Fortra Datenverarbeitungsvertrag ("DPA")

1. Geltungsbereich dieser DPA

  1. Diese DPA wird durch Bezugnahme in die Allgemeinen Geschäftsbedingungen für Fortra-Bestellungen oder andere anwendbare ausgeführte Dienstleistungsverträge (jeweils als "Dienstleistungsvertrag" bezeichnet) für die Bereitstellung von Produkten oder Dienstleistungen ("Dienstleistungen") durch den Dienstleister ("Anbieter") an den Kunden ("Kunde" oder "Fortra") aufgenommen. Bei der Erbringung der Dienstleistungen kann der Anbieter personenbezogene Daten im Namen des Kunden verarbeiten, und die Parteien erklären sich damit einverstanden, die Bedingungen dieser DPA einzuhalten.
  2. Im Falle eines Widerspruchs zwischen dieser DPA und der zugrunde liegenden Dienstleistungsvereinbarung hat diese DPA Vorrang. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und diesem DPA haben die Standardvertragsklauseln Vorrang.

2. Definitionen

In dieser DPA haben die folgenden Begriffe die folgende Bedeutung:

  1. "Angemessenheitsbeschluss" bezeichnet gegebenenfalls einen Beschluss der Europäischen Kommission, der Regierung des Vereinigten Königreichs und/oder des Schweizerischen Bundesrates, dass ein Drittland ein angemessenes Datenschutzniveau bietet.
  2. "CCPA" bezeichnet den California Consumer Privacy Act von 2018 in der Fassung des California Privacy Rights Act, der am 1. Januar 2023 in Kraft tritt, und alle nachfolgenden Änderungen oder Durchführungsbestimmungen.
  3. "Kundendaten" bezeichnet alle Daten, die der Anbieter vom Kunden zur Verfügung stellt, verarbeitet oder speichert.
  4. "Personenbezogene Daten des Kunden" sind alle personenbezogenen Daten, die vom Anbieter im Auftrag des Kunden gemäß dem Dienstleistungsvertrag verarbeitet werden.
  5. "Verantwortlicher" bezeichnet eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, einschließlich eines entsprechenden Begriffs nach dem Datenschutzrecht.
  6. "Datenschutzgesetz" bezeichnet gegebenenfalls alle Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes, einschließlich: (i) der DSGVO und der Gesetze der Mitgliedstaaten zur Umsetzung der DSGVO; (ii) die DSGVO und der Datenschutzgesetz des Vereinigten Königreichs von 2018; (iii) das Schweizerische Bundesgesetz über den Datenschutz ("DSG"); iv) und der CCPA, jeweils in der jeweils geänderten, aktualisierten oder ersetzten Fassung.
  7. "Betroffene Person" bezeichnet eine identifizierte oder identifizierbare Person.
  8. "DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
  9. "NIS2" bezeichnet die Richtlinie der Europäischen Union über Netz- und Informationssysteme, Durchführungsverordnungen und alle Nachfolgegesetze in der EU sowie ähnliche anwendbare Gesetze in anderen Ländern.
  10. "Personenbezogene Daten" sind alle Informationen, die sich auf eine betroffene Person beziehen, einschließlich aller entsprechenden Begriffe nach dem Datenschutzgesetz.
  11. "Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
  12. "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, das Blockieren, Löschen oder Vernichten.
  13. "Auftragsverarbeiter" bezeichnet ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, einschließlich aller entsprechenden Begriffe nach dem Datenschutzgesetz.
  14. "Standardvertragsklauseln" bezeichnet gegebenenfalls (i) den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der DSGVO ("EU-Standardvertragsklauseln"); und (ii) der Nachtrag zur internationalen Datenübermittlung zu den EU-Standardvertragsklauseln, der vom Information Commissioner's Office gemäß S119A(1) des Data Protection Act 2018 ("UK Addendum") herausgegeben wurde.
  15. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Anbieter mit der Verarbeitung der personenbezogenen Daten des Kunden im Auftrag des Kunden beauftragt wurde.
  16. "Aufsichtsbehörde" hat die Bedeutung oder eine gleichwertige Bedeutung, die nach dem Datenschutzrecht gegeben ist.
  17. "UK GDPR" bezeichnet die DSGVO, wie sie durch den Data Protection Act 2018 in das Recht des Vereinigten Königreichs aufgenommen und durch den Datenschutz, die Privatsphäre und die elektronische Kommunikation (Änderungen usw.) geändert wurde. (EU-Austritt) Verordnungen 2019.
  18. Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die Bedeutung, die diesen Begriffen im Dienstleistungsvertrag zugewiesen wurde.

3. Umfang der Verarbeitung

  1. Die Parteien vereinbaren, dass in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden der Kunde der Verantwortliche und der Verkäufer der Auftragsverarbeiter ist. Wenn es sich bei dem Kunden um einen Auftragsverarbeiter für personenbezogene Daten des Kunden handelt, ist der Anbieter ein Unterauftragsverarbeiter für die personenbezogenen Daten des Kunden. Die Bedingungen dieses DPA gelten für jedes Szenario. Für den Fall, dass der Anbieter als Unterauftragsverarbeiter gilt, wird der Kunde als Ansprechpartner für den/die jeweiligen Verantwortlichen(n) benannt, und die Mitteilung des Anbieters an den Kunden gilt als Mitteilung an den/die jeweiligen Verantwortlichen, die seinen Mitteilungspflichten gemäß dem geltenden Datenschutzgesetz entspricht. Der Kunde ist dafür verantwortlich, den bzw. die jeweiligen Verantwortlichen im Namen des Verkäufers darüber zu informieren. In dem Maße, in dem der Anbieter den Kunden benachrichtigt hat und der Kunde es versäumt, den jeweiligen Verantwortlichen im Namen des Anbieters ausreichend zu benachrichtigen, und eine Aufsichtsbehörde feststellt, dass der Anbieter seinen Mitteilungspflichten gegenüber dem/den Verantwortlichen(n) nicht nachgekommen ist, (x) gilt eine solche Nichterfüllung nicht als wesentlicher Verstoß gegen diese DPA oder den Dienstleistungsvertrag durch den Anbieter und (y) muss der Kunde den Anbieter für alle Mängel im Zusammenhang mit der Bereitstellung verteidigen und entschädigen Mitteilungen nach geltendem Datenschutzrecht an Verantwortliche durch den Anbieter, der als Unterauftragsverarbeiter handelt.
  2. Jede Partei ist verpflichtet, ihre jeweiligen Verpflichtungen aus dem Datenschutzgesetz einzuhalten.
  3. Der Verkäufer darf die personenbezogenen Daten des Kunden nur auf schriftliche Anweisung des Kunden verarbeiten, es sei denn, der Verkäufer ist gesetzlich dazu verpflichtet, etwas anderes zu tun. Im letzteren Fall wird der Verkäufer den Auftraggeber vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, dieses Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
  4. Der Anbieter darf nicht: (a) die personenbezogenen Daten des Kunden für andere Zwecke sammeln, aufbewahren, verwenden oder offenlegen, als dies für den spezifischen Zweck der Erbringung der Dienstleistungen im Namen des Kunden erforderlich ist; (b) die personenbezogenen Daten des Kunden für einen anderen kommerziellen Zweck als die Erbringung der Dienstleistungen im Namen des Kunden zu sammeln, aufzubewahren, zu verwenden oder offenzulegen; (c) die personenbezogenen Daten des Kunden außerhalb der direkten Geschäftsbeziehung des Anbieters mit dem Kunden zu sammeln, zu speichern, zu verwenden oder offenzulegen; (d) die personenbezogenen Daten des Kunden mit anderen personenbezogenen Daten zu kombinieren, die er erhält, es sei denn, dies ist ausdrücklich nach dem Datenschutzgesetz zulässig (es sei denn, um zur Verbesserung seiner Dienstleistungen beizutragen); oder (e) die personenbezogenen Daten des Kunden zu "verkaufen" oder zu "teilen", jeweils wie im CCPA definiert.
  5. Die Verarbeitung der personenbezogenen Daten des Kunden durch den Anbieter umfasst den Gegenstand, die Art, den Zweck und die Dauer, die im entsprechenden Abschnitt von Anhang 1 dieses DPA festgelegt sind. Die Verarbeitung bezieht sich auf die Arten von personenbezogenen Daten und die darin identifizierten Kategorien betroffener Personen.
  6. Der Verkäufer wird den Auftraggeber unverzüglich informieren, wenn eine Weisung nach seiner Auffassung gegen das Datenschutzrecht verstößt.

4. Personalbedarf

  1. Der Verkäufer stellt sicher, dass sich die Personen, die zur Verarbeitung der personenbezogenen Daten des Kunden befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Sicherheit der Verarbeitung

  1. Der Anbieter wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der personenbezogenen Daten des Kunden sowie der jeweiligen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko der personenbezogenen Daten des Kunden und der Kundendaten angemessenes Datensicherheitsniveau zu gewährleisten.
  2. Der Lieferant muss die technischen und organisatorischen Maßnahmen einhalten, die in Anhang 2 dieses DPA aufgeführt sind.  Der Anbieter kann diese Maßnahmen von Zeit zu Zeit aktualisieren, vorausgesetzt, dass solche Aktualisierungen das in Anhang 2 dieser DPA vorgesehene Sicherheitsniveau nicht beeinträchtigen.
  3. Der Anbieter ist verpflichtet, alle anwendbaren technischen und organisatorischen Maßnahmen einzuhalten, die von NIS2, seinen Durchführungsbestimmungen und allen ähnlichen Gesetzen weltweit gefordert werden. Der Anbieter ist verpflichtet, Maßnahmen des Anbietermanagementprogramms zu implementieren, die eine angemessene Sicherheitsbewertung seiner Drittanbieter vorsehen, Sicherheitsereignisse (wie nach lokalem Recht definiert) unverzüglich melden, die NIS2-Anforderungen an die entsprechenden Subunternehmer von Drittanbietern sowie alle Anforderungen aus dem Dienstleistungsvertrag weitergeben.  Der Anbieter meldet dem Kunden alle Sicherheitsereignisse in Bezug auf Kundendaten, sobald er von einem tatsächlichen oder vermuteten Ereignis Kenntnis erlangt, jedoch in keinem Fall länger als 12 Stunden. Der Anbieter ist verpflichtet, bei der Untersuchung eines Sicherheitsereignisses uneingeschränkt mit dem Kunden zusammenzuarbeiten und alle von NIS2 geforderten Informationen zur Verfügung zu stellen.

6. Beauftragung von Unterauftragsverarbeitern

  1. Der Kunde ermächtigt den Anbieter hiermit, Unterauftragsverarbeiter allgemein mit der Verarbeitung der personenbezogenen Daten des Kunden zu beauftragen. Auf schriftliche Anfrage des Kunden stellt der Anbieter eine vollständige Liste der von ihm beauftragten Unterauftragsverarbeiter zur Verfügung.
  2. Der Kunde muss jeden Einwand von Unterauftragsverarbeitern innerhalb von 10 Tagen nach Erhalt der Liste mitteilen. Wenn der Einwand nicht innerhalb von 30 Tagen nach Eingang des Einwands des Abonnenten zur beiderseitigen Zufriedenheit der Parteien gelöst wurde, kann jede Partei den Dienstleistungsvertrag kündigen (ganz oder teilweise nur in dem Umfang, der erforderlich ist, um den Zugang zu den von der Hinzufügung des vorgeschlagenen Unterauftragsverarbeiters betroffenen Diensten zu beenden), was das einzige und ausschließliche Rechtsmittel des Abonnenten ist.
  3. Der Anbieter verpflichtet sich vertraglich zur Einhaltung des geltenden Datenschutzrechts.
  4. Der Anbieter haftet gegenüber dem Kunden in vollem Umfang für die Erfüllung der Verpflichtungen jedes Unterauftragsverarbeiters in Bezug auf die Dienstleistungen.

7. Unterhaltspflichten

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Verkäufer den Kunden, soweit dies möglich ist, mit technischen und organisatorischen Maßnahmen, um die Verpflichtungen des Kunden zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen in Bezug auf die personenbezogenen Daten des Kunden zu erfüllen. Der Verkäufer darf auf solche Anfragen nur nach vorheriger schriftlicher Genehmigung des Kunden direkt an die betroffene Person antworten. Wenn sich eine betroffene Person direkt an den Anbieter wendet, um ihre Rechte als betroffene Person auszuüben, leitet der Anbieter diese Anfrage unverzüglich an den Kunden weiter.
  2. Der Verkäufer benachrichtigt den Kunden unverzüglich über eine tatsächliche Verletzung des Schutzes personenbezogener Daten, an der die personenbezogenen Daten des Kunden beteiligt sind. Die Meldung enthält eine Beschreibung folgender Punkte:
    1. Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
    2. Name und Kontaktdaten der Kontaktstelle des Anbieters, über die weitere Informationen eingeholt werden können;
    3. wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten; und
    4. Maßnahmen, die der Anbieter ergriffen hat oder deren Maßnahmen vorgeschlagen werden, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich, falls zutreffend, Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
      Ist es nicht möglich, solche Informationen gleichzeitig zur Verfügung zu stellen, kann der Verkäufer die Informationen in Phasen ohne unangemessene Verzögerung zur Verfügung stellen.

Soweit dies nach dem Datenschutzgesetz erforderlich ist, unterstützt der Anbieter den Kunden unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter zur Verfügung stehenden Informationen in angemessener Weise bei der Einhaltung der Sicherheit der Verarbeitung, der Benachrichtigung über Verstöße, der Datenschutz-Folgenabschätzungen und der vorherigen Konsultationen mit den Aufsichtsbehörden auf Kosten des Kunden, einschließlich der Bereitstellung von Elementen wie Protokolldaten.

8. Löschung und Rückgabe personenbezogener Daten des Kunden

  1. Diese DPA bleibt so lange in Kraft, wie der Anbieter die personenbezogenen Daten des Kunden im Auftrag des Kunden verarbeitet. Auf schriftliche Anfrage ist der Verkäufer verpflichtet, die personenbezogenen Daten des Kunden spätestens 90 Tage nach dem Datum der Beendigung einer Dienstleistung, die die Verarbeitung der personenbezogenen Daten des Kunden beinhaltet, zu löschen oder zurückzugeben. Wenn der Verkäufer gesetzlich verpflichtet ist, die personenbezogenen Daten des Kunden aufzubewahren, muss der Verkäufer den Kunden über diese Anforderung informieren.

9. Prüfung

  1. Der Verkäufer stellt dem Kunden auf Kosten alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesem DPA festgelegten Verpflichtungen erforderlich sind, und, soweit dies nach dem Datenschutzgesetz erforderlich ist, Audits zu ermöglichen und dazu beizutragen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden. Der Kunde kann sein Recht auf Audit nur einmal pro Kalenderjahr ausüben und umfasst nicht den Zugang zu Räumlichkeiten oder Systemen. Der Verkäufer und der Kunde werden das angemessene Startdatum, den Umfang und die Dauer sowie die Sicherheits- und Vertraulichkeitskontrollen, die für eine Prüfung gelten, erörtern und schriftlich vereinbaren, und der Kunde muss alle erforderlichen Schritte unternehmen, um die Unterbrechung des Geschäftsbetriebs des Verkäufers zu minimieren. Der Kunde oder der zuständige Prüfer haben kein Recht auf Zugriff auf die personenbezogenen Daten anderer Kunden des Anbieters oder auf ein System, das nicht an der Verarbeitung der personenbezogenen Daten des Kunden beteiligt ist. Alle Informationen, die im Rahmen eines Audits erlangt werden, gelten als vertrauliche Informationen des Verkäufers.  

10. Internationale Übertragungen

  1. Der Verkäufer stellt gegebenenfalls sicher, dass jede Übermittlung der personenbezogenen Daten des Kunden, die der DSGVO, DER DSGVO und/oder dem DSG unterliegen, außerhalb des EWR, des Vereinigten Königreichs und/oder der Schweiz in ein Drittland ohne Angemessenheitsbeschluss dem Datenschutzrecht entspricht.
  2. Wenn der Kunde personenbezogene Daten des Kunden, die der DSGVO, DER UK-DSGVO und/oder dem DSG unterliegen, außerhalb des EWR, des Vereinigten Königreichs und/oder der Schweiz an den Anbieter in einem Drittland ohne Angemessenheitsbeschluss übermittelt, vereinbaren die Parteien, Modul 2 und/oder 3 der Standardvertragsklauseln einzuhalten, sofern anwendbar. die durch Verweis in diese DPA aufgenommen werden, als ob sie vollständig dargelegt worden wären, und die in dieser Klausel 10 aufgeführt sind. Die Parteien vereinbaren, dass für die Zwecke der Standardvertragsklauseln der Kunde der Datenexporteur und der Verkäufer der Datenimporteur ist.
  3. Die Parteien vereinbaren, dass die Ausführung oder Annahme des Dienstleistungsvertrags die Erfüllung der Standardvertragsklauseln darstellt, soweit dies nach dem Datenschutzgesetz erforderlich ist.
  4. Die Parteien vereinbaren, die EU-Standardvertragsklauseln in Bezug auf die personenbezogenen Daten des Kunden, die der DSGVO unterliegen, wie folgt auszufüllen: (i) alle optionalen Klauseln sind ausgeschlossen; (ii) die Angaben zu den Parteien sind in der Dienstleistungsvereinbarung und in dieser DPA festgelegt; (iii) Die Beschreibung der Übertragung ist im entsprechenden Abschnitt von Anhang 1 dieses DPA dargelegt; iv) die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-Standardvertragsklauseln bestimmt; (v) die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs müssen in Übereinstimmung mit Klausel 5 dieser DPA stehen; und (vi) der Datenimporteur über eine allgemeine schriftliche Genehmigung zur Ernennung von Unterauftragsverarbeitern gemäß Klausel 6 dieser DPA verfügt.
  5. Die Parteien vereinbaren, den UK-Nachtrag in Bezug auf die personenbezogenen Daten des Kunden, die der britischen DSGVO unterliegen, zu vervollständigen: (i) Die Version der EU-Standardvertragsklauseln, der der UK-Zusatz beigefügt ist, ist die in diesem DPA dargelegte und in Klausel 10.4 ausgefüllte Version; (ii) Das Startdatum ist das Datum des Dienstleistungsvertrags; iii) die Angaben zu den Vertragsparteien und den Angaben im Anhang müssen mit Klausel 10.4 übereinstimmen; iv) Die zuständige Aufsichtsbehörde ist der Information Commissioner; und (v) der Datenimporteur hat das Recht, den Nachtrag für das Vereinigte Königreich zu kündigen.
  6. Die Parteien verpflichten sich, die EU-Standardvertragsklauseln einzuhalten, wie sie in Klausel 10.4 dieses DPA in Bezug auf die personenbezogenen Kundendaten, die dem DSG unterliegen, ausgefüllt sind, und in der wie folgt geänderten Fassung: (i) Die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; (ii) der Begriff "Mitgliedstaat" ist nicht so auszulegen, dass betroffene Personen in der Schweiz von der Einleitung eines Gerichtsverfahrens in der Schweiz ausgeschlossen sind; und (iii) Verweise auf die «DSGVO» sind als Verweise auf das DSG zu verstehen.
  7. Die folgenden zusätzlichen Sicherheitsvorkehrungen sollen die Verwendung der Standardvertragsklauseln durch die Parteien weiter unterstützen: (a) Der Anbieter erklärt, dass er zum Zeitpunkt des Inkrafttretens dieses DPA keine Anfragen gemäß Abschnitt 702 des U.S. Foreign Intelligence Surveillance Act für die personenbezogenen Daten von Einwohnern des EWR, des Vereinigten Königreichs, erhalten hat, Schweiz oder ein anderes Land; (b) Der Verkäufer hat den Kunden darüber zu informieren, wenn er nicht in der Lage ist, die Standardvertragsklauseln einzuhalten; und (c) wenn der Anbieter eine Anfrage nach personenbezogenen Daten des Kunden von einem Dritten erhält, einschließlich einer Regierungs- oder Strafverfolgungsbehörde oder gemäß Abschnitt 702 des Foreign Intelligence Surveillance Act, wird der Anbieter wirtschaftlich angemessene Anstrengungen unternehmen, um verfügbare Einreden gegen die Offenlegung geltend zu machen, und den Umfang einer gesetzlich vorgeschriebenen Offenlegung auf das Maß beschränken, das zur Erfüllung der Offenlegungspflicht unbedingt erforderlich ist.

Zeitplan 1

Anleitung zur Datenverarbeitung

Art der VerarbeitungDie Art der Verarbeitung umfasst unter anderem die Erfassung, Nutzung, Speicherung und Übertragung personenbezogener Kundendaten.
Zwecke der VerarbeitungZum Zwecke der Erbringung der Dienstleistungen gemäß dem Dienstleistungsvertrag.
Arten von personenbezogenen Daten, einschließlich personenbezogener Daten besonderer Kategorien

Der Datenexporteur kann Kundendaten übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die unter anderem die folgenden Kategorien von Kundendaten umfassen können: 

Wie in der Dienstleistungsvereinbarung beschrieben.

Kategorien betroffener Personen

Der Datenexporteur kann Kundendaten an die Lösung(en) übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die unter anderem Kundendaten in Bezug auf die folgenden Kategorien von betroffenen Personen umfassen können: 

Wie in der Dienstleistungsvereinbarung beschrieben.

Häufigkeit und Dauer der VerarbeitungKontinuierlich für die Dauer des Dienstleistungsvertrags.

Zeitplan 2

Anlage 2

Technische und organisatorische Maßnahmen

Die entsprechenden Maßnahmen sind unten durch ein Häkchen im jeweiligen Kästchen gekennzeichnet:

  1. Kontrolle der Organisation
    • Interne Datenverarbeitungsrichtlinien und -verfahren, Richtlinien, Arbeitsanweisungen, Prozessbeschreibungen und Vorschriften für die Programmierung, Prüfung und Freigabe von Daten
    • Regelmäßige Schulungen der Mitarbeiter in Datenschutzfragen
    • Bestellung eines Datenschutzbeauftragten
    • Vier-Augen-Prinzip
    • [                                                                                                       ]
  2. Zutrittskontrolle von Personen
    • Einrichtung von Zutrittsberechtigungen für Mitarbeiter und Dritte, einschließlich der entsprechenden Dokumentationen
    • Personalausweise, Codecard-Pässe oder biometrische Pässe
    • Sicherheitsschlösser oder elektronische Schlösser
    • Einschränkungen bei Schlüsseln / Schlüsselcodes
    • Sicherheits-Alarmanlage
    • Bauliche Maßnahmen (Zäune, verschlossene Türen, verschlossene Fenster)
    • Spezifische Sicherheitsbereiche mit eigener Zutrittskontrolle ("closed shops")
    • [                                                                                                       ]
  3. Zugriffskontrolle auf Daten
    • Zutrittsberechtigungssystem mit spezifischen Berechtigungsstufen für Mitarbeiter und Dritte
    • Pseudonymisierung und Verschlüsselung von Daten
    • Funktions- und/oder zeitlich eingeschränkte Nutzung von Endgeräten und/oder Endgerätebenutzern und Identifikationsmerkmale
    • Richtlinien für die Erstellung sicherer Passwörter
    • Automatische Bildschirmsperre nach einer bestimmten Zeit
    • Protokollierung von Ereignissen (Überwachung von Einbruchsversuchen)
    • Protokollierung und Analyse der Nutzung der Dateien
    • Schutz interner Netzwerke vor unbefugten Zugriffen (z.B. durch Firewalls)
    • [                                                                                                       ]
  4. Steuerung des Getriebes
    • Authentifizierung des berechtigten Personals sowohl für die Freigabe als auch für den Empfang von Daten
    • Protokollierung von Freigaben und Protokollanalyse
    • Verschlüsselung der Daten bei der Übertragung oder beim Transport
    • Elektronische Signatur
    • Kontrolle auf Vollständigkeit und Richtigkeit
    • Umsetzung eines Fernwartungskonzeptes
    • [                                                                                                       ]
  5. Eingabekontrolle
    • Protokollierung und Protokollanalyse der Datenverarbeitung
    • Elektronische Signatur
    • [                                                                                                       ]
  6. Verfügbarkeitskontrolle
    • Durchführung einer Risiko- und Schwachstellenanalyse
    • Trennung der Funktionen zwischen der IT-Abteilung und anderen Abteilungen
    • Alle eingesetzte Software auf dem neuesten Stand halten (z.B. durch Updates, Patches, Fixes, etc.)
    • Vorhandensein eines Notfallplans (Backup-Notfallplan)
    • Erstellung von Sicherungskopien in regelmäßigen Abständen und getrennte und sichere Speicherung
    • Einrichtung des Servers in einem separat gesicherten Serverraum oder Rechenzentrum
    • Brandschutzmaßnahmen
    • Notstromaggregat
    • Datenspiegelung
    • [                                                                                                       ]
  7. Trennungs-Kontrolle
    • Speicherung der Daten in getrennten Datenkollektoren (physische Trennung)
    • Berechtigungsrichtlinie (logische Trennung)
    • Mandantenfähigkeit
    • Trennung von Testdaten und Produktivdaten
    • [                                                                                                       ]