1. Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung
Es werden personenbezogene Daten von Mitarbeitern des Auftraggebers verarbeitet, sofern diese
a) als Kontaktperson des Auftraggebers mit dem Auftragnehmer elektronisch oder nicht-elektronisch
kommunizieren,
b) als Benutzer die vom Auftragnehmer entwickelte Software bedienen, oder
c) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.)
identifizierbar Erwähnung finden.
Des Weiteren werden personenbezogen Daten von Kontaktpersonen bei Handelspartnern des Auftraggebers
verarbeitet
sofern diese
a) in vom Auftragnehmer verarbeiteten Geschäftsdokumenten (z.B. Anfragen, Angeboten, Bestellungen, etc.)
identifizierbar Erwähnung finden.
Die Verarbeitung umfasst alle Arten der Verarbeitung nach Art. 4 Nr. 2 DSGVO
2. Art der Daten:
Datenkategorie |
Auflistung konkret verarbeiteter Daten |
Berufliche Kontakt- und (Arbeits-) Organisationsdaten
|
Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer
|
Daten zu beruflichen Verhältnissen
|
Berufsbezeichnung, Aufgaben, Tätigkeiten, Qualifikationen
|
Sonstiges |
Berufliche E-Mail und Chat Nachrichten, getätigte Aktionen in der Software des
Auftragnehmers
|
3. Kreis der Betroffenen:
Betroffenengruppe |
Beschreibung |
Beispiele |
Mitarbeiter des Auftraggebers/des Verantwortlichen
|
Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen |
Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte |
Mitarbeiter anderer Unternehmen
|
Mitarbeiter anderer Unternehmen, deren personenbezogene Daten für den Auftraggeber/den
Verantwortlichen verarbeitet werden
|
Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
|
Kunden des Auftraggebers/des Verantwortlichen
|
Jede Person, mit der eine Kunden-Geschäftsbeziehung besteht (mit der jeweiligen
verantwortlichen
Stelle)
|
Käufer, Versicherungsnehmer, Mieter, Kunden einer Dienstleistung |
Sonstige Geschäftspartner
|
Jede natürliche Person, mit der eine Geschäftsbeziehung besteht (mit dem Auftraggeber) außer
Kunden
|
Lieferanten, Importeure, Dienstleister, Vermittler, Freelancer
|
Außenstehende
|
Jede Person, die in keiner Geschäftsbeziehung mit der jeweiligen Konzerngesellschaft
(verantwortlichen Stelle) steht
|
Besucher, Gäste, Interessenten
|
4. Unterauftragnehmer
Zum Kreis der Unterauftragnehmer gehören:
Nr. |
Unterauftragnehmer |
(Name, Anschrift, Ansprechpartner) |
Verarbeitete Datenkategorien |
Beschreibung der Tätigkeit Ort der Datenverarbeitung |
1 |
DigitalOcean, LLC |
Alle in Ziffer 1.3 |
Betrieb des Rechenzentrums |
Deutschland |
2 |
Google, LLC |
Alle in Ziffer 1.3 |
Kalender- und Dateiablagedienste |
EU |
3 |
Microsoft Corp. |
Alle in Ziffer 1.3 |
Versch. Datenverarbeitunsdienste (Azure Cloud) |
EU |
4 |
Twilio Inc. |
Alle in Ziffer 1.3 |
Emaildienste |
Weltweit |
5 |
Telekom Deutschland GmbH |
Alle in Ziffer 1.3 |
Datenübertragung (X.400 Netzwerk) |
Deutschland |
6 |
Amazon.com, Inc. |
Alle in Ziffer 1.3 |
Versch. Datenverarbeitungsdienste (AWS) |
EU |
7 |
Workist GmbH |
Alle in Ziffer 1.3 |
Versch. Datenverarbeitungsdienste |
Deutschland |
8 |
ABBYY Europe GmbH |
Alle in Ziffer 1.3 |
OCR Dienste |
EU |
Mit allen verwendeten Unterauftragnehmern hat der Auftragnehmer einen Auftragsverarbeitungsvertrag
und mit
den
Unterauftragnehmern 1-4 auch entsprechende Standardvertragsklauseln abgeschlossen. Alle verwendeten
Unterauftragnehmer haben nach dem Schrems-II-Urteil Supplementary Measures ergriffen. Hierzu zählen
unter
anderem:
1) updated DPAs to more clearly define roles and responsibilities of the customer and
service
provider
2) new controller-to-controller and controller-to-processor information, including supplementary
measures,
processing activities, and information on internal transfers within DPA,
3) new process for accessing more sensitive data - non EU based employees will be unable to access
droplet
consoles of resources located in EU data centers,
4) improved encryption,
5) restriction of direct, unfettered access to customer data by governments,
6) disclosure of national security orders seeking customer data, etc.
5. Technische und organisatorische Maßnahmen
5.1 Vorlage für die technischen und organisatorischen Maßnahmen:
5.1.1. Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden
Ein unbefugter
Zutritt
ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
Verantwortlich hierfür ist:
Digitalocean,
LLC.
Rechenzentrum in Frankfurt am Main, europäischem Recht unterstehend;
Entsprechende Maßnahmen sind z.
B.:
architektonische Maßnahmen wie „physische“ Eintrittsbarrieren sowohl im Umkreis als auch zu den
Gebäuden,
separate Gebäude und jeweils separate Serverräume mit getrennten Schließungen / technische Maßnahmen wie
Sicherheitsschließanlagen zu den Gebäuden und Serverräumen, Zutrittskontrollsysteme (Code- und/oder
Ausweisleser, Magnet- und/oder Chipkarten), Zwei-Faktor-Authentifizierung speziell autorisierter
Mitarbeiter
für
Rechenzentrums-Etagen, Videoüberwachung, Einbrucherkennungssysteme, Alarmanlagen / organisatorische
Maßnahmen
wie Zugangskontrollen durch professionelles Sicherheitspersonal, Überwachung aller Mitarbeiter und
Protokollierung aller Arbeiten auf Rechenzentrums-Etagen etc.
5.1.2 Zugangs- und Zugriffskontrolle
Das Eindringen Unbefugter in die Datenverarbeitungs(DV)-Systeme
(IT-Systeme)
ist
zu verhindern. Ebenso sind Tätigkeiten in DV-Systemen (IT-Systemen) außerhalb eingeräumter
Berechtigungen
sowie
unerlaubte Zugriffe auf das System von außen zu verhindern.
Der Auftragsverarbeiter hat folgende
Maßnahmen
ergriffen – detaillierte Beschreibung:
Zusätzlich zu den in Ziffer 5.2.1 beschriebenen technischen
Maßnahmen,
werden Zugangsberechtigungen und Benutzerkonten für DV-Systeme auf das “Notwendigste” beschränkt. Ein
direkter
Zugriff auf Server ist ausschließlich den dafür beauftragten Systemadministratoren und nur von speziell
dafür
designierten Endgeräten möglich. Eine verwendung von “unsicheren” Passwörtern wird systemseitig wo
möglich
verhindert. Als zusätzliche Sicherheitsmaßnahme ist (soweit systemseitig unterstützt) eine mehrfaktor
authentifizierung für den Zugriff auf DV-Systeme notwendig. Ein auf Benutzerrollen basiertes
Berechtigungssystem
wird verwendet, um jedem Mitarbeiter des Auftragnehmers nur die für die Erfüllung seiner Aufgaben
nötigen
Zugänge zu erteilen.
5.1.3 Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu
gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder
entfernt (gelöscht) worden sind.
Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen:
Eine
Eingabe,
Veränderung oder Löschung von Daten in den DV-Systemen des Auftragnehmers ist nur über personalisierte
Benutzerkonten möglich. Alle durch Mitarbeiter des Auftragnehmers oder Auftraggebers in den DV-Systemen
des
Auftragnehmers ausgeführten Aktionen - mindestens jedoch diejenigen, die in Ziffer 1.3 beschriebene
personenbezogene Daten betreffen oder beinhalten - werden automatisiert mit Benutzerkennung und
Zeitstempel
protokolliert.
5.1.4 Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung
durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt.
Maßnahmen
(technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber/Datenexporteur und
Auftragnehmer/Datenimporteur.
Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte
Beschreibung:
Es erfolgt eine eindeutige Vertragsgestaltung, Bestellung eines Datenschutzbeauftragten
beim
Auftragnehmer, Unterweisung aller Mitarbeiter des Auftragnehmers und seiner Subunternehmer auf Wahrung
des
Datenschutzgeheimnisses, sorgfältige Auswahl der Subunternehmer.
5.1.5 Getrennte Verarbeitung von Daten/Trennungskontrolle
Die getrennte Verarbeitung von Daten, die für
unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten
Verarbeitung
der
Daten unterschiedlicher Auftraggeber sind zu gewährleisten.
Der Auftragsverarbeiter hat folgende
Maßnahmen
ergriffen – detaillierte Beschreibung:
In den DV-Systemen des Auftragnehmers erfolgt eine logische
Trennung
der
Daten verschiedener Auftraggeber. Es wird sichergestellt, dass die Daten eines Auftraggebers nicht für
andere
Auftraggeber sichtbar oder zugänglich sind.
5.1.6 Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln (elektronische
Übertragung,
Datentransport, Übermittlungskontrolle usw.), um einen Verlust, eine Veränderung oder eine unbefugte
Veröffentlichung zu verhindern. Maßnahmen zu Transport, Übertragung, Übermittlung oder Speicherung auf
Datenträgern (manuell oder elektronisch) sowie zur nachträglichen Überprüfung sind zu treffen.
Der
Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:
Zwischen dem Browser
des
Auftraggebers und den Rechenzentren von Digitalocean, LLC werden in beide Richtungen ausschließlich
durch
SSL-Verschlüsselung gesicherte Verbindungen hergestellt.
5.1.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Die Daten sind gegen zufällige Zerstörung und
Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch).
Der Auftragsverarbeiter hat
folgende
Maßnahmen ergriffen – detaillierte Beschreibung:
Es erfolgt eine tägliches Backup in Form von
Sicherungskopien
aller Daten. Sicherungskopien werden physisch getrennt auf speziell für maximale Ausfallsicherheit
konzipierten
Servern des Unterauftragnehmers Digitalocean, LLC gespeichert.
5.1.8 Organisationskontrolle
Wie wird die reibungslose Organisation des Datenschutzes und der Sicherheit der
Daten im
Unternehmen sichergestellt?
Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte
Beschreibung:
Für die Verarbeitung von Daten im Unternehmen sind Prozesse und Arbeitsabläufe definiert,
die
Umsetzung und Einhaltung der Prozesse werden kontrolliert. Unsere Mitarbeiter werden in folgenden
Punkten
geschult/verpflichtet:
- Grundsätze des Datenschutzes und der IT-Sicherheit
- Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse
- Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen
Unterlagen
-
Procuros gewährleistet, dass die Leistungserbringung unter Beachtung des Datenschutzrechts
erfolgt