichert. Zusätzliche standortübergreifende Backups werden in verschlüsselter Form dezentral (off-site) gespeichert. Durch den Einsatz von Snapshots können strategisch wichtige Systeme und Anwendungen innerhalb kürzester Zeit auch im Worst-Case-Szenario (disaster recovery) wiederhergestellt werden.

2.4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

2.4.1 Datenschutzmanagement
Das Datenschutz-Management (DSMS) hat das Ziel, die Eintrittswahrscheinlichkeit für Datenpannen oder Datenschutzverstöße zu verringern und im Falle eines Eintritts den Schaden und das Risiko für die betroffenen Personen zu begrenzen. Dazu ist ein Datenschutz-Management bzw. Incident Management, konform der ISO/IEC 27001:2013, etabliert, welches nach dem PDCA-Prinzip arbeitet. Es finden in regelmäßigen Abständen Reviews statt, wobei Risikobewertungen durchgeführt und Gefährdungs-Trends abgeleitet werden, um entsprechende Maßnahmen zu ergreifen und eine ständige Weiterentwicklung des Systems zu gewährleisten.

2.4.2 Datenschutzfreundliche Voreinstellungen
Nach internen Vorgaben werden bei der Entwicklung eines jeden neuen Produkts oder Änderung eines bestehenden darauf geachtet, dass ausschließlich diejenigen Daten erhoben werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Gleiches gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. In regelmäßigen Abständen werden bestehende Verarbeitungen hinsichtlich Datenminimierung überdacht und ggf. optimiert.

2.4.3 Auftragskontrolle
Eine Auftragskontrolle beim Auftragnehmer erfolgt, soweit dies für die Auftragsdurchführung erforderlich ist. Auftragsverarbeitungen i.S.d. Art. 28 DS-GVO sind jedoch nicht die vertraglichen Hauptleistungspflichten. Insbesondere hat InterNetX grundsätzlich weder Kenntnis noch Einfluss darauf, ob personenbezogene oder sonstige sensible Daten auf den Kundensystemen gespeichert werden. Sofern InterNetX jedoch beispielsweise im Rahmen von Supportleistungen oder Wartungen eine Zugriffsmöglichkeit auf bestimmte Kundensysteme erhält, wird dies automatisch protokolliert.

Anlage 3:

Genehmigte Subunternehmer

InterNetX GmbH
Johanna-Dachs-Straße 55
93055 Regensburg