1.png

Vertrag über die Auftragsverarbeitung (AVV)

Der nachfolgende Vertrag über die Auftragsverarbeitung (AV-Vertrag) im Sinne des Art. 28 Abs. 3 DSGVO regelt die datenschutzrechtlichen Pflichten und Rechte im Zusammenhang mit den Allgemeinen Geschäftsbedingungen (AGB) zwischen:

Dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) für die Datenverarbeitung:

Nachfolgend: Verantwortlicher oder Kunde

und dem Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO):

RB - REVOLUTIONARY BUSINESS LTD
 26 Anthipolochagou Georgiou M.Savva
 Shop 1-2
 8201 Paphos
 Cyprus

Nachfolgend: Auftragsverarbeiter

Der nachfolgende Vertrag über die Auftragsverarbeitung (AV-Vertrag) im Sinne des Art. 28 Abs. 3 DSGVO ist Bestandteil der AGB (nachfolgend: Hauptvertrag) und regelt die datenschutzrechtlichen Pflichten und Rechte zwischen dem Kunden (nachfolgend: Verantwortlicher) und dem Auftragsverarbeiter (nachfolgend: Auftragsverarbeiter). Die sich aus diesem Vertrag ergebenden datenschutzrechtlichen Rechte und Pflichten treten mit Abschluss des Hauptvertrages in Kraft.

Der Inhalt entspricht den Standardvertragsklauseln der Kommission im Sinne von Art. 28 Abs. 6, 7 DSGVO vom 04.06.2021 (C 2021) 3701 final.

INHALTSVERZEICHNIS

ABSCHNITT I

  • Klausel 1: Zweck und Anwendungsbereich

  • Klausel 2: Unabänderbarkeit der Klauseln

  • Klausel 3: Auslegung

  • Klausel 4: Vorrang

  • Klausel 5: Kopplungsklausel (fakultativ)

ABSCHNITT II – PFLICHTEN DER PARTEIEN

  • Klausel 6: Beschreibung der Verarbeitung

  • Klausel 7: Pflichten der Parteien

  • Klausel 8: Unterstützung des Verantwortlichen

  • Klausel 9: Meldung von Verletzungen des Schutzes personenbezogener Daten

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

  • Klausel 10: Verstöße gegen die Klauseln und Beendigung des Vertrags

ANHÄNGE

  • Anhang I: Liste der Parteien

  • Anhang II: Beschreibung der Verarbeitung

  • Anhang III: Technische und organisatorische Maßnahmen

  • Anhang IV: Liste der Unterauftragsverarbeiter

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1 - Zweck und Anwendungsbereich

a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln") soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.

b) Die in Anhang I genannten Vertragsparteien haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 zu gewährleisten. Nähere Informationen zum Auftragsverarbeiter finden Sie auch in Anhang I.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt.

f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 erfüllt werden.

Klausel 2 - Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b) Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3 - Auslegung

a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4 - Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 - Kopplungsklausel (fakultativ)

a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b) Nach Ausfüllen und Unterzeichnung der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6 - Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7 - Pflichten der Parteien

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten").

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten"), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzliche Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in Anhang IV aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe unkenntlich machen.

d) WICHTIG - HAFTUNG: Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter Unterauftragsverarbeiter gemäß Klausel 7.7 und Anhang IV für die Durchführung bestimmter Verarbeitungstätigkeiten in Anspruch nimmt und dass diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) beinhalten können. Die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 wird durch die Verwendung von EU-Standardvertragsklauseln und zusätzlichen technischen und organisatorischen Maßnahmen sichergestellt.

Klausel 8 - Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.

c) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung folgender Pflichten:

  1. Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung

  2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n)

  3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind

  4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen fest.

Klausel 9 - Meldung von Verletzungen des Schutzes personenbezogener Daten

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten unterstützt der Auftragsverarbeiter den Verantwortlichen:

a) bei der unverzüglichen Meldung der Verletzung an die zuständige(n) Aufsichtsbehörde(n), sofern relevant

b) bei der Einholung der erforderlichen Informationen gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679

c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm die Verletzung bekannt wurde.

Diese Meldung muss mindestens folgende Informationen enthalten: a) eine Beschreibung der Art der Verletzung b) Kontaktdaten einer Anlaufstelle für weitere Informationen c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10 - Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, wenn:

  1. die Einhaltung der Klauseln nicht innerhalb einer angemessenen Frist (maximal ein Monat) wiederhergestellt wurde

  2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt

  3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der Aufsichtsbehörde nicht nachkommt

c) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien.

ANHANG I – LISTE DER PARTEIEN

Auftragsverarbeiter:

Firma: RB - REVOLUTIONARY BUSINESS LTD

Adresse:
 26 Anthipolochagou Georgiou M.Savva
 Shop 1-2
 8201 Paphos
 Cyprus

Kontaktperson: Ruwen Baedorf (CEO)

E-Mail-Adresse: [email protected]

Verantwortlicher:

Firma: [Wird beim Vertragsabschluss ausgefüllt]

Adresse: [Wird beim Vertragsabschluss ausgefüllt]

Kontaktperson: [Wird beim Vertragsabschluss ausgefüllt]

E-Mail-Adresse: [Wird beim Vertragsabschluss ausgefüllt]

ANHANG II – BESCHREIBUNG DER VERARBEITUNG

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:

  • Kunden des Verantwortlichen

  • Interessenten des Verantwortlichen

  • Mitarbeiter des Verantwortlichen

  • Geschäftspartner des Verantwortlichen

  • Endkunden des Verantwortlichen (sofern dieser gewerblich tätig ist)

Kategorien personenbezogener Daten, die verarbeitet werden:

  • Vorname, Nachname

  • E-Mail-Adresse

  • Telefonnummer (Festnetz und Mobil)

  • Firmenname und Position

  • IP-Adresse

  • Kommunikationsinhalte (E-Mails, SMS, Chat-Nachrichten)

  • Nutzungsdaten (Interaktionen mit Marketing-Kampagnen)

  • Transaktionsdaten

Verarbeitete sensible Daten (Art. 9 DSGVO):

  • Sprachaufzeichnungen (sofern vom Verantwortlichen aktiviert)

  • Andere sensible Daten nur nach ausdrücklicher Weisung des Verantwortlichen

Art der Verarbeitung:

  • Erhebung von Daten

  • Speicherung von Daten

  • Organisation und Strukturierung von Daten

  • Veränderung von Daten

  • Abfrage und Verwendung von Daten

  • Übermittlung von Daten

  • Einschränkung von Daten

  • Löschung von Daten

Zweck(e) der Verarbeitung:

  • Bereitstellung von CRM-Diensten (Customer Relationship Management)

  • Marketing-Automatisierung

  • Kommunikationsdienste (E-Mail, SMS, Telefonie)

  • Verwaltung von Kundenkontakten

  • Durchführung von Marketing-Kampagnen im Auftrag des Verantwortlichen

  • Kundensupport und Kundenservice

  • Analyse und Optimierung von Kampagnen

  • Technische Bereitstellung und Wartung der Plattform

Dauer der Verarbeitung:

  • Für die Dauer der Vertragsbeziehung zwischen Verantwortlichem und Auftragsverarbeiter

  • Darüber hinaus nur, soweit gesetzliche Aufbewahrungsfristen bestehen

ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen implementiert:

1. Zutrittskontrolle (Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen)

  • Gesicherte Rechenzentren der Unterauftragsverarbeiter mit Zugangskontrollen

  • Physische Sicherheitsmaßnahmen (Videoüberwachung, Alarmanlagen)

  • Zertifizierte Rechenzentren (ISO 27001, SOC 2)

2. Zugangskontrolle (Verhinderung unbefugter Systemnutzung)

  • Authentifizierung mit Benutzername und Passwort

  • Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge

  • Verwaltung von Benutzerberechtigungen

  • Erstellen von Benutzerprofilen mit unterschiedlichen Rechten

  • Anzahl der Administratoren auf das Notwendigste reduziert

  • Automatische Sperrung nach mehreren Fehlversuchen

  • Regelmäßige Überprüfung und Aktualisierung von Zugriffsrechten

3. Zugriffskontrolle (Gewährleistung, dass nur befugte Personen auf Daten zugreifen)

  • Rollenbasierte Zugriffskontrolle (RBAC)

  • Protokollierung von Zugriffen auf Anwendungen

  • Protokollierung bei Eingabe, Änderung und Löschung von Daten

  • Separate Benutzerkonten (keine Gruppenkonten)

  • Prinzip der minimalen Rechtevergabe

4. Trennungskontrolle (Getrennte Verarbeitung unterschiedlicher Daten)

  • Logische Mandantentrennung in der Datenbank

  • Trennung von Produktiv- und Testsystem

  • Separate Datenverarbeitung für verschiedene Kunden

  • Technologie zur Festlegung von Datenbankrechten

5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO, Art. 25 Abs. 1 DSGVO)

  • Soweit möglich, Verwendung pseudonymisierter Daten

  • Trennung von Identifikationsdaten und anderen Daten

6. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen

  • Verschlüsselung der Datenbanken

  • E-Mail-Verschlüsselung bei sensiblen Daten

  • Verschlüsselung von Backups

7. Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Mitarbeiter werden auf das Datengeheimnis verpflichtet

  • Regelmäßige Datenschutzschulungen

  • Vertraulichkeitsvereinbarungen mit allen Mitarbeitern

  • Clear-Desk-Policy

8. Gewährleistung der Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Einsatz von Firewalls

  • Einsatz von Anti-Viren-Software und Anti-Malware

  • Intrusion Detection Systeme

  • Regelmäßige Software Security Updates

  • Patch-Management-Prozess

9. Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Redundante Systeme und Failover-Mechanismen

  • Load Balancing

  • DDoS-Schutz durch Cloudflare

  • Monitoring und Alerting

  • 24/7 Systemüberwachung durch Unterauftragsverarbeiter

10. Gewährleistung der Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Backup-Konzept:

    • Tägliche automatisierte Backups

    • Georedundante Speicherung von Backups

    • Regelmäßige Tests der Datenwiederherstellung (mindestens quartalsweise)

    • Verschlüsselte Speicherung der Backups

    • Aufbewahrung von Backups für mindestens 30 Tage

11. Verfahren zur regelmäßigen Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO, Art. 25 Abs. 1 DSGVO)

  • Regelmäßige interne Audits

  • Dokumentation aller eingesetzten Verfahren

  • Meldepflicht an den Datenschutzbeauftragten bei neuen Verfahren

  • Jährliche Überprüfung der technischen und organisatorischen Maßnahmen

  • Incident-Response-Plan

  • Regelmäßige Penetrationstests durch Unterauftragsverarbeiter

12. Incident Response Management

  • Dokumentierter Prozess zur Meldung von Datenschutzvorfällen

  • Unverzügliche Benachrichtigung des Verantwortlichen (innerhalb 24 Stunden)

  • Incident-Response-Team

  • Forensik-Maßnahmen zur Ursachenanalyse

13. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

  • Privacy by Design und Privacy by Default

  • Datenminimierung wo möglich

  • Standardmäßig restriktive Einstellungen

14. Auftragskontrolle

  • Dokumentierte Vereinbarungen zur Auftragsverarbeitung

  • Kontrolle der Vertragsausführung

  • Regelmäßige Überprüfung der Unterauftragsverarbeiter

  • Sicherstellung der Datenvernichtung nach Auftragsende

15. Wartung und Fernwartung

  • Regelungen zu Wartungen (speziell Fernwartung)

  • Protokollierung aller Wartungsarbeiten

  • Nur autorisierte Techniker dürfen Wartungen durchführen

ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

Firma

Anschrift

Kontakt

Funktion

Land

GoHighLevel (HighLevel LLC)

700 Lavaca Street, Suite 1400, Austin, TX 78701, USA

https://www.gohighlevel.com/contact-us-9945

CRM-Plattform, Marketing-Automation, Haupt-Systemanbieter

USA

Twilio Inc.

101 Spear Street, 5th Floor, San Francisco, CA 94105, USA

[email protected]

Kommunikationsdienste (SMS, Telefonie, Telefonnummern-Bereitstellung)

USA

Stripe Payments Europe Ltd

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Ireland

[email protected]

Zahlungsabwicklung

Irland/USA

Google Cloud (Google Ireland Limited)

Gordon House, Barrow Street, Dublin 4, Ireland

[email protected]

Hosting, Cloud-Infrastruktur

Irland/USA

OpenAI

3180 18th Street, San Francisco, CA 94110, USA

[email protected]

KI-gestützte Verarbeitung (optional, nur auf Weisung)

USA

Anthropic

548 Market St., San Francisco, CA 94104, USA

[email protected]

KI-gestützte Verarbeitung (optional, nur auf Weisung)

USA

Hinweise zu Unterauftragsverarbeitern:

  1. Datenschutzniveau: Alle Unterauftragsverarbeiter mit Sitz in den USA unterliegen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

  2. Zertifizierungen: Die Unterauftragsverarbeiter verfügen über relevante Sicherheitszertifizierungen (u.a. ISO 27001, SOC 2 Type II).

  3. Änderungen: Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzufügung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb dieser Frist Einwände erheben.

  4. Haftung: Der Auftragsverarbeiter haftet vollumfänglich für Pflichtverletzungen der Unterauftragsverarbeiter.

  5. Drittbegünstigtenklausel: Mit allen Unterauftragsverarbeitern wurden Verträge geschlossen, die dem Verantwortlichen direkte Rechte einräumen.