Introduktion
Die Parteien sind sich darüber einig, dass dieser Auftragsverarbeitungsvertrag ("AVV") die Rechte und Pflichten jeder Partei in Bezug auf die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden im Zusammenhang mit der von INCREASE YOUR SKILLS GmbH bereitgestellten Software und den Leistungen festlegt. Der AVV wird durch Verweis in die Allgemeinen Geschäftsbedingungen (AGB) aufgenommen. Die Parteien sind sich darüber hinaus einig, dass, sofern kein separater, von den Parteien unterzeichneter AVV existiert, dieser AVV die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden regelt.
Die Bestimmungen der AVV-Bedingungen ersetzen alle entgegenstehenden Bestimmungen der INCREASE YOUR SKILLS-Datenschutzerklärung, die andernfalls für die Verarbeitung personenbezogener Daten des Kunden gelten könnten. Aus Gründen der Klarheit und in Übereinstimmung mit den unten definierten Standardvertragsklauseln 2021 gilt, dass soweit diese Anwendung finden, die Standardvertragsklauseln 2021 Vorrang vor allen anderen Bestimmungen dieses AVV haben.
AUFTRAGSVERARBEITUNGSVERTRAG GÜLTIG AB 26. JANUAR 2024
- Parteien
1.1 Kunde er i AGB defineret ("Kunde") og
1.2 INCREASE YOUR SKILLS GmbH (eingetragen unter HRB 33627 beim Amtsgericht Leipzig) mit Sitz in der Katharinenstraße 21, 04109 Leipzig, Deutschland ("udbyder").
- Allgemeines
2.1 Kunden og udbyderen har indgået en aftale, der gør det nødvendigt, at udbyderen behandler personrelaterede data i kundens Auftrag.
2.2 Denne Auftragsverarbeitungsvereinbarung ("AVV") fastlægger de yderligere betingelser og regler, under hvilke udbyderen skal verarbejde personrelaterede data i forbindelse med udførelsen af sine ydelser inden for rammerne af aftalen. Denne AVV indeholder de obligatoriske klausuler, som i henhold til Art. 28 Abs. 3 der Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung (DSGVO) sowie der korrespondieren gesetzlichen Regelungen im Vereinigten Königreich für Verträge zwischen dem für die Verarbeitung Verantwortlichen (Controller) und dem Auftragsverarbeiter (Processor) erforderlich sind.
2.3 Denne AVV underlægger sig betingelserne i aftalen og er en del af aftalen. De i denne AVV anvendte begreber har den for dem relevante betydning. Begriffe, die in diesem AVV nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in den AGB des Vertrags gegeben wurde.
2.4 Etwaige Anhänge sind Teil dieses AVV dessen integraler Bestandteil. Hvert tryk på denne AVV lukker sine anhæng med et.
2.5 I tilfælde af et modsætningsforhold mellem en bestemmelse i denne AVV og en eller flere bestemmelser i aftalen har bestemmelserne i denne AVV forrang i forhold til databeskyttelsesretten.
- Begriffsbestimmungen
De følgende begreber i denne AVV har følgende betydning:
"Datenschutzgesetze" |
bezeichnet alle anwendbaren Gesetze und Vorschriften, die sich auf die Verarbeitung personenbezogener Daten zu irgendeinem Zeitpunkt während der Laufzeit dieses AVV beziehen, insbesondere (i) die Datenschutz-Grundverordnung (DSGVO, EU 2016/679, ("DSGVO"); (ii) die UK General Data Protection Regulation ("UK GDPR") in der Fassung des Data Protection Act 2018; (3) die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, wie sie von den EU-Mitgliedstaaten umgesetzt wurde, sowie alle Nachfolgeregelungen und Umsetzungsrechtsakte und sonstige Vorschriften, Leitfäden und Verhaltenskodizes in Bezug auf Datenschutz, in der jeweils aktuellen Fassung. |
"Personrelaterede data om kunden" |
betegner personrelaterede data, som af udbyderen udelukkende behandles med henblik på at opnå ydelser og i kundens Auftrag. |
"EWR" |
betegner det europæiske økonomiske rum, også medlemsstaterne i Den Europæiske Union samt Island, Liechtenstein og Norge. |
"Standardvertragsklausel" |
bezeichnet die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union an Auftragsverarbeiter in Drittländern (Übermittlung von Daten an den für die Verarbeitung Verantwortlichen), die im Anhang des Beschlusses 2021/914/EU der Kommission vom 4. Juni 2021 enthalten sind und mit dem Nachtrag des Vereinigten Königreichs vom 21. März 2022 angenommen wurden. März 2022 angenommen wurden. |
"Unterauftragsverarbeiter" |
er en af udbyderen bestilt opdragsgiver, der i forbindelse med levering af ydelser behandler personrelaterede data. |
"Verantwortlicher", "betroffene Person", "Auftragsverarbeiter", "Verarbeitung", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" |
have die Bedeutung, die ihnen in der DSGVO sowie in den einschlägigen Datenschutzgesetzen im Vereinigten Königreich gegeben wird. |
4. Verarbeitung von personenbezogenen Daten
4.1 Die Parteien erkennen an und vereinbaren, dass im Sinne der Datenschutzgesetze und im Hinblick auf die Verarbeitung personenbezogener Daten des Kunden der Anbieter der Auftragsverarbeiter und der Kunde der Verantwortliche ist.
4.2 Der Kunde garantiert und sichert zu, dass: (i) die Übermittlung personenbezogener Daten des Kunden an den Anbieter in jeder Hinsicht mit den Datenschutzgesetzen übereinstimmt (insbesondere im Einklang mit den Regeln über die Erhebung und Verwendung der Daten steht); und (ii) die Betroffenen der personenbezogenen Daten des Kunden nach Treu und Glauben und durch angemessene Hinweise über die Verarbeitung informiert wurden (und alle etwaig erforderlichen Zustimmungen dieser Betroffenen sowie alle relevanten Erlaubnisse und Genehmigungen eingeholt und aufrechterhalten wurden), soweit dies nach den Datenschutzgesetzen in Verbindung mit allen Verarbeitungsaktivitäten erforderlich ist, die vom Anbieter und seinen Unterauftragsverarbeitern in Übereinstimmung mit diesem Vertrag durchgeführt werden;
4.3 Leverandøren forpligter sig til kun at behandle kundens personrelaterede data (i) såfremt dette er nødvendigt for at kunne levere ydelserne, (ii) i overensstemmelse med kundens skriftlige anvisninger og (iii) i overensstemmelse med kravene i databeskyttelseslovgivningen.
4.4 Kunden har ved brug af ydelserne de personlige data i overensstemmelse med kravene i Datenschutzgesetze at verarbejde. Der Kunde stellt sicher, dass alle Anweisungen an den Anbieter in Bezug auf die Verarbeitung von personenbezogenen Daten des Kunden den Datenschutzgesetzen entsprechen.
4.5 Die Anweisungen des Kunden an den Anbieter in Bezug auf den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Bilag A beskrevet. Zur Vermeidung von Zweifeln erkennen die Parteien an und sind sich darüber einig, dass vorbehaltlich der Ziffer 5, die in diesem AVV und in Anhang A aufgeführten Verarbeitungsanweisungen eine vollständige und abschließende Auflistung der Anweisungen des Kunden an den Anbieter darstellen.
4.6 Leverandøren er ikke forpligtet til at underrette kunden, hvis en af kunden udleveret anvisning efter en fornuftig vurdering af leverandøren er i strid med databeskyttelsesreglerne.
4.7 Leverandøren må ikke verarbejde, overføre, modificere, supplere eller ændre kundens persondata eller videregive eller videreudlevere kundens persondata til tredjepart, hvis dette ikke er i overensstemmelse med bestemmelserne i denne AVV.
4.8 Das Personal des Anbieters, das mit der Verarbeitung der personenbezogenen Daten des Kunden befasst ist, wird über die Vertraulichkeit der personenbezogenen Daten des Kunden informiert und erhält eine angemessene Schulung zu den datenschutzrechtlichen Pflichten und Verantwortlichkeiten. Das eingesetzte Personal unterliegt einer angemessenen Vertraulichkeitsverpflichtung.
4.9 Med hensyn til arten af forarbejdning af personrelaterede data inden for rammerne af de erobrede ydelser skal udbyderen i henhold til artikel 32 i DSGVO træffe egnede tekniske og organisatoriske foranstaltninger for at garantere sikkerheden ved forarbejdning, herunder beskyttelse af ubefugtet eller ubefugtet forarbejdning samt kontrol af ubefugtet eller ubefugtet berøring, tab, ændring eller beskadigelse, ubefugtet offentliggørelse eller ubefugtet adgang til kundens personrelaterede data. Parterne erkender og accepterer, at de i denne AVV og især i Bilag B sikkerhedsforanstaltninger de egnede tekniske og organisatoriske foranstaltninger udgør, for at et dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Leverandøren kan ændre de tekniske og organisatoriske foranstaltninger jederzeit ohne Vorankündigung, solange er ein vergleichbares oder besseres Sicherheitsniveau sicherstellt. Einzelne Maßnahmen können durch neue Maßnahmen ersetzt werden, die dem gleichen Zweck dienen, ohne das Sicherheitsniveau zum Schutz personenbezogener Daten zu mindern.
4.10 Leverandøren støtter kunden gennem egnede tekniske og organisatoriske foranstaltninger, såfremt dette under hensyntagen til arten af bearbejdningen af kundens persondata er muligt, ved opfyldelsen af kundens databeskyttelsesretlige forpligtelser inden for rammerne af databeskyttelsesreglerne, især i forbindelse med geltendgørelsen af rettigheder gennem berørte personer, i forbindelse med databeskyttelsesforpligtelser (i forbindelse med udnyttelsen af leverandørens ydelser gennem kunden) samt i forbindelse med kommunikationen med tilsynsmyndighederne (i forbindelse med en databeskyttelsesforpligtelse i forbindelse med leverandørens ydelser).
4.11 Hvis betroede personer, kompetente myndigheder eller andre tredjeparter fra udbyderen anmoder om oplysninger om bearbejdning af personrelaterede data fra kunden, vil udbyderen videreformidle disse forespørgsler til kunden, da databeskyttelsesreglerne foreskriver en sådan information; i dette tilfælde vil udbyderen informere kunden om den gældende lovbestemte forpligtelse, såfremt dette er tilladt og godkendt af udbyderen.
5. Underleverandør af arbejde
5.1 Kunden tager til efterretning og erklærer sig dermed indforstået med, at udbyderen i forbindelse med opnåelse af de ydelser, der er anført i Bilag C näher beschriebenen Unterauftragsverarbeiter einsetzen darf, bei denen es sich um verbundene Unternehmen des Anbieters und/oder Dritte handeln kann.
5.2 Kunden tager til efterretning, at udbyderen har den generelle tilladelse til at ansætte nye underleverandørarbejdere, uden at en yderligere skriftlig, specifik tilladelse fra kunden er nødvendig. Voraussetzung hierfür ist, dass der Anbieter den Kunden dreißig (30) Tage vor der Verarbeitung der personenbezogenen Daten des Kunden schriftlich über die Identität des neuen Unterauftragsverarbeiters informiert.
5.3 Möchte der Kunde dem Einsatz des betreffenden Unterauftragsverarbeiters widersprechen, so hat er dies innerhalb von zehn (10) Werktagen nach Erhalt der Benachrichtigung durch den Anbieter schriftlich mitzuteilen. Erhebt der Kunde keine Einwände, so gilt dies als Zustimmung zum Einsatz des betreffenden Unterauftragsverarbeiters.
5.4 Såfremt kunden ønsker at ansætte en ny underleverandør, vil udbyderen foretage alle nødvendige ændringer, for at kunden kan få stillet en ændring af ydelserne til rådighed eller anbefale en økonomisk hensigtsmæssig ændring af ydelserne, for at undgå at kundens persondata behandles af den pågældende nye underleverandør. Hvis intet alternativ er muligt, har parterne ret til at ophæve aftalen.
5.5 Meddelelsen fra udbyderen til kunden om en ny underleverandør omfatter også levering af et opdateret Bilag C. Leverandøren er forpligtet, Bilag C på den nyeste stand at holde.
5.6 Leverandøren forbliver ansvarlig over for kunden for opfyldelsen af forpligtelserne for underleverandøren.
6. Dataoverførsel
6.1 Gemäß Artikel 28 Abs. 3 (a) DSGVO må udbyderen ikke overføre personlige data fra kunder i lande uden for EWR eller de forenede kongeriger (je nach Anwendbarkeit) og må heller ikke tillade nogen underleverandør, da dette er forudset i denne aftale. Um Zweifel auszuschließen, erklärt sich der Kunde hiermit mit der Übertragung und Verarbeitung der personenbezogenen Daten gemäß Bilag A einverstanden.
6.2 Leverandøren erkender, at der i overensstemmelse med DSGVO skal være en passende beskyttelse af de personlige data efter en videregivelse uden for det forenede kongerige eller EWR (enten direkte eller via en underleverandørs videreoverdragelse), og indgår med kunden og/eller en underleverandørs tilsvarende aftaler. Dazu gehören die geltenden Standardvertragsklauseln, es sei denn, es besteht ein anderer Angemessenheitsmechanismus für die Übermittlung (z.B. das EU-US-Data Privacy Framework).
7. Verletzung des Schutzes personenbezogener Daten
7.1 I tilfælde af en Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft, wird der Anbieter:
7.1.1 den Kunden unverzüglich (innerhalb von maximal 48 Stunden) benachrichtigen, damit der Kunde die Meldepflichten nach der DSGVO erfüllen kann, und den Kunden angemessen dabei unterstützen, wenn er einer betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitteilen muss. Leverandøren må kun stille de relevante oplysninger til rådighed, hvis de er tilgængelige. Eine entsprechende Benachrichtigung ist nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens des Anbieters auszulegen.
7.1.2 angemessene Anstrengungen unternehmen, um die Ursache einer solchen Verletzung des Schutzes personenbezogener Daten zu ermitteln und alle Schritte unternehmen, die der Anbieter für angemessen und durchführbar hält, um die Ursache einer solchen Verletzung zu beheben.
7.1.3 vorbehaltlich der Bestimmungen dieses AVV, den Kunden dessen auf Verlangen, in angemessener Weise bei der Korrektur oder Behebung einer Verletzung des Schutzes personenbezogener Daten unterstützen.
8. Verzeichnis von Verarbeitungstätigkeiten
8.1 Såfremt dette på den Verarbeitung durch den Anbieter für den Kunden zutrifft, hat der Anbieter ein Verzeichnis über alle nach Artikel 30 Abs. 2 DSGVO nødvendige oplysninger at føre og det dem Kunden på forespørgsel til rådighed at stille.
9. Kontrolbefugnisse
9.1 Leverandøren stiller på forespørgsel passende oplysninger til rådighed for kunden, som er nødvendige for beviset for overholdelse af dennes databeskyttelsesforpligtelser i henhold til databeskyttelsesloven, og sørger for, at også dennes underleverandør stiller disse oplysninger til rådighed, og giver kunden eller en af kundens underleverandører kontrol, herunder inspektionen af dennes forretningsområder, i forbindelse med bearbejdningen af kundens persondata, forudsat at en sådan kontrollør ikke er en konkurrent til leverandøren.
9.2 Der Kunde hat jede Kontrolle mindestens sechzig (60) Tage im Voraus anzukündigen, es sei denn es besteht eine kürzere Ankündigungsfrist aufgrund anwendbarer Datenschutzgesetze oder der Entscheidung einer zuständigen Datenschutzbehörde. Die Häufigkeit und der Umfang der Kontrollen werden von den Parteien nach Treu und Glauben einvernehmlich festgelegt.
9.3 Kunden bærer omkostningerne for enhver kontrol. Hvis der ved en prøvelse konstateres, at udbyderen har tilsidesat sine forpligtelser i henhold til denne AVV, vil udbyderen tilsidesætte sine egne omkostninger.
10. Laufzeit
10.1 Dieser AVV bleibt in vollem Umfang in Kraft und wirksam, solange:
10.1.1 Aftalen forbliver i kraft; eller
10.1.2 Anbyderen har personrelaterede data fra kunden i sin besiddelse eller under sin kontrol.
10.2 Alle bestemmelser i denne AVV, som udtrykkeligt eller stillestående, ved eller efter aftalens indgåelse skal træde i kraft eller videreføres, for at beskytte kundens personlige data, forbliver i fuldt omfang i kraft og virksomme.
11. Tilbagekaldelse og destruktion af data
11.1 Hvis udbyderen på skriftlig anmodning fra kunden efter afslutningen af udførelsen af ydelserne sletter alle kundens persondata eller giver dem tilbage og sletter de eksisterende kopier, er det fordi, at opbevaringen af kundens persondata er lovpligtig. Hvis der ikke er nogen skriftlig anmodning fra kunden, sletter udbyderen kundens personlige data nioghalvfems (90) dage efter aftalens indgåelse.
11.2 På kundens anmodning oplyser udbyderen skriftligt, hvilke foranstaltninger der er truffet med hensyn til kundens personlige data.
12. Haftung
12.1 Leverandøren fritager kunden for alle omkostninger, krav, skader eller udgifter, som kunden på grund af et brud på de databeskyttelsesretlige forpligtelser i denne AVV eller i databeskyttelsesforskrifterne i henhold til artikel 82 i DSGVO pådrager sig gennem leverandøren eller dennes medarbejdere, underleverandører eller repræsentanter.
12.2 Uden hensyntagen til andre bestemmelser i denne AVV eller i aftalen (især Entschädigungsverpflichtungen einer Partei) er ingen Partei for Geldbußen ansvarlig, som i henhold til artikel 83 DSGVO fra en tilsynsmyndighed eller statslig instans mod den jeweils anden Partei for Verstöße mod Datenschutzgesetze dieser anderen Partei verhängt eller erhoben werden.
12.3 Vorbehaltlich der in Ziffer 12.1 dargelegten gesetzlichen Pflichten und der in Ziffer 12.2 dargelegten Beschränkungen unterliegt die Haftung jeder Partei im Rahmen dieses AVV den im Vertrag dargelegten Haftungsausschlüssen und -beschränkungen. Jede Bezugnahme auf eine "Haftungsbeschränkung" einer Partei im Vertrag ist so auszulegen, dass sie die gesamte Haftung einer Partei und aller ihrer Tochtergesellschaften und verbundenen Unternehmen im Rahmen des Vertrags und dieses AVV umfasst.
13. Dokumentation
13.1 Hver part er ansvarlig for at overholde sine dokumentationspligter, især for at udarbejde en fortegnelse over forarbejdningstakter, såfremt dette er påkrævet i henhold til databeskyttelsesreglerne.
Anhang A
Formål og enkeltheder i bearbejdning af personrelaterede data| Gegenstand der Verarbeitung | Detaljer | Gilt für: |
|---|---|---|
FormålAngiv alle formål, som leverandørens persondata skal behandles til |
Systemzugang Systemadministration Levering af Systeminhold entsprechend der abonnierten Module. Se nedenfor: |
Alle kunder |
| Retningslinjer, Wissensüberprüfung | Kunder, der har Policy-modulet (PolicyLite, MetaEngage og MetaPolicy) som abonnement | |
| eLearning, andre medier | Kunder, der har abonneret på eLearning-modulet (MetaLearning Fusion) | |
| Datenschutz-Umfragen | Kunder, der har tilmeldt sig MetaPrivacy-modulet | |
| Zwischenfallberichte | Kunder, der har abonneret på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der har abonneret på MetaPhish | |
| SCORM-overførsel til kundens LMS | Kunder, der har abonneret på SCORM-overførsel | |
Typer af personlige dataGiv os de personlige data, som leverandøren vil behandle. |
Vorname, Nachname, E-Mail-Adresse, Abteilung, Ausbildungsnachweis | Alle kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller AD vor Ort | |
| LMS-Kennung | Kunder, der har abonneret på SCORM-overførsel | |
Kategorier af berørte personerAngiv de kategorier af berørte personer, hvis personrelaterede data behandles af udbyderen. |
Kundens medarbejder, opdragsgiver, leverandør, partner og/eller tilknyttet virksomhed. | Alle kunder i Übereinstimmung med den af udbyderen til rådighed stillede data om berørte personer. Der Kunde kann dies je nach beabsichtigter Nutzung der Leistungen einschränken. |
Verarbeitende TätigkeitenSpecificer alle de forarbejdningsprocesser, som udbyderen gennemfører |
Verarbeitung und Speicherung personenbezogener Daten von Kunden, um Konten Autorisierter Nutzer auf der MyCompliance-Plattform einzurichten und zu pflegen. Verteilung verschiedener Benachrichtigungs-E-Mails, die durch das MetaCompliance MyCompliance-System ausgelöst werden. | Alle kunder |
| Verteilung von simulierten Phishing-E-Mails, die vom Kunden über die MetaCompliance MyCompliance-Plattform initiiert wurden. | Kunder, der har abonneret på MetaPhish | |
| Speicherung von personenbezogenen Daten, wenn diese vom Kunden über das MetaCompliance MetaPrivacy-Modul eingegeben werden. | Kunder, der har tilmeldt sig MetaPrivacy-modulet | |
| Kommunikation med kunden - LMS og evaluering af licensbetalingen | Kunder, der har abonneret på SCORM-overførsel | |
Ort der VerarbeitungsvorgängeAngiv alle steder, hvor de personlige data fra udbyderen kan behandles |
Vereinigtes Königreich (MetaCompliance Group ALSO von Microsoft Azure und Amazon Web Services, wie in Anhang C angegeben) Deutschland (MetaCompliance-Gruppe) Dänemark (MetaCompliance-Gruppe) Portugal (MetaCompliance-Gruppe) Irland (MetaCompliance Group ALSO von Microsoft Azure und Amazon Web Services wie in Anhang C angegeben). Holland (Microsoft Azure wie in Anhang C angegeben) Kanada (Microsoft Azure und Amazon Web Services wie in Anhang C angegeben) | Alle kunder, soweit zutreffend. Weitere Einzelheiten finden Sie in Anhang C. |
Krav til opbevaringGiv eventuelt kunden en opsigelsesfrist for de af udbyderen gemte persondata. |
Hvis et kundeabonnement er blevet afviklet eller opsagt, vil alle dermed forbundne persondata fra kunden blive opbevaret i 90 dage, før de faktisk bliver slettet, for at forhindre et datafrafald ved versehentlicher Kündigung. | Alle kunder |
Anhang B
SikkerhedsforanstaltningerLeverandøren er forpligtet til at træffe egnede tekniske og organisatoriske foranstaltninger til beskyttelse af kundens verificerede persondata, således at kunden kan støttes i opfyldelsen af sine juridiske forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og vurderinger af sikkerhedsrisici. Tiltagene skal føre til et passende sikkerhedsniveau, hvor følgende er at bemærke:
(a) eksisterende tekniske muligheder;
(b) de omkostninger, der er forbundet med gennemførelsen af denne foranstaltning;
(c) de særlige risici, der er forbundet med behandlingen af kundens persondata; og
(d) die Sensibilität der personenbezogenen Daten der Kunden, die verarbeitet werden.
Leverandøren sørger for en passende beskyttelse af kundens personlige data. Leverandøren beskytter kundens persondata mod ødelæggelse, ændring, uberettiget udbredelse eller uberettiget adgang. Kundens persondata kan også beskyttes mod alle andre former for uretmæssig behandling. Under hensyntagen til teknikkens standpunkter og implementeringskosten og under hensyntagen til forarbejdningens art, omfang, kontekst og formål samt forskellige sandfærdige og tungtvejende risici for naturlige personers rettigheder og friheder, må de af udbyderen tildelte tekniske og organisatoriske foranstaltninger omfatte følgende:
(a) die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten des Kunden;
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die personenbezogene Daten des Kunden verarbeiten, zu gewährleisten;
(c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
(d) en procedure til regelmæssig undersøgelse, vurdering og evaluering af anvendeligheden af tekniske og organisatoriske foranstaltninger til sikring af sikkerheden i forarbejdningen.
Ud over de ovenfor nævnte tekniske og organisatoriske foranstaltninger har udbyderen følgende foranstaltninger:
(a) einen physischen Zugangsschutz, bei dem Computerausrüstung und entfernbare Daten, die personenbezogene Daten des Kunden enthalten, in den Räumlichkeiten des Anbieters unter Verschluss gehalten werden, wenn sie nicht überwacht werden, um sie vor unbefugter Nutzung, Beeinflussung und Diebstahl zu schützen.
(b) en procedure til kontrol af tilbagelæsning efter genskabelse af personrelaterede data om kunden fra sikkerhedskopier.
(c) en berettigelseskontrol, ved hvilken Anbieters Zugriff på Kundens Personlige Data gennem et teknisk System til berettigelseskontrol bliver forvaltet. Die Berechtigung ist auf diejenigen zu beschränken, die bestimmungsgemäß mit personenbezogenen Daten des Kunden arbeiten. Brugeroplysninger og adgangskoder er personlige og må ikke videregives til andre personer. Der skal være procedurer til rådighed for tildeling og inddragelse af rettigheder.
(d) Aufzeichnungen darüber führen, wer Zugang zu den personenbezogenen Daten des Kunden hat.
(e) eine sichere Kommunikation, bei der externe Datenkommunikationsverbindungen durch technische Funktionen geschützt werden, die sicherstellen, dass die Verbindung autorisiert ist, sowie durch eine Inhaltsverschlüsselung für Daten, die auf Kommunikationskanälen außerhalb der vom Anbieter kontrollierten Systeme übertragen werden.
(f) ein Verfahren zur Gewährleistung einer sicheren Datenvernichtung, wenn ortsfeste oder entfernbare Speichermedien nicht mehr für ihren Zweck verwendet werden sollen.
(g) Routinen für den Abschluss von Vertraulichkeitsvereinbarungen mit Anbietern, die Reparatur- und Wartungsarbeiten an Geräten durchführen, die zur Speicherung personenbezogener Kundendaten verwendet werden.
(h) Routinen für die Überwachung der von Dritten in den Räumlichkeiten des Anbieters erbrachten Dienstleistungen. Spejlmedier med kundens personlige data skal fjernes, hvis en overvågning ikke er mulig.
Anhang C
Tiltrækning af underleverandørarbejdere| Unterauftragsverarbeiter | Standort |
|---|---|
| Microsoft Azure (hoster tjenesterne i skyen) | Holland Irland |
| Amazon Web Services (under kontrakt med "AWS Europe", som vertraglicher E-Mail Provider) | Irland |
| MetaCompliance Limited (tilbyder teknisk kundesupport og kundekonto-support) | Vereinigtes Königreich |
| MOCH A/S, ein Unternehmen der MetaCompliance Group (Bereitstellung von Support-Dienstleistungen für Kunden) | Dänemark |
| MetaCompliance Ireland Ltd er en MetaCompliance-gruppe (levering af supportydelser til kunder). | Irland |
| MetaCompliance Ireland Ltd Sucursal | Portugal |