AUFTRAGSVERARBEITERVERTRAG

Vereinbarung zur ausgelagerten Verarbeitung personenbezogener Daten gemäß Artikel 28 EU-Datenschutz-Grundverordnung (DSGVO)

Inhalt

  1. Präambel
  2. Rechte und Pflichten des Verantwortlichen
  3. Der Auftragsverarbeiter handelt weisungsgebunden
  4. Vertraulichkeit
  5. Sicherheit der Verarbeitung
  6. Einsatz von Unterauftragsverarbeitern
  7. Übermittlung an Drittländer oder internationale Organisationen
  8. Unterstützung des Verantwortlichen
  9. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
  10. Löschung und Rückgabe von Daten
  11. Prüfung inklusive Inspektion
  12. Haftung und Haftungsbeschränkung
  13. Die Führung von Verzeichnissen durch den Auftragsverarbeiter
  14. Änderungen der Datenverarbeitungsbedingungen
  15. Die Vereinbarung der Parteien zu anderen Angelegenheiten
  16. Inkrafttreten und Ende
  17. Kontaktdaten der Parteien

Anhang A      Informationen zur Verarbeitung
Anhang B      Unterauftragsverarbeiter
Anhang C      Weisung bezüglich der Verarbeitung personenbezogener Daten

 

1. Präambel

  1. Der Verantwortliche und die Auftragsverarbeiter haben eine Vereinbarung über den Zugriff des Verantwortlichen auf den Evovia-Cloud-Dienst und dessen Nutzung geschlossen (Hauptvertrag/Abonnementvertrag). Evovia ist eine digitale Managementplattform, die als Cloud-Dienst (SaaS) angeboten wird.
  2. Die Bestimmungen bilden einen integrierten Bestandteil des Hauptvertrags/Abonnementvertrags.
  3. Die Bestimmungen legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn er personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  4. Die Bestimmungen wurden im Hinblick auf die Einhaltung von Artikel 28 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (die Datenschutz-Grundverordnung) durch die Parteien gestaltet.
  5. Im Zusammenhang mit der Bereitstellung des Evovia-Cloud-Dienstes verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Bestimmungen.
  6. Die Bestimmungen haben Vorrang vor etwaigen entsprechenden Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
  7. Zu diesen Bestimmungen gibt es drei Anhänge, die integraler Bestandteil der Bestimmungen sind.
  8. Anhang A enthält detaillierte Informationen zur Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.
  9. Anhang B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der Unterauftragsverarbeiter, deren Einsatz der Verantwortliche genehmigt hat.
  10. Anhang C enthält die Anweisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, eine Beschreibung der Sicherheitsmaßnahmen, die der Auftragsverarbeiter mindestens umsetzen muss, und wie der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter überwacht werden.
  11. Die Bestimmungen mit dazugehörigen Anhängen sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.
  12. Diese Bestimmungen entbinden den Auftragsverarbeiter nicht von Verpflichtungen, die ihm aufgrund der Datenschutz-Grundverordnung oder anderer Gesetze auferlegt werden.
  13. Diese Bestimmungen entbinden den Verantwortlichen ebenfalls nicht von Verpflichtungen, die ihm aufgrund der Datenschutz-Grundverordnung oder anderer Gesetze auferlegt werden.

 

2. Rechte und Pflichten des Verantwortlichen

  1. Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (siehe Artikel 24 der Verordnung), den Datenschutzbestimmungen anderer EU-Rechtsvorschriften oder dem nationalen Recht der Mitgliedstaaten* und diesen Bestimmungen erfolgt.
  2. Der Verantwortliche hat das Recht und die Pflicht, darüber zu entscheiden, zu welchem Zweck und mit welchen Mitteln personenbezogene Daten verarbeitet werden dürfen.
  3. Der Verantwortliche ist unter anderem dafür verantwortlich, sicherzustellen, dass eine Verarbeitungsgrundlage für die Verarbeitung personenbezogener Daten vorliegt, mit deren Durchführung der Auftragsverarbeiter beauftragt wird.
  4. Der Verantwortliche ist daher gegenüber dem Auftragsverarbeiter insbesondere dafür verantwortlich und gewährleistet, dass:
    • der Verantwortliche über die erforderliche Befugnis zur Verarbeitung verfügt und es dem Auftragsverarbeiter und seinen Unterauftragsverarbeitern zu überlassen, die vereinbarte Verarbeitung der personenbezogenen Daten durchzuführen, die im Zusammenhang mit der Erbringung der vereinbarten Dienstleistungen verarbeitet werden.
    • die Anweisungen des Verantwortlichen, wie sie in diesen Bestimmungen und anderen Vereinbarungen zum Ausdruck kommen, rechtsgültig sind.
    • der Verantwortliche dem Auftragsverarbeiter keine anderen Arten personenbezogener Daten zur Verarbeitung überlässt als die, die sich aus den Anweisungen des Verantwortlichen ergeben, und dass sich die anvertrauten personenbezogenen Daten nicht auf andere Kategorien von betroffenen Personen als die in den Anweisungen genannten beziehen.

*Bezugnahmen auf „Mitgliedstaat“ in diesen Bestimmungen sind als Bezugnahmen auf „EWR-Mitgliedstaaten“ zu verstehen.

3. Der Auftragsverarbeiter handelt weisungsgebunden

  1. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, die der Auftragsverarbeiter akzeptiert hat, sofern dies nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verlangt wird. Diese Weisung muss in den Anhängen A und C angegeben werden. Nachfolgende Weisungen können vom Verantwortlichen diesbezüglich erteilt werden, dass der Auftragsverarbeiter die weitere Verarbeitung einstellen muss, was dazu führt, dass der Auftragsverarbeiter die Daten des Verantwortlichen löscht, wie unter dem Punkt „Löschung und Rückgabe von Daten“ weiter unten angegeben, die Weisungen müssen jedoch stets schriftlich, auch elektronisch, zusammen mit diesen Bestimmungen dokumentiert und aufbewahrt werden.
  2. Der Verantwortliche kann den Auftragsverarbeiter auch nachträglich auffordern, weitere Weisungen für die Verarbeitung personenbezogener Daten für den Verantwortlichen zu empfangen, wobei der Auftragsverarbeiter frei entscheiden kann, ob er solche weiteren Weisungen annimmt oder ablehnt.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls eine Weisung seiner Ansicht nach gegen die Datenschutz-Grundverordnung oder Datenschutzbestimmungen in anderem EU-Recht oder dem nationalen Recht der Mitgliedstaaten verstößt.
  4. Wenn nach angemessener Einschätzung des Auftragsverarbeiters die Weisung des Verantwortlichen mit einer gewissen Wahrscheinlichkeit rechtswidrig sind, kann der Auftragsverarbeiter, ohne gegen diese Bestimmungen oder den abgeschlossenen Hauptvertrag/Abonnementvertrag zu verstoßen, jede weitere Verarbeitung mit Ausnahme der Speicherung einstellen, bis der Verantwortliche eine zusätzliche Weisung erteilt, dass die verarbeiteten personenbezogenen Daten rechtmäßig verarbeitet werden dürfen, oder dass die Informationen ausgehändigt oder gelöscht werden müssen.

 

4. Vertraulichkeit

  1. Der Auftragsverarbeiter darf die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nur solchen Personen zugänglich machen, die Weisungsbefugnissen des Auftragsverarbeiters unterliegen, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen, und zwar nur im notwendigen Umfang. Die Liste der Personen, denen Zugang erteilt wurde, muss fortlaufend überprüft werden. Aufgrund dieser Prüfung kann der Zugang zu personenbezogenen Daten gesperrt werden, wenn der Zugang nicht mehr erforderlich ist und die personenbezogenen Daten diesen Personen dann nicht mehr zugänglich sein dürfen.
  2. Auf Verlangen des Verantwortlichen muss der Auftragsverarbeiter nachweisen können, dass die betreffenden Personen, die den Weisungsbefugnissen des Auftragsverarbeiters unterliegen, der oben genannten Schweigepflicht unterliegen.

 

5. Sicherheit der Verarbeitung

  1. Artikel 32 der Datenschutz-Grundverordnung besagt, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Verantwortliche muss die durch die Verarbeitung entstehenden Risiken für die Rechte und Freiheiten natürlicher Personen beurteilen und Maßnahmen zur Bewältigung dieser Risiken ergreifen. Abhängig von ihrer Relevanz kann dies Folgendes umfassen:
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten
    • die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Robustheit von Verarbeitungssystemen und -diensten fortlaufend sicherzustellen
    • die Fähigkeit, eine rechtzeitige Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Ereignisses sicherzustellen
    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
  2. Gemäß Artikel 32 der Verordnung muss der Auftragsverarbeiter – unabhängig vom Verantwortlichen – auch die Risiken für die Rechte natürlicher Personen bewerten, die die dem Auftragsverarbeiter anvertraute Verarbeitung mit sich bringt, und der Auftragsverarbeiter muss Maßnahmen ergreifen, um diesen Risiken zu begegnen. Zum Zweck der Risikobewertung durch den Auftragsverarbeiter muss der Verantwortliche dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung stellen, die es ihm ermöglichen, solche Risiken zu erkennen und zu bewerten.
  3. Darüber hinaus muss der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Pflicht des Verantwortlichen gemäß Artikel 32 der Datenschutz-Grundverordnung unterstützen, indem er z. B. dem Verantwortlichen die notwendigen Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung stellt, die der Auftragsverarbeiter gemäß Artikel 32 der Verordnung bereits umgesetzt hat, und – gegen gesonderte Zahlung – alle anderen Informationen, die der Verantwortliche zur Einhaltung seiner Verpflichtung gemäß Artikel 32 der Datenschutz-Grundverordnung benötigt. Erfordert die Bewältigung der identifizierten Risiken, die sich aus der vereinbarten Verarbeitung personenbezogener Daten ergeben, nach Einschätzung des Verantwortlichen die Umsetzung zusätzlicher Maßnahmen als die Maßnahmen, die der Auftragsverarbeiter bereits umgesetzt hat, muss der Verantwortliche gegenüber dem Auftragsverarbeiter die zu ergreifenden zusätzlichen Maßnahmen angeben. Die Parteien müssen dann eine gesonderte Vereinbarung über die Umsetzung dieser zusätzlichen Sicherheitsmaßnahmen treffen, einschließlich des Zeitplans und der Vergütung des Auftragsverarbeiters. Können sich die Parteien nicht auf eine solche Vereinbarung einigen, muss der Verantwortliche den Auftragsverarbeiter anweisen, die weitere Verarbeitung einzustellen und die übermittelten personenbezogenen Daten gemäß dem nachstehenden Punkt „Löschung und Rückgabe von Daten“ zu löschen. Der Verantwortliche kann dann den Abonnementvertrag gemäß den darin vereinbarten Kündigungsbedingungen kündigen.

 

6. Einsatz von Unterauftragsverarbeitern

  1. Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und 4 der Datenschutz-Grundverordnung genannten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) einzusetzen.
  2. Daher darf der Auftragsverarbeiter einen Unterauftragsverarbeiter nicht ohne vorherige allgemeine schriftliche Zustimmung des Verantwortlichen zur Erfüllung dieser Bestimmungen einsetzen.
  3. Der Auftragsverarbeiter hat die allgemeine Zustimmung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter muss den Verantwortlichen mit einer Frist von mindestens 30 Tagen schriftlich über alle geplanten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Verantwortlichen dabei die Möglichkeit geben, solchen Änderungen vor dem Einsatz des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen. Längere Fristen für die Benachrichtigung im Zusammenhang mit bestimmten Verarbeitungstätigkeiten können in Anhang B festgelegt werden. Kann der Auftragsverarbeiter seine Lieferverpflichtungen aus dem Abonnementvertrag während einer solchen Ankündigungsfrist nicht sofort oder ohne unverhältnismäßig hohe Kosten erfüllen, ist der Auftragsverarbeiter von der Haftung für eine solche Nichterfüllung befreit.
  4. Der Verantwortliche akzeptiert auch, dass es Sonderfälle geben kann, in denen ein konkreter Bedarf für eine kurzfristigere oder sofortige Änderung der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters besteht. In solchen Fällen wird der Auftragsverarbeiter den Verantwortlichen so schnell wie möglich über die Änderung informieren.
  5. Wenn der Verantwortliche Einwände gegen geplante Änderungen hinsichtlich der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters hat, kann der Verantwortliche den Abonnementvertrag durch Kündigung zu den im Abonnementvertrag genannten Bedingungen beenden und sicherstellen, dass die personenbezogenen Daten des Verantwortlichen vor der Durchführung der geplanten Änderung bezüglich der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters gelöscht werden. Abgesehen von der Kündigung des Abonnementvertrags hat der Verantwortliche in dieser Situation keine weiteren Befugnisse gegenüber dem Auftragsverarbeiter. Wird der Vertrag gemäß dieser Bestimmung gekündigt, bleibt die Zahlungsverpflichtung des Verantwortlichen ansonsten bis zur Beendigung des Abonnementvertrags bestehen. Die Liste der Unterauftragsverarbeiter, die der Verantwortliche bereits genehmigt hat, geht aus Anhang B hervor.
  6. Wenn der Auftragsverarbeiter im Zusammenhang mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Verantwortlichen auf einen Unterauftragsverarbeiter zurückgreift, muss der Auftragsverarbeiter durch eine Datenverarbeitungsvereinbarung dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegen, die in diesen Bestimmungen festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden, dass der Unterauftragsverarbeiter die technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen in diesen Bestimmungen und der Datenschutz-Grundverordnung entspricht. Der Auftragsverarbeiter muss daher bei der Beauftragung eines Unterauftragsverarbeiters sicherstellen, dass mit dem Unterauftragsverarbeiter eine schriftliche Vereinbarung getroffen wird, durch die sichergestellt wird,
    • dass die hinreichenden Garantien geboten werden, dass der Unterauftragsverarbeiter die entsprechenden technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen in diesen Bestimmungen und der Datenschutz-Grundverordnung entspricht
    • dass der Unterauftragsverarbeiter den gleichen Datenschutzverpflichtungen unterliegt, wie sie in diesen Bestimmungen festgelegt sind, was bedeutet, dass die Anforderungen in Artikel 28 Absatz 3 der Datenschutz-Grundverordnung eingehalten werden müssen, sowie
    • dass der Unterauftragsverarbeiter die anvertrauten personenbezogenen Daten in dem Umfang verarbeitet, in dem dies zur Erfüllung der Lieferverpflichtungen erforderlich ist, die der Unterauftragsverarbeiter gegenüber dem Auftragsverarbeiter übernommen hat, und dass die Verarbeitung gemäß den vereinbarten Weisungen erfolgt.
  7. Die Unterauftragsverarbeitervereinbarung(en) und alle späteren Änderungen hierzu werden – auf Verlangen des Verantwortlichen – in Kopie an den Verantwortlichen gesendet, der dadurch die Möglichkeit hat, sicherzustellen, dass entsprechende, sich aus diesen Bestimmungen ergebende Datenschutzverpflichtungen dem Unterauftragsverarbeiter auferlegt werden. Bestimmungen über Geschäftsbedingungen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen nicht an den Verantwortlichen übermittelt werden.

 

7. Übermittlung an Drittländer oder internationale Organisationen

  1. Der Auftragsverarbeiter muss die Daten des Verantwortlichen innerhalb der EU speichern, soweit nichts anderes von der Weisung des Verantwortlichen umfasst ist.
  2. Eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf durch den Auftragsverarbeiter nur auf der Grundlage einer dokumentierten Weisung des Verantwortlichen erfolgen und muss stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung erfolgen.
  3. Sofern eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, zu deren Durchführung der Auftragsverarbeiter nicht durch den Verantwortlichen angewiesen wurde, nach dem Recht der Union oder dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich ist, muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, das betreffende Gesetz verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
  4. Ohne dokumentierte Weisung des Verantwortlichen kann der Auftragsverarbeiter im Rahmen dieser Bestimmungen nicht:
    • personenbezogene Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder einer internationalen Organisation übermitteln
    • die Verarbeitung personenbezogener Daten einem Unterauftragsverarbeiter in einem Drittland anvertrauen
    • die personenbezogenen Daten in einem Drittland verarbeiten
  5. Die Weisung des Verantwortlichen zur Übermittlung personenbezogener Daten in ein Drittland einschließlich der eventuellen Übermittlungsgrundlage in Kapitel V der Datenschutz-Grundverordnung, auf der die Übermittlung beruht, ist in Anhang C.6 anzugeben.

 

8. Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf schriftliche Anfrage des Verantwortlichen folgende Unterstützung zu leisten:
  2. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der anvertrauten Verarbeitung so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Person wie in Kapitel III der Datenschutz-Grundverordnung festgelegt zu antworten. Dies bedeutet, dass der Auftragsverarbeiter den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Sicherstellung der Einhaltung von Folgendem unterstützen muss:
    • Informationspflicht bei der Erhebung personenbezogener Daten bei der betroffenen Person
    • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden
    • das Auskunftsrecht
    • das Recht auf Berichtigung
    • das Recht auf Löschung („das Recht auf Vergessenwerden“)
    • das Recht auf Einschränkung der Verarbeitung
    • die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
    • das Recht auf Datenübertragbarkeit
    • das Recht auf Widerspruch
    • das Recht, nicht ausschließlich einer, auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen außerdem dabei, die Einhaltung der Verpflichtungen des Verantwortlichen gemäß den Artikeln 32-36 der Datenschutz-Grundverordnung unter Berücksichtigung der Art der dem Auftragsverarbeiter anvertrauten Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden personenbezogenen Daten sicherzustellen. Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den Verantwortlichen gemäß Bestimmung 5.3 zu unterstützen, umfasst dies auch die Unterstützung des Auftragsverarbeiters für den Verantwortlichen bei:
    • der Verpflichtung des Verantwortlichen, der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst spätestens 72 Stunden nach Kenntniserlangung zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung der Sicherheit personenbezogener Daten ein Risiko für die Rechte oder Freiheiten natürlicher Personen beinhaltet
    • der Pflicht des Verantwortlichen, die betroffene Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt
    • der Pflicht des Verantwortlichen, vor der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (eine Datenschutz-Folgenabschätzung) durchzuführen
    • der Pflicht des Verantwortlichen zur Konsultation der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
  4. Die Parteien legen in Anhang C die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. Dies gilt für die Pflichten, die sich aus Bestimmung 8.1 und 8.2 ergeben.
  5. Der Auftragsverarbeiter hat Anspruch auf eine gesonderte Vergütung für die Unterstützung, die er bei der Erfüllung der Anfragen des Verantwortlichen gemäß diesem Punkt 8 leistet. Die Vergütung bemisst sich nach dem vom Auftragsverarbeiter in Anspruch genommenen Zeitaufwand und dem für diese Tätigkeit allgemein gültigen Stundensatz des Auftragsverarbeiters.
  6. Im Hinblick auf die Unterstützung bei der Erfüllung der Pflichten des Verantwortlichen gemäß Artikel 33-34 der Datenschutz-Grundverordnung hat der Auftragsverarbeiter jedoch keinen Anspruch auf eine Vergütung.

 

9. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

  1. Wenn der Auftragsverarbeiter feststellt, dass beim Auftragsverarbeiter oder einem eingesetzten Unterauftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten in Bezug auf die personenbezogenen Daten stattgefunden hat, die der Verantwortliche dem Auftragsverarbeiter zur Verarbeitung anvertraut hat, muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über die Verletzung des Schutzes personenbezogener Daten benachrichtigen, nachdem er Kenntnis davon erlangt hat, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat.
  2. Die Benachrichtigung kann per E-Mail an die vom Verantwortlichen im Abonnementvertrag angegebene Kontaktadresse gesendet werden. Der Auftragsverarbeiter muss unverzüglich nachdem er Kenntnis davon erlangt hat, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat, angemessene und verhältnismäßige Maßnahmen ergreifen, um den durch die Verletzung verursachten Schaden zu begrenzen.
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung an die dänische Datenschutzbehörde oder eine andere zuständige Aufsichtsbehörde. Dies bedeutet, dass der Auftragsverarbeiter bei der Bereitstellung der folgenden Informationen behilflich sein muss, die gemäß Artikel 33 Absatz 3 der Datenschutz-Grundverordnung aus der Meldung des Verantwortlichen über die Verletzung des Schutzes an die zuständige Aufsichtsbehörde hervorgehen müssen:
    • die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
    • die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
    • die von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  4. Ist es für den Auftragsverarbeiter nicht möglich, die Informationen zur gleichen Zeit bereitzustellen, können die Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden. Die Meldung des Auftragsverarbeiters an den Verantwortlichen muss nach Möglichkeit so rechtzeitig erfolgen, dass die vollständigen Informationen so bereitgestellt werden, dass der Verantwortliche die vollständige Meldung an die Aufsichtsbehörde innerhalb der in Artikel 33 der Datenschutz-Grundverordnung für die Meldung von Verletzungen des Schutzes personenbezogener Daten erforderlichen Fristen vornehmen kann.
  5. In Fortsetzung der ersten Meldung an den Verantwortlichen muss der Auftragsverarbeiter daher bei Bedarf die Informationen an den Verantwortlichen kontinuierlich aktualisieren und vervollständigen, damit dieser bei Bedarf eine Meldung über eine Verletzung des Schutzes personenbezogener Daten bei der Aufsichtsbehörde aktualisieren kann.
  6. Die Benachrichtigung des Auftragsverarbeiters über eine Verletzung des Schutzes personenbezogener Daten stellt kein Eingeständnis der Schuld oder Haftung im Zusammenhang mit der aufgetretenen Verletzung des Schutzes personenbezogener Daten dar.
  7. Der Auftragsverarbeiter unterstützt auf Anfrage des Verantwortlichen diesen außerdem dabei, die Einhaltung der Verpflichtungen des Verantwortlichen gemäß Artikel 34 der Datenschutz-Grundverordnung unter Berücksichtigung der Art der anvertrauten Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen sicherzustellen.

 

10. Löschung und Rückgabe von Daten

  1. Bei Beendigung der vereinbarten Dienstleistungen bezüglich der Verarbeitung personenbezogener Daten im Rahmen des Abonnementvertrags ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, zu löschen und dem Verantwortlichen zu bestätigen, dass die Daten gelöscht wurden, es sei denn, das EU-Recht oder das nationale Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor.
  2. Der Auftragsverarbeiter kann jedoch die vom Verantwortlichen anvertrauten personenbezogenen Daten auch nach Beendigung des Abonnementvertrags und der darin vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten weiterhin speichern, wenn für den Auftragsverarbeiter eine gesetzliche Verpflichtung besteht, die vorschreibt, dass der Auftragsverarbeiter eine solche Speicherung der personenbezogenen Daten des Verantwortlichen durchführen muss. Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur für den/die Zweck(e), während des Zeitraums und unter den in diesen Regeln vorgeschriebenen Bedingungen zu verarbeiten.
  3. Der Verantwortliche kann den Auftragsverarbeiter auch anweisen, vor Beendigung des Abonnementvertrags eine Kopie der personenbezogenen Daten auszuhändigen. In diesem Fall wird das Medium und das Format, in dem die Aushändigung erfolgen soll, vereinbart. Der Auftragsverarbeiter hat Anspruch auf eine Vergütung für die im Zusammenhang mit der Aushändigung ausgeführten Arbeiten nach Zeitaufwand und zum allgemein gültigen Stundensatz des Auftragsverarbeiters für diese Arbeiten sowie für alle im Zusammenhang mit der Arbeit anfallenden Kosten und Auslagen. Der Auftragsverarbeiter ist berechtigt, für die Entgegennahme einer Weisung bezüglich der Aushändigung eine Anzahlung zu verlangen.
  4. Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten auszuhändigen, stellt dies auch eine Anweisung dar, dass der Auftragsverarbeiter die personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, erst löschen soll, wenn die Aushändigung abgeschlossen und vom Verantwortlichen bestätigt wurde.
  5. Die Umsetzung der Anweisungen des Verantwortlichen zur Löschung der personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter erfolgt gemäß den Bestimmungen der Datenschutz-Grundverordnung und so schnell wie praktisch möglich.
  6. Im Abonnementvertrag ist vorgesehen, dass der Auftragsverarbeiter ein Backup erstellt. Die im Rahmen des Abonnementvertrags vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten sind, soweit es sich um personenbezogene Daten handelt, in einem Backup enthalten und werden daher erst mit der Vernichtung des Backups gemäß dem Backup-Verfahren des Auftragsverarbeiters beendet. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Ende des Abonnementvertrags aus der Betriebsumgebung. Der Kunde akzeptiert hiermit, dass die Daten des Kunden für 90 Tage in ein Backup-Verfahren einbezogen werden, wonach alle Kopien der Daten des Kunden gelöscht werden.

 

11. Prüfung inklusive Inspektion

  1. Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieser Bestimmungen erforderlich sind, und ermöglicht und leistet einen Beitrag zu Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm ermächtigen Prüfer durchgeführt werden.
  2. Die Inspektion kann nur durch eine Person erfolgen, die sich den allgemeinen Sicherheitsmaßnahmen des Auftragsverarbeiters unterwirft und direkt mit dem Auftragsverarbeiter eine Vertraulichkeitsklausel zu üblichen Bedingungen vereinbart.
  3. Der Auftragsverarbeiter kann gegen eine vom Verantwortlichen mit der Durchführung einer Inspektion beauftragte Person Einspruch erheben, wenn die beauftragte Person nach angemessener Einschätzung des Auftragsverarbeiters nicht für die Durchführung der Inspektion geeignet oder qualifiziert ist, einschließlich der Tatsache, dass die Person (1) nicht unabhängig ist, (2) mit einem direkten Konkurrenten des Auftragsverarbeiters verbunden ist oder Beziehungen zu diesem unterhält oder (3) aus anderen offensichtlichen Gründen für die Erfüllung der Aufgabe ungeeignet ist.
  4. Erhebt der Auftragsverarbeiter Einspruch gegen die beauftragte Person, muss der Verantwortliche eine andere Person mit der Durchführung der Inspektion beauftragen.
  5. Die Aufsicht über die vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter erfolgt durch den Auftragsverarbeiter. Das Verfahren ist in Anhang C dargelegt. Der Verantwortliche kann sich jedoch dafür entscheiden, eine physische Inspektion auch beim Unterauftragsverarbeiter einzuleiten und daran teilzunehmen, wenn der Unterauftragsverarbeiter dies zulässt. Die Aufsicht muss in Übereinstimmung mit den vom Unterauftragsverarbeiter festgelegten Inspektionsbedingungen erfolgen.
  6. Die Verfahren für die Prüfungen des Verantwortlichen, einschließlich Inspektionen, beim Auftragsverarbeiter und den Unterauftragsverarbeitern sind in Anhang C.7 und C.8 detailliert beschrieben.
  7. Der Auftragsverarbeiter ist verpflichtet, Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Räumlichkeiten des Verantwortlichen oder des Auftragsverarbeiters haben, oder Vertretern, die im Namen der Aufsichtsbehörde handeln, gegen ordnungsgemäße Identifizierung Zutritt zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.
  8. Der Auftragsverarbeiter hat Anspruch auf eine Vergütung für die Überwachung und Prüfung durch den Verantwortlichen. Die Vergütung errechnet sich auf der Grundlage der aufgewendeten Arbeitszeit, der geltenden Stundensätze des Auftragsverarbeiters zuzüglich etwaiger anfallender positiver Kosten, einschließlich der vom Auftragsverarbeiter zu tragenden Kosten für die Unterstützung von Unterauftragsverarbeitern.

 

12. Haftung und Haftungsbeschränkung

  1. Für die Zahlung von Schadensersatz an Personen aufgrund einer rechtswidrigen Verarbeitungstätigkeit oder einer anderen Verarbeitung, die gegen die Datenschutz-Grundverordnung und das Datenschutzgesetz verstößt, gilt § 40 des Datenschutzgesetzes. Unabhängig von Artikel 82 Absatz 5 der Datenschutz-Grundverordnung kann eine Partei, die einen Schadensersatzbetrag an einen Geschädigten gezahlt hat, der nicht der vollen Entschädigung entspricht, diesen nach dem Grundsatz des Artikel 82 Absatz 5 zurückfordern.
  2. Die Parteien vereinbaren, dass die gleiche Regelung in jedem Fall auch für sonstige Entschädigungen für immaterielle Schäden gilt, soweit es um die interne endgültige Verantwortungsverteilung zwischen dem Auftragsverarbeiter und dem Verantwortlichen geht.
  3. Die Parteien können gegenüber der anderen Partei keine Regress- oder Schadensersatzansprüche für Bußgelder oder andere Strafen gemäß § 41 des Datenschutzgesetzes sowie für gemäß § 42 des Datenschutzgesetzes akzeptierte Bußgelder geltend machen.
  4. Zusätzliche Haftungsbeschränkungen oder Haftungsausschlüsse können im Abonnementvertrag enthalten sein.

 

13. Die Führung von Verzeichnissen durch den Auftragsverarbeiter

  1. Der Auftragsverarbeiter ist gemäß Artikel 30 Absatz 2 der Datenschutz-Grundverordnung verpflichtet, Verzeichnisse über die Kategorien der für den Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen. Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter den Namen und die Kontaktdaten seines eventuellen Vertreters und Datenschutzbeauftragten mitzuteilen und diese Informationen zu aktualisieren, damit die Verzeichnisse vom Auftragsverarbeiter ordnungsgemäß geführt werden können.

 

14. Änderungen der Datenverarbeitungsbedingungen

  1. Der Auftragsverarbeiter kann den Verantwortlichen schriftlich und mit einer Frist von 30 Tagen zum Ende eines Kalendermonats über Änderungen der Bestimmungen informieren.
  2. Informationen über geplante Änderungen werden per E-Mail an den Ansprechpartner des Verantwortlichen gesendet.
  3. Wenn der Verantwortliche Evovia nach Inkrafttreten der mitgeteilten Änderungen der Bestimmungen weiterhin nutzt, hat der Verantwortliche damit die Änderung der Bestimmungen akzeptiert.
  4. Wenn der Verantwortliche angekündigte Änderungen der Bestimmungen nicht akzeptieren möchte, kann der Verantwortliche seinen Abonnementvertrag gemäß den darin vereinbarten Kündigungsbedingungen kündigen. Der Verantwortliche muss dann sicherstellen, dass alle personenbezogenen Daten von Evovia gelöscht werden, bevor die Änderungen in Kraft treten.

 

15. Die Vereinbarung der Parteien zu anderen Angelegenheiten

  1. Die Parteien können im Rahmen des Abonnementvertrags für Evovia weitere Bestimmungen zur Verarbeitung personenbezogener Daten vereinbaren, sofern diese weiteren Bestimmungen nicht direkt oder indirekt gegen die Datenschutzgesetzgebung verstoßen oder die sich aus der Datenschutz-Grundverordnung ergebenden Grundrechte und Grundfreiheiten der betroffenen Personen beeinträchtigen .

 

16. Inkrafttreten und Ende

  1. Die Bestimmungen treten am Tag der Unterzeichnung durch beide Parteien oder eines anderen Beitritts beider Parteien in Kraft.
  2. Beide Parteien können eine Neuverhandlung der Bestimmungen verlangen, wenn Gesetzesänderungen oder Unzulänglichkeiten der Bestimmungen Anlass dazu geben.
  3. Die Bestimmungen gelten so lange, wie die Verpflichtungen des Auftragsverarbeiters aus dem Abonnementvertrag hinsichtlich der Verarbeitung personenbezogener Daten bestehen. Während dieses Zeitraums können die Bestimmungen nicht gekündigt werden, es sei denn, zwischen den Parteien werden andere Bestimmungen zur Erbringung der Dienstleistung hinsichtlich der Verarbeitung personenbezogener Daten vereinbart.

 

17. Kontaktdaten der Parteien

Anfragen des Verantwortlichen an den Auftragsverarbeiter bezüglich des Datenschutzes, einschließlich Anfragen zur Aufsicht und Inspektion, sind zu übermitteln an

Evovia ApS
Finderupvej 5
8000  Aarhus C.

oder per E-Mail: gdpr@evovia.com

Die Kontaktperson des Verantwortlichen ist auf der Registerkarte „Organisation“ auf der eigenen Seite des Kunden auf der Managementplattform von Evovia aufgeführt.

Die Parteien sind verpflichtet, sich gegenseitig laufend über Änderungen bezüglich der Kontaktpersonen zu informieren.

Version Dezember 2022

 

Anhang A Informationen zur Verarbeitung

A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen

Der Verantwortliche und der Auftragsverarbeiter haben eine Vereinbarung über den Zugriff des Verantwortlichen auf den Evovia-Cloud-Dienst und dessen Nutzung geschlossen (Hauptvertrag/Abonnementvertrag). Evovia ist eine digitale Managementplattform, die als Cloud-Dienst (SaaS) angeboten wird.

A.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen betrifft in erster Linie (die Art der Verarbeitung)

Indem der Auftragsverarbeiter dem Verantwortlichen den Evovia-Cloud-Dienst bereitstellt, werden personenbezogene Daten gemäß den Zwecken verarbeitet, die zur Erbringung der im Abonnementvertrag festgelegten Dienstleistungen erforderlich sind, einschließlich Speicherung, Erfassung, Registrierung, Systematisierung, Verknüpfung, Löschung, Archivierung usw.

A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten über die betroffenen Personen

Die anvertraute Verarbeitung umfasst die Arten von Daten, die der Verantwortliche in den Evovia-Cloud-Dienst eingibt und einliest. Dazu gehören standardmäßig Namen, E-Mail-Adressen und die Position der Mitarbeiter in der Organisation sowie der Name des unmittelbaren Vorgesetzten.

Darüber hinaus weitere personenbezogene Daten, die der Mitarbeiter und seine Führungskraft selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Punktestände, Kommentare zu Vereinbarungen und Aktionsplänen mit Fristen bei MAG, GBU etc. Da hier Eingaben in Freitextfelder erfolgen können, kann die Art der Daten sensibel sein. In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter, die Sicherheitsanforderungen in Bezug auf die Verarbeitung eventueller sensibler Daten zu erfüllen, die in C.2 näher beschrieben werden.

A.4. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen

Die betroffenen Personen umfassen die Kategorien, die der Verantwortliche für die Nutzung von Evovia zulässt, insbesondere die Mitarbeiter des Verantwortlichen.

Möchte der Verantwortliche die Evovia-Funktion „360-Grad-Managementbewertung“ nutzen, die auch Beiträge externer Interessenten einbezieht, umfassen die Kategorien der betroffenen Personen auch solche externen Interessenten.

Entsprechendes gilt, wenn der Verantwortliche eine GRUS-Gruppe nutzen möchte, die einen oder mehrere externe Interessenten umfasst.

A.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann nach Inkrafttreten dieser Bestimmungen beginnen. Die Verarbeitung hat folgende Dauer

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen so lange, wie Evovia gemäß dem Abonnementvertrag zur Verarbeitung verpflichtet ist, und für einen Zeitraum danach, bis der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen gemäß dem Backup-Verfahren des Auftragsverarbeiters löscht.

 

Anhang B Unterauftragsverarbeiter

Mit Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der folgenden Unterauftragsverarbeiter genehmigt

  • Traels.it, Bøgevej 32, 5200 Odense, CVR 22001884: Hauptverantwortung für die technische Entwicklung der gesamten Evovia-Plattform und somit voller Zugriff.
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, CVR DE 812871812: Hosting von Daten
  • Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finnland, CVR 2720758-9: Hosting von Daten
  • Scannet, Højvangen 4, 8660 Skanderborg, Dänemark, CVR. 29412006: Hosting von Daten
  • Cloud Factory A/S, Vestergade 4, 6800 Varde, Dänemark, CVR-Nr. 35393692: Hosting von Daten
  • SMTP.dk, Refshalevej 163A, 1.tv., 1432 Kopenhagen K., Dänemark, CVR. 29849439: Verantwortung für den Versand von Automails von der Evovia-Plattform

Mit Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der oben genannten Unterauftragsverarbeiter für die beschriebene Verarbeitungstätigkeit genehmigt. Der Auftragsverarbeiter darf – ohne Zustimmung des Verantwortlichen – keinen Unterauftragsverarbeiter für eine andere als die beschriebene und vereinbarte Verarbeitungstätigkeit einsetzen und auch keinen anderen Unterauftragsverarbeiter für diese Verarbeitungstätigkeit einsetzen.

B.2. Frist zur Genehmigung von Unterauftragsverarbeitern

Der Auftragsverarbeiter muss den Verantwortlichen mit einer Frist von mindestens 30 Tagen, sofern dies unmittelbar möglich ist, schriftlich über alle geplanten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Verantwortlichen dabei die Möglichkeit geben, solchen Änderungen vor dem Einsatz des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen.

 

Anhang C Weisung bezüglich der Verarbeitung personenbezogener Daten

C.1. Gegenstand/Weisung der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt, indem der Auftragsverarbeiter Folgendes durchführt:

Jede Verarbeitung, die erforderlich ist, damit der Auftragsverarbeiter die im Abonnementvertrag festgelegten Verpflichtungen erfüllen kann. Hierzu zählen insbesondere Verarbeitungstätigkeiten, die erforderlich sind, um dem Verantwortlichen die Evovia-Cloud-Plattform zur Verfügung zu stellen.

C.2. Sicherheit der Verarbeitung

Das Sicherheitsniveau muss Folgendes widerspiegeln:

Der Auftragsverarbeiter initiiert und implementiert geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das den Risiken entspricht, die mit den Verarbeitungstätigkeiten verbunden sind, die der Auftragsverarbeiter für den Verantwortlichen durchführt.

Die technischen und organisatorischen Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Zusammenhangs und des Zwecks der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere in Bezug auf die Rechte und Freiheiten natürlicher Personen festgelegt.

Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen, insbesondere versehentliche oder illegale Zerstörung, Verlust, Änderung, unbefugte Weitergabe oder Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.

Der Auftragsverarbeiter ist dann berechtigt und verpflichtet, Entscheidungen darüber zu treffen, welche technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt werden müssen, um das erforderliche (und vereinbarte) Sicherheitsniveau herzustellen.

C.2.1 Allgemeine Sicherheitsmaßnahmen

Alle Mitarbeiter im Support des Auftragsverarbeiters (und Zulieferer des Auftragsverarbeiters) haben ein langes und nicht einfaches Passwort für das System generiert – mindestens 12 Zeichen und 2-Faktor-Authentifizierung.

Alle Mitarbeiter mit Support-Zugang sind für den VPN-Betrieb eingerichtet, und der Betrieb über fremde Netzwerkzugänge ist nur über VPN erlaubt.

Der Zugriff auf die Server erfolgt über Zulieferer. Der Zugriff auf Server erfolgt mithilfe von Schlüsseldateien.

Zulieferer arbeiten nicht mit Daten, es sei denn, der Verantwortliche hat hierfür die Erlaubnis erteilt.

C.2.2 Rechenzentrum und Netzwerksicherheit

Die Daten werden bei einem Hosting-Anbieter gehostet, vgl. Liste der Unterauftragsverarbeiter, Anhang B.

Eine Übermittlung der Daten an andere als die eingeloggten Nutzer erfolgt nicht.

Bei Zugriffsversuchen auf die Server des Auftragsverarbeiters erfolgt nach 3 erfolglosen Versuchen eine Sperrung.

C.2.3 Autorisierung und Zugriffskontrollen

Evovia ist eine Plattform, auf der verschiedene Benutzer Zugriff auf unterschiedliche Daten haben – ein Teil dieser Zugriffsverwaltung obliegt dem Verantwortlichen selbst. Und im Allgemeinen wird der Zugriff nur auf Anfrage/Anordnung des Verantwortlichen gewährt, der die Verantwortung für die Daten trägt.

Wenn der Verantwortliche dies verlangt, kann der Auftragsverarbeiter im Namen des Verantwortlichen damit arbeiten. Alle Handlungen werden protokolliert.

C.2.4 Datensicherheit

Sämtliche Eingaben und Auslesungen der Daten erfolgen über eine sichere Webverbindung (https) zu unseren Webservern. Die Server, auf denen die Website selbst läuft, sind virtuelle Server. Diese Server speichern keine Daten. Der Zugriff auf diese Server wird durch eine Firewall kontrolliert, die sich automatisch für genehmigte Mitarbeiter öffnet – andere haben überhaupt nicht die Möglichkeit, einen Anmeldeversuch zu unternehmen.

Von diesen Servern werden Daten an eine Reihe virtueller Datenbankserver übertragen. Die Daten befinden sich auf einem Server bei einem Hosting-Unternehmen und werden auf einen anderen Server bei demselben Hosting-Unternehmen gespiegelt. Täglich wird eine verschlüsselte Backup-Datei an einen weiteren Server in einem anderen EU-Land gesendet. Und schließlich wird eine weitere verschlüsselte Backup-Datei an ein drittes Hosting-Unternehmen gesendet. Der Zugriff auf die Datenbankserver ist ausgewählten Mitarbeitern vorbehalten.

Alle Mitarbeiter im Support des Auftragsverarbeiters (und Zulieferer des Auftragsverarbeiters) haben ein langes und nicht einfaches Passwort für das System generiert – mindestens 12 Zeichen.

Der Zugriff auf die Server erfolgt über Zulieferer. Der Zugriff auf Server erfolgt mithilfe von Schlüsseldateien.

Zulieferer arbeiten nicht mit Daten, es sei denn, der Verantwortliche hat hierfür die Erlaubnis erteilt.

C.2.5 Autorisierung und Zugriffskontrolle

Evovia greift nur dann auf Informationen im System des Verantwortlichen zu, wenn der Verantwortliche dies verlangt, z. B. in einer Support-Situation. Der Zugriff erfolgt dadurch, dass der Verantwortliche aktiv ein Häkchen in einem Kästchen setzt und dieses nach Nutzung wieder entfernt. Alle Handlungen werden protokolliert.

Bei Zugriffsversuchen auf unsere Server erfolgt nach 3 erfolglosen Versuchen eine Sperrung.

Die Protokollierung der Daten erfolgt so, dass am Anfang des Dokuments steht, wer das Dokument wann gesehen hat.

C.2.6 Löschung

Wenn ein Kunde einen Mitarbeiter löscht, der nicht mehr beschäftigt ist, wird der Mitarbeiter nach 14 Tagen gelöscht, während die in MAG usw. eingegebenen Daten im Archiv des Managers (als Ausgangspunkt für 5 Jahre) gespeichert werden, z. B. Punktestand und Vereinbarungen. Der Verantwortliche kann Evovia jedoch anweisen, die Speicherdauer der Daten zu ändern. Sie kann länger oder kürzer als 5 Jahre sein. Dies kann von Werkzeug zu Werkzeug differenziert werden.

Wenn ein Unternehmen mit Evovia aufhören möchte, wird das Unternehmen nach 14 Tagen gelöscht – und ist innerhalb von 90 Tagen vollständig aus jeglichem Backup verschwunden.

C.2.7 Sicherheit der Mitarbeiter

Der Lieferant nutzt Heimarbeitsplätze. Alle Daten werden online gespeichert und berühren den PC des Mitarbeiters normalerweise nur in dem Umfang, in dem die Website auf dem PC des Mitarbeiters zwischengespeichert wird.

Die zur Verarbeitung auf dem PC des Mitarbeiters übergebenen Daten werden – nach Absprache mit dem Verantwortlichen – vertraulich behandelt und nach Verwendung unverzüglich gelöscht.

Die Übermittlung der Daten zwischen Mitarbeitern erfolgt in verschlüsselten E-Mails oder verschlüsselten Dateianhängen.

C.2.8 Eingabedatenmaterial, das personenbezogene Daten enthält

Eingabedaten sind das, was der einzelne Benutzer in das System eingibt.

Nur wenn der Verantwortliche uns dazu auffordert, kann ein Support-Mitarbeiter eventuell darauf zugreifen. Dies findet statt, indem der Verantwortliche aktiv ein Häkchen in einem Kästchen setzt und dieses nach Nutzung wieder entfernt. Die Handlung wird protokolliert.

C.2.9 Ausgabedatenmaterial, das personenbezogene Daten enthält

Hier nicht relevant. Nur wenn der Verantwortliche uns in einer bestimmten Situation ausdrücklich die Erlaubnis dazu erteilt, kann ein Support-Mitarbeiter eventuell darauf zugreifen.

C.2.10 Beauftragung von Unterauftragsverarbeitern

Vor der Beauftragung eines Unterauftragsverarbeiters führt Evovia eine sorgfältige Prüfung oder Überwachung der Sicherheitsmaßnahmen und Datenschutzgrundsätze durch, die der Unterauftragsverarbeiter implementiert hat, um sicherzustellen, dass der betreffende Unterauftragsverarbeiter über ein Sicherheitsniveau verfügt, das den Verarbeitungstätigkeiten, die er für Evovia durchführen soll, entspricht. Wenn ein Unterauftragsverarbeiter als geeignet für die Durchführung von Verarbeitungstätigkeiten beurteilt wird, schließt Evovia eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter gemäß den Anforderungen der Auftragsverarbeiterbedingungen ab.

C.3 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter wird den Verantwortlichen im Rahmen seiner Möglichkeiten und im nachstehenden Umfang gemäß den Bestimmungen 8.1 und 8.2 durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen unterstützen:

Auf konkrete Anfrage des Verantwortlichen unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß der Gesetzgebung zum Schutz personenbezogener Daten zu antworten.

Wenn eine betroffene Person einen Antrag auf Ausübung ihrer Rechte gegenüber dem Auftragsverarbeiter stellt, benachrichtigt der Auftragsverarbeiter unverzüglich den Verantwortlichen.

Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter auf konkrete Anfrage den Verantwortlichen auch dabei, die Einhaltung der Pflichten des Verantwortlichen in Bezug auf Folgendes sicherzustellen:

  • Durchführung geeigneter technischer und organisatorischer Maßnahmen
  • Verletzungen des Schutzes
  • Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten
  • Durchführung von Datenschutz-Folgenabschätzungen
  • Vorherige Anhörungen der Aufsichtsbehörden

C.4 Speicherungsdauer/Löschungsverfahren

Bei Beendigung der Dienstleistung im Zusammenhang mit der Verarbeitung personenbezogener Daten muss der Auftragsverarbeiter die personenbezogenen Daten gemäß Bestimmung 10.1 entweder löschen oder zurückgeben, sofern zwischen den Parteien nichts anderes gesondert vereinbart wurde.

Die Umsetzung der Anweisungen des Verantwortlichen zur Löschung oder Herausgabe der Daten des Verantwortlichen durch Evovia erfolgt in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung und so schnell wie praktisch möglich. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Ende des Abonnementvertrags aus der Betriebsumgebung. Der Verantwortliche akzeptiert hiermit, dass die Daten des Verantwortlichen für 90 Tage in ein Backup-Verfahren einbezogen werden, wonach alle Kopien der Daten des Verantwortlichen gelöscht werden.

C.5 Ort der Verarbeitung

Die Verarbeitung der von den Bestimmungen umfassten personenbezogenen Daten darf ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht an anderen Orten als den folgenden stattfinden:

Detaillierte Informationen zu den Verarbeitungsorten des Auftragsverarbeiters und seiner Unterauftragsverarbeiter erhalten Sie durch Kontaktaufnahme mit dem Auftragsverarbeiter. Die Bereitstellung der Informationen ist in dem Umfang möglich, in dem die Bereitstellung nach Einschätzung des Auftragsverarbeiters ohne Sicherheitsrisiko erfolgen kann. In solchen Fällen werden grundsätzlich lediglich Informationen über das Land und die Stadt des Datenverarbeitungsortes bereitgestellt.

C.6 Hinweise zur Übermittlung personenbezogener Daten in Drittländer

Sofern der Verantwortliche in diesen Bestimmungen oder nachträglich keine dokumentierte Anweisung zur Übermittlung personenbezogener Daten in ein Drittland erteilt, ist der Auftragsverarbeiter nicht berechtigt, solche Übermittlungen im Rahmen dieser Bestimmungen durchzuführen.

C.7 Verfahren für die Prüfungen des Verantwortlichen, einschließlich Inspektionen, bei der Verarbeitung personenbezogener Daten, die dem Auftragsverarbeiter anvertraut werden

Laut Artikel 24 und 28 der Datenschutz-Grundverordnung hat der Verantwortliche das Recht und die Pflicht, die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zu überwachen. Die Überwachung des Auftragsverarbeiters durch den Verantwortlichen kann dadurch erfolgen, dass der Verantwortliche eine der folgenden Handlungen durchführt:

  • Selbstkontrolle anhand von Dokumenten, die der Auftragsverarbeiter dem Verantwortlichen zur Verfügung stellt
  • Schriftliche Überprüfung oder
  • Physische Inspektionen.

C.7.1 Selbstkontrolle

Der Auftragsverarbeiter muss jährlich auf eigene Kosten eine Prüferklärung von einem unabhängigen Dritten darüber einholen, ob der Auftragsverarbeiter die Datenschutz-Grundverordnung, Datenschutzbestimmungen in anderem EU-Recht oder dem nationalen Recht der Mitgliedsstaaten und diese Bestimmungen einhält.

Zwischen den Parteien wird vereinbart, dass die folgende Art von Prüfungserklärung gemäß diesen Bestimmungen verwendet werden kann: ISAE3000 – Typ 2.

Die Prüfungserklärung wird jedes Jahr im Juni auf der Verwaltungsseite des Verantwortlichen in Evovia veröffentlicht. Dabei hat der Verantwortliche die Möglichkeit, eine Selbstkontrolle durchzuführen.

Auf der Grundlage der Ergebnisse der Erklärung ist der Verantwortliche berechtigt, die Umsetzung zusätzlicher Maßnahmen zu verlangen, um die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen in anderen EU-Rechtsvorschriften oder dem nationalen Recht der Mitgliedstaaten sowie dieser Bestimmungen sicherzustellen.

C.7.2 Schriftliche Überprüfung und physische Inspektion

Der Verantwortliche kann wählen, ob er eine Überprüfung entweder als schriftliche Überprüfung oder als physische Inspektion durchführen möchte. Die Überprüfung kann durch den Verantwortlichen selbst und/oder in Zusammenarbeit mit einem Dritten erfolgen. Grundlage einer Überprüfung sind die zwischen den Parteien vereinbarten Sicherheitsmaßnahmen. Verfahren und Berichterstattung für die schriftliche Überprüfung oder physische Inspektion:

  • Der Verantwortliche kontaktiert den Auftragsverarbeiter per E-Mail an gdpr@evovia.com mit dem Wunsch, eine Überprüfung und/oder Inspektion durchzuführen.
  • Der Auftragsverarbeiter bestätigt den Eingang und gibt einen endgültigen Termin für die Durchführung der Überprüfung und/oder Inspektion bekannt.
  • Die Durchführung der Überprüfung und/oder Inspektion findet statt.
  • Der Verantwortliche erstellt einen Bericht, der anschließend an den Auftragsverarbeiter weitergeleitet wird.
  • Der Auftragsverarbeiter prüft den Berichtsentwurf und kommentiert ggf. die eventuellen Beobachtungen des Verantwortlichen (kann mehrmals wiederholt werden).
  • Der endgültige Bericht wird vom Verantwortlichen erstellt.
  • Die Überprüfung wird abgeschlossen.

 

C.8 Verfahren für Prüfungen, einschließlich Inspektionen, bei der Verarbeitung personenbezogener Daten, die Unterauftragsverarbeitern anvertraut werden

Der Auftragsverarbeiter führt auf der Grundlage der Risikobewertung des Auftragsverarbeiters und unter Berücksichtigung der spezifischen Verarbeitungsaktivitäten Prüfungen, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter durch, entweder in Form einer Selbstkontrolle von Prüfungserklärungen und entsprechend (sofern möglich) einer schriftlichen Überprüfung oder einer physischen Inspektion oder eine Kombination beider.

Der Verantwortliche kann auf Anfrage des Verantwortlichen zusätzliche Informationen darüber erhalten, welche Kontrollmaßnahmen gegenüber den einzelnen Unterauftragsverarbeitern eingeleitet und umgesetzt wurden.

Der Verantwortliche kann gegenüber dem Auftragsverarbeiter eine gesonderte Überprüfung eines Unterauftragsverarbeiters veranlassen. Diese Überprüfung erfolgt nach dem für diesen Zweck üblichen und festgelegten Verfahren des Unterauftragsverarbeiters und auf Kosten des Verantwortlichen.

 

Version Dezember 2022

Bekomme Antworten auf deine Fragen


Aktualisiert im November 2024

1. Haftung und Haftungsbeschränkung

Frage:
Ihr habt einen ganzen Absatz 12, der in der Vorlage der Datenschutz-Grundverordnung nicht enthalten ist. Was ist die Begründung dafür, einen Absatz über Haftung und Haftungsbeschränkung aufzunehmen?

Antwort:
Diese Haftungsbeschränkung ist notwendig, damit Evovia das Risiko, das mit der Dienstleistung verbunden ist, definieren und eingrenzen kann - und somit den Preis dafür festlegen kann. Mit anderen Worten: Evovia muss das gesamte Risikoprofil abgrenzen und auf dieser Grundlage den Preis berechnen. Die Hinzufügung des Abschnitts über Haftung und Haftungsbeschränkung regelt und präzisiert ebenfalls gegenüber den Parteien, wie die Regelungen der Datenschutz-Grundverordnung (DSGVO) zu Schadenersatz zur Anwendung kommen. Zum Beispiel wird spezifiziert, dass die Bestimmung zur gemeinsamen Haftung, einschließlich des Rechts auf Rückgriff gemäß dem Prinzip in Artikel 82 Absatz 5, auch in Fällen von Entschädigung für immaterielle Schäden gemäß Artikel 82 Absatz 1 Anwendung findet. Die Aufnahme dieses Abschnitts dient der klaren Regelung der Haftungsverteilung in allen datenschutzrechtlichen Belangen zwischen dem Auftragsverarbeiter und dem Verantwortlichen.

2. Archivpflicht und Archivgesetz – Herausgabe und Löschung von Kundendaten


Frage:
Wir sind als öffentliche Organisation dem Archivgesetz und der Archivpflicht unterworfen, daher ist es wohl nicht korrekt, dass Daten einfach gelöscht werden?

Antwort:
In unseren Datenschutzbestimmungen steht Folgendes:

Bei Beendigung der Dienstleistung im Zusammenhang mit der Verarbeitung personenbezogener Daten muss der Auftragsverarbeiter die personenbezogenen Daten gemäß Bestimmung 10.1 entweder löschen oder zurückgeben, sofern zwischen den Parteien nichts anderes gesondert vereinbart wurde.

Die Umsetzung der Anweisungen des Verantwortlichen zur Löschung oder Herausgabe der Daten des Verantwortlichen durch Evovia erfolgt in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung und so schnell wie praktisch möglich. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Ende des Abonnementvertrags aus der Betriebsumgebung. Der Verantwortliche akzeptiert hiermit, dass die Daten des Verantwortlichen für 90 Tage in ein Backup-Verfahren einbezogen werden, wonach alle Kopien der Daten des Verantwortlichen gelöscht werden.

Das bedeutet konkret:

  1. Der Kunde hat die Wahl, die Daten entweder zurückzuerhalten (d. h. selbst abzurufen, was erforderlich ist) oder sie einfach löschen zu lassen. Wenn Evovia die Daten zurückgibt oder der Kunde sie selbst abruft, erfolgt die Löschung durch Evovia anschließend zu einem vereinbarten Termin. Dies entspricht den Bestimmungen des Vertrages und ist mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) in Einklang.
  2. Der Kunde kann somit frei entscheiden, ob er die Daten zurückerhält oder sie selbst abruft. Sollte der Kunde unter das Archivgesetz und die Archivpflicht fallen, kann er die Daten zu diesem Zweck zurückerhalten oder selbst abholen, um sie gemäß den gesetzlichen Anforderungen zu archivieren.
    Daher gibt es keine Probleme mit dieser Bestimmung.
  3. Auf schriftliche Anfrage und gegen eine separate Zahlung kann der Kunde Evovia auch darum bitten, bei der Archivierung der Daten gemäß dem Archivgesetz zu unterstützen, bevor die Löschung in Evovia erfolgt.
3. Schutz personenbezogener Daten im Insolvenzfall

Frage:
Wie werden personenbezogene Daten im Insolvenzfall eines Unternehmens geschützt?

Antwort:
Im Falle der Insolvenz des Auftragsverarbeiters bleibt dieser verpflichtet, personenbezogene Daten entweder zu löschen oder an den Verantwortlichen zurückzugeben, sofern dies in der vertraglichen Vereinbarung geregelt ist und keine anderweitige gesetzliche Verpflichtung besteht (Art. 28 Abs. 3 DSGVO). Personenbezogene Daten bleiben auch im Insolvenzfall eines Unternehmens durch die DSGVO geschützt und gehören nicht zur Insolvenzmasse, da sie nicht als Vermögenswerte betrachtet werden dürfen (§ 35 InsO). Die Verantwortung für die Einhaltung des Datenschutzes übernimmt der Insolvenzverwalter (§ 80 InsO), die personenbezogenen Daten nur im Einklang mit den Datenschutzvorschriften (Art. 5 und Art. 6 DSGVO) und zur Abwicklung des Insolvenzverfahrens verarbeiten darf. Eine Weitergabe oder Verwertung personenbezogener Daten ist nur zulässig, wenn eine rechtliche Grundlage (z. B. Art. 6 Abs. 1 DSGVO) vorliegt oder die betroffenen Personen zugestimmt haben. Betroffene behalten ihre Rechte, wie das Recht auf Auskunft (Art. 15 DSGVO) oder Löschung (Art. 17 DSGVO), und können diese auch gegenüber dem Insolvenzverwalter geltend machen.

4. Daten für Forschungszwecke in 100 % anonymisierter Form


Frage:
Evovia schreibt in den allgemeinen Geschäftsbedingungen, dass Daten für die Forschung an der Aarhus Universität in 100 % anonymisierter Form zur Verfügung gestellt werden. Es wird auch erwähnt, dass Kunden möglicherweise davon ausgenommen werden möchten. Daher frage ich: Könnt ihr spezifizieren, worauf Kunden verzichten, wenn sie nicht möchten, dass ihre Daten in die anonymisierte Statistik aufgenommen werden?

Antwort:
Das ist korrekt. Wie in unseren allgemeinen Geschäftsbedingungen beschrieben, behält sich Evovia das Recht vor, in Zusammenarbeit mit Universitätsforschenden statistische Daten in 100% anonymisierter Form zu wissenschaftlichen Zwecken zu verwenden.

Es handelt sich um eine Option, die wir immer in unseren Geschäftsbedingungen enthalten haben, und erfolgt nach den folgenden Grundsätzen: 

Evovia führt einen Datenexport durch, der zu 100 % anonym ist und keine bestimmte Kunden, Gruppe oder Person identifizieren kann. Die Datenexporte werden nur anhand der folgenden Parameter ausgewählt:

  1. Geschlecht der Führungskraft
  2. Geschlecht der Mitarbeitenden
  3. Führungsspanne der Führungskraft (Anzahl der Mitarbeitenden, die direkt geleitet werden)
  4. Öffentliche oder private Organisation
  5. Geografische Hauptkategorien
  6. In übergreifende Branchensegmente, wenn eine ausreichende Anzahl von Kunden vorhanden ist, um die Anonymität aufrechtzuerhalten.

Wenn Kunden nicht an einem solchen Analysen teilnehmen möchte, können sie sich durch Kontaktaufnahme mit Evovia davon ausschließen lassen und sind von der Nutzung dieser Benchmarks ausgeschlossen. 
 
Unter anderem arbeiten wir seit einigen Jahren mit der Fakultät für Politikwissenschaft der Universität Aarhus zusammen. 

Das bedeutet:

  • Wenn Kunden sich ausschließen, werden ihre Daten nicht für Forschungszwecke verwendet.

  • Zudem wird es nicht möglich sein, Berichte oder Auszüge der Unternehmensdaten für Benchmarking zu erstellen.

5. DSGVO Standard – mit Ergänzungen

Frage:
Es handelt sich um eine Auftragsverarbeitungsvereinbarung, die auf dem Standard der Datenschutzbehörde basiert, aber eine Reihe von Änderungen enthält. Daher könnte die Rechtmäßigkeit der Vereinbarung Gegenstand einer Prüfung werden. Wie stehen Sie dazu?

Antwort:
Wir haben den Standard der deutschen Datenschutzbehörde als Grundlage verwendet, da wir die Anforderungen der DSGVO (insbesondere Artikel 28) vollständig erfüllen möchten. Diese Anforderungen sind durch die Standardklauseln abgedeckt. Ergänzungen, die über diese Standards hinausgehen, wurden vorgenommen, um die Vereinbarung praxisnäher und spezifischer für unsere Vertragsbeziehungen zu gestalten, ohne die Vorgaben der DSGVO zu verletzen. Sollten die deutschen Datenschutzbehörden eine Prüfung durchführen, würden sie den DSGVO-konformen Teil der Vereinbarung genehmigen und die ergänzten Regelungen gesondert bewerten. Unsere Anpassungen sind klar dokumentiert und rechtlich fundiert. Einige Beispiele:

  • Präambel: Wir haben einen Verweis auf die geltenden AGBs eingefügt, da viele Kunden ausdrücklich danach fragen. Die AGB werden den Kunden vor Vertragsabschluss zugänglich gemacht und können jederzeit auf unserer Website eingesehen werden. Dies gewährleistet Transparenz und Rechtsverbindlichkeit.
  • Unterauftragsverarbeiter: Der Standard der DSGVO erlaubt eine spezifische oder eine allgemeine vorherige Genehmigung. In der Praxis haben wir uns für eine allgemeine vorherige Genehmigung entschieden, die mit einer klaren schriftlichen Benachrichtigungspflicht im Falle eines Wechsels kombiniert ist. Diese Regelung sieht vor, dass die Kunden im Voraus über einen Wechsel informiert werden. Kunden haben das Recht, innerhalb einer Frist von 14 Werktagen schriftlich Einspruch zu erheben, falls berechtigte Gründe vorliegen. Diese Regelung entspricht Artikel 28 Abs. 2 und 3 DSGVO und bietet sowohl Flexibilität als auch Schutz für unsere Kunden.
  • Benachrichtigung bei Datenschutzvorfällen: Die Regelungen zur Benachrichtigung bei Sicherheitsvorfällen folgen den Standardvorgaben, werden aber durch detaillierte Inhalte aus der DSGVO Artikeln 33 und 34 präzisiert, um die Transparenz und Verständlichkeit zu erhöhen.
  • Revision und Inspektion: Wir verpflichten uns, jährlich im Juni eine unabhängige Prüfbescheinigung (ISAE 3000) bereitzustellen, die auf der Administrationsseite unserer Kunden abrufbar ist. Diese Bescheinigung bestätigt die Einhaltung der Sicherheitsanforderungen und wird durch eine unabhängige Stelle erstellt. Sollten Kunden darüberhinausgehende Inspektionen wünschen, können diese nach schriftlicher Anfrage und in angemessenem Umfang durchgeführt werden. Gemäß den vertraglichen Regelungen trägt der Kunde die Kosten für zusätzliche Inspektionen, sofern diese über die bereitgestellten Prüfbescheinigungen hinausgehen. Dies gewährleistet Transparenz und Kostenkontrolle für beide Seiten.
6. Dokumentation zur ISAE-3000-Prüfungserklärung

Frage:
Kann der Verantwortliche die zugrunde liegende Dokumentation für die ISAE 3000-Erklärung, wie z. B. Unterauftragsverarbeitungsverträge, Risikobewertungen usw., zugesandt bekommen?

Antwort:
Nein, die direkte Zusendung solcher Dokumente ist nicht vorgesehen und rechtlich sowie sicherheitstechnisch nicht praktikabel.

Unsere Systeme unterliegen höchsten Sicherheitsstandards. Aus diesem Grund stellen wir unseren Kunden die jährliche ISAE 3000-Prüfungserklärung zur Verfügung, die von BDO, einer unabhängigen und anerkannten Wirtschaftsprüfungsgesellschaft, erstellt wird. Dieser Bericht wird im Juni veröffentlicht und enthält eine umfassende Dokumentation der Kontrollziele und ihrer Umsetzung. Er dient als Nachweis dafür, dass alle datenschutzrechtlichen Anforderungen gemäß Artikel 28 DSGVO eingehalten werden. Dies entspricht dem Standardverfahren bei geprüften Jahresabschlüssen, bei denen zugrunde liegende Dokumente ebenfalls nicht offengelegt werden.

Die ISAE 3000-Erklärung enthält alle relevanten Kontrollziele, die nach den Vorgaben der Datenschutzbehörden entwickelt wurden. Sollte es Abweichungen bei einzelnen Kontrollzielen geben, werden diese im Bericht klar durch Vorbehalte des Prüfers gekennzeichnet. Somit bietet der Bericht eine vollständige und verlässliche Übersicht.

Falls Kunden zusätzliche Informationen zu bestimmten Themen benötigen, kann im Einzelfall eine schriftliche Stellungnahme der Geschäftsführung von Evovia zu Aspekten, die möglicherweise nicht ausreichend in der ISAE 3000 behandelt werden, zur Verfügung gestellt werden. Sollte dies weiterhin nicht ausreichend sein, kann der Kunde eine externe Prüfung verlangen – diese erfolgt dann vor Ort und gegen Honorar, unter Einhaltung hoher Sicherheits- und Vertraulichkeitsvorgaben. Weitere Informationen zu den Preisen finden Sie hier.

Mit diesem Ansatz gewährleisten wir Transparenz, Sicherheit und Vertraulichkeit und erfüllen gleichzeitig die Anforderungen der DSGVO und des deutschen Datenschutzrechts.

7. Forschungskooperation mit der Universität Aarhus

Frage:
Gibt es eine gemeinsame Datenverantwortung bei Evovia, wenn Evovia selbst Daten verarbeitet, z. B. indem anonyme Daten für Forschungszwecke an die Aarhus Universität gesendet werden?

Antwort:
In den allgemeinen Geschäftsbedingungen steht Folgendes:

Evovia behält sich das Recht vor, in Zusammenarbeit mit Universitätsforschern statistische Daten in 100% anonymisierter Form zu wissenschaftlichen Zwecken zu verwenden. Es handelt sich um eine Option, die wir immer in unseren Geschäftsbedingungen enthalten haben, und erfolgt nach den folgenden Grundsätzen: 

Evovia führt einen Datenexport durch, der zu 100 % anonym ist und keine bestimmten Kunden, Gruppe oder Person identifizieren kann. Die Datenexporte werden nur anhand der folgenden Parameter ausgewählt:

  1. Geschlecht der Führungskraft
  2. Geschlecht der Mitarbeitenden
  3. Führungsspanne der Führungskraft (Anzahl der Mitarbeitenden, die direkt geleitet werden)
  4. Öffentliche oder private Organisation
  5. Geografische Hauptkategorien
  6. In übergreifende Branchensegmente, wenn eine ausreichende Anzahl von Kunden vorhanden ist, um die Anonymität aufrechtzuerhalten.

Wenn Kunden nicht an solchen Analysen teilnehmen möchten, können sie sich durch Kontaktaufnahme mit Evovia davon ausschließen lassen. 

Die kurze Antwort lautet daher:

  • Nein, hier handelt es sich nicht um eine gemeinsame Verantwortung.
  • Als Kunde sind Sie verantwortlich für die Daten, die Sie eingeben, und dafür, wie Sie die aus dem System extrahierten Statistiken, Grafiken und Berichte nutzen.
  • Evovia ist verantwortlich für die Speicherung und Bereitstellung der Daten, einschließlich Statistiken und Berichten, und dafür, dass diese den gesetzlichen Vorgaben entsprechen.
  • Was die 100 % anonymen Daten betrifft, die für Forschungszwecke an die Aarhus Universität gesendet werden: Diese beinhalten keine Informationen, mit denen Statistiken oder Berichte zurückverfolgt werden können – sie sind vollständig anonymisiert. Allerdings haben wir gerade geografische Kategorien und übergeordnete Branchen sowie männliche/weibliche Führungskräfte hinzugefügt. Hierbei verwenden wir ein einfaches Forschungsprogramm, das das Geschlecht anhand des Vornamens "errät". Dabei besteht das Risiko, dass ein Name wie "Inge" in Norwegen ein männlicher und in Dänemark ein weiblicher Name sein kann.
  • Und schließlich kann sich jeder Kunde auf Wunsch von der Teilnahme an solchen Analysen abmelden.
8. Garantien bei Sicherheitsverletzungen

 

Frage:
Es fehlt etwas im Abschnitt „Meldung von Sicherheitsverletzungen“. Evovia gibt keine vertraglichen Zusicherungen, dass das 72-Stunden-Erfordernis in Bezug auf einen Datenschutzvorfall erfüllt werden kann, da Evovia nicht die Art von Informationen garantiert, die in Artikel 33 und 34 gefordert werden.

Antwort:
Nein, es fehlt nichts. Beides ist deutlich enthalten. Und Evovia gibt die notwendigen Garantien.

Die Verpflichtungen von Evovia in Bezug auf die Meldung von Datenschutzvorfällen und die Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Artikel 33 und 34 DSGVO sind klar in dem Auftragsverarbeitungsvertrag (AVV) geregelt.

Gemäß Artikel 33 Abs. 2 DSGVO ist Evovia verpflichtet, den Verantwortlichen unverzüglich zu informieren, sobald von einer Datenschutzverletzung Kenntnis erlangt wird. Die 72-Stunden-Frist gemäß Artikel 33 Abs. 1 DSGVO gilt ausschließlich für den Verantwortlichen und beginnt erst, nachdem Evovia die Meldung übermittelt hat. Evovia unterstützt den Verantwortlichen aktiv bei der Einhaltung dieser Frist, indem alle relevanten Informationen bereitgestellt werden, die zur Beurteilung der Datenschutzverletzung erforderlich sind.

Der jährliche ISAE 3000-Bericht, der von einer unabhängigen Wirtschaftsprüfungsgesellschaft erstellt wird, dokumentiert die Einhaltung der DSGVO-Vorgaben und bietet dem Verantwortlichen Transparenz und Sicherheit. Wie auf Seite 496 des Berichts ausgeführt, wird die Verpflichtung zur Meldung einer Datenschutzverletzung erst ausgelöst, wenn der Verantwortliche über ausreichende Informationen verfügt, um die Verletzung zu bewerten. Diese Einschätzung erfolgt auf Grundlage der von Evovia bereitgestellten Daten.

Die Artikel-29-Datenschutzgruppe hat in ihrem WP250-Dokument hervorgehoben, dass der Auftragsverarbeiter keine Risikoanalyse durchführen muss, bevor er den Verantwortlichen informiert. Die Verpflichtung des Auftragsverarbeiters zur unverzüglichen Benachrichtigung ermöglicht es dem Verantwortlichen, die Verletzung zu bewerten und zu entscheiden, ob die Aufsichtsbehörde und betroffene Personen informiert werden müssen.

Evovia stellt durch klare Regelungen in dem AVV, technische und organisatorische Maßnahmen sowie durch die jährliche Dokumentation im ISAE 3000-Bericht sicher, dass alle gesetzlichen Anforderungen der DSGVO erfüllt werden.

 

9. Genehmigung des Auftragsverarbeitungsvertrags


Frage:
Wo und wie genehmigt man den Auftragsverarbeitungsvertrag?

Antwort:

  • Wenn die oberste Leitung einer Organisation - oder eine auf höchster Ebene beauftragte Person - sich bei Evovia einloggt, erscheint automatisch der Auftragsverarbeitungsvertrag. Man kann erst weitermachen, nachdem eine der berechtigten Personen diesen Vertrag genehmigt hat.

  • Der Auftragsverarbeitungsvertrag ist außerdem hier verfügbar.

  • Wenige Sekunden nach der Genehmigung erhält man eine E-Mail mit einer PDF-Kopie des Vertrags. Darin sind der Name des Unternehmens sowie die Unterschrift und das Datum des CEOs von Evovia enthalten.

10. Genehmigung von Unterauftragsverarbeitern

Frage:
Muss Evovia als Auftragsverarbeiter die Zustimmung des Verantwortlichen, also des Kunden, einholen, bevor ein Unterauftragsverarbeiter gewechselt wird?

Antwort:

Zunächst erklären wir das Standardverfahren, falls ein Unterauftragsverarbeiter gewechselt werden muss. Solche Änderungen erfolgen in der Regel geplant, und die Kunden werden darüber informiert. Sie erhalten eine Frist von 30 Tagen, um der Änderung zu widersprechen oder gegebenenfalls das Abonnement zu kündigen, falls sie den neuen Unterauftragsverarbeiter nicht akzeptieren können. Dieses Verfahren ist eindeutig in unserem Auftragsverarbeitungsvertrag geregelt.

In dringenden, sicherheitsrelevanten Situationen müssen wir jedoch schnell handeln, um den bestmöglichen Schutz unserer Kunden zu gewährleisten.

Hier eine genauere Erläuterung:

  • Als verantwortungsbewusster Auftragsverarbeiter müssen wir berücksichtigen, dass Situationen höherer Gewalt eintreten können. Sollte beispielsweise ein Unterauftragsverarbeiter unser Vertrauen missbrauchen, sind wir verpflichtet, sofort Maßnahmen zu ergreifen und diesen Unterauftragsverarbeiter zu ersetzen, um unsere Kunden zu schützen.
  • Wären wir in einer solchen Notsituation gezwungen, zunächst die individuelle Zustimmung jedes Kunden einzuholen, könnten wir gezwungen sein, Kundendaten bei einem Unterauftragsverarbeiter zu belassen, dem wir nicht mehr vertrauen. Das wäre selbstverständlich keine tragfähige Lösung.

Deshalb sieht unser Verfahren in einer solchen dringenden Situation wie folgt aus:

  • Falls wir kurzfristig einen Unterauftragsverarbeiter wechseln müssen, tun wir das umgehend.

  • Sobald der Wechsel abgeschlossen und geprüft ist, informieren wir alle unsere Kunden in einer einheitlichen Mitteilung. Darin erläutern wir die Situation und stellen den neuen Unterauftragsverarbeiter sowie einen Validierungsbericht vor.

  • Sollte ein Kunde die Änderung nicht akzeptieren können, treten wir in einen Dialog, um eine Lösung zu finden. Gegebenenfalls könnte dies zur Beendigung der Zusammenarbeit und zur Rückgabe der Kundendaten führen.

s ist wichtig zu betonen, dass wir bislang niemals in die Nähe einer solchen Situation gekommen sind.

Bei Evovia haben wir uns für die Regelung einer generellen Genehmigung gemäß Artikel 28 DSGVO entschieden. Aus Sicherheitsgründen ist eine individuelle Genehmigung in der Praxis nicht verlässlich umsetzbar, um unseren Kunden einen sicheren Service zu bieten. Das oben beschriebene Verfahren steht im Einklang mit Artikel 28 DSGVO und wurde von unseren Datenschutzrechtsexperten geprüft und bestätigt.

11. Vorfälle - Speicherung und Löschung von Meldungen

Frage:
Wie lange werden Daten zu Vorfallsmeldungen in Evovia gespeichert?

Antwort:
Nach dem deutschen Hinweisgeberschutzgesetz (HinSchG) und der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten aus Vorfallsmeldungen grundsätzlich höchstens drei Jahre nach Abschluss des Verfahrens gespeichert werden. Eine längere Speicherung ist nur zulässig, wenn dies gesetzlich erforderlich ist (z. B. aufgrund von Verjährungsfristen oder rechtlichen Auseinandersetzungen).
 
Standardmäßig haben wir Evovia so eingerichtet, dass Daten zu Vorfallsmeldungen nach fünf Jahren automatisch gelöscht werden. Wir empfehlen jedoch, die Speicherdauer auf maximal drei Jahre einzustellen, sofern keine längeren Aufbewahrungsfristen erforderlich sind.
 
Als Verantwortliche liegt es in eurer Verantwortung, festzulegen, wie lange Daten in eurem Unternehmen gespeichert werden dürfen. Meldet euch gerne bei unserem Support, wenn ihr die Speicherdauer im Tool „Meldungen von Vorfällen“ individuell, z. B. auf drei Jahre, anpassen möchtet.
12. Information über Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde


Frage:
Einige haben uns gefragt, ob wir als Auftragsverarbeiter eine feste Frist setzen können, wonach wir Datenschutzverletzungen spätestens innerhalb von 24 Stunden melden müssen. Momentan heißt es lediglich „unverzüglich“.

Antwort:
Nein, das können und wollen wir nicht. Stattdessen „lassen wir alles stehen und liegen“. Und wir klären alle relevanten Punkte unverzüglich auf und melden, soweit möglich. Der Wunsch nach einer festen Frist, z. B. 24 Stunden, ist daher nicht relevant. Er beruht auf einem Missverständnis der Datenschutz-Grundverordnung, konkret Artikel 33 (siehe unten).

Auftragsverarbeiter müssen unverzüglich melden. Verantwortliche hingegen müssen innerhalb von 72 Stunden melden. Diese beiden Fristen hängen nicht unmittelbar zusammen. Für den Verantwortlichen läuft die 72-Stunden-Frist erst ab dem Zeitpunkt, an dem er von der Meldung des Auftragsverarbeiters Kenntnis erhält.

Hintergrund:

  • Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, haben wir als Auftragsverarbeiter folgende Pflicht:
  • „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.“ (Zitat aus Artikel 33 DSGVO)
  • Das bedeutet: wirklich so schnell wie möglich! Aber zugleich so, dass der Auftragsverarbeiter keine unnötige Verunsicherung bei einer Vielzahl von Kunden auslöst. Daher müssen die Informationen sorgfältig aufbereitet werden. Das geschieht aber so schnell wie möglich und unverzüglich.

Anschließend hat der Verantwortliche (= unser Kunde) dann 72 Stunden Zeit, um seiner eigenen Meldepflicht nachzukommen.

Natürlich liegt es im Interesse aller Beteiligten, dass dies so schnell wie möglich erfolgt oder eben, wie es in Artikel 33 heißt: unverzüglich.

Hier der relevante Wortlaut aus der DSGVO, Artikel 33:

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

  1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
  2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
  3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
  5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. 2Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
13. Anweisungen der Verantwortlichen an die Auftragsverarbeiter

Frage:
Wenn es gemäß Art. 28 Abs. 3 lit. a DSGVO heißt, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf, was bedeutet das? Muss dafür ein besonderes Dokument vorliegen?

Antwort:
Der Auftragsverarbeiter darf personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten. Wenn in der Verordnung von „dokumentierter Weisung“ die Rede ist, bedeutet das, dass es klare und schriftlich festgehaltene Richtlinien oder Anweisungen vom Verantwortlichen an den Auftragsverarbeiter geben muss, die regeln, wie die personenbezogenen Daten zu verarbeiten sind. Dies soll sicherstellen, dass der Auftragsverarbeiter nur solche Verarbeitungsvorgänge durchführt, die vom Verantwortlichen genehmigt wurden, und dass dies im Bedarfsfall nachgewiesen werden kann.

Es muss jedoch nicht zwingend ein einzelnes, spezielles Dokument existieren. Entscheidend ist, dass die Weisungen schriftlich vorliegen und ausreichend dokumentiert sind. Das kann in verschiedenen Formen geschehen, zum Beispiel in Verträgen, E-Mails oder anderen Arten schriftlicher Kommunikation, die das Erfordernis der Dokumentation erfüllen.

14. Speicherung von Daten nach Vertragsbeendigung

Frage:
Was bedeutet es, wenn es gemäß Art. 28 Abs. 3 lit. a DSGVO heißt, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf? Muss dafür ein besonderes Dokument vorliegen?

Antwort:
Der Auftragsverarbeiter darf personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten. Wenn in der Datenschutz-Grundverordnung von einer „dokumentierten Weisung“ die Rede ist, bedeutet das, dass klare und schriftlich festgehaltene Anweisungen des Verantwortlichen vorliegen müssen, wie die personenbezogenen Daten verarbeitet werden sollen. Dies dient dem Zweck, dass der Auftragsverarbeiter ausschließlich auf genehmigte Weise handelt und dies im Falle einer Prüfung nachgewiesen werden kann.

Es ist dabei nicht zwingend erforderlich, dass ein einzelnes spezielles Dokument vorliegt. Wichtig ist vielmehr, dass die Weisungen schriftlich und ausreichend dokumentiert sind. Dies kann in unterschiedlicher Form erfolgen. Etwa durch Verträge, E-Mails oder andere schriftliche Kommunikationsmittel, die das Kriterium der Dokumentation erfüllen.

15. Speicherung von Daten ehemaliger Beschäftigter

Frage:
Was ist die Grundlage für die Bestimmung, dass der Auftragsverarbeiter Daten nach Beendigung des Abonnementvertrags weiterhin speichern darf? Um welche rechtliche Verpflichtung kann es sich dabei handeln?

Antwort:
Diese Regelung beruht auf den Mindestanforderungen an Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 3 lit. g DSGVO. Dort ist festgelegt, dass der Auftragsverarbeiter nach Vertragsende alle personenbezogenen Daten entweder löschen oder an den Verantwortlichen zurückgeben muss. Es sei denn, es besteht eine gesetzliche Verpflichtung zur weiteren Speicherung.

Eine solche rechtliche Verpflichtung kann sich z. B. aus Anordnungen von Gerichten oder anderen öffentlichen Stellen ergeben, die den Auftragsverarbeiter zur Aufbewahrung bestimmter Daten verpflichten. Derzeit gibt es jedoch nur wenig gefestigte Rechtsprechung zu diesem Thema, weshalb sich konkrete Beispiele schwer benennen lassen.

16. Auskunftspflicht gegenüber Mitarbeitenden


Frage:
Wir sind als Verantwortliche dazu verpflichtet, unsere Mitarbeitenden zu informieren. Könnt ihr uns dabei helfen?

Antwort:
Ja, das können wir.

Welche Datenarten werden gespeichert:

Aus dem Text der Auftragsverarbeitungsvereinbarung:

A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten über die betroffenen Personen

Die anvertraute Verarbeitung umfasst die Arten von Daten, die der Verantwortliche in den Evovia-Cloud-Dienst eingibt und einliest. Dazu gehören standardmäßig Namen, E-Mail-Adressen und die Position der Mitarbeiter in der Organisation sowie der Name des unmittelbaren Vorgesetzten.

Darüber hinaus weitere personenbezogene Daten, die der Mitarbeiter und seine Führungskraft selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Punktestände, Kommentare zu Vereinbarungen und Aktionsplänen mit Fristen bei MAG, GBU etc. Da hier Eingaben in Freitextfelder erfolgen können, kann die Art der Daten sensibel sein. In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter, die Sicherheitsanforderungen in Bezug auf die Verarbeitung eventueller sensibler Daten zu erfüllen, die in C.2 näher beschrieben werden.

Wo werden die Daten gespeichert?

Wenn du als Kunde mit Mitarbeitenden kommunizierst, Vereinbarungen mit Fristen triffst und Follow-ups machst, wird alles auf unserem Serverbereich im großen Rechenzentrum von Hetzner in Deutschland gespeichert.

  1. Im selben Moment wird eine Kopie der Daten auf unseren Serverbereich an einem anderen Standort von Hetzner in Deutschland gespiegelt – um uns gegen physische Ausfälle, Brände, Vandalismus usw. abzusichern.
  2. Täglich wird außerdem eine verschlüsselte Datei mit sämtlichen Daten an Hetzners Standort in Finnland gesendet – und gleichzeitig eine verschlüsselte Datei mit denselben Daten an einen Standort in Dänemark (Cloud Factory A/S).

1. dient dazu, uns gegen physische Ausfälle in Rechenzentren abzusichern. 2. hingegen schützt die Daten gezielt vor Malware, Hacking und ähnlichen Bedrohungen, damit wir im Notfall jederzeit eine Wiederherstellung aus dem letzten „sauberen“ Backup aller Daten durchführen können.

Sollte es jemals zu einem vollständigen Datenverlust kommen, können wir alle Daten aus einem solchen „sauberen“ Backup wiederherstellen – entweder aus Finnland oder aus Dänemark.
Zweimal im Jahr führen wir intern einen „simulierten“ Totalausfall durch, um unsere Prozesse und Wiederherstellungszeiten zu testen – was zum Glück bisher nie nötig war.

Daten verlassen das Hostingzentrum nicht, es sei denn, dies wurde ausdrücklich mit der verantwortlichen Stelle vereinbart.

Daten werden nur auf den Computern der Auftragsverarbeitenden gespeichert, wenn sie im Browser-Cache landen. Sensible personenbezogene Daten werden nur dann auf dem Computer zwischengespeichert, wenn die verantwortliche Stelle dies ausdrücklich erlaubt hat.

Unterauftragsverarbeitende, mit denen wir eine Vereinbarung zur Auftragsverarbeitung haben:

  • Traels.it, Jesgyden 9, 5260 Glamsberg, CVR 22001884: Hauptverantwortung für die technische Entwicklung der gesamten Evovia-Plattform und somit voller Zugriff.
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, CVR DE 812871812: Hosting von Daten
  • Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finnland, CVR 2720758-9: Hosting von Daten
  • Scannet, Højvangen 4, 8660 Skanderborg, Dänemark, CVR. 29412006: Hosting von Daten
  • Cloud Factory A/S, Vestergade 4, 6800 Varde, Dänemark, CVR-Nr. 35393692: Hosting von Daten
  • SMTP.dk, Refshalevej 163A, 1.tv., 1432 Kopenhagen K., Dänemark, CVR. 29849439: Verantwortung für den Versand von Automails von der Evovia-Plattform

Wie lange werden die Daten gespeichert?

Aus den FAQ zu den Personalakten in der Evovia-Plattform:

In der Regel immer 5 Jahre.

Personalakte – Daten ehemaliger Mitarbeitender
Für ehemalige Mitarbeitende: Wie lange sollten die Daten gespeichert bleiben?

Frage: 
Laut dem Datenverarbeitungsvertrag von Evovia wird ein:e Mitarbeiter:in 14 Tage nach der Löschung aus dem System des Kunden entfernt. Die eingegebenen Daten, Vereinbarungen und Bewertungen werden jedoch für 5 Jahre im Archiv der Führungskraft gespeichert. Ist diese Speicherdauer datenschutzrechtlich zulässig?

Antwort:
Ja, eine Speicherung von Dokumenten für bis zu 5 Jahre ist im deutschen Recht grundsätzlich zulässig, wenn ein berechtigtes Interesse besteht und die Mitarbeitenden transparent darüber informiert wurden. Das Archiv der Führungskraft ist ein nur für die jeweilige Führungskraft zugängliches Archiv und sollte als „erweiterte Funktion“ der Personalakte betrachtet werden.

Wer kann was sehen?

Im System ist für jede Dialogdokumentation (z. B. Mitarbeitergespräch, Zielvereinbarung) am Anfang klar definiert, wer welche Informationen sehen kann, damit volle Transparenz für Mitarbeitende und Führungskräfte gewährleistet ist.

Beispiel aus einem Mitarbeitergespräch:

  • Wer ist die Mitarbeiterin: Jørgine
  • Welchem Team gehört sie an: Verwaltung
  • Wer kann die Daten im Vorbereitungsbogen und im Protokoll sehen: Die direkte Führungskraft, Poul L. (bei einem Wechsel der Führungskraft kann die neue Führungskraft sensible Daten nur sehen, wenn die Mitarbeiterin diese aktiv zeigt).
  • Und Kasper M.: Es ist möglich, weiteren Personen Zugriff auf die Daten zu gewähren – aber nur, wenn die Mitarbeiterin sehen kann, wer Zugriff hat, und niemals rückwirkend.
  • Vereinbarungen sowie anonymisierte grafische Zusammenfassungen pro Team können von der obersten Leitung und – sofern relevant – von der Personalabteilung eingesehen werden. Der Grund dafür ist, dass Vereinbarungen die Organisation über die jeweilige Führungskraft hinaus binden. Jede neue Führungskraft kann Vereinbarungen einsehen, da sie über die einzelne Führungskraft hinaus für die Organisation verbindlich sind.

 

17. Privacy by Design und Privacy by Default

Frage:
Hat Evovia die Prinzipien Privacy by Design und Privacy by Default umgesetzt?

Antwort:
Ja, das haben wir.
Bei Evovia haben wir Datenschutzüberlegungen in unsere gesamte Plattform integriert. Wir haben starke technische Lösungen gewählt, die den Datenschutz gewährleisten – mit der grundlegenden Philosophie, einen sicheren Raum zu schaffen, in dem Mitarbeitende wissen, dass nur die zuständige Führungskraft auf die eingegebenen Informationen zugreifen kann.

Von Anfang an war es unser Ziel, ein vertrauliches Umfeld zwischen Führungskraft und Mitarbeitendem zu schaffen, sodass keine zusätzlichen Funktionen aktiviert werden müssen, um die Datensicherheit zu gewährleisten.
Zum Beispiel muss ein:e Nutzer:in dem Support-Team explizit die Erlaubnis erteilen, bevor das System ihnen Zugriff auf Elemente mit sensiblen Daten gewährt.

So funktioniert es in der Praxis:

Privacy by Design


Privacy by Default
Die gesamte Architektur von Evovia ist darauf ausgerichtet, Vertraulichkeit und den höchsten Schutz personenbezogener Daten zu gewährleisten.
Darüber hinaus werden personenbezogene Daten eines Nutzers nur so lange gespeichert, wie es zur Bereitstellung unseres Dienstes erforderlich ist.

Wer kann was sehen?
Im System enthalten alle Dialogdokumente oben die folgenden Angaben, sodass weder der Mitarbeitende noch die Führungskraft im Zweifel darüber ist, wer welche Informationen sehen kann, bevor sie eingegeben werden.

Beispiel aus einem Mitarbeitergespräch:

  • Wer ist die Mitarbeiterin: Jørgine
  • Welchem Team gehört sie an: Verwaltung
  • Wer kann die Daten im Vorbereitungsbogen und im Protokoll sehen: Die direkte Führungskraft, Poul L. (bei einem Wechsel der Führungskraft kann die neue Führungskraft sensible Daten nur sehen, wenn die Mitarbeiterin diese aktiv zeigt).
  • Und Kasper M.: Es ist möglich, weiteren Personen Zugriff auf die Daten zu gewähren – aber nur, wenn die Mitarbeiterin sehen kann, wer Zugriff hat, und niemals rückwirkend.
  • Vereinbarungen sowie anonymisierte grafische Zusammenfassungen pro Team können von der obersten Leitung und – sofern relevant – von der Personalabteilung eingesehen werden. Der Grund dafür ist, dass Vereinbarungen die Organisation über die jeweilige Führungskraft hinaus binden. Jede neue Führungskraft kann Vereinbarungen einsehen, da sie über die einzelne Führungskraft hinaus für die Organisation verbindlich sind.
18. Recht Anweisungen abzulehnen oder anzunehmen

Frage:
Was bedeutet es, wenn in Punkt 3.2 steht, dass ihr frei entscheiden könnt, eine Anweisung des Verantwortlichen anzunehmen oder abzulehnen?

Antwort:
Es folgt aus der Datenschutz-Grundverordnung, dass der Auftragsverarbeiter personenbezogene Daten nur nach den Weisungen des Verantwortlichen verarbeiten darf. Es sollte dabei selbstverständlich vorausgesetzt werden, dass der Auftragsverarbeiter die Bedingungen einer solchen Weisung akzeptieren kann. Die Ergänzung „die vom Auftragsverarbeiter akzeptiert wurde“ sowie die Bestimmungen in 2.3 präzisieren lediglich, dass der Auftragsverarbeiter nur solche Weisungsbefugnisse befolgen soll, über die zwischen den Parteien Einigkeit erzielt wurde. Dies dient dazu, zu verhindern, dass der Auftragsverarbeiter künftig mit neuen Weisungen konfrontiert oder für diese verantwortlich gemacht wird, sofern diese Weisungen nicht zuvor vom Auftragsverarbeiter akzeptiert wurden. Der Auftragsverarbeiter ist daher berechtigt, zusätzliche Weisungen abzulehnen.

19. Prüfungserklärung - Warum ISAE 3000?

Frage:
Warum ISAE 3000?

Antwort:

Evovia hat sich gemeinsam mit BDO für ISAE 3000 entschieden, da dies der beste und umfassendste europäische Standard für unser Tätigkeitsfeld ist. Die jeweils aktuellste Version der Erklärung können unsere Kunden in ihrem Profil einsehen; sie wird jährlich aktualisiert.

Der wesentliche Unterschied zwischen einer ISAE 3000-Erklärung und anderen ähnlichen Standards wie ISAE 3402 liegt darin, dass ISAE 3402 dann Anwendung findet, wenn sich die Erklärung und die darin enthaltenen Kontrollen auf die Finanzberichterstattung beziehen. Wenn Evovia z. B. ein Produkt wie Axapta bereitstellen würde, müssten die Erklärungen von den Wirtschaftsprüfern unserer Kunden für deren Jahresabschlüsse genutzt werden. In diesem Fall wäre eine ISAE 3402-Erklärung erforderlich.

ISAE 3000 kann dagegen für alle Bereiche genutzt werden, die nicht die Finanzberichterstattung betreffen, z. B. für Berichte über Kontrollen im Umgang mit personenbezogenen Daten, wie sie BDO bei uns durchgeführt hat. Generell kann ISAE 3000 für alles eingesetzt werden, das keine Finanzinformationen betrifft, z. B. Service-Desk-Systeme, Portale etc.

Dabei gibt es jedoch Überschneidungen bei den Kontrollen. Bereich B unserer Erklärung betrifft allgemeine IT-Kontrollen, die häufig auch in einer ISAE 3402-Erklärung enthalten wären. Eine ISAE 3402-Erklärung umfasst in der Regel noch mehr IT-Kontrollen, enthält jedoch nichts zum Thema personenbezogene Daten.

Welche Art von Erklärung erforderlich ist, hängt also von der Art der Dienstleistung ab. Wenn unsere Kunden wissen wollen, ob Evovia die Vereinbarungen zur Auftragsverarbeitung einhält und ihre personenbezogenen Daten schützt, ist ISAE 3000 die richtige Wahl. Wenn wir jedoch z. B. ein Rechenzentrum betreiben oder direkt die IT-Systeme unserer Kunden verwalten würden, wäre ISAE 3402 vermutlich passender.

Deshalb haben wir uns für ISAE 3000 entschieden.

20. Risikobewertung - als Grundlage für das Sicherheitsniveau

Frage:
Auf welcher Risikobewertung basiert das Sicherheitsniveau im System? Und wurde dabei berücksichtigt, dass das System möglicherweise Gesundheitsdaten enthalten könnte?

Antwort:
In die Risikobewertung wurde eine Einschätzung der Risikofaktoren einbezogen: Welche Schwachstellen im System bestehen können und wie diese Bedrohungslage zu einem Ereignis führen könnte, das als Verletzung des Schutzes personenbezogener Daten im Sinne der Datenschutz-Grundverordnung Art. 4 (12) einzustufen ist. Die Wahrscheinlichkeit und Schwere eines solchen Verstoßes wird anschließend bewertet, um das gesamte Risikoprofil zu bestimmen.

Evovia hat klare Anweisungen an die Nutzer gegeben, dass es nicht erforderlich ist, Gesundheitsdaten in unser System einzugeben. Evovia ist kein Patientendatensystem, sondern dient vielmehr einer qualitativ hochwertigen Kommunikation darüber, was Abwesenheiten verursacht und reduziert. Es ist ein Dialogsystem.

21. Einwilligung für die Erhebung anonymer grafischer Daten

Frage:
Müssen Mitarbeitende ihre Einwilligung geben, damit anonyme grafische Daten erhoben werden können?

Antwort:
Nein, dafür ist keine Einwilligung erforderlich.

Die kurzfristige Verarbeitung der personenbezogenen Rohdaten vor der Anonymisierung erfolgt auf Grundlage des berechtigten Interesses des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO), etwa zur Verbesserung der Arbeitsbedingungen oder zur Personalentwicklung.

Nach erfolgter Anonymisierung fallen die aggregierten Ergebnisse (z. B. grafische Auswertungen) nicht mehr unter die DSGVO, da eine Identifizierung einzelner Personen ausgeschlossen ist.

22. Wechsel des Unterauftragsverarbeiters - Lieferverpflichtung in der Ankündigungsfrist

Frage:
In 6.3. schließt ihr die Haftung für die Nichterfüllung der Lieferverpflichtung während der Ankündigungsfrist bei einem Wechsel des Unterauftragsverarbeiters aus. Was bedeutet das für uns als Verantwortliche?

Antwort:
Das ist eine bewusste kommerzielle Entscheidung im Hinblick auf die Regelungen in Punkt 6.3. Evovia hat sich, auch unter Berücksichtigung neuerer Praxis, dazu entschieden, diesen Abschnitt aufzunehmen.

Wir behalten uns vor, weiterhin Zahlungen einzufordern, wenn besondere Umstände – wie etwa neue gesetzliche Vorgaben, geänderte Praxis oder sogar die Insolvenz eines Unterauftragsverarbeiters – unsere Leistungserbringung in der Ankündigungsfrist unmöglich machen.

In solchen Ausnahmesituationen bitten wir dich um Verständnis, dass wir für eine vorübergehende Einschränkung unserer Leistungserbringung nicht haften können.

Wichtig: Das schränkt dein Recht, die Vereinbarung nach den üblichen Bedingungen gemäß Punkt 6.5 zu kündigen, nicht ein.

Wir möchten betonen, dass es sich hierbei um absolute Ausnahmefälle handelt und wir uns stets bemühen, unsere Leistungen wie vereinbart zu erbringen.

23. Verhängung von Bußgeldern - Haftungsbegrenzung?

Frage:
Wenn die Aufsichtsbehörde bei der Verhängung eines Bußgelds eine Verantwortungsverteilung zwischen uns und dem Auftragsverarbeiter festlegt, gilt diese automatisch auch für unsere interne Haftungsverteilung, oder können wir vertraglich eine abweichende Regelung treffen?

Antwort:
Wird gegen eine der Parteien ein Bußgeld nach Art. 83 DSGVO verhängt, haften die Parteien im Verhältnis ihrer tatsächlichen Verantwortlichkeit gemäß Art. 82 DSGVO.

Abweichende Regelungen zur internen Haftungsverteilung können im Vertrag vereinbart werden, soweit diese gesetzlich zulässig sind.
Die behördlich festgelegte Haftungsverteilung wird dabei grundsätzlich zugrunde gelegt, es sei denn, eine abweichende gerichtliche Entscheidung trifft eine andere Zuweisung.

24. CVR-/USt-Nummern von Unterauftragsverarbeitern

Einige haben nach den Registrierungsnummern der Unterauftragsverarbeiter gefragt:

  • Traels.it: CVR 22001884

  • Hetzner: USt-IdNr.: DE812871812

25. Unterauftragsverarbeiter‑Vereinbarungen - Können Kunden diese einsehen?

Frage:
Ist es möglich, die Vereinbarungen mit den Unterauftragsverarbeitern einzusehen?

Svar:
Nein, du hast keinen Zugriff auf die Verträge zwischen uns als Auftragsverarbeiter und unseren Unterauftragsverarbeitern.
Evovia lässt jedoch jährlich spätestens bis Ende Mai eine ISAE‑3000‑Prüfbescheinigung erstellen. Diese wird auf der Kundenplattform zur Verfügung gestellt und kann von allen Kunden eingesehen werden.

Physische Unterzeichnung der Auftragsverarbeitungsvereinbarung?


Spørgsmål:
Skal der foreligge en fysisk underskrift af Databehandleraftalen?

Svar:

  • Nej, det er ikke nødvendigt.
  • Vi kan dokumentere, hvem I virksomheden der har accepteret – og hvornår.
  • Det er nok.
  • Men i samme øjeblik en kunde har accepteret Databehandleraftalen i vores system, modtager du en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift samt stempel fra Evovias direktion.
  • Se også: Godkendelse af Databehandleraftalen
Vederlag for bistand eller tilsyn/revision

I skriver nogle steder, at I kan kræve ekstra vederlag – fx i forbindelse med tilsyn/revision. Hvad kan det fx være?

For alt som handler om vores bistand til den dataansvarliges forpligtelser efter databeskyttelsesforordningen art. 33-34 – kan ikke kræves honorar.

For andet kan der – fx hvis vi skal hjælpe on location o.l.

Med hensyn til tilsyn/revision bruger vi hvert år et 6-cifret beløb på at få BDO til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000 erklæring. Erklæringen er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019.

Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Evovias direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l.

Ændring af databehandlervilkår


Spørgsmål:
Hvorfor står der i jeres databehandleraftale, at Evovia kan ændre dadtabehandlervilkårerne? Vi mener, at det som udgangspunkt er os som dataansvarlige, der er ansvarlig for databehandleraftalens indhold og dermed også ændringer.

Svar:

Der er tale om levering af en standardydelse på standardvilkår. Derfor kan vi ikke tage hensyn til den enkelte kundes ønsker og behov, medmindre kunden er villig til at betale for det. Hertil skal det understreges, at vi ikke har en interesse i at foretage ændringer, som vores kunder har svært ved at acceptere. Derfor vil sådanne ændringer alene blive foretaget, hvis der ligger tungtvejende grund til at foretage ændringen. Såfremt I som kunde ikke kan acceptere en evt. ændring, har I mulighed for at opsige aftalen efter bestemmelsernes 14.4.