Propstack GmbH

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

 

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

a) Dieser Auftragsverarbeitungsvertrag basiert auf den Standardvertragsklauseln, die die europäische Kommission gemäß Art. 28 Abs. 7 DSGVO am 04.06.2021 veröffentlich hat.

b) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 DSGVO sichergestellt werden.

c) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der DSGVO zu gewährleisten.

d) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

e) Die Anhänge I bis IV sind Bestandteil der Klauseln.

f) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der DSGVO unterliegt.

g) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der DSGVO erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

a) Werden in diesen Klauseln die in der DSGVO definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der DSGVO auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 – fakultativ

Kopplungsklausel

a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

 

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

 

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

 

7.6 Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

 

7.7 Einsatz von Unterauftragsverarbeitern

a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 14 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der DSGVO unterliegt.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

 

7.8 Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der DSGVO im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der DSGVO sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 DSGVO erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1)      Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

2)      Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

3)      Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

4)      Verpflichtungen gemäß Artikel 32 DSGVO.

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 DSGVO nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 DSGVO in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1)      die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2)      die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; 

3)      die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c) bei der Einhaltung der Pflicht gemäß Artikel 34 DSGVO, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 DSGVO zu unterstützen.

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der DSGVO den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1)      der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

2)      der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt;

3)      der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der DSGVO zum Gegenstand hat, nicht nachkommt.

c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I – LISTE DER PARTEIEN

1. Verantwortliche(r): [Name und Kontaktdaten des/der Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten des Verantwortlichen]

Firmenname:               

Anschrift:                   

Kontaktperson:           

Funktion:                    

E-Mail oder Telefon:  

 

Unterschift und Beitrittsdatum: ______________________________________________

2. Auftragsverarbeiter:

 

Name: Propstack GmbH

Anschrift: Mollstraße 31, 10249 Berlin, Deutschland

Name, Funktion und Kontaktdaten der Kontaktperson:

Kevin Heldt, Geschäftsführer Propstack GmbH

+49 (0) 30 439 7096 10, datenschutz@propstack.de

Datenschutzbeauftragter des Auftragverarbeiters:

Niklas Hanitsch, secjur GmbH

Externer Datenschutzbeauftragter

+49 941 569 550 20, dsb@secjur.com

 

 

Unterschift und Beitrittsdatum: ______________________________________________

 

 

ANHANG II – BESCHREIBUNG DER VERARBEITUNG

Kategorien betroffener Personen, deren personen-bezogene Daten verarbeitet werden und Art der Daten:	Kundendaten des Auftraggebers umfassen unter anderem Privatpersonen: –          Vorname –          Nachname –          Adresse –          Anrede –          Titel –          Sprache –          Telefonnummer –          Handynummer –          Faxnummer –          Quelle (Portal, Webseite etc.) –          Weitere E-Mail-Adressen –          E-Mail –          Ehepartner Unternehmen: –          Firmenname –          Position –          Firmenadresse –          Telefon Büro –          Handy Büro –          Fax Büro –          Webseite Weitere Daten: –          Anteil des Kaufs –          Nettoeinkommen –          Aktivitäten –          Notizen –          Termine Geldwäsche-Daten: –          Geburtsdatum –          Geburtsname –          Geburtsort –          Geburtsland –          Ausweisart –          Personalausweisnummer –          Ausstellende Behörde –          Steuer-ID –          Staatsangehörigkeit –          Rechtsform –          Registernummer –          Auffälligkeiten Kontakterlaubnis: –          IP-Adresse des Kunden –          Datum des Besuchs –          Browser des Kunden –          Einsicht der Kenntnisnahme (DSGVO) Tracking von E-Mails: –          Email Öffnungsdatum –          Email Öffnungsuhrzeit Tracking der Widerrufsbelehrung: –          Öffnungsdatum –          IP-Adresse des Kunden –          Datum des Besuchs –          Browser des Kunden –          Kenntnisnahme oder Widerruf Tracking von Landingpages: –          Öffnungsdatum –          Öffnungsuhrzeit –          Besuchte Subpage –          Dokumenten-Download –          Favorisierte Einheiten Daten von Beschäftigten des Auftraggebers: –          Vorname –          Nachname –          E-Mail –          Telefonnummer –          Handynummer –          Position –          Passwort
Art der Verarbeitung:	–          Betrieb der Software –          Speichern von Daten in der Cloud –          Zugriff auf bzw. Übermitteln von Daten über das Internet –          Zwischenspeicherungen beim Zugriff über das Internet im technisch notwendigen Umfang durch Telekommunikationsanbieter –          Anzeigenlassen von Daten bzw. Herunter-laden auf Endgeräten des Geschäftspartners des Auftraggebers.
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden:	–          Betrieb eines CRM-Systems für Makler (“Software”) –          Bereitstellung von Speicherplatz in der Cloud –          Bereitstellung von Rechnerkapazitäten –          Dienstleistungen eines Rechenzentrums –          Bereitstellung von Software über ein Computernetzwerk (SaaS)
Dauer der Verarbeitung:	–          Die Laufzeit dieser Vereinbarung und die Dauer der Verarbeitung richten sich nach der Laufzeit des Hauptvertrages
Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.	–          Amazon Web Services AWS –          Nylas, Inc. –          Details siehe Anhang IV

ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Dieser Anhang beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen der Propstack GmbH sowie des Rechenzentrums AWS.

1. Vertraulichkeit

Zutrittskontrolle

Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

• Zutritt in die Büroräumlichkeiten des Auftragnehmers ist nur mit Schlüssel für zutrittsberechtigte Mitarbeiter möglich
• Elektronisches Zutrittskontrollsystem mit Protokollierung im Rechenzentrum
• Dokumentierte Schlüsselvergabe an Mitarbeiter
• Richtlinien zur Begleitung und Kennzeichnung von Gästen im Rechenzentrum
• 24/7 personelle Besetzung des Rechenzentrums
• Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen im Rechenzentrum
• Rechenzentrum ISO/IEC 27001:2013 zertifiziert
• Rechenzentrum PCI DSS zertifiziert

Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (einschließlich Verschlüsselungsverfahren):

• Passwortverfahren: Jede Benutzerkennung hat ein eigenes Passwort
• Die Systeme sind gegen unberechtigten Zugang durch Passwörter geschützt
• Verbindliche Verfahren zur Rücksetzung vergessener Passwörter
• Mitarbeiter Arbeitsplätze/Notebooks haben benutzereigene Konten mit Passwort
• In der Softwareanwendung ist ein Rollen- und Berechtigungskonzept integriert

Zugriffskontrolle

Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (einschließlich Verschlüsselungsverfahren):

• Regelung der Benutzerberechtigung: nur berechtigte Personen haben Zugang
• Integriertes Rollenkonzept
• Durch Sicherheitsupdates wird sichergestellt, dass unberechtigte Zugriffe verhindert werden
• Verbindliche Verfahrensrichtlinien zur Vergabe von Berechtigungen
• Die Kommunikationswege sind durch SSL-Verschlüsselung gesichert

2. Integrität

Weitergabekontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (einschließlich Verschlüsselungsverfahren):

• Schutz der Datenleitungen, die bei der Übertragung genutzt werden, durch Verwendung von dem jeweiligen Stand der Technik entsprechenden Firewalls und sichere Verschlüsselungsmethoden
• SSL-Verschlüsselung bei Übertragung sämtlichen Daten
• Überprüfung der Datenübertragung auf Vollständigkeit und Richtigkeit (end-to-end check)

Eingabekontrolle

Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

• Nachweis der Bearbeitungsbefugnisse innerhalb des Unternehmens
• Protokollierung zwecks Überwachung und Verfolgung sämtlicher Datenzugriffe
• Sperrungen des Zugriffs aus rechtlichen oder technischen Gründen

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Feste Zeitintervalle in denen Backups durchgeführt werden
• Einsatz unterbrechungsfreier Stromversorgung im Rechenzentrum
• Betrieb der Cloud als Hochverfügbarkeitssystem
• Permanente Überwachung der Funktionalität der Hardware

Rasche Wiederherstellbarkeit

• Regelmäßige Kontrolle von Backups und testweise Wiederherstellung

4. Auftragskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

• Weisungen haben grundsätzlich in Textform zu erfolgen. mündliche Weisungen des Auftraggebers sind in Textform zu bestätigen
• Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen
• Unterauftragsverhältnisse werden schriftlich beauftragt

5. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

• Jeder Kunde bekommt eine eigene zugewiesene Kunden-ID
• Kundendaten werden ID-spezifisch und logisch voneinander getrennt
• Die Software ist mandantenfähig, damit ist es weder für Kunden noch für Externe möglich auf andere Daten Zugriff zu erlangen als die eigenen ID-spezifizierten Daten

ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

ERLÄUTERUNG:

Dieser Anhang muss im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 7.7 Buchstabe a, Option 1).

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

 

1. Amazon Web Services AWS

 

Name: Amazon Web Services EMEA Sàrl (AWS)

Anschrift: 38 avenue John F. Kennedy, L-1855, Luxemburg

Beschreibung der Verarbeitung: Cloud-Server

Geeignete oder angemessene Garantien:

AWS Data Processing Addendum, Data Privacy Framework Program, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, AWS-SOC-Berichte SOC-1/SOC-2/SOC-3 , PCI DSS Level 1 Zertifizierung, Cloud Computing Compliance Controls Catalog (C5), CISPE (Cloud Infrastructure Services Providers in Europe), EU-Standardvertragsklauseln (SCC), Datenhaltung ausschließlich innerhalb der EU.

 

2. Nylas, Inc

 

Name: Nylas, Inc.

Anschrift: 944 Market Street, San Francisco, CA 94102, USA

Kontakt: support@nylas.com

Beschreibung der Verarbeitung: E-Mail-Synchronisation

Einschränkung: Bei der Synchronisation von Office-365 Accounts kommt Nylas nicht zum Einsatz.

Geeignete oder angemessene Garantien:

Data Processing Agreement, EU-Standardvertragsklauseln (SCC), PCI DSS Compliance, PDC DSS 3.1-compliant, Datenhaltung ausschließlich innerhalb der EU.

 

Weitere informationen unter https://www.nylas.com/blog/-gdpr-at-nylas-privacy-data-security-and-trust/

 

3. FLOWFACT GmbH

 

Name: FLOWFACT GmbH

Anschrift: Holweider Str. 2a, 51065 Köln

Kontakt: datenschutzbeauftragter@flowfact.de

Beschreibung der Verarbeitung: Service und Support für Endanwender

Geeignete oder angemessene Garantien:

Intercompany Agreement

 

4. Zendesk

 

Name: Zendesk Inc.

Anschrift: 1019 Market St., San Francisco, CA 94103, USA

Beschreibung der Verarbeitung: Bereitstellung eines Ticket-Systems zur Bearbeitung von Endanwender Anfragen im Bereich Service und Support

Geeignete oder angemessene Garantien:

EU-Standardvertragsklauseln (SCC), Data Processing Agreement, SSAE-16, SOC 2 Type II, PCI DSS, ISO 27001, Cloud Security Alliance Member, TRUSTe® Privacy Certification, Datenhaltung ausschließlich innerhalb der EU.

 

5. Mobile Push

 

Name: Bird Communications B.V.

Anschrift: Baarsjesweg 285, 1058 AE Amsterdam, Niederland

Beschreibung der Verarbeitung: Erzeugung von Echtzeit-Push-Notifications innerhalb der Propstack Software um Anwender z.B. über neu eingangene E-Mails zu informieren.

Geeignete oder angemessene Garantien:

EU-Standardvertragsklauseln (SCC), Data Processing Agreement, ISO/IEC 27001:2013, SOC Typ II Compliance, Datenhaltung ausschließlich innerhalb der EU

Weitere Informationen finden sich in der MessageBird Securtiy Overview unter https://docs.bird.com/connectivity-platform/data-governance-and-security/messagebird-security-overview

 

6. Mailgun

 

Name: Sinch Germany Munich

Anschrift: Wilhelm-Wagenfeld-Str. 20, 80807 München

Beschreibung der Verarbeitung: Versand von E-Mails an Propstack-Kunden.

Geeignete oder angemessene Garantien:

EU-Standardvertragsklauseln (SCC), Data Processing Agreement, SOC Typ I & II, CCPA Compliance, DSGVO Compliance, HIPAA Compliance, ISO 27001, ISo 17701, PCI DSS

Detaillierte Information zu den Sicherheitsmaßnahmen von Mailgun: https://security.mailgun.com

 

7. Salesforce – Sales Cloud

 

Name: Salesforce.com Germany GmbH

Anschrift: Erika-Mann-Straße 31-27, 80636 München

Beschreibung der Verarbeitung: Verwaltung von Kunden- und Vertragsdaten

Geeignete oder angemessene Garantien:

Intercompany Agreement

 

8. Salesforce – Marketing Cloud

 

Name: Salesforce.com Germany GmbH

Anschrift: Erika-Mann-Straße 31-27, 80636 München

Beschreibung der Verarbeitung: Newsletterversand und Mailings  

Geeignete oder angemessene Garantien:

Intercompany Agreement

9. Sprengnetter Markdatenportal 

 

Name: Sprengnetter Property Valuation Finance GmbH 

Anschrift: Sprengnetter-Campus 1, 53474 Bad Neuenahr-Ahrweiler 

Beschreibung der Verarbeitung: Bestellung und Bereitstellung von Marktdaten, Kartenmaterial und Immobilienbewertungen   

 

Geeignete oder angemessene Garantien: 

Intercompany Agreement 

 

Weitere Informationen unter https://www.sprengnetter.de/datenschutz/ 

 

10. Energieausweis48 

 

Name: Energieausweis48 GmbH 

Anschrift: Venloer Strasse 310-316, 50823 Köln 

Beschreibung der Verarbeitung: Erstellung von Energieausweisen, bestellbar über die Propstack Software.  

 

Geeignete oder angemessene Garantien: 

Data Processing Agreement  

 

11. McGrundriss GmbH & Co. KG 

 

Name: McGrundriss GmbH & Co. KG 

Anschrift: Luise-Ullrich-Straße 14, 80636 München 

Beschreibung der Verarbeitung: Bestellung von Grafiklösungen wie z.B. Grundrisse, Visualisierungen, Innen- und Außenrenderings, Touren, Videorenderings. 

 

Geeignete oder angemessene Garantien: 

Data Processing Agreement