Allgemeine Ergänzungsbedingungen zur Auftragsverarbeitung
(„AErgB Auftragsverarbeitung“) gemäß Art. 28 DS-GVO
- Cloud

KS21 Software & Beratung GmbH

Otto-von-Guericke-Str. 8
53757 Sankt Augustin
Deutschland

Präambel

Die nachstehenden Regelungen gelten für alle Verträge und Vertragsbeziehungen, in deren Rahmen die KS21 Software & Beratung GmbH (im Folgenden „KS21“) personenbezogene Daten auf Weisung des Kunden verarbeitet (Auftragsverarbeitung). Diese Reglungen konkretisieren die wechselseitigen datenschutzrechtlichen Verpflichtungen, die sich aus dem gem. Art. 28 DS-GVO erforderlichen Mindestinhalt von Verträgen über die Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auch auf sämtliche Tätigkeiten, bei denen durch KS21 beauftragte und vom Kunden genehmigte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Kunden verarbeiten oder mit diesen in Berührung kommen könnten.

1. Begriffe

Die nachfolgend in alphabetischer Reihenfolge gelisteten Begriffe gelten für die AErgB Auftragsverarbeitung:

Anwendbares Datenschutzrecht bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die auf den Verantwortlichen anwendbar sind, insbesondere die DSGVO;

Auftragsverarbeiter bezeichnet gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; im Rahmen der AErgB Auftragsverarbeitung ist KS21 Auftragsverarbeiter;

Bestehende Hauptvereinbarungen sind je nach Umfang der Beauftragung von KS21 Vereinbarungen über die Hauptleistungen, insbesondere die AGB in der jeweils aktuellen Fassung

Dritter bezeichnet gemäß Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

Drittland bezeichnet jedes Land, das nicht Teil der Europäischen Union oder des Europäischen Wirtschaftsraums ist;

DS-GVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;

Daten bezeichnet alle personenbezogenen Daten, die vom Auftragsverarbeiter oder einem Subauftragsverarbeiter im Auftrag und in Weisung des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden. Dies umfasst auch alle Daten von verbundenen Unternehmen von Kunden, die KS21 auf Weisung des Kunden verarbeitet;

Internationaler Datentransfer bezeichnet jede Übermittlung von Auftragsdaten in ein Drittland sowie jeden Zugriff auf personenbezogene Daten aus einem Drittland;

Nebendienstleistungen sind Dienstleistungen, die unabhängig vom Gegenstand der Beauftragung erbracht werden, wie etwa Telekommunikationsdienste, die Entsorgung von Datenträgern oder anderweitige unterstützende IT-Dienstleistungen oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungsanlagen durch Dritte.

Personenbezogene Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Subauftragsverarbeiter bezeichnet den Vertragspartner des Auftragsverarbeiters, der von diesem mit der Durchführung bestimmter Verarbeitungsaktivitäten für den Verantwortlichen beauftragt wird;

Verantwortlicher bezeichnet gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; im Rahmen dieser AErgB der Auftraggeber der Verantwortliche;

Verarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Verbundene Unternehmen sind alle Unternehmen, die mit einer Partei gemäß §§ 15 ff AktG verbunden sind.

2. Gegenstand und Dauer der Verarbeitung

2.1 Der Gegenstand des Auftrags ergibt sich aus den bestehenden Hauptvereinbarungen.

2.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit bestehender Hauptvereinbarungen.

3. Art und Zweck der Datenverarbeitung

3.1 Die Art der Verarbeitung umfasst alle Arten von Verarbeitung im Sinne der DS-GVO zur Erfüllung der bestehenden Hauptvereinbarungen.

  • Die Zwecke der Verarbeitung ergeben sich aus den bestehenden Hauptvereinbarungen.

4. Kategorien personenbezogener Daten und betroffener Personen

4.1 Gegenstand der Verarbeitung personenbezogener Daten können je nach Inhalt der konkreten Anfrage und je nach abgeschlossenem Vertrag folgende Datenarten/-kategorien sein:

  • Personenstammdaten
  • Qualifikationsdaten
  • Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Funktionsbezeichnung
  • Sozialversicherungsdaten
  • Geburtsdatum
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Interessen
  • Bankverbindungsdaten
  • Lohn- und Gehaltsdaten
  • Vertragsabrechnungs- und Zahlungsdaten
  • Abrechnungsdaten
  • Planungs- und Steuerungsdaten
  • IT-Nutzungsdaten
  • Zeiterfassungsdaten
  • Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

4.2 Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Kunden
  • Interessenten
  • Beschäftigte
  • Lieferanten
  • Ansprechpartner

5. Ort der Datenverarbeitung

Die Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

6. Technisch-organisatorische Maßnahmen

6.1 Die technischen und organisatorischen Maßnahmen zum Datenschutz sind in Anlage 1 dargelegt und in ihrer jeweils aktuellen Fassung Bestandteil der AErgB Auftragsverarbeitung.

6.2 KS21 wird die Umsetzung der im Vorfeld der Auftragsvergabe und in Anlage 1 dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, dokumentieren und dem Auftraggeber auf Anforderung zur Prüfung vorzulegen.

6.3 KS21 gewährleistet die Sicherheit der Verarbeitung im gesetzlich gebotenen Umfang. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die Maßnahmen Einzelheiten in Anlage 1].

6.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. KS21 verpflichtet sich die Wirksamkeit der getroffenen Maßnahmen regelmäßig, zumindest aber jährlich, zu prüfen, zu bewerten und gegebenenfalls anzupassen.

7. Umgang mit Betroffenenrechten und behördlichen Anfragen

7.1 KS21 wird als Auftragsverarbeiter keine Auskünfte über die Datenverarbeitung an Dritte oder eine betroffene Person erteilen, soweit KS21 nicht selbst dazu rechtswirksam verpflichtet ist oder wird. Soweit eine betroffene Person sich diesbezüglich unmittelbar an KS21 wendet, wird KS21 dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

7.2 KS21 darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

8. Pflichten des Auftragnehmers

8.1 KS21 verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, KS21 ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für KS21 bestehen, teilt KS21 diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.

8.2 KS21 bestätigt, dass die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. KS21 beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

8.3 KS21 verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren und nur Personen mit der Datenverarbeitung zu betrauen, die schriftlich zur Vertraulichkeit und zur Wahrung des Datengeheimnisses verpflichtet wurden, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht wurden.

8.4 KS21 wird, soweit erforderlich, im Zusammenhang mit der beauftragten Verarbeitung den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO angemessen unterstützen. KS21 ist in diesem Falle berechtigte, für solche Unterstützungsleistungen eine angemessenen und übliche gesonderte Vergütung zu fordern.

8.5 KS21 wird dem Auftraggeber jedwede Verletzung des Schutzes personenbezogener Daten, die KS21 für den Auftraggeber verarbeitet, unverzüglich anzeigen.

8.6 KS21 wird ohne die vorherige schriftliche Zustimmung des Auftraggebers keine Einreichungen, Mitteilungen, Meldungen, Pressemitteilungen oder Berichte zu irgendeinem Datenschutzvorfall freigeben oder veröffentlichen, sofern der Auftragnehmer hierzu nach geltendem Recht nicht verpflichtet ist. Im letztgenannten Fall wird der Auftragnehmer den Verantwortlichen innerhalb einer angemessenen Frist schriftlich hierüber in Kenntnis setzen.

8.7 KS21 hat einen Datenschutzbeauftragten schriftlich bestellt, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

8.8 Der Auftraggeber und KS21 arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

9. Unterauftragsverhältnisse

9.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebendienstleistungen.

9.2 Werden Unterauftragnehmer durch KS21 eingeschaltet, sind die vertraglichen Vereinbarungen so zu gestalten, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen dem Auftraggeber und dem Auftragnehmer entsprechen.

9.3 KS21 darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen, soweit diese in  einer separaten Anlage zu diesen AErgB aufgelistet werden und der Unterauftragnehmer im Rahmen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu gleichwertigen Datenschutzmaßnahmen verpflichtet wird. KS 21 muss gemäß Art. 44 ff. DS-GVO das Datenschutzniveau bei einem etwaigen Empfänger in einem Mitgliedstaat außerhalb der EU oder des EWR sicherstellen. Soweit keine Anlage über Unterauftragsverarbeiter unter diesen AErgB geführt wird, ist eine Unterauftragsverarbeitung nicht der Fall und bleibt ausgeschlossen, bis KS21 eine solche Anlage einführt und den Auftraggeber darüber informiert.

9.4 Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit KS21 eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber innerhalb einer angemessenen Frist vorab schriftlich oder in Textform anzeigt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

9.5 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung seitens KS21 (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

9.6 Grundsätzlich werden alle Unterauftragsverarbeitungen innerhalb der EU/des EWR erbracht. Erbringt ein für die geschuldeter Leistungen unverzichtbarere Unterauftragnehmer seine vereinbarten Leistungen oder Teile dieser Leistungen außerhalb der EU/des EWR, stellt KS21 die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Artt. 44ff. DS-GVO sicher, welche insbesondere die Anforderungen der einschlägigen Rechtsprechung des Europäischen Gerichtshofs erfüllen.

10. Kontrollrechte des Auftraggebers

10.1 KS21 stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. KS21 verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen.

10.2 Der Auftraggeber hat das Recht, unter Abstimmung mit KS21 Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht im Wettbewerb mit KS21 stehen, durchführen zu lassen. Grundsätzlich kann und soll die Überprüfung auf Dokumentenbasis, die KS21 bereitstellt, erfolgen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch KS21 in ihrem Geschäftsbetrieb zu überzeugen.

10.3 Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

10.4 Für die Ermöglichung von Kontrollen durch den Auftraggeber und weitere Unterstützungsleistungen kann der Auftragnehmer einen Vergütungsanspruch geltend machen. Der tatsächlich anfallende Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

11. Weisungsbefugnis des Auftraggebers

11.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzes, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Hinsichtlich der dieser Vereinbarung zugrundeliegenden Auftragsdatenverarbeitung ist der gegenüber KS21 weisungsbefugt und -verpflichtet.

11.2 Weisungen sollen grundsätzlich in Textform oder schriftlich erteilt werden. Ausnahmsweise erteilte mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform.

11.3 KS21 wird den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. KS21 ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

12. Löschung und Rückgabe von personenbezogenen Daten

12.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

12.2 KS21 berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt KS21 die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag/in der Leistungsvereinbarung bereits vereinbart.

12.3 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – wird KS21 sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten.

13. Haftung

13.1 Zwischen den Parteien in den bestehenden Hauptvereinbarungen vereinbarte Haftungsregelungen gelten auch für die Auftragsverarbeitung, soweit nicht ausdrücklich etwas anderes vereinbart ist.

13.2 Die Haftung nach Artt. 82 ff. DS-GVO bleibt unberührt.

14. Schlussbestimmungen

14.1 Sollte das Eigentum des Auftraggebers bei KS21 durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

14.2 Für Nebenabreden ist die Schriftform erforderlich.

14.3 Sollten einzelne Teile dieser AErgB unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Version: 1
Stand: 07.08.2024

Anlage 1 :

KS21 Software & Beratung GmbH

Gemäß dem Bundesdatenschutzgesetz-neu 2017 und der EU-Datenschutz-Grundverordnung wurden die in dem Unternehmen getroffenen technischen und organisatorischen Maßnahmen (TOM) festgelegt und nachstehend dokumentieren.

Werden personenbezogene Daten im Unternehmen automatisiert verarbeitet, werden innerbetriebliche Organisationen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht werden. Dabei wurden insbesondere Maßnahmen getroffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

Nachfolgend werden die bei KS21 Software & Beratung GmbH im Einsatz befindlichen einzelnen gesetzmäßigen TOM-Maßnahmen beschrieben.

  1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Schlüsselvergabe erfolgt kontrolliert und dokumentiert
    • Manuelles Schließsystem
    • Sicherheitsschlösser
    • Besucher in Begleitung durch KS21-Mitarbeiter
    • Sorgfalt bei Auswahl Reinigungsdienste
  • Zugangskontrolle
    Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Passwortvergabe:
      • Länge des Passwortes: mind. 8 bis 64 Zeichen
      • Mind. 3 von 4 der folgenden Kriterien: Kleinbuchstaben, Großbuchstaben, Zahlen oder Symbole
    • Individuelle und funktionale Berechtigungsvergabe
    • Verwalten von Benutzerberechtigungen
    • Automatische Sperrung des Monitors
      (automatisch startende Screen-Saver mit erneut notwendigen Login)
    • Verschlüsselung von Notebooks
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Zentrale Zugriffsrechteverwaltung für alle Nutzer
    • Abgeschlossenes Rechtesystem für die gesamte Infrastruktur in und zwischen den Abteilungen
    • Differenzierte Berechtigungen für die einzelnen Mitarbeitergruppen
    • Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen
    • Schriftliches Berechtigungskonzept vorhanden
    • Automatische Sperrung des Arbeitsplatzes
    • Anzahl der Administratoren auf das „Notwendigste“ reduziert
    • Einsatz von Akten-/ Datenträgervernichtern bzw. Dienstleistern unter Beachtung von DIN 66399
    • Löschungskonzept für Daten
  • Trennungskontrolle
    Es ist sicherzustellen, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Es besteht keine Notwendigkeit zu einer physischen Trennung. Eine logische Trennung genügt.

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Funktionstrennung (Produktiv- und Testsystem)
      der zentralen IT-Systeme
    • Trennung der Datenablage und Zugriffsberechtigung je nach Funktion und Mitarbeitergruppe
    • Steuerung über Berechtigungskonzept
  1. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Verschlüsselung / Tunnelverbindung via VPN-Client
    • Richtlinien zum Umgang mit personenbezogenen Daten
    • Verpflichtung auf das Datengeheimnis
    • Verpflichtung aller Auftragsverarbeiter gemäß DSGVO Artikel 28
    • Firewall: Die nach dem Stand der Technik erforderlichen Firewall-Technologien sind implementiert und werden auf dem aktuellen Stand gehalten
    • Dokumentation der Empfänger von Daten
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Klare Zuständigkeiten für Löschungen
    • Vergabe von Rechten zur Eingabe auf Basis eines Berechtigungskonzeptes
  1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Back-up-Konzept mit regelmäßiger Datensicherung
    • RAID-5 Festplattensysteme
    • Unterbrechungsfreie Stromversorgung (USV)
    • Virenschutz, Firewall
    • Überspannungsschutz
    • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
    • Rauchmeldeanlagen
    • Testen von Datenwiederherstellung
    • Schutzsteckdosenleisten in Serverräumen
    • Feuerlöschgeräte in Serverräumen
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
    Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Es ist gewährleistet, dass die eingesetzten Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit).
    • Es ist gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
    • Hardware-Wartungsvertrag für Server (mit 24 h Ersatzlieferung)
  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
    (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
  • Datenschutz-Management;

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Eine Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen wird mindestens jährlich durchgeführt
    • Regelmäßige Sensibilisierung der Mitarbeiter
    • Ein Datenschutzbeauftragter ist bestellt
    • Ein interner Datenschutzkoordinator ist benannt
    • Die Mitarbeiter wurden auf Vertraulichkeit/ Datengeheimnis verpflichtet
    • Die Datenschutzfolgenabschätzung (DSFA) wird bei Bedarf durchgeführt
  • Incident-Response-Management
    Unterstützung bei der Reaktion auf Sicherheitsverletzungen

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Einsatz von Firewall und regelmäßige Aktualisierung
    • Einsatz von Spamfilter und regelmäßige Aktualisierung
    • Einsatz von Virenscanner und regelmäßige Aktualisierung
    • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
    • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Datenschutzaufsicht)
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
    Angesichts des rapiden und dramatischen technologischen Wandels gilt es, die besonderen Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt zu berücksichtigen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht.

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
    • Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen
    • Zugriffsberechtigungskonzepte werden aktuell gepflegt
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers und AV-Vertrag, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

    Bei der KS21 Software & Beratung GmbH umgesetzte Maßnahmen:

    • Personenbezogene Daten werden generell nicht zur Verarbeitung an fremde Firmen weitergegeben, projektspezifisch kann eine Zusammenarbeit mit ausgewählten langjährigen Partnerfirmen notwendig sein
    • Betreffende Auftragnehmer werden von KS21 Software & Beratung GmbH verpflichtet
    • Vertragsgestaltung als Auftragsverarbeitung zwischen KS21 Software & Beratung GmbH und den Partnerfirmen nach Maßgabe der DSGVO
    • Geplante Kontrollen des Auftragnehmers auf Einhaltung der Vorschriften nach DSGVO
    • Regelung zu Wartungen (speziell Fernwartung)

Anlage 2– Genehmigte Unterauftragsverarbeiter

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO:

Firma Unterauftragnehmer

Extrabat France SAS

Anschrift/Land

49 boulevard Besson Bey
16000 Angoulême – France

Leistung

Softwarepflege / -Entwicklung / Support / AWS Bereitstellung von Lizenzen

Ort der Datenverarbeitung

EU (France)

Firma Unterauftragnehmer

WinWorker GmbH

Anschrift/Land

Emmericher Weg 12, 47574 Goch

Leistung

Softwarepflege /  Support / Vertriebsinnendienst

Ort der Datenverarbeitung

EU (Germany)

Firma Unterauftragnehmer

Amazon Web Services EMEA Sarl

Anschrift/Land

38 Avenue John F. Kennedy, L-1855, Luxembourg

Leistung

Hosting / Datenspeicherung und ergänzende Cloudservices

Ort der Datenverarbeitung

EU (AWS EU-Central 1 und 2)

Firma Unterauftragnehmer

Microsoft Ireland Operations Limited

Anschrift/Land

One Microsoft Place,
South County Business Park,
Leopardstown,
Dublin 18 D18 P521
Reception: +353 (1) 2953826

Leistung

Speicherung von Backups der Kundendatenbank in der Azure Infrastruktur (nur sofern uns im Rahmen von Support-Zwecken Kundendatenbanken bereitgestellt werden).

Ort der Datenverarbeitung

EU (The Netherlands)

Firma Unterauftragnehmer

Craftview Software GmbH

Anschrift/Land

Mainzer Landstraße 178-190, 60327 Frankfurt am Main

Leistung

Finance / Shared Services

Ort der Datenverarbeitung

EU (Germany)