Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO


Sie sind hier: InLoox Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

InLoox GmbH

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

Stand: 15. Juni 2021

Vereinbarung

zwischen dem

Kunden der InLoox GmbH
- Verantwortlicher - nachstehend Auftraggeber genannt -

und der

InLoox GmbH, Walter-Gropius-Straße 17, D-80807 München
- Auftragsverarbeiter - nachstehend Auftragnehmer genannt -

1. Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags ergibt sich aus der jeweiligen Bestellung des Kunden sowie die dort referenzierten allgemeinen Geschäftsbedingungen, auf die hier insgesamt verwiesen wird (nachstehend „Leistungsvereinbarung“).

(2) Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in der Leistungsvereinbarung konkret beschrieben. Insbesondere erbringt der Auftragnehmer gegenüber dem Auftraggeber im Rahmen der Leistungsvereinbarung folgende Leistungen:

  • Einrichtung einer Projektmanagementsoftware auf vom Auftraggeber betriebenen Computersystemen;
  • Erbringung von Wartungsleistungen auf vom Auftraggeber betriebenen Computersystemen;
  • Einrichtung, Betrieb und Wartung einer Projektmanagementsoftware auf Servern des benannten Unterauftragnehmers des Auftragnehmers.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet durch den Auftragnehmer selbst ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Soweit jeweils in Anlage 1 – Technisch-organisatorische Maßnahmen – ausdrücklich bezeichnet, finden einzelne Verarbeitungen außerhalb eines Mitgliedsstaates der Europäischen Union oder in eines anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum statt; in diesen Fällen ist jedoch stets das angemessene Schutzniveau im Drittstaat gewährleistet (siehe Anlage 2) und durch die in Anlage 1 genannten Maßnahmen sichergestellt. Jede sonstige Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind. Diese Zustimmung kann für in diesem Vertrag genannte einzelne Verarbeitungen für jeweils ein spezifisches Drittland erteilt werden, auch im Hinblick auf Unterauftragsverhältnisse.

(2) Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

  • Personenstammdaten
  • Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Adressdaten
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten einschließlich Ressourcen
  • Weitere Daten, falls vom Kunden eingegeben (z. B. Geburtsdaten, Fertigkeiten)

(3) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Beschäftigte
  • Lieferanten, externe Dienstleister
  • Kunden
  • Geschäftspartner
  • Interessenten
  • Weitere Ansprechpartner, falls vom Kunden eingegeben

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die im Einzelnen ergriffenen technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken, soweit keine gesetzlichen Anforderungen den Auftragnehmer zu selbständigem Tätigwerden verpflichten. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber bei Vertragsschluss bekanntzugeben. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO Die Einzelheiten sind in Anlage 1 aufgeführt.

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diese konkrete und grundsätzliche Beauftragung beziehen und eine solche Information gesetzlich nicht verboten ist. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen, soweit dies gesetzlich erlaubt ist.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

a) Der Auftraggeber stimmt der Beauftragung der in Anlage 2 benannten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu.

b) Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber spätestens 14 Tage vorab schriftlich oder in Textform anzeigt und
  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

(3) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(4) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. Die technischen und organisatorischen Maßnahmen von Unterauftragnehmern sind an die hier definierten technischen und organisatorischen Maßnahmen anzulehnen und dürfen nur in begründeten Ausnahmefällen das hier vereinbarte Niveau unterschreiten.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig und spätestens 14 Tage vorab anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen:

d) unverzügliche Weiterleitung von Ersuchen betroffener Personen, z. B. Recht auf Auskunft, an den Auftraggeber;

e) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;

f) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. Grundlage für die Berechnung der Vergütung ist die Leistungsvereinbarung oder die allgemeinen Vergütungssätze des Auftragnehmers für vergleichbare Tätigkeiten.

9. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Die Feststellung der Beendigung der Leistungsvereinbarung bedarf der Mitteilung durch den Auftraggeber. Mit der Erklärung, die vertragliche Beziehung einstellen zu wollen, beginnt zudem die Löschfrist hinsichtlich aufbewahrungspflichtiger Geschäftsunterlagen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Sonstiges

Der Ansprechpartner beim Auftraggeber auch für den Datenschutz ist standardmäßig der als Rechnungskontakt benannte Ansprechpartner; dieser kann jederzeit vom Auftraggeber geändert oder ergänzt werden. Ansprechpartner beim Auftragnehmer ist dessen jeweiliger Datenschutzbeauftragter, erreichbar unter inloox@ws-datenschutz.de.

Anlage 1 – Technisch-organisatorische Maßnahmen

A. Auftragnehmer:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle
    Es wird unterschieden zwischen der Zutrittskontrolle zu den InLoox-Standorten, der Zutrittskontrolle zu den Sicherheitsbereichen innerhalb der InLoox-Standorte sowie der Zutrittskontrolle zu den externen Rechenzentren.
    • Zutrittskontrolle InLoox-Standorte:
      • Schließanlage (physische Schlüssel, Chipkarten oder Token)
      • Berechtigungsvergabe (Schlüsselverwaltung und grundsätzliche Zutrittsberechtigungen)
      • Besucherregelung
      • Clear-Desk-Regelungen
      • Der Zutritt von Fremdkräften (z. B. Reinigungspersonal) zu einzelnen Gebäuden oder Räumen wird dokumentiert
    • Zutrittskontrolle Sicherheitsbereiche innerhalb der InLoox-Standorte:
      • Zweite, unabhängige Schließanlage (physische Schlüssel, Fingerabdrucklesegeräte, Chipkarten oder Token)
      • Berechtigungsvergabe (Schlüsselverwaltung und grundsätzliche Zutrittsberechtigungen)
      • Eingeschränkter Benutzerkreis
      • Generelles Besucherverbot
    • Zutrittskontrolle Rechenzentren:
      Es wird unterschieden zwischen Rechenzentren, die InLoox im Rahmen von InLoox now! und für Managed Services betreibt, sowie Rechenzentren, die InLoox für die interne Verwendung betreibt, z. B. zur Verwaltung, Entwicklung und Marketing sowie den Rechenzentren für den Kundensupport.
      • Rechenzentren für den Betrieb von InLoox now! und für Managed Services:
        • InLoox betreibt im Rahmen von InLoox now! und für Managed Services keine eigenen Rechenzentren, sondern hat Microsoft-Rechenzentren in Deutschland angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
        • Die Rechenzentren befinden sich in Frankfurt am Main und Berlin. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt. 
        • Die Zutrittsberechtigungen zu den Rechenzentren sind personalisiert und auf einen dokumentierten Personenkreis eingeschränkt.
        • Einzelheiten zur Zugriffskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft-Rechenzentren in Deutschland“.
        • Das System benachrichtigt im Projektraum hinterlegte Benutzer per E-Mail über Aktionen anderer Benutzer. Der Versand dieser E-Mails erfolgt mittels SendGrid. SendGrid hat seinen Sitz in den Vereinigten Staaten von Amerika, wobei für diese Rechenzentren eine Anerkennung des gleichen Schutzniveaus durch Standardvertragsklauseln besteht. Einzelheiten siehe Anhang 2 im Abschnitt „Unterauftragnehmer SendGrid Inc.“.
      • Rechenzentren für die interne Verwendung bei InLoox:
        • InLoox hat Rechenzentren in Microsoft Azure angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
        • Die Rechenzentren befinden sich in der Europäischen Union sowie in den Vereinigten Statten von Amerika. Soweit personenbezogene Daten von Bürgern der EU in Rechenzentren außerhalb der Europäischen Union verbracht werden, besteht für diese Rechenzentren eine Anerkennung des gleichen Schutzniveaus durch Standardvertragsklauseln.
        • Die Zutrittsberechtigungen zu den Rechenzentren sind personalisiert und auf einen dokumentierten Personenkreis eingeschränkt.
        • Einzelheiten zur Zugriffskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft Azure“.
      • Rechenzentren für den Kundensupport:
        • Für Supportanfragen von Kunden, die per E-Mail oder über ein Webformular eingereicht werden, nutzt InLoox die Software Freshdesk, betrieben durch Freshworks Inc.
        • Vertraglich geregelt ist die Nutzung eines Rechenzentrums in Frankfurt am Main sowie eine datenschutzkonforme Datenverarbeitungsvereinbarung.
        • Einzelheiten zur Zugriffskontrolle befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Freshworks“.
  • Zugangskontrolle
    Es wird unterschieden zwischen der Zugangskontrolle zu den Rechenzentren, der Zugangskontrolle zu den Rechenzentren für den Kundensupport, der Zugangskontrolle zu den InLoox-Standorten, der Zugangskontrolle über das Internet sowie der generellen Zugangskontrolle.
    • Generelle Zugangskontrolle:
      • Zugangsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
      • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
      • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
      • Es gibt eine Richtlinie für das Sperren der Rechner.
      • Entsprechend der technischen Möglichkeiten werden Timeouts konfiguriert.
      • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
      • Sämtliche Zugänge sind mit Benutzernamen und Passwort gesichert.
      • Es bestehen Anforderungen an die Passwortkomplexität.
      • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
    • Zugangskontrolle über das Internet:
      • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
      • Der Zugang zu den Datenverarbeitungssystemen ist mittels Benutzernamen und Passwörtern geschützt.
      • Der Zugang zu den Datenverarbeitungssystemen erfolgt mittels VPN-Technologie und personenbezogenen Zugangsdaten.
      • Der Remote-Zugang zu den Datenverarbeitungssystemen ist lediglich einem eingeschränkten Benutzerkreis gestattet.
      • Der Remote-Zugang zu datenschutzrelevanten Systemen erfordert eine Zwei-Faktor-Authentifizierung.
      • Datenschutzrelevante Kernsysteme sind nur über das Unternehmensnetzwerk erreichbar.
    • Zugangskontrolle in den InLoox-Standorten:
      • Der Zugang zu den Inhouse-Datenverarbeitungssystemen ist zusätzlich mittels Fachbereich-spezifischen Boot-Passwörtern geschützt.
      • Es existiert eine Clear-Desk-Regelung.
    • Zugangskontrolle in den Rechenzentren:
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist auf bestimmte IP-Adressbereiche und InLoox-Standorte eingeschränkt (verringerte Zugangspunkte).
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
      • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Microsoft. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft-Rechenzentren in Deutschland“ sowie „Unterauftragnehmer Microsoft Azure“.
    • Zugangskontrolle in den Rechenzentren für den Kundensupport:
      • Der Mitarbeiter-Zugang zu den Systemen ist auf bestimmte IP-Adressbereiche und InLoox-Standorte eingeschränkt (verringerte Zugangspunkte).
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
      • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Freshworks. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Freshworks“.
  • Zugriffskontrolle
    Die Zugriffsberechtigungen sind in der Praxis oft an die Zugangsberechtigungen gekoppelt, sodass die Maßnahmen zum Zugang auch indirekte Auswirkungen auf den Zugriff haben.
    • Zugriffsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
    • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
    • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
    • Es bestehen Anforderungen an die Passwortkomplexität.
    • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
  • Trennungskontrolle
    • Trennung von Test- und Produktivsystemen (Sandboxing).
    • Getrennte Speicherung in unterschiedlichen Systemen:
      • CRM / allgemeine Kundendaten
      • ERP / buchhaltungsrelevante Daten
      • Service- und Supportdaten
      • Produktivdaten der Kunden von InLoox now!
      • Produktivdaten der Kunden von Managed Services
    • Zusätzliche Merkmale für Produktivdaten der Kunden von InLoox now!:
      • Jedes Nutzerkonto wird dabei auf einem eigenen, isolierten Datenbankschema ausgeführt (SQL-Schematrennung).
      • Logische Mandantentrennung
      • Festlegung von Datenbankrechten
      • Mehrstufiges Berechtigungskonzept; unterschiedliche Benutzer haben unterschiedliche Rechte zur Eingabe, Änderung und Löschung von Daten in der Benutzeroberfläche.

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    • Alle Mitarbeiter sind vertraglich auf Vertraulichkeit und Verschwiegenheit verpflichtet.
    • Alle Mitarbeiter sind vertraglich auf § 88 des TKG verpflichtet.
    • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
    • Web-Oberflächen verwenden gesicherte Verbindungen (TLS/SSL) mit Schlüssellängen, die dem Stand der Technik entsprechen.
    • InLoox-Standorte sowie Remote-Verbindungen zu InLoox-Standorten sind über Virtual Private Network (VPN) Tunnel gesichert.
    • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
    • Die Löschfristen der überlassenen Daten entsprechen den gesetzlichen Vorgaben und sind im internen Löschkonzept niedergelegt.
    • Bei Kommunikation mit externen Geschäftspartnern, Kunden und Diensten werden Verschlüsselungen nach dem Stand der Technik eingesetzt, sofern der Kommunikationspartner dies wünscht. Die bei der Verschlüsselung verwendeten Signaturen werden gegen die Zertifizierungsstelle validiert.
  • Eingabekontrolle
    Es wird unterschieden zwischen der Eingabekontrolle von Daten, die InLoox intern verwendet, z. B. zur Verwaltung, Entwicklung, Support und Marketing sowie der Eingabekontrolle von Produktivdaten der Kunden von InLoox now! sowie generellen Eingabekontrollen.
    • Generelle Eingabekontrolle:
      • Der Zugriff erfolgt mittels individueller Benutzernamen und Passwörter.
      • Ein mehrstufiges Berechtigungskonzept sorgt dafür, dass unterschiedliche Benutzer unterschiedliche Rechte zur Eingabe, Änderung und Löschung von Daten in der Benutzeroberfläche haben.
    • InLoox-interne Eingabekontrolle:
      • Versionierung der internen Dokumente (Dokumentenmanagement).
      • Versionierung von Quellcodes (Quellcodemanagement).
      • Protokollierung von Support-Tickets (Kundenservicemanagement).
    • Eingabekontrolle von Produktivdaten der Kunden von InLoox now!:
      • Datensätze beinhalten eine Erstell-, Veränderungs- und Löschkennzeichnung.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle
    Es wird unterschieden zwischen der Verfügbarkeitskontrolle von Daten, die a) InLoox intern verwendet, z. B. zur Verwaltung, Entwicklung und Marketing, der Verfügbarkeitskontrolle von Kundensupportdaten, der Verfügbarkeitskontrolle von Produktivdaten der Kunden von InLoox now! sowie der Verfügbarkeitskontrolle von Produktivdaten der Kunden von Managed Services. 
    • Verfügbarkeitskontrolle von InLoox-internen Daten:
      Es wird unterschieden zwischen Datenverarbeitungsanlagen, die InLoox innerhalb der Standorte selbst betreibt und Datenverarbeitungsanlagen in externen Rechenzentren, die InLoox angemietet hat.
      • Datenverarbeitungsanlagen innerhalb der InLoox-Standorte:
        • Brandschutzeinrichtungen (Feuerlöscher, Rauch- oder Brandmelder), Rauchverbot
        • Unterbrechungsfreie Stromversorgung (USV)
        • Klimaanlage
        • Verwendung von RAID Systemen in den Servern
        • Verwendung eines Virenschutzes
        • Datensicherung durch Replikation der Daten an verschiedene InLoox-Standorte sowie an externe Rechenzentren.
      • Datenverarbeitungsanlagen in externen Rechenzentren:
        • InLoox hat Rechenzentren in Microsoft Azure angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
        • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft Azure“.
    • Verfügbarkeitskontrolle von Kundensupportdaten:
      • Einzelheiten zur Verfügbarkeitskontrolle befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Freshworks“.
    • Verfügbarkeitskontrolle von Produktivdaten der Kunden von InLoox now! und für Managed Services:
      • InLoox betreibt im Rahmen von InLoox now! und für Managed Services keine eigenen Rechenzentren, sondern hat Microsoft-Rechenzentren in Deutschland angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
      • Die Rechenzentren befinden sich in Frankfurt am Main und Berlin. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt. 
      • Simultane Bereitstellung auf voneinander unabhängigen Systemen ("Hot Spare"-Prinzip).
      • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft-Rechenzentren in Deutschland“.
    • Zusätzliche Merkmale für Produktivdaten der Kunden von InLoox now!:
      • Täglich, vollautomatische Backups der Projektdatenbanken. Der Vorhaltezeitraum beträgt 7 Tage (InLoox now! Professional) bzw. 30 Tage (InLoox now! Enterprise). 
      • Sicherungs-Möglichkeit durch den Kunden (Self-Service-Backup). 
      • Rasche Wiederherstellbarkeit durch Support-Mitarbeiter.
      • Georedundante Dokumentenspeicherung. 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • Datenschutz-Management:
    • Auditplanung und Durchführung von internen- und externen Audits.
    • Durchführung von Sensibilisierungsmaßnahmen / regelmäßige Mitarbeiterschulungen.
    • Reporting bzw. Berichterstattung.
    • Risikomanagement und -analyse.
    • Durchführung von Penetrationstests.
    • Datenschutz-Folgenabschätzung und -Maßnahmenplanung für neue und geänderte Abläufe als Standardprozess.
  • Prozess zur Behandlung von Datenschutzvorfällen:
    • Meldungspflicht / Meldeprozesse.
    • Regelmäßige Mitarbeiterschulungen.
  • Datenschutzfreundliche Voreinstellungen:
    • Richtlinien für private Endgeräte im betrieblichen Einsatz (BYOD).
    • Richtlinien für betriebliche Endgeräte.
    • Gruppen- und Netzwerksicherheitsrichtlinien (Domain Policy).
  • Auftragskontrolle:
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch
    • eindeutige Vertragsgestaltung.
    • formalisiertes Auftragsmanagement.
    • strenge Auswahl und Überwachung des jeweiligen Dienstleisters/Unterauftragnehmers.

B. Unterauftragnehmer:

Siehe ergänzend jeweils die Verweise zum aktuellen Stand der Maßnahmen zum jeweiligen Unterauftragnehmer in Anlage 2.

1. Microsoft Corporation, Stand Januar 2020

Microsoft hat für Kundendaten in den Kernonlinediensten die folgenden Sicherheitsmaßnahmen getroffen, die in Verbindung mit den Sicherheitsverpflichtungen in diesem DPA (einschließlich der Bestimmungen der DSGVO) die einzige Verantwortung von Microsoft in Bezug auf die Sicherheit dieser Daten darstellen, und wird diese Maßnahmen aufrechterhalten.

Domäne Praktiken
Organisation der IT-Sicherheit

Verantwortung für die Sicherheit. Microsoft hat einen oder mehrere Sicherheitsbeauftragte ernannt, die für die Koordination und Überwachung der Sicherheitsregeln und -verfahren verantwortlich sind.

Funktionen und Verantwortlichkeiten in Bezug auf Sicherheit. Microsoft-Mitarbeiter, die Zugang zu Kundendaten haben, sind zur Vertraulichkeit verpflichtet.

Risikomanagementprogramm. Microsoft führte eine Risikobewertung durch, bevor die Kundendaten verarbeitet oder die Onlinedienste-Leistungen gestartet wurden.

Microsoft archiviert ihre Sicherheitsunterlagen im Rahmen ihrer Aufbewahrungspflichten, nachdem sie nicht mehr in Kraft sind.

Asset-Management

Anlagenbestand. Microsoft pflegt einen Bestand aller Medien, auf denen Kundendaten gespeichert sind. Der Zugriff auf die Bestände solcher Medien ist auf Microsoft-Mitarbeiter beschränkt, die schriftlich dazu berechtigt sind.

Asset-Handling

  • Microsoft unterteilt Kundendaten in Kategorien, um die Identifizierung zu unterstützen und eine angemessene Beschränkung des Zugriffs auf Kundendaten zu ermöglichen.
  • Microsoft legt Einschränkungen für das Drucken von Kundendaten fest und verfügt über Verfahren für die Entsorgung gedruckter Materialien, die Kundendaten enthalten.
  • Mitarbeiter von Microsoft müssen eine Genehmigung von Microsoft einholen, bevor sie Kundendaten auf tragbaren Geräten speichern, remote auf Kundendaten zugreifen oder Kundendaten außerhalb der Einrichtungen von Microsoft verarbeiten.
Personalsicherheit Sicherheitsschulungen. Microsoft informiert seine Mitarbeiter über relevante Sicherheitsverfahren und deren jeweilige Rollen. Microsoft informiert seine Mitarbeiter auch über mögliche Folgen einer Verletzung der Sicherheitsregeln und -verfahren. Microsoft verwendet in der Schulung nur anonyme Daten.
Physische und ökologische Sicherheit

Physischer Zugang zu Einrichtungen. Microsoft beschränkt den Zugang zu Einrichtungen, in denen sich Kundendaten verarbeitende Informationssysteme befinden, auf identifizierte, autorisierte Personen.

Physischer Zugriff auf Komponenten. Microsoft führt Aufzeichnungen über die ein- und ausgehenden Medien, die Kundendaten enthalten, einschließlich der Art der Medien, des zugelassenen Absenders/der zugelassenen Empfänger, Datum und Uhrzeit, der Anzahl von Medien und der darin enthaltenen Arten von Kundendaten.

Schutz vor Unterbrechungen. Microsoft nutzt eine Vielzahl von Branchenstandardsystemen, um den Verlust von Daten durch Stromausfall oder Leitungsinterferenzen zu verhindern.

Entsorgung von Komponenten. Microsoft verwendet Branchenstandardprozesse, um Kundendaten zu löschen, wenn sie nicht mehr benötigt werden.

Kommunikations- und Betriebsmanagement

Betriebsrichtlinie. Microsoft pflegt Sicherheitsunterlagen, in denen die Sicherheitsmaßnahmen sowie die entsprechenden Verfahren und Verantwortlichkeiten der Mitarbeiter beschrieben sind, die Zugang zu Kundendaten haben.

Datenwiederherstellungsverfahren

  • Microsoft erstellt kontinuierlich, mindestens jedoch einmal pro Woche (es sei denn, es wurden im betreffenden Zeitraum keine Kundendaten aktualisiert) mehrere Kopien von Kundendaten, aus denen Kundendaten wiederhergestellt werden können.
  • Microsoft bewahrt Kopien von Kundendaten und Datenwiederherstellungsverfahren an einem anderen Ort als dem auf, an dem sich die primären Computergeräte befinden, von denen die Kundendaten verarbeitet werden.
  • Microsoft verfügt über bestimmte Verfahren, die den Zugriff auf Kopien von Kundendaten regeln.
  • Microsoft prüft die Datenwiederherstellungsverfahren mindestens einmal alle sechs Monate. Ausgenommen hiervon sind Verfahren für Azure Government Services, die alle zwölf Monate geprüft werden.
  • Microsoft protokolliert Datenwiederherstellungsmaßnahmen. Dabei werden Informationen zur verantwortlichen Person, die Beschreibung der wiederhergestellten Daten sowie gegebenenfalls Angaben zu den Daten, die bei der Datenwiederherstellung manuell eingegeben werden mussten, aufgezeichnet.

Malware. Microsoft nimmt Anti-Schadsoftware-Kontrollen vor, um zu verhindern, dass bösartige Software unbefugten Zugriff auf Kundendaten erhält, einschließlich bösartiger Software aus öffentlichen Netzwerken.

Daten außerhalb von Landesgrenzen

  • Microsoft verschlüsselt Kundendaten, die über öffentliche Netzwerke übermittelt werden, oder ermöglicht dem Kunden eine solche Verschlüsselung.
  • Microsoft schränkt den Zugriff auf Kundendaten in Medien ein, die die Einrichtungen von Microsoft verlassen.

Ereignisprotokollierung. Microsoft protokolliert oder ermöglicht es dem Kunden, Kundendaten enthaltende Informationssysteme zu protokollieren, darauf zuzugreifen und diese zu nutzen, indem die Zugangs-ID, die Uhrzeit, die erteilte oder verweigerte Berechtigung und die entsprechende Aktivität registriert werden.

Zugriffskontrolle

Zugriffsrichtlinie. Microsoft führt eine Aufzeichnung der Sicherheitsberechtigungen von Einzelpersonen, die Zugang zu Kundendaten haben.

Zugriffsberechtigung

  • Microsoft pflegt und aktualisiert Unterlagen zu den Mitarbeitern, die zum Zugriff auf Microsoft-Systeme autorisiert sind, die Kundendaten enthalten.
  • Microsoft deaktiviert Anmeldedaten, die über einen bestimmten Zeitraum, der sechs Monate nicht überschreiten darf, nicht verwendet wurden.
  • Microsoft benennt diejenigen Mitarbeiter, die berechtigt sind, den autorisierten Zugriff auf Daten und Ressourcen zu gewähren, zu ändern oder zu widerrufen.
  • Wenn mehrere Personen Zugriff auf die Systeme haben, in denen Kundendaten enthalten sind, stellt Microsoft sicher, dass diese Personen über separate Kennungen/Anmeldedaten verfügen.

Geringste Rechte

  • Technischen Supportmitarbeitern ist der Zugriff auf Kundendaten nur gestattet, wenn dies erforderlich ist.
  • Microsoft schränkt den Zugriff auf Kundendaten auf solche Personen ein, die diesen Zugriff benötigen, um ihre berufliche Tätigkeit auszuführen.

Integrität und Vertraulichkeit

  • Microsoft weist Mitarbeiter an, Administrationssitzungen zu deaktivieren, wenn sie Einrichtungen, die sich unter der Kontrolle von Microsoft befinden, verlassen oder wenn Computer anderweitig unbeaufsichtigt sind.
  • Microsoft speichert Kennwörter so, dass sie während des Gültigkeitszeitraums nicht erkennbar sind.

Authentifizierung

  • Microsoft verwendet Verfahren nach Branchenstandard, um Benutzer zu identifizieren und zu authentifizieren, die versuchen, auf Informationssysteme zuzugreifen.
  • Wenn die Authentifizierungsverfahren auf Kennwörtern beruhen, schreibt Microsoft vor, dass die Kennwörter regelmäßig erneuert werden müssen.
  • Wenn die Authentifizierungsverfahren auf Kennwörtern beruhen, schreibt Microsoft vor, dass das Kennwort mindestens acht Zeichen umfassen muss.
  • Microsoft stellt sicher, dass deaktivierte oder abgelaufene Kennungen an keine andere Person vergeben werden.
  • Microsoft überwacht wiederholte Versuche, sich mit ungültigen Kennwörtern Zugriff auf Informationssysteme zu verschaffen, oder ermöglicht Kunden eine solche Überwachung.
  • Microsoft unterhält Verfahren nach Branchenstandard zur Deaktivierung von Kennwörtern, die manipuliert oder versehentlich offengelegt wurden.
  • Microsoft verwendet Verfahren nach Branchenstandard zum Schutz von Kennwörtern, einschließlich Verfahren, die die Vertraulichkeit und Integrität von Kennwörtern während der Zuweisung und Verteilung sowie während der Speicherung wahren sollen.

Netzwerkdesign. Microsoft führt Kontrollen durch, um zu verhindern, dass Personen Zugriffsrechte erhalten, die ihnen nicht zugewiesen wurden, um Zugang zu Kundendaten zu erhalten, auf die sie nicht zugreifen dürfen.

Handhabung eines Informationssicherheitsvorfalls

Vorfallreaktionsablauf

  • Microsoft führt Unterlagen über Sicherheitsverletzungen unter Angabe einer Beschreibung der Verletzung, des Zeitraums, der Konsequenzen der Verletzung, des Namens der Person, die den Zwischenfall gemeldet hat, und der Person, der der Zwischenfall gemeldet wurde, sowie des Verfahrens für die Wiederherstellung von Daten.
  • Für jede Sicherheitsverletzung, bei der es sich um einen Sicherheitsvorfall handelt, erfolgt (wie im Abschnitt „Meldung von Sicherheitsvorfällen“ weiter oben beschrieben) unverzüglich und auf jeden Fall innerhalb von 72 Stunden eine Benachrichtigung seitens Microsoft.
  • Microsoft verfolgt Offenlegungen von Kundendaten, darunter Informationen dazu, welche Daten gegenüber wem und zu welchem Zeitpunkt offengelegt wurden, oder ermöglicht Kunden eine solche Verfolgung.

Dienstüberwachung. Das Microsoft-Sicherheitspersonal überprüft die Protokolle mindestens alle sechs Monate, um gegebenenfalls Wartungsmaßnahmen vorzuschlagen.

Geschäftsfortführungsmanagement
  • Microsoft unterhält Notfall- und Alternativpläne für die Einrichtungen, in denen sich Microsoft Informationssysteme befinden, die Kundendaten verarbeiten.
  • Die redundante Speicherung von Microsoft sowie die Verfahren zur Wiederherstellung von Daten sind so konzipiert, dass versucht wird, Kundendaten in ihrem ursprünglichen oder ihrem zuletzt replizierten Zustand vor dem Verlust oder der Vernichtung zu rekonstruieren.

 

2. SendGrid Inc., Stand April 2018

Die deutsche Fassung der Maßnahmen dieses Unterauftragnehmers dient nur zur Informations- und Übersetzungszwecken. Für die Auslegung einzelner Regelungen und/oder bei Widersprüchlichkeiten zwischen den Sprachversionen bleibt stets die englische Sprachversion maßgeblich und verbindlich. Diese kann abgerufen werden unter: https://www.inloox.com/order-processing-contract-in-accordance-with-art--28-gdpr/#sendgrid 

1. Kontrollen auf Netzwerkebene

a) SendGrid verwendet Host-basierte Firewall(s) zum Schutz von Hosts/Infrastrukturen, mit oder auf denen personenbezogene Daten verarbeitet werden. Die Firewall(s) muss/müssen in der Lage sein, die folgenden Funktionen effektiv auszuführen: Stateful Inspection, Logging, Unterstützung für starke Verschlüsselung und Hashing, ICMP- und SNMP-basierte Überwachung und Antispoofing.

b) SendGrid verfügt über eine netzwerkbasierte Sicherheitsüberwachung für das/die Segment(e), auf dem/denen sich die Hosts, die mit personenbezogenen Daten umgehen, logisch befinden.

c) SendGrid bewertet Schwachstellen auf Netzwerkebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

d) SendGrid wendet Change-Management-Standards für Netzwerk-/Infrastrukturkomponenten an, die mit personenbezogenen Daten umgehen.

2. Kontrollen auf Hosting-Ebene

a) SendGrid implementiert eine Betriebssystem-Härtung für Hosts/Infrastrukturen, die mit personenbezogenen Daten umgehen. Die Betriebssystemhärtung umfasst unter anderem die folgenden Konfigurationen: starke Passwortauthentifizierung/Verwendung von Schlüsseln, Inaktivitäts-Timeout, Deaktivieren oder Entfernen von unbenutzten oder abgelaufenen Konten und Diensten, Deaktivieren unbenutzter Ports und Protokollverwaltung. Darüber hinaus implementiert SendGrid Zugriffskontrollprozesse und schränkt den Zugriff auf Betriebssystemkonfigurationen nach dem Least Privileg-Prinzip ein.

b) SendGrid führt das Patch-Management auf Systemen durch, die personenbezogene Daten hosten oder mit ihnen umgehen. SendGrid implementiert kritische Patches innerhalb der vom Hersteller empfohlenen Zeitfenster auf Systemen, die personenbezogene Daten hosten oder mit ihnen umgehen, mit einer Frist von nicht mehr als 30 Tagen, nachdem der Patch identifiziert wurde.

c) SendGrid implementiert spezifische Kontrollen, um Aktivitäten von Benutzern mit erhöhtem Zugriff auf Systeme, die personenbezogene Daten hosten oder mit ihnen umgehen, zu protokollieren.

d) SendGrid bewertet mindestens monatlich Schwachstellen auf Systemebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

e) SendGrid setzt eine umfassende Antiviren- oder Endgerätesicherheitslösung für Endgeräte ein, auf welchen personenbezogene Daten verarbeitet werden.

f) Physische Server werden mit geeigneten physischen Sicherheitsmechanismen geschützt, einschließlich – aber nicht beschränkt auf – Zugang mit Ausweis, verschlossene Käfige, sichere Perimeter, Kameras, Alarme und erzwungene Benutzerbereitstellungskontrollen.

3. Kontrollen auf Anwendungsebene

a) SendGrid pflegt die Dokumentation der gesamten Anwendungsarchitektur, der Prozessabläufe und der Sicherheitsfunktionen für Anwendungen, die personenbezogene Daten verarbeiten.

b) SendGrid verwendet sichere Programmierrichtlinien und Protokolle bei der Entwicklung von Anwendungen, die personenbezogene Daten verarbeiten oder mit ihnen umgehen.

c) SendGrid führt regelmäßig ein Patch-Management an Anwendungen durch, die personenbezogene Daten hosten oder mit ihnen umgehen. SendGrid implementiert kritische Patches innerhalb der vom Hersteller empfohlenen Zeitfenster an allen Anwendungen, die personenbezogene Daten hosten oder mit ihnen umgehen, mit einer Frist von nicht mehr als 30 Tagen.

d) SendGrid bewertet mindestens monatlich Schwachstellen auf Anwendungsebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

e) SendGrid führt Code-Reviews durch und verwaltet die Dokumentation der Code-Reviews für Anwendungen, die personenbezogene Daten hosten oder mit ihnen umgehen.

f) SendGrid wendet Change-Management-Standards für Anwendungen an, die personenbezogene Daten hosten oder mit ihnen umgehen.

4. Kontrollen auf Datenebene

SendGrid verwendet eine starke Verschlüsselung (TLS) für die Übertragung von personenbezogenen Daten, die als vertrauliche Informationen gelten. Datensicherungen personenbezogener Daten werden im Ruhezustand und während der Übertragung verschlüsselt; aufgrund der Dynamik der Daten in der SendGrid-Produktionsumgebung werden personenbezogene Daten in den SendGrid-Produktionsdatenbanken jedoch nicht im Ruhezustand verschlüsselt.

5. Kontrollen auf Endbenutzer-Computing-Ebene

a) SendGrid verwendet eine Endpunkt-Sicherheits- oder Antivirenlösung für Endbenutzer-Computer, die mit personenbezogenen Daten umgehen.

b) SendGrid stellt sicher, dass Endbenutzer-Computer, die mit personenbezogenen Daten umgehen, verschlüsselt werden.

6. Compliance-Kontrollen

a) SendGrid bemüht sich nach bestem Wissen und Gewissen im Rahmen der aktuell gültigen Informationssicherheitspolitik von SendGrid zu arbeiten. Diese Politik wird dem Kunden auf Anfrage in gedruckter Form zur Verfügung gestellt.

b) Ungeachtet dessen ergreift SendGrid geeignete physische, technische und organisatorische Sicherheitsmaßnahmen in Übereinstimmung mit Industriestandards, einschließlich – aber nicht beschränkt auf – Gebäudezutrittskontrolle, Mitarbeiterausbildung und Personalsicherheitsmaßnahmen.

3. Freshworks Inc., Stand April 2019

Die deutsche Fassung der Maßnahmen dieses Unterauftragnehmers dient nur zur Informations- und Übersetzungszwecken. Für die Auslegung einzelner Regelungen und/oder bei Widersprüchlichkeiten zwischen den Sprachversionen bleibt stets die englische Sprachversion maßgeblich und verbindlich. Diese kann abgerufen werden unter: https://www.inloox.com/order-processing-contract-in-accordance-with-art--28-gdpr/#freshdesk

Informationssicherheitsprogramm

  • Freshdesk, nachfolgend „Verarbeiter“ genannt, hat einen oder mehrere Sicherheitsbeauftragte ernannt, die für die Koordination und Überwachung der Sicherheitsrichtlinien und -verfahren verantwortlich sind.
  • Das Personal des Verarbeiters, das Zugang zu personenbezogenen Daten hat, ist zur Vertraulichkeit verpflichtet.
  • Der Verarbeiter führt vor der Verarbeitung personenbezogener Daten eine Risikobewertung durch.
  • Der Verarbeiter führt Sicherheitsschulungen durch, um sicherzustellen, dass sein Personal über Sicherheitsrichtlinien, -verfahren und deren jeweilige Rollen informiert ist.
  • Der Verarbeiter informiert das Personal über die möglichen Folgen, die sich aus der Nichtbeachtung der Sicherheitsrichtlinien und -verfahren ergeben können.

Physische Zugangskontrolle

  • Der Verarbeiter beschränkt den Zugang zu Einrichtungen, in denen sich Informationssysteme, die personenbezogene Daten verarbeiten, befinden, mit ausweiskontrolliertem Zugang für autorisiertes Personal.
  • Die Räumlichkeiten des Verarbeiters werden rund um die Uhr von einer Sicherheitskraft überwacht, die an allen Eingangspunkten Videoüberwachung oder ähnliche Methoden einsetzt.
  • Besucher auf dem Gelände des Verarbeiters müssen jederzeit von autorisiertem Personal begleitet werden, und Besuche werden in einem Besucherregister protokolliert.
  • Der Verarbeiter verwendet branchenweit bewährte Sicherheitsmaßnahmen, um sich vor Datenverlust aufgrund von Umwelteinflüssen wie Stromausfall oder anderen Störungen zu schützen.

Systemzugangskontrolle

  • Der Verarbeiter führt und aktualisiert eine Liste aller autorisierten Benutzer, die Zugriff auf personenbezogene Daten haben.
  • Der Verarbeiter hat Maßnahmen ergriffen, um zu verhindern, dass Unbefugte auf Datenverarbeitungssysteme zugreifen können.
  • Der Verarbeiter darf Dritten (mit Ausnahme von Personal und zugelassenen Subunternehmern) nur mit vorheriger Zustimmung von InLoox Zugang zu personenbezogenen Daten gewähren.
  • Der Verarbeiter stellt sicher, dass die Zugriffskontrolle von einem Authentifizierungssystem unterstützt wird.

Datenzugriffskontrolle

  • Die Zugriffsrechte des Personals auf personenbezogene Daten sind auf das für seine Tätigkeit erforderliche Minimum beschränkt.
  • Der Verarbeiter hat Maßnahmen getroffen, um die Verwendung bzw. Installation von nicht autorisierter Hard- und/oder Software zu verhindern.
  • Der Verarbeiter hat Regeln für die sichere und dauerhafte Vernichtung nicht mehr benötigter Daten aufgestellt.

Datenübertragungssteuerung

  • Personenbezogene Daten werden bei der Übertragung über das interne Netzwerk des Verarbeiters verschlüsselt.
  • Personenbezogene Daten werden bei der Übertragung über öffentliche Netze verschlüsselt.

Eingabekontrolle

  • Der Verarbeiter hat Protokollierungsmechanismen eingerichtet, die die Dateneingabe und -löschung protokollieren.
  • Der Bearbeiter protokolliert alle Aktivitäten im Bereich der Dateneingabe, wie z. B:
    • Erfolglose Zugriffsversuche;
    • Ausnahmen von der Autorität;
    • Privilegienänderungen;
    • Besitzerwechsel des Datenobjekts;
    • Zugang außerhalb der Arbeitszeit.
  • Der Verarbeiter stellt sicher, dass die Protokolle regelmäßig auf Sicherheitsvorfälle überprüft werden.

Verfügbarkeitskontrolle

  • Der Verarbeiter hat Business Continuity Pläne und testet regelmäßig die Business Continuity Konzepte.
  • Der Verarbeiter implementiert Backup-Prozesse und andere Maßnahmen, die eine schnelle Wiederherstellung geschäftskritischer Systeme bei Bedarf gewährleisten. 
  • Der Verarbeiter verwendet unterbrechungsfreie Stromversorgungen (z. B. USV, Batterien, Generatoren usw.), um die Stromversorgung der Rechenzentren sicherzustellen.
  • Der Verarbeiter verfügt über genügend Kapazität zur Datenspeicherung.
  • Der Verarbeiter verfügt über einen Notfallplan und testet ihn regelmäßig.

Datentrennungssteuerung

  • Nutzung technischer Möglichkeiten (Mandantenfähigkeit), um die Datentrennung zwischen personenbezogenen Daten von einem und jedem anderen Kunden zu erreichen.
  • Aufgrund des mandantenfähigen/gemeinsamen SaaS-Modells keine dedizierten Instanzen für jeden Kunden.
  • Die Kunden des Verarbeiters (einschließlich ihrer verbundenen Unternehmen) haben nur Zugriff auf ihre jeweiligen eigenen Kundendaten und Transaktionen.

Arbeitsplatzsicherheit

  • Freshworks beinhaltet die Speicherung und Verarbeitung von Kundendaten im AWS Rechenzentrum.
  • Es wird eine passwortgeschützte Tastatur-/Bildschirmsperre eingestellt, die bei einer Inaktivitätsphase automatisch aktiviert wird. Das Inaktivitätszeitintervall beträgt nicht mehr als 30 Minuten.
  • Das mit einer Benutzer-ID für den Computerzugriff verbundene Passwort ist das primäre Mittel, um die Identität zu überprüfen und anschließend den Zugriff auf den Computer und die Informationen zu ermöglichen. Das Passwort zur Identitätsprüfung wird geheim gehalten und nicht an Dritte weitergegeben.
  • Passwörter zur Identitätsprüfung dürfen nicht trivial oder vorhersehbar sein und müssen:
    • Mindestens 8 Positionen lang sein
    • Eine Mischung aus alphabetischen und nicht alphabetischen Zeichen (Zahlen, Satzzeichen oder Sonderzeichen) oder eine Mischung aus mindestens zwei Arten von nicht alphabetischen Zeichen enthalten.
    • Enthält die Benutzer-ID nicht als Teil des Passworts.
  • Das Passwort muss mindestens einmal alle drei Monate (90 Tage) geändert werden. Für die Authentifizierung werden digitale Schlüssel auf Basis der Dualen Authentifizierung verwendet.

Informationssicherheits-Vorfallsmanagement

Der Verarbeiter führt eine Aufzeichnung der Sicherheitsvorfälle mit einer Beschreibung des Vorfalls, des Zeitraums, der Folgen, des Namens des Berichterstatters oder Dienstes, an den der Vorfall gemeldet wurde, und der Behebung.

Bewertung und Zertifizierungen

Der Verarbeiter hat die ISO 27001-Zertifizierung für seine Datensicherheits- und/oder Datenschutzsysteme und sein Unternehmen erhalten.

Anlage 2 – Genehmigte Unterauftragsverhältnisse

Nachstehende Auftragsverarbeiter gelten mit Unterschrift der Vereinbarung als genehmigt:

Name des Auftragsverarbeiters:

Microsoft Corporation

Leistungsgegenstand:

Microsoft Azure Rechenzentren, welche InLoox für die interne Verwendung anmietet, z. B. zur Verwaltung, Entwicklung, Support und Marketing.

Firmensitz/Land:

One Microsoft Way, Redmond, Washington 98052, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Standardvertragsklauseln * (Art. 46 Abs. 2 litt. c und d DS-GVO)

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „1. Microsoft Corporation“

Name des Auftragsverarbeiters:

Microsoft Ireland Operations Limited

Leistungsgegenstand:

Microsoft-Rechenzentren in Deutschland, die InLoox im Rahmen von InLoox now! und für Managed Services anmietet.

Firmensitz/Land:

One Microsoft Place, South County Business Park, Leopardstown, Dublin, D18 P521, Irland

Datenverarbeitungsort:

Deutschland

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „1. Microsoft Corporation“

Name des Auftragsverarbeiters:

SendGrid Inc.

Leistungsgegenstand:

E-Mail-Benachrichtigungen von InLoox now! an im Projektraum hinterlegte Benutzer über Aktionen anderer Benutzer, sowie E-Mail-Benachrichtigungen für Managed Services, des InLoox-Supports und anderer administrativer Systeme, wie z. B. des InLoox Online-Stores.

Firmensitz/Land:

1801 California St., Suite 500, Denver, Colorado 80202, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Standardvertragsklauseln * (Art. 46 Abs. 2 litt. c und d DS-GVO)

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „2. SendGrid Inc.“

Name des Auftragsverarbeiters:

Freshworks Inc.

Leistungsgegenstand:

Kunden-Supportanfragen

Firmensitz/Land:

1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Standardvertragsklauseln * (Art. 46 Abs. 2 litt. c und d DS-GVO)

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „3. Freshworks Inc.“

* Gemäß Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, 2010/87