Auftragsverarbeitungsvertrag Daka Media KG

Vereinbarung für Hosting

zwischen dem/der

 

- im folgenden Auftraggeber (AG) genannt -

 

und der

Daka Media KG
Hellingstraße 20a
33609 Bielefeld

- im folgenden Auftragsverarbeiter (AVV) genannt -

 

wird als Anlage zu dem oben bezeichneten Hauptvertrag nach Vorgabe der Datenschutzgrundverordnung zum Schutz der von dem Auftragsverarbeiter verarbeiteten Daten des Auftraggebers vereinbart:

 

 

§ 1 Vertragsinhalt und Laufzeit

(1) Inhalt des Vertragsanhangs ist die Datenverarbeitung im Rahmen von Webhosting-Leistungen, die der Auftragsverarbeiter für den Auftraggeber im Rahmen des Hauptvertrages ausführt.

(2) Der Auftragsverarbeiter stellt dem Auftraggeber Dienstleistungen (Domains, Webspace, E-Mail’s) zur Verfügung, mit deren Hilfe der Auftraggeber Homepages, Skripte, Datenbanken, oder damit verbundene oder vergleichbare Daten (z.B. Bilder, Videos,  etc.) im Internet präsentieren kann. Diese werden ggf. beim Auftragsverarbeiter gespeichert und bei Abruf durch einen Webseitenbesucher im Browser des Besuchers angezeigt.

 (3) Die Laufzeit dieses Vertrages ergibt sich aus seinem Zweck. Er läuft für die Dauer des Hauptvertrages einschließlich der Erfüllung von Gewährleistungspflichten oder sonstigen nachvertraglichen Pflichten durch den Auftragsverarbeiter. Wird der Hauptvertrag gekündigt, bleibt dieser Vertrag für die Dauer der verbleibenden nachvertraglichen Pflichten bestehen und endet erst mit der Vollbeendigung des Hauptvertrages und der Löschung oder Rückgabe der Daten nach Maßgabe dieses Anhangs.

 

 

§ 2 Art der Daten, der Betroffenen und der Verarbeitung, Vertragsort

(1) Dieser Vertragsanhang gilt für alle Arten von Verarbeitungen gem. Art. 4 Nr. 2 DSGVO.

(2) Folgende Arten von Daten werden dabei nach Erforderlichkeit verarbeitet:

  • Personenstammdaten

  • Kommunikationsdaten (z.B. Telefon, E-Mail)

  • Vertragsstammdaten

  • IP-Adressen, Protokolldaten, Statistiken (Serverseitig)

(3) Folgende Gruppen von Personen werden durch diesen Vertragsanhang betroffen:

  • Kunden und Interessenten des Auftraggebers

  • Mitarbeiter des Auftraggebers

  • Lieferanten des Auftraggebers

(4) Zweck der Verarbeitung ist die Erfüllung des Hauptvertrages, die Speicherung der Daten ist für die unmittelbare Auslieferung der Daten (technisch notwendig). Die IP des Nutzers wird für „technisch-sicherheitsbezogene Auswertungen“ (z.B. die Erkennung von Angriffen) serverseitig geloggt, für weniger als 30 Tag gespeichert und danach wieder gelöscht.

(5) Eine Verarbeitung außerhalb der europäischen Union ist nur in den gesetzlich erlaubten Fällen möglich.

 

§ 3 Verantwortung und Weisungen

(1) Dieser Vertragsanhang ändert nichts daran, dass der Auftraggeber für die Einhaltung der Datenschutzgesetze und eine rechtmäßige Weitergabe der Daten an den Auftragsverarbeiter gem. Art. 4 Abs. 7 DSGVO allein Verantwortlicher bleibt. Dies gilt auch für alle Verarbeitungen, die Gegenstand dieses Vertragsanhangs sind.

(2) Weisungen im Rahmen der Auftragsverarbeitung werden von dem Auftraggeber zum einen im Hauptauftrag festgelegt. Anschließend können sie mündlich oder in Textform erteilt werden. Der Auftragsverarbeiter hat einen Anspruch darauf, dass mündliche Weisungen unverzüglich auch in Textform bestätigt werden (z.B. Email oder sonstige elektronische Form). Der Auftragsverarbeiter kann – außer bei Gefahr im Verzuge – die Ausführung der Weisung von einer vorherigen Weisung in Textform abhängig machen.

(3) Weisungen, die über den Inhalt des Hauptvertrages hinausgehen, sind für den Auftragsverarbeiter nur verbindlich, wenn sie nach dem Sinn des Hauptvertrages und auf Grund der Bestimmungen der DSGVO erforderlich sind (zB in einer Angriffssituation erforderliche Sicherungen). Sie sind gleichzeitig eine Zusatzleistung im Rahmen des Hauptvertrages und nach den dortigen Bestimmungen zusätzlich – ersatzweise anhand der ortsüblichen und angemessenen Vergütung – zu entrichten.

(4) Ist der Auftragsverarbeiter nicht zur Ausführung der Weisung verpflichtet, kann er die Ausführung verweigern, bis der Auftraggeber die Zusatzleistung bestätigt und kostenpflichtig beauftragt hat. Die Ausführung der Weisung ist kein Verzicht auf einen Anspruch auf zusätzliche Vergütung.

(5) Ist dem Auftragnehmer die Ausführung einer Weisung nicht zuzumuten, etwa weil Ihre Befolgung technisch nicht möglich ist, kann der Auftragnehmer den Hauptvertrag kündigen, sofern zwischen den Parteien keine andere Lösung gefunden wird. Ein Beispiel ist etwa eine Leistungserbringung durch den Auftragsverarbeiter auf einer technischen Plattform mit anderen Auftraggebern einer Aufttragsverarbeitung, bei der die Weisung nicht ohne Konsequenzen für andere Vertragspartner des Auftragsverarbeiters befolgt werden kann (zB Daten können nicht getrennt werden).

(6) Erteilt der Auftraggeber eine rechtswidrige Weisung, hat er die daraus entstehenden Kosten zu tragen, einschließlich der Rechtsberatungs- oder -vertretungskosten des Auftragsverarbeiters.

 

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter ist verpflichtet, die Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers zu verarbeiten. Dies gilt nicht, soweit der Auftragsverarbeiter zu einer anderen Verarbeitung aufgrund eines in der europäischen Union für ihn gültigen Rechts verpflichtet ist. Der Auftragsverarbeiter kann eine Weisung, die gegen geltendes Recht verstößt, das auch für ihn bindend ist, zurück weisen und ist zu Ihrer Ausführung nicht verpflichtet. Der Auftragsverarbeiter wird in einem solchen Fall den Auftraggeber auffordern, eine rechtmäßige Weisung zu erteilen.

(2) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Auskunfspflichten Betroffener im Rahmen seiner Kapazitäten. Er benennt dem Auftraggeber einen Ansprechpartner im Rahmen des Datenschutzes.

(3) Der Auftragsverarbeiter wird in seinem Bereich für den Auftraggeber die Pflichten aus Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen einhalten und in angemessenen Abständen überprüfen.

(4) Der Auftragnehmer organisiert seinen Betrieb derart, dass er den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft gem. Art. 32 DSGVO unter Berücksichtigung seiner zumutbaren Möglichkeiten und Einrichtungen technische und organisatorische Maßnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Die derzeitigen technischen und organisatorischen Maßnahmen sind in Anlage 2 zu diesem Vertrag festgehalten.

(5) Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere eingesetzte Dritte verpflichtet sind, die Daten nicht außerhalb der Weisungen des Auftraggebers zu verarbeiten und die Daten vertraulich zu behandeln sowie diese Verschwiegenheitspflicht auch nach der Beendigung des Hauptvertrages fort gilt.

(6) Der Auftragnehmer unterrichtet den Auftraggeber, sofern er Kenntnis davon erlangt, das Daten des Auftraggebers verletzt wurden oder werden. Er trifft zur Gefahrenabwehr eigenständig die erforderlichen Maßnahmen zur Datensicherung und mindert soweit möglich die Folgen für die Betroffenen. Er spricht sich so schnell wie möglich mit dem Auftraggeber ab.

(7) Der Auftragsverarbeiter wird den Auftraggeber im Rahmen seiner Möglichkeiten bei der Abwehr von Ansprüchen gem. Art. 82 DSGVO unterstützen.

(8) Nach Abschluss der Verarbeitungstätigkeit löscht der Auftragsverarbeiter nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück. Dies gilt nicht, soweit die Daten nach dem anwendbaren Recht weiter gespeichert bleiben müssen oder sich aus dem Vertrag ein anderes ergibt. Erteilt der Auftraggeber keine Weisung, gilt die Löschung als vereinbart.

 

§ 5 Vergütung

(1) Für jede Leistung aus dem Vertrag, die über die reine Vorhaltung einer sicheren Umgebung hinausgeht, hat der Auftragsverarbeiter Anspruch auf eine zusätzliche Vergütung nach Maßgabe des Hauptvertrages, ersatzweise der ortsüblichen und angemessenen Vergütung. Dies gilt nicht, soweit der Hauptvertrag ausdrücklich ein anderes regelt oder solche Ansprüche aufgrund Gewährleistung oder Verschulden des Auftragsverarbeiters ausgeschlossen sind.

(2) Die Verpflichtung zur Vergütung gilt bis zur Vollbeendigung dieses Anhanges und endet nicht mit dem Hauptvertrag.

 

 

§ 6 Pflichten des Auftraggebers

(1) Der Auftraggeber darf keine Weisung erteilen, die gegen geltendes Recht verstößt. Der Auftraggeber ist weiter Verantwortlicher für die Daten, es ist daher seine Sache, sich über die geltenden Gesetze zu informieren und sich dazu beraten zu lassen und dem Auftragsverarbeiter nur solche Weisungen zu erteilen, die rechtmäßig sind.

(2) Der Auftraggeber ist verpflichtet, die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters zu erfragen und zu prüfen. Er trägt die Verantwortung dafür, dass die Maßnahmen des Auftragsverarbeiters für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau darstellen.

(3) Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich und vollständig, wenn ihm Tatsachen offenbar werden, dass bei der Datenverarbeitung Fehler oder Unregelmäßigkeiten vorkommen.

(4) Der Auftraggeber benennt auf Anforderung des Auftragsverarbeiters einen Ansprechpartner für alle Datenschutzfragen in seinem Hause.

(5) Der Auftraggeber ist verpflichtet, Forderungen von Betroffenen auf Berichtigung, Löschung oder Auskunft zu bearbeiten. Der Auftragsverarbeiter wird die betroffene Person an den Auftraggeber verweisen, sofern das aufgrund der Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

 

§ 7 Nachweise

(1) Der Auftragsverarbeiter informiert den Auftraggeber über alle Maßnahmen zur Einhaltung der Anforderungen des Art. 28 DSGVO und ermöglicht in zumutbarem Rahmen Überprüfungen. § 5 gilt entsprechend.

(2) Der Auftragsverarbeiter ist berechtigt, von dem Auftraggeber und/oder dessen Prüfer eine Verschwiegenheitserklärung zu verlangen. Der Auftraggeber kann einen unabhängigen externen Prüfer benennen, sofern er dem Auftragsverabreiter eine Kopie des Auditberichts zur Verfügung stellt. Wettbewerber des Auftragverarbeiters oder Personen, die dem Auftragsverabreiter sonst nicht zumutbar sind, kann der Auftragsverarbeiter ablehnen.

(3) Für Prüfungen einer Behörde gelten diese Regeln entsprechend, einschließlich § 5.

 

§ 8 Weitere Auftragsverarbeiter/Subunternehmer

(1) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter nach Art. 28 DSGVO einzusetzen, um den Vertrag zu erfüllen.

(2) Die weiteren Auftragsverarbeiter, die derzeit eingesetzt werden, sind

  • Mailjet SAS, DS-GVO-konformer, E-Mail-Service, 13-13 bis, rue de, l’Aubrac, 75012 Paris, France

  • Mailgun,Inc, E-Mail-Service ( EU-U.S. Privacy Shield zertifziert), 620 Folsom St, Ste 100, San Francisco, CA 94107, USA

  • Spamexperts (aka SolarWinds), E-Mail-Service (Anti-Spam-Lösungen und Support, Standort DE -> Alt-Moabit 73, 10555 Berlin)

  • OVH GmbH Rechenzentrumsleistungen, Dudweiler Landstraße 5, 66123 Saarbrücken

  • netcup GmbH Rechenzentrumsleistungen, Daimlerstraße 25 D-76185 Karlsruhe

  • RobHost GmbH, Support- und Servicedienstleistung, Glashütter Str. 53, D-01309 Dresden

  • Strausmann Services, ISP-Serverfarm.de, Support- und, Servicedienstleistung,  Monitoring Service, Ernst-Bergeest-Weg 28b, D - 21077 Hamburg

  • Linda und Sören Steinmann GbR - Video- Stream-Hosting, Rechenzentrumsleistungen, (Videostreaming), Am Sennehügel 20, 32052 Herford

  • Hetzner Online GmbH Rechenzentrumsleistungen, Industriestraße 25, 91710 Gunzenhausen

  • audriga GmbH, Durlacher Allee 47, 76131 Karlsruhe (Email Umzugsdienst)

  • pcvisit Software AG - Manfred-von-Ardenne-Ring 20 01099 Dresden (Fernwartung)

  • 1Password 317 Adelaide Street West, Suite 910 Toronto, Ontario M5V1P9, Canada (digitaler Tresor für Passwörter und Notizen, AES256Bit Verschlüsselt.)

  • PixelLetter e.K. Wilhelm-Wagenfeld-Str. 16 80807 München (ggf. Versand von Rechnungen via Post)

  • MaxMind (EU-U.S. Privacy Shield zertifiziert), 14 Spring Street, 3rd Floor Waltham, MA 02451 USA (Prüfung Bestellung auf Betrüger via Geodaten)

Der Auftraggeber willigt in ihren Einsatz ein.

(3) Der Auftragsverarbeiter wird den Auftraggber unterrichten, wenn er andere Subunternehmer einzusetzen wünscht. Der Auftraggeber kann diese ablehnen, wenn dafür ein wichtiger Grund besteht. Ist dem Auftragsverarbeiter aufgrund der Ablehnung eines neuen Subunternehmers die Erfüllung des Vertrages nicht mehr zumutbar, kann er den Hauptvertrag innerhalb einer angemessenen Frist kündigen.

(4) Der Auftragsverarbeiter ist verpflichtet, die Pflichten aus diesem Vertrag auf die Subunternehmer zu übertragen.

(5) Subunternehmer im Sinne dieser Regelung sind nur solche Unternehmen, die Dienstleistungen unmittelbar in Bezug auf die Hauptleistung des Vertrages beziehen. Davon sind insbesondere Nebenleistungen wie Telekommunikations-, Druck- und Transportleistungen ebenso ausgenommen wie Pflichten zu reiner Wartung, die Entsorgung von Datenträgern sowie Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger IT- Systeme. Unberührt bleibt die Verpflichtung des Auftragverarbeiters, Datenschutz und Datensicherheit in Bezug auf die Daten des Auftraggebers sicher zu stellen

.

§ 9 Haftung und Schadensersatz

(1) Macht ein Betroffener Schadensersatzansprüche gegen eine Vertragspartei geltend, unterstützen sich die Parteien und tragen gemeinsam und zur Aufklärung des Sachverhalts bei.

(2) Für die Haftung gilt ansonsten der Hauptvertrag.

 

§ 10 Schlussbestimmungen

(1) Für Streitschlichtung, Rechtswahl und Gerichtsstand gilt der Hauptvertrag.

(2) Dieser Vertrag ist in Textform geschlossen und bedarf zu seiner Änderung der Textform.

 

Anlage 1: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Der Auftragnehmer gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung der Arbeiten erforderliche Datensicherung sowie weitere Sicherungsmaßnahmen.

Alle auftragsdatenrelevanten Prozesse erfolgen in Rechenzentren von Hetzner GmbH, OVH GmbH oder netcup GmbH. Diese sind professionelle Hosting-Dienstleister und erfahrene Rechenzentrumbetreiber.

Die Anbieter des jeweiligen Rechnezentrums haben keinen Zugriff auf Daten, die auf dem Server verarbeitet oder gespeichert werden.

 

 

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:

  • Sicherheitstüren / -fenster
  • Zaunanlagen
  • Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
  • Alarmanlage
  • Videoüberwachung 
  • Alle Räume befinden sich im 1. und oder 2. OG

 

Zugangskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:

  • Persönlicher und individueller Login bei Anmeldung am System/Netzwerk
  • Begrenzung der befugten Benutzer
  • Kennwortverfahren (Klein/Großschreibung, Nummern und Symbole)
  • Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff (AES 256bit Verschlüsselt)
  • Protokollierung der Logins und Kennwortfehleingaben
  • Zusätzlicher Login für bestimmte Anwendungen
  • Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität
  • Firewall
  • Verbindung zum Server/ NAS per VPN

 

Zugriffskontrolle

Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:

  • Verwaltung und Dokumentation von differenzierten Berechtigungen
  • Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist.
  • Auswertungen/Protokollierungen von Datenverarbeitungen
  • Benutzerrollen-/Gruppenkonzept
  • Verschlüsselung von Datenträgern
  • Papier-Shredder für Dokumentenvernichtung
  • Keine externen EDV-Dienstleister

 

Trennungskontrolle

Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Speicherung der Datensätze in physikalisch getrennten Datenbanken
  • Verwendung von Testdaten
  • Trennung von Entwicklungs- und Produktionsumgebung

 

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Andernfalls werden die IPs im Maillog oder in den Server Log Dateien aus Sicherheitsgründen vollständig gespeichert.

 

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  • Verschlüsselung von E-Mail oder E-Mail-Anhängen
  • Verschlüsselung von Datenträgern
  • Gesicherter File Transfer oder sonstiger Datentransport
  • Zugang über VPN
  • Verschlüsseltes WLAN
  • Regelung zum Umgang mit mobilen Datenträgern (z.B. Laptop, USB-Stick, Mobiltelefon)
  • Protokollierung von Datenübertragung oder Datentransport
  • Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

 

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

  • Zugriffsrechte
  • Systemseitige Protokollierungen 

 

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:

  • Backup Verfahren vorhanden (bei Server – auf freiwilliger Basis)
  • Aufbewahrungsprozess für Backups (z.B. brandgeschützter Safe, getrennter Brandabschnitt)
  • Gewährleistung der Datenspeicherung im gesicherten Netzwerk
  • Bedarfsgerechtes Einspielen von Sicherheits-Updates
  • Spiegeln von Festplatten
  • Unterbrechungsfreie Stromversorgung (USV) 
  • Virenschutz 
  • Firewall 
  • 24/7 externes Monitoring aller Systeme 
  • Dauerhaft aktiver DDoS-Schutz (fast alle unsere Systeme)
  • Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Verpflichtung der Mitarbeiter auf die Vertraulichkeit
  • Hinreichende Schulungen der Mitarbeiter im Datenschutz
  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)

 

Management bei Datenschutzverletzungen

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber betroffenen Personen (Art. 34 DSGVO)

 

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.

  • Es sind technisch-organisatorische Maßnahmen getroffen, die sicherzustellen, dass die im Kundencenter verarbeiteten Daten lt. den Vorgaben von Art. 25 Abs. 2 EU-DSGVO verarbeitet werden.

 

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Auftraggebers verarbeitet werden:

  • Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten der Parteien
  • Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
  • Verpflichtung der Beschäftigten auf die Vertraulichkeit
  • Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen

Ich stimme der Vereinbarung zu.

AV Vertrag erstellen