Vereinbarung
Auftragsverarbeitung iStaySafe
Diese Vereinbarung
Auftragsverarbeitung regelt die Datenverarbeitung im Auftrag des Gastgebers
(nachfolgend „Auftraggeber“) durch die Stoked Digital Solution UG (nachfolgend
„Auftragnehmer“). Bei Registrierung für die Nutzung von iStaySafe wird diese
Vereinbarung Auftragsverarbeitung Bestandteil des Vertrages über die Nutzung
von iStaySafe als Gastgeber.
1.1 Der Auftragnehmer stellt dem Auftraggeber die
iStaySafe-Plattform zum Erfassen von Gästedaten zur Verfügung. Der
Auftragnehmer verarbeitet die Daten der Gäste zu ihrem jeweiligen Aufenthalt
beim Auftraggeber als Auftragsverarbeiter im Auftrag des Auftraggebers.
1.1 Diese Vereinbarung Auftragsverarbeitung („AVV“)
konkretisiert die Verpflichtungen beider Parteien zur Einhaltung des
anwendbaren Datenschutzrechts, insbesondere der Anforderungen der EU
Datenschutz-Grundverordnung („DSGVO“).
Der Auftragnehmer verarbeitet
personenbezogene Daten im Auftrag des Auftraggebers. Der Gegenstand der
Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen
Daten und die Kategorien betroffener Personen sind in der Datenschutzerklärung
auf der Webseite von iStaySafe und in Anlage
1 definiert. Die Laufzeit dieser AVV entspricht der Dauer der Nutzung von
iStaySafe durch den Auftraggeber.
3.1 Der Auftragnehmer darf Daten von betroffenen Personen
nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers
verarbeiten. Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform
zu bestätigen.
3.2 Falls der Auftragnehmer verpflichtet ist,
personenbezogene Daten nach dem Recht der Union oder des Mitgliedstaates, dem
der Auftragnehmer unterliegt, zu verarbeiten, wird der Auftragnehmer den
Auftraggeber hierüber vor der jeweiligen Verarbeitung schriftlich informieren,
es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen
des öffentlichen Interesses. Im letztgenannten Fall wird der Auftragnehmer den
Verantwortlichen unverzüglich informieren, sobald ihm dies rechtlich möglich
ist.
3.3 Der Auftragnehmer informiert den Auftraggeber
unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare
Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange
aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
4.1 Der Auftragnehmer verpflichtet sich gegenüber dem
Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen,
die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.
Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
4.2 Der zum Zeitpunkt des Vertragsschlusses bestehende
Stand der technischen und organisatorischen Maßnahmen ist in Anlage 2 dokumentiert. Die Parteien
sind sich darüber einig, dass zur Anpassung an technische und rechtliche
Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen
erforderlich werden können. Eine Änderung der getroffenen Sicherheitsmaßnahmen
bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss,
dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
Der Auftraggeber kann
jederzeit eine aktuelle Übersicht der vom
Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
anfordern.
5.1 Der Auftragnehmer unterstützt den Auftraggeber im
Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche
betroffenen Personen gem. Kapitel III der DSGVO (insb. Auskunft, Berichtigung,
Sperrung oder Löschung). Soweit eine Mitwirkung des Auftragnehmers für die
Wahrung von Betroffenenrechten durch den Auftraggeber erforderlich ist, wird
der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers
treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit
geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen,
seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von
Betroffenenrechten nachzukommen.
5.2 Auskünfte an Dritte oder den Betroffenen darf der
Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.
Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber
weiterleiten.
6.1 Der Auftragnehmer unterrichtet den Auftraggeber
unverzüglich, spätestens innerhalb von 48 Stunden, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
6.2 Im Zusammenhang mit der beauftragten Verarbeitung hat
der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des
Verzeichnisses der Verarbeitungstätigkeiten sowie erforderlichenfalls bei
Durchführung einer Datenschutzfolgenabschätzung zu unterstützen. Alle
erforderlichen Angaben und Dokumentationen sind dem Auftraggeber auf
Anforderung unverzüglich zur Verfügung zu stellen.
6.3 Wird der Auftraggeber durch Aufsichtsbehörden oder
andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der
Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen,
soweit die Verarbeitung im Auftrag betroffen ist.
6.4 Die beim Auftragnehmer zur Verarbeitung eingesetzten
Personen haben sich schriftlich zur Vertraulichkeit verpflichtet, wurden mit
den relevanten Bestimmungen des Datenschutzes vertraut gemacht und werden
hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen
angeleitet und überwacht.
6.5 Der Auftragnehmer wird den Auftraggeber unter
Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden
Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten
Pflichten unterstützen.
6.6 Der Auftraggeber kann sich bei Fragen zum Datenschutz
bei der Auftragnehmerin jederzeit an den Datenschutzbeauftragten des
Auftragnehmers wenden.
Datenschutzbeauftragter des
Auftragnehmers ist Rechtsanwalt Christian Schmoll, Tel. +49 89 4622 7322,
E-Mail schmoll@dp.institute.
7.1 Für die Beurteilung der Zulässigkeit der beauftragten
Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der
Auftraggeber verantwortlich.
7.2 Der Auftraggeber ist berechtigt, die Einhaltung der
Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim
Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere
durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten
Daten und die Datenverarbeitungsprogramme zu kontrollieren. Den mit der
Kontrolle betrauten Personen ist vom Auftragnehmer, soweit erforderlich und
möglich, Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist
verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und
Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines
Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu
dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach
angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie
nicht häufiger als alle 12 Monate statt.
8.1 Die Beauftragung von Unterauftragnehmern durch den
Auftragnehmer ist nur mit Zustimmung des Auftraggebers zulässig.
8.2 Der Auftraggeber stimmt der Beauftragung von
Unterauftragnehmern gemäß der Übersicht Unterauftragsverarbeiter, anbei als Anlage
3, zu. In der Übersicht Unterauftragsverarbeiter ist auch der Prozess für
zukünftige Änderungen der Unterauftragsverarbeiter definiert.
8.3 Der Auftragnehmer hat die Unterauftragnehmer
sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass diese die
zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten
können. Der Auftragnehmer hat insbesondere zu kontrollieren, dass sämtliche
Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und
organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben.
8.4 Nicht als Unterauftragsverhältnisse im Sinne diese AVV
sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine
Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu
gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen
ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber
erbringt, Post- und Kurierdienste, Transportleistungen und Bewachungsdienste.
8.5 Die Beauftragung von Unterauftragsverarbeitern lässt
die vertraglichen und datenschutzrechtlichen Verpflichtungen des Auftragnehmers
gegenüber dem Auftraggeber unberührt. Der Auftragnehmer haftet für eventuelle
Schlechtleistungen eines Unterauftragsverarbeiters wie für eigenes Verschulden.
Die Auftragsverarbeitung kann
auch in Drittländern stattfinden. Die Übermittlung personenbezogener Daten an
ein Drittland durch den Auftragnehmer erfolgt dabei auf Basis eines
Angemessenheitsbeschlusses gem. Art. 45 DSGVO und/oder auf Basis geeigneter
Garantien gem. Art. 46 DSGVO (z.B. den von der Kommission erlassenen
Allgemeinen Standardvertragsklauseln, die zwischen Auftragnehmer und
Unterauftragnehmern in Drittländern abgeschlossen wurden).
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des
Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien,
soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung
erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
10.2 Nach Beendigung der Leistungsvereinbarung oder früher
nach Aufforderung durch den Auftraggeber hat der Auftragnehmer die im Auftrag
verarbeiteten personenbezogenen Daten dem Auftraggeber auszuhändigen oder
datenschutzgerecht zu löschen.
10.3 Dokumentationen, die dem Nachweis der auftrags- und
ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer
entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus
aufzubewahren.
11.1 Sollte das Eigentum des Auftraggebers beim
Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme),
durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden,
so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der
Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten
handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
11.2 Für Nebenabreden ist die Schriftform erforderlich.
Sollten einzelne Teile dieser AVV unwirksam sein, so berührt dies die
Wirksamkeit der übrigen Regelungen der AVV nicht.
Anlage 1: Beschreibung der Auftragsverarbeitung
Verantwortlicher
Vernatwortlicher ist der jeweilige Gastgeber, der iStaySafe zur Erfassung der
Gästedaten nutzt.
Auftragsverarbeiter
Stoked Digital Solution UG, Hedwigstrasse
5, 80636 München
Betroffene Personen
Die im Auftrag verarbeiteten personenbezogenen Daten
betreffen folgende Kategorien betroffener Personen:
●
Aufenthaltsdaten der Gäste des
Gastgebers, die bei diesem über iStaySafe einchecken
Gegenstand der Verarbeitung und Kategorien von Daten
Die im Auftrag verarbeiteten personenbezogenen Daten
gehören zu folgenden Datenkategorien:
●
Aufenthaltsdaten
Die Daten der einzelnen
Aufenthalte (Gastgeber, Zeitpunkt des Eincheckens, gegebenenfalls Anzahl der
Begleitpersonen und Tischnummer) werden vom Auftragnehmer im Auftrag des
jeweiligen Gastgebers gespeichert. Bei einem Aufenthalt wird lediglich der
Zeitpunkt des Eincheckens gespeichert und der Gast wird automatisch nach zwei
Stunden ausgecheckt.
Der Auftraggeber ist verantwortlich
dafür, die für ihn jeweils erforderlichen Datenkategorien festzulegen und
gegebenenfalls zu kontrollieren, dass die Gäste die jeweils erforderlichen
Kategorien auch angegeben haben. Durch iStaySafe wird zwingend lediglich die
Mobilfunknummer erhoben und durch eine Check-SMS verifiziert, um eine sichere
Kontaktmöglichkeit gewährleisten zu können. So darüberhinausgehende
Datenkategorien, zum Beispiel auf Basis der Hygieneanforderungen des jeweiligen
Landes, erforderlich sind, so muss der Gastgeber diese im Rahmen der
Einrichtung von iStaySafe definieren und beim jeweiligen Gast abfragen.
●
Datenweitergabe im Falle einer Infektion
Wenn bei einem Gast eine Infektion mit dem
COVID-19-Virus festgestellt werden sollte und wenn dieser Gast seinen
Aufenthalt bei dem jeweiligen Gastgeber gegenüber der zuständigen Behörde
angibt, wird die Behörde den jeweiligen Gastgeber kontaktieren und zur
Übermittlung der sonstigen im jeweiligen Zeitraum bei dem jeweiligen Gastgeber
registrierten Gäste auffordern. iStaySafe wird dem Gastgeber diese Daten dann
zur Verfügung stellen bzw. diese auf Weisung des Gastgebers direkt an die
zuständige Behörde übermitteln. Die zuständige Behörde wird die betroffenen
Gäste dann kontaktieren und über den potentiellen Kontakt mit einem Infizierten
informieren und zur Durchführung eines Tests auf eine Infektion mit dem
COVID-19-Virus auffordern.
Besondere Datenkategorien
Die im Auftrag verarbeiteten
personenbezogenen Daten umfassen regelmäßig keine besonderen Kategorien
personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten). Die Gäste
werden nicht nach Krankheitssymptomen oder ähnlichen Daten befragt. Es wird
lediglich der Aufenthalt gespeichert und verarbeitet. Nur in dem Fall, in dem
die zuständige Behörde den Gastgeber kontaktiert und über eine Infektion
informiert, wird die Tatsache, dass der jeweilige Gast infiziert ist,
verarbeitet, um die anderen Gäste zu identifizieren, die sich gleichzeitig mit
dem infizierten Gast beim Auftraggeber aufhielten. Die Information zur
Infektion wird jedoch ausschließlich für diese Identifikation genutzt und nicht
zu dem Profil des jeweiligen Gastes gespeichert.
Anlage 2: Technische und organisatorische Maßnahmen
Beim Auftragnehmer sind
nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden:
1.
VERTRAULICHKEIT
1.1 Zutrittskontrolle
Die Büroräume des Auftragnehmers Stoked Digital Solution UG
befinden sich in einem Bürohaus in München. Die Zugänge zum Bürohaus und auch
zu den Büroräumen der Stoked Digital Solution UG. sind Tag und Nacht
verschlossen. Zugang zu dem Bürohaus haben nur der Vermieter und die Mieter der
Büroräume. Es kommt ein Schließsystem zum Einsatz, das vom Vermieter verwaltet
wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils
ausgehändigten Schlüssel selbst zu verwalten und zu entziehen.
1.2 Zugangskontrolle
Für die Zugangskontrolle sind nachfolgende Maßnahmen von Stoked
Digital Solution UG getroffen worden:
Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine
entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende
Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies
von dem jeweiligen Vorgesetzten beantragt wurde.
Der Benutzer erhält dann einen Benutzernamen und ein
Initialpasswort, das bei erster Anmeldung geändert werden muss. Die
Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das
Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
Passwörter werden alle 90 Tage gewechselt.
Remote-Zugriffe auf IT-Systeme der Stoked Digital Solution UG
erfolgen stets über verschlüsselte Verbindungen.
Auf den Servern der Stoked Digital Solution UG ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und
Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle
Versorgung mit Signaturupdates gewährleistet ist.
Alle Server sind durch Firewalls geschützt, die stets gewartet und
mit Updates und Patches versorgt werden.
Der Zugriff von Servern und Clients auf das Internet und der
Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls
gesichert. So ist auch gewährleistet, dass nur die für die jeweilige
Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind
entsprechend gesperrt.
Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn
sie diese verlassen.
Passwörter werden grundsätzlich verschlüsselt gespeichert.
1.3 Zugriffskontrolle
Berechtigungen für IT-Systeme und Applikationen der Stoked Digital
Solution UG werden ausschließlich von Administratoren eingerichtet.
Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es
erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder
Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen
bzw. in der Entwicklung tätig sind.
Voraussetzung ist eine entsprechende Anforderung der Berechtigung
für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der
Personalabteilung gestellt werden.
Es gibt ein rollenbasiertes Berechtigungskonzept mit der
Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das
sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet
und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
Alle Server- und Client-Systeme werden regelmäßig mit
Sicherheits-Updates aktualisiert.
1.4 Trennung
Alle von Stoked Digital Solution UG für Kunden eingesetzten
IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden
ist stets gewährleistet.
1.5 Pseudonymisierung
& Verschlüsselung
Ein administrativer Zugriff auf Serversysteme erfolgt
grundsätzlich über verschlüsselte Verbindungen.
Darüber hinaus werden Daten auf Server- und Clientsystemen auf
verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende
Festplattenverschlüsselungssysteme im Einsatz.
2.
INTEGRITÄT
2.1 Eingabekontrolle
Die Eingabe, Änderung und Löschung von personenbezogenen Daten,
die von Stoked Digital Solution UG im Auftrag verarbeitet werden, wird
grundsätzlich protokolliert.
Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu
arbeiten. Benutzeraccounts dürfen nicht mit anderen
Personen geteilt bzw. gemeinsam genutzt werden.
2.2 Weitergabekontrolle
Eine Weitergabe von personenbezogenen Daten, die im Auftrag von
Kunden von Stoked Digital Solution UG erfolgt, darf jeweils nur in dem Umfang,
wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur
Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im
Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer
Weitergabe von Daten instruiert.
Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
Die Nutzung von privaten Datenträgern ist den Beschäftigten bei Stoked
Digital Solution UG im Zusammenhang mit Kundenprojekten untersagt.
Mitarbeiter bei Stoked Digital Solution UG werden regelmäßig zu
Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen
Umgang mit personenbezogenen Daten verpflichtet worden.
3.
VERFÜGBARKEIT
UND BELASTBARKEIT
Daten auf Serversystemen von Stoked Digital Solution UG werden
mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die
Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort
verbracht.
Das Einspielen von Backups wird regelmäßig getestet.
Die IT-Systeme verfügen über eine unterbrechungsfreie
Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine
CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle
von Störungen unverzüglich Meldungen an einen Administrator auslöst.
Es gibt bei Stoked Digital Solution UG einen Notfallplan, der auch
einen Wiederanlaufplan beinhaltet.
4.
AUFTRAGSKONTROLLE
Die Datenhaltung erfolgt ausschließlich in der Europäischen Union.
Eine Übermittlung in Drittländer erfolgt lediglich im Rahmen der Nutzung der in
Anlage 3 genannten Unterauftragsverarbeiter.
Bei der Stoked Digital Solution UG ist ein betrieblicher
Datenschutzbeauftragter benannt.
Bei der Einbindung von externen Dienstleistern oder Dritten wird
entsprechend der Vorgaben des jeweils anzuwendenden Datenschutzrechts ein
Auftragsverarbeitungsvertrag nach zuvor durchgeführtem Audit abgeschlossen.
Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig
kontrolliert.
5. PRIVACY
BY DESIGN UND PRIVACY BY DEFAULT
Bei der Stoked Digital Solution UG wird schon bei der Entwicklung
der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit
schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind
z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können
Pflichtfelder vorgesehen oder Felder deaktiviert werden.
Die Software der Stoked Digital Solution UG unterstützt sowohl die
Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine
unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen
ermöglicht. Berechtigungen auf Daten oder Applikationen können flexibel und
granular gesetzt werden.
6.
VERFAHREN
ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG
Bei der Stoked Digital Solution UG ist ein Datenschutzmanagement
implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und
Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet
wird.
Es ist Datenschutz- und Informationssicherheits-Team (DST)
eingerichtet, das Maßnahmen im Bereich von Datenschutz
und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit
evaluiert und angepasst.
Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von
allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses
wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im
Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese
unverzüglich über Art und Umfang des Vorfalls informiert werden.
Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des
Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die
Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.
Anlage 3: Übersicht Unterauftragsverarbeiter
Der Auftragnehmer setzt bei der
Erbringung der Leisteungen aus dem Hauptvertrag
folgende Unterauftragsverarbeiter ein:
|
|
Leistungen
des Unterauftragsverarbeiter |
Ort
der DV |
Geeignete
Garantien |
|
Hetzner
Online GmbH, Deutschland |
Bereitstellung
Server und Netzwerkinfrastruktur |
Deutschland |
|
|
Twilio Inc., USA |
SMS Provider |
USA |
Standardvertragsklauseln C2P
(„SCC“) |
|
Google Ireland Limited, Irland |
ReCaptcha |
EU, USA |
SSC |
Der
Auftragnehmer kann die Beauftragung einzelner Unterauftragsverarbeiter beenden
oder zusätzliche Unterauftragsverarbeiter beauftragen. Der Auftragnehmer wird
den Auftraggeber bei der Beauftragung zusätzlicher Unterauftragsverarbeiter auf
elektronischem Wege mindestens 30 Tage vor Einsatz des zusätzlichen
Unterauftragsverarbeiters über dessen geplanten Einsatz informieren.
Ausgenommen hiervon sind Notfallersetzungen wie weiter unten definiert. Sollte
der Auftraggeber einen wesentlichen Grund haben, dem Einsatz eines
Unterauftragsverarbeiters zu widersprechen, wird der Auftraggeber dies dem
Auftragnehmer spätestens 15 Tage nach der Information über den geplanten
Einsatz des Unterauftragsverarbeiters schriftlich und unter Nennung des
wesentlichen Grundes mitteilen. Sollte der Auftraggeber innerhalb dieser
Zeitspanne nicht widersprechen, so wird der Einsatz des zusätzlichen
Unterauftragsverarbeiters als vom Auftraggeber genehmigt angesehen.
Sollte
der Auftraggeber widersprechen, kann der Auftragnehmer den Widerspruch wie
folgt heilen: (1.) Der Auftragnehmer wird den zusätzlichen
Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des
Auftraggebers nicht einsetzen, oder (2.) der Auftragnehmer wird Maßnahmen
ergreifen, um den wesentlichen Grund für den Widerspruch des Auftraggebers
auszuräumen, oder (3.) der Auftragnehmer kann die Erbringung des von dem
Einsatz des zusätzlichen Unterauftragsverarbeiters betroffenen Aspekts der Leistung
gegenüber dem Auftraggeber vorübergehend oder dauerhaft einstellen und dem
Auftraggeber die für die Erbringung des Aspekts der Leistung eventuell bereits
vorab gezahlte Vergütung zurückerstatten. Sollte keine dieser drei Optionen
machbar sein und wurde dem Widerspruch nicht innerhalb von 15 Tagen nach Zugang
des Widerspruchs abgeholfen, kann jede Partei den Vertrag mit angemessener
Frist außerordentlich kündigen.
Notfallersetzungen
eines Unterauftragsverarbeiters können erforderlich werden, wenn die
Erforderlichkeit des sofortigen Einsatzes eines zusätzlichen
Unterauftragsverarbeiters außerhalb der Kontrolle des Auftragnehmers liegt,
beispielsweise wenn ein Unterauftragsverarbeiter überraschend den
Geschäftsbetrieb einstellt oder seine wesentlichen Vertragspflichten gegenüber
dem Auftragnehmer verletzt, so dass es dem Auftragnehmer nicht mehr möglich
ist/wäre, die gegenüber dem Auftraggeber geschuldete Leistung zu erbringen. In
einem solchen Fall wird der Auftragnehmer den Kunden unverzüglich über den
zusätzlichen Unterauftragsverarbeiter informieren und der Widerspruchsprozess,
wie oben definiert, wird mit der Information des Auftraggebers eingeleitet.