Introduktion
Die Parteien sind sich darüber einig, dass dieser Auftragsverarbeitungsvertrag ("AVV") die Rechte und Pflichten jeder Partei in Bezug auf die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden im Zusammenhang mit der von INCREASE YOUR SKILLS GmbH bereitgestellten Software und den Leistungen festlegt. Der AVV wird durch Verweis in die Allgemeinen Geschäftsbedingungen (AGB) aufgenommen. Die Parteien sind sich darüber hinaus einig, dass, sofern kein separater, von den Parteien unterzeichneter AVV existiert, dieser AVV die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden regelt.
Die Bestimmungen der AVV-Bedingungen ersetzen alle entgegenstehenden Bestimmungen der INCREASE YOUR SKILLS-Datenschutzerklärung, die andernfalls für die Verarbeitung personenbezogener Daten des Kunden gelten könnten. Aus Gründen der Klarheit und in Übereinstimmung mit den unten definierten Standardvertragsklauseln 2021 gilt, dass soweit diese Anwendung finden, die Standardvertragsklauseln 2021 Vorrang vor allen anderen Bestimmungen dieses AVV haben.
AUFTRAGSVERARBEITUNGSVERTRAG GÜLTIG AB 26. JANUARI 2024
- Parteien
1.1 Kunden är definierad i AGB ("Kunden") och
1.2 INCREASE YOUR SKILLS GmbH (eingetragen unter HRB 33627 beim Amtsgericht Leipzig) med Sitz in der Katharinenstraße 21, 04109 Leipzig, Deutschland ("Anbudsgivare").
- Allmänt
2.1 Kunden och leverantören har ingått ett avtal som gör det nödvändigt för leverantören att bearbeta personrelaterade uppgifter på uppdrag av kunden.
2.2 Denna Auftragsverarbeitungsvereinbarung ("AVV") fastställer de ytterligare villkor och bestämmelser under vilka leverantören kommer att bearbeta personrelaterade uppgifter vid utförandet av sina tjänster inom ramen för avtalet. Denna AVV innehåller de obligatoriska Klauseln, som enligt Art. 28 Abs. 3 der Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung (DSGVO) sowie der korrespondieren gesetzlichen Regelungen im Vereinigten Königreich für Verträge zwischen dem für die Verarbeitung Verantwortlichen (Controller) und dem Auftragsverarbeiter (Processor) erforderlich sind.
2.3 Denna AVV underkastar sig villkoren i avtalet och är en del av avtalet. De i denna AVV använda begreppen har för dem en alltför stor betydelse. Begriffe, die in diesem AVV nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in den AGB des Vertrags gegeben wurde.
2.4 Flera anordningar är en del av detta AVV vars integrerade del. Varje referens till denna AVV trycker på en av dess anordningar.
2.5 Im Falle eines Widerspruchs zwischen einer Bestimmung dieses AVV und einer oder mehrerer Bestimmungen des Vertrags haben in Bezug auf das Datenschutzrecht die Regelungen dieses AVV Vorrang.
- Begreppsbestämmelser
De följande begreppen i denna AVV har följande betydelse:
"Dataskyddsföreskrifter" |
betecknar alla anwendbaren Gesetze und Vorschriften, die sich auf die Verarbeitung personenbezogener Daten zu irgendeinem Zeitpunkt während der Laufzeit dieses AVV beziehen, insbesondere (i) die Datenschutz-Grundverordnung (DSGVO, EU 2016/679, ("DSGVO"); (ii) die UK General Data Protection Regulation ("UK GDPR") in der Fassung des Data Protection Act 2018; (3) die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, wie sie von den EU-Mitgliedstaaten umgesetzt wurde, sowie alle Nachfolgeregelungen und Umsetzungsrechtsakte und sonstige Vorschriften, Leitfäden und Verhaltenskodizes in Bezug auf Datenschutz, in der jeweils aktuellen Fassung. |
"Personrelaterade uppgifter om kunden" |
avser personrelaterade uppgifter, som av leverantören uteslutande för ändamål som rör tillhandahållande av tjänster och på uppdrag av kunden bearbetas. |
"EWR" |
betecknar det europeiska ekonomiska området, även medlemsstaterna i Europeiska unionen samt Island, Liechtenstein och Norge. |
"Standardavtalsklausul" |
bezeichnet die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union an Auftragsverarbeiter in Drittländern (Übermittlung von Daten an den für die Verarbeitung Verantwortlichen), die im Anhang des Beschlusses 2021/914/EU der Kommission vom 4. Juni 2021 enthalten sind und mit dem Nachtrag des Vereinigten Königreichs vom 21. März 2022 angenommen wurden. |
"Underleverantörsarbetare" |
ist ein vom Anbieter beauftragter Auftragnehmer, der im Rahmen der Leistungserbringung personenbezogene Daten verarbeitet. |
"Verantwortlicher", "betroffene Person", "Auftragsverarbeiter", "Verarbeitung", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" |
har den betydelse som ges dem i DSGVO samt i de tillämpliga dataskyddsbestämmelserna i Förenade kungariket. |
4. Bearbetning av personuppgifter
4.1 Die Parteien erkennen an und vereinbaren, dass im Sinne der Datenschutzgesetze und im Hinblick auf die Verarbeitung personenbezogener Daten des Kunden der Anbieter der Auftragsverarbeiter und der Kunde der Verantwortliche ist.
4.2 Der Kunde garantiert und sichert zu, dass: (i) Übermittlung personenbezogener Daten des Kunden an den Anbieter in jeder Hinsicht mit den Datenschutzgesetzen übereinstimmt (insbesondere im Einklang mit den Regeln über die Erhebung und Verwendung der Daten steht); und (ii) die Betroffenen der personenbezogenen Daten des Kunden nach Treu und Glauben und durch angemessene Hinweise über die Verarbeitung informiert wurden (und alle etwaig erforderlichen Zustimmungen dieser Betroffenen sowie alle relevanten Erlaubnisse und Genehmigungen eingeholt und aufrechterhalten wurden), soweit dies nach den Datenschutzgesetzen in Verbindung mit allen Verarbeitungsaktivitäten erforderlich ist, die vom Anbieter und seinen Unterauftragsverarbeitern in Übereinstimmung mit diesem Vertrag durchgeführt werden;
4.3 Leverantören förbinder sig att endast (i) i den mån detta är nödvändigt för tillhandahållandet av tjänsterna, (ii) i överensstämmelse med kundens skriftliga instruktioner och (iii) i överensstämmelse med kraven i dataskyddslagstiftningen bearbeta kundens personuppgifter.
4.4 Kunden har vid användning av tjänsterna rätt att bearbeta personuppgifter i enlighet med kraven i Datenschutzgesetze. Der Kunde stellt sicher, dass alle Anweisungen an den Anbieter in Bezug auf die Verarbeitung von personenbezogenen Daten des Kundens den Datenschutzgesetzen entsprechen.
4.5 Kundens instruktioner till leverantören i fråga om föremålet för och varaktigheten av bearbetningen, arten av och syftet med bearbetningen, arten av personliga uppgifter och kategorierna av berörda personer finns i Bilaga A beskrivna. Zur Vermeidung von Zweifeln erkennen die Parteien an und sind sich darüber einig, dass vorbehaltlich der Ziffer 5, die in diesem AVV und in Bilaga A aufgeführten Verarbeitungsanweisungen eine vollständige und abschließende Auflistung der Anweisungen des Kunden an den Anbieter darstellen.
4.6 Anbudsgivaren har inte rätt att meddela kunden om en av kunden utfärdad anvisning efter vernünftiger Einschätzung des Anbieters wahrscheinlich gegen die Datenschutzgesetze verstoßen würde.
4.7 Anbudsgivaren får inte bearbeta, överföra, modifiera, komplettera eller förändra de personliga uppgifterna för kunden eller de personliga uppgifterna för kunden till tredje part vidareförmedla eller deras vidareförmedling till tredje part, om detta inte är tillåtet enligt bestämmelserna i denna AVV.
4.8 Anbudsgivarens personal, som har bearbetat kundens personuppgifter, informeras om hur konfidentiella kundens personuppgifter är och får en lämplig utbildning om de dataskyddsrättsliga skyldigheterna och ansvarsskyldigheterna. Das eingesetzte Personal unterliegt einer angemessenen Vertraulichkeitsverpflichtung.
4.9 I Anbetracht der Art der Verarbeitung personenbezogener Daten im Rahmen der erbrachten Leistungen muss der Anbieter gemäß Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung oder Beschädigung, unbefugter Offenlegung oder unbefugtem Zugriff auf die personenbezogenen Daten des Kunden. Die Parteien erkennen an und vereinbaren, dass die in diesem AVV und insbesondere in Bilaga B uppführten Sicherheitsmaßnahmen die geeigneten technischen und organisatorischen Maßnahmen darstellen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Leverantören kan ändra de tekniska och organisatoriska åtgärderna jederzeit ohne Vorankündigung, solange er ein vergleichbares oder besseres Sicherheitsniveau sicherstellt. Einzelne Maßnahmen können durch neue Maßnahmen ersetzt werden, die dem gleichen Zweck dienen, ohne das Sicherheitsniveau zum Schutz personenbezogener Daten zu mindern.
4.10 Leverantören stödjer kunden genom lämpliga tekniska och organisatoriska åtgärder, såvida detta är möjligt med hänsyn till arten av bearbetning av kundens personuppgifter, vid uppfyllandet av kundens dataskyddsrättsliga skyldigheter inom ramen för dataskyddslagarna, särskilt i samband med Geltendmachung von Rechten durch betroffene Personen, der Datenschutz-Folgenabschätzungen (i samband med utnyttjande av Anbieters tjänster genom kunden) samt der Kommunikation mit Aufsichtsbehörden (jeweils in Verbindung mit einer Datenschutz-Folgenabschätzung in Verbindung mit den Leistungen des Anbieters).
4.11 Om betroffene Personen, zuständige Behörden oder sonstige Dritte vom Anbieter Informationen über die Verarbeitung personenbezogener Daten des Kunden verlangen, wird der Anbieter diese Anfragen an den Kunden weiterleiten, es sei denn Datenschutzgesetze verbieten eine solche Information; in diesem Fall wird der Anbieter den Kunden vorab über entgegenstehenden gesetzlichen Verpflichtung informieren, sofern dies dem Anbieter zumutbar und gestattet ist.
5. Arbetstagare med underentreprenad
5.1 Kunden tar till sig och förklarar sig därmed införstådd med att Leverantören i samband med Erhållandet av de i Bilaga C näher beschriebenen Unterauftragsverarbeiter einsetzen darf, bei denen es sich um verbundene Unternehmen des Anbieters und/oder Dritte handeln kann.
5.2 Kunden tar till kännedom att leverantören har en allmän tillåtelse att anställa nya underleverantörer, utan att en ytterligare skriftlig, specifik tillåtelse för kunden behöver inhämtas. Voraussetzung hierfür ist, dass der Anbieter den Kunden dreißig (30) Tage vor der Verarbeitung der personenbezogenen Daten des Kunden schriftlich über die Identität des neuen Unterauftragsverarbeiters informiert.
5.3 Möchte der Kunde dem Einsatz des betreffenden Unterauftragsverarbeiters widersprechen, so hat er dies innerhalb von zehn (10) Werktagen nach Erhalt der Benachrichtigung durch den Anbieter schriftlich mitzuteilen. Erhebt der Kunde keine Einwände, so gilt dies als Zustimmung zum Einsatz des betreffenden Unterauftragsverarbeiters.
5.4 Om en ny underleverantör tillkommer, kommer leverantören att vidta alla nödvändiga åtgärder för att ge kunden möjlighet att begära en ändring av tjänsterna eller en ekonomiskt rimlig ändring av tjänsterna för att undvika att kundens personliga uppgifter bearbetas av den berörda nya underleverantören. Om inget annat alternativ är möjligt, har parterna rätt att avsluta avtalet.
5.5 Meddelandet till kunden om en ny underleverantör omfattar även tillhandahållandet av en uppdaterad Bilaga C. Den som tillhandahåller tjänsten är skyldig att göra det, Bilaga C på det senaste stället att hålla.
5.6 Anbudsgivaren förblir gentemot kunden ansvarig för fullgörandet av de skyldigheter som åligger underleverantören.
6. Överföring av uppgifter
6.1 Enligt artikel 28 Abs. 3 (a) DSGVO får leverantören inte överföra några personuppgifter från kunder i länder utanför EWR eller de förenade kungadömena (beroende på användbarhet) och får inte heller tillåta någon underleverantör, eftersom detta är föreskrivet i denna överenskommelse. Um Zweifel auszuschließen, erklärt sich der Kunde hiermit mit der Übertragung und Verarbeitung der personenbezogenen Daten gemäß Bilaga A samtyckt.
6.2 Der Anbieter erkennt an, dass im Einklang mit der DSGVO ein angemessener Schutz für die personenbezogenen Daten nach einer Übermittlung außerhalb des Vereinigten Königreichs oder des EWR (entweder direkt oder über die Weiterübermittlung durch einen Unterauftragsverarbeiter) bestehen muss, und schließt mit dem Kunden und/oder einem Unterauftragsverarbeiter entsprechende Vereinbarungen. Till detta hör de gällande standardavtalsklausulerna, eftersom det finns en annan angemessenhetsmekanism för överföringen (t.ex. EU-US-Data Privacy Framework).
7. Verletzung des Schutzes personenbezogener Daten
7.1 I händelse av en Verletzung des Schutzes personbezogener Daten, die personbezogene Daten des Kunden betrifft, wird der Anbieter:
7.1.1 den Kunden overzüglich (innerhalb von maximal 48 Stunden) benachrichtigen, damit der Kunde die Meldepflichten nach der DSGVO erfüllen kann, und den Kunden angemessen dabei unterstützen, wenn er einer betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitteilen muss. Anbudsgivaren får tillhandahålla relevant information på ett tydligt sätt, när den är tillgänglig. Eine entsprechende Benachrichtigung ist nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens des Anbieters auszulegen.
7.1.2 angemessene Anstrengungen unternehmen, um die Ursache einer solchen Verletzung des Schutzes personenbezogener Daten zu ermitteln och alle Schritte unternehmen, die der Anbieter für angemessen und durchführbar hält, um die Ursache einer solchen Verletzung zu beheben.
7.1.3 förehaltlich der Bestimmungen dieses AVV, den Kunden dessen auf Verlangen, in angemessener Weise bei der Korrektur oder Behebung einer Verletzung des Schutzes personbezogener Daten unterstützen.
8. Förteckning över bearbetningsåtgärder
8.1 Såvida detta på bearbetningen genom den Anbieter för den Kunden zutrifft, hat der Anbieter ein Verzeichnis über alle nach Artikel 30 Abs. 2 DSGVO nödvändiga uppgifter att leda och det dem Kunden på förfrågan till förfogande att ställa.
9. Kontrollbefugnisse
9.1 Leverantören ställer på begäran av kunden lämpliga uppgifter till förfogande, vilka är nödvändiga för att uppfylla sina skyldigheter enligt dataskyddslagstiftningen, och ser till att även hans underleverantörer ställer dessa uppgifter till förfogande, och ger kunden eller en av kunden anlitad kontrollör kontrollen, inklusive inspektionen av hans affärsrum, i förhållande till den bearbetning av personliga uppgifter som kunden gör, förutsatt att en sådan kontrollör inte är någon konkurrent till leverantören.
9.2 Der Kunde hat jede Kontrolle mindestens sechzig (60) Tage im Voraus anzukündigen, es sei denn es besteht eine kürzere Ankündigungsfrist aufgrund anwendbarer Datenschutzgesetze oder der Entscheidung einer zuständigen Datenschutzbehörde. Kontrollens intensitet och omfattning kommer att fastställas enhälligt av parterna efter Treu och Glauben.
9.3 Kunden bär kostnaderna för varje kontroll. Om det vid en prövning konstateras att leverantören har överskridit sina skyldigheter enligt denna AVV, kommer leverantören att överskrida sina egna kostnader utan begränsning.
10. Varaktighet
10.1 Denna AVV förblir i vollem Umfang i Kraft und wirksam, solange:
10.1.1 Avtalet förblir i kraft; eller
10.1.2 Den som tillhandahåller personrelaterade uppgifter om kunden i sin ägo eller under sin kontroll har.
10.2 Alla bestämmelser i detta AVV, som uttryckligen eller stillschweigend, vid eller efter Beendigung des Vertrages in Kraft treten oder fortbestehen sollen, um die personenbezogenen Daten des Kunden zu schützen, bleiben in vollem Umfang in Kraft und wirksam.
11. Återlämnande och förstöring av uppgifter
11.1 Om leverantören på skriftlig begäran av kunden efter att ha erhållit alla personliga uppgifter om kunden raderas eller om kunden återsänds och befintliga kopior raderas, är det därför som det är tvingande enligt lag att ta emot personliga uppgifter om kunden. Om det inte finns någon skriftlig begäran från kunden, löser leverantören ut kundens personuppgifter niozig (90) dagar efter att avtalet undertecknats.
11.2 På kundens begäran meddelar leverantören skriftligen vilka åtgärder som vidtagits avseende kundens personuppgifter.
12. Haftung
12.1 Leverantören kommer att befria kunden från alla kostnader, anspråk, skador eller utgifter, som kunden på grund av ett brott mot dataskyddsrättsliga skyldigheter enligt denna AVV eller dataskyddslagarna enligt artikel 82 DSGVO genom leverantören eller dennes medarbetare, underleverantör eller representant uppstår.
12.2 Utan hänsyn till andra bestämmelser i denna AVV eller i avtalet (särskilt de ersättningsförpliktelser som åligger en part) är ingen part för penningtransaktioner ansvarig, som enligt artikel 83 DSGVO av en tillsynsmyndighet eller statlig instans mot den jeweils andra parten för överträdelser mot dataskyddsbestämmelser som denna andra part har beslutat eller upphävt.
12.3 Före utgången av de i punkt 12.1 angivna lagstadgade skyldigheterna och de i punkt 12.2 angivna begränsningarna gäller att varje part inom ramen för detta AVV har rätt till de i avtalet angivna begränsningarna och begränsningarna. Jede Bezugnahme auf eine "Haftungsbeschränkung" einer Partei im Vertrag ist so auszulegen, dass sie die gesamte Haftung einer Partei und aller ihrer Tochtergesellschaften und verbundenen Unternehmen im Rahmen des Vertrags und dieses AVV umfasst.
13. Dokumentation
13.1 Varje part är ansvarig för efterlevnaden av sina dokumentationskrav, särskilt för upprättandet av en förteckning över bearbetningsåtgärder, i den mån detta är nödvändigt enligt dataskyddsförordningen.
Anhang A
Ändamål och enskildheter vid bearbetning av personrelaterade uppgifter| Syfte med bearbetningen | Detaljer | Gilt för: |
|---|---|---|
SyfteAnge alla ändamål för vilka personuppgifter från leverantören kan bearbetas |
Systemdragning Systemförvaltning Leverans av systeminnehåll enligt den angivna modulen. Se nedan: |
Alla kunder |
| Riktlinjer, Wissensüberprüfung | Kunder som har Policy-modulen (PolicyLite, MetaEngage och MetaPolicy) som abonnent | |
| eLearning, övriga medier | Kunder som har abonnemang på eLearning-modulen (MetaLearning Fusion) | |
| Frågor om skydd | Kunder som har anslutit sig till MetaPrivacy-modulen | |
| Mellanfallsrapporter | Kunder som har anslutit sig till MetaIncident-modulen | |
| Simulerad phishing-kampanj | Kunder som har anslutit sig till MetaPhish | |
| SCORM-översättning till kundens LMS | Kunder som har abonnemang på SCORM-överföring | |
Typer av personuppgifterAnge vilka personuppgifter som kommer att bearbetas av leverantören |
Vorname, Nachname, E-Mail-Adresse, Abteilung, Ausbildungsnachweis | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD vor Ort | |
| LMS-Kennung | Kunder som har abonnemang på SCORM-överföring | |
Kategorier av berörda personerAnge vilka kategorier av berörda personer, vars personrelaterade uppgifter kommer att bearbetas av leverantören |
Mitarbeiter des Kunden, Auftragnehmer, Lieferanten, Partner und/oder verbundene Unternehmen. | Alla kunder i Übereinstimmung med den av leverantören till förfogande ställda uppgifterna om berörda personer. Der Kunde kann dies je nach beabsichtigter Nutzung der Leistungen einschränken. |
FörvärvsarbeteSpecificera alla av leverantören genomzuführenden bearbetningsåtgärder |
Bearbetning och lagring av personrelaterade uppgifter om kunder, så att behöriga användare på MyCompliance-plattformen kan få information och vård. Fördelning av olika meddelande-E-postmeddelanden, som genom MetaCompliance MyCompliance-systemet har lösts ut. | Alla kunder |
| Verteilung von simulierten Phishing-E-Mails, die vom Kunden über die MetaCompliance MyCompliance-Plattform initiiert wurden. | Kunder som har anslutit sig till MetaPhish | |
| Speicherung von personenbezogenen Daten, wenn diese vom Kunden über das MetaCompliance MetaPrivacy-Modul eingegeben werden. | Kunder som har anslutit sig till MetaPrivacy-modulen | |
| Kommunikation med kund-LMS och utvärdering av licensiering | Kunder som har abonnemang på SCORM-överföring | |
Ort för bearbetningsvorgängeAnge alla platser där personuppgifter från leverantören kan bearbetas |
Vereinigtes Königreich (MetaCompliance-gruppen ALSO von Microsoft Azure und Amazon Web Services, wie in Anhang C angegeben) Tyskland (MetaCompliance-gruppen) Dänemark (MetaCompliance-gruppen) Portugal (Meta-överensstämmelsegruppen) Irland (MetaCompliance-gruppen ALSO från Microsoft Azure och Amazon Web Services som anges i bilaga C). Holland (Microsoft Azure enligt bilaga C) Kanada (Microsoft Azure och Amazon Web Services enligt bilaga C) | Alla kunder, soweit zutreffend. Weitere Einzelheiten finden Sie in Anhang C. |
Krav på uppbevarandetGe dig eventuellt upplysningsfristen för de av leverantören angivna personliga uppgifterna om kunden. |
Om ett kundabonnemang upphör eller avslutas kommer alla därmed sammanhängande personuppgifter från kunden att lagras 90 dagar i förväg, innan de faktiskt raderas, för att förhindra en dataförlust vid en korrekt uppsägning. | Alla kunder |
Anhang B
SäkerhetsåtgärderLeverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens bearbetade personuppgifter så att kunden kan uppfylla sina rättsliga skyldigheter, inklusive, men inte begränsat till, säkerhetsåtgärder och dataskyddsriskbedömningar. Åtgärderna måste leda till en lämplig säkerhetsnivå, varvid följande bör beaktas:
(a) Bestående tekniska möjligheter;
(b) kostnaderna för genomförandet av denna åtgärd;
(c) de särskilda risker som är förknippade med bearbetningen av kundens personuppgifter; och
(d) känsligheten hos de personuppgifter som bearbetas av kunden.
Leverantören sörjer för ett tillräckligt skydd av kundens personuppgifter. Leverantören skyddar kundens personuppgifter mot förstöring, förändring, orättmätig spridning eller orättmätig åtkomst. Kundens personliga data är också mot alla andra former av orättmätig bearbetning att skydda. Under beaktande av Stands der Technik und der Implementierungskosten och under beaktande av Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen müssen die vom Anbieter zu treffenden technischen und organisatorischen Maßnahmen Folgendes umfassen:
(a) Pseudonymisering och Verschlüsselung av personliga uppgifter från kunden;
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die personenbezogene Daten des Kunden verarbeiten, zu gewährleisten;
(c) förmågan, tillgängligheten och åtkomsten till personrelaterade uppgifter om kunden i händelse av ett fysiskt eller tekniskt mellanfall under en viss tid återställs; och
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Utöver de ovan nämnda tekniska och organisatoriska åtgärderna omfattas leverantören av följande åtgärder:
(a) ein physischen Zugangsschutz, bei dem Computerausrüstung und entfernbare Daten, die personenbezogene Daten des Kunden enthalten, in den Räumlichkeiten des Anbieters unter Verschluss gehalten werden, wenn sie nicht überwacht werden, um sie vor unbefugter Nutzung, Beeinflussung und Diebstahl zu schützen.
(b) ein Verfahren zur Überprüfung der Rücklesung (läs tillbaka) nach der Wiederherstellung personenbezogener Daten der Kunden aus Sicherungskopien.
(c) eine Berechtigungskontrolle, bei der der Zugriff des Anbieters auf die personenbezogenen Daten des Kunden durch ein technisches System der Berechtigungskontrolle verwaltet wird. Behörigheten är på dem att begränsa, som bestimmungsgemäß med personenbezogenen Daten des Kunden arbeiten. Användarnamn och lösenord är personliga och får inte vidarebefordras till andra personer. Det måste finnas förfaranden för tilldelning och inträde av rättigheter.
(d) Upplysningar om vem som har tillgång till kundens personuppgifter.
(e) eine sichere Kommunikation, bei der externe Datenkommunikationsverbindungen durch technische Funktionen geschützt werden, die sicherstellen, dass die Verbindung autorisiert ist, sowie durch eine Inhaltsverschlüsselung für Daten, die auf Kommunikationskanälen außerhalb der vom Anbieter kontrollierten Systeme übertragen werden.
(f) ein Verfahren zur Gewährleistung einer sicheren Datenvernichtung, wenn ortsfeste oder entfernbare Speichermedien nicht mehr für ihren Zweck verwendet werden sollen.
(g) Routinen för den Abschluss von Vertraulichkeitsvereinbarungen mit Anbietern, die Reparatur- und Wartungsarbeiten an Geräten durchführen, die zur Speicherung personenbezogener Kundendaten verwendet werden.
(h) Rutiner för övervakning av de av Dritten i Räumlichkeiten des Anbieters erbrachten tjänsterna. Speichermedien med kundens personuppgifter är att avlägsna, om en övervakning inte är möjlig.
Anhang C
Zugelassene underleverantörer| Underauftragsverarbeiter | Standort |
|---|---|
| Microsoft Azure (hostet die Dienste in der Cloud) | Holland Irland |
| Amazon Web Services (enligt avtal med "AWS Europe", som avtalsenlig e-postleverantör) | Irland |
| MetaCompliance Limited (erbjuder teknisk kundsupport och kundkontosupport) | Förenade kungadömet |
| MOCH A/S, ett företag i MetaCompliance Group (tillhandahållande av supporttjänster för kunder) | Dänemark |
| MetaCompliance Ireland Ltd är en MetaCompliance-grupp (tillhandahållande av supporttjänster för kunder) | Irland |
| MetaCompliance Ireland Ltd Sucursal | Portugal |