Auftragsverarbeitungsvertrag

Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung (AV-Vertrag)

Dieser Vertrag über die Auftragsverarbeitung personenbezogener Daten („AV-Vertrag“) regelt Ihre („Auftraggeber“) Beziehung mit der von Moderan Solutions OÜ („Auftragnehmer“) betriebenen Website www.moderan.net (der „Service“, der „Dienst“).

Bitte lesen Sie den AV-Vertrag sorgfältig durch, bevor Sie den Service nutzen.

Ihr Zugang zu und Ihre Nutzung des Dienstes setzt voraus, dass Sie den AV-Vertrag akzeptieren und einhalten. Der AV-Vertrag gilt für alle Besucher, Nutzer und andere, die auf den Dienst zugreifen oder ihn nutzen.

Indem Sie auf den Dienst zugreifen oder ihn nutzen, erklären Sie sich damit einverstanden, an den AV-Vertrag gebunden zu sein. Wenn Sie mit irgendeinem Teil der Bedingungen nicht einverstanden sind, dürfen Sie den Dienst nicht nutzen.

 
 
 

1 Anwendungsbereich und Verantwortlichkeit

(1) Dieser Vertrag findet Anwendung auf alle Tätigkeiten, die mit der Erfüllung der in den Allgemeinen Geschäfts- und Nutzungsbedingungen sowie in den Sonderbedingungen zur Nutzung von Moderan definierten Aufgaben in Zusammenhang stehen und bei denen der Auftragnehmer oder durch den Auftragnehmer Beauftragte personenbezogenen Daten des Auftraggebers verarbeiten können. Der Auftragnehmer erhebt und verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Abs. 7 DS-GVO (Datenschutz-Grundverordnung 2016/679) für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.

(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Servicevertrags vor, soweit sie den Datenschutz betreffen.

2 Gegenstand und Dauer der Verarbeitung

(1) Zum Zeitpunkt des Vertragsschlusses werden Daten durch den Auftragnehmer verarbeitet. Auch im Weiteren werden Art und Umfang der Datenverarbeitung bestimmt durch die Art und den Umfang der Nutzung der Moderan-Software durch den Auftraggeber. Dem Auftraggeber obliegt es, dem Auftragnehmer die personenbezogenen Daten der betroffenen Personen rechtzeitig zur Leistungserbringung nach den getroffenen Vereinbarungen zur Verfügung zu stellen und ist verantwortlich für die Qualität der personenbezogenen Daten.

(2) Die Verarbeitung beruht auf den Allgemeinen Geschäfts- und Nutzungsbedingungen von Moderan, deren Gültigkeit der Auftraggeber durch seine Nutzung des Services anerkennt, sowie auf den zwischen den Parteien getroffenen Sonderbedingungen zur Nutzung von Moderan.

(3) Die Verarbeitung beginnt unverzüglich mit der Nutzung des Services und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder der Kündigung des Nutzungsverhältnisses durch eine Partei.

3 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer darf Daten in den Grenzen dieses Vertrages und gemäß den Weisungen des Auftraggebers erheben und verarbeiten.

(2) Darüber hinaus gehende Weisungen können anfänglich durch die Sonderbedingungen zur Nutzung von Moderan festgelegt werden. Danach können diese vom Auftraggeber in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt.

(3) Der Auftragnehmer darf Daten über die Nutzung der Cloud-Software zum Zwecke der statistischen Auswertung und Produktverbesserung anonymisieren und in anonymisierter Form für eigene Zwecke nutzen.

(4) Alle erteilten Weisungen sind vom Auftraggeber zu dokumentieren.

(5) Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

4 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber kann vor der Aufnahme der Datenverarbeitung und sodann regelmäßig die Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überprüfen. Der Auftraggeber kann Auskünfte des Auftragnehmers einholen oder, grundsätzlich nach rechtzeitiger Terminabsprache und Abstimmung, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Dieses Recht ist beschränkt auf einen angemessenen und erforderlichen Umfang.

(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist Informationen und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle angemessen sind.

(3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Bestimmungen, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder soweit der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

(4) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren.

(5) Der Auftragnehmer kann vom Auftraggeber für die Ermöglichung der Kontrolle eine aufwandsabhängige Entschädigung verlangen. Die Höhe bestimmt sich nach den zum Durchführungszeitpunkt üblichen Stundensätzen für Beratungsleistungen seitens des Auftragnehmers.

(6) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftragnehmer den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieses Vertrags gegenüber dem Auftraggeber verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten vorzulegen. Der Auftraggeber darf keinen Konkurrenten (Wettbewerber) des Auftragnehmers mit der Kontrolle beauftragen.

5 Rechte und Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.

(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer beachtet die Grundsätze der ordnungsgemäßen Datenverarbeitung.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Arbeitsverhältnisses mit den entsprechenden Personen für einen angemessenen Zeitraum.

(5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

(6) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere folgend Art. 28 Abs. 3 DS-GVO.

(7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

(9) Der Auftragnehmer verpflichtet sich, einen Datenschutzbeauftragen zu bestellen, soweit vom Gesetz vorgeschrieben.

(10) Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).

6 Pflichten und Haftung des Auftraggebers

(1) Der Auftraggeber ist dafür verantwortlich, dass eine Rechtsgrundlage für die Verarbeitung von Daten besteht, die dem Auftragnehmer zur Verfügung gestellt werden, und dass die dem Auftragnehmer erteilten Anweisungen im Einklang mit der DS-GVO und anderen geltenden Gesetzen stehen.

(2) Der Auftraggeber muss den Auftragnehmer unverzüglich informieren, wenn er einen Verstoß gegen die DS-GVO feststellt.

7 Mitteilungspflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat so schnell wie möglich an eine vom Auftraggeber benannte Adresse zu erfolgen, wenn möglich innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis. zu erfolgen. Sie muss mindestens die in Art. 33 Abs. 3 DS-GVO formulierten Angaben enthalten.

(2) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

8 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer stellt ein angemessenes Schutzniveau durch technische und organisatorische Maßnahmen sicher, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen. Alle für den Auftragnehmer geltenden technischen und organisatorischen Maßnahmen sind in Anhang A aufgeführt, in dem das angemessene Schutzniveau festgelegt ist. Der Auftraggeber bestätigt hiermit die Angemessenheit der in Anhang A aufgeführten technischen und organisatorischen Maßnahmen.

9 Einsatz von Subunternehmen

(1) Der Auftragnehmer kann Subunternehmen mit der Verarbeitung personenbezogener Daten beauftragen. Der Auftraggeber erteilt dem Auftragnehmer seine Zustimmung zur Beauftragung von Subunternehmen zur Datenverarbeitung. Der Auftragnehmer übernimmt die volle Verantwortung dafür, dass die Subunternehmen personenbezogene Daten in Übereinstimmung mit dem geltenden Recht und diesem Vertrag verarbeiten. Der Auftragnehmer legt auf Anfrage des Auftraggebers so schnell wie möglich eine Liste der eingesetzten Subunternehmen vor.

(2) Der Auftragnehmer muss mit jedem Subunternehmen Verträge abschließen. Alle Verträge mit den Subunternehmen bedürfen der Schriftform, wobei diese auch in elektronischer Form erfolgen kann (Art. 28 Abs. 4 und 9 DS-GVO).

10 Laufzeit und Kündigung, Löschung und Rückgabe von personenbezogenen Daten

(1) Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung der Sonderbedingungen zur Nutzung von Moderan sowie den Allgemeinen Geschäfts- und Nutzungsbedingungen. Eine Kündigung der genannten Verträge bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

(2) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

(3) Spätestens mit Beendigung der Leistungsvereinbarung, gegebenenfalls bereits nach Abschluss der vertraglich vereinbarten Arbeiten oder nach Aufforderung durch den Auftraggeber, händigt der Auftragnehmer sämtliche in seinen Besitz befindlichen Unterlagen, erstellten Verarbeitungs- und/oder Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aus. Für das Löschen aller personenbezogenen Daten aus der Moderan-Software ist grundsätzlich der Auftraggeber verantwortlich. Alternativ kann auf Weisung des Auftraggebers eine datenschutzgerechte Vernichtung der Daten vorgenommen werden. Die Löschung bzw. Vernichtung ist dem Auftraggeber auf Aufforderung mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

11 Allgemeine Bedingungen, geltendes Recht und Gerichtsstand

(1) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

(2) Die vorliegende deutsche Version dieses Vertrages ist in ihrer Art nur von informativer Natur. Bei jeglichen Abweichungen hat die englische Version des Vertrages Vorrang.

(3) Diese Vereinbarung unterliegt ausschließlich estnischem Recht. Der Gerichtsstand ist Tallinn, Estland.

 
 
 

Anhang A – Technische und organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

• Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen

• Maßnahmen:

• Der Zutritt zu den Büroräumen des Auftragnehmers ist durch Sicherheitstüren mindestens der Stufe WK3 gesichert.

• Mitarbeiter des Auftragnehmers erhalten Zugriff durch ein zentral gesteuertes Schlüsselmanagement.

• Über die Kundenverträge hinausreichende Dokumente werden nicht analog aufbewahrt.

• Zugangskontrolle: Keine unbefugte Systembenutzung

• Maßnahmen:

• Keine Shared Logons oder Accounts.

• Passwörter müssen mindestens 8 Zeichen lang sein und mindestens folgende Zeichen beinhalten: mindestens ein Großbuchstabe, mindestens ein Kleinbuchstabe, mindestens eine Ziffer.

• Alle Logins, Logoffs werden IP-spezifisch protokolliert. Weitere persönliche Daten werden dabei nicht erhoben. Die IP-Log-Protokolle sind ausschließlich für interne Prüfprotokolle bestimmt.

• Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems

• Maßnahmen:

• Lediglich im Bereich Kundenbetreuung tätige Mitarbeiter sind befugt, auf die Datenbank zuzugreifen und diese zu verwalten sowie Daten zu ändern und zu löschen. Das Login bzw. der gesamte Datenbankzugriff aller im operativen Bereich tätigen Mitarbeiter wird protokolliert.

• Der dem Auftraggeber zugewiesen Kundenbetreuer hat insbesondere Zugriff auf die Auftraggeber-Daten und ist in der Lage, diese einzusehen und zu verarbeiten, wobei dies jedoch lediglich über vom Auftragnehmer zur Verfügung gestellte Tools erfolgt.

• Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

• Maßnahmen:

• Die Kundendaten in unseren Datenzentren werden logisch getrennt und unter Verwendung einer eindeutigen Kundekennung gespeichert.

• Unter keinen Umständen kann auf Kundedaten von anderen Kunden zugegriffen werden.

• Leitende Mitarbeiter im Bereich des Plattformbetriebs verfügen über einen uneingeschränkten Zugriff auf Kundendaten.

• Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO). Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diesezusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

• Maßnahmen:

• Nutzer melden sich unter eigens gewählten Klarnamen zur Nutzung an. Inhalte des Nutzers sind unter diesem Klarnamen aufgeführt.

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

• Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport

• Maßnahmen:

• Die sich in den Datenbanken des Auftragnehmers befindlichen Daten werden während der zwischen dem Auftraggeber und Auftragnehmer erfolgenden Übertragung durch HTTPS- und SSH-Protokolle geschützt.

• Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

• Maßnahmen:

• Die auf Servern erfolgenden Verwaltungstätigkeiten werden protokolliert.

• Alle Datenmanipulationen einschließlich Hinzufügung, Löschung oder Veränderung von Inhalten werden über das System des Auftragnehmers protokolliert.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

• Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

• Maßnahmen:

• Die Moderan-Server befinden sich bei sehr renommierten und zertifizierten Dienstleistern im Rechtsgebiet der höchsten Sicherheitsgesetzgebung der Europäischen Union (unser Live-Server befindet sich in Deutschland). Zusätzlich zu modernster Klimakontrolle und anderen Standardhosting-Voraussetzungen erfüllt unser Dienstleister die nachfolgenden Bedingungen:

• Zertifiziert nach DIN ISO/IEC 27001 für den gesamten Datenpark und dessen Infrastruktur.

• Kontinuierliche Bewertung und stetige nachhaltige Verbesserung der angewandten Sicherheitsstandards.

• DDoS-Schutzsystem mit automatisierten Sicherheitslösungen, die neuesten Arbor- und Juniper-Hardware-Anwendungen sowie hochentwickelte Perimeter-Sicherheitstechnologien.

• Videoüberwachung sowie Hochsicherheitsumzäunung um das gesamte Rechenzentrum sowie moderne Überwachungskameras zur 24/7-Überwachung aller Zufahrtsstraßen, Eingänge, durch Schließsysteme gesicherte Hochsicherheitstüren und Serverräume.

• Moderne Feuerfrühwarnsysteme mit direkter Anbindung an die nächstgelegene Feuerwache und spezielles Türschließsystem.

• Die unterbrechungsfreie Stromversorgung (USV) wird durch eine 15-minütige Batteriekapazität und Notstrom-Dieselaggregate garantiert. Sämtliche USV-Anlagen sind dabei redundant ausgelegt.

• Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

• Maßnahmen:

• Nächtliche Backups werden für alle Datenbanken und Benutzerdokumente durchgeführt und ein Monitoringsystem wird angewandt, um die fehlerlose Funktionsweise des Backup-Systems zu überprüfen.

• Die Backups befinden sich auf einem separaten, von der Moderan-Anwendung und -Datenbank sowohl örtlich als auch juristisch getrennten Server bei einem anderen Dienstleister

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

• Datenschutz-Management

• Maßnahmen:

• Der Auftragnehmer führt ein Datenschutzmanagementsystem, in dem Mechanismen und Handlungsweisen festgelegt sind. Dies umfasst insbesondere:

• die Bestellung eines Datenschutzbeauftragten,

• die Durchführung von Mitarbeiterschulungen,

• Löschkonzepte.

• Die Datenschutzprozesse werden regelmäßig überprüft.

• Das Datenschutzmanagementsystem wird in regelmäßigen Intervallen auf seine Umsetzung und Wirksamkeit geprüft und ggf. angepasst.

• Incident-Response-Management

• Maßnahmen:

• Automatisiertes DDoS-Schutzsystem für alle Moderan-Server.

• Voraussetzung minimaler Passwortanforderungen für alle Nutzer der Plattform.

• Der Auftragnehmer führt einen Incident Management Plan zur Dokumentation von Verantwortlichkeiten und Vorgehensweisen im Falle eines Incidents.

• Der Incident Management Plan wird in regelmäßigen Abständen auf seine Umsetzung und Wirksamkeit geprüft und ggf. angepasst.

• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

• Maßnahmen:

• Die Plattform setzt nur für die Arbeit notwendige Daten (Name, ggf. E-Mail-Adresse) voraus. Weitere Daten werden nur Daten erhoben, wenn sie für die Prozesse des Auftraggebers benötigt werden.

• Nutzer-Accounts sind für andere Nutzer des Auftraggebers mit Administratorrechten sichtbar, nicht aber ihr Login-Status.

• Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers

• Maßnahmen:

• Es gibt Schulungen für neu eingestellte Mitarbeiter. solange die Schulungsmaßnahmen nicht abgeschlossen sind und die Geschäftsführung dem Zugriff nicht zugestimmt hat, verfügen neu eingestellte Mitarbeiter über keine Zugriffsrechte.

• Die Geschäftsführung hält mit allen Mitarbeitern wöchentliche Teambesprechungen ab.

• Eine Verletzung der Protokolle und Verfahren des Unternehmens führt, sofern diese schwerwiegend sind, zur sofortigen Kündigung und zum Entzug aller Zugriffsrechte.

• Datenschutzbeauftragter

• Maßnahmen:

• Bestellung eines internen Datenschutzbeauftragten: Martin Schröder, martin@moderan.net