Auftragsverarbeitungsvertrag
1. Verantwortlicher und Auftragsverarbeiter
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen
VERANTWORTLICHER
als Auftraggeber und Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, nachfolgend als Verantwortlicher bezeichnet und
Inh. Dipl.-Inform. (FH) Karsten Schulz
Bovermannstraße. 24
44141 Dortmund
als Auftragnehmer und Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO, nachfolgend als Auftragsverarbeiter bezeichnet.
2. Gegenstand, Dauer, Art und Zweck der Verarbeitung
2.1 Es wird eine Software as a Service (SaaS) zur Verfügung gestellt, die die Funktionen eines Hinweisgeber-Meldeportals implementiert. Die Details der Verarbeitung sind aus den Leistungsbeschreibungen des zu diesem Auftragsverarbeitungsvertrags mit abgeschlossenen Abonnements ersichtlich.
2.2 Die Dauer des AVV ist identisch mit der Dauer des vom Verantwortlichen gebuchten Abonnements. Mit Ende des Abonnements endet auch dieser AVV. Wird das Abonnement verlängert, verlängert sich der AVV entsprechend.
2.3 Art und Zweck der Verarbeitung sind das Hosting eines Hinweisgeber-Meldeportals inklusive der Kommunikationsprozesse, der Speicherung anfallender Daten und der Dokumentation der Kommunikation mit den Hinweisgebern sowie die für die Systemverwaltung erforderliche Benutzerverwaltung.
3. Art der personenbezogenen Daten und der Kategorien der betroffenen Personen
3.1 Es werden folgende Datenkategorien verarbeitet: Nutzerkonten mit Nutzernamen, Passwort, Kontaktdaten, Rechnungsanschriften, Anmelde- und Nutzungsinformationen der Nutzer, Meldungen von hinweisgebenden Personen.
3.2 Es werden die Daten folgender Personenkategorien verarbeitet: Kunden, Nutzer des Hinweisgeber-Meldeportals (Meldungsempfänger, Meldungsbearbeiter), hinweisgebende Personen
4. Pflichten des Auftragsverarbeiters
4.1 Der Auftragsverarbeiter verarbeitet die Daten nur nach diesem Vertrag und ausschließlich auf dokumentierte Weisungen des Verantwortlichen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
4.2 Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
4.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgenabschätzungen soweit möglich in angemessenem Umfang (Art. 28 Abs. 3 lit. e und f DSGVO).
4.4 Der Auftragsverarbeiter informiert den Verantwortlichen, falls er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen verstößt. Bis zur Klärung der Sachlage kann der Auftragsverarbeiter die Ausführung der Weisung aussetzen.
4.5 Der Auftragsverarbeiter gewährleistet die Einhaltung von Vertraulichkeit und Verschwiegenheit. Sämtliche Mitarbeitende, die mit dieser Verarbeitung betraut werden, sind hinsichtlich des Datenschutzes sensibilisiert und arbeiten nur nach Weisung.
4.6 Der Auftragsverarbeiter stellt die technischen und organisatorischen Maßnahmen zum Schutz der Verarbeitung in Anlage 1 dar.
4.7 Der Auftragsverarbeiter stellt die Unterauftragnehmer dieser Verarbeitung in Anlage 2 dar. Diese gelten als vom Verantwortlichen genehmigt. Alle Unterauftragnehmer haben ihren Sitz innerhalb der EU / des EWR. Eine Übermittlung personenbezogener Daten in ein Drittland findet nicht statt. Eine Änderung der Unterauftragnehmer wird dem Verantwortlichen 4 Wochen vor Inkrafttreten in Textform angekündigt. Widerspricht der Verantwortliche nicht, gelten die neuen Unterauftragnehmer als genehmigt.
4.8 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen. Er ist verpflichtet, alle solche Anfragen von Betroffenen, sofern sie erkennbar ausschließlich an ihn gerichtet sind, unverzüglich an den Verantwortlichen weiterzuleiten.
4.9 Der Auftragsverarbeiter hält die Vorschriften aus den Artikeln 32 bis 36 DSGVO ein.
4.10 Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Erfüllung der Anforderungen des Art. 28 DSGVO zur Verfügung.
4.11 Der Auftragsverarbeiter lässt Inspektionen des Verantwortlichen zu. Diese dürfen den ordnungsgemäßen Betrieb des Auftragsverarbeiters jedoch nicht beeinträchtigen.
4.12 Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, wenn bei ihm eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 aufgetreten ist.
5. Rechte und Pflichten des Verantwortlichen
5.1 Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich.
5.2 Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
5.3 Weisungsberechtigte Person auf Seiten des Verantwortlichen ist ausschließlich der registrierte Nutzer des Portals unter Anwendung der dort hinterlegten E-Mail Adresse. Die Weisungsempfänger sind regelmäßig unter der E-Mail Adresse support@hinweisgeber-meldeportal.de erreichbar.
6. Ende der Auftragsverarbeitung
6.1 Zum Ende der Auftragsverarbeitung stellt der Auftragsverarbeiter nach Anweisung des Verantwortlichen entweder die Möglichkeit zur Übergabe der verarbeiteten Daten zur Verfügung oder er löscht die Daten.
7. Haftung
Haftung und Schadenersatz sind in Art. 82 DSGVO geregelt.
Dortmund, der 2023-04-03
Verantwortlicher |
Auftragsverarbeiter |
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DSGVO hat der Auftragsverarbeiter folgende technische und organisatorischen Maßnahmen ergriffen.
Vertraulichkeit
Zutrittskontrolle
Serverbetrieb in ISO 27000 zertifizierten Rechenzentren
Bei Abwesenheit verschlossene Türen der Räume mit Verarbeitungsgeräten
Zugangskontrolle
Passwortschutz auf Betriebssystemebene
Schutz durch biometrische Merkmale auf Betriebssystemebene
Passwortschutz der Anwendung
Nutzung verschlüsselter Dateisysteme
Nutzung verschlüsselter Backup-Datenträger
Schutz vor Brute-Force-Attacken durch Limitierung der Online-Zugriffsmöglichkeiten
Serverzugang der Administratoren geschützt durch PublicKey Verfahren
Firewall (Paketfilter)
Passwort-Policy
Zugriffskontrolle
Trennung der Benutzerrechte nach dem Need-to-Know Prinzip
Logging der Anmeldevorgänge im System
Policy zur Vergabe von System-Administratoren-Rechten
gesondertes Logging von System-Administratoren-Tätigkeiten
Möglichkeit der Fernlöschung von Verarbeitungssystemen
Trennungskontrolle
Logische Trennung von Mandanten
Automatisierte Tests der logischen Trennung
Trennung von Test-, Staging- und Produktionsumgebungen
Trennung von Benutzerrollen
geografische Trennung von Produktivsystemen und Backups
Pseudonymisierung
Logging mit Benutzer-Pseudonymen
Integrität
Weitergabe- und Übertragungskontrolle
Nutzung ausschließlich verschlüsselter Netzwerkverbindungen (TLS 1.3+, ssh)
Nutzung verschlüsselter mobiler Datenträger und Verarbeitungssystemen (AES-128, AES-256)
Eingabekontrolle
Logging der Datenänderungen im System
Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
Tägliches Backup
Rollierende Datenträger für das Backup
Einsatz von USV
Redundante Verarbeitungssysteme
Redundante Netzwerkverbindungen
Wiederherstellungsprozeduren und -tests
Belastbarkeitskontrolle
Monitoring der Server-Ressourcen
Auditing der Server-Logs
Denial-of-Service Schutz
Evaluierung der Maßnahmen nach DSGVO
Datenschutz-Management
Regelmäßige Überprüfung und Aktualisierung der Policies
Automatisierte Tests der Schutzmaßnahmen
Auswertung der Logs mit Bewertung der Verbesserungsmöglichkeiten
Strukturiertes Verfahren "Lessons Learned" bei Datenschutz- und Sicherheitsvorfällen
Führen des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO
Führen des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO
Incident-Response-Management
24/7 Erreichbarkeit durch Kontaktformular
Bearbeitung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO
Bericht, Dokumentation und Steuerung von Vorfällen durch Ticketsystem
Auswertung und Statistik zu Vorfällen im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP)
Datenschutzfreundliche Technik und Voreinstellungen
Berücksichtigung der Grundsätze der Datenverarbeitung, insbesondere Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie Datenminimierung und Speicherbegrenzung bei der Planung und Implementierung der Softwareprodukte und der Prozesse
Transparenz durch ausführliche Dokumentation der Systeme und Benennung der eingesetzten Technologien
Auftragskontrolle
Per Policy ausgeschlossene Nutzung von Dienstleistern ausserhalb der EU / des EWR
regelmäßige Kontrolle von Auftragsverarbeitern nach Art. 28 DSGVO
Datenübermittlung erst nach Abschluss eines AV-Vertrags
Geregelter Prozess bei Beendigung eines Auftragsverhältnisses
Anlage 2: Unterauftragnehmer
Mailservices: Heinlein Hosting GmbH, Schwedter Straße 8/9A, 10119 Berlin
Serverhosting: netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe