Auftragsverarbeitung

PrÀambel und Anwendungsbereich

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragsverarbeitungsvertrag konkretisiert die Auftragsverarbeitung im Hinblick auf ihren Gegenstand und den sich aus dem AuftragsverarbeitungsverhĂ€ltnis ergebenden AnsprĂŒche und Pflichten zwischen den Vertragsparteien.

Der Auftragsverarbeitungsvertrag findet keine Anwendung, wenn die DSGVO auf die Verarbeitung von personenbezogenen Daten durch den Auftraggeber nicht anwendbar ist (zum Beispiel bei ausschließlich persönlichen oder familiĂ€ren TĂ€tigkeiten entsprechend Art. 2 Abs. 2 lit. c. DSGVO) und der Auftragsverarbeiter daher nicht als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO handelt.

1. Begrifflichkeiten und Definitionen

  1. “Auftragsverarbeitung” – Als “Auftragsverarbeitung” ist, im Einklang mit 4 Nr. 8 DSGVO, die im Auftrag des Verantwortlichen, unabhĂ€ngig von der Zahl dazwischen geschalteter Auftragsverarbeiter, durch den Auftragsverarbeiter entsprechend dem Gegenstand dieses Auftragsverarbeitungsvertrages eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO zu verstehen.
  2. “Hauptvertrag” – Der Begriff des Hauptvertrages umfasst alle Arten laufender GeschĂ€ftsbeziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter, in deren Rahmen der Auftragsverarbeiter personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers entsprechend den Angaben zum Gegenstand der Auftragsverarbeitung in diesem Auftragsverarbeitungsvertrag verarbeitet. Sofern die Geltung dieses Auftragsverarbeitungsvertrages anderweitig (d.h. innerhalb dieser Vereinbarung oder außerhalb, in anderen VertrĂ€gen oder Regelungen) auf bestimmte Arten, Typen oder konkrete GeschĂ€ftsbeziehungen, VertrĂ€ge, etc. beschrĂ€nkt wurde, sind diese jeweils als Hauptvertrag zu verstehen. Der Begriff des Hauptvertrages umfasst auch laufende EinzelauftrĂ€ge des Auftraggebers an den Auftragsverarbeiter, die von dem Auftraggeber im Rahmen des Hauptvertrages erteilt werden (z. B. im Fall von RahmenvertrĂ€gen).
  3. “Verantwortlicher” – “Verantwortlicher” ist, wer allein oder gemeinsam mit anderen ĂŒber die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
  4. “Personenbezogene Daten” – “Personenbezogene Daten” (nachfolgend auch kurz als “Daten” bezeichnet) sind im Einklang mit Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natĂŒrliche Person (betroffene Person) beziehen; als identifizierbar wird eine natĂŒrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen IdentitĂ€t dieser natĂŒrlichen Person sind.
  5. “Betroffene Personen” – Als betroffene Personen (kurz “Betroffene”) werden entsprechend Art. 4 Nr. 1 DSGVO Personen bezeichnet, die mittels von personenbezogenen Daten zumindest identifizierbar sind. Die von dieser Auftragsverarbeitung betroffenen Personen, ergeben sich aus dem Gegenstand der Auftragsverarbeitung.
  6. “Dritte” – “Dritte” sind entsprechend Art. 4 Nr. 10 DSGVO natĂŒrliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
  7. “Unterauftragsverarbeitung” – Wenn ein Auftragsverarbeiter nicht direkt vom Verantwortlichen beauftragt wurde, sondern von einem Auftragsverarbeiter des Verantwortlichen, liegt eine “Unterauftragsverarbeitung” vor und die dem ersten Auftragsverarbeiter folgenden Auftragsverarbeiter, werden als “Unterauftragsverarbeiter” bezeichnet.
  8. “Elektronisches Format” – ErklĂ€rungen gelten als im “elektronische Format” entsprechend Art. 28 Abs. 9 DSGVO abgegeben, wenn die erklĂ€rende Person erkennbar ist und das elektronische ErklĂ€rungsformat sich zum Nachweis der ErklĂ€rung eignet. Als “elektronisches Format” werden insbesondere die Textform, eine die auf dauerhaften DatentrĂ€gern gespeicherte Vereinbarung (z. B. E-Mail), digitale Signierverfahren oder Verwendung dedizierter Onlinefunktionen (z. B. in Benutzerkonten) verstanden.

2. Gegenstand der Auftragsverarbeitung

  1. Die Auftragsverarbeitung erfolgt im Rahmen der folgenden Rechtsbeziehung (Hauptvertrag): https://webhostingcow.com/agb
  2. Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung, richten sich nach den Vorgaben des Anhangs “Gegenstand der Auftragsverarbeitung”.

3. Art der Auftragsverarbeitung

Soweit der Auftraggeber als Verantwortlicher der Auftragsverarbeitung handelt, ist er im Rahmen dieses Auftragsverarbeitungsvertrages fĂŒr die Einhaltung der Bestimmungen der Datenschutzgesetze, insbesondere fĂŒr die RechtmĂ€ĂŸigkeit der Datenverarbeitung sowie fĂŒr die RechtmĂ€ĂŸigkeit der Beauftragung des Auftragsverarbeiters verantwortlich. Soweit der Auftraggeber selbst als Auftragsverarbeiter handelt, beauftragt er den Auftragsverarbeiter als Unterauftragsverarbeiter. Der Verantwortliche der Verarbeitung darf sich auf Grundlage dieses Auftragsverarbeitungsvertrages unmittelbar auf die, dem Auftraggeber gegenĂŒber dem Unterauftragsverarbeiter zustehenden Rechte berufen.

4. Weisungsbefugnis

  1. Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten und nur insoweit die Verarbeitung im Rahmen des Hauptvertrages erforderlich ist.
  2. Die Weisungen werden anfÀnglich durch den Hauptvertrag oder diesen Auftragsverarbeitungsvertrag festgelegt und können vom Auftraggeber danach durch Weisungen in schriftlicher Form oder in einem elektronischen Format (Textform, z. B. E-Mail) an den Auftragsverarbeiter oder die vom Auftragsverarbeiter bezeichnete Stelle geÀndert, ergÀnzt oder ersetzt werden.
  3. MĂŒndliche Weisungen können erfolgen, wenn sie aufgrund der UmstĂ€nde (z. B. EilbedĂŒrftigkeit) geboten sind und sind unverzĂŒglich schriftlich oder in elektronischer Form zu bestĂ€tigen.
  4. Ist der Auftragsverarbeiter aufgrund objektiver UmstĂ€nde der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstĂ¶ĂŸt, wird der Auftragsverarbeiter den Auftraggeber unverzĂŒglich darauf hinweisen und die Ansicht sachlich begrĂŒnden. In diesem Fall ist der Auftragsverarbeiter berechtigt, die AusfĂŒhrung der Weisung bis zur ausdrĂŒcklichen BestĂ€tigung der Weisung durch den Auftraggeber auszusetzen und offensichtlich rechtswidrige Weisungen abzulehnen.
  5. Der Auftragsverarbeiter kann Weisungen ablehnen, sofern deren ErfĂŒllung dem Auftragsverarbeiter nicht möglich oder nicht zuzumuten ist (insbesondere, weil deren Befolgung ein unverhĂ€ltnismĂ€ĂŸiger Aufwand oder fehlende technische Möglichkeiten entgegenstehen). Die Ablehnung kann nur unter sachgerechter BerĂŒcksichtigung des Schutzes der Daten der betroffenen Personen erfolgen und berechtigt den Auftraggeber zur außerordentlichen KĂŒndigung des Auftragsverarbeitungsvertrages, wenn dessen Fortsetzung dem Auftraggeber nicht zuzumuten ist.
  6. Der Auftragsverarbeiter kann durch das Recht der Union oder der Mitgliedstaaten und behördliche sowie gerichtliche Maßnahmen, denen der Auftragsverarbeiter unterliegt, zur DurchfĂŒhrung von Verarbeitungen oder Mitteilung von Informationen verpflichtet werden. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber die rechtlichen Anforderungen der zwingenden gesetzlichen Verpflichtung vor der Verarbeitung mit, sofern das betreffende Gesetz oder die Anordnung eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; im Fall eines Verbotes der Mitteilung unternimmt der Auftragsverarbeiter die ihm möglichen und zumutbaren Maßnahmen, um die gesetzlich zwingende Verarbeitung zu verhindern oder einzuschrĂ€nken.

5. Technische- und organisatorische Maßnahmen (Sicherheits- und Schutzkonzept)

  1. Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit von Daten des Auftraggebers, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos fĂŒr die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung, insbesondere durch regelmĂ€ĂŸige, mindestens jĂ€hrliche Evaluation, sicherstellen. Zu den TOMs gehören im Hinblick auf den Schutz der personenbezogenen Daten insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, IntegritĂ€ts- und VerfĂŒgbarkeitskontrolle, Trennungskontrolle sowie die Sicherung der Betroffenenrechte.
  2. Die bei Vertragsschluss durch den Auftragsverarbeiter mitgeteilten TOMs definieren das vom Auftragsverarbeiter geschuldete Minimum des Sicherheitsniveaus. Die TOMs dĂŒrfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt und durch adĂ€quate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass fĂŒr einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, dass das erforderliche gesetzliche Datenschutzniveau und das definierte Minimum des Sicherheitsniveaus nicht unterschritten werden.
  3. Der Auftragsverarbeiter gewĂ€hrleistet, dass es den mit der Verarbeitung der Daten befassten Mitarbeitern, Beauftragten und anderen fĂŒr den Auftragsverarbeiter tĂ€tigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Der Auftragsverarbeiter stellt ferner sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen in die gesetzlichen sowie sich aus diesem Auftragsverarbeitungsvertrag ergebenden Datenschutzbestimmungen eingewiesen und auf Vertraulichkeit und Verschwiegenheit verpflichtet worden sind oder einer entsprechenden und angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter trĂ€gt dafĂŒr Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der ErfĂŒllung der Datenschutzanforderungen laufend angemessen angeleitet und ĂŒberwacht werden.
  4. Die Verarbeitung der personenbezogenen Daten außerhalb der BetriebsstĂ€tte des Auftragsverarbeiters (z. B. im Home- oder Mobileoffice oder bei Fernzugriff) ist zulĂ€ssig, sofern die erforderlichen technischen und organisatorischen Maßnahmen ergriffen und dokumentiert werden, die den Besonderheiten dieser Verarbeitungssituationen in angemessener Weise Rechnung tragen und insbesondere auch eine ausreichende Kontrolle der Datenverarbeitung ermöglichen (z. B. Abschluss einer Vereinbarung ĂŒber Datenschutz im Home- und Mobile-Office mit Mitarbeitern). Der Auftragsverarbeiter legt dem Auftraggeber eine Dokumentation der implementierten technischen und organisatorischen Maßnahmen fĂŒr derartige Home-, Mobile oder andere Fernverarbeitungen auf Anfrage vor.
  5. Die Verarbeitung der personenbezogenen Daten auf PrivatgerĂ€ten der BeschĂ€ftigten des Auftragsverarbeiters und seiner Beauftragten ist zulĂ€ssig, sofern die erforderlichen technischen und organisatorischen Maßnahmen ergriffen und dokumentiert werden, die den Besonderheiten dieser Verarbeitungssituationen in angemessener Weise Rechnung tragen und insbesondere auch eine ausreichende Kontrolle der Datenverarbeitung ermöglichen (z. B. Abschluss Vereinbarung, die eine angemessene Kontrolle der PrivatgerĂ€te erlaubt). Der Auftragsverarbeiter legt dem Auftraggeber eine Dokumentation der implementierten technischen und organisatorischen Maßnahmen fĂŒr derartige Verarbeitungen auf Anfrage vor.
  6. Die Verarbeitung der personenbezogenen Daten auf PrivatgerÀten der BeschÀftigten des Auftragsverarbeiters und Beauftragten ist nur mit Zustimmung des Auftraggebers zulÀssig.
  7. Sofern durch gesetzliche Vorgaben vorgegeben, benennt der Auftragsverarbeiter eine*n den gesetzlichen Anforderungen entsprechende*n Datenschutzbeauftragte*n. Der Auftragsverarbeiter teilt dem Auftraggeber die Kontaktinformationen des*der Datenschutzbeauftragten und spĂ€tere Änderungen mit.
  8. Die fĂŒr den Auftraggeber durchgefĂŒhrten Verarbeitungsprozesse werden vom Auftragsverarbeiter in einem angemessenen Umfang, in einem Verzeichnis von VerarbeitungstĂ€tigkeiten gesondert dokumentiert und dem Auftraggeber auf Anforderung bereitgestellt.
  9. Die im Rahmen des Auftragsverarbeitungsvertrag ĂŒberlassene Daten sowie DatentrĂ€ger und sĂ€mtliche hiervon gefertigten Kopien, verbleiben im Eigentum, bzw. in Inhaberschaft des Auftraggebers, unterliegen der VerfĂŒgungsherrschaft des Auftraggebers, sind durch den Auftragsverarbeiter sorgfĂ€ltig zu verwahren, vor Zugang durch unberechtigte Dritte zu schĂŒtzen und dĂŒrfen nur mit Zustimmung des Auftraggebers vernichtet werden. Die Vernichtung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich und nicht zu erwarten ist. Kopien von Daten dĂŒrfen nur erstellt werden, wenn sie zur ErfĂŒllung der Leistungshaupt- und Nebenpflichten des Auftragsverarbeiters gegenĂŒber dem Auftraggeber erforderlich sind (z.B. Backups) und das vertragliche sowie das gesetzliche Datenschutzniveau gewĂ€hrleistet werden.
  10. Der Auftragsverarbeiter ist verpflichtet, eine nach diesem Auftragsverarbeitungsvertrag unverzĂŒglich herbeizufĂŒhrende RĂŒckgabe bzw. Löschung der Daten und DatentrĂ€ger auch bei Unterauftragsverarbeitern herbeizufĂŒhren.
  11. Der Auftragsverarbeiter hat den Nachweis, einer im Rahmen dieses Auftragsverarbeitungsvertrages ordnungsgemĂ€ĂŸ erfolgten Vernichtung, bzw. Löschung von Daten und Dateien zu fĂŒhren und auf Verlangen dem Auftraggeber zur VerfĂŒgung zu stellen.
  12. Die Einrede eines ZurĂŒckbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen DatentrĂ€ger ausgeschlossen.
  13. Der Auftragsverarbeiter fĂŒhrt im angemessenen Umfang den regelmĂ€ĂŸigen Nachweis der ErfĂŒllung seiner Pflichten, insbesondere der vollstĂ€ndigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit (z. B. durch regelmĂ€ĂŸige Kontrollen, PrĂŒfungen, etc.). Der Nachweis ist dem Auftraggeber auf Anforderung zu ĂŒberlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.
  14. Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden UnterauftragsverhĂ€ltnisse, werden vom Auftragsverarbeiter im Anhang “Technische- und organisatorische Maßnahmen” aufgefĂŒhrt und von dem Auftraggeber akzeptiert.

6. Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters

  1. AuskĂŒnfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Auftraggeber oder im Fall zwingender gesetzlicher Pflichten, gerichtlicher oder gesetzlicher Informationen erteilen. Wendet sich eine betroffene Person an den Auftragsverarbeiter und macht ihre Betroffenenrechte geltend (insbesondere Rechte auf Auskunft oder Berichtigung, bzw. Löschung personenbezogener Daten), wird der Auftragsverarbeiter die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzĂŒglich an den Auftraggeber weiter und unterstĂŒtzt den Auftraggeber im Rahmen der Zumutbarkeit und Möglichkeit. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird, soweit dies nicht von dem Auftragsverarbeiter zu vertreten ist.
  2. Der Auftragsverarbeiter hat den Auftraggeber unverzĂŒglich und vollstĂ€ndig zu informieren, wenn der Auftragsverarbeiter im Hinblick auf die Verarbeitung der personenbezogenen Daten Fehler oder UnregelmĂ€ĂŸigkeiten bei der Einhaltung von Bestimmungen dieses Auftragsverarbeitungsvertrages und/ oder einschlĂ€giger Datenschutzvorschriften feststellt. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzĂŒglich mit dem Auftraggeber ab.
  3. Der Auftragsverarbeiter wird den Auftraggeber unverzĂŒglich darĂŒber informieren, wenn eine Aufsichtsbehörde gegenĂŒber dem Auftragsverarbeiter tĂ€tig wird und deren TĂ€tigkeit die fĂŒr den Auftraggeber verarbeiteten Daten betreffen kann. Der Auftragsverarbeiter unterstĂŒtzt den Auftraggeber bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunfts- und Duldung von Kontrollen) gegenĂŒber Aufsichtsbehörden.
  4. Sollte die Sicherheit der personenbezogenen Daten des Auftraggebers durch Maßnahmen Dritter (z.B. GlĂ€ubiger, Behörden, Gerichte, etc.) gefĂ€hrdet sein (PfĂ€ndung, Beschlagnahme, Insolvenzverfahren, etc.) wird der Auftragsverarbeiter die Dritten unverzĂŒglich darĂŒber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen und nach RĂŒcksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z.B. WidersprĂŒche, AntrĂ€ge, etc. stellen).
  5. Der Auftragsverarbeiter stellt dem Auftraggeber Informationen betreffend die Verarbeitung von Daten im Rahmen dieses Auftragsverarbeitungsvertrages, die fĂŒr die ErfĂŒllung von gesetzlichen Pflichten des Auftraggebers (zu denen insbesondere Anfragen Betroffener oder Behörden und die Einhaltung seiner Rechenschaftspflichten einer Datenschutz-FolgenabschĂ€tzung gehören können) notwendig sind, zur VerfĂŒgung.
  6. Die Informationspflichten des Auftragsverarbeiters erstrecken sich zunĂ€chst auf Informationen, die dem Auftragsverarbeiter, seinen BeschĂ€ftigten und Beauftragten vorliegen. Die Informationen mĂŒssen nicht von dritten Quellen beschafft werden, wenn die Beschaffung durch den Auftraggeber im zumutbaren Rahmen erfolgen könnte und keine anderweitige Vereinbarung getroffen wurde.

7. Maßnahmen bei GefĂ€hrdung oder Verletzung des Datenschutzes

  1. FĂŒr den Fall, dass der Auftragsverarbeiter Tatsachen feststellt, welche die Annahme begrĂŒnden, dass der Schutz der fĂŒr den Auftraggeber verarbeiteten personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO verletzt sein könnte, hat der Auftragsverarbeiter den Auftraggeber unverzĂŒglich und vollstĂ€ndig zu informieren, unverzĂŒglich erforderliche Schutzmaßnahmen zu ergreifen, und bei der ErfĂŒllung der dem Auftraggeber obliegenden Pflichten, insbesondere im Zusammenhang mit der Meldung an zustĂ€ndige Behörden oder betroffene Personen zu unterstĂŒtzen.
  2. Die Information ĂŒber eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzĂŒglich, grundsĂ€tzlich innerhalb von 24 Stunden ab Kenntniserlangung zu erfolgen.
  3. Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO, mindestens die folgenden Angaben beinhalten:
    1. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien von Daten und der ungefÀhren Zahl der betroffenen Personen und der ungefÀhren Zahl der betroffenen personenbezogenen DatensÀtze;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlauf- oder Kontaktstelle fĂŒr weitere Informationen;
    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. unter Angabe weiterer Details: IdentitÀtsdiebstahl, Vermögensnachteile, etc.);
    4. eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
  4. Ebenfalls unverzĂŒglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie VerstĂ¶ĂŸe des Auftragsverarbeiters oder der bei ihm beschĂ€ftigten Personen oder von ihm Beauftragten gegen datenschutzrechtliche Bestimmungen oder die in diesem Auftragsverarbeitungsvertrag getroffenen Festlegungen.

8. UnterauftragsverhÀltnisse

  1. Nimmt der Auftragsverarbeiter die Dienste eines Unterauftragsverarbeiters (z. B. eines Subunternehmers) in Anspruch, um bestimmte VerarbeitungstĂ€tigkeiten im Namen des Auftraggebers auszufĂŒhren, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines gesetzlich zulĂ€ssigen anderen Rechtsinstruments dieselben Datenschutzpflichten zu denen sich der Auftragsverarbeiter in diesem Auftragsverarbeitungsvertrag verpflichtet hat, auferlegen (insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen).
  2. Der Auftragsverarbeiter wĂ€hlt den Unterauftragsverarbeiter unter besonderer BerĂŒcksichtigung der Eignung und der ZuverlĂ€ssigkeit zur Einhaltung der Pflichten aus diesem Auftragsverarbeitungsvertrag sowie der Eignung der vom Unterauftragsverarbeiter getroffenen TOMs, sorgfĂ€ltig aus.
  3. Die Verantwortlichkeiten zur Wahrnehmung der Pflichten aus diesem Auftragsverarbeitungsvertrag und aus dem Gesetz sind zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter eindeutig zu regeln und voneinander abzugrenzen.
  4. Verarbeitungen von personenbezogenen Daten, die keinen direkten Zusammenhang mit der Erbringung der Hauptleistung aus dem Hauptvertrag aufweisen und bei denen der Auftragsverarbeiter die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt um seine geschĂ€ftliche TĂ€tigkeit auszuĂŒben (z.B. Reinigungs-, Bewachungs-, Wartungs-, Telekommunikations- oder Transportleistungen) stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses Auftragsverarbeitungsvertrages dar. Gleichwohl hat der Auftragsverarbeiter sicher zu stellen, z.B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefĂ€hrdet wird und die Vorgaben dieses Auftragsverarbeitungsvertrages und der Datenschutzvorschriften eingehalten werden.
  5. UnterauftragsverhÀltnisse, die dem Auftraggeber bei Abschluss dieses Auftragsverarbeitungsvertrages mitgeteilt wurden, gelten in dem mitgeteilten Umfang unter Geltung der Regelungen dieses Auftragsverarbeitungsvertrages zu UnterauftragsverhÀltnissen als genehmigt.
  6. Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden UnterauftragsverhĂ€ltnisse, werden vom Auftragsverarbeiter im Anhang “UnterauftragsverhĂ€ltnisse” aufgefĂŒhrt und durch den Auftragsverarbeiter aktualisiert.

9. RĂ€umlicher Bereich der Auftragsverarbeitung

  1. Personenbezogene Daten werden im Rahmen der Auftragsverarbeitung in einem Mitgliedsstaat der EuropĂ€ischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum (EWR) oder der Schweiz verarbeitet.
  2. Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfĂŒllt sind, d. h. insbesondere die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat; b) auf Grundlage von wirksamen Standardschutzklauseln (sog. Standard Contractual Clauses, SCC); oder c) auf Grundlage von anerkannten verbindlichen internen Datenschutzvorschriften.
  3. Die Genehmigung von UnterauftragsverhÀltnissen durch den Auftraggeber im Rahmen dieses Auftragsverarbeitungsvertrages, erstreckt sich auch auf den rÀumlichen Bereich der Auftragsverarbeitung.

10. Pflichten des Auftraggebers

  1. Der Auftraggeber hat den Auftragsverarbeiter unverzĂŒglich und vollstĂ€ndig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder UnregelmĂ€ĂŸigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.
  2. Die Auftraggeber benennt die zum Empfang von Weisungen berechtigte Ansprechpartner und ist verpflichtet Änderungen der Ansprechpartner oder deren Kontaktinformationen sowie Vertreter im Fall einer nicht vorĂŒbergehenden Abwesenheit oder Verhinderung unverzĂŒglich mitzuteilen.
  3. Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, dritte Unternehmen, Stellen oder Behörden hinsichtlich etwaiger AnsprĂŒche aufgrund der Verarbeitung von personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrages, verpflichtet sich der Auftraggeber den Auftragsverarbeiter bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten und unter BerĂŒcksichtigung des Verschuldensgrades der Vertragsparteien zu unterstĂŒtzen.

11. Haftung

Es gelten die gesetzlichen Haftungsregelungen, insbesondere Art. 82 DSGVO sowie im Falle des Einsatzes eines Unterauftragsverarbeiters Art. 28 Abs. 4. S. 2 DSGVO.

12. Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung

  1. Dieser Auftragsverarbeitungsvertrag wird mit dessen Unterzeichnung, bzw. Abschluss in einem elektronischen Format wirksam.
  2. Laufzeit und Ende dieses Auftragsverarbeitungsvertrages richten sich nach der Laufzeit und dem Ende des Hauptvertrages.
  3. Die KĂŒndigung dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel mĂŒssen zumindest im elektronischen Format erfolgen.
  4. Die sich aus dem Auftragsverarbeitungsvertrag ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des Auftragsverarbeitungsvertrages fort, sofern der Auftragsverarbeiter weiterhin die vom Auftragsverarbeitungsvertrag umfassten personenbezogenen Daten verarbeitet und die Einhaltung der Pflichten fĂŒr den Auftragsverarbeiter auch nach Vertragsende zumutbar ist.

13. AufwandsentschÀdigung

  1. Die nach dem Auftragsverarbeitungsvertrag vereinbarte AufwandsentschĂ€digung oder VergĂŒtung umfasst auch eine AufwandsentschĂ€digung fĂŒr die Arbeitszeit des vom Auftragsverarbeiter beanspruchten Personals sowie erforderliche Auslagen (z.B. Reise- oder Materialkosten). Sofern möglich, absehbar und zumutbar, teilt der Auftragsverarbeiter dem Auftraggeber die Höhe der AufwandsentschĂ€digung oder VergĂŒtung im Wege einer sachgerechten SchĂ€tzung vor deren Entstehung mit.
  2. Überschreitet der mit den Weisungen des Auftraggebers einhergehende Aufwand fĂŒr den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenĂŒblich zu erwartenden Rahmen und der Auftragsverarbeiter trĂ€gt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergĂŒten.
  3. Überschreitet der mit der ZurverfĂŒgungstellung von Informationen und/ oder die erforderlichen Mitwirkung des Auftragsverarbeiters einhergehende Aufwand fĂŒr den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenĂŒblich zu erwartenden Rahmen und der Auftragsverarbeiter trĂ€gt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergĂŒten.
  4. Überschreitet der mit der Duldung und Mitwirkung bei den Kontrollen, bzw. adĂ€quaten Alternativmaßnahmen einhergehende Aufwand fĂŒr den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenĂŒblich zu erwartenden Rahmen und der Auftragsverarbeiter trĂ€gt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergĂŒten.
  5. Überschreitet der mit der Löschung, bzw. der RĂŒckgabe der Daten einhergehende Aufwand fĂŒr den Auftragsverarbeiter einen nach dem Hauptvertrag vereinbarten oder sonst branchenĂŒblich zu erwartenden Rahmen und der Auftragsverarbeiter trĂ€gt kein Verschulden hieran, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand gesondert zu vergĂŒten.

14. Schlussbestimmungen

  1. Das anwendbare Recht bestimmt sich nach dem Hauptvertrag.
  2. Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.
  3. Der vorliegende Auftragsverarbeitungsvertrag stellt die vollstÀndige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.
  4. Mit Zustandekommen dieses Auftragsverarbeitungsvertrages werden alle etwaigen frĂŒheren VertrĂ€ge aufgehoben, die zwischen den Vertragsparteien dieses Vertrages abgeschlossen wurden und die die Verarbeitung personenbezogener Daten im Auftrag regeln, wenn und soweit diese den gleichen Gegenstand der Auftragsverarbeitung betreffen und wenn und soweit zwischen den Vertragsparteien nicht ausdrĂŒcklich schriftlich etwas anderes vereinbart wurde.
  5. Änderungen sowie ErgĂ€nzungen dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel mĂŒssen zumindest im elektronischen Format erfolgen.
  6. Bei etwaigen WidersprĂŒchen gehen Regelungen dieses Auftragsverarbeitungsvertrages zum Datenschutz den Regelungen des Hauptvertrages vor.
  7. Sollten eine oder mehrere Bestimmungen dieses Auftragsverarbeitungsvertrages unwirksam oder undurchfĂŒhrbar sein, so wird dadurch die GĂŒltigkeit der ĂŒbrigen Bestimmungen nicht berĂŒhrt. Die unwirksamen Bestimmungen werden vielmehr im Wege der ergĂ€nzenden Auslegung eine solche Regelung ersetzt, die von den Vertragsparteien mit der/den unwirksamen Bestimmung/en erkennbar verfolgten wirtschaftlichen Zweck möglichst nahekommt. Sofern die vorbenannte ergĂ€nzende Auslegung aufgrund gesetzlich zwingender Vorgaben nicht möglich ist, werden die Vertragsparteien eine ihr entsprechende Regelung vereinbaren.
  8. Dieser Auftragsverarbeitungsvertrag ist ein Teil des Hauptvertrages und wird mit dessen Abschluss wirksam.

Anhang: Gegenstand der Auftragsverarbeitung

Zwecke der Auftragsverarbeitung

Personenbezogene Daten des Auftraggebers werden auf Grundlage dieses Auftragsverarbeitungsvertrages zu den folgenden Zwecken verarbeitet:

  • Beratungsleistungen.
  • Betreuung und Verwaltung von Webseiten, Social Media u.a. Kommunikations- sowie InformationskanĂ€len.
  • E-Mailmarketing.
  • Einrichtung, Wartung und Betreuung von informationstechnischen Anlagen und Systemen (IT).
  • Erbringung von Leistungen im Bereich der IT-Sicherheit.
  • Kundenmanagement- und / oder Kundensupport.
  • Software-as-Service-Leistungen (SaaS).
  • Leistungen im Bereich der Telekommunikation.
  • Leistungen im Bereich der Softwareerstellung und-/ oder Wartung.
  • Verwaltungs-, Administrations- und Managementleistungen.
  • Web- und Cloud-Hosting

Arten und Kategorien von Daten

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Arten und Kategorien von personenbezogenen Daten gehören:

  • Bestandsdaten.
  • Kontaktdaten.
  • Inhaltsdaten.
  • Bild- und/ oder Videoaufnahmen.
  • Vertragsdaten.
  • Zahlungsdaten und Abrechnungsdaten,
  • Nutzungsdaten.
  • Protokolldaten.
  • BeschĂ€ftigtendaten.
  • GeschĂ€ftsinformationen.
  • Mitgliederdaten.

Kategorien der betroffenen Personen

Zu den durch die Verarbeitung von personenbezogenen Daten auf Grundlage dieses Auftragsverarbeitungsvertrages betroffenen Personengruppen gehören:

  • Softwarenutzer.
  • EmpfĂ€nger von Marketingmaßnahmen.
  • Interessenten.
  • GeschĂ€ftskunden.

Anhang: Technisch-organisatorische Maßnahmen (TOMs)

Es wird fĂŒr die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko fĂŒr die Rechte und Freiheiten der von der Verarbeitung betroffenen natĂŒrlichen Personen angemessenes Schutzniveau GewĂ€hr geleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, UmstĂ€nde und Zweck der Verarbeitungen derart berĂŒcksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedĂ€mmt wird.

Organisatorische Maßnahmen

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewĂ€hrleisten.

  1. Es werden regelmĂ€ĂŸig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, durchgefĂŒhrt.
  2. Dienstleister, die zur ErfĂŒllung nebengeschĂ€ftlicher Aufgaben herangezogen werden (Wartungs-, Wach-, Transport- und Reinigungsdienste, freie Mitarbeiter, etc.), werden sorgfĂ€ltig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern die Dienstleister im Rahmen ihrer TĂ€tigkeit Zugang zu personenbezogenen Daten des Auftraggebers erhalten oder sonst das Risiko eines Zugriffs auf die personenbezogenen Daten besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet.
  3. Der Schutz von personenbezogenen Daten wird unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berĂŒcksichtigt.
  4. Eingesetzte Software und Hardware wird stets auf dem aktuell verfĂŒgbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen PrĂŒfnotwendigkeit angemessenen Frist ausgefĂŒhrt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme).
  5. Standardsoftware und entsprechende Updates werden nur aus vertrauenswĂŒrdigen Quellen bezogen.
  6. Es wird ein “papierloses BĂŒro” gefĂŒhrt, d. h. Unterlagen werden grundsĂ€tzlich nur digital gespeichert und nur in AusnahmefĂ€llen in Papierform aufbewahrt.
  7. Unterlagen im Papierformat werden nur dann aufbewahrt, wenn keine im Hinblick auf die Auftragsverarbeitung, ihrem Zweck und den Interessen der von den Inhalten der Unterlagen betroffenen Personen adÀquate digitale Kopie vorliegt oder eine Aufbewahrung mit dem Auftraggeber vereinbart wurde oder gesetzlich erforderlich ist.
  8. Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und DatentrĂ€gern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden ĂŒber gesetzliche Voraussetzungen, Löschfristen und soweit zustĂ€ndig, ĂŒber Vorgaben fĂŒr die Datenvernichtung oder GerĂ€tevernichtung durch Dienstleister unterrichtet.

Datenschutz auf Mitarbeiterebene

  1. Es sind Maßnahmen ergriffen worden, die gewĂ€hrleisten, dass die mit der Verarbeitung personenbezogener Daten beschĂ€ftigten Mitarbeiter, ĂŒber die datenschutzrechtlich nötige Sachkenntnis und ZuverlĂ€ssigkeit verfĂŒgen.
  2. Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet.
  3. Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung wird in angemessenen ZeitabstÀnden oder wenn es die UmstÀnde erfordern wiederholt.
  4. Sofern Mitarbeiter außerhalb betriebsinterner RĂ€umlichkeiten tĂ€tig werden (Home- und Mobileoffice), werden Mitarbeiter ĂŒber die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet.
  5. Sofern Mitarbeiter PrivatgerĂ€te fĂŒr betriebliche TĂ€tigkeiten einsetzen, werden Mitarbeiter ĂŒber die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet, sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet.
  6. Die an Mitarbeiter ausgegebene SchlĂŒssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus den Diensten des Auftragsverarbeiters, bzw. Wechsel der ZustĂ€ndigkeiten eingezogen, bzw. entzogen.

Zutrittskontrolle

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nĂ€hern, mit denen personenbezogene Daten verarbeitet werden.

Es werden, bis auf die Arbeitsplatzrechner und mobile GerĂ€te, keine Datenverarbeitungsanlagen in den eigenen GeschĂ€ftsrĂ€umlichkeiten unterhalten. Die Daten des Auftraggebers werden bei externen Server-Anbietern unter Beachtung der Vorgaben fĂŒr Auftragsverarbeitung gespeichert.

Zugangskontrolle

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewĂ€hrleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird.

  1. Ein Passwortkonzept, legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende MindestlĂ€nge und KomplexitĂ€t haben mĂŒssen.
  2. SĂ€mtliche Datenverarbeitungsanlagen sind passwortgeschĂŒtzt.
  3. Passwörter werden grundsĂ€tzlich nicht im Klartext gespeichert und nur gehashed oder verschlĂŒsselt ĂŒbertragen.
  4. Es wird eine Passwort-Management-Software eingesetzt.
  5. Zugangsdaten werden, wenn deren Benutzer das Unternehmen oder Organisation des Auftragsverarbeiters verlassen haben, gelöscht oder deaktiviert.
  6. Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt.
  7. Einsatz von Software-Firewall(s).

Sicherung der IntegritĂ€t und VerfĂŒgbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen

Es sind Maßnahmen ergriffen worden, die gewĂ€hrleisten, dass personenbezogene Daten gegen zufĂ€llige Zerstörung oder Verlust geschĂŒtzt sind und in NotfĂ€llen zĂŒgig wiederhergestellt werden können.

  1. Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.
  2. Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfĂ€ltig ausgewĂ€hlt und erfĂŒllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor SchĂ€den durch Brand, Feuchtigkeit, StromausfĂ€lle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die GebĂ€udesicherung.
  3. Die zur Verarbeitung eingesetzten Serversysteme verfĂŒgen ĂŒber einen Schutz gegen Denial of Service (DoS) Angriffe.
  4. Die zur Verarbeitung eingesetzten Serversysteme verfĂŒgen ĂŒber eine unterbrechungsfreie Stromversorgung (USV), die gegen AusfĂ€lle angemessen gesichert ist und ein geregeltes Herunterfahren in NotfĂ€llen ohne Datenverlust sicherstellt.
  5. VideoĂŒberwachung am Serverstandort.
  6. Einbruchs- und Kontaktmelder am Serverstandort.
  7. Die zur Verarbeitung eingesetzten Serversysteme verfĂŒgen ĂŒber einen angemessenen Brandschutz (Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder FeuerlöschgerĂ€te).
  8. Es werden Serversysteme eingesetzt, die ĂŒber einen Schutz vor Feuchtigkeitsschaden (z. B. Feuchtigkeitsmelder) verfĂŒgen.
  9. Es werden Serversysteme und Dienste eingesetzt, die ein Backupsystem an anderen Orten, auf dem die aktuellen Daten vorgehalten werden und so ein lauffĂ€higes System auch im Katastrophenfall zur VerfĂŒgung stellen, bereithalten.

Anhang: Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten fĂŒr den Auftraggeber ein:

  1. Hetzner: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z.B. Speicherplatz und/oder RechenkapazitÀten); Dienstanbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland; Website: https://www.hetzner.com; DatenschutzerklÀrung: https://www.hetzner.com/de/rechtliches/datenschutz; Auftragsverarbeitungsvertrag: https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq/.
  2. Amazon Web Services (AWS): Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z.B. Speicherplatz und/oder RechenkapazitÀten); Dienstanbieter: Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA; Website: https://aws.amazon.com/de/; DatenschutzerklÀrung: https://aws.amazon.com/de/privacy/?nc1=f_pr; Auftragsverarbeitungsvertrag: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf; Standardvertragsklauseln (GewÀhrleistung Datenschutzniveau bei Verarbeitung in DrittlÀndern): https://aws.amazon.com/de/service-terms/.