Auftragsverarbeitung
gemäß Art. 28 DSGVO

Stand: 09.10.2023

Zwischen dem anifora Kunden (Auftragsgeber) und der xek GmbH (Auftragsverarbeiter), Duisburger Str. 9, 40477 Düsseldorf wird nachfolgender Vertrag geschlossen.

Präambel

Es gibt eine Vereinbarung zwischen dem Auftraggeber und dem Auftragsverarbeiter bezüglich der Nutzung eines bestimmten Softwaremoduls namens "anifora", wie in Abschnitt Anwendungsbereich genauer beschrieben (diese Vereinbarung wird im Folgenden als "Lizenzvereinbarung" bezeichnet). Der Auftragsverarbeiter hilft dem Verantwortlichen dabei, seine eigenen geschäftlichen Ziele im Rahmen des Dienstleistungsvertrags zu erreichen. Es ist jedoch wichtig zu betonen, dass keine Übertragung von "Funktionen" beabsichtigt ist.

Anwendungsbereich

Der Auftragsverarbeiter handhabt personenbezogene Daten im Auftrag des Auftraggebers. Im Rahmen dieses Vertrages obliegt es dem Auftraggeber, die Einhaltung der gesetzlichen Datenschutzbestimmungen zu gewährleisten, insbesondere die Rechtmäßigkeit der Weitergabe von Daten an den Auftragsverarbeiter. Der Auftraggeber wird somit als "Verantwortlicher" im Sinne des Artikels 4 Nummer 7 der Datenschutz-Grundverordnung (DSGVO) betrachtet. Dieser Vertrag gilt für sämtliche Tätigkeiten des Auftragsverarbeiters, bei denen er selbst oder von ihm beauftragte Dritte Zugang zu personenbezogenen Daten des Auftraggebers haben könnten.

Gegenstand und Dauer der Auftragsverarbeitung

- Inhalt und Präzisierung der Auftragsverarbeitung: Im Rahmen dieses Auftrags verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers gemäß der Definition in Artikel 4 Nummer 2 und Artikel 28 der Datenschutz-Grundverordnung (DSGVO) auf der Grundlage dieses Vertrages. Die genaue Ausgestaltung und Dauer der Auftragsverarbeitung ergeben sich aus der Leistungsvereinbarung. Nähere Angaben zur Spezifizierung, Art und Zweck der Auftragsverarbeitung sind im Anhang "Gegenstand der Auftragsverarbeitung" konkretisiert.

- Räumliche Anwendung: Die im Vertrag vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jegliche Verlagerung der Dienstleistung oder von Teilarbeiten in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die speziellen Anforderungen gemäß Artikel 44 ff. der DSGVO erfüllt sind. Hierzu gehören beispielsweise ein Angemessenheitsbeschluss der Europäischen Kommission, die Verwendung von Standarddatenschutzklauseln oder die Einhaltung genehmigter Verhaltensregeln.

- Dauer der Auftragsverarbeitung: Der Vertrag tritt in Kraft, sobald beide Vertragsparteien ihn unterzeichnet haben. Die Laufzeit richtet sich nach der Dauer des zugrundeliegenden Vertragsverhältnisses zwischen dem Auftraggeber und dem Auftragnehmer, sofern aus den Bestimmungen dieses Vertrages keine zusätzlichen Verpflichtungen hervorgehen.

Pflichten des Auftragsverarbeiters

- Einhaltung des geltenden Rechts: Der Auftragsverarbeiter ist verpflichtet, die Datenschutzbestimmungen dieses Vertrags und die einschlägigen gesetzlichen Vorschriften einzuhalten, einschließlich des Bundesdatenschutzgesetzes (BDSG) und der Datenschutz-Grundverordnung (DSGVO).

- Verarbeitung nur nach Weisung: Der Auftragsverarbeiter wird personenbezogene Daten des Auftraggebers nur gemäß den schriftlichen Anweisungen und Vorgaben des Auftraggebers verarbeiten, wie sie in der Leistungsbeschreibung festgelegt sind. Zusätzliche Anweisungen können vom Auftraggeber erteilt werden, soweit dies zur Einhaltung der geltenden Datenschutzgesetze erforderlich ist.

- Verpflichtung zur Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass alle Personen, die Zugriff auf die personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind oder gesetzlichen Verschwiegenheitspflichten unterliegen. Diese Verpflichtung zur Vertraulichkeit bleibt auch nach Beendigung des Auftrags bestehen.

- Unterstützung bei der Wahrung der Betroffenenrechte: Der Auftragsverarbeiter wird den Auftraggeber nach besten Kräften dabei unterstützen, Anfragen von betroffenen Personen zur Berichtigung, Löschung oder Sperrung von Daten gemäß dem BDSG zu beantworten und Anträge zur Ausübung der Rechte gemäß Kapitel III der DSGVO zu bearbeiten. Wenn betroffene Personen sich direkt an den Auftragsverarbeiter wenden, um ihre Rechte geltend zu machen, wird der Auftragsverarbeiter solche Anfragen unverzüglich an den Auftraggeber weiterleiten. Der Auftragsverarbeiter haftet jedoch nicht, wenn der Auftraggeber Anfragen nicht, unzureichend oder nicht rechtzeitig beantwortet.

- Unterstützung bei der Einhaltung von Art. 32-36 DSGVO: Der Auftragsverarbeiter wird den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der in Art. 32-36 der DSGVO festgelegten Pflichten unterstützen. Dies umfasst insbesondere Maßnahmen zur Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzungen und die Zusammenarbeit mit Aufsichtsbehörden.

Rechte und Pflichten des Auftraggebers

- Der Auftraggeber trägt die alleinige Verantwortung im Rahmen dieses Vertrags dafür, sicherzustellen, dass sämtliche Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), eingehalten werden. Dies umfasst die Gewährleistung der Rechtmäßigkeit der Datenverarbeitung und -übermittlung an den Auftragsverarbeiter sowie die Wahrung der gesetzlichen Rechte der betroffenen Personen im Zusammenhang mit ihren personenbezogenen Daten (im Sinne von Art. 4 Nr. 7 DSGVO).

- Der Auftraggeber ist speziell dafür verantwortlich sicherzustellen, dass die vom Auftragsverarbeiter für diese Verarbeitung festgelegten technischen und organisatorischen Maßnahmen (im Folgenden als "TOM" bezeichnet) angemessenen Schutz bieten, um die mit der Datenverarbeitung verbundenen Risiken zu bewältigen. Diese TOMs müssen aktuell sein und den vertraglichen Vereinbarungen entsprechen.

- Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter unverzüglich und vollständig zu informieren, falls er Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen in den Ergebnissen der Datenverarbeitung feststellt.

- Falls Inspektionen durch den Auftraggeber oder von ihm beauftragte Prüfer erforderlich sind, müssen diese zu den normalen Geschäftszeiten erfolgen und den Betriebsablauf des Auftragsverarbeiters nicht stören. Die Inspektionen sollten nach vorheriger Ankündigung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden. Der Auftragsverarbeiter kann die Zustimmung zur Inspektion von einer vorherigen Anmeldung mit angemessener Vorlaufzeit und der Unterzeichnung einer Verschwiegenheitserklärung bezüglich der Daten anderer Geschäftspartner und der vorhandenen technischen und organisatorischen Maßnahmen abhängig machen. Sollte der vom Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen, behält sich der Auftragsverarbeiter das Recht vor, hiergegen Einspruch zu erheben.

- Der Auftraggeber behält sämtliche Rechte an den im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten, den überlassenen Datenträgern sowie den im Rahmen dieses Vertrags erstellten Unterlagen vor.

Erneut generieren

Weisungen

- Der Auftragsverarbeiter und alle ihm unterstellten Personen dürfen personenbezogene Daten nur gemäß den Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt eine Ausnahme gemäß Art. 28 Abs. 3 Satz 2 lit. a der Datenschutz-Grundverordnung (DSGVO) oder einer anderen vorrangigen Rechtsnorm vor.

- Die Weisungen werden zunächst durch die Leistungsvereinbarung und diesen Vertrag festgelegt und können vom Auftraggeber später schriftlich an den Auftragsverarbeiter übermittelt werden ("Einzelweisungen"). Mündliche Weisungen sind nur in dringenden Fällen erlaubt und müssen vom Auftraggeber sofort schriftlich bestätigt werden.

