Demo Login

Auftragsdatenverarbeitungsvertrag (AVV)

zwischen

MAINTENY GmbH

Rheinsberger Str. 76/77

10115 Berlin

- nachfolgend Auftragsverarbeiter genannt -

und

ihrem im Bestellformular näher bezeichneten Kunden

- nachfolgend Kunde oder Verantwortlicher genannt -

- Auftragsverarbeiter und Verantwortlicher zusammen auch die Parteien genannt -

Letzter Stand: 30.06.2023

§ 1 Präambel

Die Parteien haben einen Vertrag über die Bereitstellung der MAINTENY-Software geschlossen (der "Vertrag"). Im Rahmen der vereinbarten Leistungen ist es erforderlich, dass der Auftragsverarbeiter personenbezogene Daten verarbeitet, für die der Verantwortliche datenschutzrechtlich verantwortlich ist. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - DSGVO), und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Parteien den nachfolgenden, den Vorgaben des Art. 28 DSGVO entsprechenden Auftragsverarbeitungsvertrag („AVV“).

§ 2 Anwendungsbereich, Umfang und Laufzeit

  1. Dieser AVV gilt für die Erhebung, Verarbeitung und Löschung aller personenbezogenen Daten (nachstehend "Daten" genannt), die vom Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet werden. Die Verarbeitung von Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anlage 1 zu diesem AVV spezifiziert.
  2. Für die Laufzeit und Beendigung dieses AVV gelten die Laufzeit- und Beendigungsbestimmungen des Vertrages. Eine Beendigung des Vertrages führt automatisch zu einer Kündigung dieses AVV. Eine isolierte Beendigung dieses AVV ist ausgeschlossen.

§ 3 Verantwortlichkeit und Weisungsbefugnis

  1.  Die Parteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen.
  2. Der Auftragsverarbeiter verarbeitet die Daten im Auftrag und nach den Weisungen des Verantwortlichen im Sinne von Art. 28 DSGVO (Verarbeitung im Auftrag). Der Verantwortliche bleibt der für die Verarbeitung Verantwortliche im Sinne des Datenschutzrechts (Art. 4 Abs. 7 DSGVO).
  3. Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen. Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. 
  4. Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Die Weisungen des Verantwortlichen sind in den Bestimmungen dieses AVV grundsätzlich abschließend geregelt und dokumentiert. Individuelle Weisungen, die von den Bestimmungen dieses AVV abweichen oder zusätzliche Anforderungen stellen, bedürfen der Zustimmung des Auftragsverarbeiters und sind zu dokumentieren. Die dem Auftragsverarbeiter hierdurch entstehenden Mehrkosten gehen zu Lasten des Verantwortlichen.
  5. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird. 
  6. Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt.
  7. Der Auftragsverarbeiter behält sich das Recht vor, die Daten so zu anonymisieren oder zu aggregieren, dass eine Identifizierung einzelner Betroffener nicht mehr möglich ist, und sie in dieser Form zum Zwecke der bedarfsgerechten Gestaltung, Entwicklung und Optimierung sowie zur Erbringung der gemäß des Vertrages vereinbarten Leistungen zu verwenden. Die Parteien sind sich einig, dass anonymisierte und entsprechend der obigen Anforderungen aggregierte Daten nicht als Daten im Sinne dieses AVV gelten, die im Auftrag des Verantwortlichen verarbeitet werden.
  8. Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
  9. Soweit die Verarbeitung im Rahmen dieses AVV außerhalb des Gebiets der Europäischen Union/des Europäischen Wirtschaftsraums erfolgt, stellen die Parteien sicher, dass das durch die DSGVO garantierte Schutzniveau unter Berücksichtigung der Anforderungen von Kapitel V der DSGVO nicht unterlaufen wird. Zu diesem Zweck vereinbaren die Parteien hiermit die verbindliche Anwendbarkeit der Standardvertragsklauseln der Europäischen Kommission für internationale Übermittlungen („SCC“), Modul 3 (Processor-to-Processor). Im Falle eines Konflikts zwischen den Bestimmungen dieser Vereinbarung und den Bestimmungen der SCC haben letztere Vorrang und bleiben unberührt.
  10. Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.

§ 4 Gesetzliche Pflichten des Verantwortlichen

  1. Der Verantwortliche ist allein verantwortlich für die Zulässigkeit der Datenverarbeitung und für die Wahrung der Rechte der betroffenen Personen im Verhältnis zwischen den Parteien. Sollten Dritte Ansprüche gegen den Auftragsverarbeiter geltend machen, die auf der Verarbeitung von Daten gemäß dieser AVV beruhen, so stellt der Verantwortliche den Auftragsverarbeiter auf erstes Anfordern von allen derartigen Ansprüchen frei.
  2. Der Verantwortliche ist dafür verantwortlich, dem Auftragsverarbeiter rechtzeitig Daten für die Erbringung von Leistungen nach dem Vertrag zur Verfügung zu stellen und er ist für die Qualität der Daten verantwortlich. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich und vollständig, wenn er bei der Prüfung der Ergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten in Bezug auf die Datenschutzbestimmungen oder seine Anweisungen feststellt.
  3. Der Verantwortliche stellt dem Auftragsverarbeiter auf Verlangen die in Art. 30 Abs. 2 DSGVO genannten Informationen zur Verfügung, soweit sie dem Auftragsverarbeiter nicht selbst zur Verfügung stehen.
  4. Ist der Auftragsverarbeiter verpflichtet, einer staatlichen Stelle oder Person bei der Verarbeitung von Daten Auskunft zu erteilen oder mit diesen Stellen in sonstiger Weise zusammenzuarbeiten, so ist der Verantwortliche auf erstes Anfordern verpflichtet, den Auftragsverarbeiter bei der Erteilung dieser Auskunft und bei der Erfüllung sonstiger Mitwirkungspflichten zu unterstützen

§ 5 Gesetzliche Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  2. Die Parteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.

§ 6 Technisch-organisatorische Maßnahmen

  1. Die Parteien vereinbaren die in Anlage 2 („Technisch-organisatorische Maßnahmen“ inkl. Subunternehmen) zu diesem AVV niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Die Anlage ist wesentlicher Bestandteil dieses AVV.
  2. Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen gemäß den gesetzlichen Vorschriften und der Vorschriften dieses AVV umzusetzen. Wesentliche Änderungen sind zu dokumentieren.
  3. Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieses AVV getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über jede Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.
  4. Der Verantwortliche ist berechtigt, zur Durchführung von Kontrollen, mit denen er sich von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Bestimmungen oder der für die Durchführung dieses AVV erforderlichen technischen und organisatorischen Anforderungen überzeugen will, die Geschäftsräume des Auftragsverarbeiters, in denen Daten verarbeitet werden, innerhalb der üblichen Geschäftszeiten nach rechtzeitiger Vorankündigung (in der Regel zwei Wochen im Voraus) auf eigene Kosten, ohne Störung des Geschäftsbetriebes und unter strikter Wahrung der Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters zu betreten.
  5. Der Verantwortliche unterrichtet den Auftragsverarbeiter rechtzeitig (in der Regel zwei Wochen im Voraus) über alle Umstände, die mit der Durchführung des Audits zusammenhängen. Der Auftraggeber kann ein Audit pro Kalenderjahr durchführen. Weitere Audits werden gegen Erstattung der Kosten und nach Rücksprache mit dem Auftragsverarbeiter durchgeführt.
  6. Beauftragt der Verantwortliche einen Dritten mit der Durchführung des Audits, so hat er diesen in gleicher Weise schriftlich zu verpflichten, wie der Verantwortliche gegenüber dem Auftragsverarbeiter nach diesem AVV verpflichtet ist. Darüber hinaus verpflichtet der Verantwortliche den Dritten zur Verschwiegenheit und Vertraulichkeit, es sei denn, der Dritte unterliegt einer beruflichen Verschwiegenheitspflicht. Auf Verlangen des Auftragsverarbeiters legt der Verantwortliche diesem unverzüglich die Verpflichtungsvereinbarungen mit dem Dritten vor. Der Verantwortliche darf keinen Konkurrenten des Auftragsverarbeiters mit der Durchführung des Audits beauftragen.
  7. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

§ 7 Mitteilung bei Verstößen durch den Auftragsverarbeiter

Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diesen AVV sowie gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Verantwortlichen. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung dieses AVV durchführen.

