wird als Anlage zum Hauptvertrag mit étblir nach Vorgabe der Datenschutzgrundverordnung zum Schutz der von dem Auftragsverarbeiter verarbeiteten Daten des Auftraggebers vereinbart:
§ 1 Vertragsinhalt und Laufzeit
(1) Inhalt des Vertragsanhangs ist die Datenverarbeitung, die der Auftragsverarbeiter für den Auftraggeber im Rahmen des Hauptvertrages ausführt. Dies umfasst jede Verarbeitung von personenbezogenen Daten im Rahmen des Hauptvertrages gem. Art. 28 DSGVO.
(2) Zweck der Verarbeitung ist die Erfüllung des Hauptvertrages durch den Auftragsverarbeiter und die Erfüllung der Verpflichtungen beider Parteien aus der DSGVO.
(3) Die Laufzeit dieses Vertrages ergibt sich aus seinem Zweck. Er läuft für die Dauer des Hauptvertrages einschließlich der Erfüllung von Gewährleistungspflichten oder sonstigen nachvertraglichen Pflichten durch den Auftragsverarbeiter. Wird der Hauptvertrag gekündigt, bleibt dieser Vertrag für die Dauer der verbleibenden nachvertraglichen Pflichten bestehen und endet erst mit der Vollbeendigung des Hauptvertrages und der Löschung oder Rückgabe der Daten nach Maßgabe dieses Anhangs.
§ 2 Art der Daten, der Betroffenen und der Verarbeitung, Vertragsort
(1) Dieser Vertragsanhang gilt für alle Arten von Verarbeitungen gem. Art. 4 Nr. 2 DSGVO.
(2) Die Art der verarbeiteten Daten umfasst alle Daten, die der Auftragsverarbeiter für den Auftraggeber im Rahmen des Hauptvertrages verarbeitet. Die Daten sind in Anlage 1 zu diesem Vertrag näher aufgeführt.
(3) Die Kategorien der von diesem Vertrag betroffenen Personen ergeben sich aus der Datennutzung durch den Auftraggeber, sie sind in Anlage 1 zu diesem Vertragsanhang näher aufgeführt.
(4) Eine Verarbeitung außerhalb der europäischen Union ist nur in den gesetzlich erlaubten Fällen möglich.
§ 3 Verantwortung und Weisungen
(1) Dieser Vertragsanhang ändert nichts daran, dass der Auftraggeber für die Einhaltung der Datenschutzgesetze und eine rechtmäßige Weitergabe der Daten an den Auftragsverarbeiter gem. Art. 4 Abs. 7 DSGVO allein Verantwortlicher bleibt. Dies gilt auch für alle Verarbeitungen, die Gegenstand dieses Vertragsanhangs sind.
(2) Weisungen im Rahmen der Auftragsverarbeitung werden von dem Auftraggeber zum einen im Hauptauftrag festgelegt. Anschließend können sie mündlich oder in Textform erteilt werden. Der Auftragsverarbeiter hat einen Anspruch darauf, dass mündliche Weisungen unverzüglich auch in Textform bestätigt werden (z.B. E-Mail oder sonstige elektronische Form). Der Auftragsverarbeiter kann – außer bei Gefahr im Verzuge – die Ausführung der Weisung von einer vorherigen Weisung in Textform abhängig machen.
(3) Weisungen, die über den Inhalt des Hauptvertrages hinausgehen, sind für den Auftragsverarbeiter nur verbindlich, wenn sie nach dem Sinn des Hauptvertrages und auf Grund der Bestimmungen der DSGVO erforderlich sind (z.B. in einer Angriffssituation erforderliche Sicherungen). Sie sind gleichzeitig eine Zusatzleistung im Rahmen des Hauptvertrages und nach den dortigen Bestimmungen zusätzlich – ersatzweise anhand der ortsüblichen und angemessenen Vergütung – zu entrichten.
(4) Ist der Auftragsverarbeiter nicht zur Ausführung der Weisung verpflichtet, kann er die Ausführung verweigern, bis der Auftraggeber die Zusatzleistung bestätigt und kostenpflichtig beauftragt hat. Die Ausführung der Weisung ist kein Verzicht auf einen Anspruch auf zusätzliche Vergütung.
(5) Ist dem Auftragsverarbeiter die Ausführung einer Weisung nicht zuzumuten, etwa weil Ihre Befolgung technisch nicht möglich ist, kann der Auftragsverarbeiter den Hauptvertrag kündigen, sofern zwischen den Parteien keine andere Lösung gefunden wird. Ein Beispiel ist etwa eine Leistungserbringung durch den Auftragsverarbeiter auf einer technischen Plattform mit anderen Auftraggebern einer Auftragsverarbeitung, bei der die Weisung nicht ohne Konsequenzen für andere Vertragspartner des Auftragsverarbeiters befolgt werden kann (z.B. Daten können nicht getrennt werden).
(6) Erteilt der Auftraggeber eine rechtswidrige Weisung, hat er die daraus entstehenden Kosten zu tragen, einschließlich der Rechtsberatungs- oder -vertretungskosten des Auftragsverarbeiters.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter ist verpflichtet, die Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers zu verarbeiten. Dies gilt nicht, soweit der Auftragsverarbeiter zu einer anderen Verarbeitung aufgrund eines in der europäischen Union für ihn gültigen Rechts verpflichtet ist. Der Auftragsverarbeiter kann eine Weisung, die gegen geltendes Recht verstößt, das auch für ihn bindend ist, zurückweisen und ist zu Ihrer Ausführung nicht verpflichtet. Der Auftragsverarbeiter wird in einem solchen Fall den Auftraggeber auffordern, eine rechtmäßige Weisung zu erteilen.
(2) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Rechtsansprüchen betroffener Personen aus den Artt. 12-23 DSGVO Betroffener im Rahmen seiner Kapazitäten. Er benennt dem Auftraggeber einen Ansprechpartner im Rahmen des Datenschutzes.
(3) Der Auftragsverarbeiter wird in seinem Bereich für den Auftraggeber die Pflichten aus Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen einhalten und in angemessenen Abständen überprüfen.
(4) Der Auftragsverarbeiter organisiert seinen Betrieb derart, dass er den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft gem. Art. 32 DSGVO unter Berücksichtigung seiner zumutbaren Möglichkeiten und Einrichtungen technische und organisatorische Maßnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Die derzeitigen technischen und organisatorischen Maßnahmen sind in Anlage 2 zu diesem Vertrag festgehalten.
(5) Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere eingesetzte Dritte über die Anforderungen des Datenschutzes unterrichtet sind und entsprechend angeleitet, geschult und überwacht werden. Weiter gewährleistet der Auftragsverarbeiter, dass diese Personen verpflichtet sind, die Daten nicht außerhalb der Weisungen des Auftraggebers zu verarbeiten und die Daten vertraulich zu behandeln sowie, dass diese Verschwiegenheitspflicht auch nach der Beendigung des Hauptvertrages fort gilt.
(6) Daten, die Gegenstand dieser Auftragsverarbeitung sind, berichtigt, sperrt oder löscht der Auftragsverarbeiter nur entsprechend dieses Vertrages oder nach Weisung des Auftraggebers. Derartige Weisungen des Auftraggebers sind auch nachvertraglich verbindlich.
(7) Der Auftragsverarbeiter unterrichtet den Auftraggeber, sofern er Kenntnis davon erlangt, das Daten des Auftraggebers verletzt wurden oder werden. Er trifft zur Gefahrenabwehr eigenständig die erforderlichen Maßnahmen zur Datensicherung und mindert soweit möglich die Folgen für die Betroffenen. Er spricht sich so schnell wie möglich mit dem Auftraggeber ab.
(8) Nach Abschluss der Verarbeitungstätigkeit löscht der Auftragsverarbeiter nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück. Dies gilt nicht, soweit die Daten nach dem anwendbaren Recht weiter gespeichert bleiben müssen oder sich aus dem Vertrag ein anderes ergibt. Erteilt der Auftraggeber keine Weisung, gilt die Löschung als vereinbart.
§ 5 Vergütung
(1) Für alle Leistungen nach diesem Vertrag hat der Auftragsverarbeiter Anspruch auf eine zusätzliche Vergütung nach Maßgabe des Hauptvertrages, ersatzweise der ortsüblichen und angemessenen Vergütung. Dies gilt nicht, soweit der Hauptvertrag ausdrücklich ein anderes regelt oder solche Ansprüche aufgrund Gewährleistung oder Verschulden des Auftragsverarbeiters ausgeschlossen sind.
(2) Die Verpflichtung zur Vergütung gilt bis zur Vollbeendigung dieses Anhanges und endet nicht mit dem Hauptvertrag.
§ 6 Pflichten des Auftraggebers
(1) Der Auftraggeber darf keine Weisung erteilen, die gegen geltendes Recht verstößt. Der Auftraggeber ist weiter Verantwortlicher für die Daten, es ist daher seine Sache, sich über die geltenden Gesetze zu informieren und sich dazu beraten zu lassen und dem Auftragsverarbeiter nur solche Weisungen zu erteilen, die rechtmäßig sind.
(2) Der Auftraggeber ist verpflichtet, die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters zu erfragen und zu prüfen. Er trägt die Verantwortung dafür, dass die Maßnahmen des Auftragsverarbeiters für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau darstellen.
(3) Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich und vollständig, wenn ihm Tatsachen offenbar werden, dass bei der Datenverarbeitung Fehler oder Unregelmäßigkeiten vorkommen.
(4) Der Auftraggeber benennt auf Anforderung des Auftragsverarbeiters einen Ansprechpartner für alle Datenschutzfragen in seinem Hause.
(5) Der Auftraggeber ist verpflichtet, Forderungen von Betroffenen auf Berichtigung, Löschung, Sperrung oder Auskunft zu bearbeiten. Der Auftragsverarbeiter wird die betroffene Person an den Auftraggeber verweisen, sofern das aufgrund der Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 7 Nachweise
(1) Der Auftragsverarbeiter informiert den Auftraggeber über alle Maßnahmen zur Einhaltung der Anforderungen des Art. 28 DSGVO und ermöglicht in zumutbarem Rahmen Überprüfungen. § 5 gilt entsprechend.
(2) Der Auftragsverarbeiter ist berechtigt, von dem Auftraggeber und/oder dessen Prüfer eine Verschwiegenheitserklärung zu verlangen. Der Auftraggeber kann einen unabhängigen externen Prüfer benennen, sofern er dem Auftragsverarbeiter eine Kopie des Auditberichts zur Verfügung stellt. Wettbewerber des Auftragsverarbeiters oder Personen, die dem Auftragsverarbeiter sonst nicht zumutbar sind, kann der Auftragsverarbeiter ablehnen.
(3) Für Prüfungen einer Behörde gelten diese Regeln entsprechend, einschließlich § 5.
§ 8 Weitere Auftragsverarbeiter/Ort der Verarbeitung
(1) Die Verarbeitung der Daten im Auftrag erfolgt nur in den Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR). Eine Verarbeitung der personenbezogenen Daten in einem Drittland kommt nur in Betracht, wenn gewährleistet ist, dass die jeweils nach den Art. 44– 49 DSGVO einzuhaltenden Rechtsvorschriften eingehalten werden, um ein angemessenes Schutzniveau für den Schutz der personenbezogenen Daten zu gewährleisten.
(2) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter nach Art. 28 DSGVO einzusetzen, um den Vertrag zu erfüllen.
(3) Die weiteren Auftragsverarbeiter, die derzeit eingesetzt werden, sind in Anlage 3 zu diesem Vertrag aufgeführt. Der Auftraggeber willigt in ihren Einsatz ein.
(4) Der Auftragsverarbeiter wird den Auftraggeber unterrichten, wenn er andere Subunternehmer einzusetzen wünscht. Der Auftraggeber kann diese ablehnen, wenn dafür ein wichtiger Grund besteht. Ist dem Auftragsverarbeiter aufgrund der Ablehnung eines neuen Subunternehmers die Erfüllung des Vertrages nicht mehr zumutbar, kann er den Hauptvertrag innerhalb einer angemessenen Frist kündigen.
(5) Der Auftragsverarbeiter ist verpflichtet, die Pflichten aus diesem Vertrag auf die Subunternehmer zu übertragen.
(6) Subunternehmer im Sinne dieser Regelung sind nur solche Unternehmen, die Dienstleistungen unmittelbar in Bezug auf die Hauptleistung des Vertrages beziehen. Davon sind insbesondere Nebenleistungen wie Telekommunikations-, Druck- und Transportleistungen ebenso ausgenommen wie Pflichten zu reiner Wartung, die Entsorgung von Datenträgern sowie Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger IT- Systeme. Unberührt bleibt die Verpflichtung des Auftragsverarbeiters, Datenschutz und Datensicherheit in Bezug auf die Daten des Auftraggebers sicher zu stellen.
§ 9 Haftung und Schadensersatz
(1) Macht ein Betroffener Schadensersatzansprüche gegen eine Vertragspartei geltend, unterstützen sich die Parteien und tragen gemeinsam zur Aufklärung des Sachverhalts bei.
(2) Auftragsverarbeiter und Auftraggeber haften nach Maßgabe des Art. 82 DSGVO für Schäden, die eine betroffene Person aufgrund einer rechtlich nicht zulässigen oder unrichtigen Datenverarbeitung in diesem Auftragsverhältnis erleidet.
§ 10 Schlussbestimmungen
(1) Für Streitschlichtung, Rechtswahl und Gerichtsstand gilt der Hauptvertrag.
(2) Dieser Vertrag ist in Textform geschlossen und bedarf zu seiner Änderung der Textform.
- Anlage 1 – betroffene Daten- und Personengruppen
- Anlage 2 – technische und organisatorische Maßnahmen
Anlage 1 zum Auftrag gemäß Art. 28 DS-GVO:
Einleitung: Der Auftragsverarbeiter stellt dem Auftraggeber Dienstleistungen (ggf. auch Domains, Webspace) zur Verfügung, mit deren Hilfe der Auftraggeber Homepages, Skripte, Datenbanken, oder damit verbundene oder vergleichbare Daten (z.B. Bilder, Videos, etc.) im Internet präsentieren kann.
Diese werden ggf. beim Auftragsverarbeiter oder einem Partner-Unternehmen gespeichert und bei Abruf durch einen Webseitenbesucher im Browser des Besuchers angezeigt.
Auflistung der personenbezogenen Daten und Zweck ihrer Verarbeitung:
Art der Daten
Stammdaten: Namen, Adressen, Kontaktdaten (E-Mail-Adresse, Telefonnummern), ggf. Geburtsdatum.
Vertragsdaten: Vertragsgegenstand, Vertragslaufzeit, Zahlungsdaten.
Kommunikationsdaten: Inhalte von E-Mails, ggf. Protokolldateien von Telefongesprächen, Messenger-Diensten.
Nutzungsdaten: Daten, die durch die Nutzung der Webseite, App oder des Online-Shops entstehen (IP-Adressen, Log-Daten, Cookies).
Zugangs- und Authentifizierungsdaten: Benutzernamen, Passwörter und andere Identifikationsdaten, die für den Zugang zu Kundenkonten, Webseiten, Apps oder Online-Shops erforderlich sind.
Zweck der Datenerhebung, -verarbeitung oder -nutzung
• Stammdaten, Kommunikationsdaten, Vertragsstammdaten:
– Diese Daten werden für Einhaltung des Vertragsverhältnisses gespeichert. Beispielsweise das versenden von wiederkehrenden Rechnungen per Email. Zudem stehen wir für Support zur Verfügung. Dieser kann nur erfolgt nur, wenn der Anfragende identifiziert werden kann (Beispielsweise über Name + E-Mail-Adresse)
• IP-Adressen der Webseitenbesucher, Protokolldaten, etc. (sofern Hosting Gegenstand der Leistung des Auftragnehmers ist):
– für die unmittelbare Auslieferung der Daten (technisch notwendig)
– die IP des Nutzers wird für „technisch-sicherheitsbezogene Auswertungen“ (z.B. die Erkennung von Angriffen) serverseitig geloggt, für ca. 30 Tage gespeichert und danach wieder gelöscht.
• Zugangs- und Authentifizierungsdaten:
– Technischer Support und Weiterentwicklung
– Verwaltung und Wartung von Kundenkonten: Erhebung und Verwendung von Zugangs- und Authentifizierungsdaten, um Aufgaben im Namen des Kunden auszuführen, Probleme zu beheben und notwendige Updates oder Verbesserungen durchzuführen.
Kreis der Betroffenen
• Der Kreis der durch diese Zusatzvereinbarung Betroffenen umfasst:
– Kunden: Personen, die einen Vertrag mit dem Einzelunternehmen abschließen.
– Nutzer: Personen, die die Webseite, App oder den Online-Shop nutzen.
– Geschäftspartner: Andere Unternehmen oder Einzelunternehmer, die in einer Geschäftsbeziehung zum Einzelunternehmen stehen.
Technische und organisatorische Maßnahmen
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:
- Besucherregelung (Abholung des Besuchs, Begleitung nach dem Besuch bis zum Ausgang)
- Büro in gesondertem Raum
- Bildschirme von außen nicht einsehbar
- Bürotür ist abschließbar.
Zugangskontrolle
Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:
- Persönlicher und individueller Login bei Anmeldung am System/Netzwerk
- Zusätzlicher Login für bestimmte Anwendungen
- Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität
- Firewall
- Einsatz eines Passwort-Managers mit Zwei-Faktor-Authentifizierung
Zugriffskontrolle
Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:
- Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist.
- Profile/Rollen
- Verschlüsselung von Datenträgern
Trennungskontrolle
Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Verarbeitung auf mindestens logisch getrennten Systemen
- Zugriffsberechtigungen nach funktioneller Zuständigkeit
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
– Zugriffskontrollen: Nur autorisierte Mitarbeiter haben Zugang zu den Daten, die zur Zuordnung der pseudonymisierten Daten zu einer bestimmten Person erforderlich sind.
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle
Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
- Verschlüsselung von E-Mail oder E-Mail-Anhängen
- Verschlüsselung von Datenträgern
- Gesicherter File Transfer oder sonstiger Datentransport
- Physikalische Transportsicherung
- Verpackungs- und Versandvorschriften
- Verschlüsseltes WLAN (WPA2)
Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
- Zugriffsrechte
- Benutzerkonten
- Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
- Backup Verfahren
- Bedarfsgerechtes Einspielen von Sicherheits-Updates
- Geeignete Archivierungsräumlichkeiten für Papierdokumente
- Brand- und/oder Löschwasserschutz des Serverraums (Sofern Hosting Gegenstand der Leistung des Auftragnehmers ist)
- Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten (Sofern Hosting Gegenstand der Leistung des Auftragnehmers ist)
- Klimatisierter Serverraum (Sofern Hosting Gegenstand der Leistung des Auftragnehmers ist)
- Virenschutz (XD (Execute Disable), Speicherverwürfelung (Address Space Layout Randomization, ASLR) und Systemintegritätsschutz (System Integrity Protection, SIP)
- Firewall
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
- Verpflichtung der Mitarbeiter bzw. Freelancer auf die Vertraulichkeit
Management bei Datenschutzverletzungen
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
- Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
- Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber betroffenen Personen (Art. 34 DSGVO)
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Auftraggebers verarbeitet werden:
- Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten der Parteien
- Prozess zur Erteilung und/oder Befolgung von Weisungen
- Verpflichtung der Freelancer auf die Vertraulichkeit
- Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen
- standardisiertes Vertragsmanagement zur Kontrolle von Unterauftragnehmern