Datenverarbeitungsvereinbarung

Anlage 1

Auftragsverarbeitungsvertrag

Vereinbarung über Auftragsverarbeitung zwischen der payever GmbH, Rödingsmarkt 20,20459 („payever“) und ihrem Geschäftskunden

Präambel

1

Anwendungsbereich

Bei der Erbringung der Leistungen gemäß den Allgemeinen Geschäftsbedingungen Geschäftskunden („Hauptvertrag“) verarbeitet payever personenbezogene Daten, die der Geschäftskunde als Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.

2

Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers

2.1

payever wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern payever nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt payever dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.2

Die Verarbeitung von Auftraggeber-Daten durch payever erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser Anlage spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.

2.3

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.4

Die Weisungen erschöpfen sich in den Inhalten des Hauptvertrags und dieser Anlage, falls nicht zwingende datenschutzrechtliche Vorschriften weitere Weisungen erforderlich machen.

3

Anforderungen an Personal

3.1

payever hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.

3.2

payever stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten; es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4

Sicherheit der Verarbeitung

4.1

payever ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

4.2

payever hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2
 zu dieser Anlage spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten oder durch mindestens gleichwertige Maßnahmen zu ersetzen sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.

5

Inanspruchnahme weiterer Auftragsverarbeiter

5.1

Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch payever. Die gegenwärtig von payever eingesetzten weiteren Auftragsverarbeiter sind in Anhang 3 genannt.

5.2

payever wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren, indem es eine E-Mail an die im payever-Account hinterlegte E-Mailaddresse sendet. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung innerhalb von 4 Wochen Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist payever die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird payever die Liste der Unterauftragnehmer in Anhang 3
 entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.

5.3

payever wird jedem weiteren Auftragsverarbeiter vertraglich Datenschutzpflichten auferlegen, die den in dieser Anlage in Bezug auf payever festgelegten Pflichten mindestens gleichwertig sind.

6

Rechte der betroffenen Personen

6.1

payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

6.2

payever wird insbesondere den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an payever wenden sollte.

7

Sonstige Unterstützungspflichten payevers

7.1

payever meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.

7.2

Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird payever den Auftraggeber auf dessen Anfrage gegen Entgelt unterstützen, diese Pflichten einzuhalten.

7.3

payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

8

Datenlöschung und -zurückgabe

8.1

payever wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages, alle Auftraggeber-Daten entweder löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung payevers zur weiteren Speicherung der Auftraggeber-Daten besteht.

9

Nachweise und Überprüfungen

9.1

payever erklärt sich damit einverstanden, dass der Auftraggeber nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort, die im Rahmen der üblichen Geschäftszeiten auf eigene Kosten des Auftraggebers und ohne Störung des Betriebsablaufs erfolgen.

9.2

payever erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand.

Datum [18.05.2018]

Anhang 1 – Informationen zur Datenverarbeitung

Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen

Anhang 2 – Technische und organisatorische Maßnahmen payevers

payever wird unter Berücksichtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu erreichen. . Zu diesen Maßnahmen gehören:

Infrastructure and physical security measures

Die Daten des Auftraggebers werden in externen Datencenterparks gespeichert, die nach dem international anerkannten Standard für Informationssicherheit DIN ISO/IEC 27001 zertifiziert sind. Zu den physischen Sicherheitsmaßnahmen gehören u.a.:

Bauliche Maßnahmen (Zäune, Überwachungskameras, verschlossene Türen, Tore und Fenster, etc.)

Unterbrechungsfreie Stromversorgung

Modernes Brandfrühesterkennungssystem

Einrichtung von Zutrittsberechtigungen für Angestellte und Dritte, einschließlich der jeweiligen Dokumentation

Identitäts- oder Codekartenausweise

Bestimmte Sicherheitsbereiche mit eigenen Zutrittskontrollen ("closed shops")

Regeln und Vorschriften für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)

24/7 Betreuung durch qualifiziertes Fachpersonal

Installationsarbeiten durch qualifizierte Techniker

Infrastructure and physical security measures

Die Daten des Auftraggebers werden in externen Datencenterparks gespeichert, die nach dem international anerkannten Standard für Informationssicherheit DIN ISO/IEC 27001 zertifiziert sind. Zu den physischen Sicherheitsmaßnahmen gehören u.a.:

Bauliche Maßnahmen (Zäune, Überwachungskameras, verschlossene Türen, Tore und Fenster, etc.)

Unterbrechungsfreie Stromversorgung

Modernes Brandfrühesterkennungssystem

Einrichtung von Zutrittsberechtigungen für Angestellte und Dritte, einschließlich der jeweiligen Dokumentation

Identitäts- oder Codekartenausweise

Bestimmte Sicherheitsbereiche mit eigenen Zutrittskontrollen ("closed shops")

Regeln und Vorschriften für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)

24/7 Betreuung durch qualifiziertes Fachpersonal

Installationsarbeiten durch qualifizierte Techniker

Sicherheitsmaßnahmen interner Netzwerke:

payever hat ein sicheres internes Netzwerk für die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten und wartet dieses. Hierzu schützt payever den Datenaustausch zwischen den Datacentern mit VPN und zwischen einzelnen payever Service-Komponenten mit SSL. Für die interne Verarbeitung von vertraulichen und sensiblen Daten verwendet payever ein sicheres Verschlüsselungsverfahren (RSA 4096bit).

payever implementiert und wartet zudem angemessene Firewalls für den Schutz der internen Netzwerke gegen unerlaubten Zugriff der Daten, einschließlich aber nicht begrenzt auf die Abwehr dynamischer IPs. Alle User Logins, IPs, Änderung von Dateien und http Aufrufe, die missbräuchlich genutzt werden, werden von einem System überwacht (Monitoring) und an payever kommuniziert (Alerting). Sämtliche Firewall-Einstellungen werden mind. einmal im Quartal überprüft und entsprechend des Marktstandards angepasst.

Unternehmensinterne Maßnahmen:

payever hat zahlreiche unternehmensinterne Maßnahmen umgesetzt. Hierzu gehören:

Zutrittskontrolle für alle Personen, die das Unternehmen betreten durch abschließbare Räume und Begleitung von Besuchern

Sicherung sämtlicher Endgeräte über Passwörter

Einführung von Zugriffsberechtigungen für Angestellte auf Grundlage eines Zugriffsberechtigugnskonzepts, einschließlich der entsprechenden Dokumentationen, inklusive Differenzierter Zugriffsregelungen (z.B. partielle Sperrung, genaue Nutzerrollen oder Profile)

Verbindliche Richtlinien und Prozesse für die Arbeitnehmer zur Datensicherheit und Datenverarbeitung

Identifikation des Endgerätes und/oder des Nutzers

Automatische Abmeldung von Nutzer IDs, die während eines gewissen Zeitraums nicht genutzt wurden

Nutzung von Verschlüsselung für sicherheitskritische Dateien

Richtlinien für die Organisation von Dateien

Benutzername und Passwort

Richtlinien für die Erstellung eines sicheren Passworts

Trennung von Produktions- und Testumgebung für Bibliotheken und Dateien

Backuproutine mit regelmäßigen Backups

Richtlinien über die Erstellung von Back-Up Kopien

Existenz eines Notfallplanes (Backupnotfallplan)

Vorgabe von verbindlichen oder möglichen Speicherorten für Daten

Elektronische Aufzeichnung von Datenverarbeitungen, insbesondere Nutzung, Änderung und Löschung von Daten

Ständige Aktualisierung der genutzten Software (z.B. durch Updates, Patches, Fixes etc.)

Leitlinien zur Dokumentation von Software und IT-Prozessen

Interne Datenverarbeitungsrichtlinien und Prozesse, Leitlinien, Arbeitsanweisungen, Prozessbeschreibungen und Regelungen für Programmierung, Prüfung und Freigabe von Daten.

Zudem hat payever angemessene Maßnahmen zur Trennungskontrolle implementiert, so dass gewährleistet ist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Trennung von Testdaten und produktiven Daten

Berechtigungskonzept (logische Trennung)

Trennung der Daten nach Auftraggeber

payever behält sich das Recht vor, diese technischen und organisatorischen Maßnahmen im Zeitverlauf zu aktualisieren oder anzupassen, insoweit solche Anpassungen zu keiner Verschlechterung der allgemeinen Sicherheit der Leistung von payever als Auftragsdatenverarbeiters führen.

Anhang 3 – Liste der Unterauftragnehmer

© payever. All rights reserved.

Deutsch