- Sollte der Auftragsverarbeiter der Meinung sein, dass eine Weisung gegen geltende Gesetze verstößt, informiert er den Auftraggeber unverzüglich. In solchen Fällen kann der Auftragsverarbeiter die Umsetzung der Weisung aussetzen, bis der Auftraggeber die Weisung nach Prüfung bestätigt oder geändert hat.

- Wenn eine Einzelweisung gemäß Absatz 2 nicht durch den vertraglich vereinbarten Leistungsumfang abgedeckt ist, wird sie als Anfrage für eine Änderung der Leistung betrachtet. Der Auftragsverarbeiter informiert den Auftraggeber über die Auswirkungen auf vereinbarte Leistungen, Termine und Gebühren. Falls die Umsetzung der Einzelweisung unter Berücksichtigung der berechtigten Interessen des Auftragsverarbeiters unzumutbar ist, kann er die Weisung ablehnen. Sollte der Auftraggeber dennoch auf der Umsetzung der Einzelweisung bestehen, steht ihm ein außerordentliches Kündigungsrecht mit sofortiger Wirkung zu.

- Der Auftraggeber muss dem Auftragsverarbeiter unverzüglich nach Vertragsabschluss die berechtigten Personen benennen, die Weisungen erteilen dürfen. Wenn keine weisungsberechtigte Person benannt wird, sind nur natürliche Personen des Auftraggebers, die zur Vertretung berechtigt sind, zur Erteilung von Weisungen berechtigt. Der Auftragsverarbeiter kann die Ausführung von Weisungen aussetzen, bis die Vertretungsberechtigung nachgewiesen wurde.

- Weisungen in schriftlicher Form sind an die folgende E-Mail-Adresse zu senden: info@xek.gmbh

Technisch-organisatorische Maßnahmen

- Der Auftragsverarbeiter wird in seinem Verantwortungsbereich den Arbeitsalltag so gestalten, dass er den speziellen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen ergreifen, um die Daten des Auftraggebers angemessen zu schützen, und diese Maßnahmen müssen den Anforderungen der Datenschutzgrundverordnung (DSGVO), insbesondere gemäß Artikel 32 DSGVO, entsprechen.

- Der Auftragsverarbeiter ist dafür verantwortlich, technische und organisatorische Maßnahmen zu implementieren, die die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung langfristig gewährleisten. Der Auftraggeber kennt diese technischen und organisatorischen Maßnahmen und ist dafür verantwortlich, sicherzustellen, dass sie ein angemessenes Schutzniveau für die verarbeiteten Daten bieten.

- Die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters unterliegen dem technischen Fortschritt und der Weiterentwicklung. In diesem Sinne darf der Auftragsverarbeiter alternative adäquate Maßnahmen umsetzen, solange das Sicherheitsniveau der vereinbarten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert. Die Änderung der getroffenen Sicherheitsmaßnahmen liegt im Ermessen des Auftragsverarbeiters, vorausgesetzt, das vertraglich vereinbarte Schutzniveau wird nicht unterschritten.

- Mit der Zustimmung zu diesem Vertrag durch den Auftraggeber werden in der Anlage "Technisch-organisatorische Maßnahmen" dokumentierten Maßnahmen des Auftragsverarbeiters zur Grundlage des Vertrags.

Kontrollrechte

- Der Auftraggeber hat das Recht, in Absprache mit dem Auftragnehmer Überprüfungen durchzuführen oder von benannten Prüfern durchführen zu lassen. Er kann sich durch Stichprobenkontrollen, in der Regel mit rechtzeitiger Ankündigung, davon überzeugen, dass der Auftragnehmer diese Vereinbarung einhält. Diese Kontrollen sollten, sofern nicht dringende Gründe vorliegen, nicht häufiger als alle 12 Monate stattfinden.

- Der Auftragnehmer gewährleistet, dass der Auftraggeber die Einhaltung der Verpflichtungen des Auftragnehmers gemäß Artikel 28 DS-GVO überprüfen kann. Auf Anforderung des Auftraggebers wird der Auftragnehmer die erforderlichen Informationen bereitstellen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachweisen.

- Der Nachweis solcher Maßnahmen, die nicht nur den spezifischen Auftrag betreffen, kann auf verschiedene Arten erbracht werden, einschließlich:


Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DS-GVO.

Zertifizierung gemäß einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DS-GVO.

Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren).

Geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

Für die Durchführung von Kontrollen durch den Auftraggeber kann der Auftragnehmer eine angemessene Vergütung verlangen.

Subunternehmen

- Der Auftraggeber ermächtigt hiermit den Auftragsverarbeiter, Subunternehmen zu beauftragen. Die Liste der Subunternehmen, die zum Zeitpunkt des Vertragsabschlusses eingesetzt werden, ist im Anhang "Subunternehmen" verfügbar.

- Der Auftragsverarbeiter ist verpflichtet, die Subunternehmen sorgfältig auszuwählen und sicherzustellen, dass sie die Vertragsbedingungen zwischen den Vertragsparteien sowie die gesetzlichen Anforderungen gemäß der DSGVO einhalten können.

- Wenn der Auftragsverarbeiter zusätzliche oder andere Subunternehmen zur Erbringung der vertraglich vereinbarten Leistungen einsetzen möchte, muss er diese in Übereinstimmung mit den gesetzlichen Anforderungen sorgfältig auswählen und den Auftraggeber vor Beginn der Verarbeitung schriftlich darüber informieren. Der Auftraggeber hat das Recht, aus wichtigen datenschutzrechtlichen Gründen gegen die Einbindung des Subunternehmens schriftlich Einspruch zu erheben. Im Falle eines Einspruchs kann der Auftragsverarbeiter entweder die Leistung ohne die geplante Änderung des Subunternehmens fortsetzen oder den Vertrag außerordentlich und sofortig kündigen, sofern die Fortsetzung der Leistung ohne die geplante Änderung für den Auftragsverarbeiter unzumutbar ist.

- Die Verträge mit den Subunternehmen müssen so gestaltet sein, dass sie den Anforderungen des geltenden Datenschutzrechts und dieses Vertrags entsprechen. Die Subunternehmen müssen sich insbesondere verpflichten, keine weiteren oder anderen Subunternehmen ohne Einhaltung des Vertrags zu beauftragen. Der Auftragsverarbeiter ist verantwortlich für die Kontrolle, ob ausreichende Garantien dafür bestehen, dass die geeigneten technischen und organisatorischen Maßnahmen ergriffen werden, um die Einhaltung des anwendbaren Datenschutzrechts und dieses Vertrags sicherzustellen.

- Nicht als Subunternehmensverhältnisse im Sinne dieser Regelungen gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistungen zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu gehören beispielsweise Telekommunikationsleistungen, Reinigungsleistungen, Prüfleistungen oder gegebenenfalls Wartungsleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, auch bei der Vergabe von Nebenleistungen an Dritte gesetzeskonforme und angemessene vertragliche Vereinbarungen zu treffen und Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Auftraggebers sowie die Vertraulichkeit sicherzustellen.


Löschung und Rückgabe nach Beendigung der Verarbeitung


- Nach Beendigung der Auftragsverarbeitung hat der Auftraggeber das Recht, die ihm übertragenen personenbezogenen Daten in einem maschinenlesbaren Format anzufordern oder deren Löschung gemäß den folgenden Regeln zu verlangen.

- Das Verlangen nach Herausgabe der Daten muss innerhalb von 30 Tagen nach Vertragsende gegenüber dem Auftragsverarbeiter geltend gemacht werden. Nach Ablauf dieser 30 Tage ist der Auftragsverarbeiter berechtigt, die übertragenen personenbezogenen Daten zu löschen.

- Wenn der Auftraggeber die Herausgabe der Daten verlangt, kann der Auftragsverarbeiter die Daten unverzüglich nach ihrer Herausgabe löschen.

- Es sei darauf hingewiesen, dass diese Regelungen nicht für Daten gelten, für die der Auftragsverarbeiter gesetzlich zur Aufbewahrung verpflichtet ist. Diese Daten müssen gemäß den gesetzlichen Vorgaben aufbewahrt werden.

Haftung


- Sowohl der Auftraggeber als auch der Auftragnehmer tragen gemeinsam die Haftung für Schäden, die durch eine Verarbeitung von personenbezogenen Daten erfolgen, die nicht den Vorgaben der DSGVO entspricht. Diese Haftung besteht gegenüber der betroffenen Person und beide gelten im Außenverhältnis als Gesamtschuldner.

- Wenn sowohl der Auftragsverarbeiter als auch der Auftraggeber an einer Datenverarbeitung teilnehmen, die Schaden bei der betroffenen Person verursacht, ist der Auftraggeber zunächst dafür verantwortlich, die volle Entschädigung oder einen anderen Ausgleich zu leisten, der der betroffenen Person zusteht. Erst beim wiederholten Vorfall kann der Auftraggeber vom Auftragsverarbeiter den Teil der Entschädigung einfordern, der auf die Verantwortung des Auftragsverarbeiters für den Schaden zurückzuführen ist.

- Der Auftragsverarbeiter haftet ausschließlich für Schäden, die auf eine von ihm durchgeführte Datenverarbeitung zurückzuführen sind und bei der er entweder seinen speziellen Pflichten gemäß der DSGVO nicht nachgekommen ist oder Anweisungen des Auftraggebers nicht beachtet oder gegen diese gehandelt hat.

- Beide Parteien sind von ihrer Haftung befreit, wenn sie nachweisen können, dass sie keinerlei Verantwortung für den Umstand tragen, der den Schaden bei der betroffenen Person verursacht hat.

Schlussbestimmungen


- Änderungen und Ergänzungen dieses Vertrags sowie seiner Bestandteile, einschließlich etwaiger Zusicherungen seitens des Auftragsverarbeiters, müssen schriftlich vereinbart werden. Die Vereinbarung kann auch in elektronischer Form (Textform) erfolgen, wobei ausdrücklich darauf hingewiesen werden muss, dass es sich um eine Änderung oder Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf die Einhaltung dieses Formerfordernisses.

- Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Der ausschließliche Gerichtsstand für alle Streitigkeiten, die aus oder im Zusammenhang mit diesem Vertrag entstehen, ist der Sitz des Auftragsverarbeiters. Diese Regelung gilt insbesondere dann, wenn der Auftraggeber ein Kaufmann, eine juristische Person oder ein öffentlich-rechtliches Sondervermögen ist. Ebenso gilt dies, wenn der Auftraggeber weder einen allgemeinen Gerichtsstand in Deutschland oder der EU hat noch seinen gewöhnlichen Aufenthalt im Zeitpunkt der Klageerhebung bekannt ist. Das Recht, auch das Gericht an einem anderen gesetzlichen Gerichtsstand anzurufen, bleibt hiervon unberührt.

- Dieser Vertrag ersetzt sämtliche vorherigen oder gleichzeitigen Zusicherungen, Ansprachen, Vereinbarungen, Verträge oder Mitteilungen zwischen den Parteien, unabhängig davon, ob sie schriftlich oder mündlich abgeschlossen wurden. Die jeweils geschlossene Leistungsvereinbarung bleibt von diesem Vertrag unberührt.

Anlage: Gegenstand der Auftragsverarbeitung

Art der Daten

  • Personenstammdaten
  • Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Artikeldaten
  • Bestelldaten
  • Käuferdaten

Art und Zweck der Datenverarbeitung

anifora bietet eine umfassende Lösung für Auftragsabwicklung und Automatisierung, die speziell auf Verkäufer zugeschnitten ist, die ihre Produkte über verschiedene (Online)-Vertriebskanäle vermarkten. Unsere Plattform stellt Schnittstellen zu verschiedenen Quellsystemen wie Online-Shops und Marktplätzen zur Verfügung. Darüber hinaus integrieren wir eigene, direkt in anifora entwickelte Funktionen sowie Schnittstellen zu Drittsystemen, einschließlich Buchhaltungssoftware, um Ihren Geschäftsprozess optimal zu unterstützen.

Anlage: Technisch-organisatorische Maßnahmen

In Anbetracht der aktuellen technologischen Möglichkeiten, der Kosten für die Implementierung und der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung, sowie der verschiedenen Wahrscheinlichkeiten und Auswirkungen von Risiken für die Rechte und Freiheiten von Einzelpersonen, müssen der Datenverantwortliche und der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau vor Risiken sicherzustellen. Diese Maßnahmen können je nach Bedarf unter anderem folgendes umfassen:

Zugriffskontrolle

Diese Maßnahmen sollen sicherstellen, dass nur berechtigte Benutzer auf die Daten zugreifen können, für die sie Zugriffsberechtigungen haben. Zudem sollen personenbezogene Daten während der Verarbeitung, Nutzung und Speicherung vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen geschützt werden. Wir setzen dies um durch:

  • Softwareseitige Sicherungen gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten.
  • Die Möglichkeit für Benutzer, Berechtigungen auf Mitarbeiterebene festzulegen.
  • Die Möglichkeit für anifora-Mitarbeiter, auf Kundenanfrage Einblick in die vom Kunden verarbeiteten Daten zu nehmen.

Trennungskontrolle

Diese Maßnahmen sorgen dafür, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können. Dies kann durch logische und physikalische Trennung der Daten erreicht werden. Unsere Maßnahmen umfassen:

  • Die getrennte Verarbeitung von Daten, die für verschiedene Zwecke erhoben wurden.
  • Die mandantenfähige Beschaffenheit unseres Systems, die eine softwareseitige Trennung der Daten der einzelnen Kunden gewährleistet.
  • Die Identifizierung jedes Kunden durch sein Login, wodurch er nur auf die von ihm verwalteten Daten zugreifen kann.


Weitergabekontrolle

Diese Maßnahmen zielen darauf ab, sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung, ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Außerdem sollen sie sicherstellen, dass verfolgt und nachgewiesen werden kann, wohin personenbezogene Daten übertragen werden sollen, wenn Einrichtungen zur Datenübertragung verwendet werden. Wir setzen dies um durch:

  • Die ausschließliche Verwendung verschlüsselter Verbindungen für alle Datenübertragungen zwischen anifora und externen Systemen.

Eingabekontrolle

Diese Maßnahmen sollen sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden. Unsere Maßnahmen umfassen:

  • Die direkte Datenverarbeitung durch den Kunden selbst.
  • Die Protokollierung von Dateneingaben oder -veränderungen, falls mehrere Mitarbeiterzugänge vorhanden sind, um festzustellen, welcher Mitarbeiter diese Aktionen durchgeführt hat.

Sicherstellung der Integrität

Weitergabekontrolle

Diese Maßnahmen zielen darauf ab sicherzustellen, dass personenbezogene Daten während ihrer elektronischen Übertragung, ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Außerdem soll festgestellt werden können, wohin die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung erfolgen soll. Unsere Maßnahmen beinhalten:

  • Die Sicherung des Zugriffs auf alle Systeme bei Subunternehmen mittels Virtual Private Networks (VPN).
  • Die ausschließliche Verwendung verschlüsselter Verbindungen für sämtliche Datenübertragungen zwischen anifora und externen Systemen.

Eingabekontrolle

Diese Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden. Unsere Umsetzung sieht wie folgt aus:

  • Die Datenverarbeitung erfolgt direkt durch den Kunden selbst.

Pseudonymisierung und Verschlüsselung

Pseudonymisierung

Hierbei handelt es sich um Maßnahmen zur Pseudonymisierung von Daten. Unsere Maßnahmen beinhalten:

  • Die Übertragung personenbezogener Daten zur längerfristigen Speicherung in ein speziell dafür vorgesehenes System, wodurch eine Pseudonymisierung erreicht wird.

Verschlüsselung

Hierbei handelt es sich um Maßnahmen zur Verschlüsselung von Daten. Unsere Maßnahmen umfassen:

  • Die Verschlüsselung von Daten während der elektronischen Übertragung oder ihres Transports. Wir verwenden hierbei modernste Verschlüsselungsverfahren.
  • Die ausschließliche Speicherung von Daten in verschlüsselter Form, ebenfalls unter Verwendung aktueller Verschlüsselungstechnologien.

Gewährleistung der Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit

Verfügbarkeit (der Daten)

Diese Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und die Datenverfügbarkeit sichergestellt ist. Unsere Maßnahmen umfassen:

  • Die regelmäßige Sicherung aller Kundendaten im Fünfminuten-Takt.
  • Die Absicherung der Systeme unserer Subunternehmen gegen Stromausfälle mittels unterbrechungsfreier Stromversorgung (USV).
  • Den Einsatz einer Firewall zum Schutz vor externem Zugriff auf unsere Systeme.
  • Die Redundanz unserer Systeme, um sicherzustellen, dass im Falle eines Ausfalls einer Komponente eine andere sofort einspringen kann.

Belastbarkeit (der Systeme)

Für diesen Punkt werden keine spezifischen Maßnahmen genannt.

Wiederherstellbarkeit (der Daten / der Systeme)

Diese Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und die Wiederherstellung von Daten und Systemen möglich ist. Unsere Maßnahmen beinhalten:

  • Die vollständige Wiederherstellung des Betriebs aus einem aktuellen Backup innerhalb von etwa zwölf Stunden.

Gewährleistung der Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit

Auftragskontrolle

Diese Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur gemäß den Weisungen des Auftraggebers verarbeitet werden können. Unsere Maßnahmen umfassen:

  • Den Abschluss erforderlicher Auftragsdatenvereinbarungen.
  • Den Abschluss erforderlicher Standard-Vertragsklauseln.
  • Die sorgfältige Auswahl des Auftragnehmers.
  • Die Verpflichtung der Mitarbeiter des Auftragnehmers zur Einhaltung des Datengeheimnisses.
  • Die Sicherstellung der Datenvernichtung nach Beendigung eines Auftrags.

Datenschutz-Management

Diese Maßnahmen gewährleisten, dass Methoden zur systematischen Planung, Organisation, Steuerung und Kontrolle der gesetzlichen und betrieblichen Anforderungen des Datenschutzes evaluiert wurden. Unsere Maßnahmen umfassen unter anderem:

  • Die Bestellung eines externen Datenschutzbeauftragten.
  • Die Erfüllung der Informationspflichten gemäß Art. 13 DSGVO und Art. 14 DSGVO.
  • Die Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz.
  • Die Durchführung von Datenschutzfolgeabschätzungen, wenn erforderlich.
  • Die regelmäßige Schulung der Mitarbeiter zum Datenschutz.
  • Die jährliche Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
  • Die Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses.

Incident-Response-Management

Diese Maßnahmen gewährleisten, dass Sicherheitsvorfällen vorgebeugt wird oder im Fall bereits eingetretener Sicherheitsvorfälle Daten und Systeme geschützt werden und eine schnelle Analyse und Behebung des Vorfalls durchgeführt werden kann. Unsere Maßnahmen beinhalten:

  • Die Dokumentation von Sicherheitsvorfällen.
  • Den Einsatz und die regelmäßige Aktualisierung von Firewalls, Spamfiltern und Virenscannern.

Datenschutz freundliche Voreinstellungen

Diese Maßnahmen gewährleisten, dass bereits durch die Technikgestaltung und Werkseinstellungen einer Software ein angemessenes Datenschutzniveau gewährleistet ist. Unsere Maßnahmen beinhalten:

  • Die Erhebung personenbezogener Daten nur zweckgebunden und erforderlich.

Anlage: Subunternehmen

Hetzner Online GmbH (https://www.hetzner.de/)

Industriestr. 25

91710 Gunzenhausen

Auftragsinhalt: Unterbringung der primären Server-Systeme zum Betrieb der Anwendung

Ort der Datenverarbeitung: Deutschland

Discord Inc. (https://discord.com/)

444 de Haro Street

Suite 200

San Francisco CA 94107

Vereinigte Staaten von Amerika

Auftragsinhalt: Internes Kommunikationstool, vereinzelt Endkundendaten im Rahmen des Supports

Ort der Datenverarbeitung: USA

Zendesk GmbH c/o TaylorWessing (https://www.zendesk.de/)

Neue Schönhauser Str. 3-5

10178 Berlin

Auftragsinhalt: Internes Supporttool, Endkundendaten nur dann, wenn Sie aktiv übermittelt werden

Ort der Datenverarbeitung: Deutschland

Unsere Mission ist es, deine Auftragsverarbeitung als Reseller maximal zu automatisieren. Dafür entwickeln wir moderne Software und intuitive Interfaces. Weniger Kopfschmerzen und mehr Zeit für wichtigere Dinge.