zwischen dem Verantwortlichen
________________
________________
vertreten durch: ________________
(nachfolgend Auftraggeber genannt)
und dem Auftragsverarbeiter
________________
________________
vertreten durch: ________________
(nachfolgend Auftragnehmer genannt)
Rechtsgrundlage der Verarbeitung für den Auftragnehmer ist Art. 28 DSGVO.
Der Auftragnehmer und seine Mitarbeiter haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).
Mitarbeiter des Auftragnehmers dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung des Auftragnehmers übermitteln. Der Auftragnehmer hat, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.
Der Auftragnehmer hat die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.“
Der Standort des Auftragnehmers des Rechenzentrums (hauptsächlich Hosting und E-Mail-Server) liegt bei Musterhosting AG wir verweisen auf die TOMs der Musterhosting AG (Anlage 2). Alle Serverstandorte der Musterhosting AG befinden sich in Deutschland. Weitere Datenverarbeitungen finden in-House am Unternehmensstandort statt. Ein eigenes Rechenzentrum wird allerdings nicht betrieben. Berücksichtigung finden in den nachfolgenden TOMs Art. 5, 24, 25, 28, 32 DSGVO.
Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO, Maßnahmen:
Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO, Maßnahmen:
Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO, Maßnahmen:
Richtigkeitsgrundsatz nach Art. 5 Abs. 1 lit. d DSGVO, Maßnahmen:
Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, Maßnahmen:
Vertraulichkeitsgrundsatz nach Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:
Integritätsgrundsatz nach Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:
Rechenschaft- & Wirksamkeitsnachweise Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:
Zutrittskontrolle - Es findet eine Zutrittskontrolle (kein Betreten der Datenverarbeitungsanlagen durch Unbefugte) statt. Dies umfasst die folgenden Maßnahmen:
Zugangskontrolle - Verwehrung der Systembenutzung für Unbefugte. Es findet eine Zugangskontrolle (keine Systembenutzung durch Unbefugte) statt. Dies umfasst die folgenden Maßnahmen:
Zugriffskontrolle - Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassen personenbezogenen Daten Zugang haben (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems). Maßnahmen:
Trennungs- bzw. Verwendungszweckkontrolle - Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden). Maßnahmen:
Pseudonymisierung - Hierbei wird der Name oder anderes Identifikationsmerkmal durch ein Alternativmerkmal (z.B. als Code in Zahlen- Buchstabenkombination) ersetzt, die Identität des Betroffenen soll hierdurch verborgen bleiben bzw. wesentlich erschwert feststellbar werden. Maßnahmen:
Verschlüsselung Art. 32 Abs. 1 lit. a DSGVO:
Eingabekontrolle - Es findet eine Kontrolle der Datenverarbeitung in einem System (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) statt. Dies umfasst die folgenden Maßnahmen:
Übertragungs-, Transport- und Weitergabekontrolle - Verfahren mit dem überprüft und festgestellt werden kann, an welcher Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport von Daten unterbinden) Dies umfasst die folgenden Maßnahmen:
Verfügbarkeitskontrolle - Es findet eine Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust) statt. Dies umfasst die folgenden Maßnahmen:
Wiederherstellbarkeit - Zügige Zurückgewinnung von Originaldaten nach einem Datenverlust (nach Verlust durch Störungsfall werden Daten zurückgewonnen) auf einem Datenträger ggf. auch die Erkennung fehlerhaft übertragener Dateneinheiten.
Zur Umsetzung des Rechts auf Löschung (sichere möglichst nicht wiederherstellbare Beseitigung von Daten) wurden folgende Maßnahmen getroffen:
Datenschutzmanagement - Regelmäßige Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen zum Datenschutz, Maßnahmen:
Datenschutzfreundliche Einstellung (Art. 25 II DSGVO) - Strategien und Maßnahmen, die den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen entsprechen. Maßnahmen: