Vereinbarung zur Auftragsverarbeitung (AVV) & TOM

Vereinbarung zur Auftragsverarbeitung (AVV)

gemäß Art. 28 Abs. 3 DSGVO

1. Gegenstand und Dauer der Vereinbarung

Der Auftragnehmer (compliance-PS.com) erbringt für den Auftraggeber (Kunde/Behörde) Leistungen im Bereich der digitalen Dokumentation betrieblicher Pflichtschulungen und webbasierter Trainings (WBT). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten, die er ausschließlich im Auftrag und nach Weisung des Auftraggebers verarbeitet. Die Laufzeit entspricht der Dauer des Hauptvertrages.

2. Art und Zweck der Verarbeitung, Art der Daten

• Zweck: Bereitstellung einer Online-Plattform zur Sicherung und Steuerung von Mitarbeiterschulungen inklusive Zertifikatserstellung.
• Art der Daten: Stammdaten (Name, Vorname, E-Mail), Qualifikationsdaten (Testergebnisse, Schulungsfortschritte, Zertifikatsstatus), Protokolldaten (IP-Adresse, Zeitstempel der Nutzung).
• Kategorien betroffener Personen: Beschäftigte (Mitarbeiter/Beamte) des Auftraggebers, ggf. Kunden oder Ansprechpartner des Auftraggebers.

3. Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers.
2. Er stellt sicher, dass die zur Verarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet wurden.
3. Der Auftragnehmer setzt technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO um, um ein angemessenes Schutzniveau zu gewährleisten (siehe Anlage).
4. Er unterstützt den Auftraggeber bei Anfragen betroffener Personen und bei der Einhaltung der Pflichten nach Art. 33 bis 36 DSGVO.
5. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

4. Unterauftragsverhältnisse

1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen (z. B. Hosting-Anbieter, E-Mail-Versanddienste).
2. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.
3. Aktuelle Unterauftragnehmer sind: STRATO AG, Pascalstraße 10, 10587 Berlin.

5. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überprüfen (z. B. durch Auskunftsersuchen oder Begehungen nach angemessener Voranmeldung).

6. Haftung

Es gelten die Haftungsregelungen des Hauptvertrages (AGB), soweit nicht Art. 82 DSGVO unmittelbar eine abweichende Haftung vorschreibt.

Anlage: Technische und organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO für compliance-ps.com

Die folgenden Maßnahmen beschreiben das Sicherheitsniveau für die Verarbeitung von Daten im Rahmen der Ablage und Sicherung von Mitarbeiter- und Schulungsdaten sowie WBT-Plattform.

1. Vertraulichkeit (Schutz vor unbefugter Preisgabe)

• Zutrittskontrolle: Hosting in einem zertifizierten Rechenzentrum (z. B. ISO 27001), physische Absicherung durch Sicherheitsdienst, Videoüberwachung und elektronisches Zutrittssystem.
• Zugangskontrolle: Starke Passwörter und (optional/geplant) Mehrfaktor-Authentifizierung für Administratoren; verschlüsselte Übertragung über HTTPS/TLS 1.2 oder höher.
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Zugriff auf Kundendaten nur zu Supportzwecken und nach Weisung; Protokollierung von Datenzugriffen und Änderungen.
• Trennungskontrolle: Logische Trennung der Datenbestände verschiedener Kunden durch Mandantensysteme oder isolierte Instanzen.
• Datenschutzfreundliche Voreinstellungen: Datensparsamkeit und Erhebung nur erforderlicher Daten.

2. Integrität (Schutz vor unbefugter Änderung)

• Weitergabekontrolle: Datenübermittlung ausschließlich verschlüsselt; sichere Backend-Übertragung, Netzseparierung, Sicherheitsgateways und gehärtete Backendsysteme.
• Administrative Fernwartung: Einsatz von VPN-Tunnels.
• Eingabekontrolle: Nachvollziehbarkeit, welcher Nutzer wann welche Daten im System eingegeben oder geändert hat; Protokollierung und Dokumentation der Eingabeberechtigungen.
• Datenträger- und Löschkonzept: Sichere Ablage inkl. Backups, datenschutzgerechte Lösch- und Zerstörungsverfahren sowie Löschprotokolle.

3. Verfügbarkeit, Belastbarkeit, Desaster Recovery

• Verfügbarkeitskontrolle: Regelmäßige Datensicherung (Backups), Speicherung an geografisch getrenntem Zweitstandort innerhalb Deutschlands.
• Infrastrukturschutz: Firewalls, Schutzsysteme gegen DDoS-Angriffe, Monitoring sowie Redundanz von Technik, Stromversorgung und Kommunikationsverbindungen.
• Wiederherstellbarkeit: Etablierter Prozess zur schnellen Wiederherstellung (Disaster Recovery), inklusive Notfallplan und regelmäßiger Prüfung der Notfalleinrichtungen.

4. Datenschutzorganisation

• Festlegung von Verantwortlichkeiten, Melde- und Freigabeprozessen sowie geeigneter Vertreterregelungen.
• Umsetzung und Kontrolle geeigneter Prozesse, inklusive Schulungsmaßnahmen und Verpflichtung auf Vertraulichkeit.
• Beachtung von Funktionstrennung und interner Aufgabenverteilung.

5. Auftragskontrolle

• Auswahl weiterer Auftragnehmer nur bei geeigneten Garantien zum Datenschutz.
• Abschluss entsprechender AVV mit weiteren Auftragnehmern, einschließlich STRATO.
• Gewährleistung, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Informationssicherheitsmanagement nach ISO 27001.
• Prozess zur Evaluation der technischen und organisatorischen Maßnahmen.
• Prozess für Sicherheitsvorfall-Management und Durchführung technischer Überprüfungen.
• Privacy by Design bei der Entwicklung neuer Funktionen (z. B. Datensparsamkeit in der Dokumentation der Pflichtschulungen und Mitarbeiter).