Vertrag zur Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
1. Gegenstand und Dauer des Auftrags
1.1. Der Gegenstand und die Dauer des Auftrags ergeben sich aus dem zwischen den Parteien geschlossenen Vertrag (nachfolgend „Hauptvertrag“ genannt).
2. Umfang, Art und Zweck der Datenverarbeitung
2.1. Die Tätigkeit des Auftragnehmers / Auftragsverarbeiters dient dem Zweck, dem Auftraggeber eine Plattform für das Management seines Betriebes zur Verfügung zu stellen. Dazu werden Informationen zu sämtlichen betrieblichen Ressourcen (insb. Mitarbeiter, Betriebsmittel wie Gerätschaften etc. und der bewirtschafteten Fläche) des Auftraggebers auf der Plattform verarbeitet. Dies dient der effizienten Verwaltung des Betriebs des Auftraggebers und dem Ressourcenmanagement.
2.2. Zur Vereinfachung des Login-Prozesses für Nutzer bietet der Auftragnehmer parallel zur vertragsgegenständlichen Verarbeitung von Auftraggeber-Daten eine Nutzer-Plattform, für die der Auftragnehmer Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Diese Plattform dient dazu, dem Nutzer den Registrierungsprozess durch eine zentrale Login-Funktion zu vereinfachen. Dabei hat der Nutzer die Möglichkeit, seine zentral hinterlegten Daten mit einem oder mehreren Betrieben, die die Dienste des Auftragnehmers nutzen, zu teilen und an diesen zu übermitteln. Zu diesem Zweck besteht für den Auftraggeber die optionale Möglichkeit, für jeden Nutzer (z.B. Mitarbeiter, Lohnunternehmer) einen Einladung mit einem individuellen Code bzw. Token, der jedoch keinerlei personenbezogene Merkmale beinhaltet, zu generieren. Möchte der Nutzer seine zentral hinterlegten Daten an den Betrieb übermitteln, muss er auf der Nutzer Plattform lediglich den ihn zur Verfügung gestellten Code bzw. Token eingeben. Sodann erfolgt die Übermittlung einer Kopie des der zuvor ausschließlich in der Nutzer-Plattform hinterlegten Datensatzes an den Auftraggeber-Account beim Auftragnehmer und deren dortiger Verarbeitung.
3. Datenarten
3.1. Folgende Datenarten sind Gegenstand dieses Auftrags:
- Informationen zur bewirtschafteten Fläche
- Informationen zu Betriebsanlagen, -gerätschaften und -mitteln
- Kontaktdaten des Auftraggebers
- Kundendaten des Auftraggebers
- Betriebsmittelbezogene Nutzungsdaten wie Zeit, Dauer der Nutzung von Gerätschaften sowie deren Standortinformationen
- Betriebsmittelbezogene Nutzungsdaten wie eingesetzte Mengen
- Profilinformationen von Nutzern
- Informationen zur Tätigkeit von Nutzern
- Standortinformationen von Mitarbeitern im Betrieb des Auftraggebers
- Technische Daten von Nutzern (IP-Adresse, Dauer und Zeitpunkt des Zugriffs, etc.)
4. Kreis der Betroffenen
4.1. Im Wege der Auftragserfüllung verarbeitet der Auftragnehmer personenbezogene Daten folgender Personengruppen:
- Mitarbeiter des Auftraggebers
- Kunden des Auftraggebers
5. Vertragsgegenstand
5.1. Im Rahmen der Leistungserbringung nach dem Hauptvertrag ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten Dritter umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
6. Umfang der Beauftragung
6.1. Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.
6.2. Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.
6.3. Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.
6.4. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 - 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.
7. Weisungsbefugnisse des Auftraggebers
7.1. Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
7.2. Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.
7.3. Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.
7.4. Ist es dem Auftragnehmer unzumutbar, eine Weisung des Auftraggebers auszuführen, so ist der Auftragnehmer berechtigt den Hauptvertrag und diesen Vertrag außerordentlich zu kündigen.
8. Verantwortlichkeit des Auftraggebers
8.1. Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
8.2. Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
8.3. Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.
8.4. Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.
9. Anforderungen an Personal
9.1. Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
10. Sicherheit der Verarbeitung
10.1. Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses eingesetzten technisch organisatorischen Maßnahmen des Auftragnehmers sind in Anlage 2 näher ausgeführt
10.2. Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.
11. Inanspruchnahme weiterer Auftragsverarbeiter
11.1. Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 1. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.
11.2. Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
11.3. Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.
11.4. Unter Einhaltung der Anforderungen der Ziffer 6.4 dieses Vertrags gelten die Regelungen in dieser Ziffer 11 auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.
12. Einbindung Dritter
12.1. Damit der Auftragnehmer seine Leistungen ordnungsgemäß erbringen kann, ist es notwendig, Dritte in die Datenverarbeitung einzubeziehen. Aus diesem Grund arbeitet der Auftragnehmer im Rahmen der Darstellung der Betriebsflächen des Auftraggebers und der Darstellung von Positionsdaten in Karten mit Mapbox zusammen. Bei jedem Aufruf einer Kartendarstellung werden die Inhalte von den Servern der Mapbox Inc. (Mapbox Inc., 1509 16th St NW, Second Floor, Washington, DC 20036) an das abrufende Endgerät übermittelt. Dabei verarbeitet Mapbox die IP-Adresse des Endnutzers und handelt als eigenständiger Verantwortlicher im Sinne der DSGVO. Der Auftraggeber erklärt sich mit der vorstehend beschriebenen Übermittlung von Auftraggeber-Daten an Dritte einverstanden und weist den Auftragnehmer entsprechend dazu an.
13. Rechte der betroffenen Personen
13.1. Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
13.2. Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
13.3. Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.
13.4. Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
13.5. Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.
14. Mitteilungs- und Unterstützungspflichten des Auftragnehmers
14.1. Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.
14.2. Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
15. Datenlöschung
15.1. Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
15.2. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.
16. Nachweise und Überprüfungen
16.1. Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.
16.2. Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.
16.3. Zur Durchführung von Inspektionen nach Ziffer 16.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 16.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.
16.4. Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.
16.5. Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.
16.6. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 16 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.
16.7. Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.
17. Vertragsdauer und Kündigung
17.1. Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags, sofern in diesem Vertrag nicht Abweichendes geregelt ist. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
18. Haftung
18.1. Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.
18.2. Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbußen, die gegen den Auftragnehmer verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
19. Schlussbestimmungen
19.1. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.
19.2. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
Anlage 1:
Weitere Auftragsverarbeiter
Zum Zeitpunkt des Vertragsschlusses setzt der Auftragnehmer die folgenden (weiteren) Auftragsverarbeiter zur Erbringung seiner Leistungen ein:
Auftragsverarbeiter | Zweck des Einsatzes | Sitz des Auftragsverarbeiters |
---|---|---|
Microsoft Ireland Operations Ltd. One Microsoft Place South County Business Park Leopardstown Dublin 18 Irland |
Nutzung der Cloud-Plattform Azure zum Hosting des Dienstes des Auftragnehmers |
Irland Serverstandort: Deutschland |
Anlage 2:
Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO
Zum Zeitpunkt des Vertragsschlusses hat der Auftragnehmer folgende technisch organisatorischen Maßnahmen implementiert:
1. Organisationskontrolle
1.1. Wie ist die Umsetzung des Datenschutzes organisiert?
Wir betreiben ein Datenschutz Management-System, welches aufgrund der
besonderen Ausgangslage individuell auf die datenschutzrechtlichen
Auswirkungen unseres Betriebes angepasst ist.
1.2. Welche organisatorischen Maßnahmen wurden getroffen, damit die
Verarbeitung personenbezogener Daten gesetzeskonform erfolgt?
Unsere Mitarbeiter werden regelmäßig auf den sorgfältigen Umgang mit allen
Daten sensibilisiert und, in Absprache mit der Geschäftsführung und dem
Datenschutzbeauftragten, dazu eingeladen jederzeit neue Schutzmaßnahmen
einzuführen. Grundsätzlich ist zudem jeder Mitarbeiter zur Geheimhaltung
verpflichtet, welche neben betriebsinternen Daten auch solche mit
Personenbezug beinhaltet.
1.3. In welcher Form werden die Mitarbeiter in Bezug auf die Umsetzung der
technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO geschult?
Unsere Mitarbeiter werden vom jeweilig spezialisierten Mitarbeiter in
Absprache mit dem Datenschutzbeauftragten detailliert in neue Systeme
eingewiesen. In regelmäßigen Abständen oder bei akutem Informationsbedarf
werden die Mitarbeiter in Präsenzschulungen auf aktuelle Entwicklungen des
Datenschutzes aufmerksam gemacht.
1.4. Wie sind die einschlägigen Verarbeitungen hinsichtlich
datenschutzrechtlicher Zulässigkeit (z.B. die Vorabkontrolle/
Datenschutzfolgeabschätzung) dokumentiert?
Wir legen Wert auf ein ausführlich geführtes Verfahrensverzeichnis, welches
eine Übersicht aller Verfahren bietet, die sich auf personenbezogene Daten
stützen. Des Weiteren haben wir einen formellen Ablauf, der für neue
Verfahren oder Verfahrensänderungen die Relevanz für eine
Datenschutzfolgeabschätzung ermittelt. Sollte eine Relevanz festgestellt
werden, sind die Mitarbeiter verpflichtet eine solche
Datenschutzfolgeabschätzung in Absprache mit unserem
Datenschutzbeauftragten anzufertigen.
1.5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
1.5.1. Gibt es ein Datenschutz-Management?
Ja, siehe Maßnahmen und Maßnahmenstrukur der Punkte 1.2, 1.3 und 1.4.
1.5.2. Gibt es einen Meldeprozess bei Datenschutzverstößen?
Ja, die Einleitung eines Meldeprozesses findet über eine E-Mail an legal@moosle.com oder
intern statt. In Abhängigkeit der Art der Meldung führt der
Datenschutzbeauftragte die Folgehandlungen selbst durch oder zieht einen
technisch spezialisierten Mitarbeiter zur Ausführung heran. Für die
verschiedenen Arten von möglichen Verstößen, sowie der Feststellung eines
tatsächlichen Verstoßes gibt es interne Checklisten.
1.5.3. Gibt es datenschutzfreundliche Voreinstellungen?
Ja, es ist in unseren Augen unabdingbar, unseren Kunden eine Freiheit bei
dem Ausmaß der Datenerhebung zu gewährleisten. Aus diesem Grunde setzen wir
auf eine DSGVO konforme Softwarelösung („Privacy by Design“), die auch standardmäßig so
konfiguriert ist, dass nur das Mindestmaß an personenbezogenen Daten
erhoben wird („Privacy by Default“).
1.6. Angaben zu Artikel 15, 16, 17, 18, 20 DSGVO
1.6.1. Gibt es einen Workflow zu Art. 15 DSGVO Auskunftsrecht?
Ja, eine Anfrage auf Auskunft wird vor der Beantwortung auf mehrere Punkte
geprüft.
Diese umfassen unter anderem die Sicherstellung der Identität des
Antragsstellers, den Umfang der Auskunft und weitere Punkte die als
Checkliste geprüft werden. Dieser Workflow dient in erster Linie zur
Vermeidung der Ausgabe von personenbezogenen Daten an Unbefugte.
1.6.2. Gibt es einen Workflow zu Art. 16 DSGVO Recht auf Berichtigung?
Ja, eine Anfrage auf Berichtigung wird vor der Beantwortung auf mehrere
Punkte geprüft.
Diese umfassen unter anderem die Sicherstellung der Identität des
Antragsstellers, den Umfang der Berichtigung und weitere Punkte, die als
Checkliste geprüft werden. Dieser Workflow dient in erster Linie zur
Vermeidung der missbräuchlichen Veränderung von personenbezogenen Daten
durch Unbefugte.
1.6.3. Gibt es einen Workflow zu Art. 17 DSGVO Recht auf Löschung?
Ja, eine Anfrage auf Löschung wird vor der Beantwortung auf mehrere Punkte
geprüft.
Diese umfassen unter anderem die Sicherstellung der Identität des
Antragsstellers, den Umfang der Löschung und weitere Punkte, die als
Checkliste geprüft werden. Dieser Workflow dient in erster Linie zur
Vermeidung der missbräuchlichen Löschung von personenbezogenen Daten durch
Unbefugte.
1.6.4. Gibt es einen Workflow zu Art. 18 DSGVO Recht auf Einschränkung?
Ja, eine Anfrage auf Einschränkung wird vor der Beantwortung auf mehrere
Punkte geprüft.
Diese umfassen unter anderem die Sicherstellung der Identität des
Antragsstellers, den Umfang der Einschränkung und weitere Punkte, die als
Checkliste geprüft werden. Dieser Workflow dient in erster Linie zur
Vermeidung der missbräuchlichen Einschränkung von personenbezogenen Daten
durch Unbefugte.
1.6.5. Gibt es einen Workflow zu Art. 19 DSGVO Recht auf
Datenübertragbarkeit?
Ja, eine Anfrage auf Datenübertragung wird vor der Beantwortung auf mehrere
Punkte geprüft. Diese umfassen unter anderem die Sicherstellung der
Identität des Antragsstellers, den notwendigen Umfang der Datenübertragung
und weitere Punkte, die als Checkliste geprüft werden. Dieser Workflow
dient in erster Linie zur Vermeidung der missbräuchlichen Übertragung von
personenbezogenen Daten durch Unbefugte.
2. Maßnahmen zur Zutrittskontrolle
2.1. Wie werden die Gebäude, in denen die Verarbeitung stattfindet, vor
unbefugtem Zutritt gesichert?
Wir verarbeiten Daten derzeit in zwei Gebäuden, die derzeit mit einer
einfachen Schließanlage ausgestattet sind. Da die Daten größtenteils nicht
physikalisch in diesen Gebäuden aufzufinden sind, wird derzeit auf
Wachpersonal oder sonstige schwere Einbruchssicherungen verzichtet.
2.2. Wie werden die Räume/ Büros, in denen die personenbezogenen Daten
verarbeitet werden, vor unbefugtem Zutritt gesichert?
Die Räume in denen eine Verarbeitung stattfindet sind abschließbar. Der
Raum, in dem zu verarbeitende Daten physikalisch aufbewahrt werden können
ist zusätzlich mit einer Vergitterung vor dem Fenster versehen.
2.3. Wie werden die Hardwarekomponenten selbst vor Missbrauch geschützt?
Die meiste Infrastruktur befindet sich in der Cloud, weshalb sie nicht
direkt bei uns entwendet werden könnte und generell die Entwendung sehr
unwahrscheinlich / unmöglich ist, siehe hierzu die TOM unserer
Unterauftragnehmer. Unsere eigenen Arbeitsrechner sind in abschließbaren
Räumen und sind zusätzlich mit einem Bitlocker Code gesichert, sodass alle
Datenträger bei Entwendung verschlüsselt sind. Nach Arbeitsende werden die
Geräte schlicht heruntergefahren und die Räume abgesperrt.
2.4. Wie werden die umgesetzten Zutrittskontrollmaßnahmen auf Tauglichkeit
geprüft?
Die Schließanlagen werden regelmäßig auf Funktion überprüft und es wird
regelmäßig die Vollständigkeit der eingelagerten und ausgegebenen Schlüssel
kontrolliert.
3. Maßnahmen zur Zugangskontrolle
3.1. Benutzerverwaltung
3.1.1. Wie erfolgt die Vergabe von Benutzerzugängen (-accounts)?
Aktuell haben nur die beiden Gesellschafter Benutzerzugänge. Ein Verfahren
zur Vergabe weiterer Zugänge ist daher vorerst nicht notwendig.
3.1.2. Wie wird die Gültigkeit von Benutzerzugängen (-accounts) geprüft?
Mit der Gültigkeit von Benutzerzugängen verhält es sich aufgrund der
Unternehmensgröße wie mit der Vergabe von Benutzerzugängen, siehe Punkt
3.1.1.
3.1.3. Wie werden Benutzerzugänge (- accounts) (inkl. Antrags- und
Genehmigungsverfahren, Änderungsverfahren) dokumentiert?
Derzeit werden außerhalb der Geschäftsführung keine Zugänge vergeben. In
der Moosle Anwendung kann Ihr Kundenadministrator selbst Zugänge anlegen,
diese ein- und ausschalten und forcieren, dass die entsprechenden User ihr
Passwort ändern müssen. Alle Nutzer und deren Aktivierungsstatus sieht er
in einer praktischen Übersicht, welche durch das Rollensystem geschützt
ist, direkt in der Anwendung.
3.1.4. Wie stellen Sie sicher, dass
a) Die Vergabe von Administrationszugängen auf die notwendige Anzahl
beschränkt ist?
b) Diese Administratoren fachlich und persönlich geeignet sind?
c) Externe Administratoren, Service oder Wartungstechniker persönlich
geeignet sind?
Durch die exklusive Verwaltung aller Zugänge durch die Geschäftsführer ist
sichergestellt, dass sowohl die notwendige Anzahl an
Administrationszugängen nicht überschritten wird, als auch für jeden Zugang
eine fachliche und persönliche Eignung vorliegt. Externe Administratoren
oder Servicemitarbeiter werden nicht benötigt, da die Pflege der Server in
der Verantwortung unserer Unterauftragnehmer liegt.
3.2. Passwortsicherheit
3.2.1. Wie wird erreicht, dass Passwörter nur dem jeweiligen Benutzer
bekannt sind und keinem Unbefugten?
Grundsätzlich gilt ein striktes Verbot der Weitergabe von Zugängen. Es ist
außerdem in unserem betriebswirtschaftlichen Interesse, die
Datenverarbeitung unserer Mitarbeiter ebenfalls personenbezogen
dokumentieren zu können. Die Mitarbeiter sind des Weiteren angewiesen ihre
Passwörter nicht aufzuschreiben oder auf sonstige Weise unverschlüsselt zu
speichern.
3.2.2. Welche Anforderungen werden an die Komplexität von Passwörtern
gestellt?
Das Passwort muss mindestens 8 Zeichen lang sein, mindestens eine Zahl,
einen Groß- und einen Kleinbuchstaben enthalten. Alle Zeichen sind erlaubt.
3.2.3. Wie wird gewährleistet, dass der Benutzer sein Passwort regelmäßig
ändern kann bzw. muss?
Beim Anlegen eines neuen Benutzerzuganges in den datenverarbeitenden
Systemen hat der Administrator keine Einsicht in das dem Benutzer
zugewiesene Erstpasswort. Der Benutzer ist bei Erstzugang gezwungen, sich
ein neues, persönliches Passwort zuzulegen. Der Benutzer behält weiterhin
jederzeit die Möglichkeit zu einem eigenmächtigen Passwortwechsel. Die
Moosle Anwendung folgt dem gleichen Schema.
3.2.4. Wie erfolgt die Administration von Passwörtern?
Die Passwörter zu datenverarbeitenden Systemen werden extra von einem
Passwrotmanager gesichert aufbewahrt und administriert. In der Moosle
Anwendung läuft die Administration wie folgt: Wenn Ihr Administrator einen
Benutzer anlegt, vergibt er ein Erstpasswort und teilt dieses dem Benutzer
mit. Dieser kann sich nun mit Betriebsnummer, Benutzernamen und dem
Erstpasswort anmelden. War die Anmeldung erfolgreich, so wird der Benutzer
noch vor Weiterleitung zur Anwendung aufgefordert, sein Passwort zu ändern.
Tut er dies nicht, wird er abgemeldet und kann die Anwendung so lange nicht
verwenden, bis er sein Passwort geändert hat. Ihr Administrator kann
jederzeit per Knopfdruck verlangen, dass ein Mitarbeiter sein Passwort
ändert. In diesem Fall muss dies wieder sofort nach dem Login geschehen.
3.2.5. Welche Maßnahmen werden bei gescheiterten Anmeldeversuchen zur
Abwehr unberechtigter Zugriffe ergriffen?
Alle zur Datenverarbeitung verwendeten Systeme nutzen eine sogenannte „Two-Factor“ Authentifizierung, das heißt, der Zugriff von
einem fremden Gerät ist nur nach expliziter Bestätigung über ein zweites,
unabhängiges Authentifizierungsverfahren möglich.
3.2.6. Welche organisatorischen Vorkehrungen werden zur Verhinderung
unberechtigter Zugriffe auf personenbezogene Daten am Arbeitsplatz
getroffen?
Alle Mitarbeiter sind angewiesen Ihre PCs, Tablets und sonstigen Endgeräte
niemals unbeaufsichtigt zu lassen, wenn deren Kontakt mit Unbefugten nicht
ausgeschlossen werden kann. Auch in Fällen, bei denen nicht von einem
Kontakt mit Unbefugten auszugehen ist werden die Geräte nur gesperrt und
möglichst von einem Mitarbeiter überwacht hinterlassen.
4. Maßnahmen zur Zugriffskontrolle
4.1. Wie wird sichergestellt, dass Rollen / Zugriffsberechtigungen
anforderungsgerecht und zeitlich beschränkt vergeben werden?
Grundsätzlich werden Rollen / Zugriffsberechtigungen nur dann vergeben,
wenn es von beiden Geschäftsführern als sinnvoll angesehen wird. Selbst
dann besteht der Grundsatz der zeitlichen Rechtfertigung, das heißt, sollte
die Grundlage entfallen, weswegen der Mitarbeiter eine gewisse
Zugriffsberechtigung erhalten hat, dann wird ihm diese auch wieder
entzogen.
4.2. Wie erfolgt die Dokumentation der Zugriffsberechtigungen?
Derzeit teilen sich die beiden Geschäftsführer die ganzheitlichen
Administrationsrechte, weswegen eine Dokumentation nicht notwendig ist.
4.3. Wie wird sichergestellt, dass Benutzer ihre Zugriffsberechtigung nicht
missbräuchlich verwenden?
Über die Zugriffsprotokolle können die Aktivitäten der Benutzer
nachverfolgt werden. Die datenverarbeitenden Systeme werden zudem
regelmäßig von beiden Geschäftsführern auf missbräuchliche Aktivitäten
überprüft.
5. Maßnahmen zur Trennungskontrolle
5.1. Welche Maßnahmen werden getroffen, um das Trennungsgebot, insbesondere
in Bezug auf die Zweckgebundenheit der personenbezogenen Daten, zu
gewährleisten?
Wir legen die zu verarbeitenden Daten strikt getrennt in
mandantenspezifischen Datenbanken bei unseren Unterauftragnehmern an. Auch
nutzen wir aus Sicherheitsgründen separierte Testsysteme bei der
Entwicklungsarbeit. Eine genauere Auflistung der Maßnahmen, die die Server
betreffen, auf denen die Daten gespeichert werden finden sie in den TOM
unserer Unterauftragnehmer.
6. Maßnahmen zur Weitergabekontrolle
6.1. Wie gewährleisten Sie die Integrität und Vertraulichkeit bei der
Weitergabe von personenbezogenen Daten?
Alle Daten sind bei der Übertragung per SSL verschlüsselt du liegen
anschließend in einer Datenbank / einem BLOB-Storage, welche wiederum nur
mit speziellen Zugangsdaten und einer Authentifizierung in 2 Schritten
geöffnet / eingesehen werden können.
6.2. Welche Verschlüsselungssysteme werden bei der Weitergabe von
personenbezogenen Daten eingesetzt?
Alle unser Mail-Verkehr und sonstige Datenübertragungen finden
ausschließlich verschlüsselt statt. Zum Einsatz kommt dort zumeist das
Verschlüsselungsverfahren, welches über SSL Zertifikate angewandt wird.
6.3. Wie wird die Weitergabe personenbezogener Daten dokumentiert?
Neben Zugangsprotokollen bei interner Datenübermittlung gibt es klare
Empfängerlisten, sollte eine externe Weitergabe erfolgen. Somit können wir
auch außerhalb unser Unterauftragnehmer nachvollziehen, wer mit
personenbezogenen Daten Kontakt hatte.
6.4. Wie wird der unberechtigte Abfluss von personenbezogenen Daten durch
technische Maßnahmen beschränkt?
Ein Nutzer muss zur Verwendung der Anwendung und / oder der Schnittstellen
grundsätzlich authentifiziert und autorisiert worden sein. Dies geschieht
durch unseren Login-Mechanismus. Für diesen benötigt man die
Betriebskennung, einen Benutzernamen und ein Passwort. Des Weiteren muss
der Benutzer vom Kundenadministrator aktiviert worden sein. Zusätzlich dazu ist ein Rollensystem integriert, was die
Akquise von Daten und das Anzeigen von Ansichten je nach Berechtigungsstufe
einschränkt. So können sensible Daten nicht von normalen Mitarteitern
eingesehen werden. Für weitere Maßnahmen auf
Datenbankebene verweisen wir an die TOM unserer Unterauftragnehmer.
6.5. Gibt es ein Kontrollsystem, das einen unberechtigten Abfluss von
personenbezogenen Daten aufdecken kann?
Aktuell könnte man lediglich über das serverseitige Logbuch herausfinden,
welcher Nutzer / IP welche spezifische Methode aufrief. Um eine noch
bessere Rückverfolgbarkeit im Ernstfall zu gewährleisten
wird diese Protokollierung aber stetig vertieft.
7. Maßnahmen zur Eingabekontrolle
7.1. Welche Maßnahmen werden ergriffen, um nachvollziehen zu können, wer
wann und wie lange auf die Applikationen zugegriffen hat?
Die datenverarbeitenden Systeme verfügen über Zugriffsprotokolle, mithilfe
welcher die Aktivitäten der Benutzer nachverfolgt werden können.
7.2. Wie ist nachvollziehbar, welche Aktivitäten auf den entsprechenden
Applikationen durchgeführt wurden?
Siehe Punkt 7.1. Weitere, technische Informationen über die genaue
Protokollierung finden Sie in den TOM unserer Unterauftragnehmer.
8. Maßnahmen zu Ausgabekontrolle
8.1. Welche Maßnahmen werden ergriffen, damit die Verarbeitung der
personenbezogenen Daten durch die damit betrauten Mitarbeiter nur gemäß den
Weisungen des Auftraggebers erfolgen kann?
Alle Mitarbeiter sind gezwungen vor der Nutzung unserer Systeme eine
Geheimhaltungsvereinbarung zu unterzeichnen, die unter anderem auch zur
Verschwiegenheit und der sachgemäßen Verarbeitung persönlicher Daten
verpflichtet. Dies beinhaltet auch die Löschung aller ausgegebenen Daten
nach dem Ende des Verwendungszweckes der Aufgabe.
8.2. Welche Maßnahmen werden getroffen, damit auf ggf. Unterauftragnehmer
keine unbefugten Aktivitäten mit den zur Verfügung gestellten Daten
durchführt?
Wir wählen unsere Unterauftragnehmer sorgfältig nach technischen &
organisatorischen Standpunkten, Erfahrungsberichten anderer und anderen
internen Präferenzen aus. Des Weiteren werden diese Unterauftragnehmer
ebenfalls vertraglich zum sachgemäßen Umgang mit personenbezogenen Daten
verpflichtet.
8.3. Werden Maßnahmen getroffen, die am Ende des Aufbewahrungszwecks der
personenbezogenen Daten deren Löschung/ Sperrung sicherstellen und sind
diese technisch implementiert?
Alle Datenbanken sind so ausgelegt, dass von uns zu jedem Datensatz der
Personenbezug entfernt werden kann. Die Sicherheit, dass der
Unterauftragnehmer diese Löschung / Sperrung tatsächlich durchführt und
nicht insgeheim eine Kopie der Daten erstellt entnehmen wir unserer
sorgfältigen Vorauswahl und dessen vertraglichen Verpflichtungen uns
gegenüber.
9. Maßnahmen zur Verfügbarkeitskontrolle
9.1. Werden organisatorische und technische Maßnahmen getroffen, um auch im
Schadensfall die Verfügbarkeit von Daten und Systemen schnellstmöglich zu
gewährleisten?
Wie bereits erwähnt, liegen die meisten der im Rahmen dieser AVV
verarbeiteten Daten bei unseren Unterauftragnehmern. Die von unseren
Unterauftragnehmern ergriffenen Maßnahmen können Sie deren TOM entnehmen.
Daten die wir selbst aufbewahren werden von der Stromversorgung unabhängig
gesichert und sind nicht für die Systemverfügbarkeit unserer Anwendung
essentiell.
9.2. Wie wird gewährleistet, dass die Datenträger vor elementaren
Einflüssen (Feuer, Wasser, elektromagnetische Abstrahlungen etc.) geschützt
sind?
Wie bereits erwähnt, liegen die meisten der im Rahmen dieser AVV
verarbeiteten Daten bei unseren Unterauftragnehmern. Die von unseren
Unterauftragnehmern ergriffenen Maßnahmen können Sie deren TOM entnehmen.
Daten die wir selbst aufbewahren, werden regelmäßig gesichert und die
Sicherungen in einem mit Brandmelder geschützten Raum aufbewahrt, in dem
sich keine Wasseranschlüsse befinden.
9.3. Welche Schutzmaßnahmen werden zur Bekämpfung von Schadprogrammen
eingesetzt und wie wird deren Aktualität gewährleistet?
Unser System wird komplett durch unseren Unterauftragnehmer Microsoft und deren integrierten Schutzmaßnahmen vor
Schadprogrammen geschützt, siehe deren TOM. Auf Arbeitsrechnern verwenden
wir aktuelle Anti-Virenprogramme und speichern generell keine Daten auf
unseren Laufwerken, bevor der Datenträger nicht überprüft worden ist. Dies
machen wir ebenfalls mit Daten, die wir per Mail / File-Sharing erhalten,
wobei diese meist durch das übertragende System schon vorher überprüft
worden sind. Des Weiteren nehmen wir keine dubiosen Dateiformate oder
unaufgeforderte Dateisendungen entgegen.
9.4. Wie wird sichergestellt, dass nicht mehr benötigte bzw. defekte
Datenträger ordnungsgemäß entsorgt werden?
Wie bereits erwähnt, liegen die meisten der im Rahmen dieser AVV
verarbeiteten Daten bei unseren Unterauftragnehmern. Die von unseren
Unterauftragnehmern ergriffenen Maßnahmen können Sie deren TOM entnehmen.
Datenträger, auf denen Daten lagen, die wir selbst aufbewahren werden nach
Ausmusterung oder Defekt so zerstört, dass eine Datenwiederherstellung nach
heutigem Stand der Technik unmöglich ist.
9.5. Wie wird sichergestellt, dass ausgefallene Systeme wieder verfügbar
gemacht werden können?
In unseren Prozessen stellen wir strenge Anforderungen an die Software, mit
der personenbezogene Daten in Verbindung kommen. So selektieren wir nur
modernste und gut betreute Softwarelösungen, was uns in Verbindung mit
einer strikt durchgeplanten Datensicherung die Möglichkeit gibt, jedes
ausgefallene System schnell wieder verfügbar zu machen.