VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG (AVV)
Stand vom 05.02.2026
Präambel
Diese Vereinbarung zur Auftragsverarbeitung stellt einen integralen Bestandteil des zwischen der syniotec GmbH, nachfolgend bezeichnet als Auftragnehmer, und dem jeweiligen Kunden, nachfolgend bezeichnet als Auftraggeber, geschlossenen Hauptvertrages zur Nutzung der Softwarelösungen SAM und RAM sowie der Telematik-Dienste dar. Mit dem Abschluss des Hauptvertrages, der Annahme eines entsprechenden Angebots oder der Nutzung der Dienste des Auftragnehmers erklären sich die Parteien mit der Geltung dieser Vereinbarung zur Auftragsverarbeitung einverstanden. Die nachfolgenden Bestimmungen gelten für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers verarbeiten.
Teil der entsprechenden Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter im Sinne des Art. 4 Abs. 8 DSGVO für den Auftragnehmer als insoweit Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung, zu deren Wahrung die Parteien die nachfolgende Vereinbarung schließen.
1. Anwendungsbereich
1.1. Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragnehmer gegenüber dem Auftraggeber erbringt.
1.2. 1.2 Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend die „Vereinbarung“) konkretisiert die etwaig bestehenden datenschutzrechtlichen Verpflichtungen der Vertragsparteien aus dem zugrundeliegenden Vertrag (nachfolgend der „Hauptvertrag“).
1.3. Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen, Art. 4 Nr. 2 DSGVO. Eine Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung, Anonymisierung, Pseudonymisierung, Verschlüsselung oder sonstige Nutzung von Daten. Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.
2. Gegenstand und Dauer der Verarbeitung
2.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Zusammenhang mit dem Hauptvertrag nur im Auftrag und nach Weisung des Auftraggebers.
2.2. Gegenstand des Auftrags ist die Zurverfügungstellung von Software zur Disposition, zur Ortung, Verbringung und Verrechnung der vom Auftraggeber verwendeten Geräte wie beispielsweise Baumaschinen gemäß Hauptvertrag. Soweit beauftragt, ist Gegenstand ebenfalls die Erfassung und Übermittlung von Telematikdaten durch die Telematik-Einheiten des Auftragnehmers sowie die Aufbereitung der Daten im Auftrag des Auftraggebers.
2.3. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags.
3. Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
3.1. Umfang, Art und Zweck der Datenerhebung, -verarbeitung und/oder -nutzung personenbezogener Daten durch den Auftragnehmer ergeben sich aus dem Hauptvertrag. Dieser umfasst unter anderem folgende Tätigkeit(en) und Zweck(e) für die vom Auftraggeber eingesetzten Software-Lösungen „Ram“ & „SAM“ (nachfolgend die „Software“) (ggf. nach individueller Beauftragung):
- 3.1.1. Zurverfügungstellung der Software im Wege der Remote-Gebrauchsüberlassung (Cloud-basiert)
- 3.1.2. Beratung zum Einsatz der Software
- 3.1.3. Durchführung von Anpassungen und Erweiterungen der Software nach Vorgaben des Auftraggebers
- 3.1.4. Initiale Datenübernahme von Fremdsystemen des Auftraggebers
- 3.1.5. Durchführung von Schulungen
- 3.1.6. Wartung und Administration der Software
- 3.1.7. Nutzung von durch den Auftraggeber in der Software hinterlegten, personenbezogenen Daten seiner Mitarbeiter oder sonstiger Nutzer nach Maßgabe der separaten und auf Anfrage jederzeit vom Auftragnehmer zur Verfügung gestellten „Datenschutzhinweise Telematik“
- 3.1.8. Erhebung, Übermittlung und Verarbeitung der von den Telematik-Einheiten des Auftragnehmers, die beim Auftraggeber eingesetzt werden, erzeugten und erfassten Daten nach Maßgabe der separaten und auf Anfrage jederzeit vom Auftragnehmer zur Verfügung gestellten „Datenschutzhinweise Telematik“.
4. Kreis der betroffenen Personen
4.1. Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des zugrundeliegenden Vertrages Betroffenen umfasst:
4.1.1. Lieferanten/ Subunternehmer/ Dienstleister/ Kooperationspartner des Auftraggebers
4.1.2. Systembenutzer
4.1.3. Mitarbeiter des Auftraggebers oder sonstige, bei oder für ihn tätige Personen, die die über die Software verwalteten Maschinen und Geräte verwenden
4.1.4. Mitarbeiter des Auftraggebers oder sonstige, bei oder für ihn tätige Personen, deren personenbezogenen Daten der Auftraggeber in der Software hinterlegt.
5. Art der personenbezogenen Daten
5.1. Von der Verarbeitung können grundsätzlich die folgenden Daten/Datenkategorien betroffen sein, je nach Nutzungsumfang / Eingaben des Auftraggebers:
- 5.1.1. Stamm-/Kontaktdaten von Mitarbeitern / Nutzern der Maschinen und Geräten: Name, Geburtsdatum, Nationalität, Notfallkontakt (Name, Vorname, Telefonnummer), Dienstliche Anschrift/Adresse, Dienstliche E-Mail/Telefon, Dienstliche Position, Mitarbeiterfahrzeug, Baustellenbezogene Qualifikationen, Zertifikate, Führerscheine, Fotografien (siehe separate und auf Anfrage jederzeit vom Auftragnehmer zur Verfügung gestellten „Datenschutzhinweise Telematik“)
- 5.1.2. Vertragsdaten
- 5.1.3. Telematikdaten von Maschinen und Geräten (siehe separate und auf Anfrage jederzeit vom Auftragnehmer zur Verfügung gestellten „Datenschutzhinweise Telematik“)
- 5.1.4. Ortungsdaten von Maschinen und Geräten (siehe separate und auf Anfrage jederzeit vom Auftragnehmer zur Verfügung gestellten „Datenschutzhinweise Telematik“)
6. Rechte und Pflichten des Auftraggebers
6.1. Für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung, -nutzung sowie zur Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich und somit „Verantwortlicher“ im Sinne des Art. 4 Abs. 7 DSGVO.
6.2. Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Weisungen können vom Auftraggeber in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle erteilt und übermittelt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
6.3. Soweit es der Auftraggeber für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Auftraggeber dem Auftragnehmer schriftlich mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen beim Auftraggeber ändern, wird dies dem Auftragnehmer unter Benennung der jeweils neuen Person schriftlich mitgeteilt.
6.4. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer festgestellt werden.
6.5. Der Auftraggeber ist nach den näheren Maßgaben der Ziff. 8 berechtigt, sich vor Beginn der Datenverarbeitung und sodann in Absprache mit dem Auftragnehmer regelmäßig von der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen zur Verschwiegenheit verpflichteten Dritten durchführen lassen. Ggf. aufgrund einer Kontrolle anfallenden Kosten trägt der Auftraggeber.
7. Pflichten des Auftragnehmers
7.1. Datenverarbeitung
- 7.1.1. Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Auftraggebers zu verarbeiten. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt. Der Auftragnehmer ist verpflichtet, die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke zu verarbeiten außer es liegt eine eigene Rechtsgrundlage gem. Art. 6 DSGVO oder ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a) DSGVO vor.
- 7.1.2. Kopien oder Duplikate dürfen nicht erstellt werden, es sei denn, dies ist Gegenstand des Auftrags, dies ist zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich oder der Auftraggeber hat hierzu seine ausdrückliche schriftliche Einwilligung erteilt.
7.2. Unterstützung bei Anträgen / Anfragen
- 7.2.1. Der Auftragnehmer unterstützt den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Insbesondere indem er dem Auftraggeber auf Anfrage rechtzeitig alle erforderlichen Informationen zur Verfügung stellt, damit dieser dem Antrag der betroffenen Person auf Zugang, Datenübertragbarkeit, Berichtigung, Löschung, Einschränkung und Widerspruch nachkommen kann.
7.3. Berichtigung, Löschung von Daten/Einschränkung der Verarbeitung
- 7.3.1. Der Auftragnehmer hat auf Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden, zu berichtigen und zu löschen oder deren Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung und Löschung von Daten und die eingeschränkte Verarbeitung vorsieht.
- 7.3.2. Soweit sich ein Betroffener unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wendet, ist der Auftragnehmer verpflichtet, dieses Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiterzuleiten.
7.4. Kontrollpflichten
- 7.4.1. Der Auftragnehmer verpflichtet sich, durch geeignete Kontrollen sicherzustellen, dass die im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Vertrages und/oder den entsprechenden Weisungen verarbeitet werden.
- 7.4.2. Der Auftragnehmer bestätigt, dass er, falls für sein Unternehmen die gesetzliche Pflicht hierzu besteht, gem. Art. 37 DSGVO einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht.
7.5. Informationspflichten
- 7.5.1. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
- 7.5.2. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung betraute Personen erfolgt ist, unverzüglich mitzuteilen.
- 7.5.3. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32 – 36 DSGVO; insbesondere bei der Sicherstellung eines angemessenen Schutzniveaus, im Rahmen seiner Informationspflichten gegenüber Betroffenen, bei einer etwaigen Datenschutz-Folgeabschätzung sowie im Rahmen vorheriger Konsultationen der Aufsichtsbehörden.
7.6. Ort der Datenverarbeitung
- 7.6.1. Die Erhebung, Verarbeitung und Nutzung der Daten des Auftraggebers findet im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
7.7 Löschung der personenbezogenen Daten nach Auftragsbeendigung
- 7.7.1. Nach Beendigung des Vertrages ist der Auftragnehmer verpflichtet, sämtliche in seinem Besitz gelangten personenbezogene Daten, Unterlagen und erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäß den Weisungen des Auftraggebers zu löschen.
8. Datenschutzkontrolle
8.1. Der Auftragnehmer räumt dem Auftraggeber das Recht ein, sich zu den üblichen Geschäftszeiten von der Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst zu überzeugen. Der Auftraggeber wird dabei die betrieblichen Abläufe des Auftragnehmers nicht stören. Der Auftragnehmer darf die Inspektion von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen oder sonstige gewichtige Gründe gegen die Inspektion durch den konkreten Prüfer bestehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.
8.2. Der Auftragnehmer wird den Auftraggeber bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung mitwirken. Ggf. aufgrund einer Kontrolle anfallenden Kosten trägt der Auftraggeber.
8.3. Der Auftragnehmer ist auf schriftliche Anforderung hin dem Auftraggeber gegenüber innerhalb einer angemessenen Frist zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
8.4. Der Auftragnehmer hat eventuelle Kontrollmaßnahmen der Datenschutzaufsichtsbehörde zu dulden und wird den Auftraggeber unverzüglich nach Kenntniserlangung über die Durchführung der Kontrollmaßnahme informieren.
8.5. Soweit der Auftraggeber einer Kontrolle durch die Aufsichtsbehörde ausgesetzt ist, hat der Auftragnehmer ihn nach besten Kräften zu unterstützen.
9. Unterauftragsverhältnisse
9.1. Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter nach Maßgabe der Vorschiften dieser Ziff. 1 zulässig. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten. Der Auftragnehmer setzt derzeit die in der Anlage 1 zu dieser Vereinbarung genannten Subunternehmer ein.
9.2. Vor Hinzuziehung oder Ersetzung der Subunternehmer ist der der Auftragnehmer verpflichtet, den Auftraggeber entsprechend schriftlich darüber zu informieren. Hierzu wird der Auftragnehmer dem Auftraggeber Name und Anschrift des Unterauftragnehmers sowie die ihm beauftragte Leistung mitteilen. Der Auftraggeber hat das Recht, der Hinzuziehung oder Ersetzung einzelner Subunternehmer innerhalb von vierzehn (14) Tagen nach erhalt der Information zu widersprechen. Ein Widerspruch muss objektiv begründet werden. Erfolgt der Widerspruch nicht innerhalb der Frist, gilt die Hinzuziehung oder Ersetzung des Subunternehmers als vom Auftraggeber genehmigt. Kommt der Auftragnehmer einem fristgerechten und begründeten Widerspruch des Auftraggebers nicht nach, wird der Auftraggeber dem Auftragnehmer eine angemessene Frist von nicht weniger als vierzehn (14) Tagen setzen, dem Widerspruch zu entsprechen. Lässt der Auftragnehmer die Frist fruchtlos verstreichen, hat der Auftraggeber das Recht, die Unterbeauftragung per Weisung zu unterbinden. Wird auch auf eine solche Weisung des Auftraggebers der Einsatz des nicht genehmigten Subunternehmers nicht unterbunden, ist der Auftraggeber berechtigt, diese Vereinbarung aus wichtigem Grund zu kündigen.
9.3. Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Auftraggeberdaten nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste, nicht aber Prüfungs- und Wartungsleistungen.
9.4. Die Vereinbarung zur Unterauftragsdatenverarbeitung muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte vergleichbar zu Ziff. 8 dieser Vereinbarung einzuräumen.
9.5. Der Auftragnehmer wird die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig überprüfen. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen Maßnahmen zum Schutz der Sicherheit personenbezogener Daten getroffen hat.
9.6. Die Verpflichtung des Unterauftragnehmers muss schriftlich erfolgen. Dem Auftraggeber ist die schriftliche Verpflichtung auf Anfrage zu übermitteln.
10. Datengeheimnis/Vertraulichkeit
10.1. Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses verpflichtet. Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und sie mit der Anwendung dieser vertraut ist.
10.2. Der Auftragnehmer verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter einzusetzen, die auf das Datengeheimnis verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
11. Technische und organisatorische Maßnahmen, Informationspflicht
11.1. Die in Anlage 2 zu diesem Annex beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt. Es handelt sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit und Belastbarkeit der Systeme.
11.2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen und kontrolliert diese regelmäßig
11.3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber bekannt zu geben.
11.4. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in dieser Vereinbarung getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach Art. 33, 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach Art. 33, 34 DSGVO zu unterstützen.
12. Schlussbestimmungen
12.1. Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Vertrages und Aufträgen gehen die Bestimmungen dieser Vereinbarung vor.
12.2. Änderungen und Ergänzungen dieser Vereinbarung müssen schriftlich erfolgen und bedürfen der ausdrücklichen Angabe, dass damit die vorliegenden Bestimmungen geändert und/oder ergänzt werden. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Zur Wahrung der Schriftform genügt der Austausch eingescannter Unterschriften oder digitale Signaturen wie z.B. DocuSign o.ä., nicht jedoch einfache E-Mails oder Messenger-Nachrichten.
12.3. Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand für alle Auseinandersetzungen aus oder im Zusammenhang mit dieser Vereinbarung ist Bremen.
12.4. Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Die unwirksame oder nicht durchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ersetzen, welche dem Zweck der ersetzenden Bestimmung am nächsten kommt.
ANLAGE 1 – SUBUNTERNEHMER
Der Auftragnehmer setzt zur Erbringung der vertraglich vereinbarten Leistungen nach Maßgabe dieser Vereinbarung die nachfolgend aufgeführten Unterauftragnehmer im Sinne des Art. 28 Abs. 2 DSGVO ein.
Der Einsatz erfolgt ausschließlich, soweit dies zur Leistungserbringung erforderlich ist.
Nicht jeder Unterauftragnehmer verarbeitet zwingend personenbezogene Daten des Auftraggebers. Art, Umfang und Zweck der jeweiligen Verarbeitung richten sich nach der konkret genutzten Funktionalität.
Soweit Unterauftragnehmer mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums eingesetzt werden, erfolgt eine etwaige Übermittlung personenbezogener Daten ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO, insbesondere durch den Abschluss der jeweils gültigen EU-Standardvertragsklauseln sowie durch ergänzende technische und organisatorische Maßnahmen.
- Hosting- und Infrastrukturleistungen
- Amazon Web Services EMEA SARL / Amazon Web Services, Inc.
- Leistung: Cloud-Hosting, Infrastruktur, Rechenzentrumsbetrieb
- Sitz: Luxemburg / USA
- Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union, insbesondere in der AWS-Region Frankfurt am Main (Deutschland).
- Datenbank- und Plattformdienste
- MongoDB, Inc.
- Leistung: Datenbank-Hosting und -verwaltung (MongoDB Atlas)
- Sitz: USA
- Die Verarbeitung personenbezogener Daten erfolgt in vom Auftragnehmer ausgewählten Rechenzentrumsregionen innerhalb der Europäischen Union.
- MongoDB, Inc.
- Amazon Web Services EMEA SARL / Amazon Web Services, Inc.
ANLAGE 2 – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOMS)
Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau der betroffenen personenbezogenen Daten zu gewährleisten:
- Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.
Die Zutrittskontrolle wird wie folgt sichergestellt:
– Manuelle Schließsysteme
– Sicherheitsschlösser
– Schlüsselregelung
– Chipkarten/Transponderschließsysteme
– Alarmanlage und Wachpersonal
– Personenkontrolle am Empfang
– Tragepflicht von Besucherausweisen
– Protokollierung der Besucher
– Biometrische Zugangssperren
- Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
Die Zugangskontrolle wird wie folgt sichergestellt:
– Reglementierung von Benutzerrechten
– Passwortvergabe
– Identifikation/Authentifikation mit Benutzername/Passwort
– Einsatz von Standard-Antivirensoftware
– Einsatz von Hard- und Softwarefirewalls auf Clients etablierter Hersteller
– Erstellen von Benutzerprofilen in IT-Systemen
– Einsatz von Standard-VPN-Technologien
– Personifizierte Nutzerkennungen
– Einrichtung eines Benutzerstammsatzes pro User
– Sperrung von Arbeitsplätzen bei Inaktivität (Time Out des Security Tokens)
– Verschlüsselung von Datenträgern
– Abkapselung von sensiblen Systemen durch getrennte Netzbereiche (Logische Segmentierung)
– Protokollierung der Anmeldeversuche
– Regelmäßig aktualisierte Antiviren- und Spywarefilter
– Mehrfache Hardware oder Software Firewall-Abschirmung der Kundenserver (DMZ)
- Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Beschreibung des Zugriffskontrollsystems:
– Reglementierung, Erstellung und Umsetzung von Berechtigungskonzepten
– Begrenzung der Anzahl von Administratoren auf das zwingend Notwendige
– Einsatz von Aktenvernichtern oder etablierten Unternehmen zur Aktenvernichtung sowie ordnungsgemäße Vernichtung von Datenträgern und Protokollierung der Vernichtung durch etablierte Unternehmen
– Verwaltung von Rechten durch die fachlich für die Anwendung Verantwortlichen
– Passwortrichtlinie mit Vorgaben zur Passwortlänge und turnusmäßiger Passwortwechsel
– Protokollierung von Zugriffen und Missbrauchsversuchen
– Benutzerverwaltung und Rechtekonzept
– PKI-basierte Zugriffsberechtigungen
– Auswertung/Protokollierungen
– Datenträgerverwaltung
– Berechtigungsvergabe auf Ebene von Rollen, Profilen, Gruppen und Feldern
– LDAP-Anbindung
- Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.
Beschreibung der Weitergabekontrolle:
– Reglementierung der Weitergabe durch Richtlinien
– Einrichtung von Standleitungen
– Einrichtungen von VPN-Tunneln (Standard-Technologie)
– Sichere Transportbehälter/-verpackungen
– Sorgfältige Auswahl von Transportpersonal
– Übermittlung von Daten über verschlüsselte Container oder Tunnelverbindungen
– Entsorgungsdienstleister zur professionellen Aktenvernichtung
– Transportprozesse mit individueller Verantwortlichkeit: Es muss immer einen klaren Ansprechpartner geben. Bei Datenvernichtung muss zwingend klar sein was der Auftragnehmer denn löschen soll.
– Umfassende Protokollierungsverfahren
– Firewallsysteme
– HTTPS-Verschlüsselung
– Optional VPN-Zugriff in geschütztem Unternehmensnetzwerk möglich
– Aufbereitung von Datenbankabfragen im Server und Rückgabe von Anfragen / Suchergebnissen in aufbereiteter Form mit definiertem Datenumfang zur Verhinderung von SQL-Injections
- Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
Beschreibung des Eingabekontrollvorgangs:
– Vergabe von Rechten zur Eingabe
– Änderung und Löschung von Daten auf Basis von Berechtigungskonzepten
– Protokollierung
- Auftragskontrolle
Maßnahmen, die gewährleisten, dass in einem Auftragsdatenverarbeitungsverhältnis jede Verarbeitung von personenbezogenen Daten nur im Rahmen der ergangenen Weisungen und Vorgaben des Auftraggebers erfolgt.
Beschreibung des Auftragskontrollvorgangs:
Die Auftragskontrolle wird dadurch sichergestellt, dass der Auftragnehmer vor Aufnahme seiner Tätigkeit und sodann inzidentbasiert dem Datenschutzverantwortlichen des Auftraggebers Nachweise vorlegt, die diesen in die Lage versetzen, sich von der Einhaltung der bei dem Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
- Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Beschreibung des Verfügbarkeitskontrollsystems:
– Unterbrechungsfreie Stromversorgung
– Klimatisierung von Serverräumen und Rechenzentren (Jeder Serverraum wird über eine eigene Stromanspeisung vom öffentlichen Netz versorgt)
– Feuer- und Rauchmeldeanlagen
– Feuerlöschgeräte
– Testen von Datenwiederherstellungen
– Ausgelagerte Aufbewahrung von Datensicherungen z.T. (bei AS4U, ansonsten Trennung von Daten und Backup über Brandabschnitte bzw. Serverräume hinweg)
– Turnusgemäßes Testen der Verfügbarkeit der Datensicherungen (laufende Rücksicherungen als Tests für funktionierende Backups)
– Backup und Recovery standardisierte Konzepte
– Notfall- und Wiederanlaufpläne
– Datensicherungsverfahren
– Räumliche Trennung von Datensicherungsverfahren
– Regelmäßige Tests der Datenwiederherstellung
– Daten in relationaler Datenbank
– Brandschutzzonen, Wasser- und Brandfrühwarnsystem, hochverfügbare Klimatechnik (Rechenzentrum)
– Sauerstoffreduktions-Löschanlage (Rechenzentrum)
– Unterbrechungsfreie redundante Stromversorgungen und Notstromaggregate (Rechenzentrum)
– Redundante Darkfiber (bzw. Funk-) Glasfaseranbindung (Rechenzentrum)
– Überspannungsschutz (Rechenzentrum)
– Direkte Aufschaltung bei der örtlichen Feuerwehr (Rechenzentrum): In den zwei Rechenzentren ist direkt die Feuerwehr auf die Alarmierung geschaltet. Das beschleunigt die Reaktionszeit bei einem Brandfall.
- Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
Beschreibung des Trennungskontrollvorgangs:
– Getrennte Speicherung auf separaten Datenbanken (Je System unterschiedlich)
– Festlegung von Datenbankrechten in jeder Datenbank
– Logische Mandantentrennung.
– Trennung von Produktiv- und Testsystemen.
– Berechtigungskonzepte
– System aus Lese-/Schreibberechtigungen für Installations-Ordner
– Abgetrenntes Gäste-WLAN
– Separierte Zugriffsinstanzen für Kunden innerhalb der vom Auftragnehmer genutzten AWS-Datenbank