Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

InLoox GmbH

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Stand: 20.08.2025

Der nachfolgende Vertrag über die Auftragsverarbeitung (AV-Vertrag) im Sinne des Art. 28 Abs. 3 DSGVO regelt die datenschutzrechtlichen Pflichten und Rechte im zwischen dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) für die Datenverarbeitung - nachfolgend Verantwortlicher - und dem Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) - nachfolgend Auftragsverarbeiter - InLoox GmbH, Walter-Gropius-Straße 17, 80807 München.

Die sich aus diesem Vertrag ergebenden datenschutzrechtlichen Rechte und Pflichten treten mit Abschluss der Leistungsvereinbarung in Kraft. Der Inhalt entspricht den Standardvertragsklauseln der Kommission im Sinne von Art. 28 Abs. 6, 7 DSGVO vom 04.06.2021 (C 2021) 3701 final.

ABSCHNITT I

Klausel 1 - Zweck und Anwendungsbereich

a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.

b) Die im Hauptvertrag aufgeführten Vertragsparteien haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten. Nähere Informationen zum Auftragsverarbeiter finden Sie auch in Anhang I.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2 - Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3 - Auslegung

a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4 - Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6 - Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7 - Pflichten der Parteien

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von, beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 14 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten, gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag, nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8 - Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9 - Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß: Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10 - Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er, aus welchen Gründen auch immer, nicht in der Lage ist, diese Klauseln einzuhalten.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I – Auftragsverarbeiter

Auftragsverarbeiter

Firma: InLoox GmbH

Adresse: Walter-Gropius-Straße 17, 80807 München, Deutschland

Name, Funktion und Kontaktdaten der Kontaktperson

Dr. Andreas Tremel (Datenschutzkoordinator)

Telefon: +49 (0)89 358 99 88 0

E-Mail: info@inloox.com

Name und Kontaktdaten des Datenschutzbeauftragten

Kemal Webersohn (WS Datenschutz GmbH)

Anschrift: Dircksenstraße 51, 10178 Berlin, Deutschland

Telefon: +49 (0)30 88 72 07 88

E-Mail: inloox@ws-datenschutz.de

ANHANG II – BESCHREIBUNG DER VERARBEITUNG

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:

• Beschäftigte
• Lieferanten, externe Dienstleister
• Kunden
• Geschäftspartner
• Interessenten
• Weitere Ansprechpartner, falls vom Verantwortlichen eingegeben

Kategorien personenbezogener Daten, die verarbeitet werden:

• Personenstammdaten
• Kommunikationsdaten (z.B. Telefon, E-Mail)
• Adressdaten
• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
• Kundenhistorie
• Vertragsabrechnungs- und Zahlungsdaten
• Planungs- und Steuerungsdaten einschließlich Ressourcen
• Weitere Daten, falls vom Verantwortlichen eingegeben (z. B. Geburtsdaten, Fertigkeiten)

 Art und Zweck der Verarbeitung

• Bei Nutzung des Kundensupport-Portals: Erbringung von Kundensupport sowie Kommunikation zwischen dem Verantwortlichen und dem Auftragsverarbeiter;
• Bei Inanspruchnahme von Fernwartung: Erbringung von Wartungsleistungen durch den Auftragsverarbeiter auf vom Verantwortlichen betriebenen Computersystemen;
• Bei Nutzung der InLoox Cloud bzw. von Managed Services: Einrichtung, Betrieb und Wartung einer Projektmanagementsoftware auf Servern des benannten Unterauftragsverarbeiters des Auftragsverarbeiters.

Dauer der Verarbeitung

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle
  Es wird unterschieden zwischen der Zutrittskontrolle zu den InLoox-Standorten, der Zutrittskontrolle zu den Sicherheitsbereichen innerhalb der InLoox-Standorte sowie der Zutrittskontrolle zu den externen Rechenzentren.
  • Zutrittskontrolle InLoox-Standorte:
    • Schließanlage (physische Schlüssel, Chipkarten oder Token)
    • Berechtigungsvergabe (Schlüsselverwaltung und grundsätzliche Zutrittsberechtigungen)
    • Besucherregelung
    • Clear-Desk-Regelungen
    • Der Zutritt von Fremdkräften (z. B. Reinigungspersonal) zu einzelnen Gebäuden oder Räumen wird dokumentiert
  • Zutrittskontrolle Sicherheitsbereiche innerhalb der InLoox-Standorte:
    • Zweite, unabhängige Schließanlage (physische Schlüssel, Fingerabdrucklesegeräte, Chipkarten oder Token)
    • Berechtigungsvergabe (Schlüsselverwaltung und grundsätzliche Zutrittsberechtigungen)
    • Eingeschränkter Benutzerkreis
    • Generelles Besucherverbot
  • Zutrittskontrolle Rechenzentren:
    Es wird unterschieden zwischen Rechenzentren, die InLoox für den Auftragnehmer betreibt (InLoox Cloud bzw. Managed Services), sowie Rechenzentren, die InLoox für die interne Verwendung betreibt (z. B. zur Verwaltung, Entwicklung und Marketing), den Rechenzentren für den Kundensupport sowie den Rechenzentren für die Fernwartung.
    • Rechenzentren für den Betrieb von InLoox Cloud und für Managed Services:
      • InLoox betreibt im Rahmen von InLoox Cloud und für Managed Services keine eigenen Rechenzentren, sondern hat Microsoft-Rechenzentren in Deutschland angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
      • Die Rechenzentren befinden sich in Frankfurt am Main und Berlin. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt.
      • Die Zutrittsberechtigungen zu den Rechenzentren sind personalisiert und auf einen dokumentierten Personenkreis eingeschränkt.
      • Einzelheiten zur Zugriffskontrolle der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Microsoft Ireland Operations Limited“.
      • InLoox Cloud benachrichtigt im Projektraum hinterlegte Benutzer per E-Mail über Aktionen anderer Benutzer und bei bestimmten Ereignissen (z. B. Fälligkeit von Aufgaben). Der Versand dieser E-Mails erfolgt mittels SendGrid. SendGrid hat seinen Sitz in den Vereinigten Staaten von Amerika, wobei für diese Rechenzentren eine Anerkennung des gleichen Schutzniveaus durch Standardvertragsklauseln besteht. Einzelheiten siehe Anhang IV im Abschnitt „Unterauftragsverarbeiter SendGrid Inc.“.
    • Rechenzentren für die interne Verwendung bei InLoox:
      • InLoox hat Rechenzentren in Microsoft Azure mit Standort in der Europäischen Union angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
      • Die Rechenzentren befinden sich in Deutschland sowie in den Niederlanden. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt. Die Zutrittsberechtigungen zu den Rechenzentren sind personalisiert und auf einen dokumentierten Personenkreis eingeschränkt.
      • Einzelheiten zur Zugriffskontrolle der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Microsoft Ireland Operations Limited“.
    • Rechenzentren für den Kundensupport:
      • Für Supportanfragen von Kunden, die per E-Mail oder über ein Webformular eingereicht werden, nutzt InLoox die Software Freshdesk, betrieben durch Freshworks Inc.
      • Vertraglich geregelt ist die Nutzung eines Rechenzentrums in Frankfurt am Main sowie eine datenschutzkonforme Datenverarbeitungsvereinbarung.
      • Einzelheiten zur Zugriffskontrolle befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Freshworks Inc.“.
    • Rechenzentren für die Fernwartung:
      • Für Fernwartungen auf Systemen des Kunden, nutzt InLoox die Software TeamViewer, betrieben durch TeamViewer Germany GmbH.
      • Vertraglich geregelt ist die Nutzung eines Rechenzentrums in Frankfurt am Main sowie eine datenschutzkonforme Datenverarbeitungsvereinbarung.
      • Einzelheiten zur Zugriffskontrolle befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter TeamViewer Germany GmbH“.
• Zugangskontrolle
  Es wird unterschieden zwischen der Zugangskontrolle zu den Rechenzentren, der Zugangskontrolle zu den Rechenzentren für den Kundensupport, der Zugangskontrolle zu den InLoox-Standorten, der Zugangskontrolle über das Internet sowie der generellen Zugangskontrolle.
  • Generelle Zugangskontrolle:
    • Zugangsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
    • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
    • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
    • Es gibt eine Richtlinie für das Sperren der Rechner.
    • Entsprechend der technischen Möglichkeiten werden Timeouts konfiguriert.
    • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
    • Sämtliche Zugänge sind mit Benutzernamen und Passwort gesichert.
    • Es bestehen Anforderungen an die Passwortkomplexität.
    • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
  • Zugangskontrolle über das Internet:
    • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
    • Der Zugang zu den Datenverarbeitungssystemen ist mittels Benutzernamen und Passwörtern geschützt.
    • Der Zugang zu den Datenverarbeitungssystemen erfolgt mittels VPN-Technologie und personenbezogenen Zugangsdaten.
    • Der Remote-Zugang zu den Datenverarbeitungssystemen ist lediglich einem eingeschränkten Benutzerkreis gestattet.
    • Der Remote-Zugang zu datenschutzrelevanten Systemen erfordert eine Zwei-Faktor-Authentifizierung.
    • Datenschutzrelevante Kernsysteme sind nur über das Unternehmensnetzwerk erreichbar.
  • Zugangskontrolle in den InLoox-Standorten:
    • Der Zugang zu den Inhouse-Datenverarbeitungssystemen ist zusätzlich mittels Fachbereich-spezifischen Boot-Passwörtern geschützt.
    • Es existiert eine Clear-Desk-Regelung.
  • Zugangskontrolle in den Rechenzentren:
    • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist auf bestimmte IP-Adressbereiche und InLoox-Standorte eingeschränkt (verringerte Zugangspunkte).
    • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
    • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Microsoft. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Microsoft Ireland Operations Limited“.
  • Zugangskontrolle in den Rechenzentren für den Kundensupport:
    • Der Mitarbeiter-Zugang zu den Systemen ist auf bestimmte IP-Adressbereiche und InLoox-Standorte eingeschränkt (verringerte Zugangspunkte).
    • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
    • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Freshworks. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Freshworks Inc.“.
• Zugriffskontrolle
  Die Zugriffsberechtigungen sind in der Praxis oft an die Zugangsberechtigungen gekoppelt, sodass die Maßnahmen zum Zugang auch indirekte Auswirkungen auf den Zugriff haben.
  • Zugriffsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
  • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
  • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
  • Es bestehen Anforderungen an die Passwortkomplexität.
  • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
• Trennungskontrolle
  • Trennung von Test- und Produktivsystemen (Sandboxing).
  • Getrennte Speicherung in unterschiedlichen Systemen:
    • CRM / allgemeine Kundendaten
    • ERP / buchhaltungsrelevante Daten
    • Service- und Supportdaten
    • Produktivdaten der Kunden von InLoox Cloud
    • Produktivdaten der Kunden von Managed Services
  • Zusätzliche Merkmale für Produktivdaten der Kunden von InLoox Cloud:
    • Jedes Nutzerkonto wird dabei auf einem eigenen, isolierten Datenbankschema ausgeführt (SQL-Schematrennung).
    • Logische Mandantentrennung
    • Festlegung von Datenbankrechten
    • Mehrstufiges Berechtigungskonzept; unterschiedliche Benutzer haben unterschiedliche Rechte zur Eingabe, Änderung und Löschung von Daten in der Benutzeroberfläche.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle
  • Alle Mitarbeiter sind vertraglich auf Vertraulichkeit und Verschwiegenheit verpflichtet.
  • Alle Mitarbeiter sind vertraglich zur Einhaltung von § 88 TKG verpflichtet.
  • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
  • Web-Oberflächen verwenden gesicherte Verbindungen (TLS/SSL) mit Schlüssellängen, die dem Stand der Technik entsprechen.
  • InLoox-Standorte sowie Remote-Verbindungen zu InLoox-Standorten sind über Virtual Private Network (VPN) Tunnel gesichert.
  • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
  • Die Löschfristen der überlassenen Daten entsprechen den gesetzlichen Vorgaben und sind im internen Löschkonzept niedergelegt.
  • Bei Kommunikation mit externen Geschäftspartnern, Kunden und Diensten werden Verschlüsselungen nach dem Stand der Technik eingesetzt, sofern der Kommunikationspartner dies wünscht. Die bei der Verschlüsselung verwendeten Signaturen werden gegen die Zertifizierungsstelle validiert.
• Eingabekontrolle
  Es wird unterschieden zwischen der Eingabekontrolle von Daten, die InLoox intern verwendet, z. B. zur Verwaltung, Entwicklung, Support und Marketing sowie der Eingabekontrolle von Produktivdaten der Kunden von InLoox Cloud sowie generellen Eingabekontrollen.
  • Generelle Eingabekontrolle:
    • Der Zugriff erfolgt mittels individueller Benutzernamen und Passwörter.
    • Ein mehrstufiges Berechtigungskonzept sorgt dafür, dass unterschiedliche Benutzer unterschiedliche Rechte zur Eingabe, Änderung und Löschung von Daten in der Benutzeroberfläche haben.
  • InLoox-interne Eingabekontrolle:
    • Versionierung der internen Dokumente (Dokumentenmanagement).
    • Versionierung von Quellcodes (Quellcodemanagement).
    • Protokollierung von Support-Tickets (Kundenservicemanagement).
  • Eingabekontrolle von Produktivdaten der Kunden von InLoox Cloud:
    • Datensätze beinhalten eine Erstell-, Veränderungs- und Löschkennzeichnung.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeitskontrolle
  Es wird unterschieden zwischen der Verfügbarkeitskontrolle von Daten, die a) InLoox intern verwendet, z. B. zur Verwaltung, Entwicklung und Marketing, der Verfügbarkeitskontrolle von Kundensupportdaten, der Verfügbarkeitskontrolle von Produktivdaten der Kunden von InLoox Cloud sowie der Verfügbarkeitskontrolle von Produktivdaten der Kunden von Managed Services.
  • Verfügbarkeitskontrolle von InLoox-internen Daten:
    Es wird unterschieden zwischen Datenverarbeitungsanlagen, die InLoox innerhalb der Standorte selbst betreibt und Datenverarbeitungsanlagen in externen Rechenzentren, die InLoox angemietet hat.
    • Datenverarbeitungsanlagen innerhalb der InLoox-Standorte:
      • Brandschutzeinrichtungen (Feuerlöscher, Rauch- oder Brandmelder), Rauchverbot
      • Unterbrechungsfreie Stromversorgung (USV)
      • Klimaanlage
      • Verwendung von RAID-Systemen in den Servern
      • Verwendung eines Virenschutzes
      • Datensicherung durch Replikation der Daten an verschiedene InLoox-Standorte sowie an externe Rechenzentren.
    • Datenverarbeitungsanlagen in externen Rechenzentren:
      • InLoox hat Microsoft-Rechenzentren in der europäischen Union angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
      • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Microsoft Ireland Operations Limited“.
  • Verfügbarkeitskontrolle von Kundensupportdaten:
    • Einzelheiten zur Verfügbarkeitskontrolle befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Freshworks Inc.“.
  • Verfügbarkeitskontrolle von Produktivdaten der Kunden von InLoox Cloud und für Managed Services:
    • InLoox betreibt im Rahmen von InLoox Cloud und für Managed Services keine eigenen Rechenzentren, sondern hat Microsoft-Rechenzentren in Deutschland angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
    • Die Rechenzentren befinden sich in Frankfurt am Main und Berlin. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt.
    • Simultane Bereitstellung auf voneinander unabhängigen Systemen ("Hot Spare"-Prinzip).
    • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang IV im Abschnitt „Unterauftragsverarbeiter Microsoft Ireland Operations Limited“.
  • Zusätzliche Merkmale für Produktivdaten der Kunden von InLoox Cloud:
    • Tägliche, vollautomatische Backups der Projektdatenbanken erstellt, die eine Point-in-Time-Wiederherstellung für die letzten 7 Tage ermöglichen. Zusätzlich werden wöchentliche Backups mit einer Aufbewahrungsdauer von 12 Wochen sowie monatliche Backups mit einer Aufbewahrungsdauer von 12 Monaten durchgeführt.
    • Rasche Wiederherstellbarkeit durch Support-Mitarbeiter.
    • Georedundante Dokumentenspeicherung.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Datenschutz-Management:
  • Auditplanung und Durchführung von internen und externen Audits.
  • Durchführung von Sensibilisierungsmaßnahmen / regelmäßige Mitarbeiterschulungen.
  • Reporting bzw. Berichterstattung.
  • Risikomanagement und -analyse.
  • Durchführung von Penetrationstests.
  • Datenschutz-Folgenabschätzung und -Maßnahmenplanung für neue und geänderte Abläufe als Standardprozess.
• Prozess zur Behandlung von Datenschutzvorfällen:
  • Meldungspflicht / Meldeprozesse.
  • Regelmäßige Mitarbeiterschulungen.
  • Datenschutzfreundliche Voreinstellungen:
  • Richtlinien für private Endgeräte im betrieblichen Einsatz (BYOD).
  • Richtlinien für betriebliche Endgeräte.
  • Gruppen- und Netzwerksicherheitsrichtlinien (Domain Policy).
• Auftragskontrolle:
  Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers durch:
  • eindeutige Vertragsgestaltung.
  • formalisiertes Auftragsmanagement.
  • strenge Auswahl und Überwachung des jeweiligen Dienstleisters/Unterauftragsverarbeiters.

ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt: