Der vorliegende Auftragsverarbeitungsvertrag („AVV“) gilt für die Verarbeitungsmaßnahmen personenbezogener Daten durch die Club of Code Technology UG & Co. KG, Heringer Fahrweg 3, 65597 Hünfelden, Deutschland (auch als „wir" oder „Auftragnehmer" bezeichnet), die gegenüber Kunden (nachfolgend „Auftraggeber“ oder „Sie“) in Erfüllung des Hauptvertrages erbracht werden.
Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Lizenzvertrag zur Inanspruchnahme der “Club of Code”-Software zur Abbildung von Recruiting-Prozessen von Software-Entwicklern und ähnlichen Berufen in Festanstellung oder einer freiberuflichen Tätigkeit (im Folgenden: „Hauptvertrag“). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung („DSGVO“). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag“), der mit Unterzeichnung bzw. Wirksamwerden des Hauptvertrages zustande kommt.
Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit der Beendigung des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.
Gegenstand und Dauer des Auftrages | |
(1) Hauptvertrag | Lizenzvertrag zur Inanspruchnahme der “Club of Code”-Software |
(2) Gegenstand des Auftrags | Software zur Abbildung von Recruiting-Prozessen von Software-Entwicklern und ähnlichen Berufen in Festanstellung oder einer freiberuflichen Tätigkeit. |
(3) Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung | Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i. S. d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab. |
(4) Art der Daten | Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich:
|
(5) Kreis der Betroffenen | Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Kategorien betroffener Personen kommen dabei in Betracht:
|
Nr. | Name des Unterauftragnehmers Anschrift / Land | Gegenstand der Leistung | Verarbeitete personenbezogene Daten |
1 | Digital Ocean, LLC. (digitalocean.com) | Hosting-Dienstleistungen | Siehe oben „Art der Daten“ |
1 | ActiveCampaign, LLC (postmarkapp.com) | E-Mail-Versand | Siehe oben „Art der Daten“ |
1 | Stripe Payments Europe, Limited (SPEL) (stripe.com) | Bezahldienstleister | Siehe oben „Art der Daten“ |
Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen sind.
1. Organisation der InformationssicherheitEs sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit implementiert und kontrolliert werden kann. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
2. Privacy by DesignPrivacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert werden. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
3. Privacy by DefaultPrivacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen. Inwieweit wurden diese von Ihnen vorgenommen? Beispiel: Bei einem Besuch einer Webseite kann der Besucher erwarten, dass alle Programme zunächst deaktiviert sind, die personenbezogene Daten erheben. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
4. Zugriffskontrolle und ZugangskontrolleMaßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw. schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.). Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen:
|
5. Kryptographie und / oder PseudonymisierungEinsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen Informationen. Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
6. Betriebsverfahren und ZuständigkeitenSicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung von Informationen. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
7. DatensicherungenMaßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
8. Schutz vor Malware und PatchmanagementVerhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller Virenschutzsoftware und die Implementierung eines Patchmanagements. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
9. NetzwerksicherheitsmanagementEs muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die Infrastrukturkomponenten geschützt werden. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
10. InformationsübertragungMaßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw. schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.) | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
11. LieferantenbeziehungenMaßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern vereinbart und dokumentiert werden. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
12. Management von InformationssicherheitsvorfällenEs sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen (Diebstahl, Systemausfall etc.) zu implementieren. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
13. Informationssicherheitsaspekte des Business Continuity Management / NotfallmanagementsDie Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle. Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheit sollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
14. Einhaltung gesetzlicher und vertraglicher AnforderungenImplementierung von Maßnahmen zur Vermeidung von Verstößen gegen gesetzliche, amtliche oder vertragliche Verpflichtungen sowie gegen jegliche Sicherheitsanforderungen. | |
Maßnahmen:
| |
Weitere umgesetzte Maßnahmen / Erläuterungen: Diese oder weitere Maßnahmen werden teilweise oder vollständig durch unsere Dienstleister umgesetzt. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |