Auftragsverarbeitungsvereinbarung (AVV)

Vereinbarung über die Verarbeitung von Daten im Auftrag gemäß Artikel 28 DSGVO

 

Letztes Update: 12.04.2024


Dieser Auftragsverarbeitungsvertrag gilt zwischen Ihnen
Kundenname
– Auftraggeber –

und der
done.by GmbH
Haimhauserstr. 8
80802 München
-Auftragsverarbeiter –
 

§ 1 Präambel, Gegenstand und Rangfolge

(1) Allgemeines.
Diese Vereinbarung (die „Auftragsverarbeitungsvereinbarung” oder die „AVV”) ist Teil des Vertrages über die Bereitstellung unserer Dienste zwischen Ihnen und referenzen.com/done.by (der „Vertrag”).

(2) Gegenstand der Vereinbarung.
Diese AVV beschreibt, wie referenzen.com/done.by Projekt-Referenz-Daten und Redakteurs-Daten, die Sie uns im Zusammenhang mit Ihrer Nutzung unserer Dienste zur Verfügung stellen, gemäß den Anforderungen der Datenschutzgesetze verarbeitet.

(3) Konflikte.
Im Falle eines Konfliktes haben die Bestimmungen dieser AVV Vorrang gegenüber den Bestimmungen frühere oder künftige Geheimhaltungsvereinbarungen und andere zwischen den Parteien geschlossene Vereinbarungen.
 

§ 2 Definitionen

In dieser AVV werden wir bestimmte Worte oder Sätze verwenden, und es ist wichtig, dass Sie deren Bedeutung verstehen. Die Liste ist nicht allumfassend und keine Definition sollte als verbindlich angesehen werden, sobald sie diese AVV als sinnwidrig erscheinen lässt:

(1) „Kunde” oder „Sie” bezieht sich auf Sie, die Person, die den Vertrag (einschließlich dieser AVV) mit der done.by GmbH eingeht. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen der Organisation zu und Sie versichern, dass Sie dazu berechtigt sind. In einem solchen Fall bezieht sich „Kunde” oder „Sie” auf diese Organisation.

(2) „Datenschutzgesetze” bezeichnet alle Gesetze und Vorschriften, einschließlich solchen der Europäischen Union, des Europäischen Wirtschaftsraumes und seiner Mitgliedstaaten, die auf die Verarbeitung von personenbezogenen Daten (inklusive Daten bezüglich der Bereitstellung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) Anwendung finden, insbesondere die DSGVO, das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das deutsche Telekommunikationsgesetz (TKG) und das deutsche Telemediengesetz (TMG).

(3) „DSGVO” bezeichnet die europäische Datenschutzgrundverordnung.

(4) „Einzelvertrag“ ist der zwischen dem Kunden und referenzen.com/done.by geschlossene SaaS-Vertrag über die Bereitstellung von SaaS-Diensten und/oder Zusatzleistungen.

(5) „Auftragsverarbeitung” oder „Verarbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, welche von referenzen.com/done.by als Teil der Dienste in Bezug auf Projekt-Referenz-Daten und Redakteurs-Daten durchgeführt wird, unabhängig davon, ob dies durch automatische Mittel erfolgt oder nicht, insbesondere die Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abfrage, Beratung, Verwendung, Veröffentlichung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Blockierung, Löschung oder Vernichtung von Daten.

(6) „Dienste” bezeichnet die Dienste, die wir über unsere Sites zur Verfügung stellen, inklusive unserer Referenz-Katalog-Widget- und Digital-Signage-Solution-Dienste für Kunden.

(7) „Site” bezeichnet sowohl unsere Websites, referenzen.com und done.by, als auch die unsere Plattform.

(8) „Unterauftragnehmer” bezeichnet einen von der done.by GmbH beauftragten Dritten, der im Rahmen seiner Beauftragung Projekt-Referenz-Daten und Redakteurs-Daten verarbeitet.

(9) „Vertrag“ ist der Einzelvertrag, die AGB und diese Auftragsverarbeitungsvereinbarung.

(10) „Nutzer” bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen ist und die über unsere Site von Ihnen als Redakteur angelegt oder als Dienstleistungs- oder Lösungsanbieter kontaktiert wurde oder wird.

(11) „Projekt-Referenz-Daten und Redakteurs-Daten” bezeichnet personenbezogene Informationen eines Nutzers, die Sie oder einer Ihrer Mitarbeiter referenzen.com/done.by in Verbindung mit Ihrer Nutzung der Dienste zur Verfügung gestellt haben.

(12) „Besondere Kategorien von Daten“ bezeichnet Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (vgl. Art. 9 Abs. 1 DSGVO).

Andere Begriffe haben die Bedeutung, die ihnen unter dieser Vereinbarung oder im Vertrag gegeben wurden.
 

§ 3 Gegenstand und Dauer der Verarbeitung, Art der Projekt-Referenz-Daten und Redakteurs-Daten und Kategorien betroffener Personen

(1) Allgemeiner Gegenstand.
Unter dieser AVV verarbeitet referenzen.com/done.by Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten im Auftrag des Kunden gemäß Artikel 28 DSGVO.

(2) Dauer.
Diese AVV gilt solange, wie referenzen.com/done.by Dienste unter dem Vertrag erbringt, und endet automatisch mit Ablauf oder Kündigung des Vertrages.

(3) Gegenstand, Art und Zweck der Verarbeitung.
Gegenstand der Verarbeitung ist die Erfassung und Bereitstellung von Projekt-Referenzen des Auftraggebers. Die Art der Verarbeitung von Projekt-Referenz-Daten und Redakteurs-Daten ist in unseren Allgemeinen Geschäftsbedingungen und in unserer Datenschutzerklärung, und ggf. zusätzlich im Einzelvertrag definiert. Zweck der Datenverarbeitung ist die Content-Management- und Prozessoptimierung beim Auftraggeber.

(4) Art der Daten.
Die Verarbeitung kann folgende Typen/Kategorien von Projekt-Referenz-Daten und Redakteurs-Daten enthalten: Personenstammdaten einschließlich Name oder E-Mailadresse, Kommunikationsdaten, Adressdaten, Vertragsdaten, Standortdaten, Bild- und Videodaten, Kennnummern, Metadaten, z.B. Teilnahme an Projekten, redaktionelle Tätigkeiten, IP Adresse, Nutzungsdaten, Gerätedaten und Informationen von Cookies und Page-Tags.

(5) Kategorien betroffener Personen.
Die von der Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet:
(i) Kunden des Kunden;
(ii) Mitarbeiter des Kunden;
(iii) Geschäftskontakte des Kunden;
In jedem der zuvor genannten Fälle (i) bis (iii) jeweils in dem Umfang, in welchem ein solcher Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen über unsere Site kontaktiert wurde oder kontaktiert werden wird.

(6) Ausschluss der Verarbeitung von besonderen Kategorien von personenbezogenen Daten.
Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist ausgeschlossen.

(7) Rechtsgrundlage der Verarbeitung für den Auftraggeber ist nach Art. 6 DSGVO:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (Art. 6 Abs. 1 lit. a DSGVO).
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. b DSGVO) Rechtsgrundlage der Verarbeitung für den Auftragnehmer ist Art. 28 DSGVO.
 

§ 4 Weisungen des Kunden

(1) Weisungen. Solange wir für Sie Dienste erbringen, können Sie uns im Hinblick auf die Verarbeitung von Projekt-Referenz-Daten und Redakteurs-Daten ergänzend zu den in dieser AVV niedergelegten Bestimmungen weitere Anweisungen über Art, Umfang und Verfahren der Datenverarbeitung erteilen (jede dieser Anweisungen wird hiernach als eine „Weisung” bezeichnet). Weisungen können in schriftlicher oder elektronischer Form erteilt werden. Wir werden Ihre Projekt-Referenz-Daten und Redakteurs-Daten entsprechend den Weisungen verarbeiten.

(2) Änderungsanträge.
Jede Weisung, die diese AVV verändert oder davon abweicht, stellt einen Änderungsantrag dar und unterliegt den in § 14 (1) beschriebenen Anforderungen. Im Hinblick auf Änderungen der Dienste und/oder der Gebühren, die aus Ihren Weisungen resultieren, werden wir nach Treu und Glauben mit Ihnen verhandeln.

(3) Übereinstimmung mit den Datenschutzgesetzen.
Sie sind dafür verantwortlich, sicherzustellen, dass Ihre Weisungen mit den Datenschutzgesetzen übereinstimmen.

(4) Mitteilung.
Sind wir der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, werden wir Sie unverzüglich darüber informieren.
 

§ 5 Rechte und Pflichten des Kunden

(1) Übereinstimmung der Verarbeitung mit den Datenschutzgesetzen.
Sie sind dafür verantwortlich, sicherzustellen, dass die Verarbeitung von Projekt-Referenz-Daten und Redakteurs-Daten nach dieser Vereinbarung mit den Anforderungen der Datenschutzgesetze übereinstimmt, insbesondere hinsichtlich
(i) der Übertragung von Projekt-Referenz-Daten und Redakteurs-Daten an referenzen.com/done.by (inklusive der Bereitstellung jeglicher erforderlicher Mitteilungen und dem Einholen aller erforderlichen Zustimmungen),
(ii) der Verwendung von Projekt-Referenz-Daten und Redakteurs-Daten in Verbindung mit von Ihnen durchgeführter Vermarktung oder Werbung und
(iii) Ihrer Entscheidungen und Tätigkeiten im Hinblick auf die Verarbeitung und Verwendung der Projekt-Referenz-Daten und Redakteurs-Daten.

(2) Der Kunde als Verantwortlicher.
Sie sind gemäß Artikel 4 Paragraf 7 DSGVO Verantwortlicher. Sie tragen die alleinige Verantwortung für die Richtigkeit, Beschaffenheit und Rechtsgültigkeit der Projekt-Referenz-Daten und Redakteurs-Daten sowie für die Mittel, mit denen Sie die Projekt-Referenz-Daten erworben haben.

(3) Besondere Kategorien personenbezogener Daten.
Der Verantwortliche hat es zu unterlassen, die Site oder die Dienste für die Verarbeitung von besonderen Kategorien personenbezogener Daten zu verwenden.

(4) Aufzeichnung von Verarbeitungsaktivitäten.
Sie sind gemäß Artikel 30 DSGVO dafür verantwortlich, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

(5) Mitteilungspflicht.
Sie werden uns unverzüglich über jeden Fehler, den Sie in unseren Diensten entdecken, und über jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Vorschriften zum Datenschutz informieren.
 

§ 6 Pflichten von referenzen.com/done.by

(1) Verarbeitung nur zur Bereitstellung der Dienste.
Wir werden Ihre Projekt-Referenz-Daten und Redakteurs-Daten nur gemäß Ihrer dokumentierten Weisungen und nur zur Bereitstellung unserer Dienste in Übereinstimmung mit Artikel 28 Paragraf 3 DSGVO verarbeiten. Wir werden
(i) Ihre Projekt-Referenz-Daten und Redakteurs-Daten zu keinen anderen Zwecken verarbeiten oder verwenden als zu jenen, die im Vertrag einschließlich in dieser AVV festgesetzt sind, und
(ii) Ihre Projekt-Referenz-Daten und Redakteurs-Daten nicht gegenüber Dritten (außer gegenüber Unterauftragnehmern zu den vorgenannten Zwecken) offenlegen, es sei denn, dass dies aufgrund von Unionsrecht oder Rechtsvorschriften der Mitgliedstaaten, denen wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese gesetzliche Anforderung informieren, falls das Gesetz solche Informationen nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

(2) Verarbeitung innerhalb und außerhalb der EU/des EWR.
Grundsätzlich verarbeitet der Auftragsverarbeiter Daten innerhalb der Bundesrepublik Deutschland, einem Mitgliedstaat der Europäischen Union oder eines anderen Unterzeichners des Abkommens über den Europäischen Wirtschaftsraum oder in einem Land mit einem angemessenen Datenschutzniveau gemäß der Entscheidung der Europäischen Kommission. Die Server zur Datenverarbeitung befinden sich ausschließlich im Geltungsbereich der EU-DSGVO. Der Auftragsverarbeiter darf die Daten an seine Unterauftragnehmer übertragen. In diesem Fall sichert der Unterauftragnehmer die Einhaltung der Pflichten nach Art. 44 ff. DSGVO zu.

(3) Mitarbeiter der done.by GmbH.
Wir gewährleisten, dass unsere an der Verarbeitung von Projekt-Referenz-Daten und Nutzer-Daten beteiligten und hierfür autorisierten Mitarbeiter über die Vertraulichkeit der Projekt-Referenz-Daten und Nutzer-Daten informiert sind und sich entweder vertraglich zur Geheimhaltung dieser Daten verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

(4) Telearbeit.
(i) Der Auftragsverarbeiter ist berechtigt, seinen Beschäftigten Telearbeit anzubieten. Er schließt mit ihnen eine betriebliche Vereinbarung über die Telearbeit, die die Einhaltung aller Vorschriften zum Datenschutz und zur Datensicherheit sicherstellt.
(ii) Eine Gefährdung der Daten muss ausgeschlossen sein. Die Sicherheit der Daten ist insbesondere durch einen sicheren Dienstrechner und das Einrichten einer verschlüsselten Verbindung zu gewährleisten.

(5) Unser Datenschutzbeauftragter.
Wir haben eine Datenschutzbeauftragten: Jens Hoppe, Haimhauserstr. 8, 80802 München.
Dieser ist per E-Mail erreichbar über dpo@done.by.
 

§ 7 Technische und organisatorische Maßnahmen

(1) referenzen.com/done.by TOM-Maßnahmen.
Wenn wir Projekt-Referenz-Daten und Nutzer-Daten in Ihrem Namen verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO dafür erforderlichen Maßnahmen. Wir haben bestimmte technische und organisatorische Maßnahmen, wie in Anlage 1 spezifiziert, für die Verarbeitung solcher Daten eingeführt und werden diese aufrechterhalten. Diese Maßnahmen dienen dem Zweck, Projekt-Referenz-Daten und Nutzer-Daten gegen versehentlichen oder unberechtigten Verlust, Vernichtung, Veränderung, Veröffentlichung oder Zugriff und gegen alle anderen rechtswidrigen Verarbeitungsformen zu schützen.

(2) Änderungen der TOMs.
Alle technischen und organisatorischen Maßnahmen zur Datensicherheit unterliegen dem technischen Fortschritt und der technischen Entwicklung. Dementsprechend dürfen wir unsere Sicherheitsmaßnahmen ändern und/oder alternative Sicherheitsmaßnahmen einführen, vorausgesetzt jedoch, dass diese nicht hinter dem Sicherheitsstandard, der vertraglich in Anlage 1 vereinbart wurde, zurückbleiben.
 

§ 8 Kontrollrechte des Kunden

(1) Der Kunde kann, die Einhaltung der Vorschriften über den Datenschutz und der Vorgaben dieses Vertrags durch Kontrollen feststellen. Die Kontrollen können auch von Dritten durchgeführt werden, die der Kunde nach seinem Ermessen bestimmt. Der Auftragsverarbeiter hat das Recht, die Kontrolle durch den Dritten bei Vorliegen besonderer Umstände abzulehnen (oder z.B. Bestehen eines Wettbewerbsverhältnisses zwischen Auftragnehmer und Drittem). Der Auftragsverarbeiter ist verpflichtet, den Kunde bei den Kontrollen nach seinen Kräften zu unterstützen, indem er unter anderem die erforderlichen Auskünfte gibt, Einsicht in seine Unterlagen gewährt und Zutritt zu seinen Räumlichkeiten gewährt.

(2) Der Kunde muss die Kontrollen in der Regel in einem angemessenen zeitlichen Abstand ankündigen. Sie sind in einem angemessenen Rahmen und mