Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO
Zwischen Ihnen als Verantwortlicher (nachfolgend „Auftraggeber“) eines beantragten bzw. bereits bestehenden Nutzer-Accounts zu unserem Aircowell Report-Creator und uns, der
TUNAP GmbH & Co. KG
Bürgermeister-Seidl-Straße 2
82515 Wolfratshausen
als Auftragsverarbeiter (nachfolgend „Auftragsverarbeiter“).
1. Allgemeine Bestimmungen und Auftragsgegenstand
1.1 Der Auftragsverarbeiter stellt dem Auftraggeber die Plattform Aircowell Report-Creator zur Verfügung, auf der der Auftraggeber Reports erstellen kann. Die im Report-Creator eingegebenen Daten werden auf den Servern des Auftragsverarbeiters gespeichert. Der Auftraggeber ist berechtigt, den Report-Creator für seine Kunden zu nutzen, sodass auch personenbezogene Daten der Kunden des Auftraggebers beim Auftragsverarbeiter gespeichert werden können. Hierbei handelt es sich regelmäßig um Namen, Fahrzeugkennzeichen und Adressen von Kunden des Auftraggebers. Um die Generatoren nutzen zu können, muss der Auftraggeber sich auf der Webseite aircowell-report.tunap.com registrieren und einen Account anlegen.
1.2 Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenenrechte verantwortlich.
1.3 Die Verarbeitung der Daten durch den Auftragsverarbeiter findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.).
2. Vertragslaufzeit und Kündigung
Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und endet zeitgleich mit der Löschung des Accounts im Sinne von Ziff. 1.1. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Weisungsrecht
3.1 Der Auftragsverarbeiter darf Daten nur gemäß den Weisungen des Auftraggebers erheben, nutzen oder auf sonstige Weise verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
3.2 Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in dokumentiertem elektronischen Format durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
3.3 Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragsverarbeiter zu dokumentieren und für die Dauer ihrer Geltung sowie anschließend für drei weitere volle Kalenderjahre aufzubewahren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
3.4 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
4. Schutzmaßnahmen des Auftragsverarbeiters
4.1 Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
4.2 Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und gewährleistet, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen getroffen hat. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
4.3 Beim Auftragsverarbeiter ist als betrieblicher Datenschutzbeauftragter bestellt: Kevin Sternkopf, STARHEAD GmbH (Telefon: 08171 42 88 55 0, E-Mail: datenschutz@starhead.de).
4.4 Den bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu nutzen oder auf sonstige Weise zu verarbeiten. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Beschäftigte genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und über die sich aus diesem Vertrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehren sowie mit der gebotenen Sorgfalt die Einhaltung der vorgenannten Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragsverarbeiter bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
5. Informationspflichten des Auftragsverarbeiters
5.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Auftraggeber unverzüglich in Schriftform oder dokumentiertem elektronischen Format informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält soweit möglich folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
c) eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
5.2 Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Person(en), informiert hierüber den Auftraggeber und ersucht diesen um weitere Weisungen.
5.3 Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Ziffer 5.1 betroffen sind.
5.4 Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Pflichten des Auftraggebers nach Art. 33 und 34 DSGVO in angemessener Weise (Art. 28 Abs. 3 S. 2 lit. f DSGVO). Meldungen für den Auftraggeber nach Art. 33 oder 34 DSGVO darf der Auftragsverarbeiter nur nach vorheriger Weisung seitens des Auftraggebers gem. § 5 dieses Vertrags durchführen.
5.5 Sollten die Daten des Auftraggebers beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
5.6 Über wesentliche Änderungen der Sicherheitsmaßnahmen nach Ziffer 4.2 dieses Vertrags hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu unterrichten.
5.7 Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält.
5.8 An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber sowie bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO hat der Auftragsverarbeiter im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
6. Kontrollrechte des Auftraggebers
6.1 Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Hierfür kann er z. B. Auskünfte des Auftragsverarbeiters einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören.
6.2 Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf dessen mündliche, schriftliche oder elektronische Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.
6.3 Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.
6.4 Der Auftragsverarbeiter weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 6 Abs. 4 auf Verlangen nach.
6.5 Der Auftraggeber vergütet dem Auftragsverarbeiter den Aufwand, der im Rahmen der Kontrollen entsteht.
7. Einsatz von Subunternehmern
7.1 Die vereinbarten Leistungen werden unter Einschaltung der in Anlage 2 genannten Subunternehmer durchgeführt. Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragsverarbeiter ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
7.2 Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
8. Anfragen und Rechte betroffener Personen
8.1 Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
8.2 Macht eine betroffene Person Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht selbstständig, sondern verweist die betroffene Person unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
9. Haftung
Auftraggeber und Auftragsverarbeiter haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat der Auftragsverarbeiter alle bei ihm verbleibenden personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen).
11. Anonymisierungsvereinbarung
Der Auftragsverarbeiter hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann der Auftragsverarbeiter so entstandene Daten für eigene Zwecke, wie z.B. die Erstellung von Branchenvergleichen, statistische Auswertungen, Benchmarking und weitere vergleichbare Zwecke verarbeiten oder nutzen. Dies umfasst auch die anonymisierte Weitergabe an Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen.
12. Schlussbestimmungen
12.1 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
12.2 Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Wolfratshausen.
12.3 Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
Anlagen
Anlage 1: Technische und Organisatorische Maßnahmen des Auftragsverarbeiters
Anlage 2: Eingesetzte Subunternehmer zum Zeitpunkt des Vertragsschlusses
Diese Vereinbarung wurde elektronisch mit dem Auftragsverarbeiter geschlossen.
Anlage 1: Technische und Organisatorische Maßnahmen des Auftragsverarbeiters
• Zutrittskontrolle
Maßnahmen, durch die Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:
Haupteingangstüre mit Sicherheitsschloss gesichert
Auf- und Abschließen der Gebäude bei Arbeitsbeginn bzw. -ende.
Protokollierte Schlüsselvergabe
Videoüberwachung der Eingänge
Zugang für Fremdfirmen/Besucher nur in Begleitung von Mitarbeitern
Das Betriebsgebäude ist in unterschiedliche Zutrittsbereiche eingeteilt: Server- und Technikräume nur für Administratoren/Techniker zugänglich
Personenkontrolle beim Empfang
Besucherbuch und Tragepflicht von Berechtigungsausweisen für Besucher
Wachdienst
• Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:
Zugriff zu Systemen und Applikationen durch persönliche Passwörter geschützt
Automatisierte Neuvergabe von Passwörtern im 180 -Tage Turnus mit Anforderungen und die Komplexität des Passworts
Schutz des Netzwerks gegen unerlaubten Zugriff aus dem Internet und gegen Schadsoftware durch Antivirensoftware und Firewall Systeme
Zugriffe werden systemseitig oder durch Tätigkeitsnachweise dokumentiert
Verwendung eines Virtual Private Networks (VPN)
Sperren von Arbeitsplätzen und/oder Benutzernamen bei fehlerhaften Zugriffsversuchen
Zugang zu den Datenverarbeitungsanlagen erhält ausschließlich autorisiertes und fachlich qualifiziertes Personal
Automatische/Manuelle Tastatur- und Bildschirmsperre bei Nichtbenutzung/Abwesenheit nach 5 Minuten Inaktivität
Zentrale Passwortvergabe (Active Directory)
Passwortrichtlinie
Sichtschutz von Bildschirmarbeitsplätzen und von mobil verwendeten Notebooks
• Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und personenbezogene Daten bei der Verarbeitung nicht unbefugt kopiert, verändert oder gelöscht werden können:
Zugriff zu Systemen und Applikationen durch persönliche Passwörter geschützt
Passwortrichtlinie
Steuerung der Rechte der einzelnen Benutzer (Datenzugriff, Funktionsumfang) durch dezidierte Rollen- und Berechtigungskonzepte
Passwortschutz von Serverdiensten und größtmögliche Einschränkung des Personenkreises mit Zugriffsrecht. Zugriffsrecht ausschließlich für Systemadministrator
Jeder Mitarbeiter wird entsprechend zur Vertraulichkeit und der Einhaltung des Datenschutzes bei Aufnahme seiner Tätigkeit verpflichtet
• Trennungskontrolle
Maßnahmen, die gewährleisten, dass die zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
Logische Trennung der Daten in den Datenverarbeitungssystemen (z.B. auf Basis von Kunden- oder Mandantennummern)
Berechtigungskonzept, das der getrennten Verarbeitung von Daten unterschiedlicher Kunden Rechnung trägt
Die Datensicherung erfolgt auf logisch und/oder physisch getrennten Systemen
Mitarbeiter sind angewiesen und geschult, Daten nur im Rahmen der Dienstleistungserbringung und zur Wahrung der Zweckbindung zu verarbeiten
Trennung von Produktiv- und Testsystem
Logische Mandantentrennung (softwareseitig)
• Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Weitergabe personenbezogener Daten nur über verschlüsselte Verbindungen
Verschlüsselung von Laptopfestplatten
Die Verschlüsselung erfolgt entsprechend dem Stand der Technik
Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung
sicheres Vernichten von Datenträgern
Sicheres Vernichten von Papierdokumenten (z.B. Schredder oder Datentonne)
Einrichtung von Standleitungen bzw. VPN-Tunneln
Beim physischen Transport: sichere Transportbehälter/-verpackungen
Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
• Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogen Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Verfahren zur nachvollziehbaren Rechtevergabe und Rechteänderung bzw. Rechteaufhebung eingerichtet
Differenzierte Benutzerberechtigungen:
o Lesen, ändern, löschen
o Teilzugriff auf Daten bzw. Funktionen
• Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige oder mutwillige Zerstörung oder Verlust geschützt sind:
Gebäude sind grundsätzlich mit Brandmeldeanlagen oder Temperaturüberwachung ausgestattet
Betrieb der Server in speziellen Sicherheitsräumen mit umfangreichen Schutzmaßnahmen (z.B. unterbrechungsfreie Stromversorgung (USV), Zutrittsschutz, Brandschottung)
Unterbrechungsfreie Stromversorgung (USV)
Schutzsteckdosenleisten in Serverräumen
Feuerlöschgeräte in / vor Serverräumen
Umfangreiche, mehrstufige Datensicherungsmaßnahmen
RAID-System (Festplattenspiegelung)
Erstellen eines Backup- & Recoverykonzepts
• Rasche Wiederherstellbarkeit
Maßnahmen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zum Verantwortlichen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen:
Regelmäßige Datensicherung
Unterbrechungsfreie Stromversorgung
Jederzeitige Zugänglichkeit der Datensicherung
Ausreichend performante Wiederherstellungsmöglichkeiten
• Datenschutzmanagement
Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung:
Bestellung eines Datenschutzbeauftragten
Regelmäßige und anlassbezogene Sensibilisierung der Mitarbeiter zum Datenschutz
Bewertung aller Prozesse in einem Verfahrensverzeichnis, das regelmäßig und anlassbezogen aktualisiert wird
Schriftliche Datenschutzleitlinie
Externer Dienstleister für das Datenschutzmanagement
• Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag) i. S. d. Art. 28 DSGVO
Alle Mitarbeiter und sonstige Personen, die Zugriff auf personenbezogene Daten haben, sind schriftlich zur Einhaltung des Datenschutzes und der Vertraulichkeit verpflichtet
Separate Dienstanweisung, die umfassende Anordnungen und Vorgaben zur Wahrung der Datensicherheit und des Datenschutzes am Arbeitsplatz enthält
Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
Durchführung regelmäßiger IT-Schwachstellenanalysen
Data Processing Agreement according to art. 28 GDPR
Between you as the controller (hereinafter referred to as the “controller”) of a requested or already existing user account for our Aircowell Report-Creator and us, the
TUNAP GmbH & Co. KG
Bürgermeister-Seidl-Straße 2
82515 Wolfratshausen
As a processor (hereinafter „processor”).
1. General Provisions and Subject Matter of the Order
1.1 The processor shall provide the controller with the Aircowell Report-Creator platform, on which the controller can create reports. The data entered in the Report-Creator shall be stored on the servers of the processor. The controller is entitled to use the Report-Creator for its customers, so that personal data of the controller`s customers may also be stored with the processor. This regularly involves names, vehicle registration numbers and addresses of the controller`s customers. In order to use the generators, the controller must register on the website Aircowell-report.tunap.com and create an account.
1.2 The controller is the responsible party within the meaning of art. 4 no. 7 GDPR. He alone is responsible for assessing the permissibility of the data processing operations in accordance with art. 6 GDPR and for safeguarding the rights of the data subjects.
1.3 The processing of data by the processor shall take place exclusively on the territory of the Federal Republic of Germany, a member state of the European Union or a contracting state of the EEA Agreement. Processing outside of these states shall only take place under the conditions of chapter 5 of the GDPR (art. 44 et seq.).
2. Contract term and termination
The present contract is concluded for an indefinite period of time and ends simultaneously with the deletion of the account in terms of section 1.1. The right to extraordinary termination for cause remains unaffected.
3. Right to instruct
3.1 The Processor may only collect, use or otherwise process data within the scope of the Principal Agreement and according to the Controller’s instructions; this is particularly applicable with regard to transfer of personal data to a Third country or to an international organization. If the Processor must carry out further processing due to EU law or the law in an EU Member State applicable to the Processor, the Processor shall notify the Controller of these legal requirements before any such processing takes place.
3.2 The Controller’s instructions shall be initially determined by this Agreement, though it may be changed, amended or replaced by individual instructions in written or documented electronic format (“Individual Instruction”). The Controller shall have the right to issue such instructions at any time. Changes may include instructions regarding the rectification, erasure and blocking of data.
3.3 The Controller and Processor shall document all instructions given and keep such documentation for the duration of their validity, and for three full calendar years thereafter. Instructions going beyond the service as agreed upon by the Principal Agreement shall be deemed a Change Request.
3.4 Should the Processor suspect that an instruction given by the Controller goes against data protection requirements; the Processor shall notify the Controller accordingly without undue delay. The Processor is entitled to suspend execution of the instruction in question until confirmation or change by the Controller is received. The Processor is entitled to refuse execution of an evidently unlawful instruction.
4. Protective measures by the processor
4.1 The Processor shall comply with legal data protection requirements and shall not transfer or make accessible to third parties information originating in the Controller’s sphere. Taking into account the state of the art, documents and data shall be appropriately secured against accessibility by unauthorized persons.
4.2 In regards to its area of responsibility, the Processor shall shape its internal organization in a manner that is compliant with the special requirements of data protection. The Processor shall also ensure that it has implemented all necessary technical and organizational measures under Article 32 GDPR; particularly in regards to the measures specified in Annex 1. The Processor reserves the right to change the implemented security measures, provided that it ensures that these do not fall short of the contractually agreed upon level of protection.
4.3 As Data Protection Officeer the processor has appointed: Kevin Sternkopf, STARHEAD GmbH (phone: +49 8171 42 88 55 0, email: datenschutz@starhead.de).
4.4 The persons tasked with data processing and employed by the Processor are prohibited from collecting, using or otherwise processing personal data without authorisation. The Processor shall ensure that all persons (hereafter referred to as “personnel”) tasked with processing and fulfilling this Agreement have committed themselves according to the obligation of confidentiality under Article 28 (3) lit. b GDPR). The Processor has a duty to instruct personnel about the special data protection obligations arising from this Agreement, as well as the existing purpose limitation and binding commitment to instructions. The Processor shall take due care to ensure compliance with the abovementioned obligation. Obligations shall be composed to remain in force beyond the termination of this Agreement or of the employment relationship between the employee and the contractor. Upon the Controller’s request, the Processor shall provide proof of these obligations in an adequate manner.
5. Processor Information Obligations
5.1 In case of disturbances, suspected data breaches, breaches of contractual obligations on the part of the Processor, suspected security incidents or other irregularities with regards to the processing of personal data by the Processor, by persons tasked within the framework of the Agreement or by third persons, the Processor shall inform the Controller accordingly in writing or in a documented electronic format without undue delay. The same applies to audits of the Processor carried out by the Data Protection Authority. To the extent possible, notification about a personal data breach shall contain the following information:
a) a description of the nature of the personal data breach including, where possible, the categories and number of data subjects potentially affected, and the categories and number of personal data records concerned;
b) a description of the likely consequences of the personal data breach, and
c) a description of the measures taken or proposed by the Processor to address the personal data breach, including, where appropriate, measures to mitigate any possible adverse effects.
5.2 The Processor shall take all necessary measures to secure the data and mitigate possible adverse effects on the data subject(s) without undue delay. The Processor shall also inform the Controller of these measures and request further instructions.
5.3 Additionally, insofar as the Controller’s data is concerned by a breach outlined in clause 5.1, the Processor shall provide details to the Controller at any time.
5.4 If necessary, the Processor shall, in an adequate manner, assist the Controller in ensuring compliance with the Controller’s obligations under Articles 33 and 34 GDPR (Article 28 (3) sent. 2 lit. f GDPR). The Processor shall only execute notifications under Articles 33 or 34 GDPR on behalf of the Controller upon the Controller’s prior instruction as outlined in § 5 of this Agreement.
5.5 In case the Controller’s data is put at risk due to seizure or confiscation taking place at the Processor’s, because of insolvency or composition proceedings or because of other events or measures taken by third parties, the Processor shall inform the Controller accordingly and without undue delay, unless prohibited from doing so by court or administrative order. In this context, the Processor shall, without undue delay, inform all competent entities that, as “Controller” under the GDPR, the Controller bears sole decision making authority with regard to the data.
5.6 In case of substantial changes to the security measures under clause 4.2 of this Agreement, the Processor shall notify the Controller accordingly, without undue delay.
5.7 The Processor, and if applicable, his representative, shall maintain a record of all processing activities carried out on behalf of the Controller, containing all specifications required under art. 30 para. 2 GDPR.
5.8 The Processor shall, to adequate extent, also contribute to the record the Controller establishes regarding the processing activities. The Processor shall also contribute to any data protection impact assessment the Controller establishes under Article 35 GDPR, and if applicable, when a prior consultation of supervisory authorities under Article 36 GDPR takes place. The Processor shall in each case convey the necessary specifications to the Controller in an appropriate manner.
6. Control rights of the Controller
6.1 Prior to the start of the data processing, and then on a regular basis, the Controller shall convince himself of the technical and organizational measures taken by the Processor. To this end, he can, for example, obtain information from the Processor or require seeing existing attestations by experts, certifications or of internal audits. The Controller may, after timely coordination and during normal business hours, also personally check the Processor's technical and organizational measures or have them checked by an expert third party, unless the latter is in a competitive relationship with the Processor. The Controller shall conduct controls only to the extent necessary so as to not unduly disturb the Processor’s business operations.
6.2 Upon the Controller’s verbal, written or electronic request, the Processor shall, in a timely manner, provide him with all information and records necessary for controlling the Processor’s technical and organizational measures.
6.3 The Controller shall document the control result and notify the Processor accordingly. In case of mistakes or irregularities detected by the Controller, particularly when assessing order results, the Controller shall inform the Processor accordingly without undue delay. If the control reveals issues to be avoided in the future that require changes to the ordered process, the Controller shall, without undue delay, notify the Processor of the necessary changes.
6.4 Upon request, the Processor shall provide the Controller with the employee obligation under § 6 (4) of this Agreement.
6.5 The controller shall compensate the processor for the expense incurred in the course of the inspections.
7. Engagement of subcontractors
7.1 The agreed services will be executed with the aid of subcontractors named in Annex 2. Within the scope of its contractual obligations, the Processor shall be entitled to establish further subcontracting relationships (“subcontractor relationship”). The processor shall inform the controller thereof without undue delay. The Processor shall carefully select subcontractors according to their suitability and reliability. When engaging subcontractors, the Processor shall ensure their commitment to confidentiality in line with the provisions of this Agreement and ensure that the Controller is able to directly exercise its rights under the Agreement (particularly the rights of audit and control) against the subcontractors. If subcontractors from a third country are involved, the Processor shall ensure that an adequate level of data protection is guaranteed by the subcontractor in question (for example, by establishing an agreement according to the EU standard data protection clauses). Upon request, the Processor shall demonstrate the conclusion of the aforementioned agreements with his subcontractors.
7.2 When the Processor charges a third party with a purely ancillary service, this shall not constitute a subcontractor relationship within the meaning of these provisions. . Such ancillary services include, but are not limited to, postal, transport and shipping services, cleaning services, security services, and telecommunications services without concrete reference to services provided by the Processor provides to the Controller. Maintenance and testing services constitute subcontractor relationships requiring approval insofar as they are provided for IT systems also used in connection with the Processor’s provision of services on behalf of the Controller.
8. Data subject inquiries and rights
8.1 The Processor shall assist the Controller by appropriate technical and organizational measures, insofar as possible, in fulfilling the Controller’s obligations as established under Articles 12 22, 32, and 36 GDPR.
8.2 If a data subject asserts her rights regarding to her data directly against the Processor, the Processor shall not react independently. Rather, the Processor shall refer the data subject to the Controller without undue delay and wait on the Controller for instructions on how to proceed.
9. Liability
The Controller and the Processor shall be liable to the data subjects in accordance with the provisions of Article 82 GDPR.
10. Termination of contract, deletion and return of data
After completion of the contractual data processing or after termination of this agreement, the processor shall delete or return all personal data remaining with it at the discretion of the controller, provided that there is no longer any legal obligation to store the data in question (e.g. statutory retention periods).
11. Anonymization Agreement
The Processor shall have the right to anonymize the personal data covered by this agreement and to carry out the processing steps necessary for anonymization. While maintaining anonymity, the Processor may process or use data thus created for its own purposes, such as the preparation of industry comparisons, statistical evaluations, benchmarking and other comparable purposes. This also includes anonymized disclosure to third parties, in particular to associations, organizations or research institutions, as well as for publications.
12. Final Provisions
12.1 To be valid, any changes and amendments to this agreement must be rendered in writing or electronically and must clearly indicate that and which amendment or supplement to these terms and conditions they are intended to effect.
12.2 This agreement shall be governed by and construed in accordance with German Law. Each Party agrees to submit to the sole jurisdiction of Wolfratshausen.
12.3 Should any provision of this Agreement be invalid or become partially or entirely invalid or unenforceable, the remainder of this Addendum shall remain valid and in force.
Annexes
Annex 1: technical and organizational measures by the processor
Annex 2: Subcontractors used at the time of the conclusion of the contract
This agreement was concluded electronically with the processor.
Annex 1: technical and organizational measures by the processor
• Physical Access Control
Measures that are suitable to deny unauthorized parties access to data processing systems with which personal data are processed or used.
Main entrance door secured with security lock
Locking and unlocking of the building at the beginning and end of work.
Logged key allocation
Video surveillance of entrances
Access for external companies/visitors only in company of employees
The company building is divided into different access areas: Server and technical rooms accessible only to administrators/technicians.
Person control at the reception
Visitor book and compulsory wearing of authorization badges for visitors
Security service
• Electronic Access Control
Measures to deny unauthorized use of the Data Processing and Data Storage Systems:
Access to systems and applications protected by personal passwords
Automated reassignment of passwords on a 180-day cycle with password requirements and complexity
Protection of the network against unauthorized access from the Internet and against malware by antivirus software and firewall systems
Accesses are documented by the system or by activity records
Use of a virtual private network (VPN)
Blocking of workstations and/or user names in the event of incorrect access attempts
Access to data processing systems is restricted to authorized and qualified personnel only
Automatic/manual keyboard and screen lock in case of non-use/absence after 5 minutes of inactivity
Central password assignment (Active Directory)
Password policy
Visual protection of computer workstations and mobile notebooks
• Internal Access Control (permissions for user rights of access to and amendment of data)
Measures that ensure that those authorized to use a data processing system have access only to the data subject to their access authorization, and that personal data, during processing and use, and after storage, cannot be read, copied, changed or removed without authorization.
Access to systems and applications protected by personal passwords
Password policy
Control of the rights of individual users (data access, range of functions) by means of dedicated role and authorization concepts.
Password protection of server services and greatest possible restriction of the group of people with access rights. Access rights exclusively for system administrators
Each employee is obligated to maintain confidentiality and to comply with data protection regulations when he or she starts work.
• Separation Control
Measures to ensure that data collected for different purposes can be processed separately.
Logical separation of data in the data processing systems (e.g., on the basis of customer or client numbers)
Authorization concept that takes into account the separate processing of data from different customers.
Data is backed up on logically and/or physically separate systems
Employees are instructed and trained to process data only within the scope of providing the service and to ensure that the data is used for the intended purpose
Separation of production and test systems
Logical client separation (on the software side)
• Transfer Control
Measures that ensure that personal data cannot be read, copied changed or removed without authorization during electronic transfer or during transport or storage to data media, and that it can be checked and determined at which locations transfer of personal data is provided through data transfer facilities.
Transfer of personal data only via encrypted connections
Encryption of laptop hard disks
Encryption is carried out according to the state of the art
Data deletion in accordance with data protection regulations after completion of the order
Secure destruction of data media
Secure destruction of paper documents (e.g. shredder or data garbage can)
Establishment of dedicated lines or VPN tunnels
For physical transport: secure transport containers/packaging
Careful selection of transport personnel and vehicles
• Input Control
Measures to ensure that it can be checked and determined later whether and which personal da-ta were entered into data processing systems, changed or removed.
Allocation of rights to enter, change and delete data on the basis of an authorization concept.
Procedures have been set up for the comprehensible assignment of rights and the modification or cancellation of rights.
Differentiated user authorizations:
o Read, change, delete
o Partial access to data or functions
• Availability Control
Measures that ensure that personal data are protected against accidental destruction or loss.
Buildings are always equipped with fire alarm systems or temperature monitoring systems.
Operation of servers in special security rooms with extensive protective measures (e.g. uninterruptible power supply (UPS), access protection, fire protection).
Uninterruptible power supply (UPS)
Protective socket strips in server rooms
Fire extinguishers in / in front of server rooms
Extensive, multi-level data protection measures
RAID system (hard disk mirroring)
Creation of a backup & recovery concept
• Rapid Recovery
Measures to quickly restore availability of personal data and access for the responsible party during a physical or technical incident.
Regular data backup
Uninterruptible power supply
Accessibility of the data backup at all times
Sufficiently performant recovery options
• Data Prection Management
Measures for regular review, assessment and evaluation of the effectiveness of technical and organizational measures to ensure the security of data processing:
Appointment of a data protection officer
Regular and ad hoc sensitization of employees to data privacy issues
Evaluation of all processes in a procedure directory, which is updated regularly and on an ad hoc basis.
Written data protection guideline
External service provider for data protection management
• Order or contract Control
Personal data processed under control are to be processed only according to the instructions of the responsible party.
Selection of the contractor from the point of view of due diligence (in particular with regard to data security)
Written instructions to the contractor (e.g. by order processing contract) in the sense of Art. 28 DSGVO.
All employees and other persons who have access to personal data are obligated in writing to comply with data protection and confidentiality requirements.
Separate service instructions containing comprehensive instructions and specifications for the selection of data security and data protection at the workplace.
Effective control rights agreed with the contractor
Implementation of regular IT vulnerability analyses
