VERGTRAGSERGÄNZUNG AUFTRAGSVERARBEITUNG

  • Abschluss/Einbeziehung dieser Vertragsergänzung Auftragsverarbeitung

    Diese Vertragsergänzung Auftragsverarbeitung ist integraler Bestandteil der Leistungsvereinbarung (Hauptvertrag) und wird durch Bezugnahme in den AGB bzw. dem Hauptvertrag wirksam in das Vertragsverhältnis einbezogen; einer gesonderten Unterzeichnung bedarf es nicht. Es gelten ergänzend die Bestimmungen des Hauptvertrages und der AGB. Die Parteien vereinbaren ausdrücklich, dass die in den AGB enthaltenen Haftungsbeschränkungen auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung Anwendung finden.

    ABSCHNITT I

    • Klausel 1: Zweck und Anwendungsbereich

    • a)

      Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Art. 28 Abs. 3 und 4 DSGVO sichergestellt werden.

      b)

      Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Art. 28 Abs. 3 und 4 DSGVO zu gewährleisten.

      c)

      Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

      d)

      Die Anhänge I bis IV sind Bestandteil der Klauseln.

      e)

      Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der DSGVO unterliegt.

      f)

      Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der DSGVO erfüllt werden

    • Klausel 2: Unabänderbarkeit der Klauseln

    • a)

      Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

      b)

      Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

  • Klausel 3: Auslegung

    • a)

      Werden in diesen Klauseln die in der DSGVO definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

      b)

      Diese Klauseln sind im Lichte der Bestimmungen der DSGVO auszulegen.

      c)

      Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

    • Klausel 4: Vorrang

      • Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

      • Klausel 5: Kopplungsklausel

      • a)

        Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

        b)

        Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

        c)

        Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

    • Fü die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

    • ABSCHNITT II: PFLICHTEN DER PARTEIEN

    • Klausel 6: Beschreibung der Verarbeitung

    • Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

    • Klausel 7: Pflichten der Parteien

    • 7.1

      Weisungen

      a)

      Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

      b)

      Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

  • 7.2

    Zweckbindung

    • Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

    • 7.3

      Dauer der Verarbeitung personenbezogener Daten

    • Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

    • 7.4

      Sicherheit der Verarbeitung

    • a)

      Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

      b)

      Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen

    • 7.5

      Sensible Daten

    • Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

    • 7.6

      Dokumentation und Einhaltung der Klauseln

      a)

      Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können

      b)

      Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

      c)

      Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

      d)

      Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

      e)

      Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung

    7.7

    Einsatz von Unterauftragsverarbeitern

    • a)

      Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

      b)

      Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der DSGVO unterliegt.

      c)

      Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

      d)

      Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

      e)

      Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben

    7.8

    Internationale Datenübermittlungen

      • a)

        Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

        b)

        Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der DSGVO sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Art. 46 Abs. 2 DSGVO erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

      • Klausel 8: Unterstützung des Verantwortlichen

      • a)

        Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

        b)

        Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

        c)

        Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

        sp

        1)

        Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

        sp

        2)

        Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft

        sp

        3)

        Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

        sp

        4)

        Verpflichtungen gemäß Art. 32 DSGVO.

    d)

    Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest

    • Klausel 9: Meldung von Verletzungen des Schutzes personenbezogener Daten

    • Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Art. 33 und 34 DSGVO nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

    9.1

    Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

    • Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

      a)

      bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

      b)

      bei der Einholung der folgenden Informationen, die gemäß Art. 33 Abs. 3 DSGVO in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

    sp

    1)

    die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

    sp

    2)

    die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

    sp

    3)

    die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

      • c)

        Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt

        d)

        bei der Einhaltung der Pflicht gemäß Art. 34 DSGVO, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat

      • 9.2

        Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

      Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

      a)

      eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

      b)

      Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

      c)

      die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

      Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

      Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Art. 33 und 34 DSGVO zu unterstützen.

    • ABSCHNITT III: SCHLUSSBESTIMMUNGEN

    • Klausel 10: Verstöße gegen die Klauseln und Beendigung des Vertrags

      a)

      Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

      b)

      Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

    • sp

      1)

      der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

      sp

      2)

      der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt;

      sp

      3)

      der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln oder der DSGVO zum Gegenstand hat, nicht nachkommt.

    c)

    Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

    d)

    Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.



  • ANHANG I: LISTE DER PARTEIEN

    Name:

    Im Auftrag/Vertrag bezeichneter Kunde/Auftraggeber

    Verantwortlicher

    Anschrift:

    Adresse des Kunden/Auftraggebers wie im Auftrag/Vertrag definiert

    Name, Funktion und Kontaktdaten der Kontaktperson:

    Kontaktperson wie im Auftrag/Vertrag definiert

    • Name:

      DeepImmo GmbH

      Auftragsverarbeiter

      Anschrift:

      Herzog-Wilhelm-Straße 1

      Name, Funktion und Kontaktdaten der Kontaktperson:

      Tim Godejohann (avv@deepimmo.com)





      ANHANG II: BESCHREIBUNG DER VERARBEITUNG


      Gegenstand, Art und Zweck der Verarbeitung

      Der Auftragsverarbeiter DeepImmo bietet mit seinem „Real Estate OS“ eine datengestützte Plattform, die Lage-, Markt- und Zielgruppenanalysen sowie Preisempfehlungen für Immobilien liefert. Die Plattform verarbeitet immobilienspezifische Daten, um automatisierte Lage-, Markt- und Zielgruppenanalysen sowie modellbasierte Preisbewertungen zu erstellen. Hierzu werden bereitgestellte Daten strukturiert erfasst, algorithmisch ausgewertet und in standardisierten Analyseberichten oder Bewertungsergebnissen für den Verantwortlichen bereitgestellt. 

      Der Verantwortliche nutzt die Plattform des Auftragsverarbeiters und der Auftragsverarbeiter stellt dem Verantwortlichen die DeepImmo-Plattform als Software as a Service (SaaS) zur Verfügung. Der Auftragsverarbeiter wird dabei als Auftragsverarbeiter im Sinne des Art. 28 DSGVO für den Auftraggeber tätig. Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und nutzt die Plattform des Auftragsverarbeiters zur Erhebung und Verarbeitung personenbezogener Daten.


      Betroffene

      Die im Auftrag verarbeiteten personenbezogenen Daten betreffen folgende Kategorien Betroffener:
      - Interessenten an Kauf-/Verkauf von Immobilien
      - Eigentümer, Vermieter, Mieter, Investoren

      Datenkategorien

      Die im Auftrag verarbeiteten personenbezogenen Daten gehören zu folgenden Datenkategorien:
      - Kontaktdaten der BetroffenenObjektdaten für ImmobilienDie im Auftrag verarbeiteten personenbezogenen Daten umfassen regelmäßig keine besonderen Datenkategorien

      Dauer der Verarbeitung

      Die Datenverarbeitung wird vom Auftragsverarbeiter für die Dauer des jeweiligen Auftrags/Vertrages durchgeführt.





      ANHANG III: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

      Beschreibung der von dem Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:

      1.

      Vertraulichkeit

      1.1

      Zutrittskontrolle

      Das Hosting der Software-Plattform von DeepImmo erfolgt in einem Rechenzentrum von Amazon Web Services (AWS) in Frankfurt. Der Zutritt zum Rechenzentrum wird per Vereinzelungsanlage sichergestellt. Weiterhin ist das gesamte Gelände außerhalb und innerhalb der Rechenzentren durch Videoüberwachung und 365x7x24 Sicherheitspersonal geschützt.

      Eine ausführliche Dokumentation der von AWS getroffenen technischen und organisatorischen Maßnahmen der Datensicherheit und der Zertifizierungen von AWS aus dem Bereich der Informationssicherheit (einschließlich ISO 27001) findet sich hier:https://aws.amazon.com/de/compliance/data-center/controls/

      Die Büroräume von DeepImmo befinden sich in einem Bürohaus in München. Die Zugänge zum Bürohaus und auch zu den Büroräumen von DeepImmo sind Tag und Nacht verschlossen. Es kommt ein elektronisches Schließsystem zum Einsatz. Die Personalabteilung von DeepImmo verwaltet die Schlüssel/Transponder und erteilt und entzieht die jeweiligen Zutrittsrechte. Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt. Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.

      Die Eingänge und Fenster des Bürohauses und auch der Büroräume sind mit einer Alarmanlage gesichert. Diese kann manuell aktiviert und deaktiviert werden. Unabhängig davon wird die Alarmanlage täglich jedoch stets am Abend automatisch aktiviert.

      1.2

      Zugangskontrolle

      Um Zugang zur Software-Plattform von DeepImmo und generell zu den IT-Systemen von DeepImmo zu erhalten, müssen Nutzer/innen über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Zugangsberechtigungen von Administrator/innen in einem gemanagten und kontrollierten Prozess vergeben.

      Nutzer/innen erhalten einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss.

      Die Passwortvorgaben beinhalten eine dem Stand der Technik entsprechende Mindestkomplexität. Zudem sind die Mitarbeitenden angewiesen, wo möglich MFA und den zur Verfügung gestellten Passwortmanager zu verwenden. Fehlerhafte Anmeldeversuche werden protokolliert. Bei mehrfacher Fehleingabe erfolgt eine Sperrung des jeweiligen Accounts. Passwörter werden grundsätzlich verschlüsselt gespeichert.

      Remote-Zugriffe auf IT-Systeme erfolgen stets über verschlüsselte Verbindungen.

      Auf den Servern ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist. Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.

      Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.

      Alle Mitarbeitenden sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

      1.3

      Zugriffskontrolle

      Zugriffsberechtigungen im Rahmen der Software-Plattform von DeepImmo und generell für IT-Systeme und Applikationen von DeepImmo werden ausschließlich von Administratoren eingerichtet.

      Zugriffsberechtigungen können flexibel und granular gesetzt werden und werden grundsätzlich nach dem „Need to Know“-Prinzip auf „Least Privilege“-Basis vergeben. Es erhalten demnach nur die Mitarbeitenden Zugriffsrechte auf Daten, Datenbanken und/oder Applikationen, die diese Daten, Datenbanken und/oder Applikationen warten und pflegen bzw. in der Entwicklung tätig sind und die einen solchen Zugriff im Rahmen ihrer Tätigkeit zwingend benötigen. Voraussetzung ist eine entsprechende Anforderung der Zugriffsberechtigung für eine/n Mitarbeitende/n durch eine/n Vorgesetzte/n.

      Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Mitarbeitende abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.

      Die Vergabe von Admin-Rechten wird äußerst restriktiv gehandhabt.

      Mitarbeitenden ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen von DeepImmo zu installieren.

      Alle Server- und Client-Systeme werden regelmäßig mit Sicherheitsupdates aktualisiert.

      1.4

      Trennung

      Alle im Rahmen der Software-Plattform von DeepImmo eingesetzten IT-Systeme sind mandantenfähig, die logische Trennung von Daten ist stets gewährleistet. Die Produktivumgebung ist streng von der Testumgebung getrennt.

      1.4

      Verschlüsselung & Pseudonymisierung

      Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen. Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.

      Bei einer Pseudonymisierung personenbezogener Daten erfolgt eine strikte Trennung der Zuordnungsdaten von den pseudonymisierten Daten.

      Die Mitarbeitenden sind angewiesen, stets die Möglichkeit einer Pseudonymisierung oder Anonymisierung personenbezogener Daten zu prüfen und gegebenenfalls umzusetzen.

    2.

    Integrität

  • 2.1

    Eingabekontrolle

    Die Eingabe, Änderung und Löschung von (personenbezogenen) Daten wird grundsätzlich protokolliert. Die Protokollierung wird regelmäßig kontrolliert.Mitarbeitende sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Accounts dürfen nicht mit anderen Mitarbeitenden geteilt bzw. gemeinsam genutzt werden.
    Es ist dementsprechend stets nachvollziehbar, wer Daten eingegeben, geändert oder gelöscht hat.

    2.2

    Weitergabekontrolle

    Eine Weitergabe von personenbezogenen Daten erfolgt jeweils nur in dem Umfang, in dem dies zur Erbringung der jeweiligen vertraglichen Leistungen erforderlich ist.
    Alle Mitarbeitenden werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
    Sämtliche Übermittlungen sind umfassend dokumentiert und es gibt detaillierte Datenflussübersichten und Aufbewahrungs- und Löschkonzepte.
    Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
    Die Nutzung von privaten Datenträgern für betriebliche Zwecke ist den Mitarbeitenden untersagt.

    3.

    Verfügbarkeit und Belastbarkeit

    Daten auf Serversystemen werden mindestens täglich inkrementell und wöchentlich voll gesichert. Die Sicherungsmedien sind verschlüsselt. Das Einspielen von Backups wird regelmäßig getestet.
    Alle relevanten IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Rechenzentrum befindet sich eine Brandmeldeanlage sowie eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
    Es besteht ein Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

    4.

    Informationssicherheits- und Datenschutzmanagementsystem (regelmäßige Überprüfung, Bewertung und Evaluierung)

  • 4.1

    Informationssicherheits- und Datenschutzmanagementsystem

    Bei DeepImmo ist ein umfassendes Informationssicherheits- und Datenschutzmanagementsystem implementiert. Die Verantwortlichkeiten in den Bereichen Informationssicherheit und Datenschutz sind eindeutig zugewiesen und dokumentiert.
    Es bestehen Richtlinien zu Informationssicherheit und Datenschutz, mit denen die Umsetzung der Ziele des Informationssicherheits- und Datenschutzmanagementsystems gewährleistet wird. Die Wirksamkeit des Managementsystems und entsprechend der Richtlinien wird regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und es werden, wenn erforderlich, Anpassungen vorgenommen.
    Es ist ein Informationssicherheits- und Datenschutzteam eingerichtet, das sämtliche Maßnahmen in den Bereichen Informationssicherheit und Datenschutz plant, umsetzt, evaluiert und Anpassungen vornimmt. Das Informationssicherheits- und Datenschutzteam berichtet direkt an die Geschäftsführung.

    4.2

    Schulung und Verpflichtung der Mitarbeitenden

    Alle Mitarbeitenden bei DeepImmo werden regelmäßig zu Datenschutz und Informationssicherheit geschult. Es werden regelmäßig ergänzende Awarenessmaßnahmen durchgeführt.
    Alle Mitarbeitenden sind zudem auf Datenschutz und Vertraulichkeit verpflichtet. Die Verpflichtung gilt über das Ende der Tätigkeit bei DeepImmo hinaus.

    4.3

    Transparenz der Datenverarbeitung

    Die Transparenz der Datenverarbeitung ist vor dem Hintergrund des Geschäftsmodells von DeepImmo von entscheidender Bedeutung. DeepImmo ist sich dieser Bedeutung unbedingt bewusst und legt großen Wert auf eine umfassende und klar verständliche Information der Betroffenen.
    Es besteht eine umfassende Dokumentation der Datenverarbeitung und die Datenschutzinformationen werden regelmäßig geprüft und erforderlichenfalls aktualisiert.
    Es besteht ein formalisierter Prozess zur Bearbeitung und Beantwortung von Betroffenenanfragen, die Einhaltung der entsprechenden Fristen wird stets gewährleistet.

    4.4

    Dienstleistermanagement (Auftragskontrolle)

    Bei der Beauftragung von Auftragsverarbeitern wird initial und anschließend regelmäßig ein Audit durchgeführt und es wird entsprechend den datenschutzrechtlichen Vorgaben eine Vereinbarung Auftragsverarbeitung abgeschlossen. Auftragsverarbeiter werden sorgfältig ausgewählt, insbesondere hinsichtlich der Gewährleistung eines angemessenen Niveaus an Informationssicherheit und Datenschutz.
    Alle Auftragsverarbeiter sind verpflichtet, personenbezogene Daten stets auf Weisung des Verantwortlichen und spätestens bei Vertragsbeendigung zu löschen. Es ist gewährleistet, dass das Aufbewahrungs- und Löschkonzept von DeepImmo auch bei Auftragsverarbeitern entsprechend umgesetzt wird.

    4.5

    Umgang mit Informationssicherheits- und Datenschutzvorfällen

    DeepImmo hat eine Richtlinie für den Umgang mit Informationssicherheits- und/oder Datenschutzvorfällen implementiert, in der standardisierte Prozesse für den Umgang mit potenziellen Informationssicherheits- und/oder Datenschutzvorfällen definiert werden. Informationssicherheitsbeauftragter und Datenschutzbeauftragter werden stets informiert und eingebunden. Sämtlichen potenziellen Informationssicherheits- und/oder Datenschutzvorfälle werden dokumentiert und jeder Vorfall wird dahingehend analysiert, ob und welche Maßnahmen ergriffen werden können, um zukünftig ähnliche Vorfälle auszuschließen.
    Es werden Firewalls und Spamfilter eingesetzt und laufend aktualisiert.
    Alle Mitarbeitenden werden dahingehend instruiert, potenzielle Vorfälle auch beim geringsten Verdacht an das Informationssicherheits- und Datenschutzteam zu melden. DeepImmo gewährleistet stets die fristgerechte Meldung, sofern bei einem Informationssicherheits- und/oder Datenschutzvorfall gesetzliche Meldepflichten bestehen.

    4.6

    Privacy by Design und Privacy by Default

    Bereits bei der Entwicklung bzw. Weiterentwicklung sowohl des Geschäftsmodells generell wie auch der Software-Plattform von DeepImmo wird Sorge dafür getragen, dass den Grundsätzen der Datensparsamkeit und Datenminimierung Rechnung getragen wird.

    Es werden stets nur die personenbezogenen Daten erhoben, die für den jeweiligen Zweck zwingend erforderlich sind. Es wird bei jedem Verarbeitungsvorgang kontinuierlich geprüft, ob eine Erforderlichkeit der Verarbeitung personenbezogener Daten besteht oder ob eine Anonymisierung vorgenommen werden kann.

  • ANHANG IV: LISTE DER UNTERAUFTRAGSVERARBEITER

Unterauftragsverarbeiter
Leistungen des Unterauftragsverarbeiters
Ort der DV

Amazon Web Services EMEA SARL
(Luxemburg)

Hosting der DeepImmo-Plattform (IaaS)

EU
Support USA (SCC)

BetterStack, Inc.
(USA)

Uptime Monitoring und Log Management (EU Cluster)

EU
Support USA (EU-U.S. Data Privacy Framework, Fallback SCC)

DatenschutzImpressumAGB