Der vorliegende Auftragsverarbeitungsvertrag („AVV“) gilt für die Verarbeitungsmaßnahmen personenbezogener Daten durch die Hybric GmbH, Weicheringer Straße 167, 85051 Ingolstadt (auch als „Auftragnehmer" bezeichnet), die gegenüber Kunden (nachfolgend „Auftraggeber“ oder„Sie“) in Erfüllung des Hauptvertrages erbracht werden.
Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Vertrag über ein Abonnement von autoMahntion (siehe app.automahntion.de, Software as a Service) (im Folgenden: "Hauptvertrag"). Teil der Durchführung des Hauptvertrags istdie Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DSGVO"). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag“), der durch Abschluss des Hauptvertrags zustande kommt.
Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des Hauptvertrags. Ist derHauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.
Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen.
Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangthat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden./
Anlage 1 Festlegungen zum Vertrag
Anlage 2 Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO)
Stand: Dezember 2023
Gegenstand und Dauer des Auftrages Übersicht der Anforderungen und Festlegungen | |
(1) Hauptvertrag | Abo-Vertrag für ein SaaS-Produkt (automahntion.de) mit automatischer Verlängerung |
(2) Gegenstand des Auftrages | Mit Hilfe des SaaS-Produkts autoMahntion kann der Auftraggeber sein eigenes Mahnwesen automatisieren. |
(3) Zweck der Datenerhebung, Datenverarbeitungoder Datennutzung | Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab. |
(4) Art der Daten | Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich
|
(5) Kreis der Betroffenen | Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Kategorien betroffener Personen kommen dabei in Betracht:
|
Nr. | Name des Unterauftragnehmers Anschrift / Land | Gegenstand der Leistung | Verarbeitetepersonenbezogene Daten |
1 | Cloudways Ltd. 52 Springvale, Pope Pius XII Street Mosta MST2653 Malta | Verwaltung unserer Server | Siehe oben „Art der Daten“ |
2 | DigitalOcean, LLC. 101 Avenue of the Americas 10th Floor New York NY 10013 USA | Server- Hostingleistungen / SaaS & PaaS Leistungen Serverstandort: Deutschland | Siehe oben „Art der Daten“ |
3 | IONOS SE Elgendorfer Str. 57 56410 Montabaur Deutschland | Server- & Hostingleistungen / SaaS & PaaS Leistungen Serverstandort: Deutschland | Siehe oben „Art der Daten“ |
4 | PIN AG Alt-Moabit 91 10559 Berlin | Versand von Mahnungen per Post | Siehe oben „Art der Daten“ |
5 | Deutsche Post AG Charles-de-Gaulle-Straße 20 53113 Bonn | Versand von Mahnungen per Post | Siehe oben „Art der Daten“ |
6 | Brandes Rechtsanwälte Mönckebergstraße 19 D-20095 Hamburg | Beantragung von gerichtlichen Mahnbescheiden | Siehe oben „Art der Daten“ |
7 | GoCardless Ltd Sutton Yard, 65 Goswell Road London, EC1V 7EN Vereinigtes Königreich | SEPA-Lastschrifteinzug der (Abo-) Gebühren | Siehe oben „Art der Daten“ |
Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen,durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund,welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen sind.
Weisungen zu technischen und organisatorischen Maßnahmen |
1. Organisation der Informationssicherheit Es sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit implementiert und kontrolliert werden kann. |
Maßnahmen:
|
2. Privacy by Design Privacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert sein. |
Maßnahmen:
|
3. Privacy by Default Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen. |
Maßnahmen:
|
4. Zugriffskontrolle und Zugangskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw. schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.). Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. |
Maßnahmen:
|
5. Kryptographie und / oder Pseudonymisierung Einsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen Informationen. Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren. |
Maßnahmen:
|
6. Schutz von Gebäuden Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Der Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten mit denen personenbezogene Daten verarbeitet werden. |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
7. Schutz von Betriebsmitteln / Informationswerten Vorbeugung von Verlust, Beschädigung, Diebstahl oder Beeinträchtigung von Werten und Unterbrechungen der Betriebstätigkeit der Organisation. |
Maßnahmen:
|
8. Betriebsverfahren und Zuständigkeiten Sicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung von Informationen. |
Maßnahmen:
|
9. Datensicherungen Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten gegen zufällige Zerstörung oder Verlust geschützt sind. |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
10. Schutz vor Malware und Patchmanagement Verhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller Virenschutzsoftware und die Implementierung eines Patchmanagements. |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
11. Netzwerksicherheitsmanagement Es muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die Infrastrukturkomponenten geschützt werden. |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
12. Informationsübertragung Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw. schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.) |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
13. Lieferantenbeziehungen Maßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern vereinbartund dokumentiert werden. |
Maßnahmen:
|
14. Management von Informationssicherheitsvorfällen Es sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen (Diebstahl, Systemausfall etc.) zu implementieren. |
Maßnahmen:
|
15. Informationssicherheitsaspekte des Business Continuity Management /Notfallmanagements Die Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle. Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheitsollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden. |
Maßnahmen:
|
Weitere umgesetzte Maßnahmen / Erläuterungen: Wird durch unsere Unterauftragnehmer durchgeführt. Bei Bedarf kann die entsprechende Anlage TOM, die wir mit dem Unterauftragnehmer abgeschlossen haben, bereitgestellt werden. |
16. Datenschutzanforderungen und Datenschutzmanagement Die Privatsphäre sowie der Schutz von personenbezogenen Daten sollte entsprechend den Anforderungen der einschlägigen gesetzlichen Regelungen, anderen Vorschriften sowie Vertragsbestimmungen sichergestellt werden. |
Maßnahmen:
|
17. Informationssicherheitsüberprüfungen Es muss regelmäßig überprüft werden, ob die Informationsverarbeitung entsprechend der definierten Sicherheitsmaßnahmen durchgeführt wird. Hierfür wird der Auftragnehmer regelmäßige Prüfungen durchführen.Der Auftragnehmer räumt dem Auftraggeber das Recht ein, regelmäßige Audits / Überprüfungen bei ihm durchzuführen. |
Maßnahmen:
|