Vertrag zur Auftragsverarbeitung personenbezogener Daten (gem. DSGVO)


Stand: 01.11.2025


Zum Zwecke der Bereitstellung des SaaS-Dienst COCO verarbeitet die Schlütersche Marketing Holding GmbH, Hans-Böckler-Alle 7, 30173 Hannover (nachfolgend Auftragnehmer genannt) Daten des COCO-Nutzers (nachfolgend Auftraggeber genannt).

Dieser Vertrag zur Auftragsverarbeitung (kurz AVV) personenbezogener Daten ist wesentlicher Bestandteil des Hauptvertrages über die Nutzung des SaaS-Dienst COCO zwischen dem Auftraggeber und dem Auftragnehmer.

§ 1 Gegenstand und Dauer des Auftrags
1)    Der Auftragnehmer erbringt für den Auftraggeber SaaS-Leistungen im Zusammenhang mit dem Marketing-System COCO. Hierzu gehören insbesondere die Bereitstellung, das Hosting, die Administration, die Wartung sowie der technische Support für die Nutzung des Systems zur Erstellung und Verwaltung von Websites, zur Veröffentlichung von Inhalten in Social-Media-Kanälen, zur Ausspielung von Anzeigen, zum Versand von Newslettern sowie zur Nutzung von Anwendungen für digitale Screens und Tablets.
2)    Soweit der Auftraggeber Support-, Einrichtungs- oder Fernwartungsleistungen anfordert, kann der Auftragnehmer im erforderlichen Umfang anlassbezogen Zugriff auf die vom Auftraggeber genutzten produktiven Systeme oder die im COCO-System verarbeiteten Inhalte erhalten. Ein solcher Zugriff erfolgt ausschließlich weisungsgebunden, zeitlich auf den jeweiligen Anlass beschränkt und nur, soweit dies für die Fehleranalyse, Fehlerbehebung, Konfiguration oder technische Unterstützung erforderlich ist.
3)    Eine fortlaufende inhaltliche Auswertung personenbezogener Daten oder eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
4)    Dieser Vertrag tritt – solange keine anderweitigen Regelungen vereinbart wurden – mit Abschluss eines Vertrages zur Teilnahme am SaaS-Dienst COCO zwischen Auftragnehmer und Auftraggeber in Kraft.  Die Laufzeit dieser AVV richtet sich grundsätzlich nach der Laufzeit des Hauptvertrages; abweichende oder nachwirkende Pflichten, insbesondere Vertraulichkeits-, Nachweis-, Loesch- und Rückgabepflichten, bleiben hiervon unberührt.

§ 2 Weisungen der Auftraggeber
1)    Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich. Gesetzliche oder vertragliche Haftungsregelungen bleiben hiervon unberührt.
2)    Der Auftragnehmer verarbeitet die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen der Auftraggeber und im Rahmen der getroffenen Vereinbarungen. Daten dürfen nur berichtigt, gelöscht und gesperrt werden, wenn der Auftraggeber dies anweist. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.
3)    Die Verarbeitung erfolgt nur auf Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.
4)    Die Weisungen werden durch diesen Vertrag, den Hauptvertrag und die Leistungsbeschreibung festgelegt und können nach Vertragsschluss schriftlich oder in Textform (insbesondere per E-Mail) an die vom Auftragnehmer benannte Kontaktadresse [datenschutz@schluetersche.de] geändert, ergänzt oder ersetzt werden (Einzelweisung).
5)    Grundsätzlich können Weisungen auch mündlich erteilt werden. Mündliche Weisungen sind anschließend unverzüglich schriftlich oder in Textform vom Auftraggeber zu bestätigen. Weisungen, die im Vertrag oder in der Leistungsbeschreibung nicht vorgesehen sind, gelten als Antrag auf Leistungsänderung.
6)    Hält der Auftragnehmer eine Weisung des Auftraggebers für offensichtlich rechtswidrig, hat er den Auftraggeber unverzüglich hierauf hinzuweisen. Bis zur Bestätigung oder Änderung der Weisung ist der Auftragnehmer berechtigt, deren Umsetzung auszusetzen, soweit und solange dies zur Vermeidung eines Rechtsverstoßes erforderlich ist.
7)    Weisungsberechtigte Personen auf Seite des Auftraggebers sind die vom Auftraggeber bei Vertragsschluss oder später in Textform benannten Personen. Änderungen der Weisungsberechtigung teilt der Auftraggeber dem Auftragnehmer unverzüglich in Textform mit.

§ 3 Technische und organisatorische Maßnahmen
1)    Der Auftragnehmer verpflichtet sich, für die zu verarbeitenden Daten angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen und im Anhang 3 dieses Vertrages zu dokumentieren. Die Sicherheitsmaßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
2)    Die getroffenen Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Der Auftragnehmer überprüft die Wirksamkeit seiner TOM regelmäßig, mindestens jährlich sowie anlassbezogen nach wesentlichen Änderungen, und dokumentiert dies. Änderungen und Ergänzungen der TOM sind zulässig, sofern das vereinbarte Sicherheitsniveau nicht unterschritten wird; wesentliche Änderungen teilt der Auftragnehmer dem Auftraggeber in Textform mit.
3)    Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung aller gesetzlichen Pflichten hinsichtlich der einzuhaltenden technischen und organisatorischen Maßnahmen. Der Auftragnehmer hat auf Anfrage an der Erstellung und der Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten des Auftraggebers mitzuwirken. Der Auftragnehmer wirkt bei der Erstellung einer Datenschutz-Folgenabschätzung und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden mit. Sie hat der Auftraggeber alle erforderlichen Angaben und Dokumente auf Anfrage offenzulegen.

§ 4 Pflichten des Auftragnehmers
1)    Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
2)    Der Auftragnehmer bietet hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person steht.
3)    Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.
4)    Der Auftragnehmer darf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten des Auftraggebers zugreifen, wenn dies für die Durchführung der Auftragsverarbeitung zwingend erforderlich ist.
5)    Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer einen Beauftragten für den Datenschutz. Für datenschutzbezogene Anfragen, Weisungen, Betroffenenersuchen und Sicherheitsvorfälle benennt der Auftragnehmer die Kontaktadresse [datenschutz@schluetersche.de]. Änderungen dieser Kontaktinformation teilt der Auftragnehmer dem Auftraggeber unverzüglich in Textform mit.
6)    Der Auftragnehmer darf die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum verarbeiten. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung der Auftraggeber und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.
7)    Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann, z.B. die Information und Auskunft an die betroffene Person, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Der Auftragnehmer benennt einen Ansprechpartner, der den Auftraggeber bei der Erfüllung von gesetzlichen Informations - und Auskunftspflichten, die im Zusammenhang mit der Auftragsverarbeitung entstehen, unterstützt und teilt dem Auftraggeber dessen Kontaktdaten unverzüglich mit. Soweit der Auftraggeber besonderen gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten unterliegt, unterstützt der Auftragnehmer den Auftraggeber hierbei. Auskünfte an die betroffene Person oder Dritte darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers erteilen. Soweit eine betroffene Person ihre datenschutzrechtlichen Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
8)    Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.

§ 5 Drittlandtransfer
1)    Eine Verarbeitung personenbezogener Daten oder ein Zugriff auf personenbezogene Daten in einem Drittstaat außerhalb der EU bzw. des EWR erfolgt nur auf dokumentierte Weisung des Auftraggebers und nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden.
2)    Das angemessene Schutzniveau wird - soweit einschlägig - sichergestellt durch einen Angemessenheitsbeschluss der EU-Kommission, Standarddatenschutzklauseln der EU-Kommission in ihrer jeweils aktuellen Fassung, verbindliche interne Datenschutzvorschriften oder sonstige geeignete Garantien nach Art. 46 DSGVO.
3)    Soweit für einen Drittlandtransfer Standarddatenschutzklauseln verwendet werden und kein Angemessenheitsbeschluss vorliegt, führt der Auftragnehmer ein Transfer Impact Assessment durch, dokumentiert dieses und setzt erforderliche zusätzliche technische, organisatorische und vertragliche Maßnahmen um. Das Transfer Impact Assessment sowie die wesentlichen Zusatzmaßnahmen stellt der Auftragnehmer dem Auftraggeber auf Anfrage zur Verfügung.
4)    Der Auftragnehmer informiert den Auftraggeber vorab darueber, in welche Drittstaaten verarbeitet oder von dort aus auf personenbezogene Daten zugegriffen wird und welcher Transfermechanismus hierfür einschlägig ist.

§ 6 Berechtigung zur Begründung von Unterauftragsverhältnissen
1)    Der Auftragnehmer darf Unterauftragnehmer nur beauftragen, wenn er den Auftraggeber mindestens 14 Kalendertage vor Hinzuziehung oder Ersetzung in Textform informiert. Die Information muss Name und Anschrift des Unterauftragnehmers, Beschreibung der Teilleistung, Ort der Verarbeitung sowie etwaige Drittlandbezüge und den einschlägigen Transfermechanismus enthalten.
2)    Der Auftraggeber kann der Hinzuziehung oder Ersetzung aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Änderung als genehmigt. Im Fall eines berechtigten Widerspruchs werden die Parteien unverzüglich eine sachgerechte Lösung abstimmen; ist diese nicht möglich, steht dem Auftraggeber ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.
3)    Die Inanspruchnahme der in Anhang 2 aufgeführten Unterauftragnehmer gilt als genehmigt. 
4)    In Notfallsituationen, insbesondere bei dringendem Sicherheitsrisiko oder unvorhergesehenem Ausfall eines Unterauftragnehmers, darf der Auftragnehmer ausnahmsweise auch ohne Einhaltung der vorgenannten Frist einen Unterauftragnehmer hinzuziehen oder ersetzen; der Auftraggeber ist hierüber unverzüglich zu informieren.

§ 7 Kontrollrechte der Auftraggeber
1)    Der Auftragnehmer weist die Einhaltung seiner Pflichten vorrangig durch aktuelle Zertifizierungen, Auditberichte, Selbstauskünfte, Nachweisdokumente oder sonstige geeignete Unterlagen nach. Vor-Ort-Inspektionen sind zulässig, soweit diese zur Prüfung erforderlich sind, nicht durch gleich geeignete Nachweise ersetzt werden können und mit angemessener Vorankündigung während der üblichen Geschäftszeiten erfolgen.
2)    Reguläre Vor-Ort-Inspektionen sind auf eine Prüfung pro Kalenderjahr beschränkt; anlassbezogene Kontrollen, insbesondere nach Datenschutzvorfällen oder wesentlichen Systemveränderungen, bleiben unberührt. Die Prüfungen sind ohne unangemessene Störung des Betriebsablaufs und unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragnehmers durchzuführen. Jede Partei trägt ihre eigenen Kosten; Nachprüfungen aufgrund vom Auftragnehmer zu vertretende Mängel trägt der Auftragnehmer.

§ 8 Datenschutzvorfälle
1)    Der Auftragnehmer unterrichtet den Auftraggeber über Verletzungen des Schutzes personenbezogener Daten unverzüglich, in der Regel innerhalb von 24 Stunden nach Bekanntwerden, und ergänzt fehlende Informationen unverzüglich nach deren Verfügbarkeit.
2)    Die Meldung hat dem Auftraggeber die Erfüllung seiner Pflichten nach Art. 33 und 34 DSGVO zu ermöglichen und enthält daher, soweit verfügbar, mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen sowie Angaben zu bereits ergriffenen Sofortmaßnahmen, weiteren Abhilfemaßnahmen und einer Kontaktstelle für Rückfragen.

§ 9 Beendigung des Auftrags
1)    Nach Abschluss der Auftragsverarbeitung hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Verpflichtung zur Speicherung besteht. Macht der Auftraggeber von seinem Wahlrecht nicht spätestens bis zum Vertragsende Gebrauch, löscht der Auftragnehmer die personenbezogenen Daten nach Ablauf von 60 Tagen nach Vertragsende, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Auftragnehmer bestätigt die Löschung dem Auftraggeber auf Anfrage in Textform.
2)    Der Auftraggeber kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Auftragnehmer einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Bestimmungen begeht und dem Auftraggeber die Fortsetzung des Vertragsverhältnisses bis zum Ablauf einer ordentlichen Kündigungsfrist unzumutbar ist.

§ 10 Schlussbestimmungen
1)    Sollte das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Auftraggebers ausgeschlossen.
2)    Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Änderung oder Aufhebung dieses Formerfordernisses.
3)    Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.
4)    Bei Widersprüchen gehen die Regelungen dieser AVV den Regelungen des Hauptvertrages vor.



Anhang 1: Spezifikation der Auftragsverarbeitung
(Gegenstand, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, Arten personenbezogener Daten, Ansprechpartner Datenschutz)

Gegenstand der Verarbeitung

Verarbeitungstätigkeiten im Rahmen des Betriebs, der Bereitstellung und der technischen Unterstützung eines webbasierten Content-, Website- und Nutzerverwaltungssystems. Dies umfasst insbesondere:

  • die Verarbeitung von Inhalten und Daten, die durch berechtigte Nutzer des Systems hinterlegt werden (z. B. Kontaktdaten, Texte, Bilder, Medieninhalte),
  • die automatische Erstellung und Auswertung technischer Protokolldaten (Logfiles), die beim Aufruf der über das System betriebenen Webseiten oder Dienste entstehen,
  • die Verarbeitung personenbezogener Daten, welche von Webseitenbesuchern über integrierte Funktionen wie Formulare, Registrierungen, Kontaktanfragen oder Newsletteranmeldungen eingegeben werden,
  • technische Wartungs- und Supportleistungen, einschließlich der Durchführung von Backups, Updates und Systemwiederherstellungen,
  • die Unterstützung der Nutzer bei der Bedienung und Nutzung des Systems (Service- und Anwendungssupport)
Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zur Bereitstellung, dem sicheren technischen Betrieb und der kontinuierlichen Funktionsfähigkeit einer webbasierten Plattform, die von unterschiedlichen verantwortlichen Stellen zur Verwaltung und Veröffentlichung digitaler Inhalte sowie zur Abwicklung von Interaktionen mit Endnutzern eingesetzt wird. Hierzu gehören insbesondere:

  • die Durchführung regelmäßiger Datensicherungen und ggf. deren Wiederherstellung zur Sicherstellung der Datenverfügbarkeit und -integrität,
  • die temporäre Verarbeitung technischer Protokolldaten (Logfiles), die beim Aufruf der über die Plattform betriebenen Webseiten oder Dienste entstehen, um die Stabilität, Sicherheit und Nutzerfreundlichkeit der bereitgestellten Funktionen zu gewährleisten,
  • die Entgegennahme, Verarbeitung und Weiterleitung von personenbezogenen Daten, die von Endnutzern über Formularfunktionen, Registrierungen oder sonstige Interaktionselemente eingegeben werden, an die jeweils hierfür verantwortliche Stelle,
  • die Erstellung und Auswertung von technischen System- und Aktivitätsprotokollen zur Diagnose, Identifikation und Behebung von Funktionsstörungen oder sicherheitsrelevanten Ereignissen,
  • die Einsichtnahme in von Nutzern verwaltete Inhalte und Konfigurationen, soweit dies für Supportleistungen, Wartungstätigkeiten oder technische Fehleranalysen erforderlich ist.
Art der personenbezogenen Daten

Im Rahmen der Nutzung der Plattform können – abhängig vom konkreten Einsatzszenario der jeweiligen verantwortlichen Stelle – insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten: z. B. Namen, Adressdaten, Organisationszugehörigkeit, Funktions- oder Rollenbezeichnungen.
  • Kontaktdaten: z. B. E-Mail-Adressen, Telefonnummern, Kommunikationspräferenzen.
  • Nutzungs- und Zugriffsdaten: z. B. Benutzerkonten, Rollen- und Berechtigungsinformationen, Login-Zeitpunkte, Zugriffsprotokolle.
  • Inhalts- und Beitragsdaten: durch Nutzer hinterlegte oder veröffentlichte Texte, Medien, Bilder, Dokumente und sonstige Inhalte.
  • Interaktions- und Kommunikationsdaten: Daten, die Endnutzer über Formulareingaben, Registrierungen, Kontaktanfragen, Newsletter-Anmeldungen oder andere Interaktionen übermitteln.
  • System- und technische Daten: IP-Adressen, Geräte- und Browserinformationen, Logfiles, Fehlerberichte, technische Diagnosedaten.
  • Optional durch den Verantwortlichen konfigurierte weitere Datenfelder, soweit diese im Rahmen der von der verantwortlichen Stelle bereitgestellten Formulare, Module oder Funktionen erhoben werden.
Kategorien betroffener Personen

Je nach Einsatz der Plattform durch die jeweilige verantwortliche Stelle können insbesondere folgende Gruppen betroffener Personen umfasst sein:

  • Interne Nutzer der Plattform, z. B. Mitarbeiter, Administratoren, Redakteure oder sonstige berechtigte Personen, die Inhalte verwalten oder Systemfunktionen nutzen.
  • Externe Nutzer und Endnutzer, die über die bereitgestellten Webseiten oder Dienste interagieren, z. B. Websitebesucher, Formularnutzer, registrierte Nutzer, Abonnenten oder Interessenten.
  • Personen, deren Daten in Inhalten oder Medien verarbeitet werden, die von den Nutzern der Plattform eingestellt oder veröffentlicht werden (z. B. in Texten, Bildern, Dokumenten oder sonstigen Beiträgen).
  • Weitere von der verantwortlichen Stelle definierte Personengruppen, sofern diese über spezifische Module, Anwendungen oder Formulare erfasst werden.

 

Name und Kontaktdaten des Datenschutz-beauftragten des Auftragnehmers 

 

Dr. iur. Stefanie Wegener

Fachanwältin für IT- und Arbeitsrecht, CIPP-E

Mittelweg 10

20148 Hamburg
 

E-Mail: swegener@wegener-ra.de

Tel.: +49 171 7603724

 

Anhang 2: Liste der beauftragten Unterauftragnehmer
einschließlich der Verarbeitungsstandorte

Die hier aufgeführten Unterauftragnehmer umfassen sämtliche für die vertragsgegenständliche Auftragsverarbeitung eingesetzten Unterauftragnehmer einschließlich weiterer nachgelagerter Unterauftragsverarbeiter, soweit diese personenbezogene Daten im Auftrag des Auftraggebers verarbeiten oder auf solche zugreifen können. Der Auftragnehmer hält die Angaben in Anhang 2 aktuell. 

 

Anhang 3:  Technisch-organisatorische Sicherheitsmaßnahmen

(1) Vertraulichkeit und Zutrittskontrolle (Art. 32 Abs. 1 lit. b DS-GVO)
a. Zutrittskontrolle Maßnahmen, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren:

i. Zugang zu Rechenzentren nur für autorisiertes Personal 
ii. Biometrische Zutrittssysteme, Videoüberwachung (AWS) 
iii. Schlüssel- und Zutrittsregelungen

b. Zugangskontrolle Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

i. Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge 
ii. Passwort-Richtlinien 
iii. Automatische Sperrung nach Fehlversuchen

c. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

i. Berechtigungsvergabe nach vorgegebenen Rollen und Profilen 
ii. Protokollierung administrativer Aktivitäten 
iii. Regelmäßige Rezertifizierung von Rechten 
iv. Mehraugenprinzip

d. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

i. Mehraugenprinzip 
ii. Trennung nach Mandanten 
iii. Trennung über Zugriffsregelung

e. Pseudonymisierung Maßnahmen, die gemäß Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO, gewährleisten, dass verarbeitete Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.

i. Pseudonymisierung technischer Log- und Diagnosedaten, soweit möglich

(2) Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
a. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

i. AES-256 Verschlüsselung aller Daten im Ruhezustand (inkl. Backups) 
ii. TLS 1.2 oder höher für alle Transportwege 
iii. Schlüsselmanagement ausschließlich durch den Dienstleister bzw. AWS-KM

b. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

i. Manipulationssichere Aufbewahrung 
ii. Protokolliert werden: Logins, Admin-Aktivitäten, API-Calls, Datenänderungen 
iii. Aufbewahrungsdauer: z. B. 90 Tage – 12 Monate 
iv. Regelmäßige Auswertung durch den Auftragnehmer

c. Remote-Support & privilegierte Zugänge

i. Supportzugriffe ausschließlich über MFA-geschützte Admin-Zugänge 
ii. zeitlich begrenzte „just-in-time“-Rechte 
iii. vollständige Protokollierung aller Supportzugriffe 
iv. kein Zugriff außerhalb des EWR


(3) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
a. Maßnahmen, die gewährleisten, dass personenbezogene Daten, gegen zufällige Zerstörung oder Verlust geschützt sind:

i. verschlüsselte Backups 
ii. Zugriff nur für Administratoren mit MFA 
iii. Brandschutz 
iv. automatische Löschung/Überschreibung nach Ablauf der 21 Tage


(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
a. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)

i. Erteilung von Weisungen 
ii. Vertragliche Regelungen mit und Kontrollen bei Unterauftragnehmern

b. Evaluierung Maßnahmen, zur Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

i. Auftragskontrolle