DPA

Auftragsverarbeitungsvertrag (AVV)

zwischen der RateBoard GmbH mit Sitz in der Fallmerayerstraße 6, 6020 Innsbruck, nachfolgend bezeichnet als Anbieter/Auftragsverarbeiter

und

dem Kunden, nachfolgend bezeichnet als Kunde/Verantwortlicher

Präambel

  1. Zwischen den Parteien besteht ein Dienstleistungsvertrag, dessen integraler Bestandteil dieser Vertrag ist.
  2. In diesem Auftragsverarbeitungsvertrag vereinbaren die Parteien Folgendes:
    "Datenschutzvorschriften" bezeichnet alle Bestimmungen der für die Parteien geltenden Gesetze zum Schutz personenbezogener Daten (einschließlich, aber nicht beschränkt auf die Verordnung EU 2016/679 (DSGVO), das schweizerische Bundesgesetz über den Datenschutz und das britische Datenschutzgesetz 2018) sowie alle zwischen den Parteien vereinbarten Regeln zur Datenverarbeitung.
  3. Bei der Erbringung der vertraglichen Leistung (nachfolgend "Dienstleistung" genannt) ist der Verantwortliche (d.h. der Kunde) für alle gesetzlich erforderlichen Maßnahmen zur Verarbeitung personenbezogener Daten verantwortlich. Dies umfasst die Bereitstellung von Informationen, die Einholung von Einwilligungen, die Umsetzung aller erforderlichen Genehmigungs-, Verwaltungs- und Aufbewahrungsmaßnahmen sowie alle Sicherheitsmaßnahmen.
  4. Dieser Auftragsverarbeitungsvertrag definiert die Rollen der Parteien und regelt deren Rechte und Pflichten gemäß den geltenden Datenschutzvorschriften.

Daher vereinbaren die Parteien Folgendes:

1. Bestimmung des Auftragsverarbeiters

  1. Für Aufgaben, die gemäß dem Dienstleistungsvertrag dem Dienstleister anvertraut bleiben, wird dieser als Auftragsverarbeiter bezeichnet. Der Verantwortliche hat den Anbieter im Rahmen der Erbringung der Dienstleistungen als Auftragsverarbeiter floating-sidebareingesetzt.
  2. Der Auftragsverarbeiter sichert zu, dass er hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, um eine Verarbeitung im Einklang mit den Datenschutzvorschriften sicherzustellen und die Rechte der betroffenen Personen zu gewährleisten.

2. Zweck dieses Vertrags

  1. Der Zweck dieses Auftragsverarbeitungsvertrags ist die Festlegung der Bedingungen, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, sowie der technischen Maßnahmen, die der Auftragsverarbeiter in dem von ihm geführten Verzeichnis der Verarbeitungstätigkeiten dokumentiert hat.
  2. Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die jeweils geltenden Vorschriften zur Verarbeitung personenbezogener Daten einzuhalten, insbesondere die Datenschutzvorschriften.

3. Dauer des Vertrags

  1. Dieser Auftragsverarbeitungsvertrag hat die gleiche Laufzeit wie der zugrundeliegende Dienstleistungsvertrag.

4. Art der personenbezogenen Daten

  1. RateBoard verarbeitet Reservierungsdaten der letzten 5 Jahre sowie alle aktuellen und zukünftigen Reservierungen. Es wird ausdrücklich festgehalten, dass weder die Namen der Gäste noch deren E-Mail-Adressen von RateBoard verarbeitet werden. Die von RateBoard aus der Hotelsoftware genutzten Daten umfassen: Reservierungs-ID, Erstellungsdatum, Anreise- und Abreisedatum, Buchungskanal, Gästesegment, Zimmertyp, Zimmernummer, Buchungsstatus, Anzahl der Erwachsenen/Kinder/Säuglinge, Tarifcode, Preis nach Steuern, Preis vor Steuern, Währung, Herkunftsland des Hauptgastes, Alter des Hauptgastes.

5. Beschreibung der Dienstleistungen des Auftragsverarbeiters

  1. RateBoard unterstützt den Kunden mit einer innovativen Softwarelösung für den digitalen Vertrieb. Wichtige Vertriebszahlen werden analysiert und intelligent verknüpft. Wettbewerbsumfeld, lokale Marktdaten und Online-Reputation werden überwacht. Dadurch erhält der Kunde einen Überblick über seinen geschäftlichen Erfolg, kann ihn steuern und datenbasierte Entscheidungen treffen. Alle diese Daten fließen in intelligente Algorithmen ein, die professionelle Nachfrageprognosen und intelligente Preisempfehlungen generieren.
  2. RateBoard verwendet vollständig anonymisierte und aggregierte
    Betriebskennzahlen (siehe 4. I.) aus der Kundenbasis, um Branchen-
    Benchmarking in Form von Reports sowie optionalen, teilweise
    aufpreispflichtigen Modulen anzubieten. Es wird ausdrücklich festgestellt, dass durch die Aggregation und Anonymisierung keine Rückschlüsse auf einzelne Betriebe möglich sind. Dabei werden keine personenbezogenen Daten verarbeitet oder verwendet. Kunden können der Nutzung ihrer anonymisierten Betriebskennzahlen für Benchmarking jederzeit widersprechen, ohne dass dies die Nutzung anderer RateBoard-Funktionen einschränkt. Die Benchmarking-Module stehen ausschließlich denjenigen Kunden zur Verfügung, die ihre anonymisierten Betriebskennzahlen zur Verfügung stellen.
  3. Der Auftragsverarbeiter ist berechtigt, im Auftrag des Verantwortlichen personenbezogene Daten zu verarbeiten, soweit dies für die Bereitstellung der Dienstleistung erforderlich ist.
  4. Der Verantwortliche garantiert, dass er alle erforderlichen Rechte an den von ihm zur Verfügung gestellten Informationen besitzt und dass diese nicht gegen Rechte Dritter verstoßen.
  5. Die Art der durchgeführten Verarbeitungstätigkeiten richtet sich nach der jeweiligen vertraglichen Dienstleistung.
  6. Zweck der Verarbeitung ist die Bereitstellung von Wartungs- und Supportleistungen für den Verantwortlichen.
  7. Der Auftragsverarbeiter verarbeitet die Daten in Übereinstimmung mit den Grundsätzen der Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
  8. Die Art der vom Auftragsverarbeiter verarbeiteten Daten variiert je nach dem vom Verantwortlichen in Anspruch genommenen Dienst. Die Kategorien und Arten der verarbeiteten Daten sind im Dokument „Verzeichnis der Verarbeitungstätigkeiten“ dargelegt.
  9. Die betroffenen Kategorien von Personen sind im „Verzeichnis der Verarbeitungstätigkeiten“ aufgeführt.
  10. Zur Erfüllung der Aufgaben im Rahmen dieser Vereinbarung zur Auftragsverarbeitung stellt der Verantwortliche dem Auftragsverarbeiter die für die Erbringung der Service- und Wartungsleistungen erforderlichen Informationen zur Verfügung, soweit diese für die ordnungsgemäße Nutzung des Informationssystems relevant sind.
  11. Jede Partei stellt sicher, dass sie ihre mit der Verarbeitung personenbezogener Daten betrauten Mitarbeiter gemäß den geltenden Datenschutzbestimmungen benennt.
  12. Die Beauftragung erfolgt in schriftlicher Form und legt den zulässigen und genehmigten Umfang der Verarbeitung fest.
  13. Der Auftragsverarbeiter bestätigt, darüber informiert zu sein, dass jede Person, die im Rahmen ihrer Befugnisse Zugang zu personenbezogenen Daten hat, diese nur auf Weisung des Verantwortlichen verarbeiten darf.

6. Pflichten des Auftragsverarbeiters

In Bezug auf die Verarbeitung personenbezogener Daten verpflichtet sich der Auftragsverarbeiter zu folgenden Maßnahmen:

  1. Befolgung der vom für die Verarbeitung Verantwortlichen erteilten Anweisungen
    1. Der Auftragsverarbeiter darf die Daten nur zu den oben genannten Zwecken und zur Erbringung der vertraglichen Leistungen verarbeiten.
    2. Der Auftragsverarbeiter muss die Daten gemäß den Bestimmungen des Verzeichnisses der Verarbeitungstätigkeiten verarbeiten, und der Verantwortliche hält die darin vorgesehenen Sicherheitsmaßnahmen für angemessen.

  2. Gewährleistung der Vertraulichkeit
    1. Der Auftragsverarbeiter gewährleistet die Wahrung der Vertraulichkeit der im Rahmen dieser Vereinbarung über die Datenverarbeitung verarbeiteten personenbezogenen Daten.
    2. Der Auftragsverarbeiter stellt sicher, dass die Personen, die zur Verarbeitung personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen, und dass sie die erforderlichen Schulungen über die Verarbeitung personenbezogener Daten und den Schutz personenbezogener Daten erhalten und durchgeführt werden.
  3. Ergreifung von Sicherheitsmaßnahmen für die Verarbeitung
    1. Der Auftragsverarbeiter muss die personenbezogenen Daten unter Anwendung aller angemessenen technischen und organisatorischen Maßnahmen verarbeiten: Die getroffenen Sicherheitsmaßnahmen entsprechen denen, die im Verzeichnis der Verarbeitungstätigkeiten angegeben sind;
    2. Der Verantwortliche nimmt zur Kenntnis, dass der Auftragsverarbeiter in einigen Fällen die Verarbeitung mit Hilfe von Instrumenten vornimmt, die von ihm bereitgestellt und konfiguriert werden, und dass es daher seine Pflicht ist, alle erforderlichen Vorsichts- und Sicherheitsmaßnahmen zu treffen.
    3. Wenn der Auftragsverarbeiter einen Verhaltenskodex befolgt oder eine Zertifizierung vorweisen kann, muss er die im Verhaltenskodex oder in den Protokollen, auf die sich die Zertifizierung bezieht, vorgesehenen Sicherheitsmaßnahmen einhalten. In diesem Fall akzeptiert der Verantwortliche die Zertifizierung als Nachweis dafür, dass der Auftragsverarbeiter angemessene Maßnahmen für die durchgeführte Verarbeitung getroffen hat. In diesem Fall lehnt der Verantwortliche die Durchführung von Audits der Systeme und Verfahren des Auftragsverarbeiters ab.
    4. Hat der Auftragsverarbeiter einen Datenschutzbeauftragten (nachfolgend D.P.O.) benannt, so teilt er dem Verantwortlichen den Namen und die Kontaktdaten des benannten D.P.O. mit.
    5. Der Auftragsverarbeiter muss gegebenenfalls ein Verzeichnis aller Kategorien von Tätigkeiten im Zusammenhang mit der im Auftrag des Verantwortlichen durchgeführten Verarbeitung führen. Diese Aufzeichnungen müssen in schriftlicher Form unter geführt werden, einschließlich Informationen in elektronischem Format, und werden auf Anfrage zur Verfügung gestellt.

  4. Ernennung eines Unterauftragsverarbeiters durch den Auftragsverarbeiter
    1. Der Auftragsverarbeiter kann die Verwaltung des Verarbeitungsdienstes jederzeit an Dritte übertragen, indem er den Verantwortlichen schriftlich darüber informiert, der innerhalb von 15 Tagen nach Erhalt einer solchen Mitteilung Einspruch erheben kann. In diesem Fall kann der Verantwortliche wählen, ob er den Vertrag kündigen oder den Dienst nach Möglichkeit vor Ort erbringen möchte, da die Entscheidung für die Beauftragung des Dienstes von strategischer Bedeutung für das Geschäft des Auftragsverarbeiters ist.
    2. Der Auftragsverarbeiter sichert zu und gewährleistet, dass diese zusätzlichen Auftragsverarbeiter über ausreichende Garantien verfügen, um geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Einhaltung der Bestimmungen der geltenden Datenschutzverordnung gewährleisten, und verpflichtet sich, weitere zusätzliche Auftragsverarbeiter vertraglich zur Einhaltung derselben Datenschutzverpflichtungen zu verpflichten, die der Auftragsverarbeiter mit dem Verantwortlichen eingegangen ist.
    3. Der Auftragsverarbeiter muss sicherstellen, dass alle weiteren Unterauftragsverarbeiter die gleichen Garantien bieten, die ausreichen, um geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung den Anforderungen der Datenschutzverordnung entspricht.
    4. Kommt der Unterauftragsverarbeiter seinen Verpflichtungen in Bezug auf den Datenschutz nicht nach, so haftet der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des zusätzlichen Auftragsverarbeiters.

  5. Unterstützung des für die Datenverarbeitung Verantwortlichen bei der Ausübung der Rechte der betroffenen Personen
    1. Soweit möglich, muss der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen bei der Erfüllung seiner Verpflichtung unterstützen, den Anträgen auf Ausübung der Rechte der betroffenen Personen nachzukommen, wie z. B. dem Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, der Einschränkung der Verarbeitung, dem Recht auf Datentransport und dem Recht, nicht Gegenstand einer automatisierten Einzelentscheidung zu sein (einschließlich Profilings).
    2. Der Auftragsverarbeiter wird, soweit dies möglich ist, den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen unterstützen.
    3. Was das Recht der betroffenen Person auf Information betrifft, so muss der für die Verarbeitung Verantwortliche den betroffenen Personen zum Zeitpunkt der Datenerhebung die für die Verarbeitung erforderlichen Informationen zur Verfügung stellen.

  6. Unterstützung des für die Verarbeitung Verantwortlichen
    1. Der Auftragsverarbeiter muss unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den für die Verarbeitung Verantwortlichen dabei unterstützen, die Einhaltung der folgenden Verpflichtungen zu gewährleisten:
    2. Sicherheit der Verarbeitung;
    3. Benachrichtigung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten;
    4. Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person;
    5. Folgenabschätzung für den Datenschutz;
    6. Vorherige Konsultation.
    7. Unterstützung bei der "Sicherheit der Verarbeitung" – Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der Umsetzung der Sicherheit der Verarbeitung unterstützen.
    8. Im Falle von Anomalien oder Notfällen wird der Auftragsverarbeiter auf Anfrage einen Bericht über die getroffenen Sicherheitsmaßnahmen - auch mittels möglicher Fragebögen und Checklisten - übermitteln und den für die Verarbeitung Verantwortlichen unverzüglich informieren.
    9. Besondere Sicherheitsmaßnahmen des Auftragsverarbeiter - Der für die Verarbeitung Verantwortliche erkennt an, dass der Auftragsverarbeiter für den Dienst über angemessene Sicherheitsmaßnahmen verfügt, die der besten Praxis entsprechen.
    10. Für personenbezogene Daten, die in der IT-Infrastruktur des Auftragsverarbeiters verarbeitet werden, bleibt die Verpflichtung bestehen, das Datenverarbeitungssystem unter Einhaltung der Sicherheitsvoraussetzungen und auf Verlangen des für die Verarbeitung Verantwortlichen zu kennzeichnen.
    11. Falls die Dienstleistungen, die Gegenstand des Kontakts zwischen den Parteien sind, die Speicherung personenbezogener Daten und Systemaktivitäten umfassen, die auf die Wartung des Netzes und die Aktualisierung der entsprechenden Datenbank und der Betriebssysteme abzielen, können die Betreiber des Auftragsverarbeiters die Funktion von Systemadministratoren haben.
    12. Wenn der Auftragsverarbeiter der Systemadministrator ist, bewertet er die subjektiven Eigenschaften seiner Mitarbeiter, ernennt sie einzeln zum Systemadministrator, überprüft die von ihnen ausgeführten Tätigkeiten und erstellt ein Protokoll der entsprechenden Zugriffe. Falls gesetzlich vorgeschrieben, übermittelt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen die aktualisierte Liste seiner als Systemadministratoren ernannten Mitarbeiter.
    13. Unterstützung bei der Verpflichtung zur "Meldung eines Verstoßes gegen personenbezogene Daten an die Aufsichtsbehörde" - Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtung zur "Meldung eines Verstoßes gegen personenbezogene Daten an die Aufsichtsbehörde" unterstützen. Der Auftragsverarbeiter meldet dem für die Verarbeitung Verantwortlichen jede Verletzung personenbezogener Daten per E-Mail/Ticketing-Tool innerhalb von maximal 24 Stunden, nachdem er von der Verletzung erfahren hat. Diese Meldung muss mindestens Folgendes enthalten: (a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze; (b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können; (c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; (d) eine Beschreibung der Maßnahmen, die der Auftragsverarbeiter ergriffen hat oder zu ergreifen beabsichtigt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher negativer Auswirkungen.
    14. Unterstützung bei der Verpflichtung zur "Mitteilung einer Verletzung personenbezogener Daten an die betroffene Person" - Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung der Verpflichtung zur "Mitteilung einer Verletzung personenbezogener Daten an die betroffene Person" unterstützen; diese Mitteilung muss immer vom Verantwortlichen vorgenommen werden.

  7. Unterstützung des für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtung zur "Datenschutz-Folgenabschätzung" durch den Auftragsverarbeiter.
    Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Verpflichtung zur "Datenschutz-Folgenabschätzung", indem er dem Verantwortlichen alle nützlichen Informationen zur Verfügung stellt, die ihm durch die Aufzeichnung der Verarbeitungstätigkeiten vorliegen.


  8. Unterstützung des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter bei der Erfüllung der Verpflichtung zur "Vorab-Konsultation".
    Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der vorherigen Konsultation der Aufsichtsbehörde, indem er dem Verantwortlichen alle nützlichen Informationen zur Verfügung stellt, die sich in seinem Besitz befinden, und zwar im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten.

  9. Rückgabe aller personenbezogenen Daten bei Beendigung des Vertragsverhältnisses

    1. Bei Beendigung des Vertragsverhältnisses zwischen den Parteien, auf das sich dieser Auftragsverarbeitungsvertrag bezieht, muss der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurückgeben oder löschen und vorhandene Kopien löschen.

      Bei Beendigung des Verhältnisses müssen alle weiteren Kopien derselben Sicherungsdaten, sofern zwischen dem Verantwortlichen und dem Auftragsverarbeiter nichts anderes vereinbart wurde, vom Auftragsverarbeiter innerhalb eines Zeitraums vernichtet werden, der mit den zusätzlichen Erfordernissen vereinbar ist, die sich auch bei Beendigung des Dienstes ergeben können, und in jedem Fall für einen Zeitraum, der den im Verzeichnis der Verarbeitungstätigkeiten angegebenen Zeitrahmen nicht überschreitet. In der Zeit zwischen der Beendigung der Beziehung und dem im Verzeichnis der Verarbeitungstätigkeiten angegebenen Zeitraum werden die Daten vom Auftragsverarbeiter nur zu Sicherheitszwecken gespeichert und sind nicht für die Kommunikation und Verbreitung bestimmt

    2. Ungeachtet der oben genannten Punkte muss der Auftragsverarbeiter diese Daten aufbewahren, falls ein auf ihn anwendbares Gesetz die Aufbewahrung von Daten vorsieht, und zwar bis zu dem Zeitpunkt, der durch dieses Gesetz oder durch solche Maßnahmen vorgeschrieben ist.

  2. Bereitstellung aller zum Nachweis der Einhaltung der Datenschutzverordnung erforderlichen Informationen an den Verantwortlichen
    Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der oben genannten Verpflichtungen nachzuweisen, und er muss Überprüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder eine andere von ihm oder von den Behörden beauftragte Person zulassen und dazu beitragen. Wenn diese Tätigkeiten für den Auftragsverarbeiter mit Kosten verbunden sind, werden sie auf Projektebene durch eine wirtschaftliche Bewertung bewertet.

  3. Fälle, in denen eine Anweisung an den Auftragsverarbeiter gegen die Datenschutzverordnung verstößt.
    Verstößt nach Ansicht des Auftragsverarbeiters eine Anweisung des Verantwortlichen gegen die Datenschutzverordnung oder andere Datenschutzbestimmungen, so ist der Verantwortliche unverzüglich zu informieren

  4. Einhaltung der Grundsätze "privacy by design" und des "privacy by default". 
    Bei der Ausführung des Auftrags muss der Auftragsverarbeiter die Grundsätze des Datenschutzes bereits bei der Konzeption (privacy by design) und bei der Voreinstellung (privacy by default) einhalten.

 

7. Pflichten des Verantwortlichen

Der Verantwortliche muss:

  1. dem Auftragsverarbeiter die erforderlichen Daten bereitstellen,
  2. alle Anweisungen zur Datenverarbeitung schriftlich dokumentieren,
  3. die Einhaltung der Datenschutzvorschriften durch den Auftragsverarbeiter überwachen.

8. Speicherorte der Daten

Die Daten werden vom Auftragsverarbeiter innerhalb der Europäischen Union oder in den im „Verzeichnis der Verarbeitungstätigkeiten“ aufgeführten Gebieten verarbeitet. Sollte die Verarbeitung zukünftig in Ländern erfolgen müssen, die nicht im „Verzeichnis der Verarbeitungstätigkeiten“ aufgeführt sind, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, um Vereinbarungen über die gemäß dem jeweiligen Verarbeitungsort zu treffenden Garantien zu treffen.

9. Kontrollen und Audits

Der Verantwortliche behält sich das Recht vor, auch durch regelmäßige Kontrollen die rechtzeitige Einhaltung der gesetzlichen Bestimmungen über die Datenverarbeitung und die Befolgung der in diesem Dokument angegebenen Anweisungen zu überwachen.

Der Auftragsverarbeiter gestattet dem Verantwortlichen bei uneingeschränkter Zusammenarbeit die Durchführung regelmäßiger Audits zur Überprüfung der Angemessenheit der Sicherheitsmaßnahmen und der Einhaltung der Datenschutzvorschriften.

Jede von dem Verantwortlichen verlangte Prüfungsmaßnahme ist dem Auftragsverarbeiter mindestens 10 Werktage im Voraus schriftlich mitzuteilen. Für die Zwecke dieses Artikels bedeutet "Geschäftstage" Montag bis Freitag ohne Feiertage in dem Land, in dem der Auftragsverarbeiter seinen Sitz hat.

Die Parteien sind sich ferner darüber einig, dass für den Fall, dass die beantragten Tätigkeiten Kosten und Auslagen verursachen, die in diesem Vertrag nicht vorgesehen sind, alle Anträge dem Verantwortlichen auf Projektebene mit einer Schätzung der für ihre Durchführung erforderlichen Kosten verwaltet werden müssen (unabhängig davon, ob es sich um Penetrationstests, Schwachstellenanalysen usw. handelt).

10. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  1. Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere durch zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder den unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
  2. Die Einhaltung eines genehmigten Verhaltenskodexes gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Nachweis für die Einhaltung dieser Anforderungen herangezogen werden.
  3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass jede unter ihrer Aufsicht handelnde natürliche Person, die Zugang zu personenbezogenen Daten hat, diese nur auf Anweisung des Verantwortlichen verarbeitet, es sei denn, sie ist durch das Unionsrecht oder das Recht eines Mitgliedstaates dazu verpflichtet.

Stand: 17. Februar 2025