Auftragsverarbeitungsvertrag

Anlage zur Auftragsverarbeitung

1. Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem Hauptvertrag verarbeitet der Auftragnehmer (Kerberos Compliance-Managementsysteme GmbH) personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.

2. Umfang der Beauftragung

2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Anlage 1 zu diesem Vertrag spezifiziert; die Verarbeitung betrifft die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.3 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

2.4 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

2.5 Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44–48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

3. Weisungsbefugnisse des Auftraggebers

3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.

3.3 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.

4. Verantwortlichkeit des Auftraggebers

4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

4.3 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

4.4 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

5. Anforderungen an Personal

Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.

6. Sicherheit der Verarbeitung

6.1 Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

6.2 Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.

7. Inanspruchnahme weiterer Auftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 2. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.

7.2 Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.

7.3 Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

7.4 Unter Einhaltung der Anforderungen der Ziffer 2.5 dieses Vertrags gelten die Regelungen in dieser Ziffer 7 auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 07.06.2021 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.

8. Rechte der betroffenen Personen

8.1 Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

8.2 Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

8.3 Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

8.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

8.5 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

9. Mitteilungs- und Unterstützungspflichten des Auftragnehmers

9.1 Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.

9.2 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

10. Datenlöschung

10.1 Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

11. Nachweise und Überprüfungen

11.1 Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

11.3 Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.

11.4 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.

11.5 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.

11.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

11.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach ISO 27001 – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

12. Vertragsdauer und Kündigung

12.1 Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

13. Haftung

13.1 Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.

13.2 Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbußen, die gegen den Auftragnehmer verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

14. Schlussbestimmungen

14.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

14.2 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

Anlagen:

Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Anlage 2: Weitere Auftragsverarbeiter

Anlage 3: Technische und organisatorische Maßnahmen zur Datensicherheit

Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Due-Diligence-Prüfungen

Zweck der Datenverarbeitung

• Erfüllung der Kundensorgfaltspflichten inklusive Feststellung der PEP-Eigenschaft (bspw. gemäß § 10 Abs. 1 Nr. 4 GwG)

• Ermittlung der Eigentums- und Kontrollstrukturen und wirtschaftlich Berechtigten (bspw. gemäß § 10 Abs. 1 Nr. 2 GwG)

• Sanktionslistenprüfung (EG-Verordnungen, AWG, AWV)

Art und Umfang der Datenverarbeitung

Abgleich und Recherche von Prüfobjekten in Datenbanken und öffentlichen Quellen im Rahmen der Customer Due Diligence

Art der Daten

• Stammdaten (z.B. Namen, Anschriften, Geburtsdaten)

• Kontaktdaten (z.B. Adressen)

• Daten zu Eigentumsverhältnissen von Unternehmen (Handels- und Transparenzregister, Unternehmensdatenbanken)

• Daten aus öffentlich zugänglichen Quellen und Pressedatenbanken

• Bonitätsdaten

Kategorien betroffener Personen

• Geschäftspartner

• Gesetzliche Vertreter von Geschäftspartnern

• Wirtschaftlich Berechtigte

• Netzwerk der Geschäftspartner

E-Learning

Zweck der Datenverarbeitung

Schulung von Beschäftigten zu gesetzlichen Vorgaben und Compliance-Themen

Art und Umfang der Datenverarbeitung

Bereitstellung von Lerninhalten und der Verarbeitung von Lernaktivitäten und Lernständen

Art der Daten

• Benutzerdaten (z.B. Namen)

• Kontaktdaten (z.B. E-Mail-Adressen)

• Schulungsdaten (z.B. belegte Kurse, Lernergebnisse)

Kategorien betroffener Personen

• Geschäftspartner

• Gesetzliche Vertreter von Geschäftspartnern

• Wirtschaftlich Berechtigte

• Netzwerk der Geschäftspartner

Digitales Datenschutz-Managementsystem

Zweck der Datenverarbeitung

Sicherung und Dokumentation der gesetzlichen und betrieblichen Anforderungen zum Datenschutz.

Art und Umfang der Datenverarbeitung

Elektronische Erfassung der Organisation des Datenschutzes und der Datensicherheit

Art der Daten

• Stammdaten (z.B. Namen)

• Kontaktdaten (z.B. E-Mail-Adressen)

• Schulungsdaten (z.B. Beschäftigtenschulungen)

• Nutzung

Kategorien betroffener Personen

• Beschäftigte

• Kunden

• Geschäftspartner

• Dritte

Hinweisgebersystem

Zweck der Datenverarbeitung

Nutzung des Hinweisgebersystems durch Beschäftigte, Geschäftspartner und Dritte

Art und Umfang der Datenverarbeitung

Erfassen und Bearbeiten von Hinweisen zu Verstößen gegen Gesetze und Richtlinien

Art der Daten

• Stammdaten (z.B. Namen)

• Kontaktdaten (z.B. E-Mail-Adressen)

• Hinweisdaten (z.B. beteiligte Personen und Hinweise zu Verstößen)

Kategorien betroffener Personen

• Beschäftigte

• Geschäftspartner

• Dritte

Anlage 2: Weitere Auftragsverarbeiter

Unternehmen, Adresse

Beschreibung

AGICAP SAS (8 Chemin de Montpellas France, 69009 Lyon, Frankreich)

Finanzliquiditätsmanagement

AnyDesk Software GmbH (Türlenstraße 2, 70191 Stuttgart)

Fernwartung

CenterDevice GmbH (Rheinwerkallee 3, 53227 Bonn)

Dokumentenmanagement

d.velop AG (Schildarpstraße 6-8, 48712 Gescher)

Dokumentenmanagement

DiGiTEXX Gesellschaft für digitale Bürosysteme mbH (Emil-Hoffmann-Straße 1A, 50996 Köln)

Digitales Signaturmanagement

easybill GmbH (Düsselstraße 21, 41564 Kaarst)

Rechnungsmanagement

Freshworks Inc. (2950 S. Delaware Street, Suite 201, San Mateo, CA 94403, USA)

IT-Service-Management

iteracon GmbH (Talstr. 78, 52531 Übach-Palenberg)

IT-Service Dienstleister

Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521, Irland)

Office-Software und Sharepoint

salesforce.com Germany GmbH (Erika-Mann-Straße 31, 80636 München)

Customer Relationship Management

Spendesk SAS (51 rue de Londres, 75008 Paris, Frankreich)

Rechnungsmanagement

Due-Diligence-Prüfungen

CI Firmenauskunft GmbH “Company.Info” (Georgstraße 26, 49809 Lingen))

Wirtschaftsinformationen

Creditreform Boniversum GmbH (Hellersberger Straße 11, 41460 Neuss)

Bonitätsauskünfte

Factiva Limited (The News Building 1, London Bridge Street, London SE19GF, Großbritannien)

Wirtschaftsinformationen

Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland)

IT-Infrastruktur: Google Cloud Platform (GCP)

LexisNexis GmbH (Heerdter Sandberg 30, 40549 Düsseldorf)

Wirtschaftsinformationen

Structr GmbH (Hanauer Landstraße 291, 60314 Frankfurt am Main)

IT-Service Dienstleister

Digitales Datenschutz-Managementsystem

DPMS – Data Protection Management System (Haagscher Weg 17, 47608 Geldern)

IT-Service Dienstleister

E-Learning

Magh und Boppert GmbH (Schulze-Delitzsch-Straße 8, 33100 Paderborn,)

E-Learning-Management

Hinweisgebersystem

Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland)

IT-Infrastruktur Google Cloud Platform (GCP)

Anlage 3: Technische und organisatorische Maßnahmen

1. Allgemeine Beschreibungen

Beschreibung der technischen und organisatorische Maßnahmen gem. Art. 32 Abs. 1 DSGVO für Auftragsverarbeiter (Art. 30 Abs. 2 lit. d).

Allgemeine Angaben

Auftragsverarbeiter i.S. der DSGVO     Kerberos Compliance-Managementsysteme GmbH
Straße, Hausnummer                         Im Zollhafen 24
Postleitzahl. Ort                                 50678 Köln

2. Verschlüsselung

Folgende Maßnahmen werden hierzu durchgeführt:

• Verschlüsselung von Smartphone-Inhalten

• Verschlüsselung von mobilen Datenträgern

• Verschlüsselung von Datenträgern in Laptops / Notebooks

Die Verschlüsselung wird in folgenden Dokumenten konkretisiert:

• Richtlinie „Kryptographische Verfahren“

3. Gewährleistung der Vertraulichkeit

Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten), mit denen Daten im Auftrag verarbeitet werden, zu verwehren. Es soll den unautorisierten Zugang oder Zugriff auf personenbezogene Daten verhindert werden, beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder Dritten.

Die Gewährleistung der Vertraulichkeit der Systeme und Dienste wird in folgenden Dokumenten konkretisiert:

• Richtlinie „Physische Sicherheit“

• Richtlinie „Zugriffskontrolle“

• Richtlinie „Sichere Passwörter“

3.1 Zutrittskontrolle

Ziel ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Hiermit ist der räumliche Zugang zu den Anlagen gemeint.

Folgende Maßnahmen werden hierzu durchgeführt:

• Zutrittskontrolle des Gebäudes Tag/Nacht

· Während Geschäftsöffnungszeiten sind die Büroräume verschlossen. Der Zugang ist nur mittels Chipkarte oder Schlüssel möglich

• Chipkarten-/Transponder-Schließsystem

• Schlüsselregelung (Schlüsselausgabe etc.)

· Außerhalb der Geschäftsöffnungszeiten ist das Gebäude verschlossen. Der Zugang zum Gebäude ist nur mittels Chipkarte möglich.

· Besuchermanagement

· Protokoll der Besucher

· Empfang

· Besucher in Begleitung durch Mitarbeiter

· Schutzmaßnahmen des Gebäudes Tag/Nacht

· Sicherheitsschlösser

· Alarmsystem

· Einsatz von Alarmanlagen zur Einbruchserkennung, insbesondere außerhalb der Arbeitszeit

· Anschluss an VdS-zertifizierte Notruf- und Serviceleitstelle

3.2 Zugangskontrolle

Maßnahmen, die sicherstellen, dass Unbefugte an der Benutzung der Datenverarbeitungsanlagen und -verfahren gehindert werden. Diese beziehen sich – im Gegensatz zur Zutrittskontrolle – auf das Eindringen unbefugter Personen in das EDV-System selbst.

Folgende Maßnahmen werden hierzu durchgeführt:

• Authentifikation mit Benutzername / Passwort

• Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z. B. neuer Mitarbeiter), Änderung (z. B. Namenswechsel nach Heirat) und Löschung (z. B. Weggang Mitarbeiter)

• Zuordnung von Benutzerrechten

• Vergabe von eindeutigen Kennungen für jeden Nutzer

• Passwortvergabe

• Einsatz von Intrustion-Detection-Systemen

• Verschlüsselung von Smartphone-Inhalten

• Einsatz von Anti-Viren-Software

• Erstellen von Benutzerprofilen

• Zuordnung von Benutzerprofilen zu IT-Systemen

• Sicherheitsschlösser

• Verschlüsselung von mobilen Datenträgern

• Verschlüsselung von Datenträgern in Laptops und Notebooks

• Mobile Device Management: Software-Einsatz zur zentralen Smartphone-Administration (z.B. zum externen Löschen von Daten)

• Firewall-Einsatz (Software/Hardware)

• Automatische Desktopsperre

3.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass die bei der Bearbeitung verwendeten personenbezogenen Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Folgende Maßnahmen werden hierzu durchgeführt:

• Erstellen eines Berechtigungskonzepts

• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

• Einsatz von Aktenvernichtern bzw. Dienstleistern (DIN 32757)

• Verschlüsselung von Datenträgern

• Verwaltung der Zugriffsrechte

• Minimale Anzahl an Administratoren

• Verwaltung der Benutzerrechte durch Administratoren

• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel

3.4 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist

Folgende Maßnahmen werden hierzu durchgeführt:

• E-Mail-Verschlüsselung (Office Message Encryption)

• Verschlüsselung von Datenträgern in Laptops / Notebooks

3.5 Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Folgende Maßnahmen werden hierzu durchgeführt:

• Erstellung eines Berechtigungskonzepts

• Festlegung von Datenbankrechten

4. Gewährleistung der Integrität

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbeabsichtigte oder unbefugte Veränderung oder unrechtmäßiges oder fahrlässiges Handeln von im Auftrag verarbeiteten Daten ist zu reduzieren. Kurz, personenbezogene Daten dürfen nicht (unbemerkt) geändert werden können.

4.1 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Folgende Maßnahmen werden hierzu durchgeführt:

• Protokollierung der Eingabe, Änderung und Löschung von Daten

• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

5. Gewährleistung der Verfügbarkeit

Personenbezogene Daten sollen dauernd und uneingeschränkt verfügbar sein und insbesondere vorhanden sein, wenn sie gebraucht werden.

5.1 Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Folgende Maßnahmen werden hierzu durchgeführt:

• Feuer- und Rauchmeldeanlagen

• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

• Ausreichender Virenschutz

• Ausreichender Firewall-Schutz

• Datensicherungskonzept

• Durchführung von automatisierten Schwachstellenanalysen

• Durchführung von Penetrationstests und Sicherheitstests

Die Gewährleistung der Vertraulichkeit der Systeme und Dienste wird in folgenden Dokumenten konkretisiert:

• Richtlinie „Datensicherung“

6. Gewährleistung der Belastbarkeit der Systeme

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu im Auftrag verarbeiteten Daten aufgrund von Systemüberlastungen oder –abstürzen ist zu reduzieren.

Das bedeutet, Systeme und Dienste sind so auszulegen, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar bleiben

Folgende Maßnahmen werden hierzu durchgeführt:

• Vulnerabilitäts- und Penetrationstests

7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmäßiges oder fahrlässiges Handeln für betroffene Personen durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von im Auftrag verarbeiteten Daten oder des unbefugten Zugangs zu diesen durch einen physischen oder technischen Zwischenfall ist zu reduzieren.

Folgende Maßnahmen werden hierzu durchgeführt:

• Management der Betriebskontinuität

• Backup-Tests

Das Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall wird in folgenden Dokumenten konkretisiert:

• Richtlinie „Betriebskontinuität“

• Richtlinie „Incident Response“

8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben.

Folgende Maßnahmen werden hierzu durchgeführt:

• Managementsystem zur Informationssicherheit nach ISO 27001

• Managementsystem zum Datenschutz

• Interne und externe Audits

• Management der Betriebskontinuität

Das Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen wird in folgenden Dokumenten konkretisiert:

• Richtlinie „Betriebskontinuität“

8.1 Datenschutz-Management

Folgende Maßnahmen werden hierzu durchgeführt:

• Software-Lösungen für Datenschutz-Management im Einsatz

• Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt

• Beschäftigtenschulungen zum Datenschutz und zur Datensicherheit

• Interner Datenschutzbeauftragter

• Interner Informationssicherheitsbeauftragter

• Regelmäßige Sensibilisierung der Mitarbeiter

• Verpflichtung von Beschäftigten auf die Vertraulichkeit

8.2 Incident-Response-Management

Folgende Maßnahmen werden hierzu durchgeführt:

• Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem

• Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen

• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde

• Software-Lösungen für Datenschutz-Management im Einsatz

• Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt

8.3 Auftragskontrolle

Folgende Maßnahmen werden hierzu durchgeführt:

• Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten

• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

• Schriftliche Festlegung der Weisungen

• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standard-Datenschutz-Klauseln

• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer

• Verpflichtung der Beschäftigten des Auftragnehmers auf Vertraulichkeit

• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaß nahmen und deren Dokumentation