Auftragsverarbeitung nach Art. 28 DSGVO

Steinpilz Risotto UG (haftungsbeschränkt)

Geltungsbereich

Sie sind ein Kunde, der einen Vertrag mit derSteinpilz Risotto UG (haftungsbeschränkt) über die Nutzung der Zeiterfassungssoftwares, nachfolgend: „Fritto Zeiterfassungssoftware“, abgeschlossen hat. Sie unterliegen den zum jeweiligen Zeitpunkt geltenden Allgemeinen Geschäftsbedingungen für die oben genannte Dienste (die „Allgemeine Geschäftsbedingungen“).

Damit Sie dieFritto Zeiterfassungssoftwarenutzen können, muss die Steinpilz Risotto UG (haftungsbeschränkt) auf personenbezogene Daten in Ihrem Auftrag zugreifen und sie verarbeiten. Die Steinpilz Risotto UG (haftungsbeschränkt) handelt als Auftragsverarbeiter dieser personenbezogenen Daten, während Sie als der für diese personenbezogene Daten Verantwortliche handeln. Daher ist die Steinpilz Risotto UG (haftungsbeschränkt) verpflichtet, einen Auftragsverarbeitungsvertrag für die Daten mit dem Kunden abzuschließen.

Dementsprechend wird dieser Auftragsverarbeitungsvertrag zwischen (a) dem Kunden, der die Dienste der Steinpilz Risotto UG (haftungsbeschränkt) in Anspruch nimmt, und (b) die Steinpilz Risotto UG (haftungsbeschränkt) geschlossen.

Mit der Annahme der Allgemeinen Geschäftsbedingungen tritt der vorliegende AVV, den der Kunde hiermit akzeptiert und annimmt, gemäß der geltenden Gesetzen in Kraft.

Zuletzt geändert am: 09.12.2025

Inhalt

1. Vorbemerkung
2. Gegenstand, Dauer und Zweck des Vertrags
   2.1 Gegenstand des Auftrages
   2.2 Die Dauer dieses Auftrages
   2.3 Art, Umfang und Zweck der Auftragsverarbeitung
3. Technisch-organisatorische Maßnahmen („TOM“)
4. Pflichten des Auftraggebers
5. Pflichten des Auftragnehmers
   5.1 Mitwirkungspflicht
   5.2 Meldepflicht und Benachrichtigungspflicht
   5.3 Kontrollhandlungen bei dem Auftragnehmer
   5.4 Berichtigung, Sperrung und Löschung von Daten
   5.5 Pflicht zur Bestellung eines Datenschutzbeauftragten
   5.6 Pflicht zur Wahrung der Vertraulichkeit
   5.7 Umsetzung und Nachweisbarkeit zur Einhaltung der TOM
   5.8 Zweckbindung
   5.9 Qualitätssicherung / Selbstkontrolle
   5.10 Benennung der zum Empfang von Weisungen berechtigten Personen
   5.11 Pflicht zur Unterstützung bei Ersuchen von Betroffenen
6. Unterauftragsverhältnisse
7. Kontrollrechte des Auftraggebers
8. Weisungsbefugnis des Auftraggebers
9. Löschung und Rückgabe von Daten
10. Schlussbestimmungen

Anlage 1: Art, Umfang und Zweck der Datenverarbeitung

Anlage 2: Datenschutzbeauftragte(r), Unterauftragsverhältnisse und zum Empfang von Weisungen befugte Personen des Auftragnehmers

Anlage 3: TOM des Auftragnehmers gem. Art. 32 DSGVO

1. Vorbemerkung

Der Auftraggeber steht nach außen, also gegenüber Dritten und den Betroffenen für die Rechtmäßigkeit der auftragsgemäßen Erhebung und Verwendung der Auftraggeber-Daten ein. Er ist nach außen auch für die Wahrung der Rechte der Betroffenen verantwortlich.

Im Rahmen der Tätigkeiten und/oder Leistungen, welcher der Auftragnehmer für den Auftraggeber erbringt, kann nicht ausgeschlossen werden, dass er unter anderem auch Zugriff auf personenbezogenen Daten erhält. Ist dies der Fall, verarbeitet der Auftragnehmer personenbezogene Daten des Auftraggebers in dessen Auftrag.

Der Auftraggeber hat den Auftragnehmer im Rahmen der Sorgfaltspflichten des Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auftrag ist, dass der Auftraggeber dem Auftragnehmer den Auftrag schriftlich erteilt. Dieser Vertrag enthält nach dem Willen der beiden Parteien und insbesondere des Auftraggebers den schriftlichen Auftrag zur Auftragsverarbeitung i. S. d. Art. 28 DSGVO und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung.

Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird damit allgemein die Verwendung von personenbezogenen Daten verstanden. Sofern in diesem Vertrag der Begriff „Auftraggeber-Daten“ benutzt wird, werden damit personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) bezeichnet. Eine Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung, Anonymisierung, Pseudonymisierung, Verschlüsselung oder sonstige Nutzung von Daten.

Die besonderen Anlagen und Anhänge sind Gegenstand dieser Vereinbarung. Wesentliche Änderungen sind schriftlich zu dokumentieren.

2. Gegenstand, Dauer und Zweck des Vertrags

2.1 Gegenstand des Auftrages

Die genaue Beschreibung des Auftragsgegenstandes sowie Art und Umfang der Leistungserbringung erfolgt in Anlage 1.

2.2 Die Dauer dieses Auftrages

Die Dauer dieses Auftrages (Laufzeit) entspricht der Laufzeit des Hauptvertrags.

Die Möglichkeit zur fristlosen Kündigung bleibt davon unberührt.

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

2.3 Art, Umfang und Zweck der Auftragsverarbeitung

Der Auftragnehmer erhebt, verarbeitet und nutzt die Daten des Auftraggebers ausschließlich im Auftrag und nach Weisung des Auftraggebers i. S. d. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle (sog. „Herr der Daten“).

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Die Verlagerung in ein Drittland ist, sofern der Auftragnehmer es als notwendige Maßnahme für die Erfüllung des Auftrages betrachtet, zugelassen. Der Auftragnehmer stellt dem Auftraggeber die Liste mit den eingesetzten Subunternehmen in Anlage 2 zur Verfügung.

Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken erheben und verwenden, die abschließend in Anlage 1 („Art Umfang und Zweck, der Datenverarbeitung“ – „Zweck der Datenverarbeitung“) zu diesem Vertrag festgelegt sind. Die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer betreffen ausschließlich die in Anlage 1 („Art Umfang und Zweck, der Datenverarbeitung“) zu diesem Vertrag abschließend festgelegten Datenarten und den dort bestimmten Kreis der Betroffenen. Jede davon abweichende oder darüberhinausgehende Erhebung oder Verwendung von Auftraggeber-Daten ist dem Auftragnehmer untersagt, insbesondere eine Verwendung der Auftraggeber-Daten zu eigenen Zwecken.

Der Auftraggeber stimmt mit Unterzeichnung des Hauptvertrags einer solchen Datenverarbeitung grundsätzlich zu. Die Art der Datenverarbeitung wird abschließend in Anlage 1 aufgeführt.

3. Technisch-organisatorische Maßnahmen („TOM”)

Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber auf Verlangen zur Prüfung zu übergeben. Dabei handelt es sich um die Dokumentation der von Auftragnehmer getroffenen Maßnahmen zum Schutz der Daten. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische Maßnahmen hinsichtlich

• der Pseudonymisierung und Verschlüsselung personenbezogener Daten

• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

• der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

• eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die vom Auftragnehmer getroffenen Maßnahmen sind in Anlage 3 („technische und organisatorische Maßnahmen – TOM“) zu finden.

Ebenso sind besondere Maßnahmen zum Schutze der Daten, mit Hinblick auf

• die Art des Datenaustauschs

• der Bereitstellung von Daten, Art / Umstände

• der Verarbeitung / der Datenhaltung sowie

• die Art / Umstände beim Output / Datenversand,

in Anlage 3 zu dokumentieren, – soweit sie sich dies nicht bereits aus dem zugrundeliegenden Hauptvertrag ergibt.

Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, Art. 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Pflichten des Auftraggebers

Der Auftraggeber ist zur Wahrung der Rechte der betroffenen Person (Art. 12 ff. DSGVO bzw. §§ 32 ff. BDSG), zur Ergreifung technischer und organisatorischer Maßnahmen, zur Meldung und Benachrichtigung bei Datenpannen, zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 32 bis 36 DSGVO) sowie zur Qualitätssicherung verpflichtet.

Der Auftraggeber hat ebenso die Pflicht zur Durchführung der Auftragskontrolle. Dies erfolgt mittels regelmäßiger Prüfungen durch den Auftraggeber, im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere auf Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags. Der Auftragnehmer ist verpflichtet diese Kontrollen in angemessener Weise zu unterstützen. Der Unterstützungsleistung kann insbesondere durch das Vorliegen eines aktuellen Testats erfolgen.

5. Pflichten des Auftragnehmers

Bei der Einhaltung der Pflichten des Auftraggebers unterstützt der Auftragnehmer den Auftraggeber.

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags die gesetzlichen Pflichten gemäß Art. 28 bis 33 DSGVO zu erfüllen.

5.1 Mitwirkungspflicht

Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Erhebung oder Verwendung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen, insbesondere durch unverzügliches Zurverfügungstellen sämtlicher Informationen und Dokumente über die vertragsgegenständliche Verarbeitung von Auftraggeber-Daten.

5.2 Meldepflicht und Benachrichtigungspflicht

Es ist bekannt, dass nach Art. 33 DSGVO Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche meldepflichtigen Vorfälle ohne Ansehen der Verursachung unverzüglich vom Auftragnehmer entsprechend dem vorhandenen Datenschutzmanagementsystem zu prüfen, bearbeiten und dem Auftraggeber mitzuteilen. lm Falle der meldepflichtigen Verletzung des Schutzes der Auftraggeber-Daten durch den Auftragnehmer, ist der Auftragnehmer verpflichtet, den Auftraggeber im Hinblick auf

• dessen Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und

• der Benachrichtigungspflicht gegenüber den betroffenen Personen

zu unterstützen.

Eine Mitteilung an den Auftraggeber muss dann und insoweit erfolgen, wie es im Datenschutzmanagementsystems des Auftragnehmers dokumentiert ist. Unabhängig davon erfolgt eine Mitteilung, wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten eingetreten ist („Datensicherheitsvorfall“).

lm Fall von meldepflichtigen Datenschutzverletzungen oder bei Verletzungen dieses Vertrages, hat der Auftragnehmer den Auftraggeber unverzüglich und vollständig über

• Zeitpunkt,

• Art und

• Umfang

der betroffenen Auftraggeber-Daten zu informieren. Dem Auftraggeber sind sämtliche relevante Informationen zur Erfüllung der Meldepflicht gegenüber der Aufsichtsbehörde unverzüglich zur Verfügung zu stellen.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

• die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechts-verletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

• die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich gem. des vorhandenen Datenschutzmanagementsystem zu prüfen, bearbeiten und zu melden;

• die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

• die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;

• die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

5.3 Kontrollhandlungen bei dem Auftragnehmer

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung von Auftraggeber-Daten ermittelt.

5.4 Berichtigung, Sperrung und Löschung von Daten

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken, es sei denn die Berichtigung, Sperrung oder Löschung ist im Rahmen der Dienstleistungstätigkeit üblich und erforderlich. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten, es sei denn die Berichtigung, Sperrung oder Löschung ist im Rahmen der Dienstleistungstätigkeit üblich und erforderlich.

Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenübertragbarkeit und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5.5 Pflicht zur Bestellung eines Datenschutzbeauftragten

Der Auftragnehmer hat, soweit gesetzlich vorgeschrieben, eine(n) Datenschutzbeauftragte(n) bestellt. Diese(r), kann seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausüben. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme in Anlage 2 („Art Umfang und Zweck, der Datenverarbeitung“ – „Datenschutzbeauftragte(r) mitgeteilt.

5.6 Pflicht zur Wahrung der Vertraulichkeit

Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden, insbesondere gemäß den Bestimmungen der Art.  5 Abs. 1 lit. f, Art. 28 Abs. 3 lit. b, Art 29, Art. 32 Abs. 4 DSGVO sowie § 88 TKG. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

Die Verpflichtung besteht auch nach Beendigung dieses Vertrags, auf unbestimmte Zeit fort.

5.7 Umsetzung und Nachweisbarkeit zur Einhaltung der TOM gem. Art. 32 DSGVO

Der Auftragnehmer hat die Pflicht zur Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO.

Zudem hat der Auftragnehmer die Pflicht zur Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, interner/externer Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001, vds 3474 oder ähnliche) vorlegen.

5.8 Zweckbindung

Der Auftragnehmer hat die Pflicht, die Daten für keine anderen als in diesem Vertrag vereinbarten Zwecke zu verwenden und ist insbesondere nicht berechtigt, sie an unberechtigte Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Der Auftragnehmer darf Auftraggeber-Daten ohne vorherige schriftliche Zustimmung durch den Auftraggeber nicht an Dritte oder andere Empfänger aushändigen. Hiervon ausgenommen sind Datenweitergaben an Unterauftragnehmer, deren Beauftragung der Auftraggeber gemäß Ziffer 6 zugestimmt hat.

5.9 Qualitätssicherung / Selbstkontrolle

Der Auftragnehmer hat die Pflicht zur regelmäßigen Selbstkontrolle seiner internen Prozesse, so dass die Verarbeitung der Auftraggeber-Daten in Übereinstimmung mit diesem Vertrag und den Weisungen des Auftraggebers erfolgt und die technisch-organisatorischen Maßnahmen gemäß Ziffer 3 dieses Vertrags eingehalten werden.

Der Auftragnehmer ist verpflichtet, die Selbstkontrollen zu dokumentieren und dem Auftraggeber die Dokumentation auf Verlangen vorzulegen.

5.10 Benennung der zum Empfang von Weisungen berechtigten Personen 

Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind.

Zum Empfang von Weisungen berechtigte Person(en) des Auftragnehmers ist (sind) in Anlage 2 genannt.

In dringenden Fällen darf der Auftraggeber aber auch jedem anderen Beschäftigten des Auftragnehmers entsprechende Weisungen erteilen, sofern weder der Empfangsberechtigte noch sein Stellvertreter für den Auftraggeber erreichbar waren.

Ein Wechsel im Personenkreis der Empfangsberechtigten oder bei dauerhafter Verhinderung hat der Auftragnehmer dem Auftraggeber dies möglichst frühzeitig, schriftlich und unter Benennung eines Vertreters mitzuteilen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt für Weisungen des Auftraggebers.

Der Auftragnehmer ist verpflichtet, bei Weisungen des Auftraggebers diese im Einzelfall mit einer jeweils angemessenen Frist umzusetzen.

Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

5.11 Pflicht zur Unterstützung bei Ersuchen von Betroffenen

Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte gem. Kapitel 3 DSGVO (Art. 28 Abs. 1 lit. f DSGVO).

6. Unterauftragsverhältnisse

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Die Beauftragung von Subunternehmen ist, sofern der Auftragnehmer es als notwendige Maßnahme für die Erfüllung des Auftrags betrachtet, zugelassen. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

Die Unterauftragsverhältnisse werden in Anlage 2 („Liste der Unterauftragsverhältnisse“) gelistet.

7. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennendem Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die mit angemessener Frist rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

• Durchführung eines Selbstaudits

• unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung

• Zertifikat zu Datenschutz und/oder Informationssicherheit

• genehmigte Verhaltensregeln nach Art. 40 DSGVO

• Zertifikate nach Art. 42 DSGVO

8. Weisungsbefugnis des Auftraggebers

Der Umgang mit den Daten erfolgt im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (vgl. Art. 28 DSGVO). Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein Weisungsrecht vor, Einzelweisungen konkretisieren zu können.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an berechtigte Dritte oder den Betroffenen darf der Auftragnehmer erteilen.

Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

Weisungen sollen im Regelfall von dem Weisungsberechtigten des Auftraggebers oder dessen Stellvertreter erteilt werden.

Zur Erteilung von Weisungen berechtigte Personen / Personengruppen sind in Anlage 1 genannt.

Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend Art. 28 DSGVO (ehem.: § 11 Abs. 3 Satz 2 BDSG) zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

9. Löschung und Rückgabe von Daten

Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Auftraggeber, hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Datenträger, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der Auftragsverarbeitung stehen, dem Auftraggeber zurückzugeben oder auf dessen Weisung hin, sicher und datenschutzkonform zu löschen und zu vernichten. Gleiches gilt für Kopien, Test- und Ausschussmaterial. Das Protokoll der Löschung/Vernichtung ist auf Anforderung dem Auftraggeber vorzulegen.

Sofern keine gegenteilige Weisung erteilt wird, kann der Auftragnehmer dem Auftraggeber die elektronisch gespeicherten Daten in verschlüsselter Form auf einem marktüblichen Datenträger oder verschlüsselt mit Hilfe eines online-Portals des Auftraggebers übermitteln.

Dies trifft nicht auf solche Daten zu, welche sich beim Auftragnehmer innerhalb von Archivierungs-/Langzeitarchivierungssystem und in Datensicherungssystemen befinden und zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich, sowie für Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten, erforderlich sind.

Ist, systembedingt und in Sonderfällen, eine Herausgabe von Daten nicht möglich oder mit unangemessenem Aufwand verbunden, kann an die Stelle der Herausgabe auch eine sichere, datenschutzkonforme Löschung / Anonymisierung oder Sperrung treten.

Der Auftraggeber ist insbesondere damit einverstanden, dass sich der Löschanspruch nicht auf revisionssichere Backupsysteme bezieht und im Sinne einer Sperrung durchgeführt wird.

Ein Protokoll der Löschung / Anonymisierung / Sperrung ist auf Anforderung vorzulegen. Das Protokoll enthält mindestens folgende Informationen

• Angaben zu den Dateien, Dateiarten bzw. Datensätze

• Art der verwendeten Lösch- /Sperr-/ Anonymisierungsmethode

• Zeitpunkt der Durchführung

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend den jeweiligen gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer kann diese Dokumentationen zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

10. Schlussbestimmungen

Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DSGVO am besten gerecht wird.

Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

 

Anlage 1: Art, Umfang und Zweck der Datenverarbeitung

A 1.1 Zur Erteilung von Weisungen berechtigte Personen

Weisungsberechtigte Personen des Auftraggebers sind:

• Die Geschäftsleitung des Auftraggebers

Sämtliche Weisungen müssen schriftlich dokumentiert werden. Telefonisch erfolgte Weisungen sind vom Auftraggeber unverzüglich schriftlich per E-Mail zu bestätigen.

A 1.2 Zweck der Datenverarbeitung

Der Auftragnehmer stellt dem Auftraggeber einen Online-Dienst (nachfolgend: „Fritto Zeiterfassungssoftware“) als Webapplikation zur Verfügung, mit dem die Nutzer Geschäftsdaten und -prozesse abbilden können.

Die Fritto Zeiterfassungssoftware ist ein geschützter Bereich, die nur nach Online-Anmeldung zur Verfügung steht.

Zwecke der Verarbeitung und die Bereitstellung und Nutzung der SaaS (Software as a Service) Lösung „Fritto Zeiterfassungssoftware“.

Die Grundlage für die Verarbeitung von Daten im Auftrag bildet der Hauptvertrag. Innerhalb dieses Hauptvertrags erfolgt die Regelung zu Art und Umfang der Leistungserbringung. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Umgang mit den personenbezogenen Daten des Auftraggebers (in der Folge „Auftraggeber-Daten“ genannt).

A 1.3 Verarbeitungstätigkeiten

Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. Im Wesentlichen handelt es sich dabei um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Im Wesentlichen handelt es sich um einen technischen Zugriff im Zuge einer Produktverbesserung und Kundenanfrage zur möglichen Fehlerbeseitigung.

A 1.4 Kreis der Betroffenen

• Mitarbeiter des Auftraggebers

A 1.5 Art der personenbezogenen Daten

• Stammdaten (Vorname, Nachname, E-Mail-Adresse, Telefonnummer)

• Wochenstunden

Anlage 2: Datenschutzbeauftragte(r), Unterauftragsverhältnisse und zum Empfang von Weisungen befugte Personen des Auftragnehmers

A 2.1 Zum Empfang von Weisungen berechtigte Personen bei dem Auftragnehmer

Weisungsempfänger beim Auftragnehmer sind:

• Die Geschäftsleitung der Steinpilz Risotto UG (haftungsbeschränkt), vertreten durch Yury Filipovich und Mehmet Önkol.

A 2.2 Unterauftragsverhältnisse:

Nachfolgenden Unterauftragnehmer werden unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO eingesetzt.

Firmenname	Anschrift / Land	Art der Leistung
Stripe	510 Townsend Street San Francisco, CA 94103 / USA	Rechnungslegung
Microsoft Corporation	One Microsoft Way, Redmond, WA 98052-6399 / USA	Kommunikation & Kundensupport; Serverstandort: EU; Infrastruktur- und Plattformdienstleistungen, Rechenkapazität
Steinpilz GmbH	Rosa-Heinzelmann-Str. 20, 73230 Kirchheim unter Teck / Deutschland	IT-Support
SendGrid	Denver, Colorado, USA	E-Mail Kommunikation
Atlassian Inc. (Jira)	350 Bush Street, Floor 13, San Francisco, CA 94104, USA	Projektmanagement
Functional Software, Inc. (Sentry)	45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA	Anwendungsüberwachungssoftware

Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit der Auftragnehmer es als notwendige Maßnahme für die Erfüllung des Auftrags betrachtet.

A 2.3 Datenschutzbeauftragter

Datenschutzbeauftragte beim Auftragnehmer ist:

Viorica-Simona Mic

Verdandi Datenschutz GmbH

Robert-Bosch-Str 7

71229 Leonberg

Telefon: +49 (0) 1522 6687466

E-Mail: viorica.mic@verdandi-datenschutz.com

Anlage 3: “TOM” des Auftragnehmers, gem. Art. 32 DSGVO

Die technischen und organisatorischen Maßnahmen („TOM“) unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Hierbei weist der Auftragnehmer gegenüber dem Auftraggeber die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (ehem. § 9 BDSG, Anlage) auf Anfrage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.

A 3.1 Selbstverpflichtung und Testate

Zur Gewährleistung eines angemessenen Schutzniveaus verpflichtet sich der Auftragnehmer hiermit gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Es besteht aktuell kein in sich geschlossenes Firmennetzwerk. Die Überprüfung der Angemessenheit des Schutzniveaus erfolgt grundsätzlich nach dem aktuellen Stand der Technik sowie des Standards zur Datensicherheit. Ein Nachweis zur Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen wird auf Anfrage durch eine Bescheinigung erbracht, die dem Maßstab der Prüfungserfordernisse eines Grundschutzes folgen.

A 3.2 Beschreibung der technischen und organisatorischen Maßnahmen

Der Auftragnehmer verpflichtet sich hiermit gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.

Physische Sicherheit der Infrastruktur

Standort / Unternehmensräumlichkeiten

Die Unternehmensräumlichkeiten sind vom öffentlichen Bereich abgegrenzt durch:

• Abschließbare Tür

• Abgetrennte Räumlichkeiten in Gebäudekomplex

Es befinden sich keine weiteren Parteien im Gebäude, die Zutritt zu den Unternehmensräumlichkeiten haben.

Im Unternehmen wird ein Zutrittskontrollsystem eingesetzt, um den Zutritt zu Räumen, in denen personenbezogene Daten verarbeitet werden, zu schützen.

Im Unternehmen erfolgt die Besucheranmeldung durch:

• Begleitung durch Mitarbeiter

• Klingel

Im Unternehmen sind Räume abschließbar, in denen Zugriff auf personenbezogene Daten möglich ist.

Im Unternehmen sind personenbezogene Daten in Bereichen mit Publikumsverkehr nicht frei zugänglich.

Serversysteme

Server-Infrastruktur

Es werden virtualisierte Server im Unternehmen eingesetzt.

Netzwerkstruktur

Netzwerkdokumentation

Im Unternehmen existiert eine Netzwerkdokumentation.

Die Netzwerkdokumentation wird regelmäßig überprüft und Soll- und Ist-Zustand abgeglichen, um etwaige Lücken aufzuzeigen.

Netzwerkarchitektur

Das WLAN ist wie folgt verschlüsselt:

• WPA 3

Es besteht eine Client-Server-Segmentierung.

Es gibt eine Trennung “Internet/öffentliches Netz”.

Netzwerkfernzugriff

Im Unternehmen werden zum Schutz des Netzwerks Firewalls eingesetzt.

Folgende Arten von Firewalls werden eingesetzt:

• Hardware-Firewall(s)

Im Unternehmen sind Firewall(s) und Switches an die unterbrechungsfreie Stromversorgung angeschlossen.

Im Unternehmen wird ein DNS-Filter für eingehenden Datenverkehr eingesetzt.

Im Unternehmen werden Netzwerkgeräte (Hubs, Switches) nach aktuellem Stand der Technik eingesetzt.

Es werden sichere Verfahren für den Fernzugriff auf das Unternehmensnetzwerk genutzt.

Folgende sichere Verfahren für den Fernzugriff werden genutzt:

• VPN (Virtual Private Network)

Dieser ist an folgender Stelle platziert:

• In der Firewall

Der Fernzugriff ist wie folgt abgesichert:

• Benutzername & Passwort

Im Unternehmen wurden Mitarbeiter, die von außerhalb auf das Netzwerk zugreifen, auf die Einhaltung einschlägiger Datenschutzvorschriften an ihrem Arbeitsplatz hingewiesen.

Netzwerküberwachung

Im Unternehmen wird eine Software zur Überwachung des Netzwerks und der Anwendungen verwendet.

Business Continuity

Wiederherstellbarkeit

Im Unternehmen werden (regelmäßig) Datensicherungen der relevanten Systeme durchgeführt.

Im Unternehmen ist für die Durchführung von Sicherungen verantwortlich:

• Cloud-Anbieter

• Externer Dienstleister

Die Wiederherstellungsmöglichkeiten umfassen folgende Bereiche:

• Systemdateien- und Datencontainer

• Konfigurationen (Einstellungen und Freigaben)

• Installationen

• Daten

• Benutzerkonten

Im Unternehmen wird folgende Art der Datensicherung durchgeführt:

• Komplett-/Vollsicherung

Im Unternehmen werden Sicherungen in einem separaten Brandabschnitt gelagert.

Im Unternehmen werden Datensicherungsverfahren regelmäßig getestet und bei Bedarf angepasst.

Notfallvorsorge

Verantwortliche Personen wurden definiert und sensibilisiert.

Endgeräte

Clientstruktur und –management

Im Unternehmen werden Sicherheits- und Softwareupdates der mobilen Endgeräte regelmäßig durchgeführt.

Im Unternehmen dürfen nur vorab festgelegte Cloud- und Online-Dienste verwendet werden.

Im Unternehmen wird ein Bestandsverzeichnis der verwendeten Endgeräte geführt.

Im Unternehmen existiert ein dokumentierter Prozess zur Ausgabe von unternehmenseigenen Gegenständen an Mitarbeiter.

Im Unternehmen wird sichergestellt, dass sämtliche unternehmenseigene Gegenstände mit Bezug zu personenbezogenen Daten von einer ausscheidenden Person zurückgefordert werden.

Geräte werden über ein geregeltes Wiedereingliederungsmanagement wieder dem IT-Inventar zur Weiterverwendung zugeführt.

Datenträgermanagement

Im Unternehmen existiert ein Test- und Freigabeverfahren für Mobiltelefon-/Tabletcomputer-Applikationen.

Diese Endgeräte verfügen über Zugriffssperren.

Im Unternehmen existieren komplexe Zugriffssperren für die eingesetzten mobilen Endgeräte.

Beschäftigte sind dazu angehalten personenbezogene Daten fachgerecht zu entsorgen.

Daten elektronischer Datenträger werden sicher löscht, um eine sichere Wiederverwendung zu gewährleisten.

Im Unternehmen werden Datenträger (auch Papierakten) regelmäßig entsorgt.

Im Unternehmen werden Papierakten mit Hilfe eines Schredders vernichtet.

Datentransfers

Datenübertragung & Kommunikation

Folgende Verschlüsselungsverfarhen werden beim Emailversand benutzt:

• Im Unternehmen werden Emails bei der Übertragung mit entsprechenden Verfahren/Protokollen (SSL/TLS) verschlüsselt.

Personal

Mitarbeiter Awareness & Sensibilisierung

Im Unternehmen werden Beschäftigte auf die Einhaltung von Verhaltensregeln gemäß den Grundsätzen der DSGVO verpflichtet.

Im Unternehmen werden die Beschäftigen zu datenschutzrechtlichen Themen geschult.

Berechtigungsmanagement

Im Unternehmen existiert ein geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z. B. neuer Mitarbeiter), Änderung (z. B. Namenswechsel nach Heirat) und Löschung (z. B. Ausscheiden Mitarbeiter).

Im Unternehmen existiert ein formalisiertes Berechtigungskonzept, welches die Rollen und Rechte der Mitarbeiter dokumentiert.

Im Unternehmen wird die Vergabe sowie der Entzug von Zugangs- und Zugriffsberechtigungen für IT-Systeme dokumentiert.

Im Unternehmen wird ein zentraler Verzeichnisdienst (LDAP, AD, etc.) für die Berechtigungsattestierung eingesetzt.

Im Unternehmen wird die Dokumentation der zugelassenen Benutzer, Benutzergruppen und Rechteprofile in das Datensicherungsverfahren miteinbezogen.

Im Unternehmen ist die Dokumentation der zugelassenen Benutzer, Benutzergruppen und Rechteprofile vor unbefugtem Zugriff geschützt.

Im Unternehmen erfolgt die Vergabe von Zugangs- und Zugriffsberechtigungen anhand der Funktion der Zugangs- bzw. Zugriffsberechtigten.

Im Unternehmen wird sichergestellt, dass sämtliche Zugangsberechtigungen und Zugriffsberechtigungen einer ausscheidenden Person zeitnah gesperrt und ggf. gelöscht werden.

Im Unternehmen wurde für alle IT-Systeme und IT-Netze Administratoren sowie deren Stellvertreter bestimmt.

Im Unternehmen werden spezielle Administratorenkonten eingesetzt.

Im Unternehmen werden die Aktivitäten innerhalb der Administratorenkonten protokolliert.

Authentifizierungsverfahren

Im Unternehmen wird ein Passwort-Manager eingesetzt.

Der eingesetzte Passwort-Manager bietet eine ausreichende Zugriffskontrolle und eine verschlüsselte Speicherung.

Im Unternehmen wird eine Multi-Faktor-Authentifizierung eingesetzt.

Im Unternehmen wird ein Single-Sign-On Verfahren zum Login eingesetzt.

Im Unternehmen wird zur Anmeldung mittels Single-Sign-On eine Multi-Faktor-Authentifizierung eingesetzt.

Im Unternehmen werden Benutzeraccounts nach Inaktivität automatisch gesperrt (Bildschirmsperre).

Bildschirme werden nach weniger als 10 Minuten gesperrt.

Im Unternehmen werden die Benutzerkonten der IT-Systeme, auf denen personenbezogene Daten verarbeitet werden, durch Passwörter geschützt.

Im Unternehmen werden Falscheingaben von Benutzern protokolliert.

Im Unternehmen müssen Initialpasswörter bei der ersten Anmeldung geändert werden.

Im Unternehmen werden Benutzerkonten nach einer definierten Anzahl von Falschanmeldungen gesperrt.

Im Unternehmen erfolgt eine Vergabe von eindeutigen Kennungen für individuelle Nutzer von IT-Systemen, durch die personenbezogene Daten verarbeitet werden.

Im Unternehmen existieren keine unverschlüsselten Passwortlisten.

Im Unternehmen existieren konkrete Richtlinien für die Festlegung von Passwörtern oder systemseitige Forderung von Passwortanforderungen.

Im Unternehmen gibt es eine Vorgabe für die Passwortzusammensetzung.

Im Unternehmen bestehen die Passwörter mindestens aus den folgenden Bestandteilen:

• Sonderzeichen

• Zahlen

• Buchstaben

Im Unternehmen gibt es eine Vorgabe für die Passwortkomplexität.

Im Unternehmen gibt es eine Vorgabe für die Passwortlänge.

Im Unternehmen bestehen Passwörter aus mindestens 8 Zeichen.

Organisation

Auftragskontrolle

Mit allen Dienstleistern, die einen Teilbereich der Verarbeitung personenbezogener Daten auf die Weisung des Unternehmens übernehmen, wurde ein Auftragsverarbeitungsvertrag abgeschlossen.

Mit allen Dienstleistern, deren Datenverarbeitungsprozesse in Drittländern außerhalb der EU stattfinden, wurden zusätzliche geeignete Garantien geschlossen, um den Datentransfer zusätzlich abzusichern.

Externe Dienstleister, die Zugriff auf personenbezogene Daten haben könnten, werden stets bei ihren Tätigkeiten überwacht.

Entwicklung und Auswahl von Software

Im Unternehmen werden Produktiv- und Entwicklungs-/Testsysteme voneinander getrennt.

Im Unternehmen wird der Zugang zum Source-Code bei der Entwicklung von Software beschränkt.

Im Unternehmen wurde ein Berechtigungskonzept in den Test- und Entwicklungsumgebungen umgesetzt.

Im Unternehmen wird eine Mandantenfähigkeit von entwickelter Software sichergestellt.

Reale Nutzerdaten werden nicht in Test- und Entwicklungsumgebungen genutzt.

Sonstige organisatorische Maßnahmen

Im Unternehmen besteht die Möglichkeit auf Antrag personenbezogene Daten zu sperren und zu löschen.

Im Unternehmen wird jede Verarbeitung von personenbezogenen Daten protokolliert.

Im Unternehmen werden die Protokolle über die Verarbeitung personenbezogener Daten spätestens am Ende des auf deren Generierung folgenden Jahres gelöscht.

Im Unternehmen erfolgt eine konsequente Einbindung des Datenschutzbeauftragten bei Sicherheitsfragen und -vorfällen.