ADV

Präambel 

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragsverarbeitungsvertrag konkretisiert die Auftragsverarbeitung im Hinblick auf ihren Gegenstand und den sich aus dem Auftragsverarbeitungsverhältnis ergebenden Ansprüche und Pflichten zwischen den Vertragsparteien. 

1. Begrifflichkeiten und Definitionen 

1. “Auftragsverarbeitung” – Als “Auftragsverarbeitung” ist, im Einklang mit 4 Nr. 8 DSGVO, die im Auftrag des Verantwortlichen, unabhängig von der Zahl dazwischen geschalteter Auftragsverarbeiter, durch den Auftragsverarbeiter entsprechend dem Gegenstand dieses Auftragsverarbeitungsvertrages eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO zu verstehen. 

2. “Hauptvertrag” – Der Begriff des Hauptvertrages umfasst alle Arten laufender Geschäftsbeziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter, in deren Rahmen der Auftragsverarbeiter personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers entsprechend den Angaben zum Gegenstand der Auftragsverarbeitung in diesem Auftragsverarbeitungsvertrag verarbeitet. Sofern die Geltung dieses Auftragsverarbeitungsvertrages anderweitig (d.h. innerhalb dieser Vereinbarung oder außerhalb, in anderen Verträgen oder Regelungen) auf bestimmte Arten, Typen oder konkrete Geschäftsbeziehungen, Verträge, etc. beschränkt wurde, sind diese jeweils als Hauptvertrag zu verstehen. Der Begriff des Hauptvertrages umfasst auch laufende Einzelaufträge des Auftraggebers an den Auftragsverarbeiter, die von dem Auftraggeber im Rahmen des Hauptvertrages erteilt werden (z. B. im Fall von Rahmenverträgen). 

3. “Verantwortlicher” – “Verantwortlicher” ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). 

4. „Personenbezogene Daten“ – “Personenbezogene Daten” (nachfolgend auch kurz als “Daten” bezeichnet) sind im Einklang mit Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 

5. “Betroffene Personen” – Als betroffene Personen (kurz “Betroffene”) werden entsprechend Art. 4 Nr. 1 DSGVO Personen bezeichnet, die mittels von personenbezogenen Daten zumindest identifizierbar sind. Die von dieser Auftragsverarbeitung betroffenen Personen, ergeben sich aus dem Gegenstand der Auftragsverarbeitung. 

6. “Dritte” – „Dritte“ sind entsprechend Art. 4 Nr. 10 DSGVO natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; 

7. “Unterauftragsverarbeitung” – Wenn ein Auftragsverarbeiter nicht direkt vom Verantwortlichen beauftragt wurde, sondern von einem im vorgehenden Auftragsverarbeiter des Verantwortlichen, liegt eine “Unterauftragsverarbeitung” vor und die dem ersten folgenden Auftragsverarbeiter, werden als “Unterauftragsverarbeiter” bezeichnet. 

8. “Elektronisches Format” – Erklärungen gelten als im “elektronische Format” entsprechend Art. 28 Abs. 9 DSGVO abgegeben, wenn die erklärende Person erkennbar ist und das elektronische Erklärungsformat sich zum Nachweis der Erklärung eignet. Als “elektronisches Format” werden insbesondere die Textform, eine die auf dauerhaften Datenträgern gespeicherte Vereinbarung (z. B. E-Mail), digitale Signierverfahren oder Verwendung dedizierter Onlinefunktionen (z. B. in Benutzerkonten) verstanden.  

9. “API” – Verarbeitung via eines Interfaces über einen autorisierten Zugriff. . 

2. Gegenstand der Auftragsverarbeitung 

1. Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung, richten sich nach den Vorgaben des Anhangs “Gegenstand der Auftragsverarbeitung”. 

2. Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung sind im Kunden-, bzw. Nutzerkonto zugänglich. 

3. Art der Auftragsverarbeitung 

Der Auftraggeber ist Verantwortlicher der Auftragsverarbeitung und im Rahmen dieses Auftragsverarbeitungsvertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Rechtmäßigkeit der Beauftragung des Auftragsverarbeiters verantwortlich. 

4. Weisungsbefugnis 

1. Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten und nur insoweit die Verarbeitung im Rahmen des Hauptvertrages erforderlich ist, außer wenn der Auftragsverarbeiter zu der Verarbeitung gesetzlich zwingend verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber die rechtlichen Anforderungen der zwingenden gesetzlichen Verpflichtung vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; im Fall eines Verbotes der Mitteilung unternimmt der Auftragsverarbeiter die ihm möglichen und zumutbaren Maßnahmen um die gesetzlich zwingende Verarbeitung zu verhindern oder einzuschränken. 

2. Die Weisungen werden anfänglich durch den Hauptvertrag oder diesen Auftragsverarbeitungsvertrag festgelegt und können vom Auftraggeber danach durch Weisungen in schriftlicher Form oder in einem elektronischen Format (Textform, z. B. E-Mail) an den Auftragsverarbeiter oder die vom Auftragsverarbeiter bezeichnete Stelle geändert, ergänzt oder ersetzt werden.  

3. Mündliche Weisungen können erfolgen, wenn sie aufgrund der Umstände (z. B. Eilbedürftigkeit) geboten sind und sind unverzüglich schriftlich oder in elektronischer Form zu bestätigen. 

4. Ist der Auftragsverarbeiter aufgrund objektiver Umstände der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird der Auftragsverarbeiter den Auftraggeber unverzüglich darauf hinweisen und die Ansicht sachlich begründen. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur ausdrücklichen Bestätigung der Weisung durch den Auftraggeber auszusetzen und offensichtlich rechtswidrige Weisungen abzulehnen. 

5. Der Auftragsverarbeiter kann Weisungen ablehnen, sofern deren Erfüllung dem Auftragsverarbeiter nicht möglich oder nicht zuzumuten sind (insbesondere, weil deren Befolgung ein unverhältnismäßiger Aufwand oder fehlende technische Möglichkeiten entgegenstehen). Die Ablehnung kann nur unter sachgerechter Berücksichtigung des Schutzes der Daten der betroffenen Personen erfolgen und berechtigt den Auftraggeber zur außerordentlichen Kündigung des Auftragsverarbeitungsvertrages, wenn dessen Fortsetzung dem Auftraggeber nicht zuzumuten ist. 

6. Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. 

7. Die Auftragsverarbeiter benennt die zum Empfang von Weisungen berechtigte Ansprechpartner und ist verpflichtet Änderungen der Ansprechpartner oder deren Kontaktinformationen sowie Vertreter im Fall einer nicht vorübergehenden Abwesenheit oder Verhinderung unverzüglich mitzuteilen. 

5. Wahrung des Berufsgeheimnisses 

1. Die folgenden Verpflichtungen des Abschnitts “Wahrung des Geheimnisses” dieses Auftragsverarbeitungsvertrages, kommen zur Anwendung, falls die im Auftrag verarbeiteten Daten Berufsgeheimnisse im Sinne des § 203 StGB umfassen. Die Verpflichtungen gelten unabhängig von den zeitlichen Regelungen dieses Auftragsverarbeitungsvertrages auch nach Vertragsende zeitlich unbeschränkt. 

2. Der Auftragnehmer darf sich nur insoweit Kenntnis von Berufsgeheimnissen verschaffen, als dies für die Durchführung des Hauptvertrages sowie dieses Auftragsverarbeitungsvertrages und Erfüllung der vertraglichen Verpflichtungen erforderlich ist. 

3. Der Auftraggeber belehrt den Auftragnehmer darüber, dass der Verstoß gegen die Vertraulichkeitsverpflichtungen entsprechend dem Gesetz und diesem Auftragsverarbeitungsvertrag durch Bruch der Verschwiegenheit oder die Verwertung fremder Geheimnisse gem. §§ 203 Abs. 1, Abs. 4 S. 1 StGB, § 204 StGB zur Bestrafung des Auftragnehmers mit einer Freiheitsstrafe bis zu einem Jahr, im Fall von § 204 StGB mit Freiheitsstrafe bis zu zwei Jahren, oder mit Geldstrafe bestraft werden kann. Die Strafandrohung erhöht sich auf eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern der Auftragnehmer in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, handelt, oder die Absicht hat, durch die Tat einen anderen zu schädigen. Handelt es sich bei dem Auftragnehmer nicht um eine natürliche Person, trifft die vorstehende Strafdrohung die für den Auftragnehmer mitwirkenden Personen. 

6. Technische- und organisatorische Maßnahmen (Sicherheits- und Schutzkonzept) 

1. Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung, insbesondere durch regelmäßige, mindestens jährliche Evaluation, sicherstellen. Zu den TOMs gehören im Hinblick auf den Schutz der personenbezogenen Daten insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Integritäts- und Verfügbarkeitskontrolle, Trennungskontrolle sowie die Sicherung der Betroffenenrechte. 

2. Die bei Vertragsschluss durch den Auftragsverarbeiter mitgeteilten TOMs definieren das vom Auftragsverarbeiter geschuldete Minimum des Sicherheitsniveaus. Die TOMs dürfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, dass das erforderliche gesetzliche Datenschutzniveau und das definierte Minimum des Sicherheitsniveaus nicht unterschritten werden. 

3. Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten befassten Mitarbeitern, Beauftragten und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Der Auftragsverarbeiter stellt ferner sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen in die gesetzlichen sowie sich aus diesem Auftragsverarbeitungsvertrag ergebenden Datenschutzbestimmungen eingewiesen und auf Vertraulichkeit und Verschwiegenheit verpflichtet worden sind oder einer entsprechenden und angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. 

4. Der Auftragsverarbeiter sorgt dafür, dass die bei ihm zur Verarbeitung eingesetzten Personen im Hinblick auf den Schutz personenbezogener Daten und Einhaltung gesetzlicher Datenschutzvorschriften angemessen häufig an wiederkehrenden Schulungs- und Sensibilisierungsmaßnahmen teilnehmen. 

5. Die Verarbeitung der personenbezogenen Daten außerhalb der Betriebsstätte des Auftragsverarbeiters (z. B. im Home- oder Mobileoffice oder bei Fernzugriff) ist zulässig, sofern die erforderlichen technischen und organisatorischen Maßnahmen ergriffen und dokumentiert werden, die den Besonderheiten dieser Verarbeitungssituationen in angemessener Weise Rechnung tragen und insbesondere auch eine ausreichende Kontrolle der Datenverarbeitung ermöglichen (z. B. Abschluss einer Vereinbarung über Datenschutz im Home- und Mobile-Office mit Mitarbeitern). Der Auftragsverarbeiter legt dem Auftraggeber eine Dokumentation der implementierten technischen und organisatorischen Maßnahmen für derartige Home-, Mobile oder andere Fernverarbeitungen auf Anfrage vor. 

6. Die Verarbeitung der personenbezogenen Daten auf Privatgeräten der Beschäftigten des Auftragsverarbeiters und Beauftragten ist nur mit Zustimmung des Auftraggebers zulässig. 

7. Sofern durch gesetzliche Vorgaben vorgegeben, benennt der Auftragsverarbeiter eine*n den gesetzlichen Anforderungen entsprechende*n Datenschutzbeauftragte*n. Der Auftragsverarbeiter teilt dem Auftraggeber die Kontaktinformationen des*der Datenschutzbeauftragten und spätere Änderungen mit. 

8. Die für den Auftraggeber durchgeführten Verarbeitungsprozesse werden vom Auftragsverarbeiter in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert und dem Auftraggeber auf Anforderung bereitgestellt. 

9. Die im Rahmen des Auftragsverarbeitungsvertrag überlassene Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien, verbleiben im Eigentum, bzw. in Inhaberschaft des Auftraggebers, unterliegen der Verfügungsherrschaft des Auftraggebers, sind durch den Auftragsverarbeiter sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Auftraggebers vernichtet werden. Die Vernichtung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich und nicht zu erwarten ist. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragsverarbeiters gegenüber dem Auftraggeber erforderlich sind (z.B. Backups) und das vertragliche sowie das gesetzliche Datenschutzniveau gewährleistet werden. 

10. Der Auftragsverarbeiter ist verpflichtet, eine nach diesem Auftragsverarbeitungsvertrag unverzüglich herbeizuführende Rückgabe bzw. Löschung der Daten und Datenträger auch bei Unterauftragsverarbeitern herbeizuführen. 

11. Der Auftragsverarbeiter hat den Nachweis, einer im Rahmen dieses Auftragsverarbeitungsvertrages ordnungsgemäß erfolgten Vernichtung, bzw. Löschung von Daten und Dateien zu führen und auf Verlangen dem Auftraggeber zur Verfügung zu stellen. 

12. Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. 

13. Der Auftragsverarbeiter führt im angemessenen Umfang den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit (z. B. durch regelmäßige Kontrollen, Prüfungen, etc.). Der Nachweis ist dem Auftraggeber auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden. 

14. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftragsverarbeiters oder den gesetzlichen Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Auftraggeber unverzüglich. 

15. Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden Unterauftragsverhältnisse, werden vom Auftragsverarbeiter im Anhang „Technische- und organisatorische Maßnahmen“ aufgeführt und von dem Auftraggeber akzeptiert. 

7. Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters 

1. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Wendet sich eine betroffene Person an den Auftragsverarbeiter und macht ihre Betroffenenrechte geltend (insbesondere Rechte auf Auskunft oder Berichtigung, bzw. Löschung personenbezogener Daten), wird der Auftragsverarbeiter die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter und unterstützt den Auftraggeber im Rahmen der Zumutbarkeit und Möglichkeit. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird, soweit dies nicht von dem Auftragnehmer zu vertreten ist. 

2. Der Auftragsverarbeiter hat den Auftraggeber unverzüglich und vollständig zu informieren, wenn der Auftragsverarbeiter im Hinblick auf die Verarbeitung der personenbezogenen Daten Fehler oder Unregelmäßigkeiten bei der Einhaltung von Bestimmungen dieses Auftragsverarbeitungsvertrages und/ oder einschlägiger Datenschutzvorschriften feststellt. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. 

3. Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunfts- und Duldung von Kontrollen) gegenüber Aufsichtsbehörden. 

4. Sollte die Sicherheit der personenbezogenen Daten des Auftraggebers durch Maßnahmen Dritter (z.B. Gläubiger, Behörden, Gerichte, etc.) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren, etc.) wird der Auftragsverarbeiter die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen und nach Rücksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z.B. Widersprüche, Anträge, etc. stellen). 

5. Der Auftragsverarbeiter stellt dem Auftraggeber Informationen betreffend die Verarbeitung von Daten im Rahmen dieses Auftragsverarbeitungsvertrages, die für die Erfüllung von gesetzlichen Pflichten des Auftraggebers (zu denen insbesondere Anfragen Betroffener oder Behörden und die Einhaltung seiner Rechenschaftspflichten einer Datenschutz-Folgenabschätzung gehören können) notwendig sind, zur Verfügung. 

6. Die Informationspflichten des Auftragsverarbeiters erstrecken sich zunächst auf Informationen, die dem Auftragsverarbeiter, seinen Beschäftigten und Beauftragten vorliegen. Die Informationen müssen nicht von dritten Quellen beschafft werden, wenn die Beschaffung durch den Auftraggeber im zumutbaren Rahmen erfolgen könnte und keine anderweitige Vereinbarung getroffen wurde. 

7. Der Auftragsverarbeiter muss Einhaltung seiner sich aus der Auftragsverarbeitung ergebenden vertraglichen und gesetzlichen Pflichten jederzeit mit geeigneten Mitteln nachweisen können 

8. Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes 

1. Für den Fall, dass der Auftragsverarbeiter Tatsachen feststellt, welche die Annahme begründen, dass der Schutz der für den Auftraggeber verarbeiteten personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO verletzt sein könnte, hat der Auftragsverarbeiter den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen, und bei der Erfüllung der dem Auftraggeber obliegenden Pflichten, insbesondere im Zusammenhang mit der Meldung an zuständige Behörden oder betroffene Personen zu unterstützen. 

2. Die Information über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung zu erfolgen. 

3. Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO, mindestens die folgenden Angaben beinhalten: 

1. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien von Daten und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; 

2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlauf- oder Kontaktstelle für weitere Informationen; 

3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. unter Angabe weiterer Details: Identitätsdiebstahl, Vermögensnachteile, etc.); 

4. eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen 

4. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen oder von ihm Beauftragten gegen datenschutzrechtliche Bestimmungen oder die in diesem Auftragsverarbeitungsvertrag getroffenen Festlegungen. 

9. Überprüfungen und Inspektionen  

1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Auftragsverarbeitungsvertrag, insbesondere der TOMs beim Auftragsverarbeiter jederzeit im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren und die erforderlichen Überprüfungen, einschließlich Inspektionen, durchzuführen. 

2. Der Auftragsverarbeiter hat den Auftraggeber bei den Kontrollen und Inspektionen im erforderlichen Rahmen zu unterstützen (z. B. durch Bereitstellung von Personal und Gewährung von Zugangs- und Zugriffsrechten). 

3. Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage) anzumelden. In Notfällen, d. h. wenn ein Zuwarten die Rechte der Betroffenen und/oder des Auftraggebers für diese in einem nicht zumutbaren Maße gefährden würde, kann eine angemessen kürzere Frist gewählt werden. Umgekehrt kann eine längere Frist erforderlich sein (wenn z. B. umfangreiche Vorbereitungen erfolgen müssen oder während der Urlaubszeit). Die Abweichungen von der Frist sind jeweils von der sie in Anspruch nehmenden Vertragspartei zu begründen. 

4. Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters sowie den Schutz von personenbezogenen Daten Dritter (z.B. anderer Kunden oder Mitarbeiter des Auftragsverarbeiters) Rücksicht nehmen. Vermeidbare Betriebsstörungen sind zu vermeiden. Soweit dem Anlass und Zweck der Prüfung genügend, soll sich eine Kontrolle auf Stichproben beschränken. 

5. Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie interne Prozesse des Auftragsverarbeiters und personenbezogene Daten zur Vertraulichkeit- und Verschwiegenheit verpflichtet sind. Der Auftragsverarbeiter kann den Nachweis einer entsprechenden Verpflichtung verlangen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragsverarbeiter stehen oder sonst ein begründeter Anlass zur seiner Ablehnung vorliegen, hat der Auftragsverarbeiter gegen diesen ein Einspruchsrecht. 

6. Statt der Einsichtnahmen und der Vor-Ort-Kontrollen, darf der Auftragsverarbeiter den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt nur, wenn der Verweis dem Auftraggeber zuzumuten ist und die Art sowie Umfang der Prüfung und Verweise der Art und dem Umfang des berechtigten Kontrollvorhabens des Auftraggebers entsprechen. Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten. 

7. Der Auftraggeber übt sein Kontrollrecht grundsätzlich nicht häufiger als alle 12 Monate aus, es sei denn ein konkreter Anlass (insbesondere eine Verletzung des Datenschutzes, ein Sicherheitsvorfall oder das Ergebnis einer Auditierung) macht Kontrollen vor Ablauf dieses Zeitraums erforderlich. 

10. Unterauftragsverhältnisse 

1. Im Rahmen der Auftragsverarbeitung dürfen Unterauftragsverarbeiter vom Auftragsverarbeiter mit elektronischer Ankündigung und ohne (und elektronischem Format abgefassten) Genehmigung des Auftraggebers beauftragt werden.  

2. Nimmt der Auftragsverarbeiter die Dienste eines Unterauftragsverarbeiters (z. B. eines Subunternehmers) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines gesetzlich zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten zu denen sich der Auftragsverarbeiter in diesem Auftragsverarbeitungsvertrag verpflichtet hat, auferlegen (insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen). 

3. Der Auftragsverarbeiter wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und der Zuverlässigkeit zur Einhaltung der Pflichten aus diesem Auftragsverarbeitungsvertrag sowie der Eignung der vom Unterauftragsverarbeiter getroffenen TOMs, sorgfältig aus. 

4. Die Weiterleitung von im Auftrag verarbeiteten personenbezogenen Daten an Unterauftragsverarbeiter ist erst zulässig, wenn der Auftragsverarbeiter sich davon überzeugt hat, dass der Unterauftragsverarbeiter seine Verpflichtungen vollständig erfüllt hat. Die Prüfung ist zu dokumentieren und die Dokumentation dem Auftraggeber auf Aufgeforderung vorzulegen. 

5. Der Auftragsverarbeiter hat die Einhaltung der Pflichten der Unterauftragsverarbeiter, insbesondere der TOMs regelmäßig, spätestens alle 12 Monate, in einem angemessenen Umfang zu überprüfen. Die Prüfung und ihr Ergebnis sind so nachvollziehbar zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber auf Verlangen vorzulegen. Statt eigener Überprüfung darf der Auftragsverarbeiter auf eine Überprüfung durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise beim Subunternehmer unverzüglich zu unterrichten. 

6. Die Verantwortlichkeiten zur Wahrnehmung der Pflichten aus diesem Auftragsverarbeitungsvertrag und aus dem Gesetz sind zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter eindeutig zu regeln und voneinander abzugrenzen. 

7. Die Rechte des Auftraggebers müssen auch gegenüber den Unterauftragsverarbeitern wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem, im Rahmen dieses Auftragsverarbeitungsvertrages festgelegten Umfang Kontrollen auch bei Unterauftragsverarbeitern durchzuführen oder durch Dritte durchführen zu lassen. 

8. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet hierfür der  Auftraggeber. 

9. Verarbeitungen von personenbezogenen Daten, die keinen direkten Zusammenhang mit der Erbringung der Hauptleistung aus dem Hauptvertrag aufweisen und bei denen der Auftragsverarbeiter die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt um seine geschäftliche Tätigkeit auszuüben (z.B. Reinigungs-, Bewachungs-, Wartungs-, Telekommunikations- oder Transportleistungen) stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses Auftragsverarbeitungsvertrages dar. Gleichwohl hat der Auftragsverarbeiter sicher zu stellen, z.B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieses Auftragsverarbeitungsvertrages und der Datenschutzvorschriften eingehalten werden.  

10. Unterauftragsverhältnisse, die dem Auftraggeber bei Abschluss dieses Auftragsverarbeitungsvertrages mitgeteilt wurden, gelten in dem mitgeteilten Umfang unter Geltung der Regelungen dieses Auftragsverarbeitungsvertrages zu Unterauftargsverhältnissen als genehmigt. 

11. Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden Unterauftragsverhältnisse, werden vom Auftragsverarbeiter im Anhang „Unterauftragsverhältnisse“ aufgeführt und durch den Auftragsverarbeiter aktualisiert. 

12. Änderungen der Unterauftragsverhältnisse können in Textform mitgeteilt werden, sollten diese nicht abgelehnt werden gelten diese binnen 7 Tagen nach textlicher Mitteilung als angenommen. 

11. Räumlicher Bereich der Auftragsverarbeitung 

1. Personenbezogene Daten werden im Rahmen der Auftragsverarbeitung ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder der Schweiz verarbeitet. 

2. Die Auftragsverarbeitung in einem anderen, als den vorstehend genannten Ländern, auch durch Unterauftragsverarbeiter, bedarf nicht der vorherigen Genehmigung des Auftraggebers. 

12. Pflichten des Auftraggebers 

1. Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt. 

2. Die Auftraggeber benennt die zum Empfang von Weisungen berechtigte Ansprechpartner und ist verpflichtet Änderungen der Ansprechpartner oder deren Kontaktinformationen sowie Vertreter im Fall einer nicht vorübergehenden Abwesenheit oder Verhinderung unverzüglich mitzuteilen. 

3. Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, dritte Unternehmen, Stellen oder Behörden hinsichtlich etwaiger Ansprüche aufgrund der Verarbeitung von personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrages, verpflichtet sich der Auftraggeber den Auftragsverarbeiter bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten und unter Berücksichtigung des Verschuldensgrades der Vertragsparteien zu unterstützen. 

13. Haftung 

Wemakefuture kann vom Auftragsverarbeiter oder den Unterauftragsverarbeitern nicht haftbar gemacht werden für alle Ansprüche, Verfahren oder Klagen, einschließlich, aber nicht beschränkt auf Strafen, Bußgelder und Schadensersatz von Dritten, die gegen den Auftragsverarbeiter oder Wemakefuture aufgrund von Datenschutzgesetzen von Wemakefuture oder seinen Verpflichtungen aus der Vereinbarung oder dieser DPA erhoben werden. 

Der Auftragsverarbeiter stellt Wemakefuture von allen Ansprüchen, Verfahren oder Klagen frei, einschließlich, aber nicht beschränkt auf Strafen, Bußgelder und Schadensersatz von Dritten, die gegen Wemakefuture in Bezug auf die Verarbeitung durch den Auftragsverarbeiter und/oder seine Unterauftragsverarbeiter erhoben werden, und stellt Wemakefuture von allen Ansprüchen frei, Verfahren oder Klagen, einschließlich, aber nicht beschränkt auf Strafen, Bußgelder und Schadensersatz von Dritten, die gegen Wemakefuture aufgrund einer Verletzung dieser DPA oder der Datenschutzgesetze durch den Auftragsverarbeiter und/oder seinen Unterauftragsverarbeiter oder seiner Verpflichtungen aus dem Vertrag eingereicht werden. 

Der Auftragsverarbeiter muss Wemakefuture für alle Kosten entschädigen und schadlos halten, die im Zusammenhang mit einer Datenverletzung stehen, wenn diese Datenverletzung durch einen Verstoß des Auftragsverarbeiters gegen die Vereinbarung oder diese DPA verursacht wurde oder darauf zurückzuführen ist, einschließlich der Sicherheitspflichten des Auftragsverarbeiters im Rahmen der Vereinbarung oder dieser DPA.  

Darüber hinaus unterliegt jede andere Haftung den Bestimmungen und Beschränkungen des Hauptvertrags oder der Allgemeinen Geschäftsbedingungen und wird auf einen Betrag in Höhe von 10.000,00 € begrenzt. Jegliche Haftung für indirekte und/oder Folgeschäden, insbesondere wegen entgangenen Gewinns oder Produktionsausfall ist ausdrücklich ausgeschlossen. Die Agentur haftet unbeschränkt bei Vorsatz, grober Fahrlässigkeit sowie bei schuldhafter Verletzung von Leben, Körper oder Gesundheit.

14. Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung 

1. Dieser Auftragsverarbeitungsvertrag wird mit dessen Unterzeichnung, bzw. Abschluss in einem elektronischem Format wirksam. 

2. Laufzeit und Ende dieses Auftragsverarbeitungsvertrages richten sich nach der Laufzeit und dem Ende des Hauptvertrages. 

3. Das Recht auf außerordentliche Kündigung bleibt den Vertragsparteien vorbehalten, insbesondere im Fall eines schwerwiegenden Verstoßes gegen die Pflichten und Vorgaben dieses Auftragsverarbeitungsvertrages und des geltenden Datenschutzrechts. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragsverarbeiter die in dem Auftragsverarbeitungsvertrag bestimmten Pflichten und die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat. 

4. Der außerordentlichen Kündigung hat bei unerheblichen Pflichtverstößen eine Abmahnung der Verstöße mit angemessener Frist zur Abhilfe vorauszugehen, wobei die Abmahnung nicht erforderlich ist, wenn nicht damit zu rechnen ist, dass die beanstandeten Verstöße behoben werden oder diese derart schwer wiegen, dass ein Festhalten am Auftragsverarbeitungsvertrag der kündigenden Vertragspartei nicht zuzumuten ist. 

5. Die Kündigung dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen. 

6. Nach Abschluss der Erbringung der Verarbeitungsleistungen im Rahmen dieses Auftragsverarbeitungsvertrages, wird der Auftragsverarbeiter alle personenbezogenen Daten und deren Kopien (sowie sämtliche im Zusammenhang mit dem Auftragsverhältnis in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände), nach Wahl des Auftraggebers entweder vernichten oder zurückgeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht; in diesem Fall informiert der Auftragsverarbeiter den Auftraggeber über die Verpflichtung und deren Umfang, es sei denn dass die Kenntnis der Verpflichtung seitens des Auftraggebers erwartet werden kann. Die Vernichtung, bzw. Löschung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich und nicht zu erwarten ist. Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Im Hinblick auf die Löschung oder Rückgabe, gelten die Auskunfts-, Nachweis und Kontrollrechte des Auftraggebers entsprechend diesem Auftragsverarbeitungsvertrag. 

7. Die sich aus dem Auftragsverarbeitungsvertrag ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des Auftragsverarbeitungsvertrages fort, sofern der Auftragsverarbeiter weiterhin die vom Auftragsverarbeitungsvertrag umfassten personenbezogenen Daten verarbeitet und die Einhaltung der Pflichten für den Auftragsverarbeiter auch nach Vertragsende zumutbar ist. 

8. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Sicherstellung der TOMs dienen, sind durch den Auftragsverarbeiter den jeweiligen, ihm bekannten Aufbewahrungs- und Löschungsfristen (oder solchen, die ihm bekannt sein müssten) des Auftraggebers entsprechend, zumindest drei Jahre auch über das Vertragsende hinaus aufzubewahren. Der Auftragsverarbeiter kann die Dokumentationen zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben. 

15. Aufwandsentschädigung 

1. Die Vergütung des Auftragsverarbeiters ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Auftragsverarbeitungsvertrages erfolgt nicht. 

2. Überschreitet der mit den Weisungen des Auftraggebers einhergehende Aufwand für den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenüblich zu erwartenden Rahmen und der Auftragsverarbeiter trägt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergüten. 

3. Überschreitet der mit der Zurverfügungstellung von Informationen und/ oder die erforderlichen Mitwirkung des Auftragsverarbeiters einhergehende Aufwand für den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenüblich zu erwartenden Rahmen und der Auftragsverarbeiter trägt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergüten. 

4. Überschreitet der mit der Duldung und Mitwirkung bei den Kontrollen, bzw. adäquaten Alternativmaßnahmen einhergehende Aufwand für den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenüblich zu erwartenden Rahmen und der Auftragsverarbeiter trägt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergüten. 

5. Überschreitet der mit der Löschung, bzw. der Rückgabe der Daten einhergehende Aufwand für den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenüblich zu erwartenden Rahmen und der Auftragsverarbeiter trägt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergüten. 

16. Schlussbestimmungen 

1. Die Rechtsbeziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter unterliegen ausschließlich dem Recht der Bundesrepublik Deutschland. 

2. Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag. 

3. Der vorliegende Auftragsverarbeitungsvertrag stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht. 

4. Mit Zustandekommen dieses Auftragsverarbeitungsvertrages werden alle etwaigen früheren Verträge aufgehoben, die zwischen den Vertragsparteien dieses Vertrages abgeschlossen wurden und die die Verarbeitung personenbezogener Daten im Auftrag regeln, wenn und soweit diese den gleichen Gegenstand der Auftragsverarbeitung betreffen und wenn und soweit zwischen den Vertragsparteien nicht ausdrücklich schriftlich etwas anderes vereinbart wurde. 

5. Änderungen sowie Ergänzungen dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen. 

6. Bei etwaigen Widersprüchen gehen Regelungen dieses Auftragsverarbeitungsvertrages zum Datenschutz den Regelungen des Hauptvertrages vor. 

7. Sollten eine oder mehrere Bestimmungen dieses Auftragsverarbeitungsvertrages unwirksam oder undurchführbar sein, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die unwirksamen Bestimmungen werden vielmehr im Wege der ergänzenden Auslegung eine solche Regelung ersetzt, die von den Vertragsparteien mit der/ den unwirksamen Bestimmung/en erkennbar verfolgten wirtschaftlichen Zweck möglichst nahekommt. Sofern die vorbenannte ergänzende Auslegung aufgrund gesetzlich zwingender Vorgaben nicht möglich ist, werden die Vertragsparteien eine ihr entsprechende Regelung vereinbaren. 

Der Auftragsverarbeitungsvertrag wird im elektronischen Format abgeschlossen und ist ohne Unterschrift der Vertragsparteien wirksam.  

Anhang: Gegenstand der Auftragsverarbeitung 

Zwecke der Auftragsverarbeitung 

Personenbezogenen Daten des Auftraggebers werden auf Grundlage dieses Aufragsverarbeitungsvertrages zu den folgenden Zwecken verarbeitet: 

1. Beratungsleistungen. 

2. Betreuung und Verwaltung von Webseiten, Social Media u.a. Kommunikations- sowie Informationskanälen. 

3. Bildung und/ oder Verarbeitung von Personenprofilen. 

4. Buchführung, Lohn- und/ oder Gehaltsabrechnung. 

5. Einrichtung, Wartung und Betreuung von informationstechnischen Anlagen und Systemen (IT). 

6. Erbringung von Leistungen im Bereich der IT-Sicherheit. 

7. Gewinnung sowie Verarbeitung von Kontaktinformationen, Adressen und Leads. 

8. Kundenmanagement- und / oder Kundensupport. 

9. Planung, Durchführung und / oder Betreuung von Events und Veranstaltungen. 

10. Software-as-Service-Leistungen (SaaS). 

11. Leistungen im Bereich der Softwareerstellung und-/ oder Wartung. 

12. Verwaltungs-, Administrations- und Managementleistungen. 

13. Web- und Cloud-Hosting 

14. Werbung und Marketing (Beratung, Konzeption, Umsetzung und Durchführung). 

Arten und Kategorien von Daten 

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Arten und Kategorien von personenbezogenen Daten gehören: 

1. Bestandsdaten. 

2. Kontaktdaten. 

3. Inhaltsdaten. 

4. Bild- und/ oder Videoaufnahmen. 

5. Vertragsdaten. 

6. Zahlungsdaten. 

7. Nutzungsdaten. 

8. Standortdaten. 

9. Daten von Gewinnspielteilnehmern. 

10. Protokolldaten. 

11. Meta- und Verbindungsdaten. 

12. Telemetriedaten. 

13. Beschäftigtendaten. 

14. Gehaltsdaten. 

15. Leistung- und Verhaltensdaten von Beschäftigten. 

16.  Bewerberdaten. 

17. Geschäftsinformationen. 

18. Mitgliederdaten. 

Verarbeitung besonderer Kategorien von Daten 

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten besonderen Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. 1 DSGVO) gehören: 

1. Daten aus denen die rassische Herkunft hervorgeht. 

2. Daten aus denen die ethnische Herkunft hervorgeht. 

3. Daten aus denen politische Meinungen hervorgehen. 

4. Daten aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen. 

5. Daten aus denen die Gewerkschaftszugehörigkeit hervorgeht. 

6. Genetische Daten. 

7. Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person. 

Gesundheitsdaten. 

8. Daten zum Sexualleben oder der sexuellen Orientierung von natürlichen Personen. 

Kategorien der betroffenen Personen 

Zu den durch die Verarbeitung von personenbezogenen Daten auf Grundlage dieses AV-Vertrages betroffenen Personengruppen gehören: 

1. Webseitenbesucher. 

2. Softwarenutzer. 

3. Empfänger von Marketingmaßnahmen. 

4. Teilnehmer. 

5. Abonnenten. 

6. Interessenten. 

7. Geschäftskunden. 

8. Geschäftspartner. 

9. Freie Mitarbeiter. 

10. Beschäftigte/ Arbeitnehmer. 

11. Bewerber. 

12. Mitglieder. 

Quellen der verarbeiteten Daten 

1. Angaben der Nutzer- Kunden oder anderer betroffenen Personen. 

2. Erhebung durch den Auftragsverarbeiter. 

3. Erhebung im Rahmen der Nutzung von Software, Applikationen, Webseiten und anderen Onlinediensten. 

4. Erhebung im Rahmen von Events und Veranstaltungen. 

5. Erhebung im Rahmen von Werbe- und Marketingaktionen. 

6. Erhebung über Schnittstellen zu Diensten anderer Anbieter. 

7. Externe Datenbanken und Datensammlungen. 

8. Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch oder im Auftrag des Auftraggebers. 

Page Break 

Anhang: Zuständige Personen und Ansprechpartner 

Die im folgenden benannten Ansprechpersonen sind für die Erteilung, bzw. den Empfang von Weisungen des Auftraggebers berechtigt. Änderungen der Ansprechpersonen, deren nicht nur vorübergehende Verhinderung oder ihrer Kontaktinformationen müssen der anderen Vertragspartei angezeigt werden. 

Zuständige Personen und Ansprechpartner beim Auftraggeber: 

• Sebastian Mertens – Geschäftsführer. 
• Marc Keil – Senior Automation Specialist. 

Zuständige Personen und Ansprechpartner beim Auftragnehmer: 

• Gesondert zu benennen. 

Page Break 

Anhang: Technisch-organisatorische Maßnahmen (TOMs) 

Es wird für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau Gewähr geleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. 

Organisatorische Maßnahmen 

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten. 

1. Der Auftragsverarbeiter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung. 

2. Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist integriert in unternehmensweite Prozesse und Verfahren integriert 

3. Es sind interne Sicherheitsricht- bzw. Leitlinien definiert, die unternehmensintern gegenüber Mittarbeitern als verbindliche Regeln kommuniziert werden. 

4. Der Auftragsverarbeiter führt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch. 

5. Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, durchgeführt. 

6. Die technischen und organisatorischen Maßnahmen nach werden regelmäßig, mindestens jährlich, nach dem PDCA-Zyklus (Plan-Do-Check-Act) überprüft und angepasst.  

7. Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet. 

8. Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Auftraggeber gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen. 

9. Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen. 

10. Sicherheitsvorkommnisse werden konsequent dokumentiert, auch wenn sie nicht zu einer externen Meldung (z. B. an die Aufsichtsbehörde, betroffene Personen) führen (sogenanntes “Security Reporting”). 

11. Ausreichende fachliche Qualifikation des Datenschutzbeauftragten für sicherheits-relevante Fragestellungen und Möglichkeiten zur Fortbildung in diesem Fachbereich. 

12. Ausreichende fachliche Qualifikation des IT-Sicherheitsbeauftragten für sicherheits-relevante Fragestellungen und Möglichkeiten zur Fortbildung in diesem Fachbereich. 

13. Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Wartungs-, Wach-, Transport- und Reinigungsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern die Dienstleister im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Auftraggebers erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet. 

14. Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt. 

15. Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme). 

16. Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen. 

17. Eine Geräteverwaltung erlaubt die Bestimmung, welche Beschäftigten oder Beauftragten welche Geräte in welchen Bereichen einsetzen. 

18. Es wird ein „papierloses Büro“ geführt, d. h. Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform aufbewahrt.  

19. Unterlagen im Papierformat werden nur dann aufbewahrt, wenn keine im Hinblick auf die Auftragsverarbeitung, ihrem Zweck und den Interessen der von den Inhalten der Unterlagen betroffenen Personen adäquate digitale Kopie vorliegt oder eine Aufbewahrung mit dem Auftraggeber vereinbart wurde oder gesetzlich erforderlich ist. 

20. Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und Datenträgern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und soweit zuständig, über Vorgaben für die Datenvernichtung oder Gerätevernichtung durch Dienstleister unterrichtet. 

21. Die Verarbeitung der Daten des Auftraggebers, die nicht entsprechend den Vereinbarungen dieses Auftragsverarbeitungsvertrages gelöscht wurden (z.B. in Folge der gesetzlichen Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt. 

Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS) 

Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS). 

Einsatz eines Informationssicherheitsmanagementsystem (ISMS) nach BSI-Standards. 

Datenschutz auf Mitarbeiterebene 

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter, über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen. 

1. Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet. 

2. Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung wird in angemessenen Zeitabständen oder wenn es die Umstände erfordern wiederholt. 

3. Relevante Richtlinien, z. B. zur E-Mail-/Internetnutzung, Umgang mit Schadcodemeldungen, Einsatz von Verschlüsselungstechniken, werden aktuell gehalten und sind leicht auffindbar (z. B. im Intranet). 

4. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden (Home- und Mobileoffice), werden Mitarbeiter über die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet. 

5. Sofern Mitarbeiter Privatgeräte für betriebliche Tätigkeiten einsetzen, werden Mitarbeiter über die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet. 

6. Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen. 

7. Mitarbeiter werden verpflichtet, ihre Arbeitsumgebung aufgeräumt zu hinterlassen und so insbesondere den Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten zu verhindern (Clean Desk Policy). 

Zutrittskontrolle 

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern, mit denen personenbezogene Daten verarbeitet werden. 

1. Der Zutritt zu Datenverarbeitungsanlagen ist zusätzlich gesichert und nur befugten Mitarbeitern möglich. 

2. Es findet eine Personenkontrolle beim Pförtner oder am Empfang statt. 

3. Um den Zutritt durch Unbefugte zu verhindern, wird Videoüberwachungstechnologie eingesetzt. 

4. Um den Zutritt durch Unbefugte zu verhindern, wird eine Alarmanlage eingesetzt. 

5. Der Zutritt ist durch ein manuelles Schließsystem mit Sicherheitsschlössern gesichert. 

6. Der Zutritt ist durch ein Chipkarten- oder Transponder-Schließsystem gesichert. 

7. Die Ausgabe und Rückgabe von Schlüsseln und/ oder Zugangskarten wird protokolliert. 

8. Mitarbeiter werden verpflichtet, Geräte zu sperren oder sie besonders zu sichern, wenn sie ihre Arbeitsumgebung oder die Geräte verlassen. 

9. Unterlagen (Akten, Dokumente, etc.) werden sicher, z. B. in Aktenschränken oder sonstigen angemessen gesicherten Containern aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert. 

10. Datenträger werden sicher aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert. 

Zugangskontrolle 

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird. 

1. Ein Passwortkonzept, legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen. 

2. Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt. 

3. Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt übertragen. 

4. Es wird eine Passwort-Management-Software eingesetzt. 

5. Soweit technisch unterstützt, wird für den Zugang zu Daten des Auftraggebers eine Zwei-Faktor-Authentifizierung verwendet. 

6. Fehlversuche beim Login auf betriebsinterne Systeme werden auf eine angemessene Anzahl beschränkt (z.B. Sperrung von Logindaten). 

7. Zugangsdaten werden, wenn deren Benutzer das Unternehmen oder Organisation des Auftragsverarbeiters verlassen haben, gelöscht oder deaktiviert. 

8. Es werden Serversysteme und Dienste eingesetzt, die über Angriffserkennungssysteme (“Intrusion-Detection-Systeme”) verfügen. 

9. Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt. 

10. Einsatz von Software-Firewall(s). 

11. Backups werden verschlüsselt gespeichert. 

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten) 

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind. 

1. Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist. 

2. Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert. 

3. Die Zugriffe auf einzelne Dateien des Auftraggebers werden protokolliert. 

4. Die Eingabe, Veränderung und Löschung einzelner Daten des Auftraggebers wird protokolliert. 

5. Die Protokoll-, bzw. Logdateien werden vor Veränderung sowie vor Verlust und gegen unberechtigten Zugriff geschützt. 

6. Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert. 

7. Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z.B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept). 

Weitergabekontrolle 

Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 

1. Beim Zugriff auf betriebsinterne Systeme von außen (z.B. bei Fernwartung), werden verschlüsselte Übertragungstechnologien verwendet (z.B. VPN). 

2. Mobile Datenträger werden verschlüsselt. 

3. E-Mails werden während der Übertragung verschlüsselt, was bedeutet, dass die E-Mails auf dem Weg vom Absender zum Empfänger davor geschützt sind, von jemandem gelesen zu werden, der Zugang zu den Netzwerken hat, durch die die E-Mail gesendet wird.  

4. Die Übermittlung und Verarbeitung von personenbezogenen Daten des Auftraggebers über Onlineangebote (Webseiten, Apps, etc.), erfolgt geschützt mittels einer TLS/SSL- oder einer gleichwertig sicheren Verschlüsselung. 

5. Dateien werden vor der Übermittlung an Cloudspeicherdienste verschlüsselt. 

Auftragskontrolle, Zweckbindung und Trennungskontrolle 

Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verarbeitung dieser Daten erfolgt. 

1. Die für den Auftraggeber durchgeführten Verarbeitungsprozesse werden in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert. 

2. Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern. 

3. Der Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne Zustimmung oder ohne Information des Auftraggebers (dieser hat dann ein Widerspruchsrecht) aufnehmen. 

4. Mitarbeiter und Beauftragte werden verständlich und deutlich über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen informiert und entsprechend instruiert. Eine gesonderte Information und Instruktion sind nicht erforderlich, wenn die Einhaltung des zulässigen Rahmens ohnehin, z. B. aufgrund anderweitiger Vereinbarungen oder betrieblicher Übung, verlässlich zu erwarten ist. 

5. Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung der personenbezogener Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft. 

6. Die für die Verarbeitung der personenbezogenen Daten des Auftraggebers geltenden Löschfristen werden innerhalb des Löschkonzepts des Auftragsverarbeiters, sofern erforderlich gesondert, dokumentiert. 

7. Erforderliche Auswertungen und Analysen der Verarbeitung der personenbezogenen Daten des Auftraggebers werden, soweit möglich und zumutbar, anonymisiert verarbeitet (d. h. ohne jeglichen Personenbezug) oder zumindest entsprechend Art. 4 Nr. 5 DSGVO pseudonymisiert verarbeitet (d. h. in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können wobei diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden). 

8. Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters physisch getrennt verarbeitetet. 

9. Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z.B. in unterschiedlichen Datenbanken oder durch angemessene Attribute). 

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen 

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können. 

1. Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind. 

2. Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent, insbesondere auf Verfügbarkeit, Fehler sowie Sicherheitsvorfälle überwacht und kontrolliert. 

3. Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung. 

4. Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden. 

5. Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen Schutz gegen Denial of Service (DoS) Angriffe. 

6. Die zur Verarbeitung eingesetzten Serversysteme verfügen über eine unerbrechungsfreie Stromversorgung (USV), die gegen Ausfälle angemessen gesichert ist und ein geregeltes Herunterfahren in Notfällen ohne Datenverlust sicherstellt. 

7. Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen angemessenen Brandschutz (Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder Feuerlöschgeräte). 

8. Es werden Serversysteme eingesetzt, die über einen Schutz vor Feuchtigkeitsschaden (z. B. Feuchtigkeitsmelder) verfügen. 

9. Es werden Serversysteme und Dienste eingesetzt, die ein Backupsystem an anderen Orten, auf dem die aktuellen Daten vorgehalten werden und so ein lauffähiges System auch im Katastrophenfall zur Verfügung stellen, bereithalten. 

10. Die Datensätze des Auftraggebers werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups). 

11. Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.  

12. Es werden regelmässig in einem angemessenen Zeitabstand Wiederherstellungstests zur Überprüfung durchgeführt, dass die Datensicherungen tatsächlich wieder eingespielt werden können (Datenintegrität der Backups). 

Page Break 

Anhang: Unterauftragsverarbeiter 

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein: 

1. Unternehmen: Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). 

Dabei handelt es sich um nachfolgende(s) Unternehmen: 

Translator for Projektmanagement 

Zweck der Verarbeitung 

wemakefuture sendet den Textinhalte des Auftrags an DeepL, um den Inhalt in eine oder mehrere andere Sprachen zu übersetzen. Dies geschieht beim Anlegen eines mehrsprachigen Textes durch den Kunden. 

Kategorien personenbezogener Daten 

Inhaltsdaten, Nutzungsdaten, Verkehrsdaten, jegliche Weiteren vom Kunden zur Verfügung gestellten Daten, die im Vorfeld nicht abschätzbar sind. 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer 

DeepL GmbH Köln Mediapark 8a  

Entwicklung 

Zweck der Verarbeitung: Auftragserfüllung und Programmierung durch. 

Kategorien personenbezogener Daten 

Inhaltsdaten, Nutzungsdaten, Verkehrsdaten, jegliche Weiteren vom Kunden zur Verfügung gestellten Daten, die im Vorfeld nicht abschätzbar sind. 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer 

Makeitfuture SRL 

Cluj Romania 

Speicherung von Daten 

Zweck der Verarbeitung 

Abbilden von Kundenspezifischen Serverdienstleistungen und Hosting Infrastrukturen zur Verarbeitung und Speicherung von Daten. 

Kategorien personenbezogener Daten 

Bestandsdaten, Nutzungsdaten, Inhaltsdaten 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer 

Google Inc., Mountain View CA, USA 

Microsoft Inc. Redmond, Washington, Vereinigte Staaten 

Zahlungsabwicklung & Rechnungslegung 

Zweck der Verarbeitung 

In Abhängigkeit der Zahlungsart werden zusätzliche Daten erhoben um mit Zahlungsdienstleistern zu kommunizieren. Die gewählte Zahlungsart obliegt der Entscheidung des Kunden. Voraussetzung sind entsprechende Verträge, die er zuvor mit anderen Anbietern abgeschlossen hat. 

Kategorien personenbezogener Daten 

Bestandsdaten 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer: 

ETL ADVISA Mittelhessen GmbH Steuerberatungsgesellschaft, Wettenberg, Germany 

Lexoffice Haufe-Lexware GmbH & Co. KG, Freiburg, Germany 

PayPal Inc. North First Street San Jose, California U.S. 

Holvi Payment Services Oy, Helsinki, Finland 

Stripe inc. San Francisco, Kalifornien, Vereinigte Staaten 

GoCardless London, Vereinigtes Königreich 

Automatisierung 

Zweck der Verarbeitung 

Einrichtung und Verwaltung von automatischen Prozessketten zur Verarbeitung von Daten. 

Kategorien personenbezogener Daten 

Bestandsdaten, Nutzungsdaten, Inhaltsdaten 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer 

AWS Seattle, Washington, Vereinigte Staaten 

Zapier Inc. San Francisco, CA, USA 

Integromat  SRO Prag Tschechien 

Microsoft Redmont USA 

Kunden- und Projektmanagement 

Zweck der Verarbeitung 

Speicherung von Kundenkontaktdaten in unserem Kundenbeziehungsmanagementsystem. Hierbei werden keine vom Auftraggeber übertragenen Kundendaten in das CRM übertragen 

Kategorien personenbezogener Daten 

Bestandsdaten, Nutzungsdaten, Inhaltsdaten 

Rechtsgrundlage 

Vertragsdurchführung, Art. 6 Abs. 1 lit. b DSGVO 

Beteiligte Unterauftragnehmer 

Hubspot Cambridge, MA, USA 

Airtable San Francisco USA 

ClickUp San Francisco USA 

• Sofern der Auftragnehmer Dritte (z. B. Subunternehmer) beauftragt, die an der Auftragsverarbeitung des Auftragnehmers mitwirken und Kenntnis von den Berufsgeheimnissen erlangen können, verpflichtet er die Dritten entsprechend der eigenen Verpflichtung in diesem Abschnitt “Wahrung des Berufsgeheimnisses” dieser Vereinbarung zumindest in Textform. Ferner unterrichtet der der Auftragnehmer die Dritten über deren Pflichten sowie, falls der Auftragnehmer im Rahmen dieses Abschnitts hierüber belehrt wurde, auch über die Strafbarkeit des Verstoßes gegen das Berufsgeheimnis. Unabhängig von der vorstehenden Verpflichtung, muss der Auftraggeber den Einsatz von Dritten erlaubt haben. Der Auftraggeber belehrt den Auftragnehmer vorsorglich, dass eine Einschaltung Dritter zu einer Freiheitsstrafe von bis zu einem Jahr oder Geldstrafe führen kann, wenn ein Dritter die Verschwiegenheit bricht, und der Auftragnehmer zugleich nicht dafür Sorge getragen hat, dass der Dritte zur Verschwiegenheit verpflichtet wurde (§§ 203 Abs. 1, Abs. 4 S. 2 Nr. 2 StGB). Die Strafdrohung erhöht sich auf Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern der Täter in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, handelt, oder die Absicht hat, durch die Tat einen anderen zu schädigen. 

• Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, d. h. insbesondere die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat; b) auf Grundlage von wirksamen Standardschutzklauseln (sog. Standard Contractual Clauses, SCC); oder c) auf Grundlage von anerkannten verbindlichen internen Datenschutzvorschriften. 
• Soweit eine Handlung des Auftragsverarbeiters zu einer Störung, Datenschutzverletzung oder Unregelmäßigkeit bei der Verarbeitung führt, hat der Auftraggeber keine Kosten für die hieraus notwendigerweise resultierenden Unterstützungshandlungen des Auftragsverarbeiters zu tragen. 
• Die im Rahmen des Auftrags verarbeiteten personenbezogenen Daten werden, vorbehaltlich anderweitiger Weisungen des Auftraggebers, ende-zu-ende-verschlüsselt übertragen.