Inhalt
2. Präambel  
3. Rechte und Pflichten des Verantwortlichen
4. Der Auftragsverarbeiter handelt weisungsgebunden 
5. Vertraulichkeit
6. Sicherheit der Verarbeitung
7. Einsatz von Unterauftragsverarbeitern 
8. Übermittlung an Drittländer oder internationale Organisationen
9. Unterstützung des Verantwortlichen
10. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
11. Löschung und Rückgabe von Daten
12. Überprüfung und Inspektion
13. Vereinbarung der Parteien über andere Angelegenheiten
14. Inkrafttreten und Beendigung
15. Kontaktpersonen/Kontaktstellen des Verantwortlichen und des Auftragsverarbeiters
Anhang A - Informationen zur Verarbeitung
Anhang B - Genehmigte Unterauftragsverarbeiter
Anhang C - Weisung zur Verwendung personenbezogener Daten
Anhang D - Regelung der Parteien zu anderen Angelegenheiten im Zusammenhang mit dem Auftragsverarbeitungsvertrag
Anhang E - Auftragsverarbeiterkette

2. Präambel

1. Diese Bestimmungen legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn er personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
   
2. Diese Bestimmungen wurden ausgestaltet, um die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen.
3. Im Zusammenhang mit der Bereitstellung des Evovia-Cloud-Dienstes verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Bestimmungen.
   
4. Die Bestimmungen haben Vorrang vor etwaigen entsprechenden Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
   
5. Diesen Bestimmungen sind fünf Anhänge beigefügt; die Anhänge bilden einen integrierten Bestandteil der Bestimmungen.
6. Anhang A enthält nähere Informationen über die Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien betroffener Personen und der Dauer der Verarbeitung. 
7. Anhang B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter.
8. Anhang C enthält die Weisungen des Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, eine Beschreibung der Sicherheitsmaßnahmen, die der Auftragsverarbeiter mindestens umsetzen muss, sowie die Art und Weise, wie die Überwachung des Auftragsverarbeiters und etwaiger Unterauftragsverarbeiter durchzuführen ist.
   
9. Anhang D enthält Bestimmungen zu anderen Tätigkeiten, die nicht von den Bestimmungen erfasst sind.
10. Anhang E enthält eine Beschreibung der Auftragsverarbeiterkette.
11. Die Bestimmungen mit den dazugehörigen Anhängen sind von beiden Parteien schriftlich, einschließlich elektronisch, aufzubewahren.
12. Diese Bestimmungen entbinden den Auftragsverarbeiter nicht von Verpflichtungen, die ihm nach der Datenschutz-Grundverordnung oder anderen Rechtsvorschriften obliegen.
    

3. Rechte und Pflichten des Verantwortlichen

1. Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (siehe Artikel 24 der Verordnung), den Datenschutzbestimmungen des sonstigen EU-Rechts oder dem nationalen Recht der Mitgliedstaaten sowie diesen Bestimmungen erfolgt.*
   
2. Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden.
   
3. 3.    Der Verantwortliche ist unter anderem dafür verantwortlich, sicherzustellen, dass für die Verarbeitung personenbezogener Daten, zu deren Durchführung der Auftragsverarbeiter angewiesen wird, eine Rechtsgrundlage besteht.
   

*Bezugnahmen auf „Mitgliedstaat“ in diesen Bestimmungen sind als Bezugnahmen auf EWR-Mitgliedstaaten zu verstehen.

 

4. Der Auftragsverarbeiter handelt weisungsgebunden

1. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht nach Unionsrecht oder nach dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu einer Verarbeitung verpflichtet ist. Diese Weisung muss in den Anhängen A und C festgelegt sein. Weitere Weisungen können vom Verantwortlichen auch erteilt werden, während personenbezogene Daten verarbeitet werden; die Weisungen sind jedoch stets schriftlich, einschließlich elektronisch, zusammen mit diesen Bestimmungen zu dokumentieren und aufzubewahren.
   
2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen diese Verordnung oder gegen Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten verstößt.

 

5. Vertraulichkeit

1. Der Auftragsverarbeiter darf personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur solchen Personen zugänglich machen, die der Weisungsbefugnis des Auftragsverarbeiters unterliegen, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und nur in dem erforderlichen Umfang. Die Liste der Personen, denen Zugang gewährt wurde, ist laufend zu überprüfen. Aufgrund dieser Überprüfung kann der Zugang zu personenbezogenen Daten gesperrt werden, wenn der Zugang nicht mehr erforderlich ist; die personenbezogenen Daten dürfen diesen Personen dann nicht mehr zugänglich sein.
2. Auf Verlangen des Verantwortlichen muss der Auftragsverarbeiter nachweisen können, dass die betreffenden Personen, die der Weisungsbefugnis des Auftragsverarbeiters unterliegen, der oben genannten Verschwiegenheitspflicht unterliegen.
   

 

6. Sicherheit der Verarbeitung

1. Artikel 32 der Datenschutz-Grundverordnung bestimmt, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
   
   DDer Verantwortliche muss die Risiken beurteilen, die die Verarbeitung für die Rechte und Freiheiten natürlicher Personen mit sich bringt, und Maßnahmen ergreifen, um diesen Risiken zu begegnen. Je nach Relevanz kann dies Folgendes umfassen:
   
   
   1. Pseudonymisierung und Verschlüsselung personenbezogener Daten 
   2. die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
      
   3. die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen 
      
   4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
   
   
   
2. Gemäß Artikel 32 der Verordnung muss der Auftragsverarbeiter – unabhängig vom Verantwortlichen – ebenfalls die Risiken beurteilen, die die Verarbeitung für die Rechte natürlicher Personen mit sich bringt, und Maßnahmen ergreifen, um diesen Risiken zu begegnen. Zu diesem Zweck muss der Verantwortliche dem Auftragsverarbeiter die Informationen zur Verfügung stellen, die erforderlich sind, damit dieser solche Risiken erkennen und beurteilen kann.
3. Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Pflichten des Verantwortlichen nach Artikel 32 der Verordnung, indem er dem Verantwortlichen unter anderem die erforderlichen Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung stellt, die der Auftragsverarbeiter bereits nach Artikel 32 der Verordnung umgesetzt hat, sowie alle sonstigen Informationen, die der Verantwortliche zur Erfüllung seiner Pflichten nach Artikel 32 der Verordnung benötigt.
   
   Wenn die Eindämmung der identifizierten Risiken nach Einschätzung des Verantwortlichen die Umsetzung weiterer Maßnahmen erfordert, die über die vom Auftragsverarbeiter bereits umgesetzten Maßnahmen hinausgehen, muss der Verantwortliche die zusätzlich umzusetzenden Maßnahmen in Anhang C angeben.

 

7. Einsatz von Unterauftragsverarbeitern

1. Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und Artikel 28 Absatz 4 der Datenschutz-Grundverordnung genannten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) einzusetzen.
   
2. Dementsprechend darf der Auftragsverarbeiter zur Erfüllung dieser Bestimmungen keinen Unterauftragsverarbeiter ohne vorherige allgemeine schriftliche Genehmigung des Verantwortlichen einsetzen.
   
3. Der Auftragsverarbeiter verfügt über eine allgemeine Genehmigung des Verantwortlichen zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter hat den Verantwortlichen über jede geplante Änderung hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 60 Tage im Voraus schriftlich zu informieren und dem Verantwortlichen damit Gelegenheit zu geben, solchen Änderungen vor dem Einsatz des betreffenden Unterauftragsverarbeiters bzw. der betreffenden Unterauftragsverarbeiter zu widersprechen. Längere Ankündigungsfristen für bestimmte Verarbeitungstätigkeiten können in Anhang B angegeben werden. Die Liste der Unterauftragsverarbeiter, die der Verantwortliche bereits genehmigt hat, ist in Anhang B enthalten.
   
4. Nimmt der Auftragsverarbeiter für bestimmte Verarbeitungstätigkeiten im Auftrag des Verantwortlichen einen Unterauftragsverarbeiter in Anspruch, so hat der Auftragsverarbeiter dem Unterauftragsverarbeiter durch Vertrag oder ein anderes Rechtsinstrument nach Unionsrecht oder dem nationalen Recht der Mitgliedstaaten dieselben Datenschutzpflichten aufzuerlegen, wie sie in diesen Bestimmungen festgelegt sind, insbesondere indem er hinreichende Garantien dafür bietet, dass der Unterauftragsverarbeiter die technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen dieser Bestimmungen und der Datenschutz-Grundverordnung entspricht. Der Auftragsverarbeiter ist daher dafür verantwortlich, sicherzustellen, dass der Unterauftragsverarbeiter mindestens die Pflichten des Auftragsverarbeiters nach diesen Bestimmungen und der Datenschutz-Grundverordnung einhält.
5. Kopien des Unterauftragsverarbeitervertrags bzw. der Unterauftragsverarbeiterverträge und aller späteren Änderungen dazu sind dem Verantwortlichen auf dessen Verlangen zur Verfügung zu stellen, damit der Verantwortliche sich vergewissern kann, dass dem Unterauftragsverarbeiter Datenschutzpflichten auferlegt sind, die den in diesen Bestimmungen festgelegten Pflichten entsprechen. Bestimmungen über kommerzielle Bedingungen, die den datenschutzrechtlichen Inhalt des Unterauftragsverarbeitervertrags nicht berühren, müssen dem Verantwortlichen nicht zur Verfügung gestellt werden.
6. Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters verantwortlich. Dies berührt nicht die Rechte betroffener Personen nach der Datenschutz-Grundverordnung, insbesondere nach deren Artikeln 79 und 82, gegenüber dem Verantwortlichen und dem Auftragsverarbeiter einschließlich des Unterauftragsverarbeiters.

 

8. Übermittlung an Drittländer oder internationale Organisationen

1. Eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf durch den Auftragsverarbeiter nur auf der Grundlage einer dokumentierten Weisung des Verantwortlichen erfolgen und muss stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung stehen.
2. Ist eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, zu deren Durchführung der Auftragsverarbeiter nicht vom Verantwortlichen angewiesen wurde, nach Unionsrecht oder dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich, muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das betreffende Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
3. Ohne dokumentierte Weisung des Verantwortlichen darf der Auftragsverarbeiter daher im Rahmen dieser Bestimmungen nicht:
   
   • personenbezogene Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder an eine internationale Organisation übermitteln 
   • die Verarbeitung personenbezogener Daten einem Unterauftragsverarbeiter in einem Drittland übertragen 
   • die personenbezogenen Daten in einem Drittland verarbeiten
     
4. Die Weisungen des Verantwortlichen in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, einschließlich einer etwaigen Übermittlungsgrundlage nach Kapitel V der Datenschutz-Grundverordnung, auf der die Übermittlung beruht, sind in Anhang C.6 festzulegen.
   
5. Diese Bestimmungen dürfen nicht mit Standardvertragsklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d der Datenschutz-Grundverordnung verwechselt werden; sie können keine Grundlage für Übermittlungen personenbezogener Daten im Sinne von Kapitel V der Datenschutz-Grundverordnung bilden.
   

 

9. Unterstützung des Verantwortlichen

1. 1.    Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anträge auf Wahrnehmung der Rechte betroffener Personen gemäß Kapitel III der Datenschutz-Grundverordnung zu beantworten.
   
   Das bedeutet, dass der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit bei der Sicherstellung der Einhaltung folgender Pflichten unterstützen muss:
   
   1. der Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen
   2. der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
      
   3. des Auskunftsrechts
      
   4. des Rechts auf Berichtigung
      
   5. des Rechts auf Löschung („Recht auf Vergessenwerden“)
      
   6. des Rechts auf Einschränkung der Verarbeitung
      
   7. der Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
      
   8. des Rechts auf Datenübertragbarkeit 
   9. des Widerspruchsrechts 
   10. des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden
2. Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den Verantwortlichen gemäß Bestimmung 6.3 zu unterstützen, unterstützt der Auftragsverarbeiter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen ferner bei:
   
   1. der Pflicht des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde (Datatilsynet), zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt
   2. der Pflicht des Verantwortlichen, die betroffene Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat
   3. der Pflicht des Verantwortlichen, vor der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten vorzunehmen (eine Datenschutz-Folgenabschätzung)
   4. Pflicht des Verantwortlichen, die zuständige Aufsichtsbehörde, die dänische Datenschutzbehörde (Datatilsynet), vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ohne Maßnahmen des Verantwortlichen zur Risikobegrenzung ein hohes Risiko zur Folge hätte
3. In Anhang C haben die Parteien die erforderlichen technischen und organisatorischen Maßnahmen festzulegen, mit denen der Auftragsverarbeiter den Verantwortlichen unterstützen muss, sowie den Umfang dieser Unterstützung. Dies gilt für die Pflichten nach den Bestimmungen 9.1 und 9.2.
   

 

10. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

1. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu benachrichtigen, nachdem ihm bekannt geworden ist, dass eine Verletzung des Schutzes personenbezogener Daten eingetreten ist.
2. Die Benachrichtigung des Auftragsverarbeiters an den Verantwortlichen soll, soweit möglich, spätestens 24 Stunden nach Bekanntwerden der Verletzung beim Auftragsverarbeiter erfolgen, damit der Verantwortliche seiner Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemäß Artikel 33 der Datenschutz-Grundverordnung nachkommen kann.
3. Gemäß Bestimmung 9.2 Buchstabe a unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Meldung der Verletzung an die zuständige Aufsichtsbehörde. Das bedeutet, dass der Auftragsverarbeiter dabei unterstützt, die nachstehenden Informationen zu beschaffen, die gemäß Artikel 33 Absatz 3 in der Meldung des Verantwortlichen an die zuständige Aufsichtsbehörde enthalten sein müssen:
   
   1. die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
      
   2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
      
   3. de die Maßnahmen, die der Verantwortliche ergriffen hat oder vorschlägt, um der Verletzung des Schutzes personenbezogener Daten zu begegnen, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
      
4. In Anhang C haben die Parteien die Informationen festzulegen, die der Auftragsverarbeiter im Zusammenhang mit seiner Unterstützung des Verantwortlichen bei dessen Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zur Verfügung stellen muss.
   

 

11. Löschung und Rückgabe von Daten

1. Bei Beendigung der Dienstleistungen im Zusammenhang mit der Verarbeitung personenbezogener Daten ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, zu löschen und dem Verantwortlichen zu bestätigen, dass die Daten gelöscht wurden, sofern nicht das Unionsrecht oder das nationale Recht der Mitgliedstaaten eine Speicherung der personenbezogenen Daten vorschreibt.
   
2. Soweit nach Beendigung der Dienstleistungen gesetzliche Aufbewahrungspflichten nach dem Recht der Europäischen Union oder dem anwendbaren nationalen Recht bestehen, sind die betreffenden personenbezogenen Daten entsprechend aufzubewahren.
   
   1. Das System muss in der Lage sein, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format sowie mit einem für die jeweilige Aufbewahrung und Archivierung erforderlichen Detaillierungsgrad bereitzustellen.
      
3. Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten ausschließlich zu dem bzw. den durch diese Vorschriften festgelegten Zweck(en), während des darin vorgesehenen Zeitraums und unter den dort festgelegten Bedingungen zu verarbeiten. 

 

12. Überprüfung und Inspektion

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieser Bestimmungen erforderlich sind, und ermöglicht und unterstützt Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm ermächtigten Prüfer durchgeführt werden.
2. Die Verfahren für die Audits des Verantwortlichen, einschließlich Inspektionen, beim Auftragsverarbeiter und bei Unterauftragsverarbeitern sind in den Anhängen C.7 und C.8 näher beschrieben.
   
3. Der Auftragsverarbeiter ist verpflichtet, Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Einrichtungen des Verantwortlichen oder des Auftragsverarbeiters haben, oder Vertretern, die im Namen der Aufsichtsbehörde handeln, gegen ordnungsgemäßen Nachweis Zutritt zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.

 

13. Vereinbarung der Parteien über andere Angelegenheiten

1. Die Parteien können andere Bestimmungen in Bezug auf die Dienstleistung zur Verarbeitung personenbezogener Daten vereinbaren, etwa zur Haftung, sofern diese anderen Bestimmungen nicht unmittelbar oder mittelbar im Widerspruch zu den Bestimmungen stehen oder die sich aus der Datenschutz-Grundverordnung ergebenden Grundrechte und Grundfreiheiten der betroffenen Person beeinträchtigen. Solche Vereinbarungen sind in Anhang D niedergelegt.
   

 

14. Inkrafttreten und Beendigung

1. Die Bestimmungen treten mit dem Datum der Unterzeichnung durch beide Parteien oder einem anderweitigen Beitritt beider Parteien in Kraft.
2. Beide Parteien können verlangen, dass die Bestimmungen neu verhandelt werden, wenn Gesetzesänderungen oder Unzulänglichkeiten der Bestimmungen hierzu Anlass geben.
   
3. Die Bestimmungen gelten für die Dauer der Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten. Während dieses Zeitraums können die Bestimmungen nicht gekündigt werden, es sei denn, die Parteien haben andere Bestimmungen vereinbart, die die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten regeln.
4. Wird die Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gemäß Bestimmung 11.1 und Anhang C.4 gelöscht oder an den Verantwortlichen zurückgegeben, können die Bestimmungen von jeder Partei schriftlich gekündigt werden.

 

15. Kontaktpersonen/Kontaktstellen des Verantwortlichen und des Auftragsverarbeiters

1. Die Parteien sind verpflichtet, sich laufend über Änderungen der Kontaktpersonen/Kontaktstellen zu informieren.
2. Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten können per E-Mail an die im Hauptvertrag (Abonnement- und Geschäftsbedingungen) angegebene Kontaktadresse des Verantwortlichen gesendet werden. Der Auftragsverarbeiter hat unverzüglich, nachdem ihm bekannt geworden ist, dass eine Verletzung des Schutzes personenbezogener Daten eingetreten ist, angemessene und verhältnismäßige Maßnahmen zur Begrenzung des durch die Verletzung verursachten Schadens zu ergreifen.

Ansprechpartner beim Verantwortlichen ist die Person, die die Auftragsverarbeitungsvereinbarung unterzeichnet hat.

Die Kontaktperson des Verantwortlichen ist auf dessen Seite innerhalb Evovias Leadership-Plattform angegeben. Evovia stellt darüber hinaus sicher, dass im Falle eines Ausfalls der Evovia-Plattform eine alternative Übersicht der Kontaktpersonen verfügbar ist.

Kontaktperson des Auftragsverarbeiters:

Name: Jørgen Skovhus Haunstrup
Titel: Datenschutzbeauftragter und CEO
Telefonnummer: 21337535 & 86751242
E-mail: gdpr@evovia.com

 

Anhang A - Informationen zur Verarbeitung

A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen

Evovia ist eine digitale Leadership-Plattform, die als Cloud-Dienst (SaaS) angeboten wird.

Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist es, dem Verantwortlichen zu ermöglichen, die Tools der Evovia-Plattform für Führung, Mitarbeiterentwicklung, Arbeitsumfeld und Organisationsentwicklung gemäß dem Hauptvertrag (Abonnement- und Geschäftsbedingungen) zu nutzen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Rahmen der Nutzung der Plattform durch den Verantwortlichen sowie im Zusammenhang mit der Unterstützung von Verantwortlichen.

Die Verarbeitung erfolgt, um die vom Verantwortlichen genutzten Funktionen und Dienste zu ermöglichen, einschließlich, jedoch nicht beschränkt auf:

• Verwaltung von Benutzern und Zugangsrechten
• Verarbeitung von Daten, die von Benutzern im Zusammenhang mit Führungs-, Wohlbefindens- und Entwicklungsaktivitäten eingegeben werden
• Speicherung, Anzeige und Berichterstattung von Informationen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur in dem Umfang, der erforderlich ist, um den Zweck des Dienstes und die sich aus dem Hauptvertrag (Abonnement- und Geschäftsbedingungen) und diesem Auftragsverarbeitungsvertrag ergebenden Verpflichtungen zu erfüllen.

 

A.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen betrifft im Wesentlichen (Art der Verarbeitung)

Wenn der Auftragsverarbeiter dem Verantwortlichen den Evovia-Cloud-Dienst bereitstellt, werden personenbezogene Daten in Übereinstimmung mit den Zwecken verarbeitet, die erforderlich sind, um die im Hauptvertrag (Abonnement- und Geschäftsbedingungen) festgelegten Leistungen zu erbringen, einschließlich Speicherung, Erhebung, Erfassung, Systematisierung, Zusammenführung, Löschung, Archivierung usw.

Darüber hinaus umfasst dies weitere personenbezogene Daten, die Mitarbeitende und deren Führungskräfte selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Punktestände, Kommentare zu Absprachen und Aktionsplänen mit Fristen im Zusammenhang mit Mitarbeitergesprächen, Feedback-, Entwicklungs- und Arbeitsumfeldprozessen. Da hier Freitextfelder verwendet werden können, kann die Art der Informationen sensibel sein. In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter, die Sicherheitsanforderungen bei der Verarbeitung etwaiger sensibler Informationen einzuhalten, wie in C.2 näher beschrieben.

 

A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten über die betroffenen Personen

Die anvertrauten Verarbeitungstätigkeiten umfassen die Arten von Informationen, die der Verantwortliche in den Evovia-Cloud-Dienst eingibt und hochlädt.

PERSONENBEZOGENE DATEN	Benutzer
Gewöhnliche personenbezogene Daten (Art. 6)	☒ Name ☐ Adresse ☒ E-Mail ☐ Telefonnummer ☒ Geburtsdatum ☒ Mitarbeiter-ID ☐ Bilder ☒ Sonstige gewöhnliche personenbezogene Daten: Es besteht die Möglichkeit, das Geschlecht einzugeben
Besondere Kategorien personenbezogener Daten (Art. 9)	☐ Rassische oder ethnische Herkunft ☐ Politische, religiöse oder philosophische Überzeugungen ☐ Gewerkschaftszugehörigkeit ☐ Genetische Daten ☐ Biometrische Daten ☒ Gesundheitsdaten ☐ Sexualleben oder sexuelle Orientierung
Strafrechtliche Verurteilungen und Straftaten (§ 10)	☐ Strafrechtliche Verurteilungen und Straftaten
Sonstige vertrauliche personenbezogene Daten	☐ Wesentliche soziale Verhältnisse ☐ Wesentliche wirtschaftliche Verhältnisse ☐ Bankangaben ☐ Bewerbungen und Lebensläufe  ☒ Sonstige vertrauliche Informationen: weitere personenbezogene Daten, die der Mitarbeiter und dessen Führungskraft selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Bewertungen, Kommentare zu Absprachen und Aktionsplänen mit Fristen im Zusammenhang mit Mitarbeitergesprächen, Feedback-, Entwicklungs- und Arbeitsumfeldprozessen.

 

A.4. Die Verarbeitung umfasst die folgenden Kategorien betroffener Personen

Zu den betroffenen Personen gehören die Kategorien, die der Verantwortliche in seine Nutzung von Evovia einbezieht, insbesondere die Mitarbeiter des Verantwortlichen.

Wenn der Verantwortliche das Evovia-Tool „360-Grad-Feedback“ nutzt, das beispielsweise auch Beiträge externer Interessengruppen umfassen kann, gehören zu den Kategorien betroffener Personen auch diese externen Interessengruppen. Dasselbe gilt, wenn der Verantwortliche eine Team-Dialog-Gruppe nutzen möchte, die eine oder mehrere externe Interessengruppen einschließt.

Im Übrigen wird auf A.3 verwiesen.

 

A.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann nach Inkrafttreten dieser Bestimmungen beginnen. Die Verarbeitung hat folgende Dauer:

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen so lange, wie Evovia nach dem Hauptvertrag (Abonnement- und Geschäftsbedingungen) zur Durchführung von Verarbeitungstätigkeiten verpflichtet ist, sowie für einen anschließenden Zeitraum, bis der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen gemäß seiner Backup-Verfahren löscht.

Evovia erstellt Backups der Kundendaten auf zwei unabhängigen Datenservern. Tägliche Backups werden erstellt und einen Monat lang aufbewahrt; monatliche Backups werden drei Monate lang aufbewahrt. Eine Beschreibung der Aufbewahrungsdauer / Löschroutine findet sich in Anhang C.4.

 

Anhang B - Genehmigte Unterauftragsverarbeiter

B.1. Genehmigte Unterauftragsverarbeiter

Bei Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der folgenden Unterauftragsverarbeiter genehmigt: siehe Anhang E.

Bei Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der in Anhang E genannten Unterauftragsverarbeiter für die beschriebene Verarbeitungstätigkeit genehmigt. Ohne Einhaltung des vereinbarten Verfahrens für den Austausch von Unterauftragsverarbeitern darf der Auftragsverarbeiter einen Unterauftragsverarbeiter weder für eine andere als die beschriebene und vereinbarte Verarbeitungstätigkeit einsetzen noch für diese Verarbeitungstätigkeit einen anderen Unterauftragsverarbeiter nutzen.

B.2. Ankündigungsfrist für Einwände bei Wechsel von Unterauftragsverarbeitern

Siehe Bestimmung 7.3.

 

Anhang C - Weisung zur Verwendung personenbezogener Daten

C.1. Gegenstand der Verarbeitung / Weisung

Die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgt dadurch, dass der Auftragsverarbeiter Folgendes ausführt:

Wenn der Auftragsverarbeiter dem Verantwortlichen den Evovia-Cloud-Dienst bereitstellt, werden personenbezogene Daten in Übereinstimmung mit den in A.1 beschriebenen und hierfür erforderlichen Zwecken verarbeitet, um die im Hauptvertrag (Abonnement- und Geschäftsbedingungen) festgelegten Leistungen zu erbringen, einschließlich Speicherung, Erhebung, Erfassung, Systematisierung, Zusammenführung, Löschung und Archivierung.

Darüber hinaus umfasst dies weitere personenbezogene Daten, die Mitarbeitende und deren Führungskräfte selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Punktestände, Kommentare zu Absprachen und Aktionsplänen mit Fristen im Zusammenhang mit Mitarbeitergesprächen, Feedback-, Entwicklungs- und Arbeitsumfeldprozessen. Da hier Freitextfelder verwendet werden können, kann die Art der Informationen sensibel sein. In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter, die Sicherheitsanforderungen bei der Verarbeitung etwaiger sensibler Informationen einzuhalten, wie in C.2 näher beschrieben.

 

C.2. Sicherheit der Verarbeitung

Das Sicherheitsniveau muss dem Umfang und der Art der Verarbeitung entsprechen.

Der Auftragsverarbeiter ergreift und implementiert geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das den mit den vom Auftragsverarbeiter für den Verantwortlichen durchgeführten Verarbeitungstätigkeiten verbundenen Risiken angemessen ist.

Die technischen und organisatorischen Maßnahmen werden unter Berücksichtigung des aktuellen Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen festgelegt.

Bei der Beurteilung, welches Sicherheitsniveau angemessen ist, sind insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen, insbesondere die versehentliche oder unrechtmäßige Vernichtung, der Verlust, die Veränderung sowie die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.

 

Sikkerhedsniveau:

Auf der Grundlage der oben beschriebenen Informationen über die Verarbeitung und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird folgendes Sicherheitsniveau festgelegt:

Vereinbartes Sicherheitsniveau

Grundlegend

Erheblich

Hoch

 

Der Auftragsverarbeiter ist danach berechtigt und verpflichtet zu entscheiden, welche technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen sind, um das erforderliche (und vereinbarte) Sicherheitsniveau zu gewährleisten.

Der Auftragsverarbeiter hat den Verantwortlichen bei dessen Arbeit zu unterstützen, die identifizierten Risiken und die Reduzierung dieser Risiken auf ein akzeptables Niveau zu dokumentieren, und die Maßnahmen umzusetzen, die zur Bewältigung identifizierter Risiken erforderlich sind.

Auf der Grundlage des festgelegten Sicherheitsniveaus werden Verfahren für Audits gemäß den Bestimmungen C.7 und C.8 implementiert.

Im Übrigen wird auf Datatilsynets Leitfaden zur Aufsicht verwiesen.

Der Auftragsverarbeiter hat jedoch in jedem Fall und mindestens die folgenden mit dem Verantwortlichen vereinbarten Maßnahmen umzusetzen:

 

C.2.1 Anforderungen an die Pseudonymisierung und Verschlüsselung personenbezogener Daten

Anforderungen an die Pseudonymisierung personenbezogener Daten

Der Auftragsverarbeiter nimmt eine Pseudonymisierung personenbezogener Daten vor, sofern die Art, der Umfang, die Umstände und die Zwecke der betreffenden Verarbeitung sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Grundrechte und Grundfreiheiten natürlicher Personen dies erfordern.

Anforderungen an die Verschlüsselung personenbezogener Daten

Der Auftragsverarbeiter nimmt eine Verschlüsselung personenbezogener Daten vor, sofern die Art, der Umfang, die Umstände und die Zwecke der betreffenden Verarbeitung sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Grundrechte und Grundfreiheiten natürlicher Personen dies erfordern.

 

C.2.2 Anforderungen hinsichtlich der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

1. 1. Der Auftragsverarbeiter führt mindestens einmal jährlich eine Risikobewertung für jedes der Verarbeitungssysteme und -dienste durch, in denen personenbezogene Daten des Verantwortlichen verarbeitet werden. Auf der Grundlage der Ergebnisse der Risikobewertung setzt der Auftragsverarbeiter die erforderlichen risikomindernden Maßnahmen sorgfältig und professionell um.
   2. Der Auftragsverarbeiter setzt fortlaufend technische und organisatorische risikomindernde Maßnahmen um, wenn sich dies als erforderlich erweist.

Der Auftragsverarbeiter stellt darüber hinaus sicher, dass:

1. 1. der Zugang zu den von der Vereinbarung erfassten personenbezogenen Daten auf Personen beschränkt ist, die einen sachlichen Zweck haben.
   2. technische und/oder organisatorische Maßnahmen vorhanden sind, die sicherstellen, dass nur diese berechtigten Personen Zugang haben. Die Berechtigung umfasst auch Personen, die Beratungsaufgaben oder notwendige Revisions-, Betriebs- und systemtechnische Aufgaben ausführen.
   3. laufend überprüft wird, ob den Benutzern beim Auftragsverarbeiter die Zugangsrechte und Berechtigungen zugewiesen wurden, die sie haben sollten.
   4. Mitarbeiter und etwaige Geschäftspartner jederzeit über den Zweck der Verarbeitung, die Richtlinien, Verfahren und ihre Vertraulichkeitspflicht informiert sind und hierfür ausreichend geschult und angewiesen werden.
      

 

C.2.3. Anforderungen hinsichtlich der Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Der Auftragsverarbeiter stellt sicher, dass:

1. 1. der Auftragsverarbeiter über aktualisierte und wirksame Notfallpläne und -verfahren verfügt, die die Wiederherstellung personenbezogener Daten und Zugangsrechte innerhalb angemessener Zeit bei Betriebsunterbrechungen sicherstellen.
   2. der Auftragsverarbeiter sicherstellt, dass regelmäßige Backups der von der Vereinbarung erfassten personenbezogenen Daten erstellt werden.
   3. der Auftragsverarbeiter die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig durch die Durchführung von IT-Notfallübungen testet und bewertet. Der Verantwortliche kann verlangen, dass eine Dokumentation über die Durchführung solcher Übungen zur Verfügung gestellt wird.
      

 

C.2.4. Anforderungen an Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung 

Es müssen Verfahren vorhanden sein, die eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sicherstellen.

Der Auftragsverarbeiter hat jederzeit aktuelle Verfahren für Folgendes vorzuhalten:

1. 1. regelmäßige Kontrolle, Bewertung, Anpassung und Verbesserung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen, denen der Auftragsverarbeiter nach der jeweils geltenden Gesetzgebung, Rechtsprechung, den Entscheidungen, Empfehlungen und Leitlinien von Datatilsynet sowie den Bedingungen dieses Auftragsverarbeitungsvertrags unterliegt.
   2. Überprüfung, dass die Sicherheitsmaßnahmen angesichts des jeweils aktuellen Risikos für die Rechte und Freiheiten der betroffenen Personen tatsächlich eingehalten werden.
   3. Überprüfung der Benutzerzugänge für Mitarbeiter oder andere berechtigte Personen.
   4. Überprüfung, dass das Backup lesbar, schreibgeschützt, im richtigen Umfang vorhanden und wiederherstellbar ist.
   5. Überprüfung, dass die Verschlüsselung ordnungsgemäß durchgeführt wird, einschließlich der sicheren Aufbewahrung von Verschlüsselungsschlüsseln.
   6. Überprüfung, dass die Sicherheitsprotokolle ausreichend und relevant sind.
   7. Überprüfung, dass das Niveau der physischen Sicherheit auf die aktuelle Bedrohungslage abgestimmt ist.
   8. formelle Change-Management-Verfahren, die sicherstellen, dass jede Änderung vor der Implementierung ordnungsgemäß autorisiert, getestet und genehmigt wird.
      
   9. Verfahren für kritische Sicherheitsupdates, die sicherstellen, dass diese ohne unangemessene Verzögerung umgesetzt werden können.
   10. außerordentliche Kontrollen bei wesentlichen Änderungen der systemtechnischen Umgebung sowie nach Verletzungen des Schutzes personenbezogener Daten.
       

C.2.5. Anforderungen an den Zugang zu Informationen über das Internet

Greift der Auftragsverarbeiter über das Internet auf Systeme zu, die personenbezogene Daten enthalten, muss die Authentifizierung des Benutzers mittels Multi-Faktor-Authentifizierung erfolgen. Der Auftragsverarbeiter darf sich mit personenbezogenen Daten, die von diesen Bestimmungen erfasst sind, nur über sichere verschlüsselte Verbindungen verbinden. Der Verantwortliche hat die Möglichkeit, die Multi-Faktor-Authentifizierung selbst über eine Single-Sign-On-Lösung für die Evovia-Plattform zu konfigurieren, und trägt hierfür selbst die Verantwortung. Evovia unterstützt auf Wunsch des Verantwortlichen bei der Einrichtung einer solchen Konfiguration.

 

C.2.6. Anforderungen an den Schutz von Informationen bei der Übertragung

Im Zusammenhang mit der Übertragung personenbezogener Daten sind angemessene Sicherheitsmaßnahmen zu verwenden. Die Sicherheitsmaßnahmen müssen den jeweils anerkannten und geltenden Branchenstandards für die Verarbeitung personenbezogener Daten entsprechen.

In diesem Zusammenhang stellt der Auftragsverarbeiter sicher, dass personenbezogene Daten während der Übertragung verschlüsselt werden. Die Verschlüsselung ist auf dem aktuellen Stand zu halten und muss den jeweils anerkannten und geltenden Branchenstandards entsprechen.

Bei jeder Übertragung vertraulicher und sensibler personenbezogener Daten über externe Kommunikationsverbindungen wird stets eine Verschlüsselung personenbezogener Daten eingesetzt.

 

C.2.7. Anforderungen an den Schutz von Informationen bei der Speicherung

Bei der Speicherung personenbezogener Daten sind angemessene Sicherheitsmaßnahmen festzulegen, wobei die Art der verarbeiteten personenbezogenen Daten und das Risiko für die Rechte der betroffenen Personen zu berücksichtigen sind.

Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten bei der Speicherung in relevantem Umfang verschlüsselt werden. Die Verschlüsselung ist auf dem aktuellen Stand zu halten und muss den jeweils anerkannten und geltenden Branchenstandards entsprechen.

 

C.2.8. Anforderungen an den Schutz von Informationen während der Nutzung (in use / in motion)

Im Zusammenhang mit der Nutzung personenbezogener Daten sind angemessene Sicherheitsmaßnahmen zu verwenden. Die Sicherheitsmaßnahmen müssen den jeweils anerkannten und geltenden Branchenstandards für den Schutz personenbezogener Daten während der Nutzung entsprechen.

Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten während der Nutzung in relevantem Umfang verschlüsselt werden. Die Verschlüsselung ist auf dem aktuellen Stand zu halten und muss den jeweils anerkannten und geltenden Branchenstandards entsprechen.

 

C.2.9. Anforderungen an die physische Sicherheit von Standorten, an denen Informationen verarbeitet werden

Der Auftragsverarbeiter stellt sicher, dass angemessene Sicherheitsmaßnahmen gegen jeden unbefugten Zugang zu Orten vorhanden sind, an denen Daten des Verantwortlichen verarbeitet werden.

Die Sicherheitsmaßnahmen müssen an die aktuelle Bedrohungslage sowie an die Sensibilität und Menge der personenbezogenen Daten angepasst sein, die der Auftragsverarbeiter für den Verantwortlichen verarbeitet.

Die Verarbeitung erfolgt an Orten, die gegen Schäden durch physische Einwirkungen geschützt sind, insbesondere gegen Feuer, Überhitzung, Wasserschäden, Magnetismus, Ausfall von Versorgungseinrichtungen, Diebstahl oder Vandalismus.

Der Auftragsverarbeiter muss sicherstellen, dass sämtliche Geräte, die im Zusammenhang mit der Verarbeitung personenbezogener Daten verwendet werden, geeigneten technischen Maßnahmen unterliegen.

 

C.2.10. Anforderungen an die Nutzung von Homeoffice-/Remote-Arbeitsplätzen durch den Auftragsverarbeiter

Homeoffice- bzw. Remote-Arbeitsplätze sind mit technischen Kontrollen abzusichern, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Einklang mit dem geltenden Recht sowie mit den Leitlinien des Verantwortlichen und des Auftragsverarbeiters erfolgt.

Es ist sicherzustellen, dass unbefugte Personen keinen Zugang zu personenbezogenen Daten erhalten, die von Homeoffice-Arbeitsplätzen aus verarbeitet werden, und die einzelnen Mitarbeiter sind darin anzuweisen, wie ein solcher unbefugter Zugang verhindert wird.

Der Auftragsverarbeiter stellt sicher, dass Kommunikationsverbindungen verschlüsselt werden. Der Fernzugriff ist durch eine VPN-Lösung oder andere Sicherheitstechnologie zu schützen, sodass nur berechtigte Personen Zugang zu personenbezogenen Daten erhalten können.

Die Authentifizierung von Personen, die Zugang zu personenbezogenen Daten erhalten, muss auf Multi-Faktor-Authentifizierung oder gleichwertigen Sicherheitsmaßnahmen beruhen.

 

C.2.11. Anforderungen an die Protokollierung

Für jede Verarbeitung personenbezogener Daten ist eine maschinelle Registrierung (Protokollierung) durchzuführen.

Das Protokoll muss mindestens Angaben über Zeit, Benutzer, Art der Nutzung und Identifizierung der Person, auf die sich die verwendeten Informationen bezogen, oder über das verwendete Suchkriterium enthalten.

Das Protokoll ist sechs Monate aufzubewahren und danach zu löschen, sofern nicht entsprechend dem Zweck des Protokolls eine längere Aufbewahrungsfrist festgelegt wird, damit es als Instrument für Untersuchungen genutzt werden kann.

Der Auftragsverarbeiter überprüft laufend, dass das Protokoll die in diesen Bestimmungen genannten erforderlichen Informationen enthält.

Im Falle des Verdachts auf Missbrauch oder einer Verletzung des Schutzes personenbezogener Daten hat der Auftragsverarbeiter unentgeltlich ein Protokoll der Benutzeraktivitäten zur Verfügung zu stellen. Der Auftragsverarbeiter muss sicherstellen, dass das Protokoll verständlich ist und die relevanten Aktivitäten enthält.

 

C.2.12. Sonstige Maßnahmen

Aktualisierungen und Änderungen 

Der Auftragsverarbeiter muss über formelle Verfahren verfügen, um sicherzustellen, dass Aktualisierungen von Betriebssystemen, Datenbanken, Anwendungen und anderer Software innerhalb angemessener Zeit bewertet und umgesetzt werden.

Der Auftragsverarbeiter muss über formelle Change-Management-Verfahren verfügen, um sicherzustellen, dass jede Änderung vor der Implementierung ordnungsgemäß autorisiert, getestet und genehmigt wird. Das Verfahren muss durch eine wirksame Funktionstrennung oder Management-Nachverfolgung unterstützt werden, damit keine einzelne Person allein eine Änderung implementieren kann.

Bewusstsein / Kenntnisse im Bereich Informationssicherheit

Mitarbeiter und etwaige Geschäftspartner, die Zugang zu den von diesen Bestimmungen erfassten personenbezogenen Daten haben, müssen regelmäßig im Umgang mit personenbezogenen Daten geschult werden, sodass laufend Kenntnisse der Datenschutzregeln und der Verfahren für die Verarbeitung personenbezogener Daten sichergestellt sind.

Reparatur, Wartung und Entsorgung von Geräten

Im Zusammenhang mit der Reparatur und Wartung von Geräten, die personenbezogene Daten enthalten, sowie beim Verkauf oder bei der Entsorgung gebrauchter Speichermedien sind die erforderlichen Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten nicht versehentlich oder vorsätzlich vernichtet, verloren oder beeinträchtigt oder unbefugten Personen offengelegt, missbräuchlich verwendet oder anderweitig entgegen geltendem Recht verarbeitet werden.

Bei der Entsorgung von Geräten und Speichermedien, die personenbezogene Daten enthalten, sind die Speichermedien zu vernichten oder so zu bereinigen, dass die personenbezogenen Daten wirksam gelöscht werden. Eine Dokumentation darüber, dass die Entsorgung gemäß dem Vorstehenden erfolgt ist, ist für den Zeitraum aufzubewahren, in dem die Verarbeitung stattfindet, und dem Verantwortlichen auf Verlangen vorzulegen.

 

C.3 Unterstützung des Verantwortlichen

Soweit möglich und innerhalb des nachstehend angegebenen Umfangs unterstützt der Auftragsverarbeiter den Verantwortlichen gemäß den Bestimmungen 9.1 und 9.2 durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen:

Benachrichtigung des Verantwortlichen über Anfragen betroffener Personen

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich, nachdem ihm eine an den Auftragsverarbeiter oder seine Unterauftragsverarbeiter gerichtete Anfrage einer betroffenen Person in Bezug auf die Wahrnehmung ihrer Rechte nach dem anwendbaren Datenschutzrecht bekannt geworden ist, schriftlich zu benachrichtigen. Der Auftragsverarbeiter ist nicht berechtigt, auf Anfragen betroffener Personen hinsichtlich der Wahrnehmung ihrer Rechte nach dem anwendbaren Datenschutzrecht zu antworten. Auf Verlangen des Verantwortlichen unterstützt der Auftragsverarbeiter bei der Erfüllung der Pflichten des Verantwortlichen in Bezug auf die Rechte betroffener Personen nach dem anwendbaren Datenschutzrecht.

Unterstützung bei Verletzungen des Schutzes personenbezogener Daten, einschließlich der Benachrichtigung des Verantwortlichen über solche Verletzungen

Die Unterstützung des Auftragsverarbeiters im Zusammenhang mit den Pflichten des Verantwortlichen nach den Artikeln 33 und 34 der Datenschutz-Grundverordnung erfolgt dadurch, dass der Auftragsverarbeiter dem Verantwortlichen die in Bestimmung 10.3 genannten Informationen innerhalb der in Bestimmung 10.2 genannten Frist zur Verfügung stellt. Anschließend unterstützt der Auftragsverarbeiter den Verantwortlichen auf dessen Verlangen, indem er die Informationen bereitstellt, die der Verantwortliche benötigt, um die zuständige Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen oder die betroffene Person hierüber zu informieren.

Unterstützung im Zusammenhang mit Risikobewertungen und Folgenabschätzungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen, indem er die erforderlichen Informationen zur Verfügung stellt, damit der Verantwortliche die notwendigen Risikobewertungen durchführen kann. Gelangt der Verantwortliche zu der Einschätzung, dass die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt, unterstützt der Auftragsverarbeiter den Verantwortlichen auf dessen Verlangen bei seinen Pflichten nach den Artikeln 35 und 36 der Datenschutz-Grundverordnung, indem er die Informationen zur Verfügung stellt, die der Verantwortliche benötigt, um eine Datenschutz-Folgenabschätzung gemäß Artikel 35 durchzuführen und eine vorherige Konsultation der zuständigen Aufsichtsbehörde gemäß Artikel 36 vorzunehmen.

Sicherstellung technischer und organisatorischer Maßnahmen

Schließlich stellt der Auftragsverarbeiter sicher, dass seine technischen und organisatorischen Maßnahmen es dem Verantwortlichen ermöglichen, seinen Pflichten nach den Artikeln 33 bis 36 der Datenschutz-Grundverordnung nachzukommen, insbesondere durch die in Anhang C beschriebenen Maßnahmen zum Management von Verletzungen des Schutzes personenbezogener Daten, zum Asset-Management und zur Protokollierung.

 

C.4 Aufbewahrungsdauer / Löschroutine

Personenbezogene Daten werden vom Auftragsverarbeiter gespeichert, bis der Verantwortliche verlangt, dass die Informationen gelöscht oder zurückgegeben werden. Daten, die in die einzelnen Tools eingegeben werden (z. B. Antworten in Mitarbeitergesprächen, Protokolle usw.), werden jedoch grundsätzlich nach 5 Jahren gelöscht. Der Verantwortliche kann Evovia anweisen, die Aufbewahrungsdauer von Daten zu ändern. Dies kann länger oder kürzer als 5 Jahre sein und von Tool zu Tool unterschiedlich ausgestaltet werden.

Wenn der Verantwortliche einen Mitarbeiter löscht, der nicht mehr beschäftigt ist, wird das Profil dieses Mitarbeiters nach 14 Tagen gelöscht, während die in Mitarbeitergesprächen und ähnlichen Tools eingegebenen Daten im Archiv der Führungskraft gespeichert werden (grundsätzlich 5 Jahre), einschließlich Bewertungen und Absprachen.

Bei Beendigung des Dienstes oder dieser Bestimmungen in Bezug auf die Verarbeitung personenbezogener Daten hat der Auftragsverarbeiter die personenbezogenen Daten gemäß Bestimmung 11.1 zu löschen oder zurückzugeben, sofern der Verantwortliche nach Unterzeichnung dieser Bestimmungen seine ursprüngliche Wahl nicht geändert hat. Solche Änderungen sind im Zusammenhang mit den Bestimmungen schriftlich, auch elektronisch, zu dokumentieren und aufzubewahren.

Der Auftragsverarbeiter kann die vom Verantwortlichen anvertrauten personenbezogenen Daten jedoch nach Beendigung des Hauptvertrags (Abonnement- und Geschäftsbedingungen) und der darin vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten weiterhin speichern, wenn der Auftragsverarbeiter einer gesetzlichen Verpflichtung unterliegt, die eine solche Speicherung personenbezogener Daten des Verantwortlichen verlangt.

Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten herauszugeben, stellt dies gleichzeitig eine Weisung dar, dass der Auftragsverarbeiter die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten erst dann löschen darf, wenn die Herausgabe abgeschlossen und vom Verantwortlichen bestätigt worden ist.

Die Umsetzung der Weisung des Verantwortlichen zur Löschung seiner personenbezogenen Daten durch den Auftragsverarbeiter hat im Einklang mit der Datenschutz-Grundverordnung und so schnell wie praktisch möglich zu erfolgen.

Im Rahmen des Hauptvertrags (Abonnement- und Geschäftsbedingungen) erstellt der Auftragsverarbeiter Backups. Soweit personenbezogene Daten in ein Backup einbezogen sind, enden die vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten nach dem Hauptvertrag (Abonnement- und Geschäftsbedingungen) daher erst, wenn das Backup gemäß der Backup-Prozedur des Auftragsverarbeiters vernichtet wird. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Beendigung des Hauptvertrags (Abonnement- und Geschäftsbedingungen) aus der Produktionsumgebung. Der Kunde akzeptiert unter anderem, dass die Daten des Kunden 90 Tage lang Bestandteil einer Backup-Prozedur sind; danach werden sämtliche Kopien der Kundendaten gelöscht.

 

C.5 Ort der Verarbeitung

Die Verarbeitung der von den Bestimmungen erfassten personenbezogenen Daten darf ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht an anderen Orten als den folgenden stattfinden: siehe Anhang E.

 

C.6 Weisung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer

Erteilt der Verantwortliche weder in diesen Bestimmungen noch später eine dokumentierte Weisung in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland, ist der Auftragsverarbeiter nicht berechtigt, im Rahmen dieser Bestimmungen solche Übermittlungen vorzunehmen.

Bedingungen in Bezug auf behördliche Anfragen zur Offenlegung personenbezogener Daten

Der Auftragsverarbeiter hat den Verantwortlichen über jede Anfrage zu benachrichtigen, die der Auftragsverarbeiter oder seine Unterauftragsverarbeiter von einer Behörde in einem Drittland erhalten und die die Offenlegung personenbezogener Daten verlangt, die von diesen Bestimmungen erfasst sind.

Erhält der Auftragsverarbeiter direkt oder indirekt eine Anfrage zur Offenlegung von Informationen, die von diesen Bestimmungen erfasst sind, einschließlich personenbezogener Daten, an einen Empfänger, der sich geografisch außerhalb der EU/des EWR befindet, hat der Auftragsverarbeiter einer solchen Offenlegungsanfrage stets in dem nach dem Unionsrecht oder dem nationalen Recht der Mitgliedstaaten für den Auftragsverarbeiter möglichen Umfang entgegenzutreten.

Der Auftragsverarbeiter hat, gegebenenfalls gemeinsam mit dem betreffenden Unterauftragsverarbeiter, jede Möglichkeit auszuschöpfen, gegen Anfragen auf Offenlegung personenbezogener Daten, die von diesen Bestimmungen erfasst sind, Rechtsmittel einzulegen, wenn es sich um allgemeine Anfragen oder um Anfragen handelt, die nicht mit dem Unionsrecht einschließlich der Datenschutz-Grundverordnung sowie sonstigem nationalen Recht zur Ergänzung der Datenschutz-Grundverordnung im Einklang stehen. Soweit möglich hat der Auftragsverarbeiter dem Verantwortlichen zu ermöglichen, in Rechtsmittel- und Gerichtsverfahren einzugreifen, damit der Verantwortliche Gelegenheit erhält, seine eigenen Interessen zu schützen.

 

C.7 Verfahren für Audits des Verantwortlichen, einschließlich Inspektionen, der dem Auftragsverarbeiter anvertrauten Verarbeitung personenbezogener Daten

Der Auftragsverarbeiter lässt auf eigene Kosten einmal jährlich von einem unabhängigen Dritten einen Prüfbericht über die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie dieser Bestimmungen durch den Auftragsverarbeiter erstellen.

Der Prüfbericht muss ein ISAE 3000 Typ 2 Bericht mit hoher Sicherheit sein, nach der Struktur des FSR-Standards erstellt werden und die in diesem Auftragsverarbeitungsvertrag beschriebenen Anforderungen abdecken.

Der Prüfbericht wird dem Verantwortlichen jedes Jahr im Monat Juni auf der Administrationsseite des Verantwortlichen in Evovia zugänglich gemacht. Der Prüfbericht kann außerdem auf Verlangen des Verantwortlichen oder eines vom Verantwortlichen ermächtigten unabhängigen Prüfers übersandt werden.

Der Verantwortliche kann von der vereinbarten Form der Aufsicht abweichen, wenn der Verantwortliche der Auffassung ist, dass der Auftragsverarbeiter die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten und dieser Bestimmungen einschließlich der Anhänge anderweitig dokumentieren kann.

Auf der Grundlage der Ergebnisse der Aufsicht ist der Verantwortliche berechtigt, die Umsetzung weiterer Maßnahmen zu verlangen, um die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie dieser Bestimmungen sicherzustellen.

Der Verantwortliche oder ein vom Verantwortlichen bevollmächtigter Vertreter hat außerdem das Recht, Inspektionen der physischen Einrichtungen des Auftragsverarbeiters, in denen personenbezogene Daten verarbeitet werden, durchzuführen und die Informationen zu erhalten, die erforderlich sind, um die Einhaltung der Anforderungen dieser Bestimmungen und des anwendbaren Datenschutzrechts durch den Auftragsverarbeiter zu überwachen.

Der Verantwortliche ist berechtigt, Informationen, die er gemäß den Bestimmungen dieses Anhangs erhalten hat, auf Verlangen der zuständigen Aufsichtsbehörde an diese weiterzugeben.

Eine Inspektion darf nur von einer Person durchgeführt werden, die sich den üblichen Sicherheitsmaßnahmen des Auftragsverarbeiters unterwirft und direkt mit dem Auftragsverarbeiter eine Vertraulichkeitsklausel zu üblichen Bedingungen vereinbart.

 

C.8 Verfahren für Audits, einschließlich Inspektionen, der Unterauftragsverarbeitern anvertrauten Verarbeitung personenbezogener Daten

Grundsätzlich entscheidet der Auftragsverarbeiter, wie die Überprüfung der Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie des Unterauftragsverarbeitervertrags durch den Unterauftragsverarbeiter durchgeführt wird, einschließlich der Art des einzuholenden Prüfberichts und/oder Inspektionsberichts. Art und Umfang der Überprüfung müssen die Art der vom Unterauftragsverarbeiter durchgeführten Verarbeitung personenbezogener Daten widerspiegeln.

Prüfberichte und/oder Inspektionsberichte können dem Verantwortlichen auf Verlangen übermittelt werden. Der Verantwortliche kann den Rahmen und/oder die Methode des Berichts beanstanden und in solchen Fällen einen neuen Prüfbericht nach einem anderen Rahmen und/oder unter Verwendung einer anderen Methode verlangen.

Auf der Grundlage der Ergebnisse des Prüfberichts ist der Verantwortliche berechtigt, die Umsetzung weiterer Maßnahmen zu verlangen, um die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie dieser Bestimmungen sicherzustellen.

Der Auftragsverarbeiter oder ein Vertreter des Auftragsverarbeiters hat außerdem Zugang, um Inspektionen, einschließlich physischer Inspektionen, der Orte durchzuführen, von denen aus der Unterauftragsverarbeiter die Verarbeitung personenbezogener Daten vornimmt, einschließlich der physischen Orte und Systeme, die für die Verarbeitung oder im Zusammenhang mit ihr verwendet werden. Solche Inspektionen können durchgeführt werden, wenn der Auftragsverarbeiter (oder der Verantwortliche) dies für erforderlich hält.

Die Dokumentation solcher Inspektionen ist dem Verantwortlichen unverzüglich zur Information zu übersenden. Der Verantwortliche kann den Rahmen und/oder die Methode der Inspektion beanstanden und in solchen Fällen verlangen, dass eine neue Inspektion nach einem anderen Rahmen und/oder unter Verwendung einer anderen Methode durchgeführt wird.

Wenn dies für erforderlich gehalten wird, kann der Verantwortliche mit angemessener Vorankündigung eine physische Inspektion beim Unterauftragsverarbeiter einleiten und daran teilnehmen. Dies kann relevant werden, wenn der Verantwortliche der Auffassung ist, dass die Inspektion des Unterauftragsverarbeiters durch den Auftragsverarbeiter dem Verantwortlichen keine ausreichende Gewissheit darüber verschafft hat, dass die Verarbeitung beim Unterauftragsverarbeiter im Einklang mit der Datenschutz-Grundverordnung, den Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie diesen Bestimmungen erfolgt.

Eine Teilnahme des Verantwortlichen an einer Inspektion beim Unterauftragsverarbeiter ändert nichts daran, dass der Auftragsverarbeiter weiterhin die volle Verantwortung für die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen des sonstigen EU-Rechts oder des nationalen Rechts der Mitgliedstaaten sowie dieser Bestimmungen durch den Unterauftragsverarbeiter trägt.

Etwaige Kosten des Verantwortlichen im Zusammenhang mit einer Inspektion trägt der Verantwortliche selbst. Der Auftragsverarbeiter ist jedoch verpflichtet, die Ressourcen (insbesondere Zeit) bereitzustellen, die erforderlich sind, damit der Verantwortliche seine Inspektion durchführen kann. Etwaige Kosten des Auftragsverarbeiters und des Unterauftragsverarbeiters im Zusammenhang mit der Durchführung einer physischen Aufsicht / Inspektion beim Unterauftragsverarbeiter gehen den Verantwortlichen nichts an, unabhängig davon, ob der Verantwortliche eine solche Aufsicht initiiert und daran teilgenommen haben mag.
Der Verantwortliche ist berechtigt, Informationen, die er gemäß den Bestimmungen dieses Anhangs erhalten hat, auf Verlangen von Datatilsynet an Datatilsynet weiterzugeben.

 

Anhang D - Regelung der Parteien zu anderen Angelegenheiten im Zusammenhang mit dem Auftragsverarbeitungsvertrag

 

Anhang E - Auftragsverarbeiterkette

 

Firmenname, Adresse, CVR / Unternehmens-ID	Rolle – angeben, ob Auftragsverarbeiter oder Unterauftragsverarbeiter	Beschreibung der Verarbeitung	Verarbeitungsort	Etwaige Übermittlungsgrundlage
Evovia ApS Finderupvej 5 st. 8000 Aarhus C VAT: 31285305	Auftragsverarbeiter	Gesamtverantwortung für die Lösung und die Zusammenarbeit mit dem Verantwortlichen. Einrichtung und Support. Verarbeitet Namen, E-Mail-Adressen und gegebenenfalls Angaben zu Alter und Geschlecht der Benutzer zum Zweck der Einrichtung des Verantwortlichen auf der Plattform sowie im Zusammenhang mit Support. Im Zusammenhang mit Support- und Beratungsleistungen werden auf Weisung des Verantwortlichen auch von Benutzern des Verantwortlichen auf der Plattform eingegebene Daten verarbeitet.	Dänemark
Hetzner Online GmbH, Industristrss. 25, 91710 Gunzenhausen DE 812871812	Unterauftragsverarbeiter für Evovia ApS	Hosting von Daten. Betrieb der Cloud-Lösung von Evovia und Backup der Daten des Verantwortlichen.	Deutschland
Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula FI 27207589	Unterauftragsverarbeiter für Evovia ApS	Hosting von Daten. Betrieb der Cloud-Lösung von Evovia und Backup der Daten des Verantwortlichen.	Finnland
A/S SCANNET, Højvangen 4, 8660 Skanderborg VAT: 29412006	Unterauftragsverarbeiter für Evovia ApS	Hosting von Daten. Betrieb der Cloud-Lösung von Evovia und Backup der Daten des Verantwortlichen.	Dänemark
SMTP.dk, Refshalevej 163A, 1. tv., 1432 København K. VAT: 29849439	Unterauftragsverarbeiter für Evovia ApS	Verantwortlich für den Versand automatischer E-Mails von der Evovia-Plattform. Verarbeitet Namen und E-Mail-Adressen zum Zweck des Versands automatischer E-Mails von der Evovia-Plattform.	Dänemark