Auftragsverarbeitungsvertrag (AVV) DSC Cloud

Zuletzt aktualisiert am 29. November 2024

Abschnitt A – Details der Datenverarbeitung

Abschnitt A – Details der Datenverarbeitung

  • Verantwortlicher
    Der Verantwortliche ist die juristische oder natürliche Person, die sich für die Nutzung der Plattform registriert und gemäß der Datenschutz-Grundverordnung (DSGVO) und dieser Vereinbarung als Verantwortlicher für die Verarbeitung der personenbezogenen Daten ihrer Kunden und anderer betroffener Personen fungiert. Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten, die über die Plattform verarbeitet werden.
  • Auftragsverarbeiter
    iVents Digital Solution GmbH
    Werner-von-Siemens-Str. 2
    64319 Pfungstadt
    Kontakt: Falko Steinmetz (info@ivents-digitalsolutions.de)
    (gemeinsam mit dem Verantwortlichen „die Parteien“)
  • Zweck der Verarbeitung
    Verarbeitung im Zusammenhang mit NUTZUNGSBEDINGUNGEN DSC Cloud (der „Basisvertrag„)
  • Dauer der Verarbeitung
    So lange wie für den Basisvertrag notwendig
  • Kategorie von betroffenen Personen
    • Kunden
    • Potentielle Kunden
  • Kategorie von personenbezogenen Daten
    • Kontaktinformationen (E-Mail, Telefon)
    • Name
    • Nationalität
    • Wohnanschrift
  • Ort der Speicherung und Verarbeitung
    An der Geschäftsadresse des Auftragsverarbeiters und seiner zugelassenen Unterauftragsverarbeiter, wie in dieser Vereinbarung zur Auftragsverarbeitung angegeben.
  • Vor-Ort-Prüfungen
    Nein
  • Unter-Auftragsverarbeiter
    • STRATO AG
    • MongoDB Deutsche GmbH
    • Amazon Web Services, Inc.
    • Google Ireland Limited
    • Microsoft Corporation
  • Übermittlungen außerhalb der EU/EWR
    Nur für Ländern, in denen der Auftragsverarbeiter oder ein zugelassener Unter-Auftragsverarbeiter registriert ist

Abschnitt B – Geltungsbereich

  1. Zweck und Anwendungsbereich
    1. Zweck dieses Auftragsverarbeitungsvertrags (AVV) ist es, die Einhaltung von Artikel 28 Absätze 3 und 4 der EU-Datenschutz-Grundverordnung (DSGVO) zu gewährleisten, und zwar nur in dem Umfang, der auf die jeweilige Verarbeitungstätigkeit anwendbar ist.
    2. Dieser AVV gilt für die Verarbeitung von personenbezogenen Daten gemäß Abschnitt A.
  2. Auslegung
    1. Wo in diesem AVV Begriffe verwendet werden, die in der DSGVO definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesem Gesetz.
    2. Dieser AVV ist im Lichte der Bestimmungen der DSGVO zu lesen und auszulegen, soweit diese anwendbar sind.
    3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in der DSGVO vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.
  3. Hierarchie
    1. Im Falle eines Widerspruchs zwischen diesem AVV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses AVV besteht oder danach abgeschlossen wird, hat dieser AVV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes in Textform vereinbart.
  4. Beschreibung der Verarbeitung(en)
    1. Die Einzelheiten der Verarbeitungen, insbesondere die Kategorien von personenbezogenen Daten und die Zwecke der Verarbeitung, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Abschnitt A aufgeführt.
  5. Verpflichtungen der Vertragsparteien
    1. Allgemein
      1. Der Auftragsverarbeiter verarbeitet personenbezogenen Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der EU, der Mitgliedstaaten oder der Schweiz, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet. Solche Weisungen sind in Abschnitt A aufgeführt. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der Verantwortliche kann während der gesamten Dauer der Verarbeiter von personenbezogenen Daten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren.
      2. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn die Anweisungen des Verantwortlichen nach Ansicht des Auftragsverarbeiter gegen geltende Datenschutzvorschriften der EU oder der Mitgliedstaaten verstoßen.
    2. Zweckbindung
      1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Abschnitt A genannten Zweck(e) der Verarbeitung.
    3. Löschung oder Rückgabe von Daten
      1. Die Verarbeitung durch den Auftragsverarbeiter darf nur für die in Abschnitt A angegebene Dauer erfolgen.
      2. Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung von personenbezogenen Daten oder bei Beendigung gemäß Klausel 8 hat der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem Verantwortlichen zu bescheinigen, dass er dies getan hat sowie vorhandene Kopien zu löschen, es sei denn, das EU-Recht oder das Recht der Mitgliedstaaten schreibt die Aufbewahrung der personenbezogenen Daten vor.
    4. Sicherheit der Verarbeitung
      1. Der Auftragsverarbeiter ergreift die in Abschnitt C genannten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff auf diese Daten (Verletzung des Schutzes von personenbezogenen Daten) gemäß Art. 5, Art. 28, Abs. 3. lit c, und Art. 32 GDPR. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie insbesondere die mit der Verarbeitung verbundenen Risiken, die Art der personenbezogenen Daten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung.
      2. Im Falle einer Verletzung des Schutzes von personenbezogenen Daten in Bezug auf Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt dieser den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes von personenbezogenen Daten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Maßnahmen, die zur Minderung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
      3. Der Auftragsverarbeiter arbeitet nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder erforderlichen Weise, damit der Verantwortliche gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
      4. Der Auftragsverarbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass die Personen, die zur Verarbeitung der erhaltenen personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
      5. Betrifft die Verarbeitung personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person, Daten über Maßnahmen der sozialen Hilfe oder Daten über strafrechtliche Verurteilungen und Straftaten (besondere Datenkategorien), so wendet der Auftragsverarbeiter besondere Beschränkungen und/oder zusätzliche Garantien an, die der Verantwortliche angemessenerweise verlangt.
    5. Dokumentation und Einhaltung der Vorschriften
      1. Die Parteien müssen in der Lage sein, die Einhaltung dieses AVV nachzuweisen.
      2. Der Auftragsverarbeiter ist verpflichtet, alle angemessenen Anfragen des Verantwortlichen, die sich auf die Verarbeitung im Rahmen dieses Vertrags beziehen, unverzüglich und ordnungsgemäß zu beantworten.
      3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem AVV festgelegten und sich unmittelbar aus der DSGVO ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen des Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.
      4. Der Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Auftragsverarbeiter beauftragtes unabhängiges Audit zu verlassen. Beauftragt der Auftragsverarbeiter ein Audit, so hat er die Kosten für den unabhängigen Prüfer zu tragen. Die Audit-, Zugangs- und Inspektionsrechte des Verantwortlichen gemäß dieser Klausel beschränken sich ausschließlich auf die Aufzeichnungen des Auftragsverarbeiter (einschließlich u. a. der Verzeichnisse der Tätigkeiten zur Verarbeitung von personenbezogenen Daten und der Verzeichnisse der Empfänger von personenbezogenen Daten) und gelten nicht für die physischen Räumlichkeiten des Auftragsverarbeiter Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieses AVV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Auftragsverarbeiter und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
      5. Der Auftragsverarbeiter und der Verantwortliche stellen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach der DSGVO erforderlich ist.
    6. Einsatz von Unter-Auftragsverarbeitern

      1. Der Auftragsverarbeiter verfügt über die allgemeine Ermächtigung des Verantwortlichen für die Beauftragung von Unter-Auftragsverarbeitern. Die Liste der Unter-Auftragsverarbeiter ist in Abschnitt A zu finden. Der Auftragsverarbeiter unterrichtet den Verantwortlichen in Textform mindestens 30 Tage im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unter-Auftragsverarbeitern, so dass der Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unter-Auftragsverarbeiter(s) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unangemessen erhoben werden. Die Parteien halten die Liste auf dem neuesten Stand.
      2. Beauftragt der Auftragsverarbeiter einen Unter-Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unter-Auftragsverarbeiter dieselben Pflichten auferlegt wie dem Auftragsverarbeiter gemäß dieses AVV. Der Auftragsverarbeiter stellt sicher, dass der Unter-Auftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß dieses AVV und Art. 28 Abs. 2 bis 4 der DSGVO.
      3. Der Auftragsverarbeiter legt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unter-Auftragsverarbeitungsvereinbarung und späterer Änderungen vor.
      4. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unter-Auftragsverarbeiters aus seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter meldet dem Verantwortlichen, wenn der Unter-Auftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
    7. Internationale Übermittlungen
      1. Jegliche Übermittlung von personenbezogenen Daten in ein „Drittland“ (jedes Land außerhalb der EU/des EWR und der Schweiz) oder an eine internationale Organisation durch den Auftragsverarbeiter darf nur erfolgen, wenn sie gemäß Abschnitt A genehmigt wurde, und muss in Übereinstimmung mit Kapitel V der DSGVO erfolgen, soweit anwendbar.
      2. Der Verantwortliche erklärt sich damit einverstanden, dass, wenn der Auftragsverarbeiter einen Unter-Auftragsverarbeiter gemäß Klausel 5.6 mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in einem Drittland beauftragt und diese Verarbeitungstätigkeiten die Übermittlung von personenbezogenen Daten im Sinne der DSGVO beinhalten, der Auftragsverarbeiter und der Unter-Auftragsverarbeiter Standardvertragsklauseln verwenden können, die von der EU-Kommission auf der Grundlage von Artikel 46 Absatz 2 der DSGVO angenommen wurden, um die Anforderungen von Kapitel V der DSGVO zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind und eine interne Bewertung zu dem Ergebnis geführt hat, dass eine solche Übermittlung dem Datenschutzniveau der DSGVO entspricht.
  6. Rechte der betroffenen Person
    1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem Verantwortlichen dazu ermächtigt.
    2. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf die Anträge der betroffenen Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO zu reagieren, und zwar

      1. das Recht, informiert zu werden, wenn personenbezogenen Daten von der betroffenen Person erhoben werden.
      2. das Recht, informiert zu werden, wenn personenbezogenen Daten nicht von der betroffenen Person erhalten wurden,
      3. das Recht auf Auskunft durch die betroffene Person,
      4. das Recht auf Berichtigung,
      5. das Recht auf Löschung („das Recht auf Vergessenwerden“),
      6. das Recht auf Einschränkung der Verarbeitung,
      7. die Meldepflicht zur Berichtigung oder Löschung von personenbezogenen Daten oder zur Einschränkung der Verarbeitung,
      8. das Recht auf Datenübertragbarkeit,
      9. das Recht, Einspruch zu erheben,
      10. das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht,
      11. das Recht, die Einwilligung zu widerrufen.
    3. Der Auftragsverarbeiter unterstützt den Verantwortlichen, wenn eine betroffene Person bei der zuständigen Aufsichtsbehörde eine Beschwerde eingereicht hat, die Daten betrifft, die auf der Grundlage dieses AVV verarbeitet werden.
    4. Zusätzlich zu der Verpflichtung des Auftragsverarbeiter, den Verantwortlichen gemäß Artikel 6 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
      1. Die Verpflichtung, eine Verletzung des Schutzes von personenbezogenen Daten unverzüglich nach Bekanntwerden der zuständigen Aufsichtsbehörde mitzuteilen (es sei denn, die Verletzung des Schutzes von personenbezogenen Daten führt wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen), in Übereinstimmung mit Art. 33 der DSGVO;
      2. die Verpflichtung, der betroffenen Person die Verletzung des Schutzes von personenbezogenen Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes von personenbezogenen Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, gemäß Art. 34 der DSGVO;
      3. die Verpflichtung zur Durchführung einer Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz von personenbezogenen Daten (eine „Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, gemäß Art. 35 der DSGVO;
      4. die Verpflichtung, die zuständige Aufsichtsbehörde vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der Verantwortliche keine Maßnahmen zur Risikominderung ergreift, gemäß Art. 36 der DSGVO.
    5. Die Vertragsparteien legen in Abschnitt C die geeigneten technischen und organisatorischen Maßnahmen fest, durch die der Auftragsverarbeiter den Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
  7. Meldung von Verletzungen des Schutzes von personenbezogenen Daten
    1. Im Falle einer Verletzung des Schutzes von personenbezogenen Daten arbeitet der Auftragsverarbeiter nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder Weise, die für den Verantwortlichen erforderlich ist, um seinen Verpflichtungen gemäß Artikel 33 und 34 DSGVO nachzukommen, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
    2. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung des Schutzes von personenbezogenen Daten an die zuständige Aufsichtsbehörde, sofern zutreffend. Der Auftragsverarbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäß Artikel 33 Absatz 3 der DSGVO in der Meldung des Verantwortlichen angegeben werden müssen:
      1. Die Art der personenbezogenen Daten, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Daten;
      2. die wahrscheinlichen Folgen der Verletzung des Schutzes von personenbezogenen Daten;
      3. die Maßnahmen, die der Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes von personenbezogenen Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher negativer Auswirkungen.
  8. Beendigung
    1. Unbeschadet der Bestimmungen der DSGVO kann der Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung von personenbezogenen Daten vorübergehend einzustellen, bis dieser diesen AVV einhält oder der Vertrag gekündigt wird, falls der Auftragsverarbeiter gegen seine Verpflichtungen aus diesem AVV verstößt. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, falls er aus irgendeinem Grund nicht in der Lage ist, diesen AVV einzuhalten.
    2. Der Verantwortliche ist berechtigt, diesen AVV zu kündigen, wenn:
      1. die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter von dem Verantwortlichen gemäß Buchstabe a vorübergehend ausgesetzt wurde, der Verstoß des Auftragsverarbeiter erheblich ist und die Einhaltung dieses AVV nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats, wiederhergestellt wird;
      2. Der Auftragsverarbeiter verstößt in erheblichem Maße oder dauerhaft gegen diesen AVV oder gegen seine Verpflichtungen nach der DSGVO und es ist nicht zu erwarten, dass dieser Verstoß behoben wird;
      3. der Auftragsverarbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesem AVV oder aus der DSGVO nicht nachkommt.
    3. Diese Vereinbarung bleibt in vollem Umfang in Kraft, solange der Basisvertrag in Kraft bleibt. Alle Bestimmungen dieses AVV, die ausdrücklich oder stillschweigend bei oder nach Beendigung des Basisvertrags zum Schutz von personenbezogenen Daten in Kraft treten oder fortbestehen sollen, bleiben in vollem Umfang in Kraft.
  9. Haftung und Schadenersatz
    1. Die Haftung jeder Partei, die sich aus oder im Zusammenhang mit diesem AVV ergibt, unterliegt den Haftungsbeschränkungen und -ausschlüssen, die im Basisvertrag festgelegt sind.

Abschnitt C – TOMs

Beschreibung der technischen und organisatorischen Maßnahmen, die von dem/den Auftragsverarbeiter(n) durchgeführt werden:

  1. Organisatorische Sicherheitsmaßnahmen
    1. Sicherheitsmanagement
      1. Sicherheitskonzept und -verfahren: Der Auftragsverarbeiter verfügt über ein dokumentiertes Sicherheitskonzept für die Verarbeitung von personenbezogenen Daten.
      2. Rollen und Verantwortlichkeiten:
        1. Die Rollen und Verantwortlichkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sind klar definiert und im Einklang mit dem Sicherheitskonzept zugewiesen. 
        2. Bei internen Umstrukturierungen oder Kündigungen und beim Wechsel des Arbeitsplatzes ist der Widerruf von Rechten und Zuständigkeiten mit entsprechenden Übergabeverfahren klar definiert.
      3. Politik der Zugangskontrolle: Jeder Rolle, die an der Verarbeitung von personenbezogenen Daten beteiligt ist, werden nach dem Need-to-know-Prinzip spezifische Zugriffskontrollrechte zugewiesen.
      4. Verwaltung der Ressourcen/Vermögenswerte: Der Auftragsverarbeiter verfügt über ein Register der für die Verarbeitung von personenbezogenen Daten verwendeten IT-Ressourcen (Hardware, Software und Netzwerk). Eine bestimmte Person ist mit der Pflege und Aktualisierung des Registers betraut (z.B. der IT-Beauftragte). 
      5. Änderungsmanagement: Der Auftragsverarbeiter stellt sicher, dass alle Änderungen am IT-System von einer bestimmten Person (z. B. dem IT- oder Sicherheitsbeauftragten) registriert und überwacht werden. Dieser Prozess wird regelmäßig überwacht.
    2. Reaktion auf Zwischenfälle und Geschäftskontinuität
      1. Umgang mit Zwischenfällen / Verletzungen des Schutzes von personenbezogenen Daten:
        1. Es wird ein Plan für die Reaktion auf Zwischenfälle mit detaillierten Verfahren festgelegt, um eine wirksame und ordnungsgemäße Reaktion auf Zwischenfälle im Zusammenhang mit personenbezogenen Daten zu gewährleisten.
        2. Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jeden Sicherheitsvorfall, der zu einem Verlust, einem Missbrauch oder einer unbefugten Kenntnisnahme von personenbezogenen Daten geführt hat.
      2. Geschäftskontinuität: Der Auftragsverarbeiter hat die wichtigsten Verfahren und Kontrollen festgelegt, die zu befolgen sind, um das erforderliche Maß an Kontinuität und Verfügbarkeit des IT-Systems zur Verarbeitung von personenbezogenen Daten (im Falle eines Zwischenfalls/einer Verletzung des Schutzes von personenbezogenen Daten) zu gewährleisten.
    3. HR
      1. Vertraulichkeit des Personals: Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter ihre Verantwortlichkeiten und Pflichten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten kennen. Die Rollen und Zuständigkeiten werden während des Verfahrens vor der Einstellung und/oder bei der Einarbeitung klar kommuniziert. 
      2. Schulung: Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter angemessen über die Sicherheitskontrollen des IT-Systems informiert sind, die sich auf ihre tägliche Arbeit beziehen. Die mit der Verarbeitung von personenbezogenen Daten befassten Mitarbeiter werden durch regelmäßige Sensibilisierungskampagnen auch angemessen über die einschlägigen Datenschutzanforderungen und rechtlichen Verpflichtungen informiert.
  2. Technische Sicherheitsmaßnahmen
    1. Zugangskontrolle und Authentifizierung
      1. Ein Zugangskontrollsystem, das für alle Benutzer, die auf das IT-System zugreifen, gilt, wurde eingeführt. Das System ermöglicht das Anlegen, Genehmigen, Überprüfen und Löschen von Benutzerkonten.
      2. Die Verwendung von gemeinsamen Benutzerkonten wird vermieden. In Fällen, in denen dies notwendig ist, wird sichergestellt, dass alle Benutzer des gemeinsamen Kontos die gleichen Rollen und Verantwortlichkeiten haben.
      3. Bei der Gewährung des Zugangs oder der Zuweisung von Nutzerrollen ist der Grundsatz „Need-To-Kno“ zu beachten, um die Zahl der Nutzer, die Zugang zu personenbezogenen Daten haben, auf diejenigen zu beschränken, die diesen Zugang für die Erfüllung der Verarbeitungszwecke des Auftragsverarbeiter benötigen. 
      4. Wenn die Authentifizierungsmechanismen auf Passwörtern beruhen, verlangt der Auftragsverarbeiter, dass das Passwort mindestens acht Zeichen lang ist und sehr strengen Passwortkontrollparametern entspricht, einschließlich Länge, Zeichenkomplexität und Nichtwiederholbarkeit.
      5. Die Authentifizierungsdaten (z. B. Benutzer-ID und Passwort) dürfen niemals ungeschützt über das Netz übertragen werden.
    2. Sicherheit von Daten im Ruhezustand
      1. Server-/Datenbank-Sicherheit
        1. Datenbank- und Anwendungsserver sind so konfiguriert, dass sie unter einem separaten Konto mit minimalen Betriebssystemprivilegien laufen, um korrekt zu funktionieren.
        2. Datenbank- und Anwendungsserver verarbeiten nur die personenbezogenen Daten, deren Verarbeitung zur Erreichung des Verarbeitungszwecks tatsächlich erforderlich ist.
      2. Sicherheit am Arbeitsplatz:
        1. Die Benutzer können die Sicherheitseinstellungen nicht deaktivieren oder umgehen.
        2. Die Antiviren-Anwendungen und Erkennungssignaturen werden regelmäßig konfiguriert.
        3. Benutzer haben keine Berechtigung, nicht autorisierte Softwareanwendungen zu installieren oder zu deaktivieren.
        4. Das System verfügt über Sitzungszeitüberschreitungen, wenn der Benutzer eine bestimmte Zeit lang nicht aktiv war.
        5. Kritische Sicherheitsupdates, die vom Entwickler des Betriebssystems veröffentlicht werden, werden regelmäßig installiert.
    3. Netz-/Kommunikationssicherheit
      1. Bei jedem Zugriff über das Internet wird die Kommunikation durch kryptographische Protokolle verschlüsselt.
      2. Der Verkehr zum und vom IT-System wird durch Firewalls und Intrusion Detection Systeme überwacht und kontrolliert.
    4. Backups
      1. Sicherungs- und Datenwiederherstellungsverfahren sind definiert.
      2. Backups werden in angemessenem Umfang physisch und ökologisch geschützt, entsprechend den Standards, die für die ursprünglichen Daten gelten.
    5. Mobile/tragbare Geräte
      1. Es werden Verfahren für die Verwaltung mobiler und tragbarer Geräte festgelegt und dokumentiert, die klare Regeln für deren ordnungsgemäße Verwendung enthalten.
      2. Mobile Geräte, die auf das Informationssystem zugreifen dürfen, werden vorab registriert und autorisiert.
    6. Sicherheit im Lebenszyklus von Anwendungen
      1. Während des Entwicklungszyklus werden bewährte Praktiken, der neueste Stand der Technik und anerkannte sichere Entwicklungsverfahren oder -standards befolgt.
    7. Löschung/Entsorgung von Daten
      1. Die Datenträger werden vor ihrer Entsorgung mit Software überschrieben. In Fällen, in denen dies nicht möglich ist (CDs, DVDs usw.), werden sie physisch vernichtet.
      2. Papier und tragbare Datenträger, die zur Speicherung von personenbezogenen Daten verwendet werden, werden vernichtet.
    8. Physische Sicherheit
      1. Die physische Umgebung der IT-Systeminfrastruktur ist für nicht autorisiertes Personal nicht zugänglich. Durch geeignete technische Maßnahmen (z.B. Einbruchmeldeanlage, chipkartengesteuertes Drehkreuz, Ein-Personen-Sicherheitszugangssystem, Schließanlage) oder organisatorische Maßnahmen (z.B. Wachdienst) sind die Sicherheitsbereiche und deren Zugänge gegen das Betreten durch Unbefugte zu schützen.