Vertrag gemäß Art. 28 DSGVO

zwischen dem/der



- nachstehend Auftraggeber genannt -

und dem/der

net advisor
Inh. Nico Weinreich
Am Krehergrund 23
09221 Neukirchen
Deutschland

- nachstehend Auftragnehmer genannt -

Inhaltsübersicht

1. Gegenstand und Dauer des Vertrags

  1. Dieser Vertrag zur Auftragsverarbeitung ist Bestandteil eines Hauptauftrags­verhältnisses auf welches ausdrücklich verwiesen wird (im Folgenden Leistungsvereinbarung).
  2. Gegenstand des Vertrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
    • Bereitstellung einer Online-Software EU-Rechnung als Software-as-a-Service Tool
  3. Die Dauer dieses Vertrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung. Eine Kündigung oder anderweitige Beendigung des Hauptauftragsverhältnisses beendet gleichzeitig diese Vereinbarung zur Auftragsverarbeitung.
  4. Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).
  5. Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.

2. Konkretisierung des Vertragsinhalts

  1. Art und Zweck der vorgesehenen Verarbeitung von Daten
    Nähere Beschreibung des Vertragsgegenstandes im Hinblick auf Art und Zweck der Aufgabe des Auftragnehmers:
    • Bereitstellung einer Online-Software EU-Rechnung zur Unterstützung des Rechnungswesens
    • Automatisierte Umwandlung von Rechnungen in ein elektronisches, strukturiertes Format
    • Erstellung ausgehender und Verarbeitung eingehender E-Rechnungen
    • Konformitätsprüfung von E-Rechnungen
    • Verarbeitung der vom Auftraggeber bereitgestellten personen- und nicht-personenbezogen Daten zur Erbringung vorgenannter Leistungen
  2. Art der Daten
    Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
    • Vertragsstammdaten
    • Personenstammdaten
    • Kommunikationsdaten
    • Rechnungsdaten
  3. Kategorien betroffener Personen
    Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
    • Kunden
    • Lieferanten
    • Interessenten

3. Technisch-organisatorische Maßnahmen

  1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung. Die entsprechend getroffenen technisch-organisatorischen Maßnahmen sind in Anlage I spezifiziert. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Vertrags.
  2. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
  3. Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzen.

4. Rechte von betroffenen Personen

  1. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  2. Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

  1. Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
    1. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
    2. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
    3. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
    4. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
    5. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
    6. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieses Vertrags.
    7. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
    8. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
    9. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
  2. Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DSGVO.

6. Unterauftragsverhältnisse

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  2. Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
    Der Auftraggeber stimmt der Beauftragung der in Anlage II bezeichneten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO mit dem Unterauftragnehmer zu. Die vertragliche Vereinbarung wird dem Auftraggeber auf dessen Verlangen vorgelegt, wobei geschäftliche Klauseln ohne datenschutzrechtlichen Bezug hiervon ausgenommen sind.
    Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel der gemäß Anlage II bestehenden Unterauftragnehmer ist zulässig, soweit:
    • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt und
    • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
    • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
  3. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung. Der Auftragnehmer stellt ferner sicher, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann.
  4. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
  5. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Internationale Datentransfers

  1. Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DSGVO.
    Der Auftraggeber gestattet eine Datenübermittlung in ein Drittland. In der Anlage II werden die Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus aus Art. 44 ff. DSGVO im Rahmen der Unterbeauftragung spezifiziert.
  2. Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DSGVO verantwortlich.

8. Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen.
  2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
  3. Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch:
    • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
    • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
    • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, ITSicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
    • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

9. Weisungsbefugnis des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt.
  2. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

11. Vergütungsanspruch

  1. Soweit der Auftraggeber Unterstützung bei der Wahrung der Rechte von betroffenen Personen nach Ziffer 4 dieses Vertrags benötigt, hat er die hierdurch entstehenden Kosten zu erstatten.
  2. Soweit der Auftraggeber Kontrollrechte nach Ziffer 8 dieses Vertrags ausübt, sind die Aufwände des Auftragnehmers zu erstatten. Insofern in der Leistungsvereinbarung über die Höhe des Entgelts keine Regelung getroffen wurde, orientiert sich das Entgelt an einem vorab festzulegenden Stundensatz für das durch den Auftragnehmer zur Betreuung bereitgestellte Personal.
  3. Erteilt der Auftraggeber dem Auftragnehmer Weisungen nach Ziffer 9, so hat er die durch diese Weisung entstehenden Kosten zu erstatten.

12. Schlussbestimmungen

  1. Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form.
  2. Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
  3. Es gilt das Recht der Bundesrepublik Deutschland.
  4. Die Parteien vereinbaren als Gerichtsstand das für den Sitz des Auftragnehmers zuständige Gericht.
Ort, Datum


Auftraggeber


Ort, Datum


Auftragnehmer

Anlage I
Technisch-organisatorische Maßnahmen

Beschreibung der technischen und organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen.

Bei der Auslagerung von Verarbeitungen an weitere Auftragsverarbeiter, werden nur Unterauftragnehmer mit ISO/IEC 27001 zertifizierten Rechenzentren eingesetzt. Die nachfolgend beschriebenen Maßnahmen erstrecken sich daher ausschließlich auf den Einflussbereich des Auftragnehmers im Sinne dieses Vertrags.

I. Vertraulichkeit
  • Zutrittskontrolle
    1. Zutrittskonzept
      Es existiert ein Konzept zur Regelung von Zutrittsberechtigungen zu Firmen- und Büroräumen
    2. Besucherregelung
      Der Zutritt von Besuchern zu Firmen- und Büroräumen erfolgt nur in Begleitung und wird protokolliert
    3. Regelung der Schlüsselvergabe
      Schlüssel für den Zutritt werden nur an berechtigte Personen herausgegeben, die Herausgabe wird protokolliert
    4. Sicherheitsschlösser
      Türen sind mit einer mechanischen Schließanlage mit Sicherheitsschlössern ausgestattet
  • Zugangskontrolle
    1. Zugangskonzept
      Es existiert ein Konzept, welches den Zugang von Mitarbeitern zu datenverarbeitenden Systemen regelt (z.B. durch Benutzerlogins)
    2. Zugangsprotokoll
      Der Zugang zu Datenverarbeitungssystemen wird protokolliert (z.B. Benutzerkennung und Zeitpunkt der Anmeldung an Betriebssystem oder Anwendung)
    3. Richtlinie für sichere Passwörter
      Es existieren Vorgaben für die Erstellung und Verwendung von sicheren Passwörtern
    4. Zugangssperre in DV-Systemen
      Endgeräte müssen beim (vorübergehenden) Verlassen des Arbeitsplatzes gegen unbefugte Nutzung gesichert werden (z.B. durch Bildschirmsperre)
    5. Richtlinie für mobile Geräte
      Es existieren Vorgaben für den Einsatz oder bei Verlust mobiler Endgeräte durch Mitarbeiter
    6. Clean-Desk-Richtlinie
      Es existieren Vorgaben, um personenbezogene Daten an Arbeitsplätzen vor dem Zugriff Dritter zu schützen
    7. Firewall
      Einsatz einer geeigneten Firewall auf Arbeitsplatzrechnern, Notebooks und Servern, sowie regelmäßige Aktualisierung der Filterregeln
    8. Anti-Viren-Software
      Auf Arbeitsplatzrechnern und Notebooks wird eine Antivirensoftware eingesetzt und regelmäßig aktualisiert
    9. Spamfilter
      Beim Empfang von E-Mails werden Spamfilter eingesetzt
    10. Datenträgerverschlüsselung
      Vollständige Verschlüsselung von Datenträgern in Arbeitsplatzrechnern, Notebooks und Servern
    11. Verschlüsselung mobiler Datenträger
      Mobile Datenträger (z.B. USB-Sticks, externe Festplatten) sind zum Schutz vor Datenverlust vollständig verschlüsselt
    12. Verschlüsselung von Mobilgeräten
      Verwendung der integrierten Verschlüsselung von mobilen Endgeräten (z.B. Smartphones, Tablets)
    13. Zwei-Faktor-Authentifizierung
      Beim Einsatz cloudbasierter Dienste wird eine Zwei-Faktor-Authentifizierung (2FA) eingesetzt
  • Zugriffskontrolle
    1. Zugriffskonzept
      Es existiert ein Konzept zur Regelung von Zugriffsberechtigungen der Mitarbeiter im für die Aufgabenerfüllung erforderlichen Umfang
    2. Systemtrennung
