Allgemeine Ergänzungsbedingungen zur Auftragsverarbeitung

(„AErgB Auftragsverarbeitung“) gemäß Art. 28 DS-GVO

Version 1.0, 07.04.2025

RITA BOSSE Software GmbH
Am Ortsrand 3, 26188 Edewecht
Deutschland

Präambel

Die nachstehenden Regelungen gelten für alle Verträge und Vertragsbeziehungen, in deren Rahmen die RITA BOSSE SOFTWARE GmbH (im Folgenden „RITA BOSSE“) personenbezogene Daten auf Weisung des Kunden verarbeitet (Auftragsverarbeitung). Diese Reglungen konkretisieren die wechselseitigen datenschutzrechtlichen Verpflichtungen, die sich aus dem gem. Art. 28 DS-GVO erforderlichen Mindestinhalt von Verträgen über die Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auch auf sämtliche Tätigkeiten, bei denen durch RITA BOSSE beauftragte und vom Kunden genehmigte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Kunden verarbeiten oder mit diesen in Berührung kommen könnten.

1. Begriffe

Die nachfolgend in alphabetischer Reihenfolge gelisteten Begriffe gelten für die AErgB Auftragsverarbeitung:

Anwendbares Datenschutzrecht bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die auf den Verantwortlichen anwendbar sind, insbesondere die DSGVO;

Auftragsverarbeiter bezeichnet gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; im Rahmen der AErgB Auftragsverarbeitung ist RITA BOSSE Auftragsverarbeiter;

Bestehende Hauptvereinbarungen sind je nach Umfang der Beauftragung von RITA BOSSE Vereinbarungen über die Hauptleistungen, insbesondere die AGB in der jeweils aktuellen Fassung

Dritter bezeichnet gemäß Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

Drittland bezeichnet jedes Land, das nicht Teil der Europäischen Union oder des Europäischen Wirtschaftsraums ist;

DS-GVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;

Daten bezeichnet alle personenbezogenen Daten, die vom Auftragsverarbeiter oder einem Subauftragsverarbeiter im Auftrag und in Weisung des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden. Dies umfasst auch alle Daten von verbundenen Unternehmen von Kunden, die RITA BOSSE auf Weisung des Kunden verarbeitet;

Internationaler Datentransfer bezeichnet jede Übermittlung von Auftragsdaten in ein Drittland sowie jeden Zugriff auf personenbezogene Daten aus einem Drittland;

Nebendienstleistungen sind Dienstleistungen, die unabhängig vom Gegenstand der Beauftragung erbracht werden, wie etwa Telekommunikationsdienste, die Entsorgung von Datenträgern oder anderweitige unterstützende IT-Dienstleistungen oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungsanlagen durch Dritte.

Personenbezogene Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Subauftragsverarbeiter bezeichnet den Vertragspartner des Auftragsverarbeiters, der von diesem mit der Durchführung bestimmter Verarbeitungsaktivitäten für den Verantwortlichen beauftragt wird;

Verantwortlicher bezeichnet gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; im Rahmen dieser AErgB der Auftraggeber der Verantwortliche;

Verarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Verbundene Unternehmen sind alle Unternehmen, die mit einer Partei gemäß §§ 15 ff AktG verbunden sind.

2. Gegenstand und Dauer der Verarbeitung

2.1 Der Gegenstand des Auftrags ergibt sich aus den bestehenden Hauptvereinbarungen.

2.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit bestehender Hauptvereinbarungen.

3. Art und Zweck der Datenverarbeitung

Die Art und der Umfang der Verarbeitung ergeben sich aus Anhang 1; ergänzt und konkretisiert in den bestehenden Hauptvereinbarungen.

4. Kategorien personenbezogener Daten und betroffener Personen

4.1 Gegenstand der Verarbeitung personenbezogener Daten ergeben sich aus Anlage 1. Diese können je nach Inhalt der konkreten Anfrage und je nach abgeschlossenem Vertrag folgende Datenarten/-kategorien im Übrigen sein:

• Personenstammdaten

• Qualifikationsdaten

• Kommunikationsdaten (z.B. Telefon, E-Mail)

• Funktionsbezeichnung

• Sozialversicherungsdaten

• Geburtsdatum

• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

• Kundenhistorie

• ggf. Interessen

• Bankverbindungsdaten

• Lohn- und Gehaltsdaten

• Vertragsabrechnungs- und Zahlungsdaten

• Abrechnungsdaten

• Planungs- und Steuerungsdaten

• IT-Nutzungsdaten

• Zeiterfassungsdaten

• Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

4.2 Die Kategorien der durch die Verarbeitung betroffenen Personensind ebenfalls in Anlage 1 dokumentiert; diese können im Übrigen umfassen:

• Kunden des Auftraggebers

• Beschäftigte des Auftraggebers

• Lieferanten

• Ansprechpartner

5. Ort der Datenverarbeitung

Die Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

6. Technisch-organisatorische Maßnahmen

6.1 Die technischen und organisatorischen Maßnahmen zum Datenschutz sind in Anlage 2 dargelegt und in ihrer jeweils aktuellen Fassung Bestandteil der AErgB Auftragsverarbeitung.

6.2 RITA BOSSE wird die Umsetzung der im Vorfeld der Auftragsvergabe und in Anlage 1 dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, dokumentieren und dem Auftraggeber auf Anforderung zur Prüfung vorzulegen.

6.2 RITA BOSSE gewährleistet die Sicherheit der Verarbeitung im gesetzlich gebotenen Umfang. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die Maßnahmen Einzelheiten in Anlage 1].

6.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. RITA BOSSE verpflichtet sich die Wirksamkeit der getroffenen Maßnahmen regelmäßig, zumindest aber jährlich, zu prüfen, zu bewerten und gegebenenfalls anzupassen.

7. Umgang mit Betroffenenrechten und behördlichen Anfragen

7.1 RITA BOSSE wird als Auftragsverarbeiter keine Auskünfte über die Datenverarbeitung an Dritte oder eine betroffene Person erteilen, soweit RITA BOSSE nicht selbst dazu rechtswirksam verpflichtet ist oder wird. Soweit eine betroffene Person sich diesbezüglich unmittelbar an RITA BOSSE wendet, wird RITA BOSSE dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

7.2 RITA BOSSE darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

8. Pflichten des Auftragnehmers

8.1 RITA BOSSE verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, RITA BOSSE ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für RITA BOSSE bestehen, teilt RITA BOSSE diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.

8.2 RITA BOSSE bestätigt, dass die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. RITA BOSSE beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

8.3 RITA BOSSE verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren und nur Personen mit der Datenverarbeitung zu betrauen, die schriftlich zur Vertraulichkeit und zur Wahrung des Datengeheimnisses verpflichtet wurden, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht wurden.

8.4 RITA BOSSE wird, soweit erforderlich, im Zusammenhang mit der beauftragten Verarbeitung den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO angemessen unterstützen. RITA BOSSE ist in diesem Falle berechtigte, für solche Unterstützungsleistungen eine angemessenen und übliche gesonderte Vergütung zu fordern.

8.5 RITA BOSSE wird dem Auftraggeber jedwede Verletzung des Schutzes personenbezogener Daten, die RITA BOSSE für den Auftraggeber verarbeitet, unverzüglich anzeigen.

8.6 RITA BOSSE wird ohne die vorherige schriftliche Zustimmung des Auftraggebers keine Einreichungen, Mitteilungen, Meldungen, Pressemitteilungen oder Berichte zu irgendeinem Datenschutzvorfall freigeben oder veröffentlichen, sofern der Auftragnehmer hierzu nach geltendem Recht nicht verpflichtet ist. Im letztgenannten Fall wird der Auftragnehmer den Verantwortlichen innerhalb einer angemessenen Frist schriftlich hierüber in Kenntnis setzen.

8.7 RITA BOSSE hat einen Datenschutzbeauftragten schriftlich bestellt, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

8.8 Der Auftraggeber und RITA BOSSE arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

9.Unterauftragsverhältnisse

9.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebendienstleistungen.

9.2 Werden Unterauftragnehmer durch RITA BOSSE eingeschaltet, sind die vertraglichen Vereinbarungen so zu gestalten, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen dem Auftraggeber und dem Auftragnehmer entsprechen.

9.3 RITA BOSSE darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen, soweit diese in der Anlage 3 zu diesen AErgB aufgelistet werden und der Unterauftragnehmer im Rahmen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu gleichwertigen Datenschutzmaßnahmen verpflichtet wird. RITA BOSSE muss gemäß Art. 44 ff. DS-GVO das Datenschutzniveau bei einem etwaigen Empfänger in einem Mitgliedstaat außerhalb der EU oder des EWR sicherstellen.

9.4 Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit RITA BOSSE eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber innerhalb einer angemessenen Frist vorab schriftlich oder in Textform anzeigt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

9.5 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung seitens RITA BOSSE (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

9.6 Grundsätzlich werden alle Unterauftragsverarbeitungen innerhalb der EU/des EWR erbracht. Erbringt ein für die geschuldeter Leistungen unverzichtbarere Unterauftragnehmer seine vereinbarten Leistungen oder Teile dieser Leistungen außerhalb der EU/des EWR, stellt RITA BOSSE die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Artt. 44ff. DS-GVO sicher, welche insbesondere die Anforderungen der einschlägigen Rechtsprechung des Europäischen Gerichtshofs erfüllen.

10. Kontrollrechte des Auftraggebers

10.1 RITA BOSSE stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. RITA BOSSE verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen.

10.2 Der Auftraggeber hat das Recht, unter Abstimmung mit RITA BOSSE Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht im Wettbewerb mit RITA BOSSE stehen, durchführen zu lassen. Grundsätzlich kann und soll die Überprüfung auf Dokumentenbasis, die RITA BOSSE bereitstellt, erfolgen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch RITA BOSSE in ihrem Geschäftsbetrieb zu überzeugen.

10.3 Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;

• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;

• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

10.4 Für die Ermöglichung von Kontrollen durch den Auftraggeber und weitere Unterstützungsleistungen kann der Auftragnehmer einen Vergütungsanspruch geltend machen. Der tatsächlich anfallende Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

11. Weisungsbefugnis des Auftraggebers

11.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzes, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Hinsichtlich der dieser Vereinbarung zugrundeliegenden Auftragsdatenverarbeitung ist der gegenüber RITA BOSSE weisungsbefugt und -verpflichtet.

11.2 Weisungen sollen grundsätzlich in Textform oder schriftlich erteilt werden. Ausnahmsweise erteilte mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform.

11.3 RITA BOSSE wird den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. RITA BOSSE ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

12. Löschung und Rückgabe von personenbezogenen Daten

12.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

12.2 RITA BOSSE berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt RITA BOSSE die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag/in der Leistungsvereinbarung bereits vereinbart.

12.3 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – wird RITA BOSSE sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten.

13. Haftung

13.1 Zwischen den Parteien in den bestehenden Hauptvereinbarungen vereinbarte Haftungsregelungen gelten auch für die Auftragsverarbeitung, soweit nicht ausdrücklich etwas anderes vereinbart ist.

13.2 Die Haftung nach Artt. 82 ff. DS-GVO bleibt unberührt.

14. Schlussbestimmungen

14.1 Sollte das Eigentum des Auftraggebers bei RITA BOSSE durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

14.2 Für Nebenabreden ist die Schriftform erforderlich.

14.3 Sollten einzelne Teile dieser AErgB unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Anlage 1: Auflistung der beauftragten Dienstleistungen und Kontaktdaten der Datenschutzbeauftragten

Anlage 2: Technische und organisatorische Maßnahmen zum Datenschutz

A. Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität

1. Zutrittskontrolle Serverräume

Der Server befindet sich in einem abgegrenzten und abgeschlossenen Raum, zu dem nur berechtigtes Personal Zutritt hat.

2. Zutrittskontrollmaßnahmen zu Büroräumen

Der Zugang zum Bürogebäude erfolgt über ein elektronisches Schließsystem. Berechtigte Personen können das Schließsystem mit einem personifiziert vergebenen biometrischen Schlüssel öffnen. Dabei werden sowohl erfolgreiche als auch erfolglose Zutrittsversuche dokumentiert. Die Protokolldaten werden 30 Tage lang im System aufbewahrt und automatisiert gelöscht. Eine regelmäßige Auswertung der Protokolle erfolgt nicht, wäre aber im Bedarfsfall möglich.

Nicht-biometrische-Schlüssel werden ausschließlich von der Geschäftsleitung ausgegeben. Jegliche Schlüsselausgabe wird protokolliert.

Betriebsfremde Personen werden am Eingang bzw. Empfang vom zuständigen Mitarbeiter abgeholt und dürfen sich innerhalb des Gebäudes nur mit Begleitung bewegen. Zusätzlich werden die Bürozugänge videoüberwacht, eine Bildaufzeichnung erfolgt jedoch nicht. Die Clientarbeitsplätze, von denen auf personenbezogene Daten zugegriffen werden kann, befinden sich in unserem Bürogebäude mit der Anschrift: Am Ortsrand 3, 26188 Edewecht. Es existiert ein mechanisches Schloss für das Gebäude.

3. Zugangs- und Zutrittskontrollmaßnahmen

Es existiert ein definierter Freigabeprozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der Neueinstellung und beim Ausscheiden von Mitarbeitenden bzw. bei organisatorischen Veränderungen. Die Vergabe bzw. Änderungen von Zugriffsberechtigungen wird dabei protokolliert. Die Mitarbeiter authentisieren sich über eine individuelle Kennung gegenüber dem zentralen Verzeichnisdienst.

Es existieren verbindliche Passwortparameter im Unternehmen. Die Passwortzeichenlänge beträgt mindestens 8 Zeichen und muss Sonderzeichen enthalten. Das IT-System zwingt den Nutzer zur Einhaltung der zuvor genannten Passwortvorgaben. Bei Verlust, Vergessen oder Ausspähen des Passworts wird durch den Administrator ein neues Initialpasswort vergeben. Der Nutzer erstellt im Anschluss ein neues Passwort unter Einhaltung der Passwortvorgaben.

Der Bildschirm wird nach 5 Minuten Inaktivität des Benutzers automatisch gesperrt.

Die Systeme, auf denen personenbezogene Daten verarbeitet werden, werden über eine Firewall abgesichert. Die Firewall wird von einem externen Dienstleister administriert und in regelmäßigen Abständen geupdatet. Die Aufschaltung auf die Firewall ist nur im Vier-Augen-Prinzip mit einem Mitarbeiter aus der eigenen IT möglich.

4. Maßnahmen zur Sicherung von Papierunterlagen, mobilen Datenträgern und mobilen Endgeräten

Nicht mehr benötigte Papier-Unterlagen mit personenbezogenen Daten werden in einer verschlossenen Datentonne gesammelt, die von einem Entsorgungsdienstleister zur datenschutzkonformen Vernichtung abgeholt werden.

Die Nutzung von unternehmenseigenen mobilen Datenträgern im Unternehmen ist erlaubt.

USB-Sticks, Festplatten und weitere nicht mehr benötigte Datenträger, auf denen personenbezogene Daten gespeichert sind, werden von der eigenen IT bereinigt. Wird der Datenträger entsorgt, erfolgt außerdem eine physische Zerstörung des Datenträgers.

Es werden keine personenbezogenen Daten auf privaten Geräten verarbeitet. Die Nutzung von privaten Datenträgern innerhalb des Firmennetzwerks ist nicht gestattet.

5. Maßnahmen zur sicheren Datenübertragung

Der Transfer personenbezogener Daten erfolgt durchgängig verschlüsselt per VPN und https/TLS. Die bei der Datenübertragung verwendeten Schlüssel und Zertifikate werden durch einen externen Dienstleister verwaltet.

B. Maßnahmen zur Sicherstellung der Verfügbarkeit

1. Serverraum

Der Serverraum verfügt über eine feuerfeste bzw. feuerhemmende Zugangstür, ist mit Rauchmeldern ausgestattet, an eine Brandmeldezentrale angeschlossen und mit CO2 Löschsystemen ausgestattet. Die Außenwände des Serverraums bestehen aus Massivwänden. Der Raum ist klimatisiert und verfügt über eine unterbrechungsfreie Stromversorgung (USV).

Alle zuvor genannten Sicherheitsvorkehrungen für den Serverraum werden in regelmäßigen Abständen überprüft und ggf. gewartet.

2. Backup- und Notfallkonzept, Virenschutz

Es existiert ein Backupkonzept und die Funktionalität der Backup Wiederherstellung wird regelmäßig getestet. Systeme, auf denen personenbezogene Daten gespeichert werden, werden täglich abgesichert. Das Backup wird sowohl auf physischen als auch virtuellen Sicherungsmedien gespeichert. Alle Backups werden verschlüsselt und befinden sich in einem, vom primären Server aus betrachtet, getrennten Brandabschnitt bzw. Gebäudeteil. Abhängig von der Art des Backups wird das Speichermedium im einfachen Safe, im Serverraum oder im Privathaushalt des zuständigen Backupbeauftragten aufbewahrt. Muss ein Backup transportiert werden, so erfolgt die Mitnahme durch einen Mitarbeitenden der IT-Abteilung oder der Geschäftsführung.

Es existiert ein Notfallkonzept.

Es existiert ein dokumentierter Prozess zum Software– bzw. Patchmanagement. Für das Software bzw. Patchmanagement ist die eigene IT verantwortlich.

Die IT-Systeme sind mittels stets aktualisiertem Virenschutz und Spamfilter technisch vor Datenverlusten bzw. unbefugten Datenzugriffen geschützt. Die Wartung erfolgt durch einen externen Dienstleister.

3. Netzanbindung

Der Standort der Rita Bosse Software GmbH am Ortsrand 3 in 26188 Edewecht verfügt über eine redundante Internetanbindung. Für die Netzanbindung des Unternehmens sind sowohl die eigene IT als auch ein externer Dienstleister zuständig.

C. Pseudonymisierung / Verschlüsselung

Verarbeitete personenbezogene Daten werden bei der Übergabe an den Etikettenshop pseudonymisiert. Die Pseudonymisierung kann bei Bedarf im Mehr-Augen-Prinzip rückgängig gemacht werden.

Anlage 3: Genehmigte Unterauftragsverarbeiter

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO: