Vereinbarung zur Datenverarbeitung
Zuletzt aktualisiert: 31. März 2025
Wichtiger Hinweis: Diese Vereinbarung zur Datenverarbeitung in deutscher Sprache gilt ausschließlich für Kunden in Deutschland, Österreich und der Schweiz (DACH-Region). Für Kunden außerhalb der DACH-Region gilt ausschließlich die englische Version dieser Vereinbarung zur Datenverarbeitung (Data Processing Agreement): https://www.centrldesk.com/dpa
xenthics Solutions GmbH, Alte Landstr. 25, 85521 Ottobrunn, Deutschland ("Auftragnehmer", "Auftragsverarbeiter" oder "xenthics") stellt dem Auftraggeber ("Auftraggeber" oder "Kunde", gemeinsam mit dem Auftragnehmer "Vertragsparteien") das Produkt Centrldesk auf der Grundlage einer gesonderten Vereinbarung zur Nutzung zur Verfügung. In diesem Rahmen werden auch personenbezogene Daten zwischen dem Auftragnehmer und dem Auftraggeber übermittelt. Daher gehen die Vertragsparteien ein Auftragsverarbeitungsverhältnis gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) ein. Um die Rechte und Pflichten aus dem Auftragsverarbeitungsverhältnis gemäß der gesetzlichen Verpflichtung zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.
1. Inhalt der Vereinbarung
1.1 Der Auftragnehmer verarbeitet personenbezogene Daten für den Auftraggeber im Auftrag. Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 DSGVO als Dienstleister ausgewählt. Eine inhaltliche Aufgabenübertragung wird mit dieser Vereinbarung nicht getroffen.
1.2 Dieser Vertrag enthält nach dem Willen der Vertragsparteien und insbesondere des Auftraggebers den schriftlichen Auftrag zur Auftragsdatenverarbeitung iSd. Art. 28 DSGVO und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung.
1.3 Sofern der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird damit allgemein die Verwendung von personenbezogenen Daten verstanden. Eine Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung, Anonymisieren, Pseudonymisieren, Verschlüsseln oder sonstige Nutzung von Daten.
2. Gegenstand und Dauer des Auftrags
2.1 Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten: Der Auftragnehmer stellt dem Auftraggeber eine flexible Plattform zur Erstellung von Geschäftsanwendungen über das Internet zur Verfügung. Der Auftraggeber stellt sich eigene Anwendungen bedarfsgerecht zusammen und konfiguriert bzw. administriert die Arbeitsbereiche (Workspaces) eigenverantwortlich. Der Auftraggeber legt eigenständig fest, welche Daten in den konfigurierten Anwendungen genutzt werden. Die Art der personenbezogenen Daten legt der Auftraggeber durch die Verarbeitung dieser in Centrldesk fest.
2.2 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten Betroffenen umfasst Mitarbeiter und Kunden.
2.3 Der Zweck der vorgesehenen Verarbeitung personenbezogener Daten erfasst
- die Identifizierung als berechtigter Nutzer von Centrldesk;
- die Korrespondenz mit den berichtigten Nutzern;
- die Nutzung des Produktes Centrldesk im Rahmen der getroffenen Vereinbarung (siehe auch (1)) sowie
- die personenunabhängige und identitätsunabhängige Analyse und Auswertung der Nutzung von Centrldesk zur Verbesserung des Leistungsangebotes.
2.4 Das Auftragsverhältnis besteht, solange der Auftraggeber ein Vertragsverhältnis mit dem Auftragnehmer zur Erbringung von Dienstleistungen und anderen Leistungen unterhält.
3. Rechte und Pflichten des Auftraggebers, Weisungsbefugnis
3.1 Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten sowie von etwaig überlassenen Datenträgern verlangen. Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
3.2 Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen können von dem Auftraggeber danach in schriftlicher Form oder in Textform durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden und den Vertrag außerordentlich zu kündigen. Die Entgeltpflicht des Auftraggebers entfällt mit der Einstellung der Leistung durch den Auftragnehmer. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
3.3 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
3.4 Alle erteilten Weisungen sind vom Auftraggeber und vom Auftragnehmer zu dokumentieren.
3.5 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
3.6 Die Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers findet in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern nicht zur Erbringung der Leistung der Datentransfer in Drittstaaten erforderlich ist. Für den Fall, dass eine Übermittlung in einen Drittstaat erfolgt, stellt der Auftragnehmer sicher, dass die Voraussetzungen nach Art. 44 ff. DSGVO erfüllt sind.
4. Pflichten des Auftragnehmers
4.1 Neben den vertraglichen Regelungen dieser Vereinbarung treffen den Auftragnehmer die nachfolgenden gesetzlichen Pflichten.
4.2 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter auf die Verpflichtung zur Vertraulichkeit (Art. 28 Abs. 2 lit. b) DSGVO) verpflichtet und in die Schutzbestimmungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.
4.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde bei dem Auftragnehmer ermittelt.
4.4 Der Auftragnehmer beachtet die Durchführungsbestimmungen und die Regelungen zur Datenschutzaufsicht des jeweils einschlägigen Datenschutzgesetzes.
4.5 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust gemäß Art. 32 DSGVO treffen; dies beinhaltet insbesondere
a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle);
b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle);
c) dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle);
d) dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Übertragungskontrolle);
e) dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingangskontrolle);
f) dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
g) dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle);
h) dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).
Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind in Anhang A einsehbar. Der Auftragnehmer stellt klar, dass es sich bei den aufgeführten technischen und organisatorischen Maßnahmen lediglich um Beschreibungen technischer Art handelt, welche nicht als Bestandteil dieser Vereinbarung anzusehen sind. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art. 32 DSGVO nicht unterschritten wird.
4.6 Die Erfüllung der vorgenannten Pflichten ist vom Auftraggeber zu kontrollieren und in geeigneter Weise nachzuweisen. Hierzu wird der Auftragnehmer dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die entsprechenden Nachweise verfügbar machen. Aufgrund der Kontrollverpflichtung des Auftraggebers vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
4.7 Der Auftraggeber kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des Auftragnehmers zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen.
5. Mitteilung bei Verstößen durch den Auftragnehmer
Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten.
6. Löschung und Rückgabe von Daten
6.1 Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.
6.2 Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung des Auftraggebers, hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
6.3 Der Auftragnehmer kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
7. Subunternehmer
7.1 Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
7.2 Die aktuell eingesetzten weiteren Auftragsverarbeiter sind als Anlage zu dieser Vereinbarung in Anhang B einsehbar. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
7.3 Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
7.4 Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem sachlichen Grund innerhalb von 14 Tagen nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist (mindestens 14 Tage) nach Zugang des Einspruchs einstellen. Mit dem Zeitpunkt der Leistungseinstellung durch den Auftragnehmer entfällt die Entgeltpflicht des Auftraggebers.
7.5 Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen.
8. Nebenleistungen
Die Abschnitte 1 bis 7 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
9. Datenschutzkontrolle
Der Auftragnehmer verpflichtet sich, dem Auftraggeber sowie dem Vertreter des Bundebeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zur Erfüllung ihrer jeweiligen Aufgaben im Zusammenhang mit diesem Auftragsverhältnis jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren.
10. Haftung und Schadensersatz
10.1 Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
11. Schlussbestimmungen
11.1 Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Änderung oder Aufhebung des Schriftformgebotes.
11.2 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die Vertragsparteien verpflichten sich für diesen Fall, eine dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung entsprechende Regelung zu treffen. Dasselbe gilt auch im Fall einer Lücke dieser Vereinbarung.
11.3 Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus und in Zusammenhang mit dieser Vereinbarung ist, soweit gesetzlich zulässig, München Stadt.
Anhang A
Gemäß Art. 32 DSGVO müssen Verantwortliche und Auftragsverarbeiter personenbezogener Daten technische und organisatorische Maßnahmen (TOM) ergreifen, um sicherzustellen, dass die Sicherheits- und Schutzanforderungen des Datenschutzes erfüllt werden. Unter technischen Maßnahmen sind alle Schutzmaßnahmen zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie z.B. die Sicherung von Türen und Fenstern oder in Soft- und Hardware umgesetzte Maßnahmen, wie z.B. die Einrichtung eines Benutzerkontos und Passwortpflicht. Unter organisatorischen Maßnahmen sind Schutzversuche zu verstehen, die durch Anweisungen, Verfahren und Prozesse umgesetzt werden.
Kategorie der Maßnahmen | Beschreibung der Kategorie | Technische Maßnahmen | Organisatorische Maßnahmen |
Pseudonymisierung und Verschlüsselung | Kryptografische Maßnahmen, die sicherstellen, dass Informationen bei der Übertragung gehasht werden und nur mit dem richtigen Verschlüsselungscode wieder lesbar gemacht werden können. | Verschlüsselung von "data in transit"; Verschlüsselung von Datenträgern auf Laptops/Notebooks und mobilen Datenträgern ("data at rest"); Pseudonymisierung durch Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (möglichst verschlüsselt) |
Interne Anweisung: personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist zu anonymisieren/pseudonymisieren |
Vertraulichkeit - Zutrittskontrolle | Maßnahmen, die verhindern, dass Unbefugte Zutritt zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden. |
Manuelles Schließsystem; |
Schlüsselregelung/Liste; Besucherbuch/Protokoll der Besucher; Besucher in Begleitung durch Mitarbeiter; Sorgfalt bei Auswahl des Wachpersonals; Sorgfalt bei Auswahl Reinigungsdienste; Dienstanweisung für Mitarbeiter |
Vertraulichkeit - Zugangskontrolle | Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden können. |
Login mit Benutzername + Passwort; |
Verwalten von Benutzerberechtigungen; |
Vertraulichkeit - Zugriffskontrolle | Maßnahmen, die sicherstellen, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die Daten zugreifen können, auf die sie ein Zugriffsrecht haben, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Protokollierung von Zugriff auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten; Regelmäßige Sicherheitsupdates; Firewalls; Einsatz von Aktenvernichtern oder entsprechenden Dienstleistern und physische Löschung von Datenträgern vor der Wiederverwendung |
Einsatz Berechtigungskonzepte; |
Vertraulichkeit - Übertragungskontrolle | Maßnahmen, die gewährleisten, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports oder der Speicherung auf Datenträgern nicht gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen die Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen vorgesehen ist. | E-Mail Verschlüsselung; Protokollierung der Zugriffe und Abrufe; Sichere Transportbehälter; Nutzung von Signaturverfahren; Dokumentation aller Schnittstellen |
Dokumentation der Datenempfänger sowie die Dauer der geplanten Überlassung bzw. der Löschfristen; Übersicht regelmäßiger Abruf-und Übermittlungsvorgängen; Weitergabe in anonymisierter oder pseudonymisierter Form; Persönliche Übergabe mit Protokoll |
Vertraulichkeit - Trennungskontrolle | Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können. |
Physikalische Trennung (Systeme / Datenbanken / Datenträger); |
Berechtigungskonzepte; |
Integrität - Eingangskontrolle | Es muss eine vollständige Dokumentation der Datenverwaltung und -pflege geführt werden, um die laufende Integrität der Daten zu gewährleisten. Maßnahmen zur nachträglichen Kontrolle, ob und von wem Daten eingegeben, geändert oder entfernt (gelöscht) wurden. | Technische Protokollierung der Eingabe, Änderung und Löschung von Daten; Manuelle oder automatisierte Kontrolle der Protokolle |
Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können; |
Verfügbarkeit - Verfügbarkeitskontrolle | Maßnahmen, die sicherstellen, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind. | Cloud-basierte Systeme mit eigenen Verfügbarkeitskonzepten und Redundanz | Remote-Datensicherung an sicheren, ausgelagerten Standorten; Datensicherungskonzepte |
Verfügbarkeit - Auftragskontrolle | Maßnahmen, die sicherstellen, dass im Falle einer Auftragsverarbeitung personenbezogener Daten die Daten nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden. |
Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation; |
|
Widerstandsfähigkeit | Maßnahmen zur Sicherstellung der Ausfallsicherheit der Systeme und Dienste, die gewährleisten, dass die Systeme und Dienste so ausgelegt sind, dass auch hohe Spitzenlasten und hohe Dauerlasten der Verarbeitung bewältigt werden können. | Prüfung von Speicher-, Zugangs- und Ressourcenauslastung | |
Wiederherstellung der Verfügbarkeit und des Zugangs | Maßnahmen, die sicherstellen, dass die Verfügbarkeit der Daten und der Zugang zu ihnen im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederhergestellt werden können. | Dienste mit eigenen TOMs |
Kontrolle des Sicherungsvorgangs; |
Datenschutz-Management | Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. | Dokumentierte Konzepte; Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt |
Mitarbeiter mindestens jährlich sensiblisiert zu Vertraulichkeit/Datengeheimnis; Die Organisation kommt den Informationspflichten nach Art. 13 und Art. 14 DSGVO nach |
Anhang B
Die weiteren Auftragsverarbeiter sind nachstehend aufgeführt:
Name des weiteren Verarbeiters | Zweck der Datenverarbeitung |
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland | Cloud-Infrastruktur-Dienste |
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland | Cloud-Infrastruktur-Dienste |
Für Auftraggeber, die KI-basierte Funktionalität aktivieren („Opt-In“), sind weitere Auftragsverarbeiter nachstehend aufgeführt:
Name des weiteren Verarbeiters | Zweck der Datenverarbeitung |
OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland | KI-basierte Funktionalität |
Fragen?
Bitte kontaktieren Sie uns unter privacy@centrldesk.com, falls Sie Fragen haben sollten.