Vereinbarung Auftragsverarbeitung iStaySafe

Diese Vereinbarung Auftragsverarbeitung regelt die Datenverarbeitung im Auftrag des Gastgebers (nachfolgend „Auftraggeber“) durch die Stoked Digital Solution UG (nachfolgend „Auftragnehmer“). Bei Registrierung für die Nutzung von iStaySafe wird diese Vereinbarung Auftragsverarbeitung Bestandteil des Vertrages über die Nutzung von iStaySafe als Gastgeber.

1.          Allgemeines

1.1       Der Auftragnehmer stellt dem Auftraggeber die iStaySafe-Plattform zum Erfassen von Gästedaten zur Verfügung. Der Auftragnehmer verarbeitet die Daten der Gäste zu ihrem jeweiligen Aufenthalt beim Auftraggeber als Auftragsverarbeiter im Auftrag des Auftraggebers.

1.1       Diese Vereinbarung Auftragsverarbeitung („AVV“) konkretisiert die Verpflichtungen beider Parteien zur Einhaltung des anwendbaren Datenschutzrechts, insbesondere der Anforderungen der EU Datenschutz-Grundverordnung („DSGVO“).

2.          Anwendungsbereich

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in der Datenschutzerklärung auf der Webseite von iStaySafe und in Anlage 1 definiert. Die Laufzeit dieser AVV entspricht der Dauer der Nutzung von iStaySafe durch den Auftraggeber.

3.          Weisungsgebundenheit

3.1       Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform zu bestätigen.

3.2       Falls der Auftragnehmer verpflichtet ist, personenbezogene Daten nach dem Recht der Union oder des Mitgliedstaates, dem der Auftragnehmer unterliegt, zu verarbeiten, wird der Auftragnehmer den Auftraggeber hierüber vor der jeweiligen Verarbeitung schriftlich informieren, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. Im letztgenannten Fall wird der Auftragnehmer den Verantwortlichen unverzüglich informieren, sobald ihm dies rechtlich möglich ist.

3.3       Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

4           Technische und organisatorische Maßnahmen

4.1       Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

4.2       Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist in Anlage 2 dokumentiert. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftraggeber kann jederzeit eine aktuelle Übersicht der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

5           Betroffenenrechte

5.1       Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO (insb. Auskunft, Berichtigung, Sperrung oder Löschung). Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.

5.2       Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

6           Sonstige Pflichten des Auftragnehmers

6.1       Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.

6.2       Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie erforderlichenfalls bei Durchführung einer Datenschutzfolgenabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind dem Auftraggeber auf Anforderung unverzüglich zur Verfügung zu stellen.

6.3       Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

6.4       Die beim Auftragnehmer zur Verarbeitung eingesetzten Personen haben sich schriftlich zur Vertraulichkeit verpflichtet, wurden mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht und werden hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht.

6.5       Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen.

6.6       Der Auftraggeber kann sich bei Fragen zum Datenschutz bei der Auftragnehmerin jederzeit an den Datenschutzbeauftragten des Auftragnehmers wenden.

Datenschutzbeauftragter des Auftragnehmers ist Rechtsanwalt Christian Schmoll, Tel. +49 89 4622 7322, E-Mail schmoll@dp.institute.

7           Rechte und Pflichten des Auftraggebers

7.1       Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

7.2       Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer, soweit erforderlich und möglich, Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.

8           Unterauftragnehmer

8.1       Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers zulässig.

8.2       Der Auftraggeber stimmt der Beauftragung von Unterauftragnehmern gemäß der Übersicht Unterauftragsverarbeiter, anbei als Anlage 3, zu. In der Übersicht Unterauftragsverarbeiter ist auch der Prozess für zukünftige Änderungen der Unterauftragsverarbeiter definiert.

8.3       Der Auftragnehmer hat die Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass diese die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten können. Der Auftragnehmer hat insbesondere zu kontrollieren, dass sämtliche Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben.

8.4       Nicht als Unterauftragsverhältnisse im Sinne diese AVV sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen und Bewachungsdienste.

8.5       Die Beauftragung von Unterauftragsverarbeitern lässt die vertraglichen und datenschutzrechtlichen Verpflichtungen des Auftragnehmers gegenüber dem Auftraggeber unberührt. Der Auftragnehmer haftet für eventuelle Schlechtleistungen eines Unterauftragsverarbeiters wie für eigenes Verschulden.

9           Datenübermittlung in Drittländer

Die Auftragsverarbeitung kann auch in Drittländern stattfinden. Die Übermittlung personenbezogener Daten an ein Drittland durch den Auftragnehmer erfolgt dabei auf Basis eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO und/oder auf Basis geeigneter Garantien gem. Art. 46 DSGVO (z.B. den von der Kommission erlassenen Allgemeinen Standardvertragsklauseln, die zwischen Auftragnehmer und Unterauftragnehmern in Drittländern abgeschlossen wurden).

10         Löschung und Rückgabe von personenbezogenen Daten

10.1    Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

10.2    Nach Beendigung der Leistungsvereinbarung oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen.

10.3    Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

11         Schlussbestimmungen

11.1    Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

11.2    Für Nebenabreden ist die Schriftform erforderlich. Sollten einzelne Teile dieser AVV unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen der AVV nicht.

 


 

Anlage 1: Beschreibung der Auftragsverarbeitung

Verantwortlicher

Vernatwortlicher ist der jeweilige Gastgeber, der iStaySafe zur Erfassung der Gästedaten nutzt.

Auftragsverarbeiter

Stoked Digital Solution UG, Hedwigstrasse 5, 80636 München

Betroffene Personen

Die im Auftrag verarbeiteten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

        Aufenthaltsdaten der Gäste des Gastgebers, die bei diesem über iStaySafe einchecken

Gegenstand der Verarbeitung und Kategorien von Daten

Die im Auftrag verarbeiteten personenbezogenen Daten gehören zu folgenden Datenkategorien:

        Aufenthaltsdaten

Die Daten der einzelnen Aufenthalte (Gastgeber, Zeitpunkt des Eincheckens, gegebenenfalls Anzahl der Begleitpersonen und Tischnummer) werden vom Auftragnehmer im Auftrag des jeweiligen Gastgebers gespeichert. Bei einem Aufenthalt wird lediglich der Zeitpunkt des Eincheckens gespeichert und der Gast wird automatisch nach zwei Stunden ausgecheckt.

Der Auftraggeber ist verantwortlich dafür, die für ihn jeweils erforderlichen Datenkategorien festzulegen und gegebenenfalls zu kontrollieren, dass die Gäste die jeweils erforderlichen Kategorien auch angegeben haben. Durch iStaySafe wird zwingend lediglich die Mobilfunknummer erhoben und durch eine Check-SMS verifiziert, um eine sichere Kontaktmöglichkeit gewährleisten zu können. So darüberhinausgehende Datenkategorien, zum Beispiel auf Basis der Hygieneanforderungen des jeweiligen Landes, erforderlich sind, so muss der Gastgeber diese im Rahmen der Einrichtung von iStaySafe definieren und beim jeweiligen Gast abfragen.

        Datenweitergabe im Falle einer Infektion

Wenn bei einem Gast eine Infektion mit dem COVID-19-Virus festgestellt werden sollte und wenn dieser Gast seinen Aufenthalt bei dem jeweiligen Gastgeber gegenüber der zuständigen Behörde angibt, wird die Behörde den jeweiligen Gastgeber kontaktieren und zur Übermittlung der sonstigen im jeweiligen Zeitraum bei dem jeweiligen Gastgeber registrierten Gäste auffordern. iStaySafe wird dem Gastgeber diese Daten dann zur Verfügung stellen bzw. diese auf Weisung des Gastgebers direkt an die zuständige Behörde übermitteln. Die zuständige Behörde wird die betroffenen Gäste dann kontaktieren und über den potentiellen Kontakt mit einem Infizierten informieren und zur Durchführung eines Tests auf eine Infektion mit dem COVID-19-Virus auffordern.

Besondere Datenkategorien

Die im Auftrag verarbeiteten personenbezogenen Daten umfassen regelmäßig keine besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten). Die Gäste werden nicht nach Krankheitssymptomen oder ähnlichen Daten befragt. Es wird lediglich der Aufenthalt gespeichert und verarbeitet. Nur in dem Fall, in dem die zuständige Behörde den Gastgeber kontaktiert und über eine Infektion informiert, wird die Tatsache, dass der jeweilige Gast infiziert ist, verarbeitet, um die anderen Gäste zu identifizieren, die sich gleichzeitig mit dem infizierten Gast beim Auftraggeber aufhielten. Die Information zur Infektion wird jedoch ausschließlich für diese Identifikation genutzt und nicht zu dem Profil des jeweiligen Gastes gespeichert.

 

Anlage 2: Technische und organisatorische Maßnahmen

Beim Auftragnehmer sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden:

1.      VERTRAULICHKEIT

1.1  Zutrittskontrolle

Hosting der App bei der Hetzner GmbH, die Zutrittskontrollmaßnahmen werden unter https://www.hetzner.com/AV/TOM.pdf ausführlich beschrieben.

Die Büroräume des Auftragnehmers Stoked Digital Solution UG befinden sich in einem Bürohaus in München. Die Zugänge zum Bürohaus und auch zu den Büroräumen der Stoked Digital Solution UG. sind Tag und Nacht verschlossen. Zugang zu dem Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Es kommt ein Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils ausgehändigten Schlüssel selbst zu verwalten und zu entziehen.

1.2  Zugangskontrolle

Für die Zugangskontrolle sind nachfolgende Maßnahmen von Stoked Digital Solution UG getroffen worden:

Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde.

Der Benutzer erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.

Passwörter werden alle 90 Tage gewechselt.

Remote-Zugriffe auf IT-Systeme der Stoked Digital Solution UG erfolgen stets über verschlüsselte Verbindungen.

Auf den Servern der Stoked Digital Solution UG ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist.

Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.

Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.

Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

Passwörter werden grundsätzlich verschlüsselt gespeichert.

1.3  Zugriffskontrolle

Berechtigungen für IT-Systeme und Applikationen der Stoked Digital Solution UG werden ausschließlich von Administratoren eingerichtet.

Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.

Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.

Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.

Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

1.4  Trennung

Alle von Stoked Digital Solution UG für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.

1.5  Pseudonymisierung & Verschlüsselung

Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.

Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.

2.      INTEGRITÄT

2.1  Eingabekontrolle

Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von Stoked Digital Solution UG im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.

Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

2.2  Weitergabekontrolle

Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von Stoked Digital Solution UG erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.

Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.

Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.

Die Nutzung von privaten Datenträgern ist den Beschäftigten bei Stoked Digital Solution UG im Zusammenhang mit Kundenprojekten untersagt.

Mitarbeiter bei Stoked Digital Solution UG werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

3.      VERFÜGBARKEIT UND BELASTBARKEIT

Daten auf Serversystemen von Stoked Digital Solution UG werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.

Das Einspielen von Backups wird regelmäßig getestet.

Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.

Es gibt bei Stoked Digital Solution UG einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

4.      AUFTRAGSKONTROLLE

Die Datenhaltung erfolgt ausschließlich in der Europäischen Union. Eine Übermittlung in Drittländer erfolgt lediglich im Rahmen der Nutzung der in Anlage 3 genannten Unterauftragsverarbeiter.

Bei der Stoked Digital Solution UG ist ein betrieblicher Datenschutzbeauftragter benannt.

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend der Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführtem Audit abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

5.      PRIVACY BY DESIGN UND PRIVACY BY DEFAULT

Bei der Stoked Digital Solution UG wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.

Die Software der Stoked Digital Solution UG unterstützt sowohl die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht. Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.

6.      VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG

Bei der Stoked Digital Solution UG ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.

Es ist Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.

Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.

Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.

Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.

 


 

Anlage 3: Übersicht Unterauftragsverarbeiter

Der Auftragnehmer setzt bei der Erbringung der Leisteungen aus dem Hauptvertrag folgende Unterauftragsverarbeiter ein:

Unterauftragsverarbeiter

Leistungen des Unterauftragsverarbeiter

Ort der DV

Geeignete Garantien

Hetzner Online GmbH, Deutschland

Bereitstellung Server und Netzwerkinfrastruktur

Deutschland

 

Twilio Inc., USA

SMS Provider

USA

Standardvertragsklauseln C2P („SCC“)

Google Ireland Limited, Irland

 

ReCaptcha

EU, USA

SSC

Der Auftragnehmer kann die Beauftragung einzelner Unterauftragsverarbeiter beenden oder zusätzliche Unterauftragsverarbeiter beauftragen. Der Auftragnehmer wird den Auftraggeber bei der Beauftragung zusätzlicher Unterauftragsverarbeiter auf elektronischem Wege mindestens 30 Tage vor Einsatz des zusätzlichen Unterauftragsverarbeiters über dessen geplanten Einsatz informieren. Ausgenommen hiervon sind Notfallersetzungen wie weiter unten definiert. Sollte der Auftraggeber einen wesentlichen Grund haben, dem Einsatz eines Unterauftragsverarbeiters zu widersprechen, wird der Auftraggeber dies dem Auftragnehmer spätestens 15 Tage nach der Information über den geplanten Einsatz des Unterauftragsverarbeiters schriftlich und unter Nennung des wesentlichen Grundes mitteilen. Sollte der Auftraggeber innerhalb dieser Zeitspanne nicht widersprechen, so wird der Einsatz des zusätzlichen Unterauftragsverarbeiters als vom Auftraggeber genehmigt angesehen.

Sollte der Auftraggeber widersprechen, kann der Auftragnehmer den Widerspruch wie folgt heilen: (1.) Der Auftragnehmer wird den zusätzlichen Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Auftraggebers nicht einsetzen, oder (2.) der Auftragnehmer wird Maßnahmen ergreifen, um den wesentlichen Grund für den Widerspruch des Auftraggebers auszuräumen, oder (3.) der Auftragnehmer kann die Erbringung des von dem Einsatz des zusätzlichen Unterauftragsverarbeiters betroffenen Aspekts der Leistung gegenüber dem Auftraggeber vorübergehend oder dauerhaft einstellen und dem Auftraggeber die für die Erbringung des Aspekts der Leistung eventuell bereits vorab gezahlte Vergütung zurückerstatten. Sollte keine dieser drei Optionen machbar sein und wurde dem Widerspruch nicht innerhalb von 15 Tagen nach Zugang des Widerspruchs abgeholfen, kann jede Partei den Vertrag mit angemessener Frist außerordentlich kündigen.

Notfallersetzungen eines Unterauftragsverarbeiters können erforderlich werden, wenn die Erforderlichkeit des sofortigen Einsatzes eines zusätzlichen Unterauftragsverarbeiters außerhalb der Kontrolle des Auftragnehmers liegt, beispielsweise wenn ein Unterauftragsverarbeiter überraschend den Geschäftsbetrieb einstellt oder seine wesentlichen Vertragspflichten gegenüber dem Auftragnehmer verletzt, so dass es dem Auftragnehmer nicht mehr möglich ist/wäre, die gegenüber dem Auftraggeber geschuldete Leistung zu erbringen. In einem solchen Fall wird der Auftragnehmer den Kunden unverzüglich über den zusätzlichen Unterauftragsverarbeiter informieren und der Widerspruchsprozess, wie oben definiert, wird mit der Information des Auftraggebers eingeleitet.