Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Nutzer der Messenger App „WEDOO Care“ [im App Store] bzw. „WEDOO“ [in Google Play in als Web-App im Browser] (Verantwortlicher) und der vitasystems GmbH, Gottlieb-Daimler-Straße 8, 68165 Mannheim (Auftragsverarbeiter) als Betreiberin der App „WEDOO-Messenger“ (im Folgenden die „App„).

Dieser Vertrag wird als Anhang zum Nutzungsvertrag der App geschlossen.

Im Rahmen der App-Nutzung werden verschiedene personenbezogene Daten durch den Auftragsverarbeiter verarbeitet. Der nachfolgende Auftragsverarbeitungsvertrag regelt die Verarbeitung der Inhaltsdaten, die über den Messenger zwischen den App-Nutzern ausgetauscht werden. Hierbei kann es sich um Text- und Sprachnachrichten, Bilder oder PDF-Dokumente handeln. Die Inhaltsdaten können dabei Informationen über personenbezogene Daten Dritter beinhalten.

Die Inhaltsdaten sind für den Auftragsverarbeiter auf Grund einer Ende-zu-Ende-Verschlüsselung nicht einsehbar oder veränderbar.

Für die übrigen im Zusammenhang mit der App kommunizierten personenbezogenen Daten (insbesondere Profildaten der Nutzer) ist die vitasystems GmbH selbst datenschutzrechtlich verantwortlich.

Weitere Informationen zur Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App finden sich in unserer Datenschutzerklärung für die App.

1. Begriffsbestimmungen

In dieser Auftragsverarbeitung haben die folgenden Begriffe die folgende Bedeutung:

Datenschutzgesetze“ bezeichnet die Datenschutzgesetze des Landes, in dem der Verantwortliche ansässig ist (einschließlich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO„)) und alle weiteren Datenschutzgesetze, die für den Verantwortlichen in Verbindung mit dem Hauptvertrag gelten.

Personenbezogene Daten“ bezeichnet gemäß der Definition der DSGVO Informationen über eine bestimmte oder bestimmbare natürliche Person, die vom Auftragsverarbeiter im Rahmen der Leistungserbringung für den Verantwortlichen gemäß dieser Auftragsverarbeitung verarbeitet werden.

Standardklauseln“ bezeichnet die Standardvertragsklauseln für die Übertragung personenbezogener Daten von einem Verantwortlichen im Europäischen Wirtschaftsraum an Auftragsverarbeiter in Drittländern wie im Anhang zur Entscheidung der Europäischen Kommission 2010/87/EU niedergelegt und ergänzt durch die Einbindung der Beschreibung der personenbezogenen Daten und der technischen und organisatorischen Maßnahmen.

Unterauftragnehmer“ im Sinne dieser Regelung sind vom Auftragsverarbeiter beauftragte Dritte mit solchen Dienstleistungen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt.

Verantwortlicher„, „Betroffene Person„, „Verletzung des Schutzes personenbezogener Daten„, „Auftragsverarbeiter“ und „Verarbeiten“ haben die in der DSGVO festgelegte Bedeutung.

2. Gegenstand der Verarbeitung personenbezogener Daten

Bei der Übermittlung von Daten zwischen Nutzern der App speichert der Auftragsverarbeiter temporär die Inhaltsdaten der Nutzer auf dem eigenen Server. Diese zumindest kurzzeitige Speicherung ist erforderlich, um den Nachrichtenaustausch zwischen den Nutzern der App auszuführen.

Dabei erhält der Auftragsverarbeiter selbst keinerlei Zugriffsmöglichkeit oder Kenntnis von den Inhaltsdaten und kann diese auch nicht bearbeiten, da er diese nur Ende-zu-Ende verschlüsselt auf dem Server abspeichert.

3. Kategorien betroffener Personen

Der Vertrag umfasst die Verarbeitung aller Inhaltsdaten, die zwischen den Nutzern ausgetauscht werden und Personenbezug aufweisen. Hierbei findet voraussichtlich in einer großen Zahl der Fälle eine Kommunikation über folgende Kategorien betroffener Personen statt:

  • Patienten
  • Kollegen
  • Mitarbeiter
  • Kooperationspartner
  • Kunden

Der Verantwortliche hat die Möglichkeit, durch die Nutzung eines durch die App bereitgestellten Anonymisierungstools den Personenbezug in zu übermittelnden Dokumenten, Aufzeichnungen, Bildern o.ä. zu beseitigen.

4. Art der Personenbezogenen Daten

Bei der Übertragung von Nachrichten im Rahmen des Messengers können grundsätzlich alle Arten von personenbezogenen Daten verarbeitet werden. Werden Informationen über Patienten ausgetauscht, kann es sich bei den Daten insbesondere auch um Gesundheitsdaten, d.h. um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO handeln.

5. Dauer der Verarbeitung

Die Inhaltsdaten werden entweder bis zur Löschung durch den Nutzer oder dem Ablauf der App-spezifischen 21 Tage Haltefrist verschlüsselt auf den Servern des Auftragsverarbeiters gespeichert. Eine Löschung der Inhaltsdaten durch den Sender ist nur bis zum Zeitpunkt des Aufrufs durch den Empfänger möglich.

6. Weisungsgebundenheit des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich nach den im Nutzungsvertrag festgelegten Vertragsbedingungen und nach den Weisungen des Verantwortlichen. Für weitere Weisungen, die zu einer Verarbeitung außerhalb des Geltungsbereichs dieser Auftragsverarbeitung führen würden (z. B. aufgrund der Einführung eines neuen Verarbeitungszwecks), ist eine vorherige schriftliche Vereinbarung zwischen den Parteien erforderlich.

7. Pflichten des Verantwortlichen

7.1

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der Inhaltsdaten sowie für die Wahrung der Rechte der Betroffenen, insbesondere Patienten, allein verantwortlich.

7.2

Dem Verantwortlichen obliegt es insbesondere, sicherzustellen, dass die Verarbeitung der Inhaltsdaten, d.h. insbesondere die Übermittlung dieser Daten zu einem anderen Nutzer, auf einer zulässigen Rechtsgrundlage erfolgt. Dies gilt insbesondere auch für den Fall, dass es sich bei den Inhaltsdaten um Gesundheitsdaten handelt. In diesem Falle stellt der Verantwortliche sicher, dass er die Regelungen des Art. 9 DSGVO beachtet.

7.3

Darüber hinaus stellt der Verantwortliche ebenfalls sicher, dass die Betroffenen über die Datenübermittlung gemäß Art. 13 und 14 DSGVO informiert werden.

8. Personal des Auftragsverarbeiters

Der Auftragsverarbeiter sorgt dafür, dass seine Mitarbeiter sorgfältig ausgewählt und zur Geheimhaltung verpflichtet werden sowie angemessene Datenschutzschulungen absolviert haben.

9. Technische und organisatorische Maßnahmen

9.1

Der Auftragsverarbeiter hat angemessene technische und organisatorische Sicherheitsmaßnahmen („TOMs“) gemäß dem Anhang 1 zu dieser Auftragsverarbeitung zu treffen und aufrecht zu erhalten, um zu verhindern, dass der Schutz personenbezogener Daten verletzt wird und um die in Ziff. 11 beschriebene Unterstützung leisten und auf die Verletzung des Schutzes personenbezogener Daten reagieren zu können.

9.2

Der Auftragsverarbeiter dokumentiert die ergriffenen TOMs und liefert dem Verantwortlichen auf Verlangen diese Dokumentationen, sofern verfügbar mit Zertifizierungen.

9.3

Der Auftragsverarbeiter beurteilt regelmäßig die Angemessenheit der TOMs, verbessert die TOMs, sofern dies nach billigem Ermessen erforderlich ist, und stellt dem Verantwortlichen auf Verlangen eine aktuelle Beschreibung zur Verfügung.

10. Umsetzung von Betroffenenrechten

10.1

Erhält der Verantwortliche Anfragen oder Mitteilungen von Betroffenen in Bezug auf die Verarbeitung personenbezogener Daten („Anfrage“), unterstützt der Auftragsverarbeiter den Verantwortlichen auf dessen Anweisung in angemessener Weise und liefert ihm auf Anfrage entsprechende Informationen.

10.2

Auf Weisung des Verantwortlichen hat der Auftragsverarbeiter personenbezogene Daten zu löschen.

11. Unterstützung des Verantwortlichen

11.1

Im Falle einer Verletzung des Schutzes personenbezogener Daten oder soweit ein begründeter Verdacht besteht, hat der Auftragsverarbeiter:

11.1.1

den Verantwortlichen unverzüglich (in jedem Fall jedoch spätestens 72 Stunden nach Feststellung der Verletzung des Schutzes personenbezogener Daten oder des begründeten Verdachts) zu informieren;

11.1.2

dem Verantwortlichen erforderliche Informationen, Zusammenarbeit und Unterstützung zu der als Reaktion auf eine Verletzung des Schutzes personenbezogener Daten zu ergreifenden Maßnahme, einschließlich der Mitteilungen der Verletzung an Betroffene und Aufsichtsbehörden, zu bieten.

11.2

Sofern für die Verarbeitung personenbezogener Daten laut Datenschutzgesetzen eine Datenschutzfolgenabschätzung („DSFA„) erforderlich ist, stellt der Auftragsverarbeiter dem Verantwortlichen auf Verlangen die für die DSFA nach billigen Ermessen erforderlichen Informationen zur Verfügung und bietet ihm die entsprechend erforderliche Unterstützung.

12. Löschung und Rückgabe personenbezogener Daten

Nach Beendigung des Vertrags über die Nutzung des Messengers hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, er ist nach geltendem Recht zur weiteren Speicherung verpflichtet. Dies gilt nur für den Fall, dass personenbezogene Daten nicht bereits vorher vom Auftragsverarbeiter gelöscht wurden.

13. Auskunftsrechte und Audit

13.1

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Verlangen alle Informationen bzw. Zertifikate zur Verfügung, die nach billigem Ermessen erforderlich sind, um die Erfüllung der in dieser Auftragsverarbeitung dargelegten Pflichten nachzuweisen.

13.2

Der Verantwortliche oder ein hinreichend zur Geheimhaltung verpflichteter unabhängiger Abschlussprüfer sind nach angemessener Vorankündigung berechtigt, die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter sowie die TOMs während der normalen Geschäftszeiten vor Ort zu überprüfen.

13.3

Der Auftragsverarbeiter kooperiert mit dem Verantwortlichen und unterstützt ihn auf angemessene Weise beim Umgang des Verantwortlichen und dessen verbundenen Unternehmen mit Aufsichtsbehörden sowie bei Auditanfragen von Aufsichtsbehörden.

14. Meldepflicht bei rechtswidriger Weisung des Verantwortlichen

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich schriftlich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die anwendbaren Datenschutzbestimmungen verstößt.

15. Unterauftragsverhältnisse

15.1

Der Verantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter zur Ausführung bestimmter Verarbeitungstätigkeiten im Hinblick auf personenbezogene Daten Unterauftragnehmer beauftragt.

15.2

Die derzeitigen Unterauftragnehmer sind in Ziff. 1 des Anhangs aufgelistet.

15.3

Wenn der Auftragsverarbeiter weitere Unterauftragnehmer beauftragt oder Unterauftragnehmer ersetzt bzw. entfernt, hat er (i) den Verantwortlichen hiervon rechtzeitig vorher in Kenntnis zu setzen und (ii) einen schriftlichen Vertrag mit dem Unterauftragnehmer abzuschließen, der dem Unterauftragnehmer die in Artikel 28 (3) und (4) DSGVO genannten Pflichten auferlegt. Der Verantwortliche kann der Beauftragung von Unterauftragnehmern binnen 30 Tagen schriftlich mit entsprechender Begründung widersprechen, wenn die Beauftragung eines Unterauftragnehmers gegen diese Auftragsverarbeitung oder Datenschutzgesetze verstößt.

15.4

Der Vertrag des Auftragnehmers mit dem Unterauftragnehmer hat den Anforderungen der Datenschutzgesetze, insb. von Artikel 28 DSGVO, zu entsprechen.

15.5

Erfüllt der Unterauftragnehmer seine ihm laut Vertrag oder Datenschutzgesetzen auferlegten Datenschutzverpflichtungen nicht, haftet er gegenüber dem Verantwortlichen für die Erfüllung seiner Verpflichtungen gemäß den Bestimmungen dieser Auftragsverarbeitung.

16. Internationale Datenübertragung

Die Verarbeitung der personenbezogenen Daten findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verarbeitung in einem Drittland bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen und darf nur dann erfolgen, wenn die Voraussetzungen für eine Drittlandübermittlung nach Art. 44 ff. DSGVO vorliegen.

17. Vertragslaufzeit und Kündigung

17.1

Diese Auftragsverarbeitung endet automatisch, wenn der Hauptvertrag endet. Der Verantwortliche kann seine Rechte unter dieser Auftragsverarbeitung ausüben, solange der Auftragsverarbeiter personenbezogene Daten verarbeitet.

17.2

Jede der Parteien kann die Auftragsverarbeitung jederzeit mit angemessener Frist aus wichtigem Grund kündigen, wenn die andere Partei eine erhebliche Pflichtverletzung nach dieser Auftragsverarbeitung begeht.

18. Haftung

18.1

Werden gegenüber einer Partei Schadenersatzansprüche wegen der Verarbeitung personenbezogener Daten geltend gemacht, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren. Für den Verantwortlichen gilt dies nur, wenn der geltend gemachte Anspruch auf einer Pflichtverletzung des Auftragnehmers beruht.

18.2

Die Bestimmungen des Hauptvertrages (Nutzungsbedingungen) zur Haftung der Parteien im Innenverhältnis gelten auch für diese Auftragsverarbeitung.

19. Verschiedenes

19.1

Im Falle eines Widerspruchs haben die Bestimmungen dieser Auftragsverarbeitung Vorrang vor den Bestimmungen des Hauptvertrages (Nutzungsbedingungen) zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

19.2

Keine der Parteien erhält eine Vergütung für die Erfüllung ihrer Pflichten unter dieser Auftragsverarbeitung, es sei denn, dies ist in diesem oder einem anderen Vertrag ausdrücklich festgelegt.

20. Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Auftragsverarbeitung unwirksam, ungültig oder undurchführbar sein oder werden, so berührt dies nicht die Gültigkeit der übrigen Bedingungen dieses Vertrags. An die Stelle von nicht einbezogenen oder unwirksamen Allgemeinen Geschäftsbedingungen tritt das Gesetzesrecht. Im Übrigen werden die Parteien die Bestimmung ohne rechtliche Geltung durch eine wirksame ersetzen, die dem wirtschaftlich Gewollten in rechtlich zulässiger Weise am nächsten kommt, soweit keine ergänzende Vertragsauslegung vorrangig oder möglich ist.

21. Rechtswahl und Gerichtsstand

Diese Auftragsverarbeitung untersteht deutschem Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Auftragsverarbeitung ist, soweit zulässig, Mannheim.

Anhang 1

Der Anhang ist fester Bestandteil dieser Auftragsverarbeitung.

Für diesen Anhang gelten die im Hauptvertrag getroffenen Begriffsbestimmungen.

a) Unterauftragnehmer

Der Auftragsverarbeiter beabsichtigt, folgende Unterauftragnehmer für die Verarbeitung personenbezogener Daten in Anspruch zu nehmen. Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragnehmer gem. Ziff. 15 sowie ggf. der internationalen Datenübermittlung gem. Ziff. 16 zu:

Name des Unterauftragnehmers

Adresse

Auszuführende Arbeit

Internationale Übermittlung (soweit zutreffend)

Medialine EuroTrade AG

Breitlerstr. 43, D-55566 Bad Sobernheim

Hosting
und Betrieb

-

b) Beschreibung der technischen und organisatorischen Maßnahmen

Um einen angemessenen Schutz der personenbezogenen Daten durch technisch-
organisatorische Maßnahmen zu gewährleisten, setzt der Anbieter insbesondere, aber nicht ausschließlich, folgende Maßnahmen um:

Gemäß Art. 32 Abs. 1 DSGVO ist der Anbieter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Im Folgenden werden alle technischen und organisatorischen Sicherheitsmaßnahmen beschrieben, die beim Auftragnehmer im Rahmen der Auftragsverarbeitung umgesetzt werden. Die nachfolgende Darstellung richtet sich nach der Struktur des Art. 32 Abs. 1 DSGVO.

Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO

Zutrittskontrolle

Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen durch die folgenden Maßnahmen verwehrt:

  • Zutrittskontrollsystem: Zugang zu den Betriebsräumen des Auftragnehmers über Ausweisleser und persönlicher Chipkarte für alle Mitarbeiter des Auftragnehmers; Zutritt für Dritte nur in Begleitung eines Mitarbeiters

Zugangskontrolle

Durch die folgenden Maßnahmen wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  • Zugang zu IT-Systemen nur nach Eingabe einer persönlichen Benutzerkennung mit Passwort
  • Für alle Mitarbeiter verbindliche Passwortregeln sind in den Datenschutzrichtlinien des Auftragnehmers festgelegt: Sonderzeichen, Mindestlänge, Ausschluss trivialer Passwörter, regelmäßiger Wechsel des Kennworts, soweit möglich technisch erzwungen
  • Automatische Sperrung der Arbeitsplatz-Rechner (z.B. Kennwort oder Pausenschaltung)
  • Einrichtung eines (1) Benutzerstammsatzes pro User

Zugriffskontrolle

Durch die folgenden Maßnahmen wird gewährleistet, dass die Benutzung eines Datenverarbeitungssystems ausschließlich durch Berechtigten erfolgt, die nur im Rahmen ihrer Zugriffsberechtigung auf Daten zugreifen können:

  • Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte
  • Differenzierte Berechtigungen (über Profile bzw. Rollen) je nach Arbeitsaufgaben an Mitarbeiter des Auftragnehmers
  • Minimale Anzahl von Administratoren
  • Protokollierung und Überwachung der Vergabe von Zugriffsberechtigungen

Trennungskontrolle

Durch die folgenden Maßnahmen wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Trennung von Produktiv- und Testumgebung beim Auftragnehmer
  • Beim Auftraggeber nur Produktiv-System der Basis-Plattform
  • Im vitagroup RZ werden neue Versionen zuvor getestet.
  • Anwendungssoftware: Trennung der Produktiv- und Testumgebung beim Auftragnehmer über Namespaces in Kubernetes

Pseudonymisierung und Verschlüsselung

Die folgenden Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken werden umgesetzt:

  • Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen (Tunnelverbindung: VPN = Virtual Private Network oder SSL).

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Durch die folgenden Maßnahmen wird gewährleistet, dass personenbezogene Daten bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verschlüsselung (SSL/SSH) beim Datentransport zwischen Auftragnehmer und dem Rechenzentrum des Subauftragnehmers medialine

Eingabekontrolle

Durch die folgenden Maßnahmen wird gewährleistet, dass nachträglich geprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

  • Alle Eingaben, Änderungen und Löschungen personenbezogener Daten werden, soweit technisch möglich dem verwendeten Datenbanksystem mit Uhrzeit- und Benutzerstempel protokolliert und dokumentiert.
  • Definition klarer Löschfristen für alle Kategorien personenbezogener Daten und Regelungen zur Zuständigkeit der erforderlichen Datenlöschungen
  • Regelung von Aufbewahrungsfristen für alle erzeugten Protokolle
  • Schutz der Protokolldatenbestände gegen unbefugte Zugriffe

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Die folgenden Maßnahmen zur Datensicherung (physikalisch / logisch) werden umgesetzt, so dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

·       Backup- und Recovery-Konzept

·       Einsatz von Virenschutz und Firewall sowie regelmäßige Aktualisierung

·       Notfallplan

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutzmanagement

  • Prozesse im Rahmen eines Datenschutzmanagements sind in den Datenschutzrichtlinien des Auftragnehmers verbindlich geregelt und implementiert.
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
  • Mitarbeiter werden regelmäßig zum Datenschutz geschult und auf Vertraulichkeit schriftlich verpflichtet
  • Beim Auftragnehmer ist ein Datenschutzbeauftragter bestellt, der bei der Planung, Umsetzung, Evaluierung und Anpassung der erforderlichen Maßnahmen im Bereich von Datenschutz und IT- Sicherheit beteiligt ist.
  • Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. einmal jährlich durchgeführt (internes Audit)
  • Die Datenschutz-Richtlinien des Auftraggebers werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
  • Zentrale Dokumentation aller betrieblichen Verfahrensweisen und Regelungen zum Datenschutz in einem internen Datenschutz-Wiki

Incident-Response-Management

Durch die folgenden Maßnahmen wird gewährleistet, dass Datenschutzvorfälle rechtzeitig erkannt und entsprechend den Vorgaben von Art. 33, 34 DSGVO behandelt werden:

  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
  • Unverzügliche Information des Auftraggebers über die Art, die näheren Umstände und die Ursachen des Vorfalls sowie über mögliche Gegenmaßnahmen, soweit Daten betroffen sind, die in seinem Auftrag verarbeitet werden.

Auftragskontrolle

Durch die folgenden Maßnahmen wird gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • Eindeutige Vertragsgestaltung entsprechend der Vorgaben von Art. 28 Abs. 2-4 DSGVO zwischen Auftraggeber und Auftragnehmer
  • Regelmäßige Kontrolle der ordnungsgemäßen Vertragsausführung durch den Auftragnehmer