Vereinbarung zur Auftragsverarbeitung (AVV)
Vertrag über die Verarbeitung personenbezogener Daten
im Sinne des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO)
– Auftragsverarbeitungsvertrag (AVV) –
zwischen
_______________________________
_______________________________
_______________________________
– Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO –
– nachfolgend „Auftraggeber“ genannt –
und
freeFiBU GmbH
Rurstraße 15a
41564 Kaarst
– Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO –
– nachfolgend „Auftragnehmer“ genannt –
1. Gegenstand und Dauer der Verarbeitung
1. 1. Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen: Bereitstellung einer Buchhaltungssoftware, Software as a Service.
1. 2. Die Dauer der Verarbeitung entspricht der nach § 6 der AGB vereinbarten Laufzeit.
2. Art, Zweck und Ort der Verarbeitung
2. 1. Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. Im Einzelnen/Wesentlichen handelt es sich dabei um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
2. 2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung insbesondere im Bereich Cloud-Dienstleistungen, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
2. 3. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in Deutschland statt. Es ist dem Auftragnehmer gleichwohl gestattet, personenbezogene Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3. 1. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Name, Vorname
- Adressdaten
- Kontakt-/Kommunikationsdaten (z. B. Telefon, Email)
- Vertragsabrechnungs- und Zahlungsdaten (Bankverbindung)
- Bestelldaten
- Rechnungsdaten
- Daten zum Zahlungsverhalten
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie / Lieferantenhistorie
3. 2. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Interessenten
- Beschäftigte
- Lieferanten
- Ansprechpartner
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4. 1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
4. 2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5. 1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Dies bezieht sich auch auf Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen. Besteht eine Verarbeitungspflicht entgegen einer Weisung, so informiert der Auftragnehmer vor der Verarbeitung den Auftraggeber über die entsprechende rechtliche Anforderung. Es sei denn, das betreffende Recht verbietet eine solche Information wegen eines wichtigen öffentlichen Interesses. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange auszusetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Die Weisungen sind durch den Auftraggeber zu dokumentieren und mindestens für die Dauer des Auftragsverhältnisses aufzubewahren.
5. 2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5. 3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5. 4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Sozialgeheimnis, das Fernmeldegeheimnis nach § 3 TTDSG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
5. 5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
5. 6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.
5. 7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5. 8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
6. 1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
6. 2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6. 3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.
7. Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
8. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
8. 1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftraggeber ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
8. 2. Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind in Anhang 1 einsehbar. Der Auftragnehmer stellt klar, dass es sich bei den unter dem Link aufgeführten technischen und organisatorischen Maßnahmen lediglich um Beschreibungen technischer Art handelt, welche nicht als Bestandteil dieser Vereinbarung anzusehen sind.
8. 3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.
8. 4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
9. Nachweis und Überprüfung
9. 1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht im Einzelfall Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen, welche dem Auftraggeber aber nicht daran hindern soll, selbst Nachweis gegenüber der für ihn zuständigen Aufsichtsbehörde zu erbringen. Unmittelbare Wettbewerber des Auftraggebers oder Personen, die für unmittelbare Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
9. 2. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen, soweit die Kontrolle nicht wegen eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
10. Subunternehmer (weitere Auftragsverarbeiter)
10. 1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
10. 2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind in Anhang 2 aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
10. 3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
10. 4. Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem sachlichen Grund innerhalb von 14 Tagen nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist (mindestens 14 Tage ) nach Zugang des Einspruchs einstellen.
10. 5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. Der Auftragnehmer stellt insbesondere durch regelmäßige Überprüfungen sicher, dass die weiteren Auftragsverarbeiter die technischen und organisatorischen Maßnahmen einhalten.
11. Vertragslaufzeit, Sonstiges
11. 1. Die Vereinbarung beginnt mit dem Abschluss durch den Auftraggeber. Sie endet mit Ende des letzten Vertrages unter der jeweiligen Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der Verarbeitung.
11. 2. Der Auftragnehmer kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Insbesondere behält er sich ausdrücklich vor, die vorliegende Vereinbarung einseitig zu ändern, sofern sich wesentliche rechtliche Änderungen in Bezug auf diese Vereinbarung ergeben. Der Auftragnehmer wird den Auftraggeber über die Bedeutung der geplanten Änderung gesondert hinweisen und darüber hinaus dem Auftraggeber eine angemessene Frist zur Erklärung eines Widerspruchs einräumen. Der Auftragnehmer weist den Auftraggeber in der Änderungs-Ankündigung darauf hin, dass die Änderung wirksam wird, wenn er nicht binnen der gesetzten Frist widerspricht. Im Falle eines Widerspruchs durch den Auftraggeber, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
11. 3. Der Auftraggeber erkennt diese Vereinbarung als Teil der AGB https://www.freefibu.de/agb/ an. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.
11. 4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
11. 5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der DSGVO liegen.
Anhang 1
Technische und organisatorische Maßnahmen (TOM)
Nachfolgend stellt der Auftragnehmer die technischen und organisatorischen Maßnahmen dar, diejeweils in unserem Verantwortungsbereich oder im Rechenzentrum der genannten Unterauftragnehmer getroffen worden sind.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
A) Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (geeignete Maßnahmen, um Unbefugten denZutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet, zu verwehren):
- Schließsystem mit Codesperre
- Chipkarten / Transpondersysteme
- Manuelles Schließsystem
- Sicherheitsschlösser und einbruchshemmende Türen
- Türen mit Knauf an der Außenseite
- Notausgang nur von innen zuöffnen
- Besucher: Anmeldung und Protokoll am Empfang
- Besucher nur in Begleitung durch Mitarbeiter
- Sorgfältige Auswahl des Externen Reinigungsdienstes
Die eigenen Büro- und Geschäftsräume des Auftragnehmers sind mit verschlossenen Türen undSchließsystemen versehen, so dass ein unbefugter Zutritt von Dritten wirksam unterbunden werdenkann. Während der Geschäftszeiten gibt es eine Besucherregelung, die unter anderem vorsieht, dassjeder Besucher sich nicht ohne Begleitung durch die Büroräume bewegen kann.
B) Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutztwerden können.
- Login mit Benutzername + Passwort
- Anti-Viren-Software Server
- Anti-Virus-Software Clients
- Einsatz moderner Firewall Technologien (Bsp. Application Layer Firewall, Intrusion DetectionSystem, Intrusion Prevention System etc.)
- Externer Zugang durch Mobile- / Homeoffice (bspw. PC / Laptop)
- Automatische Desktopsperre
- Verschlüsselung bei WLAN-Benutzung (WPA2)
- Einsatz von VPN-Verbindungen bei Remotezugriffen
- Richtlinie„Sicheres Passwort“
- Allg. Richtlinie Datenschutz und/oder Sicherheit
- Mobile Device Policy
C) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Aktenschredder
- Protokollierung von Zugriffen auf Anwendungen in Logdateien
- Berechtigungskonzept(e)
- Minimale Anzahl an Administratoren
D) Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden auch getrennt verarbeitet.
- Trennung von Produktiv- und Testumgebung
- Mandantenfähigkeit relevanter Anwendungen
- Bedarfsgerechte Zugriffsberechtigungen der Mitarbeiter
- Festlegung von Datenbankrechten
- Datensätze sind mit Zweckattributen versehen
E) Pseudonymisierung (Art. 32 Abs. 1 lit. DSGVO, Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
- Trennung der Zuordnungsdaten und Aufbewahrung in einem getrennten und abgesicherten System
- Interne Anweisung, personenbezogene Daten möglichst zu pseudonymisieren / anonymisieren
2. Integrität (Art. 32. Abs. 1 lit. b DSGVO)
A) Weitergabekontrolle
Personenbezogene Daten müssen bei der elektronischenÜbermittlung ausreichend geschützt werden, um nicht unbefugt gelesen, kopiert, verändert oder entfernt zu werden.
- Bereitstellung von Tunnelverbindungen (VPN)
- Bereitstellung verschlüsselter Verbindungen (SSL)
- Elektronische Signaturverfahren
- Protokollierung der Zugriffe und Abrufe in Log-Dateien
- Weitergabe in anonymisierter oder pseudonymisierter Form
- Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
B) Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Das heißt, die Kontrolle, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, geändert, gesperrt oder gelöscht werden.
- Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Softwareliste mit Datenverarbeitungsprogrammen
- Vergabe individueller Benutzernamen
- Berechtigungskonzept mit Vergabe von bedarfsgerechten Benutzerrechten
- Sichere Aufbewahrung von Dokumenten in Papierform
- Löschkonzept
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
A) Verfügbarkeitskontrolle
Die Verfügbarkeit personenbezogener Daten gegen zufällige oder mutwillige Zerstörung oder Verlust ist zu gewährleisteten.
- Regelmäßige Archivierung / Backup der Daten
- Bestehendes Backup-Konzept und Recovery-Konzept
- Kontrolle des Sicherungsvorgangs
- Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
- Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO; Art. 25 Abs. 1 DSGVO)
A) Datenschutz-Management
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter
- Eine Überprüfung der Wirksamkeit der technischenSchutzmaßnahmen wird mind. jährlich durchgeführt
- Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
- Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
- Formalisierter Prozess zur Bearbeitung von Auskunfts-, Löschungs-und Datenübertragungsanfragen seitens Betroffener
- Durchführung Datenschutz-Folgenabschätzung soweit erforderlich
- Erfüllung sämtlicher Informationspflichten nach Art. 13 und 14 DSGVO
B) Incident-Response-Management
- Einsatz von Firewall und regelmäßige Aktualisierung
- "Einsatz von Spamfilter und regelmäßige Aktualisierung"
- "Einsatz von Virenscanner und regelmäßige Aktualisierung"
- Intrusion Prevention System (IPS)
Anhang 2
Liste weiterer Auftragsverarbeiter
Der Auftragnehmer setzt derzeit folgende Unterauftragnehmer ein:
Bayerisches Landesamt für Steuern, Dienststelle München, 80284 München
> ELSTER-Schnittstelle, Übertragung Umsatzsteuer-Voranmeldung
Amazon Web Services, EMEA SARL, 38 Avenue John F. Kennedy L-1855 Luxemburg
> Technische Infrastruktur zur Bereitstellung der Applikation und Speicherung der Daten (SaaS), Serverstandort Frankfurt a. M.
FIN API, Adams-Lehmann-Straße 44, 80797 München
> Import von Banktransaktionsdaten