Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

zwischen dem Auftraggeber bzw. Verantwortlichen

und

BauCloud GmbH, Jörg-Hube-Str. 99, 81927 München, Deutschland – nachfolgend „Auftragnehmer“ oder „Auftragsverarbeiter“ genannt –

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem zwischen ihnen geschlossenen Vertrag über die Nutzung der Software “Librario” (nachfolgend „Librario-Nutzungsvertrag“). Sie gilt für alle Tätigkeiten, bei denen der Auftragnehmer oder von ihm beauftragte Unterauftragsverarbeiter personenbezogene Daten (nachfolgend “Daten”) im Auftrag und nach Weisung des Auftraggebers verarbeitet.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

1)

Gegenstand des Auftrags ist die Erbringung der im Librario-Nutzungsvertrag spezifizierten SaaS-Dienstleistungen. Die detaillierte Beschreibung des Verarbeitungsgegenstands, von Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien betroffener Personen ergibt sich aus Anlage 1 zu dieser Vereinbarung.

2)

Die Dauer dieser Vereinbarung (Laufzeit) richtet sich nach der Laufzeit des Librario-Nutzungsvertrags. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3)

Die Verarbeitung der Daten durch den Auftragnehmer findet grundsätzlich in einem Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.

4)

Der Auftragnehmer ist berechtigt, Unterauftragsverarbeiter auch in Drittländern einzusetzen, sofern die gesetzlichen Voraussetzungen gemäß Art. 44ff. DS-GVO für die Datenübermittlung sichergestellt sind. Die eingesetzten Unterauftragsverarbeiter und deren Standorte sind der online geführten Liste gemäß § 5 dieser Vereinbarung zu entnehmen.

§ 2 Pflichten des Auftragnehmers

1)

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers (vgl. § 3), sofern er nicht nach dem Recht der EU oder der Mitgliedstaaten, dem er unterliegt, zu einer bestimmten Verarbeitung verpflichtet ist.

2)

Der Auftragnehmer gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle gemäß Art. 32 DS-GVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die Daten des Auftraggebers zu gewährleisten. Die jeweils aktuellen technischen und organisatorischen Maßnahmen sind unter https://www.librario.de/terms/tom einsehbar und gelten als integraler Bestandteil dieser Vereinbarung. Der Auftragnehmer behält sich das Recht vor, die TOMs dem technischen Fortschritt und der Weiterentwicklung anzupassen, stellt jedoch sicher, dass das vertraglich vereinbarte Schutzniveau niemals unterschritten wird. Wesentliche Änderungen werden dem Auftraggeber dokumentiert.

3)

Der Auftragnehmer behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber zu dokumentieren.

4)

Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Personen zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b, Art. 29 und Art. 32 DS-GVO verpflichtet wurden und in die für sie relevanten Datenschutzbestimmungen eingewiesen sind.

5)

Der Auftragnehmer benennt dem Auftraggeber einen Ansprechpartner für alle im Rahmen dieser Vereinbarung anfallenden Datenschutzfragen.

6)

Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DS-GVO.

§ 3 Weisungsrecht des Auftraggebers

1)

Der Auftragnehmer darf Daten nur nach Weisung des Auftraggebers verarbeiten. Die Weisungen des Auftraggebers erfolgen insbesondere durch die Nutzung der im Rahmen des Librario-Nutzungsvertrags bereitgestellten Software “Librario” und ihrer Funktionalitäten durch den Auftraggeber oder von ihm autorisierte Nutzer (z.B. durch das Anlegen, Ändern oder Löschen von Datensätzen). Diese Nutzung im Self-Service gilt als primäre dokumentierte Weisung.

2)

Weisungen werden anfänglich durch den Librario-Nutzungsvertrag und diese Vereinbarung festgelegt und können vom Auftraggeber danach in Textform (z.B. per E-Mail) an die vom Auftragnehmer benannte Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden.

3)

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder andere anwendbare Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach Prüfung bestätigt oder geändert wird.

§ 4 Unterstützungspflichten für den Auftraggeber

1)

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflicht, Anträge auf Wahrnehmung der Rechte der betroffenen Personen gemäß Kapitel III der DS-GVO (Art. 12-22) zu beantworten.

2)

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DS-GVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, Benachrichtigung der betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).

3)

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten, die er verarbeitet, unverzüglich, nachdem ihm diese bekannt wurde.

§ 5 Unterauftragsverhältnisse

1)

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) im Sinne des Art. 28 Abs. 2 DS-GVO hinzuzuziehen.

2)

Eine aktuelle Liste der vom Auftragnehmer eingesetzten und vom Auftraggeber allgemein genehmigten Unterauftragsverarbeiter wird vom Auftragnehmer online unter https://www.librario.de/terms/subprocessors zur Verfügung gestellt. Die zum Zeitpunkt des Vertragsschlusses unter dieser URL veröffentlichte Liste gilt als genehmigt.

3)

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern durch Aktualisierung der online verfügbaren Liste und eine Benachrichtigung in Textform (z.B. per E-Mail). Der Auftraggeber kann gegen solche Änderungen innerhalb einer Frist von 14 Tagen nach Zugang der Benachrichtigung aus wichtigem datenschutzrechtlichen Grund Einspruch erheben. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt. Im Falle eines begründeten Widerspruchs sind die Parteien berechtigt, den Librario-Nutzungsvertrag und diese Vereinbarung mit einer Frist von 30 Tagen außerordentlich zu kündigen.

4)

Der Auftragnehmer schließt mit dem Unterauftragsverarbeiter einen Vertrag, der den Anforderungen des Art. 28 DS-GVO entspricht und dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt, die in dieser Vereinbarung festgelegt sind. Der Auftragnehmer hat die Einhaltung dieser Pflichten durch den Unterauftragsverarbeiter regelmäßig zu überprüfen.

§ 6 Kontrollrechte des Auftraggebers

1)

Der Auftragnehmer stellt dem Auftraggeber auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten aus Art. 28 DS-GVO zur Verfügung.

2)

Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer durch Überprüfungen, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer zu kontrollieren. Der Auftragnehmer duldet diese Maßnahmen und wirkt unterstützend mit.

3)

Der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen kann vom Auftragnehmer auch durch die Vorlage von geeigneten, aktuellen Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter) oder einer geeigneten Zertifizierung (z.B. nach ISO 27001) erbracht werden. Solche Nachweise sind dem Auftraggeber kostenfrei zur Verfügung zu stellen. Für vom Auftraggeber darüber hinaus verlangte Inspektionen vor Ort kann der Auftragnehmer eine Vergütung auf Basis seines nachgewiesenen Aufwands verlangen.

§ 7 Haftung

1)

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

2)

Im Innenverhältnis ist der Auftragnehmer nur dann zum Ersatz eines Schadens verpflichtet, wenn er eine ihm nach dieser Vereinbarung oder der DS-GVO spezifisch obliegende Pflicht verletzt oder eine rechtmäßige Weisung des Auftraggebers missachtet hat. Der Auftraggeber ist für die Beurteilung der Rechtmäßigkeit der von ihm angewiesenen Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO allein verantwortlich.

§ 8 Beendigung des Vertrags und Datenlöschung

1)

Nach Beendigung des Librario-Nutzungsvertrags oder jederzeit auf Weisung des Auftraggebers hat der Auftragnehmer nach Wahl des Auftraggebers alle im Zusammenhang mit dem Auftrag verarbeiteten personenbezogenen Daten entweder an den Auftraggeber zurückzugeben oder datenschutzkonform zu löschen.

2)

Die erfolgte Löschung oder Rückgabe ist dem Auftraggeber schriftlich zu bestätigen.

3)

Gesetzliche Aufbewahrungspflichten des Auftragnehmers bleiben von der Regelung in Abs. 1 unberührt.

4)

Die Verpflichtungen aus dieser Vereinbarung, insbesondere zur Vertraulichkeit und Datensicherheit, bestehen auch nach Beendigung des Vertrags fort, solange sich personenbezogene Daten im Herrschaftsbereich des Auftragnehmers befinden.

§ 9 Schlussbestimmungen

1)

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

2)

Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Librario-Nutzungsvertrags vor.

3)

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

4)

Es gilt deutsches Recht. Der Gerichtsstand ist München.

Anlage 1: Beschreibung der Datenverarbeitung

(gemäß § 1 dieser Vereinbarung)

1. Art und Zweck der Verarbeitung:

• Bereitstellung und Betrieb der SaaS-Anwendung “Librario”: Dies umfasst die Zurverfügungstellung der Software zur Bibliotheksverwaltung über das Internet, inklusive des für den Betrieb erforderlichen Hostings und der Infrastruktur.

• Datenverarbeitung zur Vertragserfüllung: Speicherung, Abrufbarkeit, Organisation, Änderung und Löschung der vom Auftraggeber und dessen Nutzern in die Anwendung eingegebenen Daten zur Ermöglichung der Bibliotheksverwaltung.

• Datensicherung und Wiederherstellung: Regelmäßige Erstellung von Backups der vom Auftraggeber gespeicherten Daten zur Gewährleistung der Datenverfügbarkeit.

• Technischer Support und Wartung: Verarbeitung von Daten im Rahmen von Supportanfragen des Auftraggebers zur Fehlerbehebung und Wartung der Anwendung.

• Sicherheitsprotokollierung: Protokollierung von technischen Daten wie IP-Adressen und Login-Zeiten zur Gewährleistung der Systemsicherheit und Nachvollziehbarkeit.

2. Art der personenbezogenen Daten:

• Daten der Bibliotheksnutzer und administrativen Nutzer: Name, E-Mail-Adresse, Telefonnummer, Mitarbeiternummer.

• Nutzungsdaten: z.B. Ausleihhistorie (ausgeliehene Medien, Rückgabedaten), Vormerkungen, Suchanfragen.

• Kommunikationsdaten: z.B. Inhalt von Nachrichten, die über die Anwendung versendet werden, sowie Korrespondenz im Rahmen von Supportanfragen.

• Technische Protokolldaten: IP-Adressen, Zeitstempel von Logins, durchgeführte Aktionen (Logging), Browser-Informationen.

3. Kategorien der betroffenen Personen:

• Nutzende der Bibliothek des Auftraggebers (z.B. Mitarbeiter oder Mitglieder des Auftraggebers).
• Mitarbeiter des Auftraggebers, die die Anwendung “Librario” administrativ verwalten und nutzen (z.B. Bibliothekare, Verwaltungsangestellte, Systemadministratoren).

Technische- und organisatorische Maßnahmen (TOM)

Diese Übersicht enthält die technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO, die zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus implementiert wurden. Die TOMs sind integraler Bestandteil der Vereinbarung zur Auftragsverarbeitung und werden in Verbindung mit den eingesetzten Unterauftragsverarbeitern umgesetzt.

Kontrollziel Vertraulichkeit

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, \mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

• Technisch: Die physische Sicherheit der Server-Infrastruktur wird durch den Betrieb in hochsicheren Rechenzentren unserer Cloud-Provider (siehe Liste der Unterauftragsverarbeiter) gewährleistet. Die Angemessenheit der dortigen Maßnahmen wird mittels anerkannter Zertifizierungen (z.B. ISO/IEC 27001, SOC 2) verifiziert. (TOM-019)

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

• Organisatorisch: Der Zugang zu allen Unternehmenssystemen erfordert eine sichere Authentifizierung. Wo eine passwortbasierte Anmeldung erfolgt, wird diese durch eine Richtlinie für Passwortkomplexität geregelt. Grundsätzlich wird der Zugang jedoch durch die verpflichtende Nutzung von Multi-Faktor-Authentifizierung (MFA, siehe TOM-031) und Single-Sign-on (SSO, siehe TOM-032) abgesichert. (TOM-027)
• Technisch: Zum Schutz vor Datenzugriff bei Verlust oder Diebstahl sind die Datenträger aller vom Unternehmen bereitgestellten Endgeräte (Laptops, Mobiltelefone) mittels moderner, systemnativer Verschlüsselungstechnologien (z.B. BitLocker, FileVault, LUKS) vollständig verschlüsselt (Data-at-Rest). (TOM-028)
• Technisch: Sämtliche persistente Speichermedien der Cloud-Infrastruktur (VM-Festplatten, Datenbank-Storage, Objektspeicher, Backups) werden mittels cloud-nativer Verschlüsselungsdienste im Ruhezustand verschlüsselt (Encryption-at-Rest mit AES-256 oder höher). Die Schlüsselverwaltung erfolgt über die jeweiligen Key Management Services der Cloud Service Provider. (TOM-029)
• Technisch: Der Zugang zu allen unternehmenskritischen Systemen wird durch eine verpflichtende Multi-Faktor-Authentifizierung (MFA) abgesichert. Dies umfasst insbesondere den administrativen Zugriff auf die Cloud-Infrastruktur, interne Kollaborationstools (z.B. Google Workspace) sowie alle administrativen Konten innerhalb der SaaS-Anwendung. (TOM-031)
• Technisch: Mitarbeiter authentifizieren sich an allen IT-Systemen über ein zentrales Single-Sign-On (SSO)-Verfahren, sofern die Systeme SSO unterstützen. Als Identity Provider dient ein zentrales System (z.B. Google Workspace) mit verpflichtender Multi-Faktor-Authentifizierung gemäß TOM-031. Systeme ohne SSO-Unterstützung werden gemäß TOM-027 abgesichert. (TOM-032)

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Technisch: Die datenschutzkonforme Vernichtung von Dokumenten mit personenbezogenen Daten erfolgt mittels Aktenvernichter der Sicherheitsstufe P4 oder höher (DIN 66399). Dies stellt sicher, dass vernichtete Dokumente nicht rekonstruierbar sind. (TOM-033)
• Organisatorisch: Die Anzahl der Konten mit administrativen Berechtigungen für die Produktiv-Infrastruktur und kritische Systeme wird nach dem Need-to-Know-Prinzip auf das absolute betriebsnotwendige Minimum beschränkt. (TOM-034)
• Organisatorisch: Es ist ein dokumentierter Prozess für die Verwaltung von Benutzerberechtigungen implementiert. Dieser regelt die Beantragung, Genehmigung, Einrichtung und den Entzug von Zugriffsrechten. (TOM-035)
• Organisatorisch: Die vergebenen Zugriffsrechte, insbesondere jene mit erhöhten Privilegien, werden mindestens halbjährlich auf ihre fortdauernde Notwendigkeit hin überprüft (Access Review). (TOM-036)
• Technisch: Es ist ein Rollen- und Berechtigungskonzept implementiert, das dem Prinzip der minimalen Rechtevergabe (Principle of Least Privilege) folgt. Benutzer und Systeme erhalten nur jene Berechtigungen, die für die Erfüllung ihrer jeweiligen Aufgaben zwingend erforderlich sind. Dies wird sowohl auf Ebene der Cloud-Infrastruktur (z.B. mittels Google Cloud IAM) als auch innerhalb der SaaS-Anwendung durchgesetzt. (TOM-037)

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Organisatorisch: Der Zugriff auf Datenbankebene wird durch ein restriktives Berechtigungskonzept gesteuert. Anwendungsspezifische Service-Accounts erhalten nur die minimal erforderlichen Rechte (z.B. Lese-/Schreibrechte auf bestimmte Tabellen oder Datenbanken), die für ihre Funktion notwendig sind. (TOM-023)
• Technisch: Die Anwendungs- und Datenarchitektur gewährleistet eine strikte logische Trennung der Kundendaten (Mandantentrennung). Es ist technisch sichergestellt, dass ein authentifizierter Benutzer ausschließlich auf die Daten des eigenen Mandanten zugreifen kann. (TOM-024)
• Technisch: Das Unternehmen betreibt physisch und/oder logisch strikt voneinander getrennte Systemumgebungen für Entwicklung, Test und Produktion. Es ist sichergestellt, dass in Entwicklungs- und Testumgebungen keine produktiven personenbezogenen Daten verarbeitet werden. (TOM-026)

Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technichen und organisatorischen Maßnahmen unterliegen

• Organisatorisch: Wo immer möglich und zweckmäßig, werden personenbezogene Daten pseudonymisiert oder anonymisiert. (TOM-022)

Kontrollziel Integrität

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Technisch: Die Vertraulichkeit und Integrität von Daten während der Übertragung (Data-in-Transit) wird durch eine ausschließliche Verwendung von starken Verschlüsselungsprotokollen sichergestellt. Die Kommunikation mit der SaaS-Anwendung und zwischen internen Systemkomponenten wird mittels TLS 1.2 oder höher (z.B. über HTTPS) abgesichert. (TOM-002)
• Organisatorisch: Umgang mit E-Mails - Mitarbeiter sind angewiesen, sensible Kundendaten oder Passwörter niemals unverschlüsselt per E-Mail zu versenden. Hierfür werden dedizierte, sichere Kanäle genutzt. (TOM-003)

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Technisch: Das Unternehmen stellt durch Protokollierungsmechanismen (Audit-Trails) sicher, dass kritische Aktionen von Benutzern mit administrativen Rechten (z.B. Anlegen, Ändern, Löschen von Kundendaten oder Konfigurationen) nachvollziehbar aufgezeichnet werden. (TOM-001)
• Technisch: Änderungen am Quellcode der SaaS-Anwendung werden über ein Versionierungssystem (z.B. Git) verwaltet. Änderungen werden über Pull Requests mit Code-Review umgesetzt, um die Stabilität des Haupt-Branches zu gewährleisten. (TOM-038)
• Technisch: Produktive Deployments erfolgen ausschließlich aus einem geschützten Haupt-Branch über automatisierte CI/CD-Pipelines. Dies stellt sicher, dass nur geprüfter und freigegebener Code in die Produktivumgebung gelangt. (TOM-049)

Kontrollziel Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Technisch: Backup-Konzept - Es werden regelmäßige, automatisierte Backups aller relevanten Kundendaten und Systemkonfigurationen erstellt. Die Backups werden verschlüsselt und geografisch getrennt vom Produktivsystem aufbewahrt. (TOM-018)
• Organisatorisch: Es ist ein Notfallplan (Disaster Recovery Plan) implementiert, der die Verfahren zur Wiederherstellung des Betriebs der SaaS-Anwendung nach einem schwerwiegenden Ausfall beschreibt. (TOM-020)
• Technisch: Zur Gewährleistung einer hohen Verfügbarkeit wird die Produktiv-Infrastruktur der SaaS-Anwendung redundant über mehrere, physisch getrennte Verfügbarkeitszonen (Availability Zones) innerhalb einer Cloud-Region betrieben. (TOM-021)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

• Organisatorisch: Das Unternehmen stellt durch die Bereitstellung einer umfassenden und leicht zugänglichen Datenschutzerklärung sicher, dass die Informationspflichten gemäß Art. 13 und 14 DSGVO vollumfänglich erfüllt werden. (TOM-006)
• Organisatorisch: Der Mitarbeiter ist bei Aufnahme seiner Tätigkeit schriftlich zur Wahrung der Vertraulichkeit und des Datengeheimnisses gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet worden. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. (TOM-007)
• Organisatorisch: Der Mitarbeiter wird mindestens einmal jährlich sowie anlassbezogen (z.B. bei neuen Bedrohungslagen oder wesentlichen Prozessänderungen) in den Bereichen Datenschutz und Informationssicherheit geschult. (TOM-008)
• Organisatorisch: Alle relevanten Richtlinien und Verfahrensanweisungen zum Datenschutz und zur Informationssicherheit werden zentral dokumentiert und dem Mitarbeiter in der jeweils aktuellen Fassung zugänglich gemacht. (TOM-009)

Incident-Response-Management

• Organisatorisch: Das Unternehmen stellt sicher, dass alle erkannten Sicherheitsvorfälle und vermuteten Datenpannen lückenlos in einem dedizierten Ticketsystem dokumentiert werden. Jeder Vorfall wird mit einer eindeutigen ID, Zeitstempeln, einer Beschreibung des Vorfalls, den ergriffenen Maßnahmen und dem Ergebnis der Untersuchung erfasst. (TOM-012)

• Organisatorisch: Es existiert ein dokumentierter Incident-Response-Plan (IRP), der die Prozesse zur Erkennung, Analyse, Eindämmung, Beseitigung und Nachbereitung von Sicherheitsvorfällen festlegt. (TOM-013)

• Organisatorisch: Der Incident-Response-Plan beinhaltet einen klar definierten Prozess zur Bewertung von Vorfällen im Hinblick auf eine mögliche Meldepflicht an die Aufsichtsbehörde (gemäß Art. 33 DSGVO) und eine Benachrichtigungspflicht gegenüber Betroffenen (gemäß Art. 34 DSGVO). (TOM-014)

• Technisch: Die Cloud-Infrastruktur wird durch den Einsatz von Netzwerk-Firewalls (Security Groups / VPC Firewalls) geschützt. Die Firewall-Regeln folgen dem Prinzip der minimalen Rechtevergabe (“Default Deny”) und werden regelmäßig auf ihre Notwendigkeit und Korrektheit überprüft. (TOM-015)

• Technisch: Zum Schutz vor Malware und Phishing-Angriffen wird für die E-Mail-Kommunikation ein professioneller E-Mail-Dienstleister eingesetzt, der über aktuelle und automatisch aktualisierte Spam- und Virenfilter verfügt. (TOM-016)

• Technisch: Auf allen Firmen-Endgeräten (Laptops) ist eine moderne Endpoint-Protection-Software (Virenscanner) mit Echtzeitschutz installiert. Die Software und deren Virensignaturen werden automatisch aktualisiert. (TOM-017)

• Technisch: Das Unternehmen aktiviert erweiterten Phishing- und Malware-Schutz in Google Workspace um eingehende E-Mails vor Phishing und schädlicher Software zu schützen durch Erkennung verdächtiger Anhänge/Skripts, schädlicher Links hinter Kurz-URLs, Scannen verknüpfter Bilder und Schutz vor E-Mail-Spoofing mit konfigurierten Aktionen (Spamordner/Warnung). (TOM-017a)

Datenschutzfreundliche Voreinstellungen

• Technisch: Das System ermöglicht Kunden die eigenständige Wahrnehmung ihrer Pflichten als Verantwortliche gegenüber betroffenen Personen. Über Self-Service-Funktionen können Benutzerkonten angelegt, bearbeitet und gelöscht werden (Recht auf Berichtigung und Löschung). Datenexporte sind sowohl über Schnittstellen als auch durch direkte Ausgabe möglich (Recht auf Datenübertragbarkeit und Auskunft). Damit unterstützt das System die fristgerechte Erfüllung von Betroffenenanfragen gemäß Art. 15-20 DSGVO. (TOM-010)
• Technisch: Das Unternehmen folgt dem Grundsatz der Datenminimierung gemäß Art. 5 DSGVO. Die SaaS-Anwendung ist so konzipiert, dass nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten erhoben und verarbeitet werden. Dies betrifft sowohl die Nutzerregistrierung (nur notwendige Stammdaten) als auch die Verarbeitung im laufenden Betrieb. Unnötige Datenfelder werden vermieden und Löschfristen sind implementiert. (TOM-011)

Auftragskontrolle (Outsourcing an Dritte)

• Organisatorisch: Das Unternehmen stellt die Einhaltung der Weisungen des Auftraggebers (Kunden) sicher, indem vor Beginn der Verarbeitung ein rechtsgültiger Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen wird. Diese TOMs sind ein verbindlicher Bestandteil dieses Vertrags. (TOM-004)
• Organisatorisch: Alle eingesetzten Unterauftragsverarbeiter werden einem sorgfältigen Auswahl- und Prüfprozess unterzogen. Mit jedem Unterauftragsverarbeiter wird ein AVV gemäß Art. 28 Abs. 4 DSGVO geschlossen, der diesem mindestens die gleichen Datenschutzpflichten auferlegt, die auch für das Unternehmen selbst gelten. (TOM-005)

Unterauftragsverarbeiter

Diese Übersicht enthält die Unterauftragsverarbeiter gemäß Art. 28 DS-GVO, die zur Erbringung der im Rahmen des Librario-Nutzungsvertrags vereinbarten Leistungen eingesetzt werden. Die Liste ist integraler Bestandteil der Vereinbarung zur Auftragsverarbeitung und wird gemäß den dort festgelegten Bestimmungen verwaltet.