Vereinbarung zur Auftragsverarbeitung 

Zwischen

1. Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags

Die Leistungsvereinbarung umfasst die Durchführung folgender Aufgaben durch den Auftragnehmer:

Ausführung von Dialogmarketingmaßnahmen, Mailingproduktion gemäß Bestellung des Auftraggebers im adressdruckshop.

Dauer des Auftrags

Die Laufzeit dieser Vereinbarung zur Auftragsverarbeitung entspricht der Laufzeit der zugrundeliegenden Leistungsvereinbarung (Einzelauftrag) und endet automatisch mit Erfüllung dieser. 

1. Konkretisierung des Auftragsinhalts

Umfang, Art und Zweck der vorgesehenen Datenerhebung, Verarbeitung oder Nutzung 

Art und Zweck:

Der Umfang, die Art und der Zweck der Erhebung, der Verarbeitung und / oder der Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus den Inhalten der Leistungsvereinbarung (Einzelauftrag) / SLA.

Kreis der Betroffenen:

-      Kunden bzw. Interessenten des Auftraggebers

Art/Kategorien betroffener Daten

Von der Auftragsverarbeitung betroffen sind personenbezogene Daten in Form von Kunden- und Adressdaten und/oder Personaldaten und damit in Zusammenhang stehende Informationen.

Weisungen:

Weisungsberechtigte Personen des Auftraggebers ist der/die Besteller/in .

Weisungsempfänger beim Auftragnehmer sind: 

Steffen Wengert, Mike Moritz, Valentin Akdemir

Ort der Verarbeitung

Die Datenerhebung, Verarbeitung und/oder Nutzung der Daten findet ausschließlich im Territorium der Bundesrepublik Deutschland oder der Europäischen Union statt. Über eine Datenerhebung, Verarbeitung und/oder Nutzung in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum informiert der Auftragnehmer den Auftraggeber. Jede Verlagerung in ein anderes Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die hierfür geltenden besonderen gesetzlichen Voraussetzungen erfüllt sind.

1. Technisch-organisatorische Maßnahmen (TOM)

(1) Der Auftragnehmer hat technisch-organisatorische Maßnahmen zur Umsetzung und Sicherung des Auftrags getroffen, bei denen es sich nicht allein um auftragsspezifische Maßnahmen handelt. Die Maßnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs, der Bereitstellung von Daten, Art und Umstände der Verarbeitung, der Datenhaltung sowie Art und Umstände des Datenversands, ergeben sich aus der ANLAGE 1 der TOM zu diesem Vertrag, sofern sich nicht schon in der Leistungsvereinbarung / SLA hierzu Regelungen finden.

(2) Statt die TOM im Einzelnen aufzulisten ist die Vorlage einer Zertifizierung oder vergleichbarer Maßnahmen zulässig, wenn hierin alle in Abs. 1 aufgeführten Maßnahmen beschrieben sind.

(3) Der Auftraggeber teilt dem Auftragnehmer seine Bedenken mit, sollte er die Maßnahmen als nicht ausreichend erachten. Die Vertragsparteien werden dann eine einvernehmliche Anpassung versuchen.

(4) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist es der Auftragnehmer gehalten, die technisch-organisatorischen Maßnahmen sachgerecht weiter zu entwickeln und anzupassen. Dabei darf das Sicherheitsniveau der vereinbarten Maßnahmen nicht unterschritten werden. Auf Wunsch stellt der Auftragnehmer dem Auftraggeber hierzu geeignete und aktualisierte Unterlagen zur Verfügung. 

(5) Der Auftragnehmer kann die Umsetzung der TOM durch aktuelle Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Datenschutzbeauftragter, Datenschutzauditoren, IT-Sicherheitsabteilung, Qualitätsauditoren, Revision, Wirtschaftsprüfer), Testate oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) nachweisen.

1. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer speichert keine Daten des Auftraggebers auf Systemen außerhalb des eigenen Verfügungsbereichs. 

(2) Der Auftragnehmer hat in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat technische und organisatorische Maßnahmen (TOM) zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust getroffen, die den Forderungen der entsprechenden datenschutzrechtlichen Bestimmungen entsprechen. Dies beinhaltet insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen entsprechend Art. 28, 32 DSGVO.

(3) Der Auftragnehmer bestellt, sofern dies gesetzlich erforderlich ist, einen Datenschutzbeauftragten. Der bestellte Datenschutzbeauftragte ist in Anlage 3 aufgeführt. Für eine direkte Kontaktaufnahme werden die (ggf. aktualisierten) Kontaktdaten zur Verfügung gestellt. 

(4) Die Wahrung des Datengeheimnisses muss vom Auftragnehmer gewährleistet werden. Dazu muss der Auftragnehmer alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehren. Weiterhin sind alle Personen des Auftragnehmers bzgl. der Pflichten zur Wahrung von Geschäfts- und Betriebsgeheimnissen des Auftraggebers zu verpflichten. Weiterhin müssen die vom Auftragnehmer eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht.

Eine gesetzliche Offenbarungspflicht des Auftragnehmers bleibt hiervon unberührt.

(5) Kontrollhandlungen und Maßnahmen der zuständigen Aufsichtsbehörde werden umgehend zwischen den Vertragsparteien kommuniziert. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und von Ansprüche betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten. 

(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei Verstößen des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten nach Art. 33 DSGVO.

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DSGVO oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Er ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Eine materiell rechtliche Prüfung steht dem Auftragnehmer nicht zu.

(7) Der Auftragnehmer führt ein Verzeichnis der Verarbeitungstätigkeiten für die bei ihm stattfindenden Verarbeitungstätigkeiten im Sinne von Art. 30 DSGVO. Auf Anforderung des Auftraggebers oder der zuständigen Aufsichtsbehörde stellt der diesen die notwendigen Angaben zur Verfügung. 

(8) Der Auftragnehmer prüft die Vertragsausführung und Erfüllung regelmäßig auf ordnungsgemäße Einhaltung und passt Regelungen und Maßnahmen bei Bedarf an, wenn dies zur Durchführung des Auftrags sachdienlich ist.

(9) Der Auftragnehmer verpflichtet sich, alle nicht allgemein bekannten Angelegenheiten und insbesondere die Geschäfts- und Betriebsgeheimnisse des anderen Vertragspartners unbefristet streng vertraulich zu behandeln. Solche Informationen werden nur im Rahmen der Vertragsbeziehung und zur Erreichung des Vertragszwecks genutzt. Sie werden weder aufgezeichnet noch weiterzugeben.

(10) Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, sodass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind.

(11) Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftragnehmer aufgrund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(12) Auf Datenträgern überlassene Daten sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.

(13) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „verantwortlicher Stelle“ im Sinne des Bundesdatenschutzgesetzes liegen.

(14) Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.

1. Pflichten des Auftraggebers

(1) Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze gemeinsam verantwortlich.

(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(3) Dem Auftraggeber obliegen die aus Art. 33 DSGVO und §15a TMG resultierenden Informationspflichtengegenüber Aufsichtsbehörden und Betroffenen im Falle von Datenschutzvorfällen. 

(4) Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest.

(5) Der Auftraggeber verpflichtet sich, alle nicht allgemein bekannten Angelegenheiten und insbesondere die Geschäfts- und Betriebsgeheimnisse des anderen Vertragspartners unbefristet streng vertraulich zu behandeln. Solche Informationen werden nur im Rahmen der Vertragsbeziehung und zur Erreichung des Vertragszwecks genutzt. Sie werden weder aufgezeichnet noch weiterzugeben.

(6) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

(7) Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

(8) Der Auftraggeber wird Weisungen, die den Umgang mit personenbezogenen Daten betreffen unverzüglich schriftlich bestätigen.

1. Unterauftragsverhältnisse

(1) Die Beauftragung von Unterauftragnehmern ist grundsätzlich nur mit schriftlicher Zustimmung des Auftraggebers zulässig. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Die Kontroll- und Überprüfungsrechte sind entsprechend dieser Vereinbarung auch mit dem Unterauftragnehmer zu vereinbaren und einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis zu erhalten. 

(2) Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die in der Anlage 2 aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für den Auftragnehmer tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Daten des Auftraggebers. Für diese Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt.

(3) Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages sowie den in diesem AV-Vertrag beschriebenen Kontroll- und Überprüfungsrechten des Auftraggebers.

Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

(4) Keine zustimmungspflichten Dienstleistungen im Rahmen eines Unterauftragsverhältnisses sind Nebenleistung Dritter, die der Auftragnehmer zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen beispielsweise Prüfer oder die Entsorgung von Datenträgern, Reinigungsdienste, Telekommunikationsleistungen oder Wartungs- und Benutzerdienste. Der Auftragnehmer beachtet auch in diesem Zusammenhang datenschutzrechtliche Vorgaben und führt entsprechende Kontrollmaßnahmen durch.

1. Kontrollrechte des Auftraggebers/ Nachweismöglichkeiten

Der Auftraggeber führt vorgesehene Auftragskontrollen in Absprache mit dem Auftragnehmer durch. Im Einzelfall kann er auch fachkundige Prüfer für die Durchführung benennen. Er hat das Recht, sich durch Stichprobenkontrollen von der Einhaltung dieser Vereinbarung durch den Auftragnehmer zu überzeugen. Diese sind rechtzeitig anzumelden und abzustimmen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

Der Auftraggeber kann dazu insbesondere 

• Selbstauskünfte des Auftragnehmers einholen, insbesondere in Form von Testaten des unabhängigen Datenschutzbeauftragten.

Sollten im zu begründenden Einzelfall Vorort-kontrollen erforderlich sein, gewährt der Auftragnehmer diese nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich oder durch einen sachkundigen Dritten, der nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen darf.

Liegt ein Verstoß des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im Vertrag getroffenen Festlegungen vor, so kann eine darauf bezogene Prüfung auch ohne rechtzeitige Anmeldung vorgenommen werden. Eine Störung des Betriebsablaufs beim Auftragnehmer muss auch hierbei weitestgehend vermieden werden.

1. Weisungsbefugnis des Auftraggebers

Der Auftraggeber hat gegenüber dem Auftragnehmer ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung. Er kann dieses Recht durch Einzelweisungen konkretisieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. 

Mündliche Weisungen werden unverzüglich in Textform (z. B. per E-Mail) oder schriftlich bestätigt. 

1. Löschung von Daten und Rückgabe von Datenträgern 

(1) Der Auftragnehmer hat die vom Auftraggeber überlassenen Unterlagen einschließlich Schriftstücke, Disketten, CD-ROMs, sonstigen Speichereinheiten und Ähnliches als Unterlagen des Auftraggebers zu kennzeichnen, getrennt von seinen Unterlagen aufzubewahren und durch geeignete Maßnahmen gegen den Zugriff Unberechtigter zu schützen und gegen die nicht vertragsgemäße Nutzung, Vervielfältigung und Weitergabe zu sichern. Diese Verpflichtung schließt ein, dass die Unterlagen bei Abwesenheit des Bearbeiters verschlossen zu halten sind. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden.

(2) Mittels Datenfernübertragung überlassene Auftragsdaten sowie Test- und Ausschussmaterialien werden nach Auftragsende entweder an den Auftraggeber herausgegeben oder ordnungsgemäß gelöscht bzw. vernichtet. 

1. Haftung/Schadenersatz 

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

1. Erfüllungsort

Erfüllungsort ist der Ort des Auftraggebers.

1. Rechtswahl, Gerichtsstand

Es gilt deutsches Recht.

Datum: 16.07.2025        

Kunde/Besteller/in im adressdruckshop
auf https://www.adressdruck.de/shop

Gegenzeichnung und Akzeptanz durch Bestätigungsklick im Produktkonfigurator während der Bestellung.

adressdruckmedia

Gesellschaft für Unternehmenskommunikation mbH
Wilhelm-Kabus-Str. 21-35
10829 Berlin

_____________________________________________________

(Unterschrift Auftragnehmer)

Anlage 1:

TOM (technische und organisatorische Maßnahmen)

1)   Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a)   Zutrittskontrolle

Das Firmengebäude in der Wilhelm-Kabus-Str. 21-35, 10829 Berlin ist permanent videoüberwacht. Die Videoüberwachung ist durch von außen sichtbare Beschilderung erkennbar.

Zutritt wird grundsätzlich nur befugten, betriebszugehörigen Personen gewährt. Hierauf weisen entsprechende Hinweisschilder hin. Alle sicherheitsrelevanten Räumlichkeiten werden verschlossen, sofern sich kein befugter Mitarbeiter darin aufhält.

Sofern in Ausnahmesituationen betriebsfremden Personen Zugang in sicherheitsrelevante Bereiche gewährt werden muss, z.B. zu Wartungszwecken, werden diese permanent durch mindestens eine betriebszugehörige Person beaufsichtigt und überwacht.

b)   Zugangskontrolle

Der Zugriff auf alle nichtöffentlichen Bereiche unserer IT-Systeme wird durch geeignete Anmeldeverfahren abgesichert, die eine Authentifizierung verlangen.

Dies realisieren wir durch eine Zugangskontrolle für sämtliche IT-Systeme.

Erfolgt die Anmeldung über ein Netzwerk, so wird die Vertraulichkeit und Integrität der Anmeldeinformationen mit Hilfe entsprechender Authentifizierungsprotokolle sichergestellt.

c)   Zugriffskontrolle

Mit Hilfe geeigneter Zugriffsbeschränkungen stellen wir sicher, dass Nutzer nur auf Informationen zugreifen, die sie zur Erfüllung ihrer Aufgaben benötigen.

d)   Trennungskontrolle

Die von uns verwendeten mandantenfähigen Anwendungen ermöglichen eine strikte Trennung von personenbezogenen Daten.

Unsere Verzeichnisstruktur ermöglicht durch Zugriffsbeschränkungen eine Trennung von Informationen aus unterschiedlicher Anwendungen und zu unterschiedlichen Zwecken.

Die Umsetzung einer Segmentierung unseres Firmennetzwerkes ermöglicht umfassende Beschränkung von Verbindungen sowie die Möglichkeit der Trennung von Informationen.

e)   Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Da personenbezogene Daten in den Anwendungen ursächlich entstehen und im Rahmen der Bearbeitung stets nach den Attributen aufgerufen werden, die als erste zu pseudonymisieren wären, würde eine Pseudonymisierung in diesen Anwendungen zu nicht tragbaren Behinderungen Wirkbetriebes führen und wird deshalb nicht durchgeführt.

f)    Verschlüsselung/ Anonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) 

Die auf mobilen IT-System, mobilen Datenträger oder Servern gespeicherten Informationen schützen wir vor dem Verlust ihrer Vertraulichkeit und Integrität durch den Einsatz von Verfahren zur Datenträgerverschlüsselung.

Zugriffe über weniger oder nicht vertrauenswürdige Netzwerke auf nichtöffentliche Daten bzw. nichtöffentliche Bereiche unserer IT-Systeme sichern wir mit Hilfe von Verschlüsselungsprotokollen so ab, dass die Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen geschützt werden.

Innerhalb unseres kabelgebundenen Firmennetzwerkes findet eine Verschlüsselung von Daten im Wirkbetrieb nicht statt.

2)   Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

a)   Weitergabekontrolle

Dateien mit personenbezogenen Daten, welche ausdrücklich durch Kundenauftrag zur Weitergabe bestimmt sind, werden ausschließlich mit Passwortschutz weitergegeben, oder übertragen. Passwörter werden auf getrenntem Wege zur Datentrübermittlung übertragen bzw. übergeben.

Ferner dienen die in 1) b, c, und f genannten Verfahren der Weitergabekontrolle.

Mit unseren Auftragsverarbeitern haben wir eine schriftliche Vereinbarung zur Auftragsverarbeitung abgeschlossen.

Unsere Mitarbeiter haben wir auf das Datengeheimnis und zur Verschwiegenheit verpflichtet.

b)   Eingabekontrolle

Jedes IT-System protokolliert das An- und Abmelden von Nutzern, Fehler und Informationssicherheitsereignisse.

3)   Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a)   Verfügbarkeitskontrolle

Wir speichern die Daten unseres Unternehmens zentral, um eine effektive Datensicherung zu ermöglichen.

Für die Datensicherung, -wiederherstellung und -archivierung implementieren wir Verfahren, die folgende Punkte sicherstellen:

• Die gesicherten Daten werden bei Übertragung, Lagerung und Transport vor Änderungen, Beschädigung, Verlust und unberechtigter Einsichtnahme geschützt.
• Die gesicherten Daten werden nicht im gleichen Brandabschnitt wie die gesicherten IT-Systeme aufbewahrt.

b)   Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

Wir sichern Speicherorte so, dass ihr letzter vollständig wiederherstellbarer Zustand nicht älter als 24 Stunden ist.

Server werden von uns so gesichert, dass ihr letzter vollständig wiederherstellbarer Zustand (Systemsoftware, Konfigurationen, Anwendungssoftware und Anwendungsdaten) nicht älter als 24 Stunden ist.

Systemsoftware und Konfiguration der aktiven Netzwerkkomponenten werden nach jeder Änderung gesichert werden.

4)   Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

a)   Datenschutz-Management

Datenschutz und Datensicherheit ist unmittelbar dem Aufgabenbereich der Geschäftsführung zugeordnet.

Alle Mitarbeiter sind für das Thema sensibilisiert und entsprechend verpflichtet, nicht nur personenbezogene Daten, sondern alle ihnen während Ihrer Arbeitszeit bekanntwerdenden sensiblen Geschäftsdaten absolut vertraulich zu behandeln. Alle Mitarbeiter sind auf das Datengeheimnis verpflichtet.

Alle datenschutzrelevanten Prozesse werden dem Datenschutzbeauftragten zur Kenntnis gebracht, von diesem anschließend bewertet und ggf. geeignete Maßnahmen initiiert.

Alle wesentlichen Datenverarbeitungsprozesse, insbesondere Auftragsverarbeitungsprozesse, sind mit den entsprechenden Maßnahmen zur Vertraulichkeit und IT-Sicherheit dokumentiert.

Ergänzend wird auf unsere IT-Sicherheitsrichtlinie verwiesen, in der sämtliche getroffenen Maßnahmen noch einmal verschriftlicht festgehalten sind.

Im Falle von möglichen Datenschutzpannen ist ein Notfallmanagement implementiert, um schnellstmöglich reagieren und eventuelle Nachteile abwenden zu können.

Alle Datenschutz- und IT-Sicherheitsprozesse sind einer regelmäßigen Kontrolle und Anpassung unterworfen.

b)   Incident-Response-Management

Um die Wirksamkeit unserer technischen und organisatorischen Maßnahmen zu gewährleisten orientieren wir uns beim Management der Informationssicherheit an der Richtlinie VdS3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)“, die auf der internationalen Normenreihe ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ basiert.

c)   Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Wenn eine für den Datenschutz und die Informationssicherheit des Unternehmens relevante Position besetzt wird, stellen wir sicher, dass der Bewerber über die notwendige Eignung und die erforderliche Vertrauenswürdigkeit verfügt.

Zugänge und Zugriffsrechte werden von uns nur genehmigt, wenn sie für die Aufgabenerfüllung des jeweiligen Nutzers oder für die betrieblichen Abläufe des Unternehmens notwendig sind.

d)   Auftragskontrolle

Zur Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können, werden Kundenaufträge in der auftragsbezogenen Fertigungslaufmappe geführt. Dadurch ist zu jeder Zeit und bei jedem Verarbeitungsschritt eine Überprüfung der Weisungen des Kunden möglich.

Anlage 2: 

Unterauftragsverhältnis beim Auftragnehmer zum Zeitpunkt der Auftragsvergabe

Anlage 3: 

Bestellter betrieblicher Datenschutzbeauftragter: