Zum Inhalt springen
Pulse Papershift Pulse Papershift Pulse Hub

Auftragsverarbeitungsvertrag

Version 2025-06-06

zwischen Auftraggeber Leistungspaket

im Folgenden AG (Auftraggeber/Verantwortlicher/Unterschriftsleister)

und Papershift Pulse

im Folgenden AV (Auftragsverarbeiter/Auftragnehmer)

1. Gegenstand der Vereinbarung

(1) Der AV verarbeitet alle Mitarbeiterdaten des AG, beginnend mit dem Recruiting bis zum Offboarding, auf der Grundlage von Software as a Service (SaaS) Anwendungen für Dienstpläne, Zeiterfassung, Abwesenheiten, Arbeitsverträge, Digitales Signieren, Erinnerungen, HR-Prozesse, Umfragen, Lohnabrechnung, Kommunikation, Digitale Personalakte, Dokumenten-Management, Mitarbeiter-Entwicklung, Feedback, Whistleblowing, Reporting & Berichte, Forecasting, Benchmarking.

(2) Der AV verarbeitet dabei personenbezogene Daten für den AG als Verantwortlichen im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

(3) Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

2. Dauer der Vereinbarung

Die Dauer der Vereinbarung richtet sich nach der Laufzeit der jeweiligen Leistungspakete für die SaaS Dienstleistung.

3. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

(1) Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

Die Verarbeitung erfolgt durch erheben, erfassen, organisieren, ordnen, speichern, anpassen oder verändern von Daten.

(2) Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO):

Es erfolgt eine Verarbeitung von personenbezogenen Daten, insbesondere im Rahmen des Recruiting, innerhalb von HR Prozessen, einer Lohnabrechnung, einer Dienstplanverwaltung, einer Arbeitszeiterfassung, einer digitalen Personalakte, eines Arbeitsvertrages, digitaler Signaturen, interner Kommunikation, Ergebnis von Fragebögen, eines Reporting- & Berichtswesens, eines Forecastings oder Benchmarkings.

(3) Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

Es erfolgt eine Verarbeitung von Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, insbesondere Name, Geburtsdatum, Wohnort, Tätigkeit, Ausbildung, Qualifikationen.

4. Rechte und Pflichten sowie Weisungsbefugnisse des Verantwortlichen

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO ist allein der AG verantwortlich (Verantwortlicher). Gleichwohl ist der AV verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den AG als Verantwortlichen gerichtet sind, unverzüglich an diesen weiterzuleiten.

(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen AG und AV abzustimmen und in einem dokumentierten elektronischen Format festzulegen.

(3) Der AG erteilt alle Aufträge, Teilaufträge und Weisungen in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich in einem dokumentierten elektronischen Format zu bestätigen.

(4) Der AG ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim AV getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

(5) Der AG informiert den AV unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(6) Der AG ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des AV vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

5. Weisungsberechtigte des AG und Weisungsempfänger des AV

(1) Weisungsberechtigte Personen des AG sind:

Geschäftsführer/Prokurist/Bevollmächtigter AG

(2) Weisungsempfänger beim AV sind:

Florian Suchan, Geschäftsführer

Papershift GmbH

+49 721 50 95 79 69

[email protected]

(3) Für Weisung zu nutzende Kommunikationskanäle: [email protected]

6. Pflichten des AV

(1) Der AV verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des AG, sofern er nicht zu einer anderen Verarbeitung durch das EU-Recht, das Recht der Bundesrepublik Deutschland oder durch die Landesdatenschutzbehörde, dem der AV unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der AV dem AG diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

(2) Der AV verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des AG nicht erstellt.

(3) Der AV sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den AG verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(4) Der AV wird über die gesamte Zeit der Dienstleistungen für den AG Überprüfungen in seinem Bereich durchführen und die Ergebnisse dokumentieren.

(5) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch AG, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des AG hat der AV im notwendigen Umfang mitzuwirken und den AG soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO).

(6) Der AV wird den AG unverzüglich darauf aufmerksam machen, wenn eine vom AG erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der AV ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den AG nach Überprüfung bestätigt oder geändert wird.

(7) Der AV hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der AG dies mittels einer Weisung verlangt und berechtigte Interessen des AV dem nicht entgegenstehen. Unabhängig davon hat der AV personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des AG ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DS-GVO zugrunde liegt.

(8) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der AV nur nach vorheriger Weisung oder Zustimmung durch den AG erteilen.

(9) Der AV erklärt sich damit einverstanden, dass der AG - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom AG beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). AV sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

(10) Der AV verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des AG die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

(11) Der AV sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der AV überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

(12) Beim AV ist als Beauftragter für den Datenschutz

Herr Onur Turhan

DataCo GmbH

Dachauer Straße 65, 80335 München

+49 89 7400 45840

[email protected]

bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem AG unverzüglich mitzuteilen.

7. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der AV teilt dem AG unverzüglich Störungen, Verstöße gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des AG nach Art. 33 und Art. 34 DS-GVO. Der AV sichert zu, den AG erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den AG darf der AV nur nach vorheriger Weisung durchführen.

8. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des AG ist dem AV ohne Einzelgenehmigung des AG gestattet. Jede neue Subbeauftragung ist vor der Datenverarbeitung dem AG durch den AV anzuzeigen. Der AG hat ein Recht auf Einspruch gegen diese Subbeauftragung (Art. 28 Abs. 2 DS-GVO).

(2) Der AV hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen AG und AV auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des AV und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der AG berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

(3) Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

(4) Der AV hat die Einhaltung der Pflichten des/der Subunternehmer(s) zu überprüfen und die Ergebnisse zu dokumentieren.

(5) Der AV haftet gegenüber dem AG dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den AV im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

(6) Zurzeit sind für den AV die im Folgenden bezeichneten Subunternehmer in dem dort genannten Umfang beschäftigt:

Alphabet, Inc. (Google)

Cloud, Gmail, Kalender, Maps

Amazon Web Services, Inc.

Server, Datenbanken, Files, Cache

Birdsight (Qovery)

DevOps Automation

Cloudflare, Inc.

CDN, DNS

Hubspot Germany GmbH

CRM

Microsoft Ireland Operations Limited

Azure-Dienste

New Relic, Inc.

Monitoring

Redis Ltd.

Cache

SeMI Technologies B.V.

Semantische Suche

Stripe, Inc.

Online Zahlungen, Rechnungen

Twilio, Inc. (Sendgrid)

Email

Zoom Video Communications Inc.

Video-Telefonie

Der AG erklärt sich mit deren Beauftragung einverstanden.

9. Technische und organisatorische Maßnahmen (insbesondere Art. 28 Abs. 3 Satz 2 lit. c und e DS-GVO)

(1) Allgemeine organisatorische Maßnahmen

Maßnahmen, die geeignet sind, eine Sensibilität für Datenschutz zu schaffen. Folgende allgemeine organisatorische Maßnahmen sind beim Auftragnehmer umgesetzt:

  • Datenschutzbeauftragter wurde bestellt
  • Beschäftigte erhalten Datenschutz Schulung/Unterweisung (Art der Schulung: Präsenzschulung)
  • Datenschutzschulungen werden wiederholt
  • Beschäftigte wurden/werden auf Betriebs-/Geschäftsgeheimnis verpflichtet
  • Beschäftigte wurden/werden auf Datengeheimnis verpflichtet
  • Beschäftigte unterschreiben Verschwiegenheitserklärung

(2) Pseudonymisierung / Verschlüsselung (Art. 32 Abs. 1 lit. a EU-DSGVO)

Maßnahmen, um den Schutz personenbezogener Daten zu gewährleisten, indem diese mittels Hilfsmechanismen in eine pseudonymisierte Form umgewandelt und verarbeitet werden oder mit einer dem Stand der Technik entsprechenden Verschlüsselung vor Zugriffen zu schützen:

  • Speicherung erfolgt auf verschlüsselten Datenträgern und gesicherten Servern.
  • Einsatz einer starken Verschlüsselung nach Stand der Technik (Bitlocker, FileVault)
  • Verschlüsselte Speicherung personenbezogener Daten auf mobilen Datenträgern (Notebook, Smartphone, USB-Stick, etc.).
  • Mobilgeräte (insbesondere Laptops) sind standardmäßig mit einer Festplattenverschlüsselung ausgestattet.
  • Daten werden verschlüsselt an andere Bereiche oder Auftragsverarbeiter übertragen.
  • Backups der Datenbank sind AES-256 verschlüsselt.

(3) Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

Maßnahmen, welche die Vertraulichkeit der Systeme und Dienste bei der Verarbeitung personenbezogener Daten sicherzustellen.

  • Angemessene Zugangskontrollen zu Gelände, Gebäude und Serverraum:
    • Bereich kann nicht durch mehrere Türen unbemerkt verlassen werden (Notausgänge)
    • Sorgfältige Auswahl von Reinigungspersonal
    • Schließsystem zum Firmengelände/Büroräumen mit:
      • Chip
      • Chip Abgabe wird protokolliert
    • Besucherregelung vorhanden
      • Besucher werden permanent in den Räumlichkeiten begleitet
  • Angemessene Datenträgerkontrollen:
    • Führen einer Inventarliste sämtlicher Datenträger in der Infrastruktur
    • Regelmäßige Kontrolle, ob personenbezogene Datenspeicherung notwendig ist (Umfang und Zweck)
    • Ordnungsgemäße Vernichtung/Löschung von Daten/Datenträgern/Papier:
      • Physische Löschung von Datenträgern vor Wiederverwendung
      • Ordnungsgemäße Vernichtung von Papier (DIN 66399): Sicherheitsstufe P-4
  • Angemessene Benutzerverwaltung, sowie dediziertes Benutzer- und Berechtigungskonzept:
    • Eindeutige Benutzerkennung
    • Zentrales Anlegen der Benutzer
    • Zuordnung von Benutzerrechten
    • Erstellen von Benutzerprofilen
    • Initialpasswort mit Änderungspflicht
    • Schulung zu Passwörtern
    • Authentifikation mit Benutzername / Passwort
    • Zuordnung von Benutzerprofilen zu IT-Systeme
    • Verwaltung der Rechte durch Systemadministrator
    • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Angemessene Benutzer Kontrollmaßnahmen:
    • Nur autorisierte Personen und Geräte erhalten Zugriff
    • Anwender müssen sich für Netzwerkanmeldungen authentifizieren
    • Es gibt ein gesichertes WLAN (mindestens WPA2):
      • Einsatz einer Software-Firewall
      • Regelmäßige Kontrolle der Firewall-Einstellungen
      • Fernwartungszugänge werden nur bei Bedarf freigegeben
    • Benutzerkonten von ausgeschiedenen Mitarbeitern werden unverzüglich gesperrt
    • Nutzung von privaten Mobilgeräten (u. a. Laptops, Tablet-PCs, Smartphones), z. B. im Rahmen einer Bring-Your-Own-Device-Regelung erlaubt
  • Sicherung bei Übermittlung personenbezogener Daten:
    • Art der Sicherung der Daten zwischen Auftraggeber und Auftragnehmer: Verschlüsselung
  • Maßnahmen zur Auftragskontrolle
    • Auswahl von Subauftragnehmern unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
      • Anhand der Vereinbarung zur Auftragsdatenverarbeitung
      • Anhand weiterer Dokumente: Standardvertragsklauseln, Privacy-Shield Zertifizierung
    • Verträge mit den Dienstleistern enthalten:
      • Es gibt zu jedem Dienstleister eine Vereinbarung nach Art. 28 EUDSGVO
      • Es sind weitere Subdienstleister genehmigungspflichtig
      • Auftragnehmer hat Datenschutzbeauftragten bestellt
  • Weitere Maßnahmen der Zweckbindung/des Trennungsgebots:
    • Festlegung von Datenbankrechten

(4) Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)

Maßnahmen, die die Integrität der verarbeiteten personenbezogenen Daten sicherstellen.

  • Fernwartungszugänge werden nur bei Bedarf freigegeben
  • Auswahl von Subauftragnehmern unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • Maßnahmen zur Trennbarkeit
    • Trennung von Produktiv- und Testsystem
    • Festlegung von Datenbankrechten

(5) Verfügbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

Maßnahmen und Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.

  • Maßnahmen zur Gewährleistung der Verfügbarkeit
    • Erstellen eines Backup & Recovery Konzepts
    • Umfang der Sicherung:
      • Datenbanken
      • Fileserver
    • Art der Sicherung:
      • Festplatte
      • Auf einem anderen System
  • Maßnahmen zur Wiederherstellbarkeit
    • Notfallpläne vorhanden / gepflegt
    • Testen von Datenwiederherstellung, Häufigkeit: jährlich
  • Maßnahmen zur Verfügbarkeitskontrolle
    • Unterbrechungsfreie Stromversorgung (USV) ist installiert
    • Klimaanlage in Serverräumen
    • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
    • Aufbewahrung von Datensicherung:
      • an einem sicheren, ausgelagerten Ort (Art der Datenübertragung: digital, verschlüsselt)
    • Nutzung von Cloud-Services
      • AWS
      • Cloudflare
      • Redis

(6) Belastbarkeit der Systeme (Art. 32 Abs. 1 lit. b EU-DSGVO)

Gewährleistung, dass IT-Systeme auch unter hoher Inanspruchnahmefrequenz ordnungsgemäß funktionieren (Performanz). Die Belastbarkeit der IT-Systeme ist grundlegend für die Aufrechterhaltung des Geschäftsbetriebs, also für die Business Continuity. In der englischen Fassung wird von „resilience“ gesprochen, so dass hier eher/auch die Begriffe Resilienz bzw. Widerstandsfähigkeit der Systeme bzw. Dienste gemeint sind.

Maßnahmen, welche die Belastbarkeit von Systemen und Diensten sicherstellen sollen:

  • Maßnahmen zur Belastbarkeit
    • redundante WAN-Anschlüsse
    • Ausreichende Dimensionierung der Storage-Systeme
    • Ausreichende Dimensionierung der Arbeitsspeicher
    • Monitoring der Systeme
    • Monitoring des Netzwerks
    • Ausfallraten-Statistik
    • Verfügbarkeitsstatistik
    • Ticketsystem
    • Mit Dienstleistern abgeschlossene Service-Level-Agreements (SLA)
    • Unterbrechungsfreie Stromversorgung (USV) ist installiert
    • Klimaanlage in Serverräumen
    • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen

(7) Verarbeitung auf Dauer (Art. 32 Abs. 1 lit. b EU-DSGVO)

Maßnahmen, die sicherstellen, dass eine Verarbeitung auf Dauer integer gewährleistet wird und andererseits die Dauer der Verarbeitung nicht überschritten wird.

  • Monitoring der Systeme
  • Monitoring des Netzwerks
  • Datensicherungsformate ermöglichen langfristige Sicherung und Rücksicherung
  • Changemanagement vorhanden; Updates werden bspw. nur nach vorherigem Test eingespielt

(8) Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c EU-DSGVO)

Maßnahmen, die sicherstellen, dass Systeme und Dienste zur Verarbeitung personenbezogener Daten im Störungsfall wiederhergestellt werden können.

  • Backup-Prozeduren nach Kategorisierung und Ressourcen vorhanden.
  • Erreichbarkeit von Administratoren geregelt (ggf. Rufbereitschaft)
  • Vorhandensein von Ausweichrechenzentren (Hot site, warm site, cold site)
  • Mit Dienstleistern abgeschlossene Service-Level-Agreements (SLA).

(9) Speicherbegrenzung (Art. 5 Abs. 1 lit. e EU-DSGVO)

Gewährleistung, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“) Folgende Maßnahmen der Speicherbegrenzung sind beim Auftragnehmer umgesetzt:

  • Vorliegen Löschkonzept (insbesondere für CRM- und ERP-Systeme)
  • Nachweis der Datenlöschung durch Systemprotokolle

(10) Regelmäßige Evaluation der Wirksamkeit (Art. 32 Abs. 1 lit. d EU-DSGVO)

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Folgende Maßnahmen zur regelmäßigen Evaluation der Wirksamkeit sind beim Auftragnehmer umgesetzt:

  • Auswertung von Vorfällen
  • Auswertung und Umsetzung von Verbesserungsvorschlägen
  • Überprüfung der Managementsysteme durch die Geschäftsführung
  • Überprüfung durch den DSB (mit Bericht)

10. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, (Art. 28 Abs. 3 Satz 2 lit. g DS-GVO)

Mit Beendigung der Auftragsverarbeitung hat der AV sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, zu löschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem AG auf dessen Aufforderung mit Datumsangabe in einem dokumentierten elektronischen Format zu bestätigen.

11. Haftung

Die Haftung richtet sich nach den gesetzlichen Regelungen (Art. 82 DS-GVO).

12. Sonstiges

(1) Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

(2) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Im Fall eines Widerspruchs zwischen der deutschen und englischen Fassung dieses Textes gilt ausschließlich die deutsche Fassung als verbindlich. Die englische Fassung dient nur zu Informationszwecken.