Anlage Auftragsver-arbeitungsvertrag

§ 1 Gegenstand der Beauftragung

  1. Der Kunde („Auftraggeber“) lässt durch uns („Auftragnehmer“) auf Grundlage eines Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist, (der „Hauptvertrag“) personenbezogenen Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.

  1. Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen. Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben. 

§ 2 Ort der Auftragsverarbeitung

  1. Die Auftragsverarbeitung erfolgt in einem Mitgliedstaat der Europäischen Union, in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Drittland, für das ein EU-Angemessenheitsbeschluss vorliegt. 

  1. Jede Verlagerung der Auftragsverarbeitung in ein Drittland darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

§ 3 Verantwortlichkeit

und Weisungsrecht des

Auftraggebers

  1. Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.

  2. Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen. Soweit der Auftraggeber Weisungen mittels der vom Auftragnehmer für die Zwecke der Auftragsverarbeitung bereitgestellten Webseite erteilt, dokumentiert der Auftragnehmer die Erteilung der Weisungen.

  3. Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen. 

  4. Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.

§ 4 Verantwortlichkeit und Weisungsrecht des Auftraggebers

  1. Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.

  3. Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

  4. Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.

  5. Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

  6. Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.

  7. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird. 

§ 5 Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.

§ 6 Sicherheit der Verarbeitung

  1. Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.

  2. Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.

§ 7 Betroffenenrechte

  1. Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.

  2.  Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.

  3. Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

§ 8 Kontrollrechte des Auftraggebers

  1. Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z.B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören. 

  2. Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einem von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.

  3. Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.

  4. Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.

§ 9 Maßnahmen von Aufsichtsbehörden

  1. Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.

  2. Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

§ 10 Unterauftragsverarbeiter

  1. Der Auftragnehmer setzt für die Verarbeitung die in der Anlage 3 benannten Unterauftragsverarbeiter ein.

  2. Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren.

  3. Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen die selbe, standardisierte Softwareplattform).

  4. Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen. 

§ 11 Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen

  1. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, spätestens 24 Stunden nach erster Kenntnis, in Textform mitzuteilen. 

  2. Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.

  3. Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.

§ 12 Vergütung des Auftragnehmers

Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht anders in diesem Vertrag vereinbart.

§ 13 Dauer des Vertrages

Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmt etwas Anderes.

Anlage Auftragsverarbeitungsvertrag

§ 1 Gegenstand der Beauftragung

  1. Der Kunde („Auftraggeber“) lässt durch uns („Auftragnehmer“) auf Grundlage eines Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist, (der „Hauptvertrag“) personenbezogenen Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.

  1. Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen. Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben. 

§ 2 Ort der Auftragsverarbeitung

  1. Die Auftragsverarbeitung erfolgt in einem Mitgliedstaat der Europäischen Union, in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Drittland, für das ein EU-Angemessenheitsbeschluss vorliegt. 

  1. Jede Verlagerung der Auftragsverarbeitung in ein Drittland darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

§ 3 Verantwortlichkeit und Weisungsrecht des Auftraggebers

  1. Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.

  2. Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen. Soweit der Auftraggeber Weisungen mittels der vom Auftragnehmer für die Zwecke der Auftragsverarbeitung bereitgestellten Webseite erteilt, dokumentiert der Auftragnehmer die Erteilung der Weisungen.

  3. Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen. 

  4. Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.

§ 4 Verantwortlichkeit und Weisungsrecht des Auftraggebers

  1. Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.

  3. Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

  4. Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.

  5. Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

  6. Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.

  7. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird. 

§ 5 Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.

§ 6 Sicherheit der Verarbeitung

  1. Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.

  2. Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.

§ 7 Betroffenenrechte

  1. Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.

  2.  Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.

  3. Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

§ 8 Kontrollrechte des Auftraggebers

  1. Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z.B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören. 

  2. Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einem von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.

  3. Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.

  4. Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.

§ 9 Maßnahmen von Aufsichtsbehörden

  1. Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.

  2. Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

§ 10 Unterauftragsverarbeiter

  1. Der Auftragnehmer setzt für die Verarbeitung die in der Anlage 3 benannten Unterauftragsverarbeiter ein.

  2. Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren.

  3. Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen die selbe, standardisierte Softwareplattform).

  4. Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen. 

§ 11 Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen

  1. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, spätestens 24 Stunden nach erster Kenntnis, in Textform mitzuteilen. 

  2. Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.

  3. Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.

§ 12 Vergütung des Auftragnehmers

Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht anders in diesem Vertrag vereinbart.

§ 13 Dauer des Vertrages

Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmt etwas Anderes.

Anlage 1 -

Kategorien personen-

bezogener Daten

und Betroffener

Kategorien personenbezogener Daten 

  • Namen, Adressen und andere Kontaktdaten

  • Daten für den Abschluss und die Durchführung von Verträgen

  • CRM-Daten

Kategorien der von der Auftragsverarbeitung Betroffenen

  • der Kunde und seine Mitarbeiter

  • (potenzielle Kunden) des Kunden

Kategorien der von der Auftragsverarbeitung Betroffenen

  • der Kunde und seine Mitarbeiter

  • (potenzielle Kunden) des Kunden

Anlage 1 - Kategorien personen-

bezogener Daten und Betroffener

Kategorien personenbezogener Daten 

  • Namen, Adressen und andere Kontaktdaten

  • Daten für den Abschluss und die Durchführung von Verträgen

  • CRM-Daten

Kategorien der von der Auftragsverarbeitung Betroffenen 

  • der Kunde und seine Mitarbeiter

  • (potenzielle Kunden) des Kunden

Kategorien der von der Auftragsverarbeitung Betroffenen 

  • der Kunde und seine Mitarbeiter

  • (potenzielle Kunden) des Kunden

Anlage 2 - Technische und

organisatorische Maßnahmen

GoHighLevel

Für die von GoHighLevel ergriffenen Maßnahmen verweisen wir auf die Webseite

https://www.gohighlevel.com/data-processing-agreement

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  1. Zutrittskontrolle I - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben: 

    a. Türsicherungen (elektrische Türöffner für Hauptgebäude)

    b. Sicherheitstüren / -fenster

    c. Schlüsselverwaltung/Dokumentation der Schlüsselvergabe von Hauptgebäude und Büro-Etage (Schlüssel besitzen ausschließlich Personen aus Führungspositionen/Management)

    d. Alarmanlage

    e. Besucherregelung (Einlass über Klingel ins Hauptgebäude und erneutes Klingeln zum Einlass mit Begleitung ins Bürogebäude – Begleitung nach dem Besuch bis zum Ausgang)

  2. Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

    a. Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk

    b. Autorisierungsprozess für Zugangsberechtigungen

    c. Begrenzung der befugten Benutzer

    d. BIOS-Passwörter

    e. Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

    f. Personalisierte Token, PIN-/TAN, 2-Faktor-Authentifizierung, etc.

    g. Protokollierung des Zugangs

    h. Zusätzlicher System-Log-In für bestimmte Anwendungen

    i. Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität

    j. Firewall

  3. Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben

    a. Verwaltung und Dokumentation von differenzierten Berechtigungen

    b. Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.

    c. Auswertungen/Protokollierungen von Datenverarbeitungen

    d. Autorisierungsprozess für Berechtigungen

    e. Genehmigungsroutinen

    f. Profile/Rollen

    g. Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, "Data Loss Prevention (DLP)-System"

    h. Vier-Augen-Prinzip

    i. Funktionstrennung "Segregation of Duties"

    j. Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399

    k. Nicht-reversible Löschung von Datenträgern

  4. Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden

    a. Verarbeitung auf getrennten Systemen

    b. Zugriffsberechtigungen nach funktioneller Zuständigkeit

    c. Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

    d. Mandantenfähigkeit von IT-Systemen

    e. Verwendung von Testdaten

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  1. Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

    a. Gesicherter File Transfer (z.B. sftp)

    b. Gesicherter Datentransport (z.B. SSL, ftps, TLS)

    c. Elektronische Signatur

    d. Gesichertes WLAN

    e. Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)

    f. Protokollierung von Datenübertragung oder Datentransport

    g. Protokollierung von lesenden Zugriffen

    h. Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

  2. Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

    a. Zugriffsrechte

    b. Systemseitige Protokollierungen

    c. Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

    d. Mehraugenprinzip

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  1. Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist: 

    a. Interne Datenschutz-Richtlinie

    b. Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit

    c. Verpflichtung der Mitarbeiter auf das Datengeheimnis

    d. Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten

    e. Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

  2. Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

    a. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO) 

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

  1. Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers

  2. Prozess zur Erteilung und/oder Befolgung von Weisungen

  3. Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

  4. Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

  5. Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer

  6. Unabhängige Auditierung der Weisungsgebundenheit

  7. Verpflichtung der Mitarbeiter auf das Datengeheimnis

  8. Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen

  9. formalisiertes Auftragsmanagement

  10. dokumentiertes Verfahren zur Auswahl von Dienstleitern

  11. standardisiertes Vertragsmanagement zur Vor- und Nachkontrolle der Dienstleister

Anlage 2 -

Technische und

organisatorische

Maßnahmen

GoHighLevel

Für die von GoHighLevel ergriffenen Maßnahmen verweisen wir auf die Webseite

https://www.gohighlevel.com/data-processing-agreement

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  1. Zutrittskontrolle I - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben: 

    a. Türsicherungen (elektrische Türöffner für Hauptgebäude)

    b. Sicherheitstüren / -fenster

    c. Schlüsselverwaltung/Dokumentation der Schlüsselvergabe von Hauptgebäude und Büro-Etage (Schlüssel besitzen ausschließlich Personen aus Führungspositionen/Management)

    d. Alarmanlage

    e. Besucherregelung (Einlass über Klingel ins Hauptgebäude und erneutes Klingeln zum Einlass mit Begleitung ins Bürogebäude – Begleitung nach dem Besuch bis zum Ausgang)

  2. Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

    a. Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk

    b. Autorisierungsprozess für Zugangsberechtigungen

    c. Begrenzung der befugten Benutzer

    d. BIOS-Passwörter

    e. Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

    f. Personalisierte Token, PIN-/TAN, 2-Faktor-Authentifizierung, etc.

    g. Protokollierung des Zugangs

    h. Zusätzlicher System-Log-In für bestimmte Anwendungen

    i. Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität

    j. Firewall

  3. Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben

    a. Verwaltung und Dokumentation von differenzierten Berechtigungen

    b. Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.

    c. Auswertungen/Protokollierungen von Datenverarbeitungen

    d. Autorisierungsprozess für Berechtigungen

    e. Genehmigungsroutinen

    f. Profile/Rollen

    g. Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, "Data Loss Prevention (DLP)-System"

    h. Vier-Augen-Prinzip

    i. Funktionstrennung "Segregation of Duties"

    j. Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399

    k. Nicht-reversible Löschung von Datenträgern

  4. Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden

    a. Verarbeitung auf getrennten Systemen

    b. Zugriffsberechtigungen nach funktioneller Zuständigkeit

    c. Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

    d. Mandantenfähigkeit von IT-Systemen

    e. Verwendung von Testdaten

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  1. Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

    a. Gesicherter File Transfer (z.B. sftp)

    b. Gesicherter Datentransport (z.B. SSL, ftps, TLS)

    c. Elektronische Signatur

    d. Gesichertes WLAN

    e. Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)

    f. Protokollierung von Datenübertragung oder Datentransport

    g. Protokollierung von lesenden Zugriffen

    h. Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

  2. Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

    a. Zugriffsrechte

    b. Systemseitige Protokollierungen

    c. Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

    d. Mehraugenprinzip

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  1. Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist: 

    a. Interne Datenschutz-Richtlinie

    b. Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit

    c. Verpflichtung der Mitarbeiter auf das Datengeheimnis

    d. Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten

    e. Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

  2. Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

    a. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO) 

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

  1. Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers

  2. Prozess zur Erteilung und/oder Befolgung von Weisungen

  3. Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

  4. Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

  5. Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer

  6. Unabhängige Auditierung der Weisungsgebundenheit

  7. Verpflichtung der Mitarbeiter auf das Datengeheimnis

  8. Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen

  9. formalisiertes Auftragsmanagement

  10. dokumentiertes Verfahren zur Auswahl von Dienstleitern

  11. standardisiertes Vertragsmanagement zur Vor- und Nachkontrolle der Dienstleister

Anlage 3 -

Unterauftrags-verarbeiter

GoHighLevel => Ist die Software, die wir als Reseller verkaufen

Corporate HQ 400 North Saint Paul St. Suite 920 Dallas, Texas 75201

C&E Digital GmbH (Growth Marketer) => Marketing

C&E Digital GmbH Kattenbug 2 50667 Köln

Pimpup => Grafik/Webdesign

PimpUP GmbH Fugger Glött Straße 3 76829 Landau in der Pfalz

Memberspot => Mitgliederbereich für unsere Academy

Memberspot GmbH Rilkestr. 26 71642 Ludwigsburg

Zapier => Die Kundendaten werden von Stripe (nach dem Kauf) über Zapier an GoHighLevel (bzw. Funnelspot) weitergegeben; Zapier stellt hier die Verbindung her vom Zahlungsanbieter zur Software

Zapier, Inc., 548 Market St. #62411, San Francisco, CA 94104-5401

Calendly / Zoom => innerhalb der Academy sind Live-Calls enthalten; Kunden können sich ggf. über Calendly einen Call buchen und tragen dort ihren Namen/Email-Adresse/Telefonnummer ein

Calendly LLC115 E Main St., Ste A1BBuford, GA 30518USA

Zoom Video Communications, Inc., 55 Almaden Blvd, Suite 600 San Jose, CA 95113

Anlage 3 - Unterauftragsverarbeiter

GoHighLevel => Ist die Software, die wir als Reseller verkaufen

Corporate HQ 400 North Saint Paul St. Suite 920 Dallas, Texas 75201

C&E Digital GmbH (Growth Marketer) => Marketing

C&E Digital GmbH Kattenbug 2 50667 Köln

Pimpup => Grafik/Webdesign

PimpUP GmbH Fugger Glött Straße 3 76829 Landau in der Pfalz

Memberspot => Mitgliederbereich für unsere Academy

Memberspot GmbH Rilkestr. 26 71642 Ludwigsburg

Zapier => Die Kundendaten werden von Stripe (nach dem Kauf) über Zapier an GoHighLevel (bzw. Funnelspot) weitergegeben; Zapier stellt hier die Verbindung her vom Zahlungsanbieter zur Software

Zapier, Inc., 548 Market St. #62411, San Francisco, CA 94104-5401

Calendly / Zoom => innerhalb der Academy sind Live-Calls enthalten; Kunden können sich ggf. über Calendly einen Call buchen und tragen dort ihren Namen/Email-Adresse/Telefonnummer ein

Calendly LLC115 E Main St., Ste A1BBuford, GA 30518USA

Zoom Video Communications, Inc., 55 Almaden Blvd, Suite 600 San Jose, CA 95113