Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO

‍Version – 01.2026

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln") soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.

b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5

Kopplungsklausel

a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten"). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten"), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung"), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679zu unterstützen.

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I – LISTE DER PARTEIEN

Verantwortlicher (im Folgenden „Auftraggeber"):Der im Bestellformular genannte Kunde

Auftragsverarbeiter:

• Name: ZEP GmbH
• Anschrift: Stuttgarter Str. 41, 71254 Ditzingen, Deutschland
• Name, Funktion und Kontaktdaten der Kontaktperson: Christian Bopp, Geschäftsführer, support@zep.de
• Datenschutzbeauftragter: Kertos GmbH, Brienner Str. 41, 80333 München, Kontakt: dsb@kertos.io

ANHANG II – BESCHREIBUNG DER VERARBEITUNG

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:

• Mitarbeiter des Auftraggebers
• Kunden und Dienstleister des Auftraggebers bzw. deren Mitarbeiter

Kategorien personenbezogener Daten, die verarbeitet werden:

• Kontakt- und Adressdaten
• Personalstammdaten
• Zahlungsdaten
• Zeiterfassungsdaten
• Projektdaten
• Projektplanungsdaten
• Abrechnungsdaten
• Rechnungsdaten
• Angebotsdaten

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen:

Soweit das Modul „Abwesenheiten & Überstunden" genutzt wird:Krankheitstage bzw. Krankheitszeiten von Mitarbeitern des Auftraggebers.

Art der Verarbeitung sowie Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden:

Bereitstellung und Betrieb der Software-as-a-Service Lösung „ZEP – Zeiterfassung für Projekte", die je nach bestellter Konfiguration insbesondere folgende Funktionen umfassen kann:

• Zeiterfassung und AuswertungenZeiterfassung und Zeitnachweise, Kunden, Mitarbeiter, Projekte, Stunden- und Tagessatz-Projekte, Regelarbeitszeit je Mitarbeiter, Zeiterfassung mit von- und bis-Zeit sowie Dauer
• Projektplanung, Plan/Ist VergleichPlanzahlen für Projekt und Vorgang (Stunden, Betrag), Pauschal-/Festpreisprojekte, SOLL/IST-Vergleiche
• Preise & Belege
• Reisekostenabrechnung
• Planstunden
• Überstunden, Fehlzeiten und Urlaub
• Abteilungen, Niederlassungen, Standorte
• Dokumenten-Generator für PDF, Word, LibreOffice-Dokumente
• Dokumentenverwaltung
• Tickets, Aufgaben, ToDos
• Ressourcenplanung
• App für iPhone und Android
• SOAP-Schnittstelle
• Salesforce-Schnittstelle
• Freie Mitarbeiter
• Personio-Schnittstelle
• ZEP Anwesenheit
• Angebote
• Faktura für Rechnungsplanung und Rechnungserstellung
• Export für Buchhaltung

Dauer der Verarbeitung:

Während der Laufzeit des gesondert vereinbarten kommerziellen Vertrags zwischen dem Auftraggeber und dem Auftragsverarbeiter betreffend die vom Auftragsverarbeiter bereitgestellte Software-Lösung

ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Allgemeines

Wir orientieren uns bei den technischen und organisatorischen Maßnahmen an gängigen Standards der ISO 27001.

Das hohe Schutzniveau unserer Maßnahmen wird regelmäßig überprüft und an den jeweils aktuellen Stand der Technik angepasst.

Mitarbeiter werden im Umgang mit schützenswerten Daten regelmäßig geschult und auf die Vertraulichkeit verpflichtet.

Der Umgang mit Daten und Datenverarbeitungsanlagen ist schriftlich geregelt (Datenschutzrichtlinien, Arbeitsanweisungen, Verfahrensanleitungen) und wird regelmäßig überprüft.

Soweit die Datenverarbeitung im Rahmen der Cloud-Dienstleistungen des Unterauftragsverarbeiters Amazon Web Services EMEA SARL erfolgt, gelten die jeweils aktuellen technischen und organisatorischen Maßnahmen dieses Unterauftragsverarbeiters, die auf der Website https://aws.amazon.com/de/compliance/data-privacy-faq/ beschrieben sind.

ZEP hat die folgenden technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO getroffen, um Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Prüfverfahren zu gewährleisten.:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1. Organisatorische Steuerung

Es soll sichergestellt werden, dass die interne Organisation die spezifischen Anforderungen des Datenschutzes erfüllt.

a) Organisatorische Anweisungen (ISO/IEC 27002/2022)

Die Ziele des Datenschutzes und der Informationssicherheit sind in Datenschutz- und Informationssicherheitsrichtlinien festgelegt und für alle ZEP-Mitarbeiter verbindlich. Darüber hinaus werden weitere Organisationsanweisungen implementiert, um den Mitarbeitern konkrete Vorgaben für die Verarbeitung personenbezogener Daten zu machen (z.B. Remote Work Policy).

b) Bestellung eines Datenschutzbeauftragten gem. Art. 37 DSGVO

Die Geschäftsführung hat einen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte wirkt auf die Einhaltung der datenschutzrechtlichen Bestimmungen hin und erfüllt diese Aufgaben im Sinne des Art. 39 DSGVO. Dazu gehören u.a. die Unterstützung beim Aufbau und der Weiterentwicklung eines Datenschutzmanagementsystems, die Erstellung, Weiterentwicklung und Überwachung entsprechender Richtlinien sowie die Durchführung regelmäßiger Sensibilisierungsmaßnahmen.

c) Verpflichtung zur Vertraulichkeit und zum Datenschutz

Alle Mitarbeiter werden bei Aushändigung des Arbeitsvertrages oder spätestens bei Beschäftigungsbeginn schriftlich zur Verschwiegenheit und zum Datenschutz sowie zur Einhaltung anderer einschlägiger Gesetze verpflichtet. Die Verpflichtung gilt über die Dauer des Arbeitsverhältnisses hinaus. Freie Mitarbeiter oder externe Dienstleister werden auf Grundlage von Non-Disclosure-Agreements (NDAs) schriftlich zur Verschwiegenheit verpflichtet und unterzeichnen zusätzlich einen Vertrag zur Auftragsverarbeitungsvertrag, wenn sie personenbezogene Daten im Auftrag der ZEP GmbH verarbeiten.

d) Datenschutzschulungen

Jeder Mitarbeiter der ZEP GmbH erhält Informationen und Merkblätter zum Datenschutz und bestätigt dies mit dem Arbeitsvertrag. Darüber hinaus werden regelmäßige Schulungen als Sensibilisierungsmaßnahmen durchgeführt. Mitarbeiter aus besonders sensiblen Bereichen wie der Personalabteilung, der Produktentwicklung oder dem Kundenservice erhalten bei Bedarf auch gesonderte Informationen und Schulungen zu spezifischen Fachthemen.

e) Einschränkungen der privaten und geschäftlichen Nutzung von Kommunikationsgeräten

Die ZEP GmbH stellt ihren Mitarbeitenden Laptops als Kommunikationsgeräte zur Verfügung. Es werden keine Firmen-Mobilfunktelefone an die Mitarbeitenden ausgehändigt. Die Nutzung privater Kommunikationsgeräte ist ausgeschlossen (es gibt dementsprechend keine Regelungen zu BYOD). Mitarbeitern der ZEP GmbH ist es nicht gestattet, das betriebliche E-Mail-System für private Zwecke zu nutzen. Das Internetsystem und die Telefondienste dürfen nur in eingeschränktem Umfang privat genutzt werden. Es ist strikt auf die Trennung von privaten und betrieblichen Daten zu achten. Darüber hinaus ist es den Mitarbeitern von ZEP nicht gestattet, personenbezogene Daten oder sonstige Daten des Kunden, insbesondere aus dem Auftragsverarbeitungsverhältnis zum Kundenauftrag, auf privaten Kommunikationsgeräten zu verarbeiten. Die Mitarbeiter der ZEP GmbH verpflichten sich zur Einhaltung der Information Handling Policy, deren Einhaltung im Rahmen des zulässigen und erforderlichen Umfangs kontrolliert wird. Die Information Handling Policy weist explizite Beispiele für den nichtzulässigen privaten Gebrauch des Internets sowie des betrieblichen E-Mail-Systems auf. Auch der Gebrauch von Social Media wird dort geregelt.

f) Zuverlässigkeit des Personals (gem. ISO/IEC 27002:2022)

Die ZEP GmbH stellt durch geeignete Maßnahmen vor, während und nach der Beschäftigung sicher, dass alle Mitarbeitenden die Anforderungen der Informationssicherheit verstehen, erfüllen und zuverlässig umsetzen.

Diese umfassen insbesondere:

• Vorauswahl: Vor der Einstellung wird eine angemessene Überprüfung der Bewerber durchgeführt (z. B. Identitäts- und Referenzprüfung), im Einklang mit geltenden Gesetzen, Vorschriften und ethischen Grundsätzen.
• Beschäftigungsbedingungen: Arbeitsverträge enthalten klare Regelungen zu Informationssicherheitsverpflichtungen, Geheimhaltungspflichten, Verantwortlichkeiten und Verhaltensregeln.
• Sensibilisierung, Aufklärung und Schulung zum Thema Informationssicherheit: Mitarbeitende werden regelmäßig in Informationssicherheits- und Datenschutzthemen geschult, um ein dauerhaftes Bewusstsein und Verständnis für ihre Pflichten sicherzustellen.
• Disziplinarmaßnahmen: Es existieren dokumentierte Verfahren zur Behandlung von Verstößen gegen Sicherheits- oder Datenschutzrichtlinien, einschließlich abgestufter Sanktionsmaßnahmen.
• Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses: Bei Beendigung oder Wechsel des Arbeitsverhältnisses wird ein dokumentierter Offboarding-Prozess durchgeführt, um den Entzug von Zugriffsrechten, die Rückgabe von Firmeneigentum und die Wahrung von Vertraulichkeitsverpflichtungen sicherzustellen.

1.2 Verschlüsselung und Pseudonymisierung von personenbezogenen Daten

Es wird sichergestellt, dass personenbezogene Daten im System nur in einer Weise gespeichert werden, die es Dritten nicht ermöglicht, die betroffene Person zu identifizieren.

a) Schlüsselverwaltung (gem. ISO/IEC 27002:2022)

Die ZEP GmbH betreibt ein dokumentiertes Verfahren zur Verwaltung kryptographischer Schlüssel über deren gesamten Lebenszyklus hinweg.

Dieses Verfahren umfasst die Erstellung, Verteilung, Speicherung, Nutzung, Änderung, Sperrung, Archivierung und sichere Vernichtung von Schlüsseln.

• System Security Policy: Eine interne Richtlinie zur Verwendung kryptographischer Methoden und Schlüsselverwaltung definiert Verantwortlichkeiten, Sicherheitsanforderungen und zulässige Algorithmen gemäß dem Stand der Technik.
• Schlüsselgenerierung und -schutz: Kryptographische Schlüssel werden sicher generiert und gespeichert, um unbefugten Zugriff, Verlust oder Offenlegung zu verhindern. Der Master-Schlüssel für verschlüsselte Datenspeicher wird im Verantwortungsbereich des Infrastructure-as-a-Service (IaaS)-Anbieters erstellt und verwaltet. Die ZEP GmbH stellt sicher, dass der Anbieter geeignete technische und organisatorische Maßnahmen nach ISO/IEC 27001 implementiert.
• Schlüssellebenszyklus: Die Verwaltung umfasst alle Phasen des Schlüssellebenszyklus — von der Erzeugung über die aktive Nutzung bis zur Außerbetriebnahme und sicheren Löschung. Schlüsselkompromittierungen werden dokumentiert und führen zu sofortigen Schutzmaßnahmen.
• Einsatz kryptographischer Verfahren: Verschlüsselungsverfahren, Schlüssellängen und Protokolle entsprechen den anerkannten Best Practices und werden regelmäßig überprüft, um den aktuellen Sicherheitsstandards zu genügen.
• Passwortrichtlinie: Die ZEP GmbH verfügt über eine Richtlinie, die die Auswahl von geeigneten Passwörtern, den Umgang mit Passwörtern und die Überwachung von Passwörtern regelt.

b) Datenbank- und Speicherverschlüsselung

Sämtliche Kundendaten werden stets „im Ruhezustand" verschlüsselt nach AES-128-GCM. Nur die Systeme, die für die Verarbeitung der Daten vorgesehen sind, dürfen die Verschlüsselungsschlüssel nach dem Grundsatz der geringsten Berechtigung verwenden. Backups werden nur verschlüsselt aufbewahrt.

c) Datenübertragung über verschlüsselte Datennetze oder Tunnelverbindungen („data in transit")

Alle privaten Daten, die von der ZEP-Anwendung über ein unsicheres oder öffentliches Netz an einen Kunden oder an andere Plattformen übermittelt werden, werden ausschließlich verschlüsselt übertragen. Dies gilt insbesondere für den Zugang zum Kunden- und Verwaltungssystem. ZEP gewährleistet die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens in Abhängigkeit von dem auf der Kunden-Seite kompatiblen Verschlüsselungsalgorithmus (derzeit HTTPS-Verbindungen auf Basis von Transport Layer Security [TLS 1.2 oder höher], Stichwort „Abwärtskompatibilität": der Kunde ist für die Verwendung von dem Stand der Technik entsprechenden Geräten/Browsern verantwortlich).

Der administrative Zugriff auf Serversysteme von ZEP sowie die Übertragung von Backups erfolgt ausschließlich über verschlüsselte Verbindungen, z.B. Virtual Private Network (VPN). Eine VPN-Verbindung wird für den Zugriff auf Kundensysteme im Rahmen von Remote Arbeit genutzt. Es werden nur VPN-Server verwendet, die unter der direkten Kontrolle von ZEP stehen. Die Nutzung von öffentlichen VPN-Anbietern ist nicht gestattet.

d) Verschlüsselung von mobilen Speichermedien

Die Nutzung mobiler Speichermedien ist grundlegend untersagt. Für den Ausnahmefall, dass diese doch zum Einsatz kommen und auf ihnen Daten von ZEP genutzt oder verarbeitet werden, dann werden diese Speichermedien ausschließlich verschlüsselt eingesetzt. Dies gilt insbesondere für die Verwendung von USB-Sticks, externen Festplatten o.ä. Die Nutzung von privaten mobilen Speichermedien zur Speicherung von Kundendaten ist nicht gestattet. Dies wird in der Removable Storage Media Policy geregelt.

e) Verschlüsselung von Speichergeräten auf Laptops

Alle Laptops der Schlüsselmitarbeiter der ZEP GmbH sind zentral verwaltet und mit einer modernen Festplattenverschlüsselung ausgestattet.

f) Verschlüsselter Austausch von Informationen und Dateien.

Der Austausch von Informationen und Dateien zwischen dem Kunden und der ZEP GmbH erfolgt grundsätzlich direkt verschlüsselt über die ZEP-Anwendung (siehe c.). Müssen personenbezogene Daten oder vertrauliche Informationen des Kunden auf Server übertragen werden, die nicht über TLS-verschlüsselte HTTPS-Uploads versendet werden können, werden diese mittels Secure File Transfer Protocol (SFTP) oder einem anderen dem Stand der Technik entsprechenden verschlüsselten Mechanismus übertragen. Der Kunde ist dafür verantwortlich, diesen sicheren Datentransport bei Bedarf anzufordern oder bereitzustellen.

g) E-Mail-Verschlüsselung

Grundsätzlich werden alle E-Mails, die von Mitarbeitern der ZEP GmbH oder innerhalb der ZEP-Anwendung verschickt werden, mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde muss sicherstellen, dass der für die Bestellung verwendete Mailserver TLS-Verschlüsselung unterstützt.

1.3. Zutrittskontrolle

Der Auftragnehmer nutzt keine eigenen, fest installierten Server- oder Rechenzentrumsflächen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Servern von zertifizierten externen Hosting- bzw. Cloud-Dienstleistern, die eigene physische Sicherheitsmaßnahmen betreiben. Das Büro des Auftragnehmers dient ausschließlich als Coworking-Arbeitsplatz ohne lokale Datenhaltung sensibler Informationen. Vor Ort werden lediglich mobile Endgeräte (Laptops) eingesetzt, die jederzeit verschlüsselt und vor unbefugtem Zugriff geschützt sind. Das Büro wird durch folgende Maßnahmen der Zutrittskontrolle geschützt:

a) Elektronische Türschlösser

Die Eingangstüren zu den Büroräumen der ZEP GmbH sind immer verschlossen und mit Sicherheitsschlössern gesichert.

b) Kontrollierte Schlüsselverteilung

Es erfolgt eine zentrale, dokumentierte Verteilung der Schlüssel an die ZEP-Mitarbeiter.

c) Beaufsichtigung und Begleitung von Fremden

Personen, die nicht für die ZEP GmbH tätig sind, etwa externe Dienstleister oder sonstige Fremdpersonen, dürfen die Büros nur mit vorheriger Genehmigung und in Begleitung eines ZEP-Mitarbeiters betreten.

d) Absicherung von Bereichen mit erhöhtem Schutzbedürfnis

Schränke mit erhöhtem Schutzbedarf, wie z. B. Schränke mit Vertragsunterlagen usw., werden nach dem Verlassen oder der Benutzung stets verschlossen. Der Zugang zu diesen Schränken wird nur befugtem Personal gewährt. Erhöhter Schutzbedarf wird in den nicht-technischen Bereichen durch einen Vertreter aus dem Management bestimmt.

e) Geschlossene Türen und Fenster

Die ZEP GmbH sorgt dafür, dass alle Fenster und Türen außerhalb der Bürozeiten geschlossen oder verriegelt sind.

f) Physische und umgebungsbedingte Sicherheit von Serversystemen in Rechenzentren

Die ZEP GmbH nutzt ausschließlich Serversysteme vom Rechenzentrumsbetreiber (AWS), die über eine gültige Zertifizierung nach ISO/IEC 27001:2022 verfügen und somit entsprechende technische und organisatorische Maßnahmen zur physischen und umgebungsbezogenen Sicherheit umsetzen, z.B.:

• Das Rechenzentrum und die dort eingesetzten Systeme sind in unauffälligen Gebäuden untergebracht, die von außen nicht als Rechenzentrum zu erkennen sind, da auch keinerlei Schilder darauf verweisen.
• Das Rechenzentrum selbst ist durch physische Sicherheitsmaßnahmen gegen unbefugten Zutritt sowohl von außen (z.B. Zäune, Mauern) als auch innerhalb der Gebäude geschützt.
• Der Zugang zum Rechenzentrum wird durch elektronische Zugangskontrollen verwaltet und durch Alarmsysteme gesichert, die einen Alarm auslösen, wenn die Tür geöffnet oder offengehalten wird.
• Die Zugangsberechtigung wird von einer autorisierten Person erteilt und innerhalb von 24 Stunden nach Deaktivierung eines Mitarbeiter- oder Lieferanteneintrags widerrufen.
• Alle Besucher müssen sich ausweisen und anmelden und werden stets von autorisiertem Personal begleitet.
• Der Zugang zu diesen sensiblen Bereichen wird zusätzlich per Videoüberwachung kontrolliert.
• Geschultes Sicherheitspersonal bewacht das Rechenzentrum und seine unmittelbare Umgebung 24 Stunden am Tag, 7 Tage die Woche.

1.4 Zugangskontrolle

Der Zugriff auf Systeme und Anwendungen des Auftragnehmers erfolgt ausschließlich über gesicherte Remote-Verbindungen. Alle Nutzer verfügen über individuelle Benutzerkonten und starke Authentifizierungsverfahren, wie z. B. Multi-Faktor-Authentifizierung. Passwortrichtlinien, automatische Sperrmechanismen und verschlüsselte Kommunikationsverbindungen gewährleisten, dass nur berechtigte Personen Zugang zu produktiven Cloud-Diensten und administrativen Funktionen erhalten.

1.5 Zugriffskontrolle

Es wird gewährleistet, dass die zur Nutzung eines automatisierten Verarbeitungssystems befugten Personen nur Zugang zu den personenbezogenen Daten erhalten, für die ihre Zugriffsberechtigung gilt.

a) Rollen- und Berechtigungskonzept

i) Rollen- und Berechtigungskonzept bei Kunden-System

Administratoren des Auftraggebers haben ein mehrstufiges Rollenkonzept zur Rechtevergabe zur Verfügung und können dabei zwischen Ansichts- und Bearbeitungsrechten je Funktion bzw. Bereich innerhalb von ZEP für individuelle Nutzer unterscheiden.

ii) Rollen- und Berechtigungskonzept bei Server-/Datenbank-Systemen

Der Zugriff auf das Server-/ Datenbank-System ist grundsätzlich auf eine begrenzte Anzahl geschulter Mitarbeiter im Bereich Produktentwicklung und Infrastruktur beschränkt.

b) Vergabe von Zugriffsrechten

Die Vergabe von Zugriffsrechten erfolgt bei der ZEP GmbH grundsätzlich nach dem „Need-to-Know"-Prinzip. Zugänge erhalten demnach ausschließlich Personen, die ihn nachvollziehbar benötigen und solange sie ihn benötigen. Den Bedarf muss die beantragende Person bei der Beantragung schlüssig begründen. Das Berechtigungskonzept ist rollenbasiert. Jedem Mitarbeiter wird grundsätzlich eine bestimmte Rolle zugewiesen. Von dieser Rolle abweichende Berechtigungen müssen begründet sein. Die Zugriffsberechtigungen werden zentral dokumentiert sowie unmittelbar nach Erlöschen der Notwendigkeit des Zugriffs vom Administrator entzogen. Die Zugänge werden auf die minimal notwendigen Privilegien beschränkt. Zugriffe auf das Server-/ Datenbank-System werden durch das Management freigegeben und erfolgen in der Regel nach dem 4-Augen-Prinzip. Die Administratoren prüfen regelmäßig, ob erteilte Berechtigungen noch erforderlich sind. Im Falle des Ausscheidens von Mitarbeiter informieren die Personalverantwortlichen die Administratoren bzw. die Personalabteilung unverzüglich über anstehende Veränderungen, damit die entsprechenden Berechtigungen entzogen werden können. Der Entzug von Berechtigungen erfolgt nach Möglichkeit binnen 24 Stunden nach Ausscheiden eines Mitarbeiters.

c) Host-basiertes Intrusion Detection System (IDS)

ZEP verwendet ein Intrusion Detection System (IDS). Dieses überwacht Mindestparameter wie verdächtige Log-Einträge, Signaturen bekannter Rootkits und Trojaner, Anomalien im Gerätedateisystem oder Brute-Force-Angriffe. Bei Auffälligkeiten werden die zuständigen Mitarbeiter (Betriebs- und Produktentwicklung) sofort per E-Mail und/oder anderweitiger Mitteilung informiert.

d) Netzsicherheit

Die Server und Datenbanken von ZEP werden nur in privaten Subnetzen ohne öffentliche IPs eingesetzt, wodurch sichergestellt wird, dass keine Dienste direkt vom Internet aus zugänglich sind. Öffentlich zugängliche Dienste werden über Load Balancer oder Bastion Hosts geroutet, die nur die für den jeweiligen Dienst erforderlichen Protokolle und Ports zulassen. Darüber hinaus wird eine Web-Firewall zum Schutz vor gängigen Web-Exploits und Bots eingesetzt, die die Verfügbarkeit beeinträchtigen oder die Sicherheit gefährden können.

1.6 Berechtigungskontrolle

Die Nutzung und Verarbeitung datenschutzrechtlich geschützter Daten durch Unbefugte wird verhindert.

a) Verwendung von Authentifizierungsverfahren

Der Zugriff auf personenbezogene Daten erfolgt immer über verschlüsselte Protokolle: SSH, TLS 1.2 oder höher, HTTPS oder vergleichbare Protokolle.

i) Authentifizierungsverfahren bei IT-System/Laptop

• Die Authentifizierung mit Benutzernamen und Kennwort nach Passwort-Richtlinie ist die Mindestsicherheitsanforderung.
• Je nach den Fähigkeiten des Laptops können alternative und sichere Authentifizierungsverfahren aktiviert werden.

ii) Authentifizierungsverfahren bei Kundensystem(Kundensystem = Zugang für Administratoren und Nutzer des Kunden)

• Authentifizierung mit einer E-Mail-Adresse
• Selbstgewähltes Passwort nach internen Kundenvorgaben zu wählen, unter Berücksichtigung der internen Regeln zur Zeichenanzahl, der Verwendung von Zahlen und Buchstaben sowie Sonderzeichen
• Zurücksetzen des Passworts über einen per E-Mail versandten Reset-Link
• Sperrung des Kontos nach fünf fehlgeschlagenen Anmeldeversuchen
• Zusätzlich kann der Kunde die Authentifizierung und Passwortsicherheit durch die Integration von OAuth2 steuern. Darüber ist eine 2-Faktor-Authentifizierung möglich und empfohlen.

iii) Authentifizierung bei Server-/Datenbank-System(Server-/ Datenbank-System = Zugang auf die gespeicherten Daten durch Produktentwicklung von ZEP)

• Administrativer Zugriff über VPN, SSH oder AWS API
• Authentifizierung mit SSO (MFA erzwungen)

b) Bestimmung von Support- und Weisungsberechtigten

Admin User des Kunden können direkt in ZEP die Möglichkeit zur Freigabe der Daten zur Support Zwecken erteilen. Das Kundenservice-Team von der ZEP GmbH ist verpflichtet, nur von den genannten Personen Aufträge anzunehmen oder Auskünfte zu erteilen und zu überprüfen.

c) Verbot der Weitergabe von Passwörtern und Nutzung von „Shared Accounts"

Sowohl für Nutzer von ZEP als auch für Mitarbeiter der ZEP GmbH gilt das Verbot der Weitergabe von Passwörtern für die Nutzung von ZEP sowie die Nutzung von sogenannten „Shared Accounts" für den Zugang zu Kunden- und administrativen Systemen (d.h. ausschließliche Nutzung persönlicher und individueller User Login bei Anmeldung am System).

d) Automatische Sperrung bei Inaktivität

ZEP-Mitarbeitern sind angewiesen, ihre Laptops ständig zu sperren, wenn sie nicht benutzt werden. Darüber hinaus ist eine automatische Bildschirmsperre nach 15 Minuten Inaktivität eingerichtet. Die Entsperrung erfordert das unter "Authentifizierungsverfahren bei IT-System/Laptop" beschriebene Authentifizierungsverfahren.

e) Einsatz von Anti-Viren-Software

Laptops der Mitarbeiter der ZEP GmbH sind mit einer dem Stand der Technik entsprechenden und aktuell gehaltenen Anti-Viren-Software auf allen betrieblichen oder betrieblich genutzten IT-Systemen ausgestattet. Es dürfen grundsätzlich keine Rechner ohne residenten Virenschutz betrieben werden, es sei denn, es sind andere äquivalente Sicherheitsmaßnahmen nach dem Stand der Technik getroffen worden oder ein Risiko besteht nicht. Vorgegebene Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.

g) „Clean Desk Policy"

ZEP-Mitarbeiter sind dazu angehalten, personenbezogene Daten von Kunden nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien grundsätzlich nicht offen herumliegen zu lassen und ordnungsgemäß zu verstauen. Unterlagen mit personenbezogenen Daten sind nach Gebrauch entweder in abschließbaren Schränken oder Schubfächern zu verstauen oder datenschutzkonform zu entsorgen.

h) Öffentliche Drahtlosnetzwerke und Verbindung zum Firmennetz

Öffentliche drahtlose Netzwerke werden ausschließlich über eine VPN-Verbindung, welche von der ZEP GmbH bereitgestellt wird, verwendet.

1.7 Trennbarkeit

Es wird sichergestellt, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt sind, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

a) Trennung von Entwicklungs-, Test- und Betriebsumgebungen (gem. ISO/IEC 27002:2022)

• Entwicklungs-, Test- und Produktionssysteme sind logisch und technisch voneinander getrennt.
• Produktionsdaten dürfen nur in Test- oder Entwicklungsumgebungen verwendet werden, wenn sie zuvor vollständig anonymisiert oder pseudonymisiert wurden.
• Der Zugriff auf jede Umgebung ist auf berechtigte Rollen beschränkt und wird regelmäßig überprüft.
• Änderungen an Systemen oder Anwendungen werden zunächst in einer Test- bzw. Staging-Umgebung validiert, bevor sie in die Betriebsumgebung übernommen werden.
• Debugging- oder Diagnose-Tools dürfen in der Produktionsumgebung nur eingesetzt werden, wenn dies technisch zwingend erforderlich, dokumentiert und freigegeben ist.
• Übertragungen zwischen Umgebungen erfolgen verschlüsselt oder über vertrauenswürdige Netzwerkverbindungen.
• Der gesamte Änderungsprozess wird im Change-Management-Verfahren dokumentiert und nachvollziehbarfreigegeben.

b) Trennung in Netzwerken (gem. ISO/IEC 27002:2022)

Die ZEP GmbH trennt seine Netzwerke nach Aufgaben. Hierbei kommen die folgenden Netzwerke dauerhaft zum Einsatz: Betriebsumgebung („Prod") und Testumgebung („Test"). Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Restore-Tests und Penetration-Tests. Die Trennung der Netzwerke erfolgt, je nach technischen Möglichkeiten, physisch oder mittels virtueller Netzwerke.

c) Softwareseitige Mandantentrennung

Die ZEP GmbH stellt die getrennte Verarbeitung und Speicherung von Daten unterschiedlicher Auftraggeber über eine logische Mandantentrennung auf Basis einer Multi-Tenancy-Architektur sicher. Die Zuordnung und Identifizierung der Daten erfolgt je Kunde durch eine eigene Datenbank, sodass das Risiko der Umgehung der Mandantentrennung durch Programmierfehler ausgeschlossen wird. Regelmäßige Security-Audits sowie verbindliche Code-Reviews (4-bis 6-Augen-Prinzip) sichern die Architektur zusätzlich ab.

2. Maßnahmen zur Integritätswahrung

Integrität bedeutet die Gewährleistung der Korrektheit/Echtheit der Daten und das ordnungsgemäße Funktionieren der Systeme.

2.1 Übermittlungskontrolle

Es wird sichergestellt, dass die Vertraulichkeit und Integrität privater Daten bei der Übertragung und beim Transport der Speichermedien geschützt sind.

a) Transportverschlüsselung („Data in Transit")

Siehe "Verschlüsselung und Pseudonymisierung von personenbezogenen Daten", Sicherstellung der Datenintegrität während des Transports durch Berechnung von Prüfsummen.

b) Verbot der Weitergabe an unbefugte Dritte

Eine Weitergabe personenbezogener Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur im Umfang der Weisungen und soweit dies zur Erbringung der vertraglichen Leistungen für den Auftraggeber erforderlich ist, erfolgen. Insbesondere ist die Weitergabe von personenbezogenen Daten aus dem Auftrag an unberechtigte Dritte, z.B. durch Speicherung in einem anderen Cloud-Speicher, nicht gestattet.

2.2 Eingabekontrolle

Es soll sichergestellt werden, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welchem Zeitpunkt und von wem in automatisierte Verarbeitungssysteme eingegeben oder geändert worden sind.

Protokollierung der Systemaktivitäten im Kundensystem sowie Auswertung

Viele der wesentlichen Systemaktivitäten werden protokolliert. Die Protokolleinträge enthalten mindestens: Zeitstempel, Benutzer-ID, Zugriffsrolle, Systemkomponente oder -funktion, durchgeführte Aktivitäten. Zu den protokollierten Aktivitäten gehören alle Eingabe-, Änderungs- und Löschaktionen in Bezug auf Daten, Benutzer, Berechtigungen oder Systemeinstellungen.

3. Maßnahmen zur Sicherstellung der Verfügbarkeit

Die Verfügbarkeit von Diensten, Funktionen eines IT-Systems, von IT-Anwendungen oder IT-Netzen oder auch von Informationen ist gegeben, wenn sie von den Nutzern jederzeit bestimmungsgemäß verwendet werden können.

3.1 Verfügbarkeitskontrolle

Sicherstellen, dass personenbezogene Daten gegen versehentliche Zerstörung oder Verlust geschützt sind.

a) Datensicherungsverfahren/Backups

Die ZEP GmbH hat ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Kunden sowie das Speichermedium mit den entsprechend gespeicherten Dokumenten nach dem Stand der Technik implementiert, um eine ausreichende Verfügbarkeit zu gewährleisten.

b) Georedundanz in Bezug auf die Serverinfrastruktur von Produktivdaten und Backups

Um im Falle eines unvorhergesehenen Ereignisses, wie z.B. einer Naturkatastrophe, Georedundanz zu gewährleisten, stellt die ZEP GmbH sicher, dass angemessene räumliche Trennungsanforderungen in Bezug auf die Serverinfrastruktur der Produktivdaten und Backups erfüllt werden. Dies kann durch die Nutzung verschiedener Rechenzentren in ausreichender Entfernung oder Rechenzentren mit unterschiedlichen Verfügbarkeitszonen gewährleistet werden. Das Backup-System ist so konzipiert, dass die Daten im unwahrscheinlichen Fall eines Ausfalls einer AWS-Region dank der Backup-Replikation über mehrere AWS EU-Regionen hinweg nicht gefährdet sind.

c) Kapazitätsmanagement

Es gibt ein Kapazitätsmanagement mit Überwachung und automatischer Skalierung im Falle von Kapazitätsengpässen.

d) Warnsysteme zur Überwachung der Erreichbarkeit und des Zustands der Server-Systeme

Es besteht ein Warnsystem zur Überwachung der Verfügbarkeit und des Status der Serversysteme. Bei Ausfällen wird die Infrastrukturabteilung automatisch benachrichtigt, um sofortige Maßnahmen zur Behebung des Problems zu ergreifen.

e) IT-Störungsmanagement („Incident Response Management") (gem. ISO/IEC 27002:2022)

Die ZEP GmbH verfügt über ein dokumentiertes Verfahren zum Management von IT-Störungen und sicherheitsrelevanten Ereignissen. Dieses Verfahren umfasst die Erkennung, Meldung, Analyse und Behandlung von Vorfällen, die die Informationssicherheit oder den Schutz personenbezogener Daten betreffen.

Die ZEP GmbH stellt sicher, dass geeignete Verantwortlichkeiten, Eskalationswege und Kommunikationskanäle definiert sind, um Vorfälle zeitnah zu identifizieren und angemessen zu reagieren.

Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert die ZEP GmbH den Verantwortlichen unverzüglich und stellt alle relevanten Informationen bereit, um die Einhaltung der Meldepflichten gemäß Art. 33 und 34 DSGVO zu unterstützen.

Erkenntnisse aus Sicherheitsvorfällen werden dokumentiert, analysiert und fließen in die kontinuierliche Verbesserung der organisatorischen und technischen Maßnahmen ein, um ähnliche Vorfälle künftig zu verhindern.

f) Weitere Maßnahmen zur Gewährleistung der Verfügbarkeit in den Rechenzentren

Im Rechenzentrum ist ein automatisches Brandmelde- und Brandbekämpfungssystem installiert. Das Brandmeldesystem verwendet Rauchsensoren in der gesamten Umgebung des Rechenzentrums, in den mechanischen und elektrischen Bereichen der Infrastruktur, in den Kühlräumen und in den Räumen, in denen die Generatoren untergebracht sind.

Alle Stromversorgungssysteme sind redundant ausgelegt. Im Falle eines Stromausfalls sorgt eine unterbrechungsfreie Stromversorgung (USV) dafür, dass kritische Bereiche der Anlage weiterhin mit Strom versorgt werden. Das Rechenzentrum verfügt außerdem über Generatoren, die die gesamte Anlage mit Notstrom versorgen können. Das Rechenzentrum ist klimatisiert und temperaturgesteuert. Es werden vorbeugende Wartungsmaßnahmen durchgeführt, um den kontinuierlichen Betrieb zu gewährleisten.

3.2 Wiederherstellbarkeit

Es wird sichergestellt, dass Systeme im Falle eines physischen oder technischen Ausfalls zuverlässig wiederhergestellt werden können.

Notfallplan („Disaster Recovery Concept")

Es gibt ein Konzept für den Umgang mit Notfällen/Katastrophen und einen entsprechenden Notfallplan. Die ZEP GmbH gewährleistet die Wiederherstellung aller Systeme auf der Grundlage von Datensicherungen, in der Regel innerhalb von 4 Stunden (Recovery Time Objective – RTO) nach Bestätigung durch den Support der ZEP-GmbH (Incident-Anerkennung). Das Recovery Point Objective (RPO) ist auf 24 Stunden festgelegt.

Die Wiederherstellung erfolgt im Ernstfall durch Backups die direkt aus AWS geladen und in die jeweilige ZEP-Instanz eingespielt werden können.

Backups werden jede Nacht erstellt. Sie werden die ersten 14 Tage täglich, danach bis Woche 19 wöchentlich aufbewahrt. Die erstellten Backups werden regelmäßig getestet.

4. Maßnahmen zur Überprüfung und Evaluierung

Beschreibung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

a) Datenschutz und Informationssicherheitsystem

Für die Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich Datenschutz und Datensicherheit wurde ein Datenschutz- und Informationssicherheitssystem eingerichtet.

b) Risikomanagement

Die ZEP GmbH betreibt im Rahmen ihres nach ISO/IEC 27001 zertifizierten Informationssicherheitsmanagementsystems einen dokumentierten Prozess zur Identifikation, Bewertung und Behandlung von Risiken. Die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen wird regelmäßig überprüft und bei Bedarf angepasst, um die Sicherheit der Verarbeitung personenbezogener Daten dauerhaft zu gewährleisten. Außerdem wird die ZEP-Anwendung regelmäßigen Penetration-Test unterzogen um mögliche Risiken identifizieren und behandeln zu können.

c) Unabhängige Überprüfung der Informationssicherheit (gem. ISO/IEC 27002:2022)

i) Durchführung von Audits

• Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Die Audits werden auf der Grundlage gemeinsamer Prüfkriterien/-schemata (insbesondere gesetzlicher Anforderungen der DSGVO, Sicherheitsstandards usw.) durchgeführt und prüfen insbesondere die Vollständigkeit und Richtigkeit von Richtlinien und Konzepten sowie die Dokumentation und Einhaltung entsprechender Prozesse.
• Die ZEP GmbH unterzieht ihr ISMS regelmäßigen externen Überprüfungen (externe Audits) durch eine unabhängige, akkreditierte Zertifizierungsstelle im Rahmen der ISO/IEC 27001-Zertifizierung (Erstzertifizierung, Überwachungs- und Rezertifizierungsaudits). Das Zertifikat ist hier verlinkt.

ii) Überprüfung der Einhaltung von Sicherheitsrichtlinien und Standards (gem, ISO/IEC 27002:2022)

Die Einhaltung der geltenden Sicherheitsrichtlinien, Normen und sonstigen Sicherheitsanforderungen bei der Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Soweit möglich, geschieht dies stichprobenartig und unerwartet.

iii) Verfahren zur kontinuierlichen Verbesserung des Datenschutz- und Informationssicherheitsmanagementsystems

Zu den Datenschutz- und Informationssicherheitsprozessen gehören auch eine regelmäßige Überprüfung und Bewertung der getroffenen technischen und organisatorischen Maßnahmen. Ebenfalls besteht ein Verbesserungs- und Vorschlagswesen, an dem sich die Mitarbeiter beteiligen können. Die ZEP GmbH sorgt so für eine kontinuierliche Verbesserung der Prozesse im Umgang mit personenbezogenen Daten.

d) Vertragsüberwachung

Es wird gewährleistet, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können.

i) Auftragsverarbeitung

Die Mitarbeiter der ZEP GmbH sind angewiesen, personenbezogene Daten des Auftraggebers nur auf dokumentierte Weisung im Rahmen des Auftragsverarbeitungsvertrages und der Nutzungsvereinbarung zu verwenden. Nach dem Auftragsverarbeitungsvertrag nimmt ZEP die Weisungen des Auftraggebers sowohl in schriftlicher Form als auch über die vom Auftragnehmer angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind nur in dringenden Fällen zulässig und müssen vom Auftraggeber unverzüglich schriftlich oder in einem von ZEP angebotenen elektronischen Format bestätigt werden.

ii) Sorgfältige Auswahl von Lieferanten

Im Falle des Outsourcings erfolgt die Beauftragung von Lieferanten/Dritten auf der Grundlage eines sorgfältigen Auswahlverfahrens in Zusammenarbeit mit dem Management und dem Datenschutzbeauftragten nach festgelegten Kriterien, insbesondere im Hinblick auf den Datenschutz und die IT-Sicherheit, im Besonderen:

• Prüfung der Dokumentation und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO
• Je nach Schutzniveau und Umfang der personenbezogenen Daten werden möglichst nur ISO/IEC 27001 zertifizierte Unternehmen beauftragt (gilt in jedem Fall für Rechenzentren)

Um Risiken vorzubeugen, wird im Rahmen des Prozesses auch eine Risikobewertung für die jeweiligen Lieferanten durchgeführt, wenn der Drittanbieter regelmäßig mit personenbezogenen Daten arbeitet.

iii) Auftragsverarbeitung gem. Art. 28 DSGVO

Eine Beauftragung und der Einsatz eines Unterauftragnehmer erfolgt ausschließlich nach Maßgabe des Auftragsverarbeitungsvertrages zwischen der ZEP GmbH und dem Kunden, der gesetzlichen Bestimmungen sowie nach Abschluss einer entsprechenden Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen der ZEP GmbH und dem Unterauftragnehmer. Diese Vereinbarung soll, soweit möglich, regelmäßig zumindest die folgenden Aspekte berücksichtigen:

• Vereinbarung von wirksamen Kontrollrechten (entsprechend den Rechten des Auftraggebers, möglichst einschließlich Kontrollen vor Ort)
• Vereinbarung von entsprechenden Kontroll- und Informationsrechten bei der Beauftragung weiterer Unterauftragnehmer
• Vereinbarung von Vertragsstrafen für Verstöße, soweit erforderlich und möglich
• Ausschließliche Verarbeitung nach dokumentierten Anweisungen
• Ausschluss unzulässiger Verarbeitungsschritte
• Verbot der Anfertigung von Kopien personenbezogener Daten (außer Sicherungskopien)
• Verpflichtung der Mitarbeiter des Unterauftragnehmers zur Wahrung der Vertraulichkeit
• Mitwirkung bei der Wahrung der Rechte der betroffenen Personen
• Ernennung eines Datenschutzbeauftragten, sofern gesetzlich vorgeschrieben
• Informationspflicht bei meldepflichtigen Verstößen gegen den Schutz personenbezogener Daten gemäß Art.33 und 34 DSGVO, bei Betriebsstörungen und anderen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten
• Sicherstellung der Löschung/Vernichtung von Daten nach Erledigung des Auftrags

iv) Durchführung regelmäßiger Kontrollen / Anforderung von Nachweisen

Die ZEP GmbH wird sich vor Beginn des Einsatzes und danach regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen der von ihr beauftragten Unterauftragnehmer überzeugen oder sich diese nachweisen lassen.

ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt: