Auftragsverarbeitung INDEGO Testversion

Wir freuen uns, dass Sie sich für die kostenlose INDEGO Testversion interessieren. Indem Sie die Registrierung abschließen und diese Vereinbarung durch Klicken akzeptieren, erklären Sie sich mit der Auftragsverarbeitung für die INDEGO Testversion im vollen Umfang einverstanden.

1. Einleitung

INDEGO (= Auftragnehmer; Auftragsverarbeiter) verarbeitet im Rahmen der kostenlosen Testversion personenbezogene Daten für Ihr Unternehmen im Auftrag gemäß Artikel 28 DSGVO.

INDEGO wird vom Interessenten (= Auftraggeber; Verantwortlicher) als Auftragsverarbeiter beauf-tragt, die Daten ausschließlich im Sinne der EU-DSGVO zu verarbeiten.

Für die Nutzung der INDEGO Testversion ist eine Verknüpfung mit einer bestehenden Microsoft 365® Lizenz erforderlich. Somit werden in der INDEGO Testversion die Echtdaten aus Office wie z.B. E-Mails, Kalendereinträge, Kontakte und Aufgaben integriert sowie Zugriff auf die Dokumentenbibliotheken bereitgestellt. Diese Vereinbarung gilt ausschließlich für die Dauer der Nutzung einer kostenlosen Testversion.

Wenn Sie sich für eine kostenpflichtige Beauftragung entscheiden, werden wir mit Ihnen eine schriftliche Vereinbarung abschließen. Selbstverständlich können Sie auch im Rahmen der Testversion eine schriftliche Vereinbarung abschließen. Senden Sie uns hierzu eine Mail mit Ihrem Anliegen an support@indego.de.

2. Gegenstand der Auftragsverarbeitung

INDEGO verarbeitet personenbezogene Daten für den Interessenten im Falle der Nutzung der Testversion aufgrund der Nutzungsbedingungen für die Testversion.

Der Auftrag umfasst die Bereitstellung, Customizing und Betrieb eines digitalen Arbeitsplatzes mit Intranet- und Social-Komponenten im Software-as-a-Service Modell. Wird die vertraglich vereinbarte Dienstleistung nicht in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht, darf die Verarbeitung in einem Drittstaat nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3. Dauer der Verarbeitung

Die Dauer der Verarbeitung endet vier Wochen nach Ende der Testphase. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder ein Verstoß gegen die Bestimmungen dieses Vertrages vorliegt.

4. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Betroffene

Zweck und Art der Verarbeitung:

Bereitstellung, Customizing und Betrieb eines digitalen Arbeitsplatzes mit Intranet- und Social-Komponenten. Hierfür werden die personenbezogenen Daten verarbeitet, die vom Kunden im digitalen Arbeitsplatz importiert oder eingegeben bzw. auf über Schnittstellen mit dem digitalen Arbeitsplatz zugegriffen werden können. Hierbei handelt es sich primär um die Speicherung von Daten, wobei aufgrund der zahlreichen Funktionen, die kundenindividuell bereitgestellt werden, auch andere Verarbeitungsarten in Betracht kommen (z.B. abfragen, ordnen, löschen und abgleichen von Daten).

Art der personenbezogenen Daten:

Grundsätzlich kommen alle personenbezogenen Daten in Betracht, die beim Auftraggeber verarbeitet werden. Über die Einstellung in den digitalen Arbeitsplatz entscheidet alleine der Auftraggeber. Die verarbeiteten Daten können sich im Zeitverlauf je nach Bedarf des Auftraggebers ändern. Erfahrungsgemäß handelt es sich vor allem um Namen, Login-Informationen, Kontaktdaten, Kommunikationsinformationen, Inhalte von ausgetauschten Nachrichten z.B. über den Chat oder per E-Mail, interne News, Kalenderdaten, Aufgabendaten, Adressbuchdaten, Projektinformationen, Mitarbeiterprofile und Organigramme.

Kategorien betroffener Personen:

Da es sich um ein Intranet handelt, werden vor allem die Daten von Beschäftigten des Auftraggebers verarbeitet. Je nachdem, welche Inhalte vom Auftraggeber jedoch in den digitalen Arbeitsplatz eingestellt, kann sich der Kreis der betroffenen Personen erweitern z.B. auf Kunden, Interessenten, Nichtkunden oder Dienstleister/Lieferanten.

5. Verarbeitung auf Weisung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf erteilte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen zu erteilen.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen wiederholt der Auftraggeber unverzüglich in Textform.

Für die Beurteilung der Zulässigkeit der ist allein der Auftraggeber verantwortlich. Der Auftragnehmer wird den Auftraggeber jedoch unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach Überprüfung bestätigt oder geändert wird.

6. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet.

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften bekannt sind. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber wird der Auftragnehmer die jeweils erforderlichen Mitwirkungsleistungen gegenüber dem Auftraggeber erbringen. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen. Der Auftragnehmer unterstützt den Verantwortlichen in dem jeweils erforderlichen Umfang dabei, eine Datenschutz-Folgenabschätzung durchzuführen.

7. Kontrollrechte des Auftraggebers

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – vor Beginn der Verarbeitung und sodann regelmäßig berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren. Dies kann insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort erfolgen. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftragnehmer kann die Einhaltung vertraglichen Vereinbarungen durch geeignete Bestätigungen, wie z. B. aktuelle Testate, Berichte, Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder anerkannter Zertifizierungen nachweisen.

8. Mitteilungspflichten des Auftragnehmers bei Datenpannen und Verstößen

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.

Soweit eine Mitwirkungsleistung des Auftragnehmers für die Wahrung von Betroffenenrechten durch den Verantwortlichen erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Mitwirkungsleistungen nach Weisung des Verantwortlichen erbringen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Auftraggeber und Auftragnehmer arbeiten gem. Artikel 31 DSGVO auf Anfrage der Aufsichtsbehörde mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber gemäß Artikel 31 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die dafür erforderlich sind, dass der Auftraggeber den Nachweis darüber erbringen kann, dass er seine datenschutzrechtlichen Pflichten als Verantwortlicher einhält. Ferner wird der Auftragnehmer den Auftraggeber – sofern rechtlich zulässig – unverzüglich darüber informieren, wenn eine Aufsichtsbehörde bei dem Auftragnehmer Kontrollhandlungen oder Maßnahmen unternimmt, die sich auf diese Auftragsverarbeitung beziehen.

9. Unterauftragsverhältnisse mit Subunternehmern

Als Unterauftragsverhältnisse sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post- /Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet. Der Auftragnehmer muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragnehmer hat in einem schriftlichen Vertrag sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

10. Sicherheit der Datenverarbeitung

Es wird für diese Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die gesetzlichen Schutzziele derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Die konkreten Maßnahmen werden in Anlage 1 festgelegt.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen. Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten. Wesentliche Änderungen, die die Integrität, Vertraulichkeit, Belastbarkeit oder Verfügbarkeit negativ beeinträchtigen können, bedürfen der Zustimmung des Auftraggebers. Der Auftraggeber darf die Zustimmung nicht unbillig verweigern.

11. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags

Nach Auftragsende hat der Auftragnehmer sämtliche in seinen Besitz (und im Besitz der Subunternehmen) gelangte Daten und Unterlagen, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Absprache mit dem Auftraggeber entweder herauszugeben oder zu löschen bzw. zu vernichten, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung bzw. Aufbewahrung besteht oder der Auftraggeber eine weitere Speicherung beauftragt. Gleiches gilt für Test- und Ausschussmaterial.

12. Sonstiges

Zur Haftung und Schadensersatzansprüchen wird auf Art. 82 DSGVO verwiesen. Etwaige zwischen den Parteien vereinbarte Haftungsbeschränkungen/-ausschlüsse gelten nicht für Verstöße gegen die DSGVO bzw. das BDSG (neu).

Erteilte Weisungen, Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1 – Technisch-organisatorische Maßnahmen

Vertraulichkeit und Integrität

  • Chipkarten-/Transponder-Schließsystem
  • Protokollierung der Besucher
  • Personenkontrolle beim Empfang
  • Unternehmensfremde werden überwacht bzw. Tragepflicht von Berechtigungsausweisen
  • Es besteht ein Prozess zur Vergabe, Veränderung und zum Entzug von Schließberechtigungen
  • Authentifizierung mit sicherem Passwort und Userkennung
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Systemsicherheit bei Nichtgebrauch von IT-Technik (z.B. Bildschirmsperre)
  • Zugriffsmöglichkeiten auf Daten werden auf das erforderliche Maß beschränkt
  • Verwaltung der Berechtigungen ausschließlich durch Systemadministratoren
  • Nur zweckgebundene Verarbeitung personenbezogener Daten
  • Einsatz von Anti-Viren-Software
  • Verschlüsselungsmethoden werden stets auf dem aktuellen Stand der Technik gehalten
  • Kundendaten werden in verschlüsselter Form gespeichert
  • Hardware-Verschlüsselung von Smartphones und Entwicklergeräten
  • Mobile Datenträger werden auf dem Transportweg stets verschlüsselt
  • Öffentlich zugängliche Webseiten verfügen stets über eine ausreichend starke https-Verschlüsselung
  • Zur internen Zuordnung werden soweit möglich und sinnvoll Kundennummern (Tenant-IDs) verwendet statt Namen
  • Es werden keine Echtdaten für Testumgebungen verwendet
  • Zugriff auf Kundendaten für alle unsere Beschäftigte nur durch explizit durch den Kunden authorisierte Zugriffe möglich
  • Vollautomatischer zeitgesteuerter Logout bei erkannter Inaktivität im Rahmen des Zugriffs auf das Kundensystem
  • Trennung der Produktivdaten im Kundensystem (Mandantentrennung)

 

Verfügbarkeit und Belastbarkeit

  • Betrieb des Kundensystems in hochverfügbaren und diesbezüglich zertifizierten Rechenzentren
  • Virenschutz und Firewall-Systeme werden stets aktuell gehalten
  • Daten werden mindestens täglich inkrementell und monatlich vollumfänglich gesichert
  • Veränderungen am Kundensystem durchlaufen stets einen standarisierten Änderungsprozess Für wichtige IT-Systeme existiert ein dienstleisterseitiges
  • SLA-Monitoring und werden ausreichend Ressourcen (Performance, Speicherkapazitäten, Kapazitätsreserven für Spitzenlasten) zur Verfügung gestellt
  • Für das Kundensystem werden dienstleisterseitig Load-Balancer eingesetzt Datensicherungs-Verfahren werden anforderungsgerecht ausgestaltet, insbesondere für das Kundensystem sind hochverfügbare Datensicherungsmechanismen etabliert
  • Wichtige Datenbestände werden in einem Cluster-System redundant vorgehalten Für zeitkritische Geschäftsprozesse existieren entsprechende Wiederherstellungskonzepte

 

Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

  •  
  • Die Informationssicherheit der eingesetzten Anwendungen wird jährlich mit Unterstützung eines spezialisierten Dienstleisters überprüft
  • Durchführung zielgerichteter Penetrationstests
  • Datenschutzvorfälle werden stets dokumentiert und ausgewertet
  • Datenschutzrechtliche Überprüfung beim Abschluss neuer Vereinbarungen zur Auftragsverarbeitung sowie diesbezügliche Kontrollhandlungen
  • Abstimmung datenschutzrechlicher Anforderungen mit Datenschutzberatern
  • Wesentliche eingesetzte Dienstleister unterliegen regelmäßigen Überprüfungen und können Zertifizierungen zum Datenschutz und Informationssicherheit nachweisen

 

Diese Vereinbarung gilt ab 6. November 2020.