Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung („DSGVO“)
z w i s c h e n
Auftraggeber der Hintbox
als Verantwortlicher (hier bezeichnet als „Auftraggeber“)
u n d
lawcode GmbH, Universitätsstraße 3, 56070 Koblenz, Deutschland
als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer“)
(zusammen bezeichnet als „Parteien“)
Präambel
1. Gegenstand und Dauer des Auftrags
(1) Gegenstand Der Gegenstand des Auftrags ergibt sich aus der Leistungsbeschreibung und den Nutzungsbedingungen, die die Parteien mit dem Erwerb der Lizenz der Hintbox und/oder der Ombudslösung abgeschlossen haben und auf die hier verwiesen wird (zusammen „Leistungsvereinbarung“).
(2) Dauer
Die Dauer dieses Auftrags entspricht der Laufzeit der Leistungsvereinbarung.
2. Konkretisierung des Auftragsinhalts
(1) Art und Zweck der vorgesehenen Verarbeitung von Daten Der Auftragnehmer stellt dem Auftraggeber die Hintbox als digitales Hinweisgebersystem als Software as a Service Lösung zur Nutzung durch den Auftraggeber zur Verfügung. Dies ermöglicht es u.a. Mitarbeitern, Lieferanten und Geschäftspartnern des Auftraggebers über die Hintbox Meldungen über Gesetzesverstöße und Unregelmäßigkeiten beim Auftraggeber einzureichen. Der Auftraggeber kann über die Hintbox mit dem Hinweisgeber kommunizieren und die Meldungen bearbeiten.
Sofern der Auftraggeber dies gebucht hat, stellt der Auftragnehmer dem Auftraggeber die Ombudslösung zur Administration von digitalen Hinweisgebersystemen von Mandanten/Kunden des Auftraggebers zur Verfügung.
Der Auftraggeber handelt in beiden Fällen als Verantwortlicher und bestimmt die Zwecke und Mittel der Datenverarbeitung. Der Auftragnehmer betreut die digitale Plattform.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Nur wenn der Auftraggeber dies ausdrücklich wünscht und optional bucht, findet eine Datenverarbeitung in der Schweiz statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Art der Daten Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien: Kontakt- und Identifikationsdaten (bspw. Vor- und Nachname, Anschriften usw.); Daten über Gesetzesverstöße und Unregelmäßigkeiten im Zusammenhang mit einer Meldung; Informationen zur Bezahlung der Ombudslösung.
(3) Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Beschäftigte; Lieferanten; Geschäftspartner; Kunden; Ansprechpartner; Handelsvertreter; Interessenten.
3. Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Die dokumentierten Maßnahmen werden Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Weiteres ergibt sich aus der Anlage 1.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Datenschutzbeauftragter des Auftragnehmers ist: esquilin GmbH, Jörg Weiß, Max-Beckmann-Weg 65, 65428 Rüsselsheim am Main (Deutschland), dpo@lawcode.eu.
b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 lit. c, 32 DSGVO gemäß Anlage 1.
d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. Der Auftragnehmer kann in einem solchen Fall eine angemessene Vergütung verlangen.
g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieser Vereinbarung.
6. Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftraggeber stimmt der Beauftragung des nachfolgenden Unterauftragnehmers unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO bereits zu:
| Firma Unterauftragnehmer | Anschrift/Land | Leistung |
|---|---|---|
| Hetzner Online GmbH | Industriestraße 25 91710 Gunzenhausen, Deutschland Tel.: +49 (0)9831 505-0 Fax: +49 (0)9831 505-3 E-Mail: info@hetzner.com |
Bereitstellung der Serverkapazitäten (Hoster) für die in der Hintbox und/oder der Ombudslösung gespeicherten und verarbeitenden personenbezogenen Daten. |
| DeepLGmbH | Maarweg 165 50825 Köln Deutschland Fax: +49 221 95491533 E-Mail: info@deepl.com |
Bereitstellung einer KI zur sprachlichen Übersetzung von Customer Content (Rechtstexte, E-Mail-Texte, Kategorien und Prozesse) und eingehenden Hinweisen (eine Datenübermittlung in verschlüsselter Form an DeepL GmbH erfolgt nur, wenn der Admin/Manager des Falles dem ausdrücklich zuvor zugestimmt hat). |
| Telekom Deutschland GmbH (Open Telekom Cloud) | Landgrabenweg 151 53227 Bonn Deutschland E-Mail: datenschutz@telekom.de |
Hosting/Back-up von verschlüsselten Daten in der Hintbox zum Zwecke der Co-Location im Zuge des Business Continuity Management des Auftragnehmers. |
| Nur sofern der Auftraggeber auch die digitale Whistleblower-Hotline gebucht hat (optional): inopla GmbH |
Reisholzer Werftstr. 31 40589 Düsseldorf Deutschland Tel.: +49(0)211 - 36 76 4000 Fax: +49(0)211 - 36 76 4010 E-Mail: kontakt@inopla.de |
Bereitstellung von Telefonnummern und digitale Entgegennahme von Anrufen mit automatischer Übermittlung an die Hintbox. |
| Nur sofern der Auftraggeber ein Hosting in der Schweiz gebucht hat (optional): Flow Swiss AG |
Dufourstrasse 49 CH-8008 Zurich Schweiz E-Mail: support@flow.swiss |
Bereitstellung der Serverkapazitäten (Hoster) für die in der Hintbox und/oder der Ombudslösung gespeicherten und verarbeiteten personenbezogenen Daten, sofern der Auftraggeber ein Hosting in der Schweiz gebucht hat. |
| Nur sofern der Auftraggeber ein Hosting in der Schweiz gebucht hat (optional): Flow Swiss AG |
Alte Tiefenaustrasse 6 CH-3050 Bern Schweiz Tel.: +41 62 286 12 12 E-Mail: datenschutz@swisscom.com |
Hosting/Back-up von verschlüsselten Daten in der Hintbox zum Zwecke der Co-Location im Zuge des Business Continuity Management des Auftragnehmers, sofern der Auftraggeber ein Hosting in der Schweiz gebucht hat. |
Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:
• der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
• der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen gemäß Art. 44 ff. DSGVO sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers.
(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen bei dem Auftragnehmer durchzuführen oder durch einen im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anlage 1 nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Steuerberater, Wirtschaftsprüfer, Revision, Datenschutzbeauftragter bzw. Datenschutzverantwortlicher, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
(4) Für die Ermöglichung von Kontrollen und deren Durchführung durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch in angemessener Höhe geltend machen.
8. Unterstützungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;
c) der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt;
d) unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten;
e) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
f) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;
g) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
(2) Für Unterstützungsleistungen, die nicht in der Leistungsvereinbarung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung in angemessener Höhe beanspruchen.
9. Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich gegenüber dem Auftragnehmer (mind. Textform).
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10. Löschung und Rückgabe von personenbezogenen Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger ausdrücklicher Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
11. Haftung
Die Haftung für die Auftragsverarbeitung richtet sich nach Art. 82 DSGVO. Im Übrigen richtet sich die Haftung nach der Leistungsvereinbarung.
12. Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(3) Im Falle eines Konflikts hinsichtlich der datenschutzrechtlichen Auftragsverarbeitung haben die Regelungen dieser Vereinbarung Vorrang vor den Bestimmungen der Leistungsvereinbarung.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.
Anlage 1: Technisch-organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Zutrittskontrolle Das deutsche – oder optional auf Wunsch des Auftraggebers das Schweizer – Rechenzentrum (ISO 27001-zertifiziert) ist umfassend durch Einlasskontrollen und Sicherungsmechanismen gesichert, um einen unbefugten Zutritt zu Datenverarbeitungsanlagen zu verhindern (u.a. Alarmanlage, Wachdienst, Protokollierung des Zutritts usw.). Ein Zutritt ist nur autorisierten Mitarbeitern gestattet. Darüber hinaus sind die Büroräume des Auftragnehmers gesichert u.a. durch Schlüssel.
• Zugangskontrolle o Der Auftragnehmer setzt sichere und komplexe Kennwörter ein, um eine unbefugte Systembenutzung auszuschließen. o Alle Daten im Zusammenhang mit den Hinweisen und deren Kommunikation werden Ende-zu-Ende verschlüsselt. o Die Datenbanken werden verschlüsselt durch AES-256 Verschlüsselung. o 2-Faktor-Authentifizierung für die Hintbox und die Ombudslösung. o Es wird eine Firewall eingesetzt und es besteht ein umfassender Maleware-Schutz auf Arbeitsplatzrechnern und Servern. o Verschlüsselung der Festplatten. o Technische Sperre des Arbeitsplatzes bei Nicht-Aktivität. o TLS-Verschlüsselung (Transport Layer Security) auf der Website („www.hintbox.de“). o VPN-Einsatz.
• Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems des Auftragnehmers. Dies wird sichergestellt durch ein Berechtigungskonzept in Form einer Richtlinie Zugangssteuerung (gemäß ISO 27001). Dieses sieht einen Prozess zur Vergabe von Zugriffen innerhalb des Auftragnehmers vor. Es gilt das need-to-know-Prinzip. Zugriffe von besonderen Sicherheitsbereichen (Entwicklung und IT-Betrieb) unterliegen noch weiter erhöhten Freigabeprozedere (u.a. 4-Augen-Prinzip, gesonderte Sicherheitsüberprüfung des Beantragenden durch den jeweiligen Asset-Owner). Ein erhöhter Passwortschutz ist umgesetzt.
• Trennungskontrolle o Die Datenbanken der jeweiligen Kunden werden getrennt administriert. o Mehr-Mandantenfähigkeit. o Getrennte Speicherung der Kundendaten. o Trennung von Entwicklungs-, Test- und Produktivsysteme.
• Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Daten in der Hintbox sowie der Ombudslösung werden verschlüsselt. Dadurch können die verschlüsselten Daten in der Hintbox und auch der Ombudslösung nicht mit Daten Dritter de-pseudonymisiert bzw. es kann kein Personenbezug hergestellt werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
• Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch eine industrieübliche SSL-Verschlüsselung. Zudem besteht eine Verschlüsselung der Endgeräte.
• Eingabekontrolle Modifikationen durch Veränderungen, Einfügungen und Löschungen werden in einem Index der Hintbox revisionssicher protokolliert. Eine Löschung der Hinweise und des entsprechenden Index ist nur nach Durchlaufen des Vier-Augen-Prinzips (Manager + Admin oder Admin + Admin) möglich.
Modifikationen durch den Auftragnehmer stehen nur dem verantwortlichen Asset-Owner nach einem Vier-Augenprinzip zu und werden protokolliert.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Verfügbarkeitskontrolle Es werden täglich Back-ups von der Hintbox und der Ombudslösung angefertigt, um einen Verlust der Daten zu minimieren. Wir setzten einen industrieüblichen Virenschutz ein. Die vom Auftragnehmer eingesetzten Host-Provider (ISO 27001 Zertifiziert) setzen eine umfassende USV ein und weitere Schutzmaßnahmen um (Firewall, Meldewege und Notfallpläne).
• Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
Eine Wiederherstellung der Daten aus dem Backup kann binnen weniger Minuten erfolgen. Dokumentation im Ticket-System.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
• Der Auftragnehmer hat ein umfassendes Datenschutz-Management-System implementiert, insbesondere eine Richtlinie zur DSGVO, Verarbeitungsverzeichnis, einen Datenschutzbeauftragten benannt, Schulung und Sensibilisierung der Mitarbeiter werden regelmäßig durchgeführt, usw.
• Der Auftragnehmer hat ein IS-MS implementiert gemäß den Vorgaben der ISO 27001.
• Der Auftragnehmer hat ein Informationssicherheits-Managementsystem („IS-MS“) implementiert, das ISO 27001 zertifiziert ist.
• Der Auftragnehmer auditiert sein IS-MS durch einen unabhängigen Auditor basierend auf den Vorgaben und insbesondere den Controlls der ISO 27001 einmal jährlich; ansonsten anlassbezogen.
• Incident-Response-Management entsprechend den Vorgaben der DSGVO und der ISO 27001 wurde implementiert.
• Der Auftragnehmer hat die Voreinstellung (default) der Hintbox derart konzipiert und programmiert, dass nur solche Daten verarbeitet werden, die für den Verarbeitungszweck (=Aufklärung von Compliance-Hinweisen) erforderlich sind. Bereits die Felder der Eingabemaske beschränken sich auf das absolut erforderliche Maß. Zudem können Hinweisgeber ihre Meldung auch anonym abgeben. Die Einstellung der Hintbox sind derart konzipiert, dass keine IP-Adressen oder sonstige Geräte-Daten getrackt werden, um die Vertraulichkeit/Anonymität der Hinweisgeber sicherzustellen. Die Hinweise werden zudem Ende-zu-Ende verschlüsselt. Nur der Admin kann Manager zu einem Fall bzw. auf die Hintbox einladen (mit 2-Faktor-Authentifizierung).
• Auftragskontrolle Der Auftragnehmer evaluiert regelmäßig sein Datenschutz-Management-System und vergewissert sich regelmäßig von der datenschutzrechtlichen Zuverlässigkeit seiner Unterauftragnehmer und Lieferanten. Der Auftragnehmer steuert dies über sein Lieferantenmanagement entsprechend den Vorgaben der ISO 27001.