      Es wird eine Trennung zwischen Entwicklungs-, Test- und Produktionsumgebung gewährleistet
    3. Logische Mandantentrennung
      Die Kundendaten verschiedener Mandanten werden logisch getrennt voneinander verarbeitet
    4. Löschkonzept
      Es existiert ein Konzept, welches regelt, wann und wie personenbezogene Daten gelöscht werden müssen
    5. Richtlinie Löschen und Vernichten
      Es existieren Vorgaben für das sichere Löschen und Vernichten von Datenträgern und personenbezogenen Daten
II. Integrität
  1. Datenübertragungskonzept
    Es existiert ein Konzept zur Regelung und Dokumentation von Datenempfängern und des sicheren Datenaustauschs
  2. Datenübertragungskontrolle
    Vorgänge zur Datenübertragung werden regelmäßig hinsichtlich Sicherheit und Konformität geprüft
  3. Datenänderungsprotokoll
    Die Eingabe, Änderung und Löschung von Daten wird unter Einbeziehung der Benutzerkennung protokolliert
  4. E-Mail-Transportverschlüsselung
    Einsatz einer verschlüsselten Verbindung zum Schutz vor unbefugtem Zugriff durch Dritte beim Transport von E-Mails zwischen beteiligten Servern
  5. SSL-Webseitenverschlüsselung
    Einsatz einer verschlüsselten Verbindung (HTTPS) für die Übertragung der Webseiteninhalte und das Übermitteln von Formularinhalten
  6. Verschlüsselte Verbindungen
    Nutzung verschlüsselter Verbindungen (z.B. SSH oder VPN) für den Zugriff auf entfernte Arbeitsplatzrechner oder Server
III. Verfügbarkeit und Belastbarkeit
  1. Backup- und Recoverykonzept
    Es existiert ein Konzept zur Durchführung von Datensicherungen und -wiederherstellungen
  2. Dezentrale Aufbewahrung der Sicherungsmedien
    Sicherungsmedien werden an mindestens einem weiteren Ort aufbewahrt
  3. Festplattenspiegelung
    Festplatten in Servern werden zum Schutz vor Ausfällen gespiegelt (z.B. durch RAID)
  4. Infrastruktur- und Applikations-Monitoring
    Überwachnung von Servern zur automatisierten Benachrichtigung bei Ausfällen und Problemen mit Hard- oder Software
  5. Regelmäßige Updates
    Systeme werden regelmäßig aktualisiert (z.B. durch Firmware-, Betriebssystem- und Software-Updates)
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
  1. Incident-Response-Management
    Es existieren Vorgaben für das Vorgehen und erforderliche Maßnahmen bei IT-Sicherheitsvorfällen und Datenpannen
  2. Sensibilisierung der Mitarbeiter
    Mitarbeiter werden regelmäßig hinsichtlich datenschutzrechtlicher Bestimmungen sensibilisiert und geschult
  3. Mitarbeiterverpflichtung
    Mitarbeiter sind auf die Vertraulichkeit bzw. auf das Datengeheimnis verpflichtet
  4. Auftraggeberweisung
    Mitarbeiter sind mit den Vorgaben zum Weisungsrecht im Zusammenhang mit Auftragsverarbeitung vertraut
  5. Home-Office-Regelung
    Es existieren Vorgaben für den Umgang mit personenbezogenen Daten am Telearbeitsplatz

Anlage II
Genehmigte Unterauftragsverhältnisse

Firma/Unterauftragnehmer Anschrift/Land Leistung Serverstandort Rechtliche Grundlage
Hetzner Online GmbH Industriestraße 25
91710 Gunzenhausen
Deutschland		 Hostingdienstleister Deutschland AV-Vertrag gemäß DSGVO
Mailjet GmbH Friedrichstraße 68
10117 Berlin
Deutschland		 E-Mail-Kampagnen und Transaktionale E-Mails Deutschland AV-Vertrag unter Einbeziehung der EU-Standardvertragsklauseln
Microsoft Corporation One Microsoft Way
Redmond, WA 98052
USA		 Sprachmodell (LLM) zur Datenverarbeitung Westeuropa AV-Vertrag unter Einbeziehung der EU-Standardvertragsklauseln

Stand: 20.08.2024