Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

  Der vorliegende Auftragsverarbeitungsvertrag („AVV“) gilt für die Verarbeitungsmaßnahmen personenbezogener Daten durch die Hybric GmbH, Weicheringer Straße 167, 85051 Ingolstadt (auch als „Auftragnehmer" bezeichnet), die gegenüber Kunden (nachfolgend „Auftraggeber“ oder„Sie“) in Erfüllung des Hauptvertrages erbracht werden.

Präambel

Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Vertrag über ein Abonnement von kundenBlick (siehe app.kunden-blick.de, Software as a Service) (im Folgenden: "Hauptvertrag"). Teil der Durchführung des Hauptvertrags istdie Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DSGVO"). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag“), der durch Abschluss des Hauptvertrags zustande kommt.

§ 1 Gegenstand/Umfang der Beauftragung


§ 2 Weisungsbefugnisse des Auftraggebers


§ 3 Schutzmaßnahmen des Auftragnehmers


§ 4 Informations- und Unterstützungspflichten des Auftragnehmers


§ 5 Sonstige Verpflichtungen des Auftragnehmers


§ 6 Subunternehmerverhältnisse


§ 7 Kontrollrechte


§ 8 Rechte Betroffener


§ 9 Laufzeit und Kündigung

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des Hauptvertrags. Ist derHauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.

§ 10 Löschung und Rückgabe nach Vertragsende


§ 11 Haftung


§ 12 Vertraulichkeit & Datengeheimnis

Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen. Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangthat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden.

§ 13 Schlussbestimmungen


Anlagen
Anlage 1 Festlegungen zum Vertrag
Anlage 2 Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO)

Stand: Juni 2024



Anlage 1 – Festlegungen zum Vertrag

 
Gegenstand und Dauer des Auftrages Übersicht der Anforderungen und Festlegungen
(1) Hauptvertrag Abo-Vertrag für ein SaaS-Produkt (kunden-blick.de) mit automatischer Verlängerung
(2) Gegenstand des Auftrages Mit Hilfe des SaaS-Produkts kundenBlick kann der Auftraggeber sein eigenes Mahnwesen automatisieren.
(3) Zweck der Datenerhebung, Datenverarbeitungoder Datennutzung Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab.
(4) Art der Daten Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich
  • Stammdaten (z.B. Namen, Anschriften, Geburtsdaten),
  • Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern),
  • Inhaltsdaten (z.B. Fotografien, Videos, Inhalte von Dokumenten),
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kunden),
  • Zahlungsdaten (z.B. Bankverbindungen, Zahlungsdienstleister),
  • Nutzungsdaten (z.B. Verlauf Web-Dienste, Zugriffszeiten),
  • Verbindungsdaten (z.B. Geräte-ID, IP-Adressen, URL-Referrer), und
  • Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung).
 
(5) Kreis der Betroffenen Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Kategorien betroffener Personen kommen dabei in Betracht:  
  • Beschäftigte
  • Auszubildende und Praktikanten
  • freie Mitarbeiter
  • Gesellschafter, Organe der Gesellschaft
  • Kunden / Interessenten
  • Lieferanten und Dienstleister
  • Geschäftspartner
  • Besucher
 
Unterauftragnehmer 
 
Nr. Name desUnterauftragnehmers Anschrift / Land Gegenstand der Leistung Verarbeitetepersonenbezogene Daten
1 Cloudways Ltd. 52 Springvale, Pope Pius XII Street Mosta MST2653 Malta Verwaltung unserer Server Siehe oben „Art der Daten“
2 DigitalOcean, LLC. 101 Avenue of the Americas 10th Floor New York NY 10013 USA Server- Hostingleistungen / SaaS & PaaS Leistungen Serverstandort: Deutschland Siehe oben „Art der Daten“
3 IONOS SE Elgendorfer Str. 57 56410 Montabaur Deutschland Server- & Hostingleistungen / SaaS & PaaS Leistungen Serverstandort: Deutschland Siehe oben „Art der Daten“
4 GoCardless Ltd Sutton Yard, 65 Goswell Road  London, EC1V 7EN Vereinigtes Königreich  SEPA-Lastschrifteinzug der (Abo-) Gebühren Siehe oben „Art der Daten“
   

Anlage 2 - Technische und organisatorische Maßnahmen

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen,durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund,welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen sind.

Weisungen zu technischen und organisatorischen Maßnahmen
1. Organisation der Informationssicherheit
Es sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit implementiert und kontrolliert werden kann.
Maßnahmen:
  • ☒ Verpflichtung der Mitarbeiter auf Geheimhaltung und Wahrung des Datengeheimnisses.
  • ☒ Regelmäßige Durchführung von Schulungen und Awareness-Maßnahmen.
2. Privacy by Design
Privacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert sein.
Maßnahmen:
  • ☒ Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
  • ☒ Die Verarbeitungen und Systeme sind so konzipiert, dass Sie ein DSGVO konformes Löschen der verarbeiteten personenbezogenen Daten ermöglichen und sicherstellen.
3. Privacy by Default
Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen.
Maßnahmen:
  • ☒ Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen.
  • ☒ Trackingfunktionen, die den Betroffenen überwachen, sind standardmäßig deaktiviert.
  • ☒ Sämtliche Vorbelegungen von Auswahlmöglichkeiten erfüllen die Anforderungen der DSGVO in Bezug auf datenschutzfreundliche Voreinstellungen (z.B. keine Vorbelegungen von Opt-ins).
 
4. Zugriffskontrolle und Zugangskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw. schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.). Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.
Maßnahmen:
  • ☒ Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen.
  • ☒ Vermeidung von Gruppenusern.
  • ☒ Zugriff auf Daten ist eingeschränkt und nur für Berechtigte möglich.
  • ☒ Sperrung des Benutzerkontos bei Fehlversuchen / Inaktivität.
  • ☒ Sperrung des Endgerätes bei Verlassen des Arbeitsplatzes oder Inaktivität.
  • ☒ Anzahl der Administratoren auf das „Notwendigste“ reduziert.
  • ☒ Regelmäßige Überprüfung der Berechtigungen.
  • ☒ Passwortrichtlinie, Implementierung komplexer Passwörter.
5. Kryptographie und / oder Pseudonymisierung
Einsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen Informationen. Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren.
Maßnahmen:
  • ☒ Organisatorische Anweisung für die Verschlüsselung von Daten.
  • ☒ Vermeidung von Gruppenusern.
  • ☒ Verschlüsselung von Datenträgern (z.B. mobile Festplatten, USB-Sticks etc.).
  • ☒ Verschlüsselung von Endgeräten (PC, Laptop, Smartphones).
  • ☒ Verschlüsselte Ablage von personenbezogenen Daten.
  • ☒ Verschlüsselung von Datensicherungsmedien (z.B. Bänder, Festplatten etc.).
 

6. Schutz von Gebäuden
Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Der Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten mit denen personenbezogene Daten verarbeitet werden.
Maßnahmen:
  • ☐   Zonenkonzept und Festlegung von Sicherheitsbereichen.
  • ☐   Gebäudesicherung durch Zäune.
  • ☐   Sicherheitsschlösser und Schlüsselverwaltung / Protokollierung der Schlüsselausgabe
  • ☐   Einsatz von Schliess- und Zutrittssystemen (Chipkarten- / Transponder-Schließsystem, Codesicherung etc.).
  • ☐   Alarmanlage.
  • ☐   Videoüberwachung.
  • ☐   Lichtschranken / Bewegungsmelder.
  • ☐   Einsatz von Wachpersonal.
  • ☐   Mitarbeiter- /Besucherausweise.
  • ☐   Regelung für den Umgang mit Besuchern.
  • ☐   Anmeldung für Besucher (Empfang).
  • ☐   Kontrolle von Besuchern (Pförtner/Empfang).
  • ☐   Protokollierung von Besuchern (Besucherbuch).
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
7. Schutz von Betriebsmitteln / Informationswerten
Vorbeugung von Verlust, Beschädigung, Diebstahl oder Beeinträchtigung von Werten und Unterbrechungen der Betriebstätigkeit der Organisation.
Maßnahmen:
  • ☒ Sichere Platzierung der Systeme, so dass Schutz vor Diebstahl gewährleistet ist.
  • ☒ Schutz der Betriebsmittel vor Feuer, Wasser oder Überspannung.
8. Betriebsverfahren und Zuständigkeiten
Sicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung von Informationen.
Maßnahmen:
  • ☒ Klare Zuordnung von Verantwortlichkeiten für die System- und Anwendungsbetreuung.
 



9. Datensicherungen
Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Maßnahmen:
  • ☐   Datensicherungskonzept mit regelmäßigen Backups
  • ☐   Auslagerung der Backup in andere Brandzonen.
  • ☐   Auslagerung der Backups in andere Gebäude.
  • ☐   Regelmäßige Tests der Datensicherung und Wiederherstellung von Daten, Anwendungen und Systemen.
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
10. Schutz vor Malware und Patchmanagement
Verhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller Virenschutzsoftware und die Implementierung eines Patchmanagements.
Maßnahmen:
  • ☐   Regelmäßige Überwachung des Status von Sicherheitsupdates und Systemschwachstellen.
  • ☐   Einsatz von Anti-Malware-Software.
  • ☐   Regelmäßige Einspielen von Sicherheitspatches und Updates.
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
11. Netzwerksicherheitsmanagement
Es muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die Infrastrukturkomponenten geschützt werden.
Maßnahmen:
  • ☐   Einsatz von Netzwerkmanagementsoftware.
  • ☐   Einsatz von Firewallsystemen.
  • ☐   Einsatz von Intrusion Detection / Intrusion Prevention Systemen.
  • ☐   Benutzerauthentifizierung und Verschlüsselung von externen Zugriffen.
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
 
12. Informationsübertragung
Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw. schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.)
Maßnahmen:
  • ☒ Regelungen für den Austausch sensibler Informationen und Beschränkung des zur Übermittlung befugten Personenkreises.
  • ☒ Weitergabe von Daten an Dritte nur nach Prüfung der Rechtsgrundlage.
  • ☒ Sichere Datenübertragung zwischen Client und Server.
  • ☒ Sicherer Transport und Versand von Datenträgern, Daten und Dokumenten.
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
 
13. Lieferantenbeziehungen
Maßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern vereinbartund dokumentiert werden.
Maßnahmen:
  • ☒ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit).
  • ☒  Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart.
  • ☒  Vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen.
  • ☒ Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis.
14. Management von Informationssicherheitsvorfällen
Es sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen (Diebstahl, Systemausfall etc.) zu implementieren.
Maßnahmen:
  • ☒ Sofortige Information des Auftraggebers bei Datenschutzvorfällen.
15. Informationssicherheitsaspekte des Business Continuity Management /Notfallmanagements
Die Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle. Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheitsollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden.
Maßnahmen:
  • ☐      Einsatz redundanter Systeme.
  • ☐      Einsatz redundanter Systeme an räumlich getrennten Standorten (z.B. Notfall-Rechenzentrum).
  • ☐      Dokumentierte Notfallpläne.
  • ☐      Regelmäßige Tests bzgl. der Wirksamkeit der Notfallmaßnahmen.
  • ☐      Frühzeitige Information des Auftraggebers bei Notfällen.
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden.
 
16. Datenschutzanforderungen und Datenschutzmanagement
Die Privatsphäre sowie der Schutz von personenbezogenen Daten sollte entsprechend den Anforderungen der einschlägigen gesetzlichen Regelungen, anderen Vorschriften sowie Vertragsbestimmungen sichergestellt werden.
Maßnahmen:
  • ☒ Einrichtung einer Datenschutzorganisation.
  • ☒ Durchführung von Datenschutzschulungen.
  • ☒ Aufbau eines Datenschutz-Managementsystems.
17. Informationssicherheitsüberprüfungen
Es muss regelmäßig überprüft werden, ob die Informationsverarbeitung entsprechend der definierten Sicherheitsmaßnahmen durchgeführt wird. Hierfür wird der Auftragnehmer regelmäßige Prüfungen durchführen.Der Auftragnehmer räumt dem Auftraggeber das Recht ein, regelmäßige Audits / Überprüfungen bei ihm durchzuführen.
Maßnahmen:
  • ☒ Regelmäßige Durchführung von internen Audits zu den Themen Datenschutz- und Informationssicherheit.
  • ☒ Durchführung von Penetrationstests.