Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO

Präambel

Der Auftraggeber möchte den Auftragnehmer mit den in § 2 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist. Diese Vereinbarung zur Auftragsverarbeitung ersetzt alle bisherigen Vereinbarungen gem. Art. 28 DSGVO oder § 11 BDSG (alt) zu dem genannten Vertragsgegenstand im § 2.

§ 1 Begriffsbestimmungen

In diesem Vertrag verwendete Begriffe, die in Art. 4, 9 und 10 DSGVO definiert werden, sind im Sinne dieser gesetzlichen Definition zu verstehen.

§ 2 Vertragsgegenstand

1. Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Zeiterfassung, Faktura, HR und Cloud-Computing. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedsstaaten, dem er unterliegt, zu einer anderen Verarbeitung verpflichtet ist. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und sofern vorhanden aus der dazugehörigen Leistungsbeschreibung) sowie aus der Anlage 1 zu diesem Vertrag. Dem Auftraggeber obliegt die alleinige Beurteilung der Zulässigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO.
2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden oder auf sonstige Weise in dessen Auftrag verarbeitet werden.
4. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechteergeben.
5. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der europäischen Union oder einem anderen Vertragsstaat des Abkommens über den europäischen Vertragsraum (Beschluss 94/1/EG) statt. Jede Verlagerung von Teilleistungen oder der gesamten Dienstleistung in ein Drittland bedarf der vorherigen Benachrichtigung des Auftraggebers in Schriftform oder dokumentiertem elektronischen Format. Die besonderen Voraussetzungen der Art. 44 ff. DSGVO sind dabei zu beachten.

§ 3 Art der verarbeiteten Daten, Kreis der betroffenen Personen

Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten der ebenfalls in Anlage 1 näher spezifizierten betroffenen Personen.

§ 4 Weisungsrecht

1. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, nutzen oder auf sonstige Weise verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
2. Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in dokumentiertem elektronischem Format durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Die weisungsberechtigten Personen ergeben sich aus Anlage 4. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
3. Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren und für die Dauer ihrer Geltung sowie anschließend für drei weitere volle Kalenderjahre aufzubewahren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin entstehen, bleiben unberührt.
4. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 5 Schutzmaßnahmen des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und gewährleistet, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen getroffen hat. Sofern auch besondere Kategorien personenbezogener Daten verarbeitet werden, trifft der Auftragnehmer zusätzlich die sich aus § 22 Absatz 2 BDSG ergebenden angemessenen und spezifischen Maßnahmen. Der Auftragnehmer legt auf Anforderung des Auftraggebers die näheren Umstände der Festlegung und Umsetzung der Maßnahmen offen. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3. Beim Auftragnehmer ist als betrieblicher Datenschutzbeauftragter oder als Ansprechpartner für den Datenschutz (sofern ein Datenschutzbeauftragter nach Art. 37 Abs. 1 DSGVO nicht bestellt werden muss) bestellt:
   Robert Reiz
   datenschutz@zeit.io
   +49 621 58678317
   
4. Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu nutzen oder auf sonstige Weise zu verarbeiten. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden „Beschäftigte“ genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und über die sich aus diesem Vertrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehren sowie mit der gebotenen Sorgfalt die Einhaltung der vorgenannten Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
5. Die Verarbeitung von Daten, die Gegenstand dieses Vertrags sind, in Privatwohnungen (Tele-bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist gestattet. Die Einhaltung der Schutzmaßnahmen nach § 5 Absätzen 1 und 2 dieses Vertrags sowie der Maßgaben des Art. 32 DSGVO ist auch in diesem Fall sicherzustellen.

§ 6 Informationspflichten des Auftragnehmers

1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder dokumentiertem elektronischen Formatinformieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält soweit möglich folgende Informationen:
   1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
   2. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
   3. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
2. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Person(en), informiert hierüber den Auftraggeber und ersucht diesen um weitere Weisungen.
3. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz1 betroffen sind.
4. Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei der Erfüllung der Pflichten des Auftraggebers nach Art. 33 und 34 DSGVO in angemessener Weise (Art. 28 Abs. 3 S. 2 lit. f DSGVO). Meldungen für den Auftraggeber nach Art. 33 oder 34 DSGVO darf der Auftragnehmer nur nach vorheriger Weisung seitens des Auftraggebers gem. § 4 dieses Vertrags durchführen.
5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenzoder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.
6. Über Änderungen der Sicherheitsmaßnahmen nach § 5 Abs.2 dieses Vertrags hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
7. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten bzw. Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
8. Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, dass alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält.
9. An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber sowie bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

§ 7 Kontrollrechte des Auftraggebers

1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen. Nur wenn diese nicht vorgelegt werden, kann der Auftraggeber die technischen und organisatorischen Maßnahmen des Auftragnehmers nach vorheriger Abstimmung (mindestens 2 Wochen vor dem Kontrolltermin) zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen, die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören und die gesetzlichen Vorschriften beachten.
2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche, schriftliche oder elektronische Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
4. Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 5 Abs.4 auf Verlangen nach.
5. Der Auftraggeber vergütet dem Auftragnehmer den Aufwand, der ihm im Rahmen der Kontrolle entsteht.

§ 8 Einsatz von Subunternehmern

1. Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Anlage 3 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
2. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

§ 9 Anfragen und Rechte betroffener Personen

1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art.12 - 22 sowie 32 und 36 DSGVO.
2. Macht eine betroffene Person Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist die betroffene Person unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

§ 10 Haftung

1. Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Der Auftragnehmer stimmt eine etwaige Erfüllung von Haftungsansprüchen mit dem Auftraggeber ab.
2. Der Auftragnehmer stellt den Auftraggeber auf erstes Anfordern von sämtlichen Ansprüchen frei, die betroffene Personen gegen den Auftraggeber wegen der Verletzung einer dem Auftragnehmer durch die DSGVO auferlegten Pflicht oder der Nichtbeachtung oder Verletzung einer vom Auftraggeber in dieser AV-Vereinbarung oder einer gesondert erteilten Anweisung geltend machen.
3. Die Parteien stellen sich jeweils von der Haftung frei, wenn / soweit eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einer betroffenen Person eingetreten ist, verantwortlich ist. Im Übrigen gilt Art. 82 Absatz 5 DSGVO.
4. Sofern vorstehend nicht anders geregelt, entspricht die Haftung im Rahmen dieses Vertrages der des Hauptvertrages.

§ 11 Außerordentliches Kündigungsrecht

Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO oder sonstige anwendbare Datenschutzvorschriftenvorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer sich den Kontrollrechten des Auftraggebers auf vertragswidrige Weise widersetzt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

§ 12 Beendigung des Hauptvertrags

1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder –auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht –löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
2. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
3. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 13 Schlussbestimmungen

1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
3. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
4. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Mannheim.

Anlagen:

Anlage 1: Beschreibung der betroffenen Personen/ Betroffenengruppen sowie der verarbei- teten Daten

Anlage 2: Technische und organisatorische Maßnahmen des Auftragnehmers

Anlage 3: Genehmigte Subunternehmer

Anlage 4: Weisungsberechtigte Personen

Anlage 1:

1. Betroffene Personen
   Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien von be- troffenen Personen:
   • Festangestellte Mitarbeiter
   • Freiberufler und Dienstleister/Lieferanten
   • Genehmigende Personen
   • Ansprechpartner von Kunden
2. Kategorie der verarbeiteten Daten
   Die verarbeiteten personenbezogenen Daten gehören zu folgenden Datenkategorien:
   • Name (Vorname, Nachname, Geschlecht)
   • Adresse (Straße, PLZ, Stadt, Land, Bundesland)
   • Logindaten (E-Mail, Passwort)
   • I18N (Sprache, Zeitzone, Datumsformat)
   • Bankdaten (Bank, IBAN, BIC, Routing Number, etc.)
   Die verarbeiteten personenbezogenen Daten gehören zu folgenden besonderen Kategorien personenbezogener Daten:
   • Gesundheitsdaten (Krankmeldungen von festangestellten Mitarbeitern)
   • Bild (Profilbilder, Avatare)
3. Dauer der Verarbeitung
   Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.
4. Umfang, Art und Zweck der Verarbeitung
   Gemäß der Hauptvereinbarung bietet die REIZ Solutions GmbH mit ZEIT.IO einen Service an für die Verwaltung von Experten. Zu den Hauptfunktionen gehören die Zeiterfassung und das Abrechnungsmodul. Wie in den allgemeinen Datenschutzerklärungen erläutert, werden nur solche personenbezogenen Daten abgefragt, die absolut unerlässlich sind für die Vertragsgestaltung zwischen Auftraggeber und Auftragnehmer, sowie für die Faktura-Prozesse und Kundenbetreuung.

Anlage 2: Technisch-organisatorische Maßnahmen

1. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

• Zugangs-Management: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert
• Sicherheitsschlösser an den Eingangstüren
• Schlüsselregelung (Schlüsselausgabe etc.)
• Sorgfältige Auswahl von Reinigungspersonal (Verpflichtung auf das Datengeheimnis)

Die REIZ Solutions GmbH besitzt und betreibt kein eigenes Rechenzentrum. Um ZEIT.IO betreiben zu können, werden Computing-Ressourcen von AWS Deutschland gemietet. Hierbei kommen ausschließlich gemangte Services von AWS Frankfurt zum Einsatz. AWS stellt die Sicherheit und Verfügbarkeit der Services sicher.

2. Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Unter Zugang versteht man dabei, dass die Person Daten einsehen oder auf das System einwirken kann.

• System und Datenzugang sind eingeschränkt auf autorisierte Benutzer
• Nutzung von AWS IAM (Identity and Access Management)
• Alle Zugänge sind durch Benutzername und Passwort geschützt
• Produktiv-Daten sind zusätzlich durch 2FA geschützt
• Alle Logins/Logoffs werden protokolliert
• Die Festplatten von Firmenlaptops sind verschlüsselt
• Verschlüsselung von Smartphone-Inhalten

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Cloud-Infrastruktur ist eingeschränkt auf autorisierte Benutzer
• Benutzer müssen sich mit Benutzername, Passwort und 2FA identifizieren
• Anzahl der Administratoren auf das Notwendigste reduziert
• Verwaltung der Rechte durch Systemadministratoren
• Protokollierung von Zugriffen auf Anwendung, insbesondere bei der Eingabe, Ände- rung und Löschung von Daten
• Einsatz von Aktenvernichtern der Stufe 3

4. Datenträgerkontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können.

• Einsatz von Aktenvernichtern der Stufe 3 (Crosscut/Konfettischnitt)
• Minimale Anzahl von Administratoren
• Gesicherte Lagerung von Backup- und sonstigen Datenträgern
• Protokollierung von Zugriffen
• Verschlüsselung von Firmenlaptops und Smartphones

5. Speicherkontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten nicht unbefugt eingegeben werden können, Fremden zur Kenntnis gelangen können und vor Veränderung und Löschung geschützt sind.

• Verwendung von redundanten Systemen
• Benutzer müssen sich mit Benutzername und Passwort identifizieren

6. Benutzerkontrolle

Maßnahmen, die gewährleisten, dass automatisierte Verarbeitungssysteme nicht mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte genutzt werden können.

• Trennung von Produktiv und Testumgebung
• Mandantenfähigkeit der Anwendung
• Datensätze können mit Zweckattributen versehen werden (z. B. Sperrkennzeichen, Löschkennzeichen)
• Physikalische Trennung von Systemen/Datenbanken und Datenträgern
• Einsatz einer Firewall

7. Übertragungs- / Transportkontrolle / Verschlüsselung

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Die Verschlüsselung ist auch eine Maßnahme zur Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle und Zugriffskontrolle.

• Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
• Verschlüsselung von Notebooks, Smartphones

8. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
• Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind

9. Zuverlässigkeit / Verfügbarkeitskontrolle und Wiederherstellbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, sowie die Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, Fehlfunktionen gemeldet werden und im Störungsfall wiederhergestellt werden können.

• Tägliche Backups der Daten
• Nutzung von Monitoring-Tools die SMS-Alarm auslösen, wenn ein Service down ist

Die REIZ Solutions GmbH besitzt und betreibt kein eigenes Rechenzentrum. Um ZEIT.IO betreiben zu können, werden Computing-Ressourcen von AWS Deutschland gemietet. Hierbei kommen ausschließlich gemangte Services von AWS Frankfurt zum Einsatz. Die SLAs von ZEIT.IO sind dementsprechend die gleichen wie von AWS Frankfurt.

10. Datenintegrität

Maßnahmen, die gewährleisten, dass personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden.

• Durchführung von Plausibilitätsprüfungen in den Softwareprogrammen
• Anti-Viren-Software auf den Cients
• Anti-Viren-Software auf mobilen Geräten

11. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
• Schriftliche Weisungen an den Auftragnehmer (z. B. durch Auftragsdatenverarbeitungsvertrag) i. S. d. Art. 28 DSGVO
• Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
• Vertragsstrafen bei Verstößen
• Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
• Verwendung von NDAs

12. Trennbarkeit

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Logische Mandantentrennung (Software-seitig)
• Versehen der Datensätze mit Zweckattributen/Datenfeldern
• Trennung von Produktiv- und Testsystem
• Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System

13. Evaluierung / Überwachung / Organisationskontrolle

Maßnahmen, die zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung dienen.

• Dokumentation der Datenschutzprozesse
• Allgemeine IT-Sicherheits- und Datenschutzrichtlinie vorhanden
• Bestellung eines externen Datenschutzbeauftragten
• Regelmäßige Überprüfung durch die dacuro GmbH

Anlage 3: Genehmigte Subunternehmer

Folgende Subunternehmer gelten mit Abschluss dieses Vertrages als genehmigt:

Anlage 4: Weisungsgeber/ -empfänger

Für den Auftraggeber: