Vereinbarung zur Auftragsverarbeitung
ABSCHNITT I
Klausel 1. Zweck und Anwendungsbereich
- Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.
- Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
- Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
- Die Anhänge I bis IV sind Bestandteil der Klauseln.
- Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
- Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2. Unabänderbarkeit der Klauseln
- Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
- Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3. Auslegung
Klausel 4. Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5. Kopplungsklausel
- Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
- Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
- Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 6. Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7. Pflichten der Parteien
7.1 Weisungen
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4 Sicherheit der Verarbeitung
- Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den DE 4 DE Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
- Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien
7.6 Dokumentation und Einhaltung der Klauseln
- Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
- Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
- Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
- Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7 Einsatz von Unterauftragsverarbeitern
- Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens drei Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
- Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
- Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
- Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
- Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübermittlungen
- Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
- Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8. Unterstützung des Verantwortlichen
Klausel 9. Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
- bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
- bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
- die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
bei der Einhaltung der Pflicht gemäß: Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
- Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
- die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
ABSCHNITT III – SCHLUSSBESTIMMUNGEN
Klausel 10. Verstöße gegen die Klauseln und Beendigung des Vertrags
- Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
- Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
- der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
- der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
- der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
- Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
- Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
ANHANG I – LISTE DER PARTEIEN
Verantwortliche(r):
Name:
Anschrift:
Name, Funktion und Kontaktdaten der Kontaktperson:
Unterschrift und Beitrittsdatum:
Auftragsverarbeiter:
Name: Onepage GmbH
Anschrift: Onepage GmbH Neue Rothofstr. 13 -19 60313 Frankfurt am Main
Name, Funktion und Kontaktdaten der Kontaktperson: Marcel Knopf, Geschäftsführung, erreichbar wie oben unter dem Adresszusatz „persönlich – vertraulich – Geschäftsführung“
Unterschrift und Beitrittsdatum:
ANHANG II – BESCHREIBUNG DER VERARBEITUNG
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:
Betroffenen sind natürliche Personen (fortan immer als m/w/d zu verstehen) aus den folgenden Betroffenengruppen: potentielle Bewerber, aktuelle Bewerber, ehemalige Bewerber, aktuelle Beschäftigte, ehemalige Beschäftigte, Besucher der Internetseite, potentielle Veranstaltungsnehmer, aktuelle Veranstaltungsteilnehmer, ehemalige Veranstaltungsteilnehmer, potentielle Kunden, aktuelle Kunden, ehemalige Kunden, potentielle Lieferanten, aktuelle Lieferanten, ehemalige Lieferanten, Empfänger werblicher Nachrichten.
Kategorien personenbezogener Daten, die verarbeitet werden
Es werden sämtliche personenbezogene Daten verarbeitet, die der Auftragsverarbeiter im Rahmen seiner Leistungserbringung, in concreto bei Bereithaltung sog. Landingpages verarbeitet. In concreto sind dies folgende Kategorien: Erreichbarkeits- und Kontaktdaten, Status Opt-in/Opt-put, tagging-pixel-basierte Daten, Informationen zum Nutzungsverhalten, vertrags- und nicht vertragsbezogene Beschäftigten-, Kunden- und/oder Lieferantendaten.
Art der Verarbeitung
Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Lösung Onepage auf Grundlage des Vertrags zur Nutzung von Onepage („Hauptvertrag“) zur Verfügung. Gegenstand dieser Lösung ist die Erstellung und Verwaltung von Internetseite, Landingpages, Linktrees und mobilen Funnels. Sobald die o.g. Betroffenen auf diese Internetauftritte gelangen, werden die o.g. verarbeitet, etwa zur Bereitstellung der Internetseite, werblichen Ansprache und Analyse des Nutzungsverhaltens.
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Die Verarbeitung dient der Bereitstellung von Internetauftritten, werblichen Ansprache und Analyse des Nutzungsverhaltens.
Dauer der Verarbeitung
Die Verarbeitung beschränkt auf den Zeitpunkt der Unterstützungsleistung und endet i.d.R. mit dem Ende der betreuten Kampagnen, spätestens aber mit dem Ende des Hauptvertrages.
Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Es werden Marketingleistungen, sowohl im Bereich der Beratung als auch der Umsetzung erbracht. Hierbei erhält der Auftragsverarbeiter Zugriff auf die Systeme der Verantwortlichen (z.B. Social-Media-Konten, Website-Backend) und führt darin die Auftragsverarbeitung aus. Eine Speicherung in den Systemen des Auftragsverarbeiters findet nicht statt. Daher werden auch keine Unterauftragsverarbeiter durch Auftragsverarbeiter beauftragt. Alle eingesetzten Anbieter für Online-Marketing-Tools sind direkte Vertragspartner des hiesigen Verantwortlichen/Auftraggebers.
ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN:
I. Allgemeine Maßnahmen
Maßnahmen zur dauerhaften Gewährleistung der Sicherheit (Nachhaltigkeitskontrolle)
Die Achtung kern- und nebendatenschutzrechtlicher Regelungen ist ein formuliertes Compliance Ziel der Onepage GmbH. Die organisatorische Hoheit zur Sicherstellung der Datenschutzkonformität liegt qua Amt bei der Geschäftsführung. Ihr zur Seite gestellt ist ein externer Datenschutzbeauftragter, der seine Fachkunde durch eine Promotion im internationalen Datenschutzrecht, eine Tätigkeit bei einer datenschutzrechtlichen Aufsichtsbehörde, durch eine Zertifierung des TÜV-Süds sowie durch 16 Jahre (Berufs-)Erfahrung im Datenschutzrecht nachgewiesen hat. Es handelt sich um Dr. Stephan Gärtner (
[email protected]). Als interne Ansprechpartner fungieren die Geschäftsführung sowie eine leitende Mitarbeiterin, die hierin eingearbeitet wurde.
Durch Dienstanweisungen und Schulungen ist sichergestellt, dass der externe Datenschutzbeauftragte alle Informationen erhält, die er zur Aufgabenerfüllung i.S.v. Artikel 39 DSGVO benötigt.
Es wird im Abstand von 18 Monaten anlasslos kontrolliert, ob die nachstehenden Maßnahmen noch genügen, um die erforderliche Sicherheit herzustellen. Falls das nicht mehr der Fall ist, werden neue Maßnahmen festgelegt und umgesetzt. Dieser Vorgang wird dokumentiert.
Es wird im Abstand von 18 Monaten kontrolliert, ob die nachstehenden Maßnahmen überhaupt noch ergriffen werden. Falls das nicht mehr der Fall ist, werden die Maßnahmen erneut umgesetzt. Dieser Vorgang wird dokumentiert.
Das konkrete Prüfungsprogramm wird jeweils vorab festgelegt. Es umfasst mindestens die Prüfung der verarbeitungsbezogenen Risiken, der Soft- und Hardwarerisiken, der mitarbeiterbezogenen Risiken und der auslagerungsbezogenen Risiken. Auf Grundlage dieser Risikoinventur wird ermittelt, welche Risikominierungsmaßnahmen erforderlich sind und ob diese umgesetzt werden.
Schulungs- und Awareness-Maßnahmen
Die Beschäftigten werden regelmäßig (i.d.R. einmal jährlich) geschult. Zum Schulungskonzept ist folgendes auszuführen:
- Ziel der Schulung ist, die Beschäftigten (m/w/d) mit den Grundlagen und Grundbegriffen des Datenschutzrechts vertraut zu machen. Insbesondere sollen die Beschäftigten (m/w/d) anschließend in der Lage sein, anhand des Verbots mit Erlaubnisvorbehalts die grundlegende Frage zu beantworten, wann die Verarbeitung personenbezogener Daten rechtmäßig und wann sie rechtswidrig ist. Ferner sollen sie die erforderlichen technischen und organisatorischen Maßnahmen kennen und wissen, wie sie bei der Umsetzung in ihrem Unternehmen daran mitwirken können und müssen. Ferner soll ein Überblick über die sonstigen datenschutzrechtlichen Pflichten erfolgen, insbesondere jene nach DSGVO und BDSG2018. Insbesondere erfolgt eine Belehrung über das Datengeheimnis.
- Zum Aufbau ist insbesondere auszuführen:
- Block 1 beginnt mit einer groben Einführung, bei der ein Überblick über die kommende Schulung verschafft wird.
- Block 2 beginnt mit einer Einführung in das Datenschutzrecht. Es werden die Grundbegriffe geschult, insbesondere die Begriffe „personenbezogene Daten“, „Verarbeitung“, „Einwilligung“, „Rechtsvorschrift.“. Die Schulung orientiert sich an den Legaldefinitionen der DSGVO und des BDSG2018. Es wird das Verbot mit Erlaubnisvorbehalt erläutert. werden die Rechtmäßigkeitsvoraussetzungen für die Einwilligung besprochen. Anschließend werden die wichtigsten, einwilligungsunabhängigen Rechtsvorschriften erläutert, insbesondere § 26 BDSG2018 (Beschäftigtendatenschutz), Artikel 6 Absatz 1 lit. b DSGVO (Kundendatenschutz) und Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse). Zu jeder Erlaubnisnorm wird mindestens ein Beispielsfall mit den Schulungsteilnehmern (m/w/d) diskutiert, um sicherzustellen, dass alle mit den Normen umgehen können. Außerdem werden die Voraussetzungen der Einwilligung erläutert.
- Block 3 beginnt mit einer Einführung zu den technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO. Hierbei wird v.a. erläutert, dass und welche Risiken zu analysieren sind. Dann wird erklärt, dass diese Risiken mit technischen und organisatorischen Maßnahmen zu minimieren sind. Ferner wird auf die Nachweispflicht eingegangen. Sodann werden die wichtigsten technischen und organisatorischen Maßnahmen im Unternehmen besprochen.
- Block 4 beschäftigt sich mit spezifischen Fragen des Datenschutzrechts im des Geschäftsfeldes einer Marketing-Agentur, wobei insbesondere der Umgang mit den Daten von Auftraggebern besprochen werden. Hierbei wird auf die Weisungsbefugnis der Auftraggeber hingewiesen sowie auf den engen Verarbeitungskorridor. Es werden Beispiele diskutiert.
- Im Block 5 besteht die Möglichkeit, offene Nachfragen zu stellen.
- Neben den Präsenzschulungen gibt es auch ein vom externen Datenschutzbeauftragten aufgezeichnetes, kürzeres Schulungsvideo (in einem Studio aufgezeichnet), in dem die o.g. Schulungsinhalte knapp zusammengefasst werden. Die Beschäftigten der Onepage GmbH können dieses Video jederzeit ansehen.
- Es gibt auch monatliche Kurzvideos des externen Datenschutzbeauftragten (Dauer 1 – 2 Minuten), in denen aktuelle Datenschutzthemen besprochen werden.
Organisatorische Maßnahmen Dokumentation und Rechtmäßigkeit von Weisungen
Die Onepage GmbH führt ein umfassendes Verzeichnis von Verarbeitungstätigkeiten.
- Soweit die Onepage GmbH selbst Verantwortliche ist,
- verfügt sie über ein Verzeichnis von Verarbeitungstätigkeiten für ihre Beschäftigten (m/w/d), ihre Kunden (m/w/d), ihre Lieferanten (m/w/d) und die Besucher ihrer Internetseite (m/w/d). Die Verzeichnisse enthalten die Pflichtangaben nach Artikel 30 Absatz 1 DSGVO sowie eine Dokumentation der einzelnen Verarbeitungsschritte und dies als Prozesskontakte (von Erhebung bis Löschung der Daten).
- führt sie Datenschutzfolgeabschätzungen i.S.v. Artikel 35 DSGVO eigenständig und unter Einbindung ihres externen Datenschutzbeauftragten durch.
- Soweit die Onepage GmbH als Auftragsverarbeiterin tätig ist,
- führt sie die Verzeichnisse i.S.v. Artikel 30 Absatz 2 DSGVO mit allen gesetzlichen Pflichtangaben. Kommen Beschäftigte zum Ergebnis, dass eine Weisung gegen die DSGVO verstößt, konsultieren sie im Zweifelsfall den externen Datenschutzbeauftragten, der erforderlichenfalls mit dem hiesigen Verantwortlichen/Auftraggeber Kontakt aufnimmt und die Rechtmäßigkeit der Weisung klärt.
- unterstützt sie den hiesigen Verantwortlichen/Auftraggeber bei Datenschutzfolgeabschätzungen; dies in Erfüllung ihrer Pflichten als Auftragsverarbeiterin. Allerdings erbringt die Onepage GmbH keine Rechtsberatung.
- Weisungen des hiesigen Verantwortlichen/Auftraggebers werden in Textform dokumentiert.
Datenschutzrechtliche Beratung und Datenschutzbeauftragter
Es wurde ein interner Datenschutzbeauftragter ernannt. Er wird in die Prüfung, Festlegung und Umsetzung der nachfolgenden Maßnahmen eingebunden.
II. Vertraulichkeit
Maßnahmen der Zutrittskontrolle
Die Onepage GmbH arbeitet remote und (zu einem geringen Teil) in Präsenz, sodass sich die Zutrittskontrollmaßnahmen zunächst auf die Betriebsstätte beziehen, zu der nur wenige Beschäftigte Zugang haben und in der auch lediglich Post entgegengenommen wird. Der Zutritt zum Gebäude, in dem sich das Büro befindet, ist durch eine durchgehend verschlossene Tür gesichert. Die Hauszugangstür kann nur mit einem mechanischen Schlüssel oder nach Einlass von innen geöffnet werden. Der Zutritt zum Büro ist durch eine außerhalb der Geschäftszeiten verschlossene Tür gesichert. Innerhalb des Büros befinden sich jedoch ohnehin keine permanenten Hardware-Komponenten, insbesondere kein Server. Ferner werden auf den Systemen des Auftragsverarbeiters keine Daten dauerhaft gespeichert, da er ausschließlich in Systemen des hiesigen Verantwortlichen/Auftraggebers arbeitet.
Ferner hat die Onepage GmbH eine umfassende remote-Dienstanweisung erlassen, die sicherstellt, dass die Beschäftigten während der remote-Arbeit den Zutritt zu Räumen, in denen sich Endgeräte befinden, mit denen Zugriff auf personenbezogene Daten genommen werden, durch Verschließen und personelle Zutrittsbeschränkungen gesichert ist.
Maßnahmen der Zugangskontrolle
Die Onepage GmbH arbeitet remote und (zu einem geringen Teil) in Präsenz, sodass sich die Zugangskontrollmaßnahmen zunächst auf die Betriebsstätte beziehen, zu der nur wenige Beschäftigte Zugang haben und in der auch lediglich Post entgegengenommen wird.
Der Zugang zu jedem client ist passwortgeschützt.
Nur das befugte Personal verfügt über die erforderlichen Zugangsdaten.
Es sind die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) vorgeschlagenen Passwortstands implementiert.
Es ist sichergestellt, dass sich Passwörter nicht an unsicheren Orten (Schreibtischauflage) befinden.
Die Administratoren nutzen ihre Admin-Zugänge nur für Admin-Tätigkeiten und verfügen im Übrigen über gesonderte Zugriffskonten.
Sämtliche clients sind mit einer Virenschutzsoftware ausgestattet.
Die Virenschutzsoftware führt regelmäßig und automatisiert Virenprüfungen durch.
Die Virenschutzsoftware führt regelmäßig und automatisiert Updates durch.
Mit Blick auf das Betriebssystem, Internetbrowser und E-Mail-Programme werden
- Updates regelmäßig durchgeführt.
- Sicherheitspatches regelmäßig eingespielt.
Ferner hat die Onepage GmbH eine umfassende remote-Dienstanweisung erlassen, die sicherstellt, dass der Zugang zu betrieblichen Endgeräten nur für die Beschäftigten selbst möglich ist.
Maßnahmen der Zugriffskontrolle
Ein ausdifferenziertes Zugriffskonzept stellt sicher, dass jeder nur auf die Daten zugreifen kann, die zur Aufgabenerfüllen notwendig sind. Dies durch individuelle Benutzerinnen-Konten und das o.g. Passwortmanagement sichergestellt.
Ferner hat die Onepage GmbH eine umfassende remote-Dienstanweisung erlassen, die sicherstellt, dass die Zugriffsbeschränkungen nicht untergraben werden.
Maßnahmen der Weitergabekontrolle
Internetseite werden https:-verschlüsselt.
E-Mails werden SSL verschlüsselt.
Nichtelektronische Übermittlungen erfolgen über die Deutsche Post.
Maßnahmen der Eingabekontrolle
Eingaben, so sie im auftragsrelevanten Bereich überhaupt manuell getätigt werden, werden geloggt.
Maßnahmen der Auftragskontrolle
Im Rahmen der hiesigen Auftragsverarbeitung werden keine Unterauftragnehmer eingesetzt, sodass eine Auftragskontrolle hier nicht relevant werden wird, da Daten, die in den Anwendungsbereich der Auftragsverarbeitung fallen, nicht in Systemen der Onepage GmbH gespeichert werden. Die Daten, die im Rahmen dieser Auftragsverarbeitung verarbeitet werden, werden ausschließlich in System der Auftraggeberin verarbeitet (z.B. Social-Media-Konten), zu denen die Onepage GmbH Zugriff erhält.
Grundsätzlich aber ist eine Auftragskontrolle natürlich vorgesehen.=
Die Onepage GmbH verfolgt hier eine klare Auslagerungstrategie, die eine Einbindung der zuständigen Fachabteilung und des externen Datenschutzbeauftragten vorsieht.
Die Beteiligten prüften hierbei folgendes:
- Formulierung und Dokumentation der Ausgangslage und des gewünschten Nutzens
- Definition des Untersuchungsgegenstands:
- welcher Service?
- welches Service-Modell?
- Machbarkeit
- Formulierung und Prüfung der rechtlichen Rahmenbedingungen
- Formulierung und Prüfung der technischen Rahmenbedingungen
- Formulierung und Prüfung der organisatorischen Rahmenbedingungen
- Risiken
- Prüfung Risiko: Verlust der Auslagerungstätigkeit (Fremdschaden) nach den Kategorien gering, mittel, hoch
- Prüfung Risiko: Verlust der Auslagerungstätigkeit (Eigenschaden) nach den Kategorien gering, mittel, hoch
- Prüfung rechtliche Risiken nach den Kategorien gering, mittel, hoch
- Prüfung rechtliche Risiken nach den Kategorien gering, mittel, hoch
- Prüfung Reputationsrisiken nach den Kategorien gering, mittel, hoch
- Prüfung weiterer Risikofaktoren
- Kosten und Nutzen
- Nutzungskosten
- Interner Administrationsaufwand
- Interner Anpassungsaufwand: Mitarbeiterschulung
- Interner Anpassungsaufwand: Anpassung Prozesse
- Interner Anpassungsaufwand: IT
- Interne Einsparungen
- Service und Schnittstellen
- Konkrete Definition dessen, was der Service leisten können soll
- Was davon ist eine unverzichtbare Leistung?
- Festlegung der geeigneten Schnittstellen.
- Festlegung der betroffenen Bereiche.
- Was soll in den Verantwortungsbereich des Dienstleisters fallen?
- Was soll in den eigenen Verantwortungsbereich fallen?
- Planung der konkreten Nutzung
- Gibt es einen Vorläufer-Service? Wenn ja, wie wird die Übertragung des Vorläufer-Services an den neuen Dienstleister verlaufen?
- Sofern es keinen Vorläufer-Service gibt, ist zu prüfen, wie die Übertragung des bisher internen Vorgangs auf den neuen Dienstleister verläuft.
- Vorbereitung der Anpassung der Schnittstellen-Systeme.
- Analyse der Kompatibilität der eigenen Schnittstellen-Systeme.
- Kalkulation der mit der Auslagerung einhergehenden Belastung technischer Systeme.
- Anpassung des eigenen Administrationsmodells.
- Konkrete Auswahl
- Reputation (überprüfbare Referenzen)
- Rankings oder Bewertungsmatrizen von (möglichst
- unabhängigen) Organisationen
- Ist die Übernahme solcher Leistungen das Kerngeschäft des Anbieters? Falls nicht, könnte es sein, dass der Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird.
- Welche Handlungen durch den Dienstleister oder Dritte werden erlaubt oder sind möglich?
- An welchen Standorten wird die Tätigkeit durch den Dienstleister ausgeführt?
- Welches geltende Recht liegt einem Vertrag
- zugrunde, welchen rechtlichen Rahmenbedingungen
- unterliegt der Dienstleister?
- Angabe der Subunternehmen zur Service-Erbringung um Abhängigkeiten des Dienstleisters beurteilen zu können.
- Enthält die Service-Beschreibung die unverzichtbaren Leistungen (s.o.)?
- Kompatibilität mit den eigenen Schnittstellen?
- Übereinstimmung mit den eigenen, rechtlichen Rahmenbedingungen?
- Kosten der Erst-Auslagerung.
- Regelmäßige Kosten.
- Einsparung.
- Ort der Leistungserbringung
- Subunternehmerregelung
- Kommunikationswege, Ansprechpartner
- Service-Level
- Regelungen bei Sicherheitsvorfällen/Notfallvorsorge
- Haftungsregelungen
- Wettbewerbsrechtliche Regeln
- Änderungsmanagement
- Vertragslaufzeit
- Konformität mit Artikel 28, 32 DSGVO
Maßnahmen der Trennungskontrolle
Intern ist bei der Onepage GmbH gewährleistet:
- Zu unterschiedlichen Zwecken elektronisch gespeicherte Daten werden getrennt voneinander gespeichert.
- Die Trennung elektronisch gespeicherter Daten ist durch eine ausdifferenzierte Ordner- und Zugriffsstruktur gesichert.
III. Verfügbarkeit, Wiederherstellbarkeit, Belastbarkeit
Maßnahmen der Verfügbarkeitskontrolle
Zur Speicherung personenbezogener Daten ist insgesamt auszuführen, dass hierfür ausschließlich ein cloud-Anbieter eingesetzt wird.
Die Daten werden auf Servern der Microsoft Corporation, One Microsoft Way Redmond, WA 98052-7329 (USA) gespeichert (Microsoft 365). Dieser Anbieter ergreift mit Blick auf die Verfügbarkeit folgende Maßnahmen: Mit Blick auf die Themen Datenspeicherung und Datenredundanz werden die Daten in einer redundanten Umgebung mit zuverlässigen Datenschutzfunktionen gespeichert, um Verfügbarkeit, Geschäftskontinuität und schnelle Wiederherstellung zu ermöglichen. Mehrere Ebenen von Datenredundanz sind implementiert. Sie reichen von redundanten Datenträgern zum Schutz vor lokalen Datenträgerfehlern über die fortlaufende Replikation bis zu geografisch verteilten Rechenzentren. Die Überwachungsmechanismen umfassen alle Datenbanken (Blockierte Prozesse, Paketverlust, Prozesse in der Warteschlange, Abfragewartezeit). Die vorbeugende Wartung umfasst Überprüfungen der Datenbankkonsistenz, regelmäßige Datenkomprimierung und Überprüfungen der Fehlerprotokolle.
Die personenbezogenen Daten werden in der AWS-cloud (Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, United States) gespeichert. AWS st nach ISO/IEC 27018:2014 und nach ISO 27001 zertifiziert. Der Anbieter ergreift in concreto folgende Maßnahmen: Rechenzentren sind in Clustern in verschiedenen globalen Regionen aufgebaut. Alle Rechenzentren sind online und bedienen Kunden. Kein Rechenzentrum ist "kalt". Im Fehlerfall verlagern automatisierte Prozesse den Kundendatenverkehr aus dem betroffenen Bereich. Es ist sichergestellt, dass im Falle eines Rechenzentrumsausfalls genügend Kapazität zur Verfügung steht, um den Lastausgleich für die verbleibenden Standorte zu kompensieren. Ferner differenziert der Anbieter zwischen verschiedenen Verfügbarkeitszonen. Jede Verfügbarkeitszone ist als unabhängige Fehlerzone ausgelegt. Dies bedeutet, dass die Verfügbarkeitszonen innerhalb einer typischen Metropolregion räumlich getrennt sind und sich in Niedrigwasser-Überschwemmungsgebieten befinden (die spezifische Kategorisierung der Überschwemmungsgebiete variiert je nach Region). Zusätzlich zur unterbrechungsfreien Stromversorgung und zu den Onsite-Backup-Generatoren wird die Energiezufuhr über verschiedene Netze von unabhängigen Versorgungsunternehmen gespeist, um einzelne Fehlerquellen weiter zu reduzieren. Verfügbarkeitszonen sind alle redundant verbunden.
Die personenbezogenen Daten werden in der Google-Workspace-cloud (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist) gespeichert. Google ist nach ISO 27001 zertifiziert. Ergänzend ist hierzu folgendes auszuführen: Google speichert die Daten in einer geschützten Umgebung von eigenen Servern. Daten, die Services-Datenbank und die Dateisystemarchitektur werden zwischen mehreren geografisch verteilten Rechenzentren repliziert, wobei sichergestellt ist, dass die Vertraulichkeit und Trennung der Daten gewährleistet ist. Die hierfür verwendeten Infrastruktursysteme sind in der Lage, einzelne Fehlerquellen zu eliminieren und die Auswirkungen von zu erwartenden Umweltrisiken zu minimieren. Zweifache Schaltkreise, Schalter, Netzwerke oder andere notwendige Geräte tragen dazu bei, diese Redundanz bereitzustellen. Hierbei ist sichergestellt, dass Google bestimmte Risiken früh erkennen und minimieren kann. Die hierfür erforderliche Wartung kann i.d.R. störungsfrei verlaufen. Hier gibt es dokumentierte, präventive Wartungsverfahren. Die vorbeugende Wartung der Rechenzentrumsausrüstung erfolgt auf Grundlage eines standardisierten Änderungsprozesses. Die Stromversorgungssysteme des Rechenzentrums sind so konzipiert, dass sie redundant und wartungsfähig sind, ohne den kontinuierlichen Betrieb zu beeinträchtigen, 24 Stunden am Tag und 7 Tage die Woche. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Backup-Strom wird durch verschiedene Mechanismen wie unterbrechungsfreie Stromversorgungen zur Verfügung gestellt, die einen konsistent zuverlässigen Stromschutz während Versorgungsspannungsabfällen, Stromausfällen, Überspannung, Unterspannung und außerhalb der Toleranz liegenden Frequenzbedingungen liefern. Wenn die Netzstromversorgung unterbrochen wird, ist die Notstromversorgung so ausgelegt, dass das Rechenzentrum bei voller Auslastung für bis zu 10 Minuten mit Strom versorgt wird, bis die Dieselgeneratorsysteme die Stromversorgung übernehmen. Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch hochzufahren, um genügend Notstrom zu liefern, um das Rechenzentrum typischerweise über einen Zeitraum von mehreren Tagen mit voller Kapazität zu betreiben.
Maßnahmen für die rasche Wiederherstellbarkeit
Durch die o.g. Maßnahmen der Verfügbarkeitskontrolle ist sichergestellt, dass eine rasche Wiederherstellbarkeit gegeben ist. Es ist ein Notfallkonzept für Vorfälle des Datenverlustes oder der eingeschränkten Verfügbarkeit implementiert.
Maßnahmen für die Sicherstellung der Belastbarkeit
Es findet ein durchgehendes Systemmonitoring statt.
ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER:
Drittanbieter: Im Zusammenhang mit der Bereitstellung der Landingpage werden Dienste der Google Ireland Ltd. (Irland - EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass die Daten in die USA übermittelt werden, ggf. im Zusammenwirken mit der Google LLC (USA). Denn die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt.
Drittanbieter: Mit der Bereitstellung eines Cloud-Delivery-Networks wird die Cloudflare, Inc. betraut, die auch gemäß Artikel 28 DSGVO beauftragt wurde. Der Verarbeitung steht nicht entgegen, dass die Daten in die USA übermittelt werden. Denn die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt.