1. Definitionen

1.1 Die folgenden Definitionen erläutern einige der in diesem Nachtrag zu den Nutzungsbedingungen verwendeten Terminologien und Abkürzungen:

„DPA“ bezieht sich auf diese Datenverarbeitungsvereinbarung. „Bedingungen“ bezieht sich auf die Nutzungsbedingungen. „Verarbeiter/Auftragsverarbeiter“ bezieht sich auf PrismaNote. „Verantwortlicher/Verantwortlicher“ bezieht sich auf den registrierten Benutzer der PrismaNote-Dienste. „Verarbeitung“ bezieht sich auf Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Sätzen personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung oder die Verbreitung oder anderweitige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung. „Daten/Daten“ bezeichnet Informationen, die der Verantwortliche dem Auftragsverarbeiter in Bezug auf eine identifizierte oder identifizierbare natürliche Person zur Verfügung stellt; Eine identifizierbare natürliche Person ist eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren spezifischen Merkmalen der physischen, physiologischen, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person. „Betroffene Person“ bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, auf die sich die Daten beziehen. „Datenverstoß“ bezieht sich auf eine Verletzung der Sicherheit, die zu unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übermittelte, gespeicherte oder anderweitige Daten führt verarbeitete Daten.

2. Verarbeitung

2.1 Der Auftragsverarbeiter verpflichtet sich, alle Daten im Einklang mit der DSGVO und anderen geltenden Gesetzen, Satzungen und Vorschriften zu verarbeiten.

2.2 Der Auftragsverarbeiter darf die Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten. Hierin genannte Anweisungen sind in den Bedingungen enthalten oder können in einem anderen schriftlichen Dokument enthalten sein, das zwischen dem Verantwortlichen und dem Auftragsverarbeiter erstellt oder ausgetauscht wird.

2.3 Während der Laufzeit dieser DPA bleibt der Verantwortliche Eigentümer der an den Auftragsverarbeiter übertragenen Daten. Nichts in dieser DPA sollte so ausgelegt werden, dass das Eigentum an den Daten an den Auftragsverarbeiter oder einen anderen Dritten übertragen wird.

2.4 Der Verantwortliche garantiert, dass die Daten in Übereinstimmung mit den geltenden Gesetzen, Satzungen und Vorschriften erhoben werden und dass die vom Verantwortlichen angeforderte Verarbeitung nicht gegen geltende Gesetze, Satzungen oder Vorschriften verstößt.

2.5 Daten können innerhalb der Laufzeit dieser AVV verarbeitet werden.

3. Personal

3.1 Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, Auftragnehmer und anderen Personen, die unter der Aufsicht des Auftragsverarbeiters arbeiten, an eine strenge Vertraulichkeitserklärung gebunden sind, bevor sie ihnen Zugang zu den Daten gewähren.

3.2 Der Auftragsverarbeiter ergreift Maßnahmen, um sicherzustellen, dass eine unter der Aufsicht des Auftragsverarbeiters handelnde Person, die Zugriff auf die Daten hat, diese nicht verarbeitet, außer auf Anweisung des Verantwortlichen.

4. Sicherheit

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen übernimmt der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter unter anderem:

Die Pseudonymisierung und Verschlüsselung der Daten; die Fähigkeit, die fortgesetzte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen; die Fähigkeit, die Verfügbarkeit und den Zugriff auf die Daten im Falle eines physischen oder physischen Schadens rechtzeitig wiederherzustellen Technischer Vorfall; Ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen, die sich insbesondere aus zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf die übermittelten, gespeicherten oder sonst verarbeiteten Daten ergeben .

5. Unterauftragsverarbeiter

5.1 Der Auftragsverarbeiter wird ohne vorherige ausdrückliche oder allgemeine schriftliche Zustimmung des Verantwortlichen keinen anderen Auftragsverarbeiter beauftragen. Mit allgemeiner schriftlicher Zustimmung wird der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen im Hinblick auf die Hinzufügung oder den Austausch anderer Auftragsverarbeiter informieren und dem Verantwortlichen die Möglichkeit geben, solchen Änderungen zu widersprechen. Der Verantwortliche kann solchen Änderungen innerhalb von fünfzehn (15) Tagen nach Erhalt der Änderungsmitteilung schriftlich widersprechen.

5.2 Wenn der Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungsaktivitäten im Namen des Verantwortlichen beauftragt, werden diesem anderen Auftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt dieselben Datenschutzverpflichtungen auferlegt, wie in dieser DPA dargelegt. Es werden ausreichende, geeignete technische und organisatorische Maßnahmen ergriffen, damit die Verarbeitung den Anforderungen der geltenden Gesetze, Satzungen und Vorschriften entspricht. Kommt dieser andere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin in vollem Umfang für die Erfüllung der Pflichten dieses anderen Auftragsverarbeiters.

6. Rechte an Daten

6.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen, um seinen Pflichten nachzukommen, die der Verantwortliche nach vernünftigem Ermessen des Verantwortlichen zur Beantwortung von Ausübungsanfragen erfüllen muss Rechte der betroffenen Personen nach der DSGVO.

6.2 Der Auftragsverarbeiter wird:

Benachrichtigen Sie den Verantwortlichen unverzüglich, wenn der Auftragsverarbeiter oder Unterauftragsverarbeiter eine Anfrage von einer betroffenen Person gemäß der DSGVO oder anderen anwendbaren Gesetzen, Satzungen oder Vorschriften in Bezug auf die Daten erhält; und stellen Sie sicher, dass der Auftragsverarbeiter oder Unterauftragsverarbeiter nicht auf diese Anfrage reagiert, es sei denn, dies erfolgt auf dokumentierte Anweisung des Verantwortlichen oder gemäß geltendem Recht, dem der Auftragsverarbeiter oder Unterauftragsverarbeiter unterliegt. In diesem Fall wird der Auftragsverarbeiter dies im zulässigen Umfang tun Nach geltendem Recht informieren Sie den Verantwortlichen nach Belieben über diese rechtliche Anforderung, bevor der Auftragsverarbeiter oder Unterauftragsverarbeiter auf die Anfrage antwortet.

7. Datenschutzverletzung

7.1 Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn ihm ein Datenleck bekannt wird, das die Daten betrifft. Dabei stellt er dem Verantwortlichen ausreichende Informationen zur Verfügung, damit dieser etwaigen Meldepflichten gegenüber den zuständigen Behörden nachkommen und die betroffenen Personen gegebenenfalls über das Datenleck informieren kann.

7.2 Der Auftragsverarbeiter muss mit dem Verantwortlichen zusammenarbeiten und alle vom Verantwortlichen vorgeschriebenen angemessenen kommerziellen Schritte unternehmen, um bei der Untersuchung, Eindämmung und Wiederherstellung einer solchen Datenschutzverletzung zu helfen.

8. Datenschutz-Folgenabschätzung und Vorberatung

8.1 Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und bei der vorherigen Konsultation mit den zuständigen Datenschutzbehörden. In jedem Fall ausschließlich im Zusammenhang mit der Verarbeitung der Daten durch und unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen, von denen der Verantwortliche vernünftigerweise annimmt, dass sie durch die DSGVO oder gleichwertige Bestimmungen eines anderen anwendbaren Rechts erforderlich sind.

9. Löschung oder Rückgabe von Daten

9.1 Vorbehaltlich der Absätze 9.2 und 9.3 müssen der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter unverzüglich und in jedem Fall innerhalb von dreißig (30) Tagen nach dem Datum der Beendigung der Dienste im Zusammenhang mit der Verarbeitung der Daten (die „Kündigung“) Datum"), löschen Sie es und stellen Sie sicher, dass alle Kopien dieser Daten gelöscht werden.

9.2 Vorbehaltlich Absatz 9.3 kann der Verantwortliche nach eigenem Ermessen durch schriftliche Mitteilung an den Auftragsverarbeiter innerhalb von sieben (7) Tagen nach dem Kündigungsdatum verlangen, dass der Auftragsverarbeiter und alle Unterauftragsverarbeiter eine vollständige Kopie aller Daten an den Auftragsverarbeiter zurücksenden Verantwortlicher durch sichere Dateiübertragung in einem Format, das der Verantwortliche dem Auftragsverarbeiter vernünftigerweise mitgeteilt hat; Und

9.3 Der Auftragsverarbeiter darf die Daten im erforderlichen Umfang und nur für den gesetzlich vorgeschriebenen Zeitraum aufbewahren und stets unter der Voraussetzung, dass der Auftragsverarbeiter die Vertraulichkeit aller dieser Daten gewährleistet und sicherstellt, dass diese Daten nur verarbeitet werden, wenn sie für den oder die Zwecke erforderlich sind die in den geltenden Gesetzen vorgeschriebene Aufbewahrung erfordern und zu keinem anderen Zweck erfolgen.

9.4 Der Auftragsverarbeiter muss dem Verantwortlichen innerhalb von sechzig (60) Tagen nach dem Kündigungsdatum schriftlich erklären, dass der Auftragsverarbeiter diesen Artikel 9 vollständig eingehalten hat.

10. Prüfungsrechte

10.1 Vorbehaltlich der Bestimmungen dieses Artikels 10 stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA erforderlich sind, und erleichtert und befolgt Audits, einschließlich Inspektionen, durch den Verantwortlichen oder einen autorisierten Prüfer durch den Verantwortlichen. Beiträge. bezüglich der Verarbeitung der Daten.

10.2 Informations- und Prüfungsrechte des Verantwortlichen erscheinen nur in Abschnitt 10.1, soweit die Bedingungen ihm nicht anderweitig Informations- und Prüfungsrechte einräumen, die den relevanten Anforderungen der DSGVO entsprechen.

11. Schlussbestimmungen

11.1 Alle Angelegenheiten, die nicht durch diese DPA geregelt sind, unterliegen den Bedingungen oder einer Arbeitserklärung oder einem Auftrag, der zwischen den Parteien dieser DPA abgeschlossen oder ausgetauscht wird.

11.2 Sollte sich herausstellen, dass ein Teil dieser DPA in irgendeiner Hinsicht ungültig, rechtswidrig oder nicht durchsetzbar ist, hat dies keinen Einfluss auf die Gültigkeit oder Durchsetzbarkeit der übrigen Bedingungen.

11.3 Das Versäumnis, ein Recht oder eine Bestimmung dieser DPA auszuüben oder durchzusetzen, stellt keinen Verzicht auf dieses Recht oder diese Bestimmung dar.

11.4 Abschnittsüberschriften im DPA dienen nur der Übersichtlichkeit und haben keine rechtliche oder vertragliche Wirkung.

Anlage 1: Technische und organisatorische Maßnahmen des Auftragsverarbeiters

Der Auftragsverarbeiter ergreift folgende technische und organisatorische Maßnahmen zur Datensicherheit im Sinne des Art. 28 DSGVO:

Vertraulichkeit

Vergabe von BenutzerrechtenErstellung von BenutzerprofilenAuthentifizierung der Benutzer durch Benutzername und PasswortVergebene Passwörter werden beim ersten Login durch sichere individuelle Passwörter ersetztPasswortanforderungen wie Mindestzeichenanzahl und KomplexitätsrichtlinienPasswortschutz durch periodische ÄnderungenAutorisierung nur durch den AdministratorEinsatz von VPN-TechnologieEinsatz von AntivirensoftwareEinsatz von FirewallStändige Updates für Antivirensoftware, Firewall, Betriebssystem und andere SoftwareTrennung von Firmennetzwerk und Gast-WLANAnleitungen zur Regelung der Internet- und E-Mail-Nutzung (private Nutzung untersagt)Verwendung geprüfter und freigegebener DatenträgerRollenbasierte BerechtigungenVerfahrenshinweise zur Aufhebung von ZugriffsrechtenGetrennter Administrator KontenSichere Vernichtung von Dateien und Datenträgern und Verschlüsselung (wir nutzen TSL zur Verschlüsselung)Pseudonymisierung über Kunden-/Benutzernummern

Integrität

Protokoll über die Installation und den Betrieb von IT-Systemen. Sicherstellung der Sicherheit von Protokolldateien (eingeschränkter Zugriff nur für Netzwerkadministratoren). Abschluss eines Vertrags oder eines anderen Rechtsinstruments gemäß Artikel 28 der DSGVO und Einhaltung dieser Vorschriften. Bewertung der getroffenen technischen und organisatorischen Maßnahmen Unterauftragsverarbeiter. Mitarbeiter von PrismaNote sind zur Wahrung der Vertraulichkeit der Daten verpflichtet

Vorsichtsmaßnahmen und Sicherheitsvorkehrungen

BrandschutztürenFeuerlöscher mit geeignetem Löschmittel vorhandenPeriodische Datensicherung

Verfahren zur regelmäßigen Überwachung und Bewertung

Datenschutzmanagement (Datenschutzrichtlinien, IT-Sicherheitsrichtlinien, Datenschutzanweisungen, Beschreibungen von Datenschutzprozessen) Registrierung von Verarbeitungstätigkeiten Regelmäßige Schulung und Sensibilisierung der Mitarbeiter Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses Verpflichtung Dritter zur Wahrung des Datengeheimnisses DPA mit Dritten Dienstleister und Unterauftragsverarbeiter gemäß Artikel 28 DSGVO