Datenverarbeitungsvereinbarung

1.1       Der Verantwortliche ist damit einverstanden, den Datenverarbeiter mit der Bereitstellung von Software und Dienstleistungen an den Verantwortlichen, gemäß den Bestimmungen des Vertrags, zu beauftragen.

1.2       Im Rahmen der Ausführung der Software und der Dienstleistungen ist es erforderlich, dass der Datenverarbeiter personenbezogene Daten verarbeitet, die mit bestimmten natürlichen Personen in Verbindung gebracht werden können, wie in Anhang A beschrieben.

1.3       In der Datenverarbeitungsvereinbarung sind die Bedingungen festgelegt, die für die Verarbeitung personenbezogener Daten durch den Datenverarbeiter gelten.

2.1       Die folgenden Wörter und Ausdrücke haben die nachstehend in der Datenverarbeitungsvereinbarung angegebenen Bedeutungen, es sei denn, der Kontext verlangt etwas anderes.

2.2       Sofern der Kontext nichts anderes erfordert, schließen Wörter im Singular den Plural und im Plural den Singular mit ein.

2.3       Alle Wörter, die den Begriffen „einschließlich”, „beinhalten”, „insbesondere”, „zum Beispiel” oder einer ähnlichen Phrase folgen, sind als illustrativ zu verstehen und schränken die Allgemeingültigkeit der verwandten allgemeinen Wörter nicht ein.

2.4       Jeglicher Haftungsausschluss oder jegliche Haftungsbeschränkung im Vertrag gilt auch für die Haftung des Datenverarbeiters im Rahmen dieser Datenverarbeitungsvereinbarung.

3.1       Die Datenverarbeitungsvereinbarung gilt für jede Verarbeitung personenbezogener Daten, die der Datenverarbeiter im Zusammenhang mit der Erbringung der Datenverarbeitungsdienste an den Verantwortlichen im Sinne des Anhangs A (Gegenstand) durchführt.

3.2       Der Kunde und Planday erkennen an, dass der Kunde der Verantwortliche und Planday der Datenverarbeiter, in Bezug auf alle personenbezogenen Daten ist, die Planday von oder im Namen des Kunden, einschließlich der in Anhang A beschriebenen personenbezogenen Daten, im Zuge der Erbringung der Datenverarbeitungsdienste zur Verfügung gestellt werden.

3.3       Art und Zweck der Verarbeitung, die Art der Personendaten und die Kategorien der betroffenen Personen sind in Anhang A aufgeführt.

3.4       Nichts in dieser Datenverarbeitungsvereinbarung beeinträchtigt die Rechte und Pflichten von Planday, die in der Endbenutzer-Lizenz festgelegt sind.

4.1       Der Datenverarbeiter wird:

a)       Personenbezogene Daten nur aufgrund von dokumentierten Anweisungen des Verantwortlichen, wie in dieser Datenverarbeitungsvereinbarung festgelegt und zu den in Anhang A genannten Zwecken, verarbeiten;

b)       seine Tätigkeiten im Rahmen dieser Datenverarbeitungsvereinbarung mit der gebotenen Sachkenntnis, Sorgfalt und Gewissenhaftigkeit ausführen;

c)       an seinem gewöhnlichen Geschäftssitz für jede Verarbeitung der personenbezogenen Daten, die im Rahmen der Datenverarbeitungsdienste durchgeführt wird, und über die Einhaltung der Pflichten, die in dieser Datenverarbeitungsvereinbarung („Aufzeichnungen”) festgelegt sind, Aufzeichnungen führen, wie in Art. 30 der DSGVO beschrieben;
d) sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungsverpflichtung unterliegen;

e)       geeignete technische und organisatorische Maßnahmen treffen, zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder unbeabsichtigtem Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung, einschließlich der Anforderungen an solche Maßnahmen nach dem Datenschutzgesetz, wie in Klausel 6 dargelegt;

f)       Kopien der personenbezogenen Daten nur in dem Umfang anfertigen, der angemessen und notwendig ist, was unter anderem Sicherung, Spiegelung, Sicherheit, Notfall-Wiederherstellung und Überprüfung der personenbezogenen Daten umfassen kann;

g)       nur Unterverträge mit Sub-Datenverarbeitern gemäß den Anforderungen der Klausel 7 eingehen;

h)       den Verantwortlichen unverzüglich benachrichtigen, wenn eine Anweisung nach seiner Auffassung gegen das Datenschutzgesetz verstößt;

i)       den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um der Verpflichtung des Verantwortlichen nachzukommen, Anfragen zur Ausübung der nicht ausschließlichen Rechte des Betroffenen auf Zugang, Berichtigung, Löschung und Übertragbarkeit von Daten, wie sie im Datenschutzgesetz festgelegt sind;

j)       nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder während oder nach Ablauf der Laufzeit dieser Datenverarbeitungsvereinbarung an den Verantwortlichen zurücksenden oder vernichten, vgl. Klausel11;

k)       dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung des Datenschutzgesetzes nachzuweisen, z. B. ein jährliches Audit-Zertifikat von den Buchhaltern des Datenverarbeiters, falls vorhanden;

l)       im Zusammenhang mit Klausel 4.1(k)), sofern rechtlich und technisch möglich, Audits zulassen und dazu beitragen, einschließlich Überprüfungen, die vom Verantwortlichen oder einem anderen, vom Verantwortlichen Beauftragten durchgeführt werden, wie in Klausel 8 dargelegt;

m)       die datenschutzrechtlichen Verpflichtungen, einschließlich der gegebenenfalls erforderlichen Ernennung eines Datenschutzbeauftragten, erfüllen.

4.2       Erhält der Datenverarbeiter Beschwerden, Meldungen oder Mitteilungen, die sich direkt oder indirekt auf die Verarbeitung personenbezogener Daten oder auf die Einhaltung des Datenschutzgesetzes durch eine der Parteien beziehen, so teilt er dies dem Verantwortlichen unverzüglich mit und leistet dem Verantwortlichen bei der Bearbeitung solcher Beschwerden, Meldungen oder Mitteilungen uneingeschränkte Unterstützung.

4.3       Die Haftung des Datenverarbeiters im Rahmen des Vertrages, einschließlich der Datenverarbeitungsvereinbarung, ist begrenzt und wird gemäß den Bestimmungen des Vertrages ausgeschlossen.

4.4       Der Datenverarbeiter informiert den Verantwortlichen unverzüglich, wenn der Datenverarbeiter Kenntnis von Verstößen gegen personenbezogene Daten erlangt.

4.5       Der Datenverarbeiter ist berechtigt, dem Verantwortlichen alle Kosten (einschließlich interner Ressourcen zu den Standardsätzen des Datenverarbeiters), die im Zusammenhang mit der Unterstützung im Sinne der Klausel 4.1(a)-(m) entstehen, gesondert in Rechnung zu stellen.

5.1       Der Verantwortliche ist allein verantwortlich und haftbar für die Einhaltung des anwendbaren Rechts als Verantwortlicher.
Der Verantwortliche wird vor der Nutzung der Software und dem Erhalt der Dienstleistungen gemäß des Vertrages sicherstellen, dass die Verarbeitung personenbezogener Daten in einer Weise erfolgt, welche die Einhaltung aller datenschutzrechtlichen Bestimmungen gewährleistet, z. B. in Bezug auf die Bereitstellung der erforderlichen Informationen/Benachrichtigungen an und/oder Genehmigungen von Betroffenen und/oder Regulierungsbehörden im Zusammenhang mit der Verarbeitung.

5.2       Der Verantwortliche wird den Datenverarbeiter unverzüglich benachrichtigen, wenn er feststellt, dass die Verarbeitung der personenbezogenen Daten des Verantwortlichen gegen das Datenschutzgesetz verstoßen kann.

5.3       Der Verantwortliche garantiert, dass die strikte Befolgung der Anweisungen des Verantwortlichen, in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter, nicht zu einem Verstoß gegen das geltende Datenschutzgesetz führt.

5.4       Der Verantwortliche wird den Datenverarbeiter von jeglichem Schaden freistellen, der dadurch entsteht, dass der Verantwortliche seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

6.1       Der Datenverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein den Risiken angemessenes Maß an Sicherheit zu gewährleisten, die sich aus der Verarbeitung ergeben. Insbesondere durch zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Solches unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der Risiken verschiedener Möglichkeiten und Schwere für die Rechte und Freiheiten natürlicher Personen, einschließlich unter anderem, wie folgt:

a)       die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b)       die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen;

c)       die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;

d)       ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen, zur Gewährleistung der Sicherheit der Verarbeitung.

6.2       Der Datenverarbeiter trifft Vorkehrungen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des Datenverarbeiters handelt und Zugang zu den personenbezogenen Daten hat, die personenbezogenen Daten nur auf Anweisung des Verantwortlichen verarbeitet, es sei denn, er ist nach dem Datenschutzgesetz dazu verpflichtet.

6.3       Die spezifischen technischen und organisatorischen Sicherheitsmaßnahmen des Datenverarbeiters sind in Anhang B (Sicherheitsmaßnahmen) aufgeführt.

7.1       Der Verantwortliche bevollmächtigt hiermit den Datenverarbeiter, Sub-Datenverarbeiter zu beauftragen, einschließlich, jedoch nicht beschränkt auf die Sub-Datenverarbeiter gemäß Anhang A, welche die Verarbeitung personenbezogener Daten durchführen. Vorausgesetzt, dass der Datenverarbeiter mit jedem Sub-Datenverarbeiter eine schriftliche Vereinbarung abschließt, die dem Sub-Datenverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenverarbeiter im Rahmen dieser Datenverarbeitungsvereinbarung obliegen. Der Verantwortliche ist jederzeit berechtigt, nach angemessener schriftlicher Vorankündigung, eine Kopie der Datenverarbeitungsvereinbarung des Datenverarbeiters mit jedem Sub-Datenverarbeiter zu erhalten.

7.2       Der Datenverarbeiter wird den Verantwortlichen per E-Mail über jedes beabsichtigte Hinzufügen oder Ersetzen eines Sub-Datenverarbeiters im Voraus informieren, so dass der Verantwortliche/Betroffene die Möglichkeit hat, Widerspruch einzulegen und/oder seine Einwilligung nach Aufklärung zu erteilen, die nicht grundlos verweigert werden darf.
Der Verantwortliche kann nicht ohne einen guten und objektiven Grund Einwände erheben, es sei denn, dies ist gesetzlich vorgeschrieben.

Widerspricht der Verantwortliche einem Hinzufügen oder Ersetzen eines Sub-Datenverarbeiters, sofern der Widerspruch auf einem guten und objektiven Grund beruht, so ist der Datenverarbeiter berechtigt, (i) den Vertrag über die Datenverarbeitung mit sofortiger Wirkung durch schriftliche Mitteilung zu kündigen.

7.3       Wenn ein Sub-Datenverarbeiter seinen Datenschutzverpflichtungen aus der in Klausel 7.1 genannten Datenverarbeitungsvereinbarung nicht nachkommt, bleibt der Datenverarbeiter gegenüber dem Verantwortlichen für die Erfüllung seiner Datenschutzverpflichtungen im Allgemeinen voll haftbar.

8.1       Zum Zwecke der Überprüfung der Einhaltung der Verpflichtungen des Datenverarbeiters, im Rahmen dieser Datenverarbeitungsvereinbarung, hat der Datenverarbeiter dem Verantwortlichen mit angemessener schriftlicher Ankündigung von nicht weniger als dreißig (30) Tagen während der Geschäftszeiten, jedoch ohne Ankündigung im Falle eines begründeten Verdachts einer Verletzung dieser Datenverarbeitungsvereinbarung durch den Datenverarbeiter, die Durchführung eines Audits zu gestatten, einschließlich, aber nicht beschränkt auf:

a)       Zugang zu den Aufzeichnungen und anderen Informationen, die sich in den Räumlichkeiten des Datenverarbeiters oder auf dem mit den Datenverarbeitungsdiensten verbundenen Verarbeitungssystem befinden, zu prüfen und Kopien davon zu machen sowie

b)       Zugang zur Überprüfung des Systems des Datenverarbeiters.

8.2       Die schriftliche Mitteilung muss einen Vorschlag zum Auditplan enthalten. Wenn ein Teil des angeforderten Auditumfangs innerhalb der letzten 12 Monate durch den Umfang eines Prüfungsberichts eines qualifizierten externen Prüfers abgedeckt ist, kann der Datenverarbeiter den Verantwortlichen auffordern zu prüfen, ob er sich auf diesen Bericht statt auf ein Audit verlassen kann. Der Datenverarbeiter ist berechtigt, das Datum sowie die Uhrzeit des Audits vorzuschlagen, um Betriebsstörungen zu minimieren und kann vorschlagen, das Audit mit anderen Audits des Verantwortlichen zu kombinieren. Der Verantwortliche kann solche Vorschläge vom Datenverarbeiter nicht ablehnen, es sei denn, er hat einen objektiven Grund dafür.

8.3       Auf Verlangen des Verantwortlichen, gemäß der Klauseln 8.1 und 8.2, ist der Verantwortliche (oder eine Kontrollstelle, die sich aus unabhängigen Mitgliedern zusammensetzt und im Besitz der erforderlichen beruflichen Qualifikationen ist, die an eine vom Verantwortlichen oder der Regulierungsbehörde auferlegten Schweigepflicht gebunden sind) berechtigt, Prüfungen der Einrichtungen und Sicherheitspraktiken des Datenverarbeiters durchzuführen, die unmittelbar mit der Verarbeitung personenbezogener Daten im Rahmen des Vertrages in Zusammenhang stehen, um die Einhaltung dieser Datenverarbeitungsvereinbarung zu überwachen. Außer im Falle eines begründeten Verdachts auf einen Verstoß gegen diese Datenverarbeitungsvereinbarung oder auf eine andere gesetzlich zulässige Weise, ist diese Prüfung auf eine Prüfung pro 12 Monate beschränkt.

8.4       Der Verantwortliche trägt alle Kosten im Zusammenhang mit Audits und der Datenverarbeiter ist berechtigt, dem Verantwortlichen alle Kosten (einschließlich interner Ressourcen zu den Standardsätzen des Datenverarbeiters), die dem Datenverarbeiter im Zusammenhang mit seiner Unterstützung bei solchen Audits entstehen, gesondert in Rechnung zu stellen.

8.5       Alle Audits werden in Übereinstimmung mit den internen Richtlinien des Datenverarbeiters durchgeführt und alle Teilnehmer unterliegen angemessenen schriftlichen Geheimhaltungsverpflichtungen. Soweit nach geltendem Recht zulässig, hat der Verantwortliche dem Datenverarbeiter eine Kopie des Prüfberichts zu übergeben und der Datenverarbeiter ist berechtigt, diesen Bericht in Verbindung mit anderen Prüfern unentgeltlich zu verwenden.

8.6       Der Verantwortliche darf die während einer Prüfung erhaltenen Informationen, einschließlich der Prüfungsberichte, nur zum Zwecke der Erfüllung seiner datenschutzrechtlichen Prüfungspflichten verwenden. Zur Vermeidung von Zweifeln ist es dem Verantwortlichen nicht gestattet, Teile des Prüfberichts, ohne vorherige schriftliche Zustimmung des Datenverarbeiters, der Öffentlichkeit zugänglich zu machen, es sei denn, dieses ist gesetzlich vorgeschrieben.

8.7       Der Datenverarbeiter leistet während der Laufzeit dieser Datenverarbeitungsvereinbarung jede erforderliche Unterstützung bei der Durchführung solcher Prüfungen (wie in Klausel 11 festgelegt).

8.8       Der Verantwortliche oder seine Vertreter in Form von Dritten im Sinne der Klausel 8.3, dürfen Audits mit den Sub-Datenverarbeitern des Datenverarbeiters durchführen, soweit dies nach Maßgabe der Bedingungen in der jeweils gültigen und anwendbaren Fassung der Geschäftsbedingungen des Sub-Datenverarbeiters möglich ist.

9.1       Der Datenverarbeiter darf die personenbezogenen Daten nur in Ländern außerhalb des EWR verarbeiten, wenn er vom Verantwortlichen dokumentierte Anweisungen gemäß Anhang A erhält.

9.2       Wenn der Datenverarbeiter die Absicht hat, personenbezogene Daten in einem anderen Drittstaat zu verarbeiten, wird er den Verantwortlichen im Voraus über die beabsichtigte Übermittlung informieren, damit dieser die Möglichkeit hat, einer solchen Verarbeitung zu widersprechen.

10.1       Der Datenverarbeiter erkennt an, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen zur Vertraulichkeit verpflichtet sind, einschließlich aller Informationen, die sich auf den Vertrag und die Geschäfte der Parteien beziehen.

10.2       Die Verschwiegenheitsklauseln behalten auch nach Beendigung dieser Datenverarbeitungsvereinbarung ihre Gültigkeit.

11.1       Diese Datenverarbeitungsvereinbarung tritt mit dem im Vertrag festgelegten Wirksamkeitsdatum oder mit dem Datum der Unterschrift des Verantwortlichen auf der Unterschriftenseite in Kraft, je nachdem, welcher Zeitpunkt der frühere ist, und bleibt während der im Vertrag festgelegten Laufzeit in Kraft.

11.2       Mit Beendigung des Vertrages endet auch diese Datenverarbeitungsvereinbarung.

11.3       Ungeachtet der vorstehenden Klausel 11.2, erlischt diese Datenverarbeitungsvereinbarung erst dann, wenn der Verantwortliche die in Klausel 11.6 (b) beschriebene Dokumentation über die Löschung erhalten und akzeptiert hat. Es sei denn, der Verantwortliche erteilt anderweitig seine ausdrückliche Zustimmung.

11.4       Jede Bestimmung dieser Datenverarbeitungsvereinbarung, die ausdrücklich oder stillschweigend dazu dient, in Kraft zu treten, in Kraft zu bleiben, während oder nach Beendigung dieser Datenverarbeitungsvereinbarung, bleibt in vollem Umfang in Kraft und wirksam.

11.5       Die Kündigung dieser Datenverarbeitungsvereinbarung aus irgendeinem Grund hat keine Auswirkungen auf die bei der Kündigung bestehenden Rechte, Rechtsmittel, Verpflichtungen oder Verbindlichkeiten der Parteien.

11.6       Bei jeder Kündigung dieser Datenverarbeitungsvereinbarung aus irgendeinem Grund:

a)       wird der Datenverarbeiter alle personenbezogenen Daten und alle Informationen und sonstigen Materialien, die ihm von oder im Namen des Verantwortlichen im Zusammenhang mit dieser Datenverarbeitungsvereinbarung zur Verfügung gestellt werden, so bald wie möglich zurückgeben oder vernichten (wie vom Verantwortlichen schriftlich angeordnet);

b)       wenn der Verantwortliche sich für die Vernichtung und nicht für die Rückgabe der Materialien, gemäß Abschnitt 11.6 (a)) entscheidet, muss der Datenverarbeiter so bald wie möglich sicherstellen, dass diese vernichtet werden und dass alle personenbezogenen Daten aus der Software und dem Planday-System gelöscht werden.
Ungeachtet dessen darf die Vernichtung erst erfolgen, wenn der Datenverarbeiter den Verantwortlichen über die beabsichtigte Methode informiert hat und die Bestätigung des Verantwortlichen erhalten hat, dass die Vernichtung gemäß dieser Methode erfolgen soll. Sollte der Verantwortliche die beabsichtigte Zerstörungsmethode nicht ausreichend wirksam finden, wird er den Datenverarbeiter darüber informieren, welche Methode als ausreichend wirksam angesehen wird.

11.7       Der Datenverarbeiter hat die Einhaltung von Klausel 11 (a)) spätestens 14 Tage nach Beendigung dieses Datenverarbeitungsvertrages schriftlich zu bestätigen.

12.1       Bei Änderungen des zwingenden Datenschutzgesetzes ist der Datenverarbeiter berechtigt, diese Datenverarbeitungsvereinbarung entsprechend zu ändern.

13.1       Diese Datenverarbeitungsvereinbarung unterliegt dänischem Recht und wird dementsprechend ausgelegt. Die Kollisionsnormen müssen jedoch insoweit außer Acht gelassen werden, als sie nicht zwingend sind.

13.2       Alle Streitfälle, die sich aus dieser Datenverarbeitungsvereinbarung ergeben, einschließlich aller Streitfälle über das Bestehen oder die Gültigkeit dieser Datenverarbeitungsvereinbarung, werden bei dänischen Gerichten anhängig gemacht.

Anhang A zur Datenverarbeitungsvereinbarung

Im Zusammenhang mit der Bereitstellung von Diensten des Datenverarbeiters und dem Hosting der personenbezogenen Daten im Auftrag des Verantwortlichen, erteilt der Verantwortliche dem Datenverarbeiter die Anweisung und die Zustimmung zur Verarbeitung der folgenden personenbezogenen Daten zu den nachfolgend genannten Zwecken:

1. Allgemeine Beschreibung und Zweck der Verarbeitungsvorgänge
Verarbeitungsvorgänge

Der Datenverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen zum Zwecke der Erbringung von Personaleinsatzplanungsdienstleistungen.

2. Kategorien von Betroffenen
Die Kategorien der Betroffenen können von Zeit zu Zeit angepasst werden, soweit die Verarbeitung personenbezogener Daten und deren Zwecke weiterhin unter die allgemeine Beschreibung fallen.

(i) Mitarbeiter
(ii) Potenzielle Mitarbeiter
(iii) Ehemalige Mitarbeiter

3. Arten von personenbezogenen Daten
Beschreibung der Arten von personenbezogenen Daten für jede Kategorie von Betroffenen

Vollständiger Name & Initialen, Adresse, E-Mail-Adresse, Telefonnummer, Geschlecht, Steuernummer, Bankverbindung, Geburtsdatum, direkter Verwandter oder nächster Verwandter mit vollständigem Namen & Telefonnummer, Lohn- und Gehaltsabrechnungsdaten, Foto, Mitarbeiter-Vertragsdaten, Gehaltsabrechnungsdaten des Mitarbeiters, Daten, die vom Kunden in benutzerdefinierte Felder eingegeben wurden, die sensible persönliche Daten einschließlich medizinischer Daten enthalten können.

4. Wer hat beim Datenverarbeiter Zugriff auf personenbezogene Daten?
Nur Personen, die mit den Zwecken beschäftigt sind, für die die personenbezogenen Daten verarbeitet werden, sind berechtigt, auf die personenbezogenen Daten zuzugreifen und diese zu verarbeiten, einschließlich der Mitarbeiter, die sie zur Verfügung stellen:

• Supportleistungen,
• Wartung und Sicherung,
• Betriebssystem/Supportpersonal

5. Welche externen Parteien (außerhalb des Datenverarbeiters) haben Zugang zu allen oder einem Teil der personenbezogenen Daten (Sub-Datenverarbeiter), zu welchem Zweck und an welchem Ort (auch außerhalb des EWR)?

Anhang B zur Datenverarbeitungsvereinbarung

Sicherheitsmaßnahmen
Der Datenverarbeiter wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem:

1. Zutrittskontrolle von Räumlichkeiten und Einrichtungen (physisch)

1.1       Der Datenverarbeiter unterhält wirtschaftlich sinnvolle physische Sicherheitssysteme in allen Rechenzentren und Verwaltungsstandorten des Datenverarbeiters, die zur Verarbeitung personenbezogener Daten verwendet werden;

1.2       Die physische Zugangskontrolle wird für alle Rechenzentren implementiert. Unbefugter Zugriff auf Rechenzentren ist durch Mitarbeiter vor Ort, biometrischen Scan oder Überwachungskameras zu jeder Zeit (24 Stunden am Tag, sieben Tage die Woche) verboten;

1.3       Der Datenverarbeiter wird in den Rechenzentren Verfahren zur Ausgabe von Ausweisen an autorisierte Mitarbeiter und zur Kontrolle des physischen Zugangs zu den von ihm kontrollierten Systemen einhalten;

1.4       In Rechenzentren werden Drehkreuze mit Zutrittskontrolllesern integriert, um den physischen Zutritt an allen Standorten jederzeit zu kontrollieren, indem das Personal vor dem Betreten des Geländes einen Lichtbildausweis vorlegen muss;

1.5       Besucher müssen vor dem Besuch der Standorte des Datenverarbeiters, die zur Verarbeitung personenbezogener Daten verwendet werden, eine Vorabgenehmigung erhalten, sich identifizieren und/oder ein Besucherprotokoll unterzeichnen. Sie müssen zu jeder Zeit auf dem Betriebsgelände begleitet werden.

2. Zugriffskontrolle von Systemen (virtuell)

2.1       Der Datenverarbeiter wird Schutzmaßnahmen gegen unbeabsichtigten oder unbefugten Zugriff, Zerstörung, Verlust oder Änderung der personenbezogenen Daten in seinen Systemen, die zur Verarbeitung personenbezogener Daten verwendet werden, einrichten und aufrechterhalten:

2.1.1       der Zugang wird dem Personal durch dokumentierte Zugriffsanforderungsverfahren gewährt. Die Führungskräfte der Mitarbeiter oder andere verantwortliche Personen müssen den Zugang genehmigen oder bestätigen, bevor er gewährt wird;

2.1.2       Zugriffskontrollen werden auf Betriebssystem-, Datenbank- oder Anwendungsebene aktiviert;

2.1.3       der administrative Zugriff wird eingeschränkt, um Änderungen an Systemen oder Anwendungen zu verhindern;

2.1.4       Benutzern wird ein Einzelkonto zugewiesen und die gemeinsame Nutzung von Konten wird untersagt.

3. Zugriffskontrolle von Geräten und Laptops

3.1       Der Datenverarbeiter wird wirtschaftlich angemessene Sicherheitsmaßnahmen in Bezug auf mobile Geräte und Laptops, die zur Verarbeitung personenbezogener Daten verwendet werden, einführen und aufrechterhalten.

4. Zugriffskontrolle von personenbezogenen Daten

4.1       Der Zugang wird erst nach der Bearbeitung eines genehmigten „Zugangskontrollformulars”, d. h. einer LAN-Logon-ID, einer Anwendungszugangs-ID oder einer ähnlichen Identifikation, gewährt.

4.2       Es werden eindeutige Benutzer-IDs und Passwörter an die Benutzer vergeben.

4.3       Benutzer, die sich einmal authentifiziert haben, werden auf der Grundlage ihres Tätigkeitsbereichs für die Zugriffsebenen autorisiert.

5. Übermittlungs- und Offenlegungskontrolle

5.1       Der Datenverarbeiter wird Maßnahmen ergreifen und aufrechterhalten, um zu verhindern, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports ohne Genehmigung gelesen, kopiert, geändert oder gelöscht werden und um es dem Datenverarbeiter zu ermöglichen, zu überprüfen und festzustellen, an welche Stellen die Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen vorgesehen ist.

5.2       Der Datenverarbeiter unterhält Technologien und Verfahren zur Minimierung des Zugriffs auf unrechtmäßige Datenverarbeitung, einschließlich Technologien zur Verschlüsselung personenbezogener Daten.

6. Eingabekontrolle

6.1       Der Datenverarbeiter führt System- und Datenbankprotokolle für den Zugriff auf alle personenbezogenen Daten unter seiner Kontrolle;

6.2       Alle Systeme des Datenverarbeiters müssen so konfiguriert sein, dass sie eine Ereignisprotokollierung ermöglichen, um eine Systembeeinträchtigung, unberechtigten Zugriff oder eine andere Sicherheitsverletzung zu erkennen. Die Protokolle müssen vor unbefugtem Zugriff oder Veränderung geschützt werden;

6.3       Der Kunde/Datenverarbeiter wird die Eingabekontrollen für seine Systeme beibehalten.

7. Tätigkeitskontrolle

7.1       Der Datenverarbeiter wird Verfahren einführen, um die Zuverlässigkeit seiner Mitarbeiter und aller anderen unter seiner Aufsicht handelnden Personen zu gewährleisten, die mit personenbezogenen Daten in Kontakt kommen oder anderweitig Zugang zu diesen haben und diese verarbeiten können, wie z. B. die Anforderung eines Führungszeugnisses (engl. „VOG”) vor Aufnahme des Arbeitsverhältnisses.

7.2       Der Datenverarbeiter wird Verfahren einführen, um sicherzustellen, dass sein Personal sich seiner Verantwortung im Rahmen der Vereinbarung bewusst ist. Der Datenverarbeiter instruiert und schult alle Personen, denen er Zugang zu den personenbezogenen Daten über die Datenschutzgesetze sowie über alle relevanten Sicherheitsstandards gewährt, und verpflichtet sie schriftlich zur Einhaltung des Datengeheimnisses, der Datenschutzgesetze und anderer relevanter Sicherheitsstandards.

7.3       Der Datenverarbeiter wird den Zugang zu den personenbezogenen Daten des Kunden/Datenverarbeiters aufgrund einer Kündigung, einer Änderung der Arbeitsfunktion, bei Inaktivität oder längerer Abwesenheit des Benutzers unverzüglich widerrufen.

7.4       Der Datenverarbeiter muss über eine Datenschutzrichtlinie und eine Richtlinie zur Aufbewahrung von Dokumenten verfügen, die sein Personal einhalten muss.

8 Störfallmanagement

8.1       Der Datenverarbeiter wird ein Verfahren für das Management von Sicherheitszwischenfällen implementieren und aufrechterhalten, das es dem Datenverarbeiter ermöglicht, den Verantwortlichen innerhalb des erforderlichen Zeitrahmens über jeden Sicherheitsverstoß zu informieren.

8.2       Sollte eine Sicherheitsverletzung (potenziell) personenbezogene Daten betreffen, hat der Datenverarbeiter den Verantwortlichen gemäß Ziffer 4 der Datenverarbeitungsvereinbarung zu benachrichtigen.

8.3       Das Störfallmanagement beinhaltet die regelmäßige Bewertung von wiederkehrenden Problemen, die auf einen Sicherheitsverstoß hindeuten könnten.

8.4       Der Datenverarbeiter sollte ein Verfahren implementieren, um aus den Vorfällen/Angriffen zu lernen und das bestehende Sicherheitsniveau zu verbessern.

9. Verfügbarkeitskontrolle

9.1       Der Datenverarbeiter schützt personenbezogene Daten vor unbeabsichtigter Zerstörung oder Verlust, indem er sicherstellt, dass:

9.1.1       Die Arbeitsplätze durch kommerzielle Antiviren- und Malware-Schutzsoftware geschützt sind, welche regelmäßig aktualisiert werden;

9.1.2       Nach dem Erkennen eines Virus oder einer Malware wird der Datenverarbeiter unverzüglich Maßnahmen ergreifen, um die Verbreitung und Beschädigung durch den Virus oder die Malware zu stoppen und den Virus oder die Malware zu beseitigen.

9.1.3       Server werden durch kommerzielle Firewalls und Intrusion-Prevention-Systeme geschützt.

10. Geschäftskontinuitätsmanagement

10.1       Der Datenverarbeiter wird einen Geschäftskontinuitätsplan einführen und aufrechterhalten.

10.2       Der Datenverarbeiter wird diesen Plan regelmäßig überprüfen.

11. Änderungsmanagement

11.1       Der Datenverarbeiter wird einen Geschäftskontinuitätsplan einführen und aufrechterhalten, der es ihm unter anderem ermöglicht, die Verfügbarkeit und den Zugang zu den personenbezogenen Daten rechtzeitig wiederherzustellen, der zwischen den beteiligten Parteien im Falle eines physischen oder technischen Ereignisses vereinbart wird.

11.2       Im Rahmen des Änderungsmanagement-Verfahrens bewertet der Datenverarbeiter die Auswirkungen auf die Sicherheit und passt die Maßnahmen bei Bedarf an, um das vereinbarte Sicherheitsniveau einzuhalten.

12. Überprüfung der Anweisungen

12.1       Der Datenverarbeiter wird Verfahren einführen und aufrechterhalten, um sicherzustellen, dass personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet werden.

13. Trennungssteuerung

13.1       Der Datenverarbeiter wird Verfahren einführen und aufrechterhalten, um sicherzustellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden, sofern der Datenverarbeiter ausdrücklich über diese unterschiedlichen Zwecke informiert und dazu aufgefordert wurde und unter der Bedingung, dass der Datenverarbeiter seine Zeit und Kosten für die Erfüllung dieser Anforderung in Rechnung stellen kann.

14. Regelmäßige Überprüfung der Sicherheitsmaßnahmen

14.1       Der Datenverarbeiter überprüft, beurteilt und bewertet regelmäßig die Wirksamkeit seiner technischen und organisatorischen Sicherheitsmaßnahmen. Die Ergebnisse und Folgemaßnahmen sollten dem Kunden mitgeteilt werden.