Datenschutz und Nutzungsbedingungen

DATENVERARBEITUNGSVEREINBARUNG GEMÄSS ART. 28 DS-GVO

1. Umfang, Art (Art. 4 Nr. 2 DS-GVO) und Zweck der Datenverarbeitung:

Personenbezogene Daten (Namen, E-Mail-Adressen, Telefonnummern sowie Titel) von Mitarbeitern des Kunden oder seiner Kunden werden verarbeitet, sofern diese
a) elektronisch oder nicht elektronisch mit dem Auftragnehmer als Kontaktperson des Auftraggebers kommunizieren,
b) die vom Auftragnehmer entwickelte Software als Nutzer betreiben oder
c) in Geschäftsdokumenten, die vom Auftragnehmer bearbeitet werden (z. B. Anfragen, Angebote, Bestellungen usw.), identifizierbar erwähnt werden.
Darüber hinaus werden personenbezogene Daten von Kontaktpersonen bei Vertragspartnern des Kunden verarbeitet, wenn diese
a) in Geschäftsdokumenten, die vom Auftragnehmer bearbeitet werden (z. B. Anfragen, Angebote, Bestellungen usw.), identifizierbar erwähnt werden. Die Verarbeitung umfasst alle Arten der Verarbeitung gemäß Art. 4 Nr. 2 DSGVO.

2. Art der Daten:

Data category List of specifically processed data
Professional contact and organization data Name, first name, gender, address, e-mail address, telephone number, cell phone number
Data on professional conditions Job title, tasks, activities, qualifications
Other Professional email and chat messages, actions performed in the contractor's software.

3. Kreis der betroffenen Personen:

Affected group Description Examples
Employees of the Client/responsible party Own employees of the Client, i.e. employees in sales or order processing as well as contact persons in the IT department Employees, trainees, applicants, former employees
Employees of other companies Employees of other companies whose personal data are processed for the Client/responsible party, i.e. employees in purchasing and contacts in the IT department Employees, trainees, applicants, former employees
Customers of the Client/responsible party Any person with whom a business relationship exists (with the respective responsible entity) Purchaser, insurance holder, tenant, Client of a service
Other business partners Any natural person with whom a business relationship exists (with the client) except customers Suppliers, importers, service providers, intermediaries, freelancers

4. SUBUNTERNEHMER

Zu den zum Zeitpunkt des Abschlusses dieses OPA zugelassenen Subunternehmern gehören:

Nr. Subcontractor (name, address, contact person) Categories of data processed Activity description Place of data processing
1 Google, LLC All of the above-mentioned in clause 2 Email, calendar, file storage services and cloud services (GCP) Germany
2 Microsoft Corp. All of the above-mentioned in clause 2 Various data processing services (Azure Cloud) EU
3 Twilio Inc. All of the above-mentioned in clause 2 Email services EU
4 Telekom Deutschland GmbH All of the above-mentioned in clause 2 Datenübertragung (X.400 network) Germany
5 Amazon.com, Inc. All of the above-mentioned in clause 2 Hosting provider and various data processing services (AWS) Germany
6 Axiom, Inc All of the above-mentioned in clause 2 Logging and Overservability services Worldwide
7 Functional Software, inc (Sentry) All of the above-mentioned in clause 2 Application monitoring services Worldwide
8 Algolia, inc All of the above-mentioned in clause 2 Data Indexing services EU
9 Fly.io, inc All of the above-mentioned in clause 2 Data processing services (Tradacoms) EU

5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

5.1 Vorlage für die technischen und organisatorischen Maßnahmen:

5.1.1 Zugangskontrolle zu Räumen und Einrichtungen, in denen Daten verarbeitet werden

Unbefugter Zugriff muss verhindert werden, wobei der Begriff räumlich zu verstehen ist
Verantwortlich dafür ist: Amazon.com, Inc. Rechenzentrum in Frankfurt am Main, unterliegt europäischem Recht; zu den geeigneten Maßnahmen gehören: architektonische Maßnahmen wie „physische“ Zugangsbarrieren sowohl im Umkreis als auch zu den Gebäuden, separate Gebäude und separate Serverräume mit jeweils separaten Schlössern/technische Maßnahmen wie Sicherheitsschließsysteme zu den Gebäuden und Serverräumen, Zutrittskontrollsysteme (Code- und/oder Ausweisleser, Magnet- und/oder Chipkarten), Zwei-Faktor-Authentifizierung speziell autorisierter Mitarbeiter für das Rechenzentrum Fußböden, Video Überwachung, Einbruchmeldeanlagen, Alarmanlagen/ organisatorische Maßnahmen wie Zutrittskontrollen durch professionelles Sicherheitspersonal, Überwachung aller Mitarbeiter und Protokollierung aller Arbeiten auf den Stockwerken des Rechenzentrums usw.

5.1.2 Zutrittskontrolle

Unbefugte müssen daran gehindert werden, in die Datenverarbeitungssysteme (IT) einzudringen. Ebenso müssen Aktivitäten in Datenverarbeitungssystemen (IT) außerhalb erteilter Berechtigungen sowie unbefugte Zugriffe von außen auf das System verhindert werden. 

Der Prozessor hat die folgenden Maßnahmen ergriffen:

Zusätzlich zu den in Abschnitt 8.2.1 beschriebenen technischen Maßnahmen müssen Zugangsberechtigungen und Benutzerkonten für IT-Systeme auf das „notwendige Minimum“ beschränkt werden. Der direkte Zugriff auf Server ist nur für die zu diesem Zweck ernannten Systemadministratoren und nur von speziell dafür vorgesehenen Endgeräten aus möglich. Die Verwendung von „unsicheren“ Passwörtern wird vom System nach Möglichkeit verhindert. Als zusätzliche Sicherheitsmaßnahme ist für den Zugriff auf Datenverarbeitungssysteme eine mehrstufige Authentifizierung erforderlich (sofern vom System unterstützt). Ein auf Benutzerrollen basierendes Autorisierungssystem wird verwendet, um jedem Mitarbeiter des Auftragnehmers nur den Zugriff zu gewähren, der zur Erfüllung seiner Aufgaben erforderlich ist.

5.1.3 Eingangskontrolle

Die Rückverfolgbarkeit oder Dokumentation der Datenverwaltung und -pflege muss gewährleistet sein. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, geändert oder entfernt (gelöscht) wurden. 

Der Verarbeiter hat die folgenden Maßnahmen ergriffen: 

Das Eingeben, Ändern oder Löschen von Daten in den Datenverarbeitungssystemen des Auftragnehmers ist nur über personalisierte Benutzerkonten möglich. Jedes Benutzerkonto oder jeder Mitarbeiter des Auftragnehmers und des Auftraggebers kann durch eine individuelle, eindeutig zugewiesene Benutzerkennung identifiziert werden. Alle Aktionen, die Mitarbeiter des Auftragnehmers oder des Auftraggebers in den Datenverarbeitungssystemen des Auftragnehmers vornehmen — zumindest jedoch diejenigen, die die in Ziffer 3 beschriebenen personenbezogenen Daten betreffen oder enthalten — werden automatisch mit Nutzerkennung und Zeitstempel protokolliert.

5.1.4 Auftragssteuerung

Die weisungsgemäße Auftragsdatenverarbeitung muss gewährleistet sein. Die Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist nach den Weisungen des Auftraggebers/Datenexporteurs zulässig. Maßnahmen (technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen dem Auftraggeber/Datenexporteur und dem Auftragnehmer/Datenimporteur. 

Der Verarbeiter hat die folgenden Maßnahmen ergriffen — ausführliche Beschreibung:

Es gibt klare Vertragsregelungen, die Ernennung eines Datenschutzbeauftragten beim Auftragnehmer, die Anweisung aller Mitarbeiter des Auftragnehmers und seiner Subunternehmer zur Wahrung des Datenschutzgeheimnisses sowie eine sorgfältige Auswahl der Subunternehmer.

5.1.5 Getrennte Datenverarbeitung/Trennkontrolle

Die getrennte Verarbeitung der für verschiedene Zwecke erhobenen Daten muss gewährleistet sein. Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Kunden müssen gewährleistet werden. 

Der Auftragnehmer hat folgende Maßnahmen ergriffen:

Die logische Trennung der Daten verschiedener Auftraggeber erfolgt in den Datenverarbeitungssystemen des Auftragnehmers. Es ist sicherzustellen, dass die Daten eines Kunden für andere Kunden nicht sichtbar oder zugänglich sind.

5.1.6 Übertragungskontrolle

Aspekte der Übertragung personenbezogener Daten müssen reguliert werden (elektronische Übertragung, Datentransport, Übertragungskontrolle usw.), um Verlust, Änderung oder unbefugte Veröffentlichung zu verhindern. Es müssen Maßnahmen getroffen werden, die den Transport, die Übertragung oder die Speicherung auf Datenträgern (manuell oder elektronisch) und die anschließende Überprüfung betreffen. 

Der Auftragnehmer hat folgende Maßnahmen ergriffen: 

Verbindungen, die ausschließlich durch SSL-Verschlüsselung gesichert sind, werden in beide Richtungen zwischen dem Browser des Kunden und den Rechenzentren von Amazon.com, Inc. hergestellt.

5.1.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Daten müssen vor versehentlicher Zerstörung und Verlust geschützt werden. Maßnahmen zur Datensicherung (physisch/logisch). 

Der Auftragnehmer hat die folgenden Maßnahmen ergriffen:

Es erfolgt ein tägliches Backup in Form von Sicherungskopien aller Daten. Sicherungskopien werden physisch getrennt auf Servern gespeichert, die vom Subunternehmer Amazon.com, Inc. speziell für maximale Ausfallsicherheit entwickelt wurden.

5.1.8 Organisatorische Kontrolle

Wie wird die reibungslose Organisation von Datenschutz und Sicherheit im Unternehmen gewährleistet? Der Auftragnehmer hat folgende Maßnahmen ergriffen: 

Für die Verarbeitung von Daten im Unternehmen werden Prozesse und Arbeitsabläufe definiert, und die Umsetzung und Einhaltung der Prozesse werden überwacht. Unsere Mitarbeiter sind in folgenden Bereichen geschult bzw. verpflichtet:

  • Grundsätze des Datenschutzes und der IT-Sicherheit
  • Verschwiegenheitspflicht über Betriebs- und Geschäftsgeheimnisse
  • Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und anderen Dokumenten
  • Der Auftragnehmer stellt sicher, dass die Erbringung der Dienstleistungen in Übereinstimmung mit dem Datenschutzrecht erfolgt