Privacy & Terms

DATENVERARBEITUNGSVEREINBARUNG GEMÄSS ART. 28 GDPR

1. Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung

Es werden personenbezogene Daten von Mitarbeitern des Auftraggebers verarbeitet, sofern diese
a) als Kontaktperson des Auftraggebers mit dem Auftragnehmer elektronisch oder nicht-elektronisch kommunizieren,
b) als Benutzer die vom Auftragnehmer entwickelte Software bedienen, oder
c) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.) identifizierbar Erwähnung finden.
Des Weiteren werden personenbezogen Daten von Kontaktpersonen bei Handelspartnern des Auftraggebers verarbeitet sofern diese
a) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.) identifizierbar Erwähnung finden. Die Verarbeitung umfasst alle Arten der Verarbeitung nach Art. 4 Nr. 2 DSGVO

2. Art der Daten:

Datenkategorie Auflistung konkret verarbeiteter Daten
Auflistung konkret verarbeiteter Daten Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
Daten zu beruflichen Verhältnissen Berufsbezeichnung, Aufgaben, Tätigkeiten, Qualifikationen
Sonstiges Sonstiges

3. Kreis der Betroffenen:

Betroffenengruppe Beschreibung Beispiele
Mitarbeiter des Auftraggebers/des Verantwortlichen Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Mitarbeiter anderer Unternehmen Mitarbeiter anderer Unternehmen, deren personenbezogene Daten für den Auftraggeber/den Verantwortlichen verarbeitet werden Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Kunden des Auftraggebers/des Verantwortlichen Jede Person, mit der eine Kunden-Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle) Käufer, Versicherungsnehmer, Mieter, Kunden einer Dienstleistung
Sonstige Geschäftspartner Jede natürliche Person, mit der eine Geschäftsbeziehung besteht (mit dem Auftraggeber) außer Kunden Lieferanten, Importeure, Dienstleister, Vermittler, Freelancer

4. Unterauftragnehmer

Zum Kreis der Unterauftragnehmer gehören:

Nr. Unterauftragnehmer Verarbeitete Datenkategorien Beschreibung der Tätigkeit Ort der Datenverarbeitung
1 Google, LLC Alle in Ziffer 2 E-Mail, Kalender, Dateispeicherdienste und Cloud-Dienste (GCP) Deutschland
2 Microsoft Corp. Alle in Ziffer 2 Versch. Datenverarbeitunsdienste (Azure Cloud) EU
3 Twilio Inc. Alle in Ziffer 2 Emaildienste EU
4 Telekom Deutschland GmbH Alle in Ziffer 2 Datenübertragung (X.400 Netzwerk) Deutschland
5 Amazon.com, Inc. Alle in Ziffer 2 Hosting-Anbieter und verschiedene Datenverarbeitungsdienste (AWS) Deutschland
6 Axiom, Inc. Alle in Ziffer 2 Protokollierungs- und Überprüfungsdienste Weltweit
7 Funktionale Software, Inc (Sentry) Alle in Ziffer 2 Dienste zur Anwendungsüberwachung Weltweit
8 Algolia, Inc. Alle in Ziffer 2 Indexierungsdienste für Daten EU
9 Fly.io, Inc. Alle in Ziffer 2 Datenverarbeitungsdienste (Tradacoms) EU

5. Technische und organisatorische Maßnahmen

5.1 Vorlage für die technischen und organisatorischen Maßnahmen:

5.1.1. Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden

Unbefugter Zugriff muss verhindert werden, wobei der Begriff räumlich zu verstehen ist Verantwortlich hierfür ist: Amazon.com, Inc. Rechenzentrum in Frankfurt am Main, unterliegt europäischem Recht; Geeignete Maßnahmen sind: architektonische Maßnahmen wie "physische" Zutrittsbarrieren sowohl im Außenbereich als auch zu den Gebäuden, getrennte Gebäude und getrennte Serverräume mit jeweils separaten Schlössern / technische Maßnahmen wie Sicherheitsschließanlagen zu den Gebäuden und Serverräumen, Zugangskontrollsysteme (Code- und/oder Ausweisleser, Magnet- und/oder Chipkarten), Zwei-Faktor-Authentifizierung von besonders autorisierten Mitarbeitern für die Rechenzentrumsetagen, Videoüberwachung, Einbruchmeldeanlagen, Alarmanlagen / organisatorische Maßnahmen wie Zugangskontrollen durch professionelles Sicherheitspersonal, Überwachung aller Mitarbeiter und Protokollierung aller Arbeiten auf den Rechenzentrumsetagen, etc.

5.1.2 Zugangs- und Zugriffskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungs(DV)-Systeme (IT-Systeme) ist zu verhindern. Ebenso sind Tätigkeiten in DV-Systemen (IT-Systemen) außerhalb eingeräumter Berechtigungen sowie unerlaubte Zugriffe auf das System von außen zu verhindern.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Zusätzlich zu den in Ziffer 5.2.1 beschriebenen technischen Maßnahmen, werden Zugangsberechtigungen und Benutzerkonten für DV-Systeme auf das “Notwendigste” beschränkt. Ein direkter Zugriff auf Server ist ausschließlich den dafür beauftragten Systemadministratoren und nur von speziell dafür designierten Endgeräten möglich. Eine verwendung von “unsicheren” Passwörtern wird systemseitig wo möglich verhindert. Als zusätzliche Sicherheitsmaßnahme ist (soweit systemseitig unterstützt) eine mehrfaktor authentifizierung für den Zugriff auf DV-Systeme notwendig. Ein auf Benutzerrollen basiertes Berechtigungssystem wird verwendet, um jedem Mitarbeiter des Auftragnehmers nur die für die Erfüllung seiner Aufgaben nötigen Zugänge zu erteilen.

5.1.3 Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen:

Eine Eingabe, Veränderung oder Löschung von Daten in den DV-Systemen des Auftragnehmers ist nur über personalisierte Benutzerkonten möglich. Alle durch Mitarbeiter des Auftragnehmers oder Auftraggebers in den DV-Systemen des Auftragnehmers ausgeführten Aktionen - mindestens jedoch diejenigen, die in Ziffer 1.3 beschriebene personenbezogene Daten betreffen oder beinhalten - werden automatisiert mit Benutzerkennung und Zeitstempel protokolliert.

5.1.4 Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt. Maßnahmen (technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber/Datenexporteur und Auftragnehmer/Datenimporteur.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Es erfolgt eine eindeutige Vertragsgestaltung, Bestellung eines Datenschutzbeauftragten beim Auftragnehmer, Unterweisung aller Mitarbeiter des Auftragnehmers und seiner Subunternehmer auf Wahrung des Datenschutzgeheimnisses, sorgfältige Auswahl der Subunternehmer.

5.1.5 Getrennte Verarbeitung von Daten/Trennungskontrolle

Die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten Verarbeitung der Daten unterschiedlicher Auftraggeber sind zu gewährleisten.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

In den DV-Systemen des Auftragnehmers erfolgt eine logische Trennung der Daten verschiedener Auftraggeber. Es wird sichergestellt, dass die Daten eines Auftraggebers nicht für andere Auftraggeber sichtbar oder zugänglich sind.

5.1.6 Weitergabekontrolle

Die Aspekte der Übermittlung personenbezogener Daten müssen geregelt werden (elektronische Übermittlung, Datentransport, Übermittlungskontrolle usw.), um Verlust, Veränderung oder unbefugte Veröffentlichung zu verhindern. Es sind Maßnahmen für den Transport, die Übertragung, die Übermittlung oder die Speicherung auf Datenträgern (manuell oder elektronisch) und die anschließende Überprüfung zu treffen. Der Auftragnehmer hat die folgenden Maßnahmen ergriffen: Es werden ausschließlich durch SSL-Verschlüsselung gesicherte Verbindungen in beide Richtungen zwischen dem Browser des Auftraggebers und den Rechenzentren von Amazon.com, Inc. aufgebaut.

5.1.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Daten müssen gegen zufällige Zerstörung und Verlust geschützt werden. Maßnahmen zur Datensicherung (physisch/logisch). Der Auftragnehmer hat die folgenden Maßnahmen ergriffen:Es erfolgt eine tägliche Sicherung in Form von Sicherungskopien aller Daten. Die Sicherungskopien werden physisch getrennt auf speziell für maximale Ausfallsicherheit ausgelegten Servern des Unterauftragnehmers Amazon.com, Inc. gespeichert.

5.1.8 Organisationskontrolle 

Wie wird die reibungslose Organisation des Datenschutzes und der Sicherheit der Daten im Unternehmen sichergestellt?

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

Für die Verarbeitung von Daten im Unternehmen sind Prozesse und Arbeitsabläufe definiert, die Umsetzung und Einhaltung der Prozesse werden kontrolliert. Unsere Mitarbeiter werden in folgenden Punkten geschult/verpflichtet:

  • Grundsätze des Datenschutzes und der IT-Sicherheit
  • Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse
  • Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen Unterlagen
  • Procuros gewährleistet, dass die Leistungserbringung unter Beachtung des Datenschutzrechts erfolgt