§ 8 Löschung und Rückgabe von Daten

  1. Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
  2. Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Verantwortlichen auf Anforderung vorzulegen. 
  3. Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 3.
  4. Ein Zurückbehaltungsrecht ist ausgeschlossen.

§ 9 Subunternehmen

  1. Der Auftragsverarbeiter kann im Allgemeinen ohne vorherige Zustimmung des Verantwortlichen weitere Auftragsverarbeiter (Subunternehmer) einsetzen, sofern der Auftragsverarbeiter angemessene Maßnahmen zum Schutz der Vertraulichkeit der Daten ergreift. Die derzeitigen Subunternehmer, die für die Durchführung dieses AVV eingesetzt und zwischen den Parteien vereinbart wurden, sind in Anlage 2 im Einzelnen aufgeführt. Beauftragt der Auftragsverarbeiter neue Subunternehmer mit der Verarbeitung von Daten im Rahmen dieses AVV, so unterrichtet er den Verantwortlichen über die beabsichtigte Änderung oder Ersetzung von Subunternehmern. Im Einzelfall kann der Verantwortliche gegen solche Änderungen innerhalb von 14 Tagen nach der entsprechenden Unterrichtung Einspruch erheben, wobei ein solcher Einspruch nicht unbillig verweigert werden darf. Der neue Subunternehmer kann nach Ablauf der 14-tägigen Frist oder nach vorheriger Genehmigung durch den Verantwortlichen mit der Verarbeitung beginnen. Für die Zwecke dieser Bestimmung gelten Unterauftragsleistungen nicht als Dienstleistungen, die der Auftragsverarbeiter von Dritten als Nebenleistungen zur Unterstützung der Erfüllung dieses AVV erwirbt, z. B. Telekommunikationsdienste.
  2. Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung. 
  3. Vorbehaltlich der Einhaltung der Anforderungen von § 3 Abs. 9 dieses AVV gelten die Bestimmungen des § 9 dieses AVV auch, wenn ein weiterer Auftragsverarbeiter in einem Drittland beteiligt ist. Der Verantwortliche ermächtigt hiermit den Auftragsverarbeiter, im Namen des Verantwortlichen eine Vereinbarung mit einem anderen Auftragsverarbeiter auf der Grundlage der SCC zu schließen. Der Verantwortliche erklärt seine Bereitschaft, bei der Erfüllung der Anforderungen des Art. 49 DSGVO in diesem Umfang mitzuwirken.

§ 10 Datenschutzkontrolle

Der Auftragsverarbeiter verpflichtet sich, der Geschäftsführung des Verantwortlichen (bzw. dessen Datenschutzbeauftragten, soweit anwendbar) sowie der zuständigen Aufsichtsbehörde zur Erfüllung ihrer jeweiligen gesetzlichen zugewiesenen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren. Der Verarbeiter wird seine Mitarbeiter anweisen, mit den Vorgenannten zu kooperieren, insbesondere deren Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon unberührt.

§ 11 Haftung

  1. Für die Haftung des Auftragsverarbeiters nach diesem AVV gelten die Haftungsausschlüsse und -beschränkungen des Vertrages. Soweit Dritte Ansprüche gegen den Auftragsverarbeiter geltend machen, die darauf beruhen, dass der Verantwortliche diesen AVVoder eine ihn betreffende datenschutzrechtliche Verpflichtung als Verantwortlicher schuldhaft verletzt hat, stellt der Verantwortliche den Auftragsverarbeiter auf erstes Anfordern von diesen Ansprüchen frei.
  2. Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter auf erstes Anfordern von allen möglichen Bußgeldern freizustellen, die gegen den Auftragsverarbeiter verhängt werden und die seinem Anteil an der Verantwortung für den mit dem Bußgeld sanktionierten Verstoß entsprechen.

§ 12 Schlussbestimmungen

  1. Auf diesen AVV ist deutsches Recht anwendbar.
  2. Gerichtsstand für alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem AVV ergeben, ist Berlin.
  3. Sollten einzelne Regelungen dieses AVV unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. 

Anlage 1: Zweck, Art und Umfang der Datenverarbeitung; Art der Daten und Kategorien der betroffenen Personen

Personenbezogene DatenArt der DatenZweck ihrer VerarbeitungKreis der Betroffenen
NamePersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
VornamePersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
AnschriftPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
Berufsbezeichnung/ FunktionPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
FirmenzugehörigkeitPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
PersonalnummerPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
BenutzernamePersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
PasswortPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
Foto URLPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
ArbeitsstundenPersonenstammdatenMitarbeiterverwaltungMitarbeiter des Kunden
TelefonnummerKommunikationsdatenMitarbeiterverwaltungMitarbeiter des Kunden
EmailadresseKommunikationsdatenMitarbeiterverwaltungMitarbeiter des Kunden
IP- AdresseKommunikationsdatenMitarbeiterverwaltungMitarbeiter des Kunden

 Anlage 2: Technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO

1. Pseudonymisierung (Art. 32 Abs. 2 lit. a DSGVO)

Maßnahmen, um zu garantieren, dass Daten derart verarbeitet werden, dass sie ohne die Nutzung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können.

Technische Maßnahmen

  • Verwendung von State-of-the-Art-Transformationsverfahren
  • Erzeugung und Verwaltung (u.a. Verteilung, Speicherung, Verwendung, Löschung) geheimer Parameter (Schlüssel und Salt-Werte) durch nach Stand der Technik zu schützen
  • Nutzung von „Salt-Werten“

Organisatorische Maßnahmen

  • Einschränkung des Zugriffs auf Salt-Werte und Schlüssel auf ein absolutes Minimum an vertrauenswürdigen Nutzern eingeschränkt (Need-to-Know-Prinzip)
  • Datenschutzgerechte Löschung von pseudonymisierten Daten nach Wegfall des Verarbeitungszwecks 
  • Pseudonymisierung vor zulässiger statistischer Auswertung
  • internes Password Management im Team mit restriktiven Regeln basierend auf Rolle

2. Verschlüsselung (Art. 32 Abs. 2 lit. a DSGVO)

Technische Maßnahmen

  • Verschlüsselung der Firmenwebseite („Data in motion“) - HTTPS
  • Verschlüsselung von Datenträgern in Laptops / Notebooks („Data at Rest“)
  • E-Mail-Verschlüsselung („Data in motion“), siehe unter 6. (TLS Verschlüsselung)

Organisatorische Maßnahmen

  • Verschlüsselungs-Management-Lösung 

3. Vertraulichkeit – Zutrittskontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, um unbefugte Personen vom Zutritt zu Datenverarbeitungseinrichtungen und Systemen, in denen Daten verarbeitet oder verwendet werden, auszuschließen.

Technische Maßnahmen

  • Absicherung der Gebäude, Fenster und Türen
  • Sicherheitsschlösser

Organisatorische Maßnahmen

  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Personenkontrolle beim Pförtner / Empfang
  • Sorgfältige Auswahl von Reinigungspersonal

4. Vertraulichkeit - Kontrolle des Zugangs (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische Maßnahmen

  • Authentifikation mit Benutzername / Passwort
  • Einsatz von Anti-Viren-Software
  • Einsatz Firewalls mit VPN-Technologie 

Organisatorische Maßnahmen

  • Passwortvergabe / Passwortregeln
  • Soweit ein Beschäftigter das Unternehmen verlässt, werden Zugriffsrechte sofort gesperrt
  • Regelmäßige Überprüfung der Berechtigungen (einmal pro Jahr)
  • Bildschirmsperre bei Arbeitsplätzen bei Inaktivität

5. Vertraulichkeit - Zugriffskontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen

  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • physische Löschung von Datenträgern vor Wiederverwendung
  • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
  • Protokollierung der Vernichtung von Daten

Organisatorische Maßnahmen

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel 

6. Vertraulichkeit - Weitergabekontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen

  • E-Mail-Verschlüsselung mit TLS (Transport Layer Security)
  • E-Mail Verschlüsselung mit S/MIME 
  • Einrichtungen von Standleitungen bzw. VPN-Tunneln

Organisatorische Maßnahmen

  • Beim physischen Transport: sichere Transportbehälter/-verpackungen
  • Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
  • Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen

7. Vertraulichkeit - Trennungskontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Technische Maßnahmen

  • Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
  • Trennung von Produktiv- und Testsystem
  • getrennte Datenbanken

Organisatorische Maßnahmen

  • Erstellung eines Berechtigungskonzepts
  • Logische Mandantentrennung (softwareseitig)
  • Festlegung von Datenbankrechten

8. Integrität – Eingabekontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen

  • Protokollierung der Eingabe, Änderung und Löschung von Daten

Organisatorische Maßnahmen

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

9. Verfügbarkeit - Verfügbarkeitskontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die garantieren, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Maßnahmen

  • Feuerlöschgeräte in Serverräumen
  • Klimaanlage in Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Schutzsteckdosenleisten in Serverräumen

Organisatorische Maßnahmen

  • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  • Erstellen eines Backup- & Recoverykonzepts
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • In Hochwassergebieten: Serverräume über der Wassergrenze
  • Erstellen eines Notfallplans
  • Serverräume nicht unter sanitären Anlagen

10. Verfügbarkeit – Auftragskontrolle (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen, die garantieren, dass im Auftrag des Verantwortlichen verarbeitete Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen verarbeitet werden.

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

Liste der genehmigten Auftragnehmer (Subunternehmen des Auftragsverarbeiters, die Daten verarbeiten):

UnternehmenServiceZweck ihrer VerarbeitungUnternehmens- standortDaten- speicherort
Amazon Web Services EMEA SARL.Amazon Web ServicesSpeicherung aller Kundendaten (verschlüsselt) und Hosting aller primären Dienste und Rechenanforderungen von MaintenyLuxemburgFrankfurt, Deutschland
Twilio Germany GmbHTwilioAutomatisierte Telefonanrufe (für Wartungsnotfälle) tätigen und SMS-Benachrichtigungen an die Telefonnummern unserer Kunden sendenDeutschlandFrankfurt, Deutschland
OneSignal Inc.OneSignalSenden von Push-Benachrichtigungen an Ihre Kunden über die mobilen Apps von MaintenyUSAEU/EEA (Irland)
Google Cloud EMEA Limited Google CloudDarstellung von Standorten/Adressen in der Kartenansicht in unseren Web- und MobilanwendungenIrlandFrankfurt, Deutschland
Routific Solutions Inc.RoutificErstellung automatischer Versandrouten für Serviceaufträge (Routific erhält NUR die Koordinaten des Auftrages ohne Kontext). Es werden keine PII geteilt.KanadaUSA
Pusher LimitedChannelsSenden von Push-Benachrichtigungen an unsere Webbenutzer über WebSocket-VerbindungenVereinigtes KönigreichEU/EEA (Irland)
CARBONEIO SASCarbone APIGenerieren von PDF-Dokumenten innerhalb der Anwendung von MaintenyFrankreichFrankreich
Mainteny ASMaintenyVerarbeitung innerhalb der UnternehmensgruppeNorwegenEU/EEA

11. Belastbarkeit (Art. 32 Abs. 2 lit. b DSGVO)

Maßnahmen zur Gewährleistung der Belastbarkeit der Systeme u. Dienste, die sicherstellen, dass die Systeme und Dienste so ausgelegt sind, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar bleiben.

  • Test von Speicher-, Zugriffs- und Leitungskapazitäten

12. Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 2 lit. c DSGVO)

Maßnahmen, um zu garantieren, dass die Verfügbarkeit von und der Zugang zu den Daten im Falle eines physischen oder technischen Zwischenfalls rasch wiederhergestellt werden können.

Technische Maßnahmen

  • Redundanz durch Hosting der Server + DB in mehreren isolierten Verfügbarkeitszonen
  • Cloud-Services

Organisatorische Maßnahmen

  • Backup-Konzept: Automatisiertes Backup der Datenbank durch AWS
  • Testen von Datenwiederherstellung Testen von Datenwiederherstellung

13. Datenschutzmanagement (Art. 32 Abs. 2 lit. d DSGVO)

Maßnahmen zur Garantie eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.

Organisatorische Maßnahmen

  • Entwicklung eines Sicherheitskonzepts