skillworx_Logo_RGB_Farbe

Standardvertragsklauseln zur Auftragsverarbeitung  skillworx

(Stand: 01.10.2023)

 

ABSCHNITT I 

 

 

Klausel 1: Zweck und Anwendungsbereich 

 

Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)] sichergestellt werden. 

 

Mit Unterzeichnung des Angebots stimmen der Auftraggeber und der Auftragsverarbeiter diesen Klauseln zu, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten. 

 

Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II. 

 

Die Anhänge I bis IV sind Bestandteil der Klauseln. 

 

Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Auftraggeber gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt. 

 

Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden. 

 

 

Klausel 2: Unabänderbarkeit der Klauseln 

 

Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen. 

 

Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. 

 

 

Klausel 3: Auslegung 

 

Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung. 

 

Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen. 

 

Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet. 

 

 

Klausel 4: Vorrang 

 

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang. 

 

 

ABSCHNITT II 

 

 

PFLICHTEN DER PARTEIEN 

 

 

Klausel 6: Beschreibung der Verarbeitung 

 

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Auftraggebers verarbeitet werden, sind in Anhang II aufgeführt. 

 

 

Klausel 7: Pflichten der Parteien 

 

Weisungen 

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren. 

 

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass vom Auftraggeber erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen. 

 

Zweckbindung 

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Auftraggebers erhält. 

 

Dauer der Verarbeitung personenbezogener Daten 

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet. 

 

Sicherheit der Verarbeitung 

Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung. 

 

Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

 

 Sensible Daten 

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an. 

 

Dokumentation und Einhaltung der Klauseln 

Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. 

 

Der Auftragsverarbeiter bearbeitet Anfragen des Auftraggebers bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise. 

 

Der Auftragsverarbeiter stellt dem Auftraggeber alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Auftraggebers gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Auftraggeber einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen. 

 

Der Auftraggeber kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

 

Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung. 

 

Der Auftraggeber ist verpflichtet, dem Auftragsverarbeiter die Aufwände auf Basis einer üblichen Vergütung zu ersetzen, welche er im Zusammenhang mit einer Prüfung hat. 

 

Einsatz von Unterauftragsverarbeitern 

Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Auftraggebers für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Auftraggeber mindestens 2 Wochen im Voraus ausdrücklich in geeigneter Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Auftraggeber damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Auftraggeber die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. 

 

Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Auftraggebers), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt. 

 

Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen. 

 

Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Auftraggeber, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt. 

 

Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Auftraggeber – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. 

 

Internationale Datenübermittlungen 

Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Auftraggebers oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen. 

 

Der Auftraggeber erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Auftraggeber) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind. 

 

 

Klausel 8: Unterstützung des Auftraggebers 

 

Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt.

 

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Auftraggeber bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Auftraggebers. 

 

Abgesehen von der Pflicht des Auftragsverarbeiters, den Auftraggeber gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber zudem bei der Einhaltung der folgenden Pflichten: 

  • Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
  • Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz- Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Auftraggeber keine Maßnahmen zur Eindämmung des Risikos trifft; 
  • Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Auftraggeber unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind; 
  • Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679. 

Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Auftraggebers durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. 

 

 

Klausel 9: Meldung von Verletzungen des Schutzes personenbezogener Daten 

 

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Auftraggeber zusammen und unterstützt ihn entsprechend, damit der Auftraggeber seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt. 

 

Verletzung des Schutzes der vom Auftraggeber verarbeiteten Daten 

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftraggeber verarbeiteten Daten unterstützt der Auftragsverarbeiter den Auftraggeber wie folgt: 

  • bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Auftraggeber die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen); 
  • bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Auftraggebers anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen: 
    • die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; 
    • die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; 
    • die vom Auftraggeber ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
      Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
  • bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten 

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Auftraggeber unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten: 

  • eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze); 
  • Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können; 
  • die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
    Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. 

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Auftraggeber bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen. 

 

 

ABSCHNITT III 

 

 

SCHLUSSBESTIMMUNGEN 

 

 

Klausel 10: Verstöße gegen die Klauseln und Beendigung des Vertrags

 

Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Auftraggeber – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten. 

 

Der Auftraggeber ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn 

  • der Auftraggeber die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde; 
  • der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt; 
  • der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt. 

Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Auftraggeber auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen. 

 

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Auftraggebers alle im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten und bescheinigt dem Auftraggeber, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Auftraggeber zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln. 

 

 

ANHANG I  

 

 

Liste der Parteien  

 

Auftraggeber:  

 

siehe Angebot 

 

Auftragsverarbeiter:  

 

Name: mindclipr GmbH 

Anschrift: Königsbrücker Str. 124, 01099 Dresden 

 

Name, Funktion und Kontaktdaten der Kontaktperson: Aileen Oppermann, Geschäftsführerin, info@mindclipr.com 

 

 

 

ANHANG II  

 

 

Beschreibung der Verarbeitung  

 

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden: 

Kunden des Auftraggebers, Mitarbeitende von Kunden des Auftraggebers, Mitarbeitende des Auftraggebers 

 

Kategorien personenbezogener Daten, die verarbeitet werden: 

Kontaktdaten, Name, Vorname, Daten über den Fortschritt der Weiterbildung 

 

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen: 

 keine 

 

Art der Verarbeitung: 

 Erstellung von Nutzeraccounts und Darstellung der Fortschritte beim Abschluss der vom Auftraggeber generierten Weiterbildungsmodule 

 

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Auftraggebers verarbeitet werden: 

 Weiterbildung, Nachweis über Fortbildungen 

 

Dauer der Verarbeitung: 

 Für die Dauer des Vertragsverhältnisses 

 

 

ANHANG III  

 

 

Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten  

 

 

Zugangskontrolle

 

Schutz vor unbefugtem Produktzugriff

Ausgelagerte Verarbeitung: Mindclipr hostet seinen Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhält mindclipr Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß seiner AVV anbieten zu können. Mindclipr unterhält vertragliche Vereinbarungen zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden. 

 

Physischer Schutz und Umweltsicherheit: Mindclipr hostet seine Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Mindclipr besitzt oder wartet keine Hardware in den Rechenzentren der ausgelagerten Betreiber von Infrastruktur. Produktionsserver und Anwendungen für die Kunden sind logisch und physisch von den internen Informationssystemen von Mindclipr getrennt, wodurch ihr Schutz gewährleistet ist.  

 

Authentifizierung: Mindclipr führt für seine Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen. 

 

Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes. 

 

Schutz vor unbefugter Produktnutzung

Mindclipr implementiert den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen seine Produkte beruhen. 

 

Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln. 

 

Angriffserkennung und Prävention: Mindclipr implementiert eine Web Application Firewall (WAF), um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern. 

 

Statische Code-Analyse: Der im Quellcode-Repository gespeicherte Code wird mithilfe automatischer Tools mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft. 

 

Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen 

Produktzugriff: Eine Gruppe der Mitarbeitenden von Mindclipr hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff dient der Bereitstellung eines effizienten Kundendienstes, der Produktentwicklung und Forschung, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen.  

 

Übertragungssteuerung

Verschlüsselung der Datenübertragung: Mindclipr setzt für alle Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) voraus. Mindclipr verwendet für seine HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards. 

 

Während der Speicherung: Mindclipr speichert Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen.  Mindclipr hat Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird.  

 

Eingabesteuerung

Erkennung: Die Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden.  

 

Reaktion und Nachverfolgung: Mindclipr zeichnet bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum jeweiligen Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitenden überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leitet mindclipr angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Mindclipr benachrichtigt seine Kunden in Übereinstimmung mit den Bestimmungen des Vertrags.  

 

Verfügbarkeitskontrolle

Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,5 % zu gewährleisten.  

 

Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert. 

 

Die Produkte von mindclipr wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt bei der Wartung und Aktualisierung der Produktanwendungen und Backend-Tätigkeiten und begrenzt die Ausfallzeiten. 

 

  

ANHANG IV  

 

 

Liste der Unterauftragsverarbeiter  

 

ERLÄUTERUNG: 

Der Auftraggeber hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt: 

 

Name 

Anschrift 

Beschreibung der Verarbeitung 

Cloud Creators GmbH 

Augustinerplatz. 2 

79098 Freiburg im Breisgau 

IT-Dienstleister, beauftragt zur Weiterentwicklung und Wartung der Software 

Amazon Web Services EMEA SARL 

38 Avenue John F. Kennedy, L-1855 Luxemburg 

Hosting und Infrastruktur