Datenschutzvereinbarung (GDPR)

1. Begriffsbestimmungen
1.1. Für die Zwecke dieser DPA:

Personenbezogene Daten" sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person ("betroffene Person") beziehen; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

"Datenschutzgesetz" bezeichnet alle geltenden Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung und Textnachrichten, E-Mail und sonstige Kommunikation sowie (b) die Verwendung, Erhebung, Aufbewahrung, Speicherung, Sicherheit, Offenlegung, Übertragung, Entsorgung und sonstige Verarbeitung personenbezogener Daten;

"Verbundenes Unternehmen des Unternehmens" bedeutet jedes Unternehmen, das direkt oder indirekt das Unternehmen kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit ihm steht. "Kontrolle" im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der stimmberechtigten Anteile des betreffenden Unternehmens;

"Dienstleistungen" bedeutet jede der folgenden vom Unternehmen erbrachten Leistungen: (a) Produktangebote unter der Marke des Unternehmens, die über die Website des Unternehmens zur Verfügung gestellt werden, (b) Beratungs- oder Schulungsleistungen, die vom Unternehmen entweder per Fernzugriff über das Internet oder persönlich erbracht werden, und (c) alle vom Unternehmen erbrachten Supportleistungen, einschließlich des Zugangs zum Helpdesk des Unternehmens;

haben die Begriffe "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "Verarbeitung" und "geeignete technische und organisatorische Maßnahmen" die Bedeutung, die ihnen nach dem geltenden Datenschutzrecht zukommt.

2. Gegenstand, Art und Zweck der Verarbeitung von personenbezogenen Daten durch das Unternehmen

2.1. Gegenstand, Art und Zweck der Verarbeitung personenbezogener Daten gemäß dieser DPA ist die Erbringung der Dienstleistungen durch das Unternehmen gemäß den schriftlichen Anweisungen des Kunden bei der Nutzung der Dienstleistungen, es sei denn, das Datenschutzgesetz schreibt etwas anderes vor; in diesem Fall informiert das Unternehmen den Kunden vor der Durchführung der Verarbeitung über dieses gesetzliche Erfordernis, soweit dies nach dem Datenschutzgesetz zulässig ist. Das Unternehmen erhebt oder verarbeitet personenbezogene Daten für die Dauer der Erbringung der Dienstleistungen nur in dem Umfang und auf die Art und Weise, wie es für die Erbringung der Dienstleistungen erforderlich ist, und in Übereinstimmung mit dem DSG und dem für das Unternehmen geltenden Datenschutzgesetz.

3. Dauer

3.1. Die Verarbeitung personenbezogener Daten erfolgt durch das Unternehmen, solange das Dienstleistungskonto des Kunden besteht oder soweit dies für die Erfüllung der Pflichten und Rechte zwischen dem Unternehmen und dem Kunden erforderlich ist, sofern nichts anderes schriftlich vereinbart wurde.

4. Art der verarbeiteten personenbezogenen Daten

4.1. Der Kunde kann den Diensten personenbezogene Daten des Kunden übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Kategorien personenbezogener Daten umfassen können, aber nicht darauf beschränkt sind:

- Konto-Informationen. Wenn der Kunde sich für ein Dienstleistungskonto anmeldet, werden bestimmte Informationen wie Name und E-Mail benötigt. Der Kunde kann seine Informationen und E-Mail-Präferenzen jederzeit aktualisieren oder korrigieren, indem er das Dienstleistungskonto besucht. Das Unternehmen kann dem Kunden zusätzliche Unterstützung bieten, um auf die Informationen des Kunden zuzugreifen, sie zu korrigieren, zu löschen oder zu ändern.

die dem Unternehmen zur Verfügung gestellt werden und mit dem Dienstleistungskonto des Kunden verbunden sind. Zum Schutz der Sicherheit ergreift das Unternehmen angemessene Maßnahmen (z. B. die Einholung von Rechtsauskünften), um die Identität des Kunden zu überprüfen, bevor es Korrekturen vornimmt. Der Kunde ist dafür verantwortlich, das Passwort und die Informationen des Kundenkontos jederzeit geheim zu halten.

• Zusätzliche Profilinformationen. Der Kunde kann sich dafür entscheiden, zusätzliche Informationen als Teil seines Profils anzugeben. Profilinformationen helfen dem Kunden, mehr von den Diensten zu profitieren. Es liegt im Ermessen des Kunden, ob er sensible Informationen in sein Profil aufnehmen möchte.
• Andere Informationen. Der Kunde kann dem Unternehmen auch anderweitig Informationen zur Verfügung stellen, wenn er ein Formular ausfüllt, eine Suche durchführt, Informationen in seinem Dienstekonto aktualisiert oder hinzufügt, auf Umfragen antwortet, in Community-Foren postet, an Werbeaktionen teilnimmt oder andere Funktionen der Diensteplattform nutzt.3. Verpflichtungen des Unternehmens

  3.1. Das Unternehmen stimmt zu und/oder garantiert:

1. (a) die personenbezogenen Daten nur im Auftrag des Kunden und in Übereinstimmung mit dessen Weisungen und der DSGVO zu verarbeiten; kann sie diese Übereinstimmung aus welchen Gründen auch immer nicht gewährleisten, verpflichtet sie sich, den Kunden unverzüglich darüber zu informieren, dass sie dazu nicht in der Lage ist; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder die Dienste zu kündigen;
2. (b) dass alle personenbezogenen Daten, die im Auftrag des Kunden verarbeitet werden, Eigentum des Kunden und/oder der betroffenen Personen bleiben;
3. (c) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Kunden erhaltenen Anweisungen und seine Verpflichtungen im Rahmen der DSGVO zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in der DSGVO vorgesehenen Garantien und Verpflichtungen haben könnte, den Kunden unverzüglich über die Änderung informieren wird, sobald er davon Kenntnis hat; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder die Dienstleistungen zu beenden;
4. (d) dass er die in Anlage 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung der übermittelten personenbezogenen Daten durchgeführt hat;
5. (e) dass sie den Kunden unverzüglich darüber informieren wird:
   1. jede rechtlich bindende Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;
   2. jeden versehentlichen oder unbefugten Zugriff; und
   3. jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
6. (f) alle Anfragen des Kunden in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
7. (g) auf Ersuchen des Kunden seine Datenverarbeitungsanlagen für ein Audit der unter die DSGVO fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen;

(h) dass sie im Falle einer Weiterverarbeitung den Kunden zuvor informiert und dessen schriftliche Zustimmung eingeholt hat;

(i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters im Einklang mit Abschnitt 7 durchgeführt werden;

(j) einen Datenschutzbeauftragten zu benennen, der seine Aufgaben im Einklang mit dem Datenschutzgesetz wahrnimmt. Die Kontaktdaten des Datenschutzbeauftragten sind auf der Webseite des Unternehmens verfügbar.

(k)nur solche Mitarbeiter mit der in dieser DPA beschriebenen Datenverarbeitung zu betrauen, die zur Vertraulichkeit verpflichtet und zuvor mit den für ihre Arbeit relevanten Datenschutzbestimmungen vertraut gemacht worden sind. Das Unternehmen und alle unter seiner Aufsicht handelnden Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur auf Anweisung des Kunden verarbeiten, es sei denn, sie sind aufgrund des Datenschutzgesetzes dazu verpflichtet;

(l) regelmäßige Überwachung der internen Prozesse, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Unternehmens im Einklang mit den Anforderungen des Datenschutzgesetzes und dem Schutz der Rechte der betroffenen Person erfolgt.

5. Verpflichtungen des Kunden

5.1. Der Kunde stimmt zu und/oder garantiert:

1. (a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des Datenschutzgesetzes erfolgt ist und weiterhin erfolgen wird und nicht gegen die einschlägigen Bestimmungen verstößt;
2. (b) dass er das Unternehmen angewiesen hat und während der gesamten Dauer der personenbezogenen Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Kunden und in Übereinstimmung mit dem Datenschutzgesetz und der DSGVO zu verarbeiten;
3. (c) dass das Unternehmen ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 1 zu dieser DPA bietet;

(d) dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des Datenschutzgesetzes geeignet sind, personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, Änderung, unberechtigte Weitergabe oder unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist;

5. (e) dass sie für die Einhaltung der Sicherheitsmaßnahmen sorgen wird;
6. (f) auf die Dienste nur zu legalen, genehmigten und akzeptablen Zwecken zuzugreifen und diese zu nutzen. Der Kunde wird die Dienste nicht in einer Weise nutzen (oder andere bei der Nutzung unterstützen), die: (a) die Rechte des Unternehmens, seiner Nutzer oder anderer verletzen, missbrauchen oder verletzen, einschließlich der Privatsphäre, der Öffentlichkeit, des geistigen Eigentums oder anderer Eigentumsrechte; (b) illegal, obszön, verleumderisch, bedrohlich, einschüchternd, belästigend, hasserfüllt, rassistisch oder ethnisch beleidigend sind oder zu einem Verhalten anstiften oder ermutigen, das illegal oder anderweitig unangemessen wäre; (c) die Veröffentlichung von Unwahrheiten, falschen Darstellungen oder irreführenden Aussagen beinhalten; (d) sich als eine andere Person ausgeben; (e) das Versenden von illegalen oder unzulässigen Mitteilungen wie Massennachrichten, Auto-Messaging, Auto-Dialing und dergleichen beinhalten; oder (f) eine andere Nutzung der Dienste beinhalten, die in dieser DPA vorgeschrieben ist, sofern nicht anderweitig durch das Unternehmen genehmigt;
7. (g) nicht auf die Diensteplattform zuzugreifen (oder andere dabei zu unterstützen), sie zu nutzen, zu kopieren, zu adaptieren, zu modifizieren, davon abgeleitete Werke zu erstellen, zu verteilen, zu lizenzieren, zu unterlizenzieren, zu übertragen, anzuzeigen, auszuführen oder anderweitig auf unzulässige oder unbefugte Weise zu nutzen oder auf eine Art und Weise, die das Unternehmen, die Diensteplattform, die Systeme, andere Nutzer oder andere Personen belastet, beeinträchtigt oder schädigt, einschließlich, dass der Kunde nicht direkt oder durch automatisierte Mittel: (a) die Diensteplattform zurückzuentwickeln, zu verändern, zu modifizieren, davon abgeleitete Werke zu erstellen, zu dekompilieren oder Code aus ihr zu extrahieren; (b) Viren oder anderen schädlichen Computercode über die Diensteplattform zu senden, zu speichern oder zu übertragen; (c) sich unbefugten Zugang zur Diensteplattform oder zu den Systemen zu verschaffen oder zu versuchen, sich diesen zu verschaffen; (d) die Integrität oder Leistung der Diensteplattform zu beeinträchtigen oder zu stören; (e) Konten für die Diensteplattform durch nicht autorisierte oder automatisierte Mittel zu erstellen; (f) die Informationen von oder über andere Nutzer in unzulässiger oder nicht autorisierter Weise zu sammeln; (g) die Diensteplattform zu verkaufen, weiterzuverkaufen, zu vermieten oder in Rechnung zu stellen; oder (h) die Diensteplattform über ein Netzwerk zu verteilen oder verfügbar zu machen, in dem sie von mehreren Geräten gleichzeitig genutzt werden könnte;

(h) dass der Kunde dafür verantwortlich ist, das Dienstkonto des Kunden sicher und geschützt zu halten, und dass der Kunde das Unternehmen unverzüglich über jede unbefugte Nutzung oder Sicherheitsverletzung des Kundenkontos oder der Dienstleistungsplattform benachrichtigen wird;

(i) dass das Unternehmen dem Kunden eine begrenzte, widerrufliche, nicht ausschließliche, nicht unterlizenzierbare und nicht übertragbare Lizenz zur Nutzung der Dienstleistungsplattform gewährt. Diese Lizenz dient ausschließlich dem Zweck, den Kunden in die Lage zu versetzen, die Dienstleistungsplattform in der durch diese DPA erlaubten Weise zu nutzen. Es werden keine Lizenzen oder Rechte

die dem Kunden stillschweigend oder anderweitig gewährt werden, mit Ausnahme der dem Kunden ausdrücklich gewährten Lizenzen und Rechte.

6. Technische und organisatorische Maßnahmen

6.1. Das Unternehmen ergreift die geeigneten technischen und organisatorischen Maßnahmen, um personenbezogene Daten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten zu schützen, wie in Anhang 1 beschrieben. Diese Maßnahmen umfassen unter anderem physische und IT-Maßnahmen sowie organisatorische Maßnahmen, um:

1. (a) Verhinderung des Zugangs von Unbefugten zu den Systemen zur Verarbeitung personenbezogener Daten (physische Zugangskontrolle),
2. (b) die Verhinderung der unbefugten Nutzung von Systemen zur Verarbeitung personenbezogener Daten (logische Zugangskontrolle),
3. (c) Sicherstellung, dass Personen, die berechtigt sind, ein System zur Verarbeitung personenbezogener Daten zu nutzen, nur auf die personenbezogenen Daten zugreifen können, zu denen sie gemäß ihren Zugriffsrechten berechtigt sind, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugangskontrolle),

(d) Sicherstellung, dass personenbezogene Daten während der elektronischen Übermittlung, des Transports oder der Speicherung auf Speichermedien nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass die Zielstellen für jede Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen festgestellt und überprüft werden können (Datenübertragungskontrolle),

5. (e) Sicherstellung der Einrichtung eines Prüfpfads, um zu dokumentieren, ob und von wem personenbezogene Daten in die Verarbeitungssysteme für personenbezogene Daten eingegeben, dort geändert oder aus ihnen entfernt wurden (Eingabekontrolle),
6. (f) Sicherstellung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

6.2. Die technischen und organisatorischen Maßnahmen sind dem technischen Fortschritt und der Weiterentwicklung unterworfen. Insoweit kann das Unternehmen die alternativ geeignete Maßnahme einsetzen, jedoch darf das Sicherheitsniveau der festgelegten Maßnahmen keinesfalls reduziert werden. Wesentliche Änderungen müssen dokumentiert werden.

7. Unterauftragsverarbeiter

7.1. Der Kunde stimmt zu, dass das Unternehmen verbundene Unternehmen oder Dritte mit der Verarbeitung personenbezogener Daten beauftragen kann, um das Unternehmen bei der Erbringung der Dienstleistungen im Namen des Kunden zu unterstützen ("Unterauftragsverarbeiter"). Das Unternehmen hat oder wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser DPA, soweit sie auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar sind. Wenn der Unterauftragsverarbeiter die Dienstleistungen außerhalb der EU/des EWR erbringt, stellt das Unternehmen sicher, dass die Übermittlung gemäß den von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten erfolgt, zu deren Abschluss der Kunde das Unternehmen in seinem Namen ermächtigt, oder dass andere geeignete gesetzliche Datenübermittlungsmechanismen verwendet werden.

7.2. Die aktuellen Unterauftragsverarbeiter für die Dienstleistungen sind auf der Website des Unternehmens aufgeführt ("Liste der Unterauftragsverarbeiter"), und der Kunde erklärt sich damit einverstanden, dass das Unternehmen diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß der Liste beauftragt hat. Das Unternehmen muss neue Unterauftragsverarbeiter benachrichtigen, bevor es neue Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der jeweiligen Dienstleistung beauftragt.

7.3. Das Unternehmen benachrichtigt den Kunden dreißig (30) Tage im Voraus über beabsichtigte Änderungen in Bezug auf die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters; innerhalb dieses Zeitraums kann der Kunde Einwände gegen die Bestellung des Unterauftragsverarbeiters erheben. Alle Einwände müssen unverzüglich (und in jedem Fall spätestens vierzehn (14) Tage nach der Mitteilung des Unternehmens über die beabsichtigten Änderungen) erhoben werden. Sollte sich das Unternehmen dafür entscheiden, den beanstandeten Unterauftragsverarbeiter beizubehalten, wird das Unternehmen den Kunden mindestens vierzehn (14) Tage vor der Ermächtigung des Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten benachrichtigen, woraufhin der Kunde die Nutzung des betreffenden Teils der Dienste unverzüglich einstellen und den betreffenden Teil der Dienste kündigen kann.

7.4. Zur Vermeidung von Zweifeln: Wenn ein Unterauftragsverarbeiter seinen Verpflichtungen aus einer Unterverarbeitungsvereinbarung oder nach geltendem Recht nicht nachkommt, haftet das Unternehmen dem Kunden gegenüber weiterhin in vollem Umfang für die Erfüllung seiner Verpflichtungen aus dieser DPA.

8. Prüfung

8.1. Um die Einhaltung dieser DPA zu bestätigen, steht es dem Kunden frei, ein Audit durch einen unabhängigen Dritten durchzuführen, der in dieser Hinsicht zur Vertraulichkeit verpflichtet ist. Ein solches Audit muss während der normalen Geschäftszeiten des Unternehmens stattfinden und ist nur in dem Umfang zulässig, der für den Kunden erforderlich ist, um die Einhaltung dieser DPA durch das Unternehmen zu beurteilen. Im Zusammenhang mit einer solchen Prüfung wird der Kunde sicherstellen, dass der Prüfer (a) alle Informationen in den Geschäftsräumen des Unternehmens überprüft; (b) den angemessenen Zugang vor Ort und andere vom Unternehmen auferlegte Beschränkungen beachtet; (c) die Richtlinien und Verfahren des Unternehmens einhält und (d) die Geschäftsaktivitäten des Unternehmens nicht unangemessen beeinträchtigt. Das Unternehmen behält sich das Recht vor, im Falle eines Verstoßes gegen die in diesem Abschnitt 8 genannten Bedingungen jede Prüfung einzuschränken oder auszusetzen.

8.2. Für den Fall, dass der Kunde, eine Aufsichtsbehörde oder eine Datenschutzbehörde zusätzliche Informationen oder eine Prüfung im Zusammenhang mit den Dienstleistungen verlangt, erklärt sich das Unternehmen bereit, seine Datenverarbeitungsanlagen, Dateien und Unterlagen, die für die Verarbeitung personenbezogener Daten erforderlich sind, einer Prüfung durch den Kunden (oder einen vom Kunden ausgewählten Dritten wie z. B. Inspektionsbeauftragte oder Prüfer) zu unterziehen, um die Einhaltung dieser DSGVO festzustellen, sofern der Kunde davon in Kenntnis gesetzt wird und der Prüfer eine Geheimhaltungsvereinbarung direkt mit dem Unternehmen abschließt. Das Unternehmen erklärt sich bereit, dem Kunden im Rahmen dieser Maßnahmen angemessene Unterstützung zu gewähren, einschließlich der Bereitstellung aller relevanten Informationen und des Zugangs zu allen Geräten, Software, Daten, Dateien, Informationssystemen usw., die für die Erbringung der Dienstleistungen, einschließlich der Verarbeitung personenbezogener Daten, verwendet werden. Derartige Prüfungen werden auf Kosten des Kunden durchgeführt.

8.3. Die Prüfung darf nur durchgeführt werden, wenn konkrete Gründe für den Verdacht des Missbrauchs personenbezogener Daten vorliegen, frühestens jedoch zwei Wochen nach schriftlicher Mitteilung des Kunden an das Unternehmen.

8.4. Die Ergebnisse des durchgeführten Audits werden von den Parteien besprochen und bewertet und gegebenenfalls von einer der Parteien oder gemeinsam von beiden Parteien entsprechend umgesetzt. Die Kosten des Audits gehen zu Lasten des Kunden.

9. Benachrichtigung über eine Datenpanne

9.1. Erhält das Unternehmen Kenntnis von einer Sicherheitsverletzung, die zu einer versehentlichen, unbefugten oder unrechtmäßigen Zerstörung oder unbefugten Offenlegung von oder einem unbefugten Zugriff auf personenbezogene Daten führt, benachrichtigt das Unternehmen den Kunden nach bestem Wissen und Gewissen unverzüglich darüber, woraufhin der Kunde entscheidet, ob er die betroffenen Personen und/oder die zuständige(n) Aufsichtsbehörde(n) informiert oder nicht. Diese Meldepflicht gilt unabhängig von den Auswirkungen des Lecks. Das Unternehmen wird sich bemühen, dass die übermittelten Informationen vollständig, richtig und genau sind.

9.2. Falls gesetzlich und/oder regulatorisch erforderlich, kooperiert das Unternehmen bei der Benachrichtigung der zuständigen Behörden und/oder der betroffenen Personen. Der Kunde bleibt die verantwortliche Partei für alle diesbezüglichen gesetzlichen Verpflichtungen.

9.3. Die Meldepflicht umfasst in jedem Fall die Pflicht, die Tatsache zu melden, dass ein Leck aufgetreten ist, einschließlich der Angaben über:

die (vermutete) Ursache des Lecks;
die (derzeit bekannten und/oder erwarteten) Folgen; die (vorgeschlagene) Lösung;
die bereits getroffenen Maßnahmen.

10. Löschung und Rückgabe von personenbezogenen Daten

10.1. Die Parteien vereinbaren, dass das Unternehmen und seine Unterauftragnehmer bei Beendigung der Erbringung von Datenverarbeitungsdienstleistungen nach Wahl des Kunden alle übermittelten personenbezogenen Daten und die Kopien davon an den Kunden zurückgeben oder alle personenbezogenen Daten vernichten und dem Kunden dies bescheinigen, es sei denn, das Unternehmen ist aufgrund gesetzlicher Vorschriften nicht berechtigt, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert das Unternehmen, dass es die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht aktiv verarbeitet.

mehr. Das Unternehmen und seine Unterauftragnehmer gewährleisten, dass sie auf Verlangen des Kunden und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für ein Audit der in Abschnitt 8 genannten Maßnahmen zur Verfügung stellen.

11. Geltendes Recht/Forum

11.1. Diese DPA unterliegt dem geltenden Recht und den Gerichtsstandsbestimmungen des Abkommens und ist entsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

11.2. Die Parteien verpflichten sich, alle Einzelheiten des Schiedsverfahrens und des Schiedsspruchs streng vertraulich zu behandeln und alle angemessenen Anstrengungen zu unternehmen, um die unbefugte Offenlegung des Verfahrens, aller in diesem Zusammenhang offengelegten Informationen und des erteilten Schiedsspruchs zu verhindern.

Anhang Nr. 1

Beschreibung der vom Unternehmen durchgeführten technischen und organisatorischen Maßnahmen:

Das Unternehmen führt die in diesem Anhang beschriebenen Maßnahmen durch, sofern diese Maßnahmen direkt oder indirekt zum Schutz personenbezogener Daten während der Dauer der Erbringung der Dienstleistungen des Unternehmens für den Kunden beitragen oder beitragen können. Wenn das Unternehmen der Ansicht ist, dass eine Maßnahme für die jeweilige Dienstleistung oder einen Teil davon nicht erforderlich ist, wird das Unternehmen dies begründen und eine Vereinbarung mit dem Kunden treffen.

Die technischen und organisatorischen Maßnahmen sind dem technischen Fortschritt und der Entwicklung unterworfen. In diesem Zusammenhang ist es dem Unternehmen gestattet, alternative angemessene Maßnahmen zu ergreifen. Das Sicherheitsniveau muss sich an den branchenüblichen Best Practices orientieren und darf die hier genannten Maßnahmen nicht unterschreiten. Alle wesentlichen Änderungen sind mit dem Kunden abzustimmen und zu dokumentieren.

1. Risikomanagement

1.1. Management von Sicherheitsrisiken

1. Das Unternehmen identifiziert und bewertet Sicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und führt auf der Grundlage dieser Bewertung geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
2. Das Unternehmen verfügt über dokumentierte Prozesse und Routinen für den Umgang mit Risiken innerhalb seiner Geschäftstätigkeit.
3. Das Unternehmen bewertet regelmäßig die Risiken im Zusammenhang mit Informationssystemen und der Verarbeitung, Speicherung und Übermittlung von Informationen.

1.2. Sicherheitsrisikomanagement für personenbezogene Daten

1.2.1. Das Unternehmen identifiziert und bewertet Sicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und setzt auf der Grundlage einer solchen Bewertung geeignete technische und organisatorische Maßnahmen um, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der spezifischen personenbezogenen Datenarten und -zwecke, die vom Unternehmen verarbeitet werden, angemessen ist, einschließlich u. a. geeigneter Maßnahmen:

• Die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
• Die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;
• Die Fähigkeit, die Verfügbarkeit und den Zugang zu den Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
• Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

1.2.2. Die
Persönliche Daten im Namen des Kunden.

Das Unternehmen muss über dokumentierte Prozesse und Routinen für den Umgang mit Risiken bei der Verarbeitung

1.2.3. Das Unternehmen bewertet in regelmäßigen Abständen die Risiken im Zusammenhang mit den Informationssystemen und der Verarbeitung, Speicherung und Übermittlung personenbezogener Daten.

1.3. Grundsätze der Informationssicherheit

1.3.1. Das Unternehmen verfügt über ein festgelegtes und dokumentiertes Managementsystem für die Informationssicherheit, einschließlich einer Politik und Verfahren für die Informationssicherheit, die von der Geschäftsleitung des Unternehmens genehmigt werden. Sie werden innerhalb der Organisation des Unternehmens veröffentlicht und an die zuständigen Mitarbeiter des Unternehmens weitergegeben.

1.3.2. Das Unternehmen überprüft regelmäßig die Sicherheitsrichtlinien und -verfahren des Unternehmens und aktualisiert sie, falls erforderlich, um ihre Übereinstimmung mit diesem Anhang zu gewährleisten.

2. Organisation der Informationssicherheit

- Das Unternehmen muss über festgelegte und dokumentierte Sicherheitsrollen und Verantwortlichkeiten innerhalb seiner Organisation verfügen.

- Das Unternehmen ernennt mindestens einen Datenschutzbeauftragten, der über eine angemessene Sicherheitskompetenz verfügt und die Gesamtverantwortung für die Durchführung der Sicherheitsmaßnahmen nach dieser Anlage trägt und der Ansprechpartner für das Sicherheitspersonal des Kunden ist.

3. Sicherheit der Humanressourcen

- Das Unternehmen stellt sicher, dass die Mitarbeiter des Unternehmens die Informationen gemäß den Anforderungen des Datenschutzgesetzes vertraulich behandeln.

- Das Unternehmen stellt sicher, dass die zuständigen Mitarbeiter des Unternehmens über die genehmigte Nutzung (einschließlich etwaiger Nutzungsbeschränkungen) von Informationen, Einrichtungen und Systemen im Rahmen der DSGVO informiert sind.

- Das Unternehmen stellt sicher, dass alle Mitarbeiter des Unternehmens, die im Rahmen der Vereinbarung Aufträge ausführen, vertrauenswürdig sind, die festgelegten Sicherheitskriterien erfüllen und einer angemessenen Überprüfung und Hintergrundüberprüfung unterzogen wurden und während der Dauer des Auftrags weiterhin unterzogen werden.

- Das Unternehmen stellt sicher, dass das mit Sicherheitsaufgaben betraute Unternehmenspersonal angemessen geschult ist, um sicherheitsrelevante Aufgaben wahrzunehmen.

- Das Unternehmen sorgt für eine regelmäßige Schulung des relevanten Personals des Unternehmens zum Thema Sicherheit. Diese Schulungen des Unternehmens umfassen unter anderem

1. (a) Umgang mit der Sicherheit von Kundeninformationen (d. h. Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen);
2. (b) warum Informationssicherheit zum Schutz von Kundeninformationen und -systemen erforderlich ist;
3. (c) die gängigen Arten von Sicherheitsbedrohungen (wie Identitätsdiebstahl, Malware, Hacking, Informationslecks und Insider-Bedrohungen);
4. (d) die Bedeutung der Einhaltung von Informationssicherheitsrichtlinien und der Anwendung damit verbundener Standards/Verfahren;
5. (e) Persönliche Verantwortung für die Informationssicherheit (z. B. Schutz der datenschutzrelevanten Informationen des Kunden und Meldung tatsächlicher und vermuteter Datenschutzverletzungen).

4. Zugangskontrolle

Das Unternehmen verfügt über eine definierte und dokumentierte Zugangskontrollpolitik für Einrichtungen, Standorte, Netzwerke, Systeme, Anwendungen und den Zugang zu Informationen/Daten (einschließlich physischer, logischer und remote ), ein Genehmigungsverfahren für den Benutzerzugang und -privilegien, Verfahren für den Entzug von Zugangsrechten und die akzeptable Nutzung von Zugangsberechtigungen für Mitarbeiter des Unternehmens.

Das Unternehmen verfügt über ein formelles und dokumentiertes Verfahren für die Registrierung und De-Registrierung von Benutzern, um die Zuweisung von Zugriffsrechten zu ermöglichen.

Das Unternehmen vergibt alle Zugriffsrechte nach dem Grundsatz "Kenntnisnahme erforderlich" und dem Grundsatz des geringsten Rechtsanspruchs.

Das Unternehmen verwendet eine starke Authentifizierung (Multifaktor) für remote und Benutzer, die sich von einem nicht vertrauenswürdigen Netzwerk aus verbinden.

Das Unternehmen stellt sicher, dass die Mitarbeiter des Unternehmens über eine persönliche und eindeutige Kennung (Benutzer-ID) verfügen, und verwendet eine geeignete Authentifizierungstechnik, die die Identität der Benutzer bestätigt und sicherstellt.

5. Physische und ökologische Sicherheit

Das Unternehmen schützt die Informationsverarbeitungseinrichtungen vor externen und umweltbedingten Bedrohungen und Gefahren, einschließlich Strom-/Verkabelungsausfällen und anderen Störungen, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden. Dies schließt den Schutz der physischen Umgebung und des Zugangs ein.

6. Betriebssicherheit

Das Unternehmen verfügt über ein etabliertes Änderungsmanagementsystem für Änderungen an Geschäftsprozessen, Informationsverarbeitungseinrichtungen und -systemen. Das Änderungsverwaltungssystem umfasst Tests und Überprüfungen vor der Durchführung von Änderungen, z. B. Verfahren zur Behandlung dringender Änderungen, Rollback-Verfahren zur Wiederherstellung nach fehlgeschlagenen Änderungen, Protokolle, aus denen hervorgeht, was, wann und von wem geändert wurde.

Das Unternehmen implementiert einen Malware-Schutz, um sicherzustellen, dass jede Software, die für die Erbringung der Dienstleistungen des Unternehmens an den Kunden verwendet wird, vor Malware geschützt ist.

Das Unternehmen erstellt Sicherungskopien von kritischen Informationen und testet Sicherungskopien, um sicherzustellen, dass die Informationen wie mit dem Kunden vereinbart wiederhergestellt werden können.

Das Unternehmen protokolliert und überwacht Aktivitäten wie das Erstellen, Lesen, Kopieren, Ändern und Löschen von verarbeiteten Daten sowie Ausnahmen, Störungen und Informationssicherheitsereignisse und überprüft diese regelmäßig. Darüber hinaus schützt und speichert das Unternehmen die Protokolldaten (für mindestens 6 Monate bzw. den/die vom Datenschutzgesetz festgelegten Zeitraum/e) und stellt dem Kunden auf Anfrage die Überwachungsdaten zur Verfügung. Anomalien/Vorfälle/Anzeichen für eine Kompromittierung sind gemäß den Anforderungen für das Management von Datenschutzverletzungen (siehe Abschnitt 9) zu melden.

Das Unternehmen verwaltet Schwachstellen aller relevanten Technologien wie Betriebssysteme, Datenbanken und Anwendungen proaktiv und rechtzeitig.

Das Unternehmen erstellt Sicherheitsgrundlagen (Härtung) für alle relevanten Technologien wie Betriebssysteme, Datenbanken und Anwendungen.

Das Unternehmen muss sicherstellen, dass die Entwicklung von der Test- und Produktionsumgebung getrennt ist.

7. Sicherheit der Kommunikation

Das Unternehmen führt Netzsicherheitskontrollen wie Service Level, Firewalling und Segregation zum Schutz der Informationssysteme durch.

8. Beziehungen des Unternehmens zu Unterlieferanten

Das Unternehmen berücksichtigt den Inhalt dieses Anhangs in seinen Vereinbarungen mit Unterauftragsverarbeitern, die im Rahmen der DPA übertragene Aufgaben ausführen.

Das Unternehmen überwacht, überprüft und kontrolliert regelmäßig die Einhaltung dieses Anhangs durch den Unterauftragsverarbeiter.

Auf Verlangen des Kunden stellt das Unternehmen dem Kunden Nachweise über die Einhaltung dieses Anhangs durch den Unterverarbeiter zur Verfügung.

9. Management von Datenschutzverletzungen

Das Unternehmen hat Verfahren für den Umgang mit Datenverletzungen festgelegt.

Das Unternehmen informiert den Kunden über jede Datenschutzverletzung (einschließlich, aber nicht beschränkt auf Vorfälle im Zusammenhang mit der Verarbeitung personenbezogener Daten) so schnell wie möglich, spätestens jedoch innerhalb von 36 Stunden nach Feststellung der Datenschutzverletzung.

Alle Berichte über sicherheitsrelevante Vorfälle sind als vertrauliche Informationen zu behandeln und unter Verwendung branchenüblicher Verschlüsselungsmethoden zu verschlüsseln.

Der Bericht über die Datenschutzverletzung muss mindestens die folgenden Informationen enthalten:

(a) (b) (c) (d) (e) (f) (g)

Die Art der Datenschutzverletzung,
Die Art der betroffenen personenbezogenen Daten,
Die Kategorien und die Anzahl der betroffenen Personen,
Die Anzahl der betroffenen personenbezogenen Datensätze,
Die Maßnahmen, die ergriffen wurden, um die Datenschutzverletzung zu beheben,
Die möglichen Folgen und nachteiligen Auswirkungen der Datenschutzverletzung und
Alle anderen Informationen, die der Kunde der zuständigen Aufsichtsbehörde oder der betroffenen Person mitteilen muss.

An die
, die nicht auf Versäumnisse des Unternehmens zurückzuführen sind.

Soweit rechtlich möglich, kann das Unternehmen eine Entschädigung für Unterstützungsleistungen gemäß dieser Klausel 9

10. Management der Geschäftskontinuität

Das Unternehmen ermittelt die Risiken für die Kontinuität des Geschäftsbetriebs und ergreift die erforderlichen Maßnahmen, um diese Risiken zu kontrollieren und abzuschwächen.

Das Unternehmen verfügt über dokumentierte Prozesse und Routinen für den Umgang mit der Geschäftskontinuität.
Das Unternehmen stellt sicher, dass die Informationssicherheit in die Geschäftskontinuitätspläne eingebettet ist.

Das Unternehmen bewertet in regelmäßigen Abständen die Effizienz seines Business-Continuity-Managements und die Einhaltung der Verfügbarkeitsanforderungen (falls vorhanden).

Für weitere Informationen wenden Sie sich bitte an [email protected].