flair.hr GmbH

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Abs. 7 DSGVO auf Grundlage der Standardvertragsklauseln 2021/915 zwischen Verantwortlichen und Auftragsverarbeitern innerhalb der EU

Abschnitt I Standardvertragsklauseln

1 Zweck und Anwendungsbereich

1.1 Zweck dieser Standardvertragsklauseln (die Klauseln) ist es, die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sicherzustellen.

1.2 Die in Anlage 1 aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 sicherzustellen.

1.3 Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anlage 2.

1.4 Anlage 1 bis Anlage 4 sind integraler Bestandteil der Klauseln.

1.5 Diese Klauseln lassen die Verpflichtungen unberührt, denen der Verantwortliche aufgrund der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

1.6 Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725.

2 Unveränderlichkeit der Klauseln

2.1 Die Parteien verpflichten sich, die Klauseln nicht zu ändern, außer durch das Hinzufügen von Informationen zu den Anlagen oder die Aktualisierung von Informationen darin.

2.2 Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese den Klauseln weder direkt noch indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

3 Auslegung

3.1 Soweit diese Klauseln Begriffe verwenden, die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der jeweiligen Verordnung.

3.2 Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu lesen und auszulegen.

3.3 Diese Klauseln dürfen nicht so ausgelegt werden, dass sie den in der Verordnung (EU) 2016/679 / Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

4 Rangfolge

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.

5 Beitrittsklausel

5.1 Jede Einrichtung, die keine Partei dieser Klauseln ist, kann mit Zustimmung aller Parteien diesen Klauseln jederzeit als Verantwortlicher oder Auftragsverarbeiter beitreten, indem sie die Anlagen ausfüllt und Anlage 1 unterzeichnet.

5.2 Sobald die Anlagen gemäß (a) ausgefüllt und unterzeichnet sind, gilt die beitretende Einrichtung als Partei dieser Klauseln und hat die Rechte und Pflichten eines Verantwortlichen oder Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anlage 1.

5.3 Die beitretende Einrichtung hat keine Rechte oder Pflichten aus diesen Klauseln für den Zeitraum vor ihrem Beitritt als Partei.

Abschnitt II Pflichten der Parteien

6 Beschreibung der Verarbeitung(en)

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke der Verarbeitung, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anlage 2 festgelegt.

7 Pflichten der Parteien

7.1 Weisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist hierzu nach Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, verpflichtet. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, sofern das betreffende Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses untersagt. Nachfolgende Weisungen können vom Verantwortlichen während der gesamten Dauer der Verarbeitung personenbezogener Daten ebenfalls erteilt werden. Diese Weisungen sind stets zu dokumentieren.

(b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine vom Verantwortlichen erteilte Weisung gegen die Verordnung (EU) 2016/679 / Verordnung (EU) 2018/1725 oder die anwendbaren Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Verarbeitung, wie in Anlage 2 festgelegt, sofern er keine weiteren Weisungen vom Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Verarbeitung durch den Auftragsverarbeiter erfolgt nur für die in Anlage 2 festgelegte Dauer.

7.4 Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter setzt mindestens die in Anlage 3 festgelegten technischen und organisatorischen Maßnahmen um, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu den Daten führt (Verletzung des Schutzes personenbezogener Daten). Bei der Beurteilung des angemessenen Schutzniveaus berücksichtigen die Parteien gebührend den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken für die betroffenen Personen.

(b) Der Auftragsverarbeiter gewährt Mitgliedern seines Personals Zugang zu den personenbezogenen Daten, die verarbeitet werden, nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung der erhaltenen personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Wenn die Verarbeitung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (sensible Daten), wendet der Auftragsverarbeiter spezifische Beschränkungen und/oder zusätzliche Garantien an.

7.6 Dokumentation und Nachweis der Einhaltung

(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.

(b) Der Auftragsverarbeiter beantwortet Anfragen des Verantwortlichen zur Verarbeitung von Daten gemäß diesen Klauseln unverzüglich und angemessen.

(c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen nachzuweisen, die in diesen Klauseln festgelegt sind und sich unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 ergeben. Auf Verlangen des Verantwortlichen ermöglicht und unterstützt der Auftragsverarbeiter außerdem Prüfungen der von diesen Klauseln erfassten Verarbeitungstätigkeiten in angemessenen Abständen oder wenn Anhaltspunkte für eine Nichteinhaltung vorliegen. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche relevante Zertifizierungen des Auftragsverarbeiters berücksichtigen.

(d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können auch Inspektionen der Geschäftsräume oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der/den zuständigen Aufsichtsbehörde(n) auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Austausch von Unterauftragsverarbeitern, sodass dem Verantwortlichen ausreichend Zeit bleibt, vor der Beauftragung des betreffenden Unterauftragsverarbeiters Widerspruch gegen diese Änderungen einzulegen. Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), erfolgt dies auf Grundlage eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die dem Auftragsverarbeiter gemäß diesen Klauseln auferlegt werden. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln sowie gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(c) Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen eine Kopie einer solchen Vereinbarung mit dem Unterauftragsverarbeiter sowie etwaiger späterer Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Text der Vereinbarung vor der Weitergabe der Kopie schwärzen.

(d) Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen uneingeschränkt verantwortlich für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dessen Vertrag mit dem Auftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über jedes Versäumnis des Unterauftragsverarbeiters, seine vertraglichen Verpflichtungen zu erfüllen.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – falls der Auftragsverarbeiter faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist – das Recht hat, den Vertrag mit dem Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Übermittlungen

(a) Jede Übermittlung von Daten an ein Drittland oder eine internationale Organisation durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Erfüllung einer spezifischen Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und erfolgt unter Einhaltung von Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725.

(b) Der Verantwortliche erklärt sich damit einverstanden, dass, wenn der Auftragsverarbeiter gemäß Klausel 7.7 einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) beauftragt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 durch die Verwendung von von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 angenommenen Standardvertragsklauseln sicherstellen können, sofern die Bedingungen für die Verwendung dieser Standardvertragsklauseln erfüllt sind.

8 Unterstützung des Verantwortlichen

8.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jede Anfrage, die er von der betroffenen Person erhalten hat. Er beantwortet die Anfrage nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Verpflichtungen gemäß Klausel 8.1 und 8.2 befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

8.3 Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8.2 zu unterstützen, unterstützt der Auftragsverarbeiter den Verantwortlichen ferner bei der Sicherstellung der Einhaltung der folgenden Verpflichtungen unter Berücksichtigung der Art der Datenverarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen:

(a) der Verpflichtung zur Durchführung einer Bewertung der Auswirkungen der vorgesehenen Verarbeitungsvorgänge auf den Schutz personenbezogener Daten („Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

(b) der Verpflichtung zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ohne vom Verantwortlichen ergriffene Maßnahmen zur Risikominderung ein hohes Risiko zur Folge hätte;

(c) der Verpflichtung sicherzustellen, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sind, indem der Verantwortliche unverzüglich informiert wird, wenn dem Auftragsverarbeiter bekannt wird, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig geworden oder veraltet sind;

(d) der Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

8.4 Die Parteien legen in Anlage 3 die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter verpflichtet ist, den Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

9 Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt diesen dabei, seinen Verpflichtungen gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 bzw. Artikel 34 und 35 der Verordnung (EU) 2018/1725 nachzukommen, soweit anwendbar, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

9.1 Datenschutzverletzung betreffend vom Verantwortlichen verarbeitete Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten betreffend vom Verantwortlichen verarbeitete Daten unterstützt der Auftragsverarbeiter den Verantwortlichen:

(a) bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n) unverzüglich, nachdem der Verantwortliche davon Kenntnis erlangt hat, soweit relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen);

(b) bei der Beschaffung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind und mindestens Folgendes umfassen müssen:

(i) die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

(ii) die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(iii) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Soweit und solange es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die Erstmeldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend unverzüglich bereitgestellt.

(c) bei der Erfüllung der Verpflichtung gemäß Artikel 34 der Verordnung (EU) 2016/679, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Datenschutzverletzung betreffend vom Auftragsverarbeiter verarbeitete Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten betreffend vom Auftragsverarbeiter verarbeitete Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, nachdem der Auftragsverarbeiter von der Verletzung Kenntnis erlangt hat. Eine solche Mitteilung enthält mindestens:

(a) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze);

(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(c) die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Parteien legen in Anlage 3 alle weiteren Elemente fest, die der Auftragsverarbeiter bereitzustellen hat, wenn er den Verantwortlichen bei der Einhaltung der Verpflichtungen des Verantwortlichen gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 unterstützt.

Abschnitt III Schlussbestimmungen

10 Nichteinhaltung der Klauseln und Kündigung

10.1 Unbeschadet etwaiger Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 kann der Verantwortliche, falls der Auftragsverarbeiter gegen seine Verpflichtungen aus diesen Klauseln verstößt, den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser diese Klauseln einhält oder der Vertrag gekündigt wird. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

10.2 Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(a) die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter vom Verantwortlichen gemäß Punkt (a) ausgesetzt wurde und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und jedenfalls innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;

(b) der Auftragsverarbeiter erheblich oder dauerhaft gegen diese Klauseln oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 verstößt;

(c) der Auftragsverarbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n) hinsichtlich seiner Verpflichtungen gemäß diesen Klauseln oder gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht nachkommt.

(d) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, wenn der Verantwortliche, nachdem der Auftragsverarbeiter ihn darüber informiert hat, dass seine Weisungen gemäß Klausel 7.1(b) gegen anwendbare gesetzliche Anforderungen verstoßen, auf der Einhaltung der Weisungen besteht.

(e) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bestätigt dem Verantwortlichen, dass dies erfolgt ist, oder gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht Unionsrecht oder das Recht eines Mitgliedstaats die Speicherung der personenbezogenen Daten verlangt. Bis zur Löschung oder Rückgabe der Daten stellt der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln sicher.

Anlage 1 Liste der Parteien

Verantwortliche(r): [Identität und Kontaktdaten des/der Verantwortlichen und, sofern zutreffend, des Datenschutzbeauftragten des Verantwortlichen]

Name:

Adresse:

Name, Position und Kontaktdaten der Kontaktperson:

Unterschrift und Beitrittsdatum:

Auftragsverarbeiter: [Identität und Kontaktdaten des/der Auftragsverarbeiter und, sofern zutreffend, des Datenschutzbeauftragten des Auftragsverarbeiters]

flair.hr GmbH c/o The BYRO

Müllerstrasse 27

80469 München

Datenschutzbeauftragter (DSB): Evgenii Pavlov, [email protected]

Unterschrift und Beitrittsdatum:

Anlage 2 Beschreibung der Verarbeitung

1 Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

flair HR verarbeitet Daten im Zusammenhang mit Unternehmensmitarbeitenden. Unternehmensmitarbeitende umfassen typischerweise die folgenden Beschäftigungsklassifikationen:

(a) Mitarbeitende

(b) Freelancer

(d) Trainees/Auszubildende

(e) Werkstudierende / arbeitende Studierende

(f) Leiharbeitnehmende

2 Kategorien verarbeiteter personenbezogener Daten

2.1 Im Allgemeinen handelt es sich bei den zu verarbeitenden personenbezogenen Daten um die Daten, die der Arbeitgeber im Rahmen eines Beschäftigungsverhältnisses speichert und/oder verarbeitet. Die verarbeiteten Daten variieren je nachdem, welche Daten der Kunde in das System eingibt. Typischerweise werden die folgenden Kategorien personenbezogener Daten verarbeitet:

(a) Grundlegende personenbezogene Daten (z. B. Vorname, Nachname, Geschlecht, Geburtsdatum, Geburtsort, persönliche Identifikationsnummer, Staatsangehörigkeit usw.)

(b) Daten zu persönlichen/beruflichen Umständen und Merkmalen

(i) Daten zum Ehepartner, zu Kindern und zum Familienstand der betroffenen Person, Porträtfoto usw.

(d) Daten im Zusammenhang mit Online-Aktivitäten (Login-Daten, IP-Adressen und andere Metadaten)

(e) Vertragsdaten (z. B. Vertragsverhältnis, Produktinteressen, Vertragsinteressen, gekaufte Produkte, Datum des Kaufvertrags, Kaufpreis)

(f) Vertrags-, Abrechnungs- und Zahlungsdaten

(g) Nutzungsdaten

(h) Daten im Zusammenhang mit Planung und Projektmanagement

(i) Besondere Kategorien personenbezogener Daten, einschließlich:

(i) personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten (Fingerabdrücke, Spracherkennungsdaten, Iris-Scans usw.), Gesundheitsdaten sowie Daten zum Sexualleben und zur sexuellen Orientierung einer Person

(j) Offenlegte Informationen (von Dritten wie Auskunfteien oder öffentlichen Verzeichnissen)

(k) Empfänger und Absender von Nachrichten, die an den Kunden gerichtet sind oder vom Kunden gesendet werden

(l) Login-Daten für Kundensysteme

(m) Live-Daten aus Kundensystemen (Produktionsdaten)

(n) Kunden-Logdateien (Namen von Nutzern von IT-Systemen und Anwendungen sowie IP-Adressen)

(o) Alle sonstigen Daten, die gemäß der eigenen Konfiguration des Kunden erhoben werden

2.2 Die Kategorien betroffener Personen umfassen:

(a) Mitarbeitende des Kunden

(b) Kontakte des Auftragsverarbeiters, die dem Kunden zugeordnet werden können (jede natürliche Person, die nicht unter die Definition von Mitarbeitenden fällt, wie Mitarbeitende von Partnerunternehmen, z. B. Mitarbeitende eines Lieferanten, Dienstleisters, Joint Ventures oder einer Zeitarbeitsagentur, sowie Konzernmitarbeitende, also Mitarbeitende eines anderen Konzernunternehmens)

(d) Kinder (gemäß der Definition des anwendbaren nationalen Rechts)

2.3 Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strenge Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Personal, das eine spezielle Schulung absolviert hat), Führung eines Zugriffsprotokolls, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

Nicht anwendbar.

2.4 Art der Verarbeitung

Daten werden über die flair HR App in der Salesforce-Instanz des Kunden erhoben, verarbeitet und gespeichert. Die Konfiguration und Lizenzzuweisung definiert eindeutig, auf welche Daten jeder Nutzer zugreifen kann. Der Zugriff auf Daten kann im System so eingeschränkt werden, dass nur autorisierte Nutzer Daten verwenden, abfragen, analysieren, sichern, anzeigen und löschen können.

2.5 Zweck(e), für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

flair HR ist eine auf der Salesforce-Plattform aufgebaute HR-Softwarelösung, die eine benutzerfreundliche Oberfläche für HR-Management und Recruiting bietet. flair HR eignet sich für Unternehmen jeder Größe und jeden Arbeitsstils. Es hilft, HR-Prozesse zu verbessern, einschließlich Bewerbermanagement, Zeiterfassung, Abwesenheitsmanagement, Dokumentenmanagement, digitale Personalakten, Vorbereitung der Lohn- und Gehaltsabrechnung, Employee Self-Service, Feedback-Zyklen, Leistungsbeurteilungen und Mitarbeiterbefragungen.

2.6 Dauer der Verarbeitung

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des SaaS-Vertrags (wie dort definiert) zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der auf Grundlage der Allgemeinen Geschäftsbedingungen für SaaS von flair.hr geschlossen wurde.

2.7 Gegenstand der Verarbeitung

Der Gegenstand der Verarbeitung richtet sich nach dem SaaS-Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter über die Nutzung der SaaS-Lösung, die vom Auftragsverarbeiter für den Verantwortlichen bereitgestellt wird. Die SaaS-Lösung ist eine auf der Salesforce-Plattform aufgebaute HR-Softwarelösung, die eine benutzerfreundliche Oberfläche für HR-Management und Recruiting bietet. Die SaaS-Lösung eignet sich für Unternehmen jeder Größe und jeden Arbeitsstils und hilft, HR-Prozesse zu verbessern, einschließlich Bewerbermanagement, Zeiterfassung, Abwesenheitsmanagement, Dokumentenmanagement, digitale Personalakten, Vorbereitung der Lohn- und Gehaltsabrechnung, Employee Self-Service, Feedback-Zyklen, Leistungsbeurteilungen und Mitarbeiterbefragungen.

2.8 Die folgenden vom Auftragsverarbeiter auszuführenden Aufgaben sind umfasst:

(a) flair.hr hat nur Zugriff auf die Daten des Kunden, wenn flair.hr GmbH Support-Nutzerzugriff gewährt wird. Der Support-Nutzerzugriff kann vom Kunden jederzeit widerrufen werden.

(b) flair.hr bietet Onboarding- und technische Einrichtungsdienste an, die einen vorübergehenden Zugriff auf Daten erfordern. Ein Beispiel für einen solchen Dienst ist das Hochladen von Daten in die flair HR App.

Anlage 3 Technische und organisatorische Maßnahmen

Diese Anlage 3 beschreibt die vom Auftragsverarbeiter im Zusammenhang mit der Verarbeitung personenbezogener Daten umgesetzten technischen und organisatorischen Maßnahmen

1 Datenschutz- und Datensicherheitskonzept

1.1 Der folgende Maßnahmenkatalog beschreibt die einzelnen technischen und organisatorischen Maßnahmen, die im Rahmen der vom Auftragsverarbeiter durchgeführten Datenverarbeitungstätigkeiten gemäß Art. 24 Abs. 1 EU-DSGVO zu treffen sind. Die DSGVO verlangt von Unternehmen, die Verarbeitung personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen zu sichern und personenbezogene Daten, soweit möglich, zu anonymisieren oder zu pseudonymisieren. Die getroffenen Maßnahmen müssen das Risiko der jeweiligen Datenverarbeitungstätigkeiten berücksichtigen und dem aktuellen Stand der Technik entsprechen. Der Auftragsverarbeiter erfüllt diese Anforderungen durch das wirksame Zusammenspiel von Datenschutzmanagement und Informationssicherheitsmanagement und hat geeignete Maßnahmen zum Schutz der Verarbeitung personenbezogener Daten getroffen. Diese Datenschutzgrundsätze sind ebenfalls sorgfältig zu berücksichtigen: Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit. Die Datenschutzgrundsätze beruhen auf den folgenden für die Informationssicherheit relevanten Definitionen:

1.2 Vertraulichkeit: Daten, Informationen und Programme werden vor unbefugtem Zugriff und unbefugter Offenlegung geschützt. Integrität: Der Begriff Integrität bezieht sich auf die Richtigkeit der verarbeiteten Informationen und Daten.

1.3 Verfügbarkeit: Der Begriff Verfügbarkeit bezieht sich auf die Funktionsfähigkeit und Wiederauffindbarkeit von Informationen, Daten, Anwendungen und Systemen. Belastbarkeit: Als besonderer Aspekt der Verfügbarkeit ist Belastbarkeit die Anforderung, dass Systeme so widerstandsfähig wie möglich gestaltet sein müssen, auch im Falle einer Störung, eines Fehlers oder einer Überlastung.

2 Sicherheit der physischen Infrastruktur

2.1 Standort / Geschäftsräume

(a) Die Räumlichkeiten des Auftragsverarbeiters sind von öffentlichen Bereichen getrennt durch:

(i) Abschließbare Tür

(ii) Separate Büros in einem Gebäudekomplex

(b) Es befinden sich keine anderen Parteien im Gebäude, die Zugang zu den Geschäftsräumen haben.

(c) Ein Zutrittskontrollsystem wird verwendet, um den Zutritt zu Räumen zu beschränken, in denen personenbezogene Daten verarbeitet werden. Die Räumlichkeiten des Auftragsverarbeiters oder Teile davon werden durch einen Pförtner oder Sicherheitsdienst gesichert.

(d) Die Räumlichkeiten des Auftragsverarbeiters sind mit einer Alarmanlage gesichert.

(e) Besucher werden wie folgt registriert:

(i) Besucherausweise

(ii) Besucherregister

(iii) Empfang

(f) Räume mit Zugang zu personenbezogenen Daten sind abschließbar.

(g) Personenbezogene Daten sind in öffentlichen Bereichen nicht zugänglich.

(h) Bereiche, in denen die Verarbeitung besonderer Kategorien von Daten (z. B. Bewerber-/Gesundheitsdaten) stattfindet, sind räumlich von anderen Arbeitsplätzen getrennt.

3 Serversysteme

3.1 Serverinfrastruktur

Es werden virtualisierte Server verwendet.

4 Netzwerkstruktur

4.1 Netzwerkarchitektur

(a) Das WLAN ist wie folgt verschlüsselt:

(i) WPA 3

(b) Es besteht eine Client/Server-Segmentierung.

4.2 Remote-Netzwerkzugriff

(a) Beim Auftragsverarbeiter werden dem Stand der Technik entsprechende Netzwerkgeräte (Hubs, Switches) verwendet.

(b) Für den Remote-Zugriff auf das Unternehmensnetzwerk werden sichere Verfahren verwendet.

(i) SSH (Secure Shell)

(d) Der Remote-Zugriff ist wie folgt gesichert:

(i) Benutzername und Passwort

5 Geschäftskontinuität

5.1 Wiederherstellbarkeit

(a) Datensicherungen der relevanten Systeme werden regelmäßig durchgeführt.

(b) Für die Durchführung von Backups sind verantwortlich:

(i) Cloud-Anbieter

(ii) Externer Dienstleister

(i) Protokolldaten

(ii) Konfigurationen (Einstellungen und Freigaben)

(iii) Daten

(iv) Benutzerkonten

(d) Im Unternehmen wird die folgende Art der Datensicherung durchgeführt:

(i) Inkrementelles Backup

(e) Im Unternehmen des Auftragsverarbeiters werden Sicherungen in einem separaten Brandabschnitt aufbewahrt.

(f) Im Unternehmen des Auftragsverarbeiters werden Datensicherungsverfahren regelmäßig getestet und bei Bedarf angepasst.

(g) Im Unternehmen des Auftragsverarbeiters werden Backups verschlüsselt gespeichert.

5.2 Notfallvorsorge

(a) Die verantwortlichen Personen wurden benannt und sensibilisiert.

(b) Administratorzugänge wurden für Notfälle im Unternehmen hinterlegt.

6 Endgeräte

6.1 Client-Struktur und Verwaltung

(a) Der Auftragsverarbeiter verfügt über einen dokumentierten Prozess zur Ausgabe von unternehmenseigenen Gegenständen an Mitarbeitende.

(b) Der Auftragsverarbeiter stellt sicher, dass alle unternehmenseigenen Gegenstände mit Bezug zu personenbezogenen Daten von einer ausscheidenden Person zurückgefordert werden. Geräte werden über ein geregeltes Wiedereingliederungsmanagement zur weiteren Nutzung an das IT-Inventar zurückgeführt.

6.2 Verwaltung von Speichermedien

(a) Der Auftragsverarbeiter verfügt über ein Test- und Freigabeverfahren für Mobiltelefon-/Tablet-Computer-Anwendungen.

(b) Im Unternehmen des Auftragsverarbeiters sind Nutzer tragbarer Geräte verpflichtet, diese angemessen aufzubewahren (z. B. in einem abschließbaren Behälter).

(d) Im Unternehmen des Auftragsverarbeiters bestehen komplexe Zugriffssperren für die verwendeten tragbaren Endgeräte.

(e) Im Unternehmen des Auftragsverarbeiters werden Speichermedien (einschließlich Papierakten) regelmäßig entsorgt.

7 Datenübermittlungen

7.1 Datenübermittlungen & Kommunikation

(a) Die folgenden Verschlüsselungsmethoden werden für den Versand von E-Mails verwendet:

(i) Im Unternehmen des Auftragsverarbeiters werden E-Mails während der Übertragung mit geeigneten Verfahren/Protokollen (SSL/TLS) verschlüsselt.

(b) Im Unternehmen des Auftragsverarbeiters werden archivierte E-Mails verschlüsselt gespeichert.

(c) Einzelne Datenobjekte, wie Container, Ordner oder einzelne Dateien (Datei- und Ordnerverschlüsselung), werden vor der Datenübermittlung verschlüsselt.

8 Personal

8.1 Sensibilisierung der Mitarbeitenden

(a) Sensibilisierung der Mitarbeitenden für den Umgang mit externen Parteien.

(b) Relevante Informationsrichtlinien und Handlungsempfehlungen sind für Mitarbeitende im Unternehmen leicht auffindbar.

(c) IT-Personal und Administratoren werden im Unternehmen des Auftragsverarbeiters für Datenschutz sensibilisiert und geschult.

8.2 Berechtigungsmanagement

(a) Im Unternehmen des Auftragsverarbeiters werden Zugriffs- und Zutrittsberechtigungen auf Grundlage der Funktion der zugriffs- oder zutrittsberechtigten Person vergeben.

(b) Der Auftragsverarbeiter verfügt über einen Prozess zur Rollentrennung, um miteinander in Konflikt stehende Berechtigungen zu vermeiden.

(c) Im Unternehmen des Auftragsverarbeiters wird sichergestellt, dass alle Zugriffsberechtigungen und Zugangsberechtigungen einer ausscheidenden Person unverzüglich gesperrt und gegebenenfalls gelöscht werden.

(d) Im Unternehmen des Auftragsverarbeiters werden Zugriffsberechtigungen bei längeren Abwesenheiten vorübergehend gesperrt.

(e) Für alle IT-Systeme und IT-Netzwerke im Unternehmen wurden Administratoren und deren Stellvertretungen benannt.

(f) Im Unternehmen werden spezielle Administratorkonten verwendet.

(g) Im Unternehmen des Auftragsverarbeiters werden die Aktivitäten innerhalb der Administratorkonten protokolliert.

8.3 Authentifizierungsverfahren

(a) Im Unternehmen des Auftragsverarbeiters wird ein Passwortmanager verwendet.

(b) Passwortmanager sollten einen angemessenen Sicherheitsstandard bieten (z. B. durch ausreichende Verschlüsselung), um sie konform und angemessen einsetzen zu können.

(d) Im Unternehmen des Auftragsverarbeiters wird ein Single-Sign-On-Verfahren für die Anmeldung verwendet.

(e) Im Unternehmen des Auftragsverarbeiters wird Multifaktor-Authentifizierung für die Anmeldung über Single Sign-On verwendet.

(f) Im Unternehmen des Auftragsverarbeiters werden einzelnen Nutzern von IT-Systemen, die personenbezogene Daten verarbeiten, eindeutige Kennungen zugewiesen.

(g) Im Unternehmen des Auftragsverarbeiters existieren keine unverschlüsselten Passwortlisten.

9 Organisation

9.1 Kontrolle von Unterauftragnehmern

(a) Mit allen Dienstleistern, die einen Teil der Verarbeitung personenbezogener Daten auf Weisung des Auftragsverarbeiters durchführen, wurde ein Auftragsverarbeitungsvertrag geschlossen.

(b) Weisungen zur Verarbeitung personenbezogener Daten werden an (Unter-)Auftragsverarbeiter nur schriftlich erteilt.

9.2 Softwareauswahl und -entwicklung

(a) Im Unternehmen des Auftragsverarbeiters sind Produktiv- und Entwicklungs-/Testsysteme voneinander getrennt.

(b) Im Unternehmen des Auftragsverarbeiters ist der Zugriff auf den Quellcode bei der Softwareentwicklung eingeschränkt.

(d) Die Software gewährleistet Mandantenfähigkeit.

(e) In Test- und Entwicklungsumgebungen werden keine echten Nutzerdaten verwendet.

(f) Beim Auftragsverarbeiter wird Software regelmäßig aktualisiert und Schwachstellen werden behoben.

(g) Beim Auftragsverarbeiter werden Standardsoftware und Updates nur aus vertrauenswürdigen Quellen bezogen.

9.3 Sonstige organisatorische Maßnahmen

(a) Es besteht ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Im Unternehmen des Auftragsverarbeiters ist es möglich, personenbezogene Daten auf Anfrage einzuschränken und zu löschen.

(b) Jede Verarbeitung personenbezogener Daten wird im Unternehmen protokolliert.

Anlage 4 Liste der Unterauftragsverarbeiter

Der Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:

Unterauftragsverarbeiter (Name der Einrichtung, Adresse)

Kategorien verarbeiteter Daten

Anwendbarer Dienst (Verarbeitungsschritte / Zweck der Unterverarbeitung)