Anlage 1 Auftragsverarbeitungsvertrag

 

Vereinbarung über Auftragsverarbeitung zwischen der payever GmbH, Rödingsmarkt 20, 20459 („payever“) und ihrem Geschäftskunden

Präambel

  1. Anwendungsbereich

    Bei der Erbringung der Leistungen gemäß den Allgemeinen Geschäftsbedingungen Geschäftskunden („Hauptvertrag“) verarbeitet payever personenbezogene Daten, die der Geschäftskunde als Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.

  2. Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers

    1. payever wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern payever nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt payever dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
    2. Die Verarbeitung von Auftraggeber-Daten durch payever erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser Anlage spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
    3. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
    4. Die Weisungen erschöpfen sich in den Inhalten des Hauptvertrags und dieser Anlage, falls nicht zwingende datenschutzrechtliche Vorschriften weitere Weisungen erforderlich machen.
  3. Anforderungen an Personal

    1. payever hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
    2. payever stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten; es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
  4. Sicherheit der Verarbeitung

    1. payever ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
    2. payever hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2 zu dieser Anlage spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten oder durch mindestens gleichwertige Maßnahmen zu ersetzen sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
  5. Inanspruchnahme weiterer Auftragsverarbeiter

    1. Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch payever. Die gegenwärtig von payever eingesetzten weiteren Auftragsverarbeiter sind in Anhang 3 genannt.
    2. payever wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren, indem es eine E-Mail an die im payever-Account hinterlegte E-Mailaddresse sendet. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung innerhalb von 4 Wochen Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist payever die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird payever die Liste der Unterauftragnehmer in Anhang 3 entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.
    3. payever wird jedem weiteren Auftragsverarbeiter vertraglich Datenschutzpflichten auferlegen, die den in dieser Anlage in Bezug auf payever festgelegten Pflichten mindestens gleichwertig sind.
  6. Rechte der betroffenen Personen

    1. payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
    2. payever wird insbesondere den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an payever wenden sollte.
  7. Sonstige Unterstützungspflichten payevers

    1. payever meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.
    2. Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird payever den Auftraggeber auf dessen Anfrage gegen Entgelt unterstützen, diese Pflichten einzuhalten.
    3. payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
  8. Datenlöschung und -zurückgabe

    payever wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages, alle Auftraggeber-Daten entweder löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung payevers zur weiteren Speicherung der Auftraggeber-Daten besteht.

    1. Nachweise und Überprüfungen

      1. payever erklärt sich damit einverstanden, dass der Auftraggeber nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort, die im Rahmen der üblichen Geschäftszeiten auf eigene Kosten des Auftraggebers und ohne Störung des Betriebsablaufs erfolgen.
      2. payever erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand.

Datum [20.05.2018]

 

Anhang 1 – Informationen zur Datenverarbeitung

 

Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen

 

Zweck der Datenverarbeitung Kundenmanagement, Auftrags/-abwicklung/-verwaltung/-historie, Statistik/Umsatzanalysen, Werbemaßnahmen
Art und Umfang der Datenverarbeitung Datenverarbeitung im jeweils für den Service beschriebenen Umfang, insofern gelten die Details der Servicebeschreibung. Drei grundlegende Formen der Services bzw. Datenverarbeitungen sind zu unterscheiden:

  • Datenverarbeitungen, die eine Bestellung oder Transaktion auslösen bzw. abwickeln
  • Datenverarbeitungen, die mit nachgelagerten Maßnahmen (z.B. Bezahlabwicklung, Bestellinformationen, Kundenverwaltung, Versandabwicklung, Analysen, etc.) zusammenhängen
  • Datenverarbeitungen für verkaufsfördernde Maßnahmen, also insbesondere Datenverarbeitungen im Rahmen der Marketing- und Vertriebsunterstützung.
Art der Daten Kontaktinformationen, Adressdaten, Inhalte von Messenger-kommunikation, Vertragsstammdaten, Zahlungsinformation und weitere für den Bezahlprozess relevante persönliche Daten (z.B. für eine Kreditanfrage), persönliche Verhältnisse, Interessen und Vorlieben.
Kreis der Betroffenen Kunden, Interessenten, Besucher, Lieferanten

 

Anhang 2 – Technische und organisatorische Maßnahmen payevers

payever wird unter Berücksichtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu erreichen. . Zu diesen Maßnahmen gehören:

Infrastruktur und physische Sicherheitsmaßnahmen:

Die Daten des Auftraggebers werden in externen Datencenterparks gespeichert, die nach dem international anerkannten Standard für Informationssicherheit DIN ISO/IEC 27001 zertifiziert sind. Zu den physischen Sicherheitsmaßnahmen gehören u.a.:

  • Bauliche Maßnahmen (Zäune, Überwachungskameras, verschlossene Türen, Tore und Fenster, etc.)
  • Unterbrechungsfreie Stromversorgung
  • Modernes Brandfrühesterkennungssystem
  • Einrichtung von Zutrittsberechtigungen für Angestellte und Dritte, einschließlich der jeweiligen Dokumentation
  • Identitäts- oder Codekartenausweise
  • Bestimmte Sicherheitsbereiche mit eigenen Zutrittskontrollen („closed shops“)
  • Regeln und Vorschriften für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
  • 24/7 Betreuung durch qualifiziertes Fachpersonal
  • Installationsarbeiten durch qualifizierte Techniker

 

Sicherheitsmaßnahmen interner Netzwerke:

payever hat ein sicheres internes Netzwerk für die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten und wartet dieses. Hierzu schützt payever den Datenaustausch zwischen den Datacentern mit VPN und zwischen einzelnen payever Service-Komponenten mit SSL. Für die interne Verarbeitung von vertraulichen und sensiblen Daten verwendet payever ein sicheres Verschlüsselungsverfahren (RSA 4096bit).

payever implementiert und wartet zudem angemessene Firewalls für den Schutz der internen Netzwerke gegen unerlaubten Zugriff der Daten, einschließlich aber nicht begrenzt auf die Abwehr dynamischer IPs. Alle User Logins, IPs, Änderung von Dateien und http Aufrufe, die missbräuchlich genutzt werden, werden von einem System überwacht (Monitoring) und an payever kommuniziert (Alerting). Sämtliche Firewall-Einstellungen werden mind. einmal im Quartal überprüft und entsprechend des Marktstandards angepasst.

Unternehmensinterne Maßnahmen:

payever hat zahlreiche unternehmensinterne Maßnahmen umgesetzt. Hierzu gehören:

  • Zutrittskontrolle für alle Personen, die das Unternehmen betreten durch abschließbare Räume und Begleitung von Besuchern
  • Sicherung sämtlicher Endgeräte über Passwörter
  • Einführung von Zugriffsberechtigungen für Angestellte auf Grundlage eines Zugriffsberechtigugnskonzepts, einschließlich der entsprechenden Dokumentationen, inklusive Differenzierter Zugriffsregelungen (z.B. partielle Sperrung, genaue Nutzerrollen oder Profile)
  • Verbindliche Richtlinien und Prozesse für die Arbeitnehmer zur Datensicherheit und Datenverarbeitung
  • Identifikation des Endgerätes und/oder des Nutzers
  • Automatische Abmeldung von Nutzer IDs, die während eines gewissen Zeitraums nicht genutzt wurden
  • Nutzung von Verschlüsselung für sicherheitskritische Dateien
  • Richtlinien für die Organisation von Dateien
  • Benutzername und Passwort
  • Richtlinien für die Erstellung eines sicheren Passworts
  • Trennung von Produktions- und Testumgebung für Bibliotheken und Dateien
  • Backuproutine mit regelmäßigen Backups
  • Richtlinien über die Erstellung von Back-Up Kopien
  • Existenz eines Notfallplanes (Backupnotfallplan)
  • Vorgabe von verbindlichen oder möglichen Speicherorten für Daten
  • Elektronische Aufzeichnung von Datenverarbeitungen, insbesondere Nutzung, Änderung und Löschung von Daten
  • Ständige Aktualisierung der genutzten Software (z.B. durch Updates, Patches, Fixes etc.)
  • Leitlinien zur Dokumentation von Software und IT-Prozessen
  • Interne Datenverarbeitungsrichtlinien und Prozesse, Leitlinien, Arbeitsanweisungen, Prozessbeschreibungen und Regelungen für Programmierung, Prüfung und Freigabe von Daten.

Zudem hat payever angemessene Maßnahmen zur Trennungskontrolle implementiert, so dass gewährleistet ist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Trennung von Testdaten und produktiven Daten
  • Berechtigungskonzept (logische Trennung)
  • Trennung der Daten nach Auftraggeber

 

payever behält sich das Recht vor, diese technischen und organisatorischen Maßnahmen im Zeitverlauf zu aktualisieren oder anzupassen, insoweit solche Anpassungen zu keiner Verschlechterung der allgemeinen Sicherheit der Leistung von payever als Auftragsdatenverarbeiters führen.

 

Anhang 3 – Liste der Unterauftragnehmer

Name Adresse Land
Amazon, Inc. 440 Terry Avenue
North Seattle, WA 98109
USA
Amazon Web Services, Inc. 410 Terry Avenue
North Seattle WA 98109
USA
Atlassian Pty Ltd und die Tochtergesellschaften Atlassian, Inc.; Atlassian Network Service, Inc., Dogwood Labs, Inc.; Trello, Inc. 1098 Harrison Street San Francisco, California 94103 USA
Bugsnag, Inc. 939 Harrison St, San Francisco, CA 94107 USA
FullStory, Inc. 818 Marietta Street NW
Atlanta, GA 30318
USA
Google LLC 1600 Amphitheatre Parkway
Mountain View, CA 94043
USA
Hetzner Online GmbH Industriestr. 25
91710 Gunzenhausen
Deutschland
Microsoft Corporation One Microsoft Way

Redmond, WA 98052

USA
Microsoft Ireland Operations Limited Atrium Building Block A
Carmen Hall Road,
Sandyford Industrial Park,
Dublin
Irland
myLoc managed IT AG Am Gatherhof 44
40472 Düsseldorf
Deutschland
Twilio Inc. 375 Beale Street

Suite 300

San Francisco, CA 94105

USA
Zendesk, Inc. 1019 Market Street
San Francisco, CA 94103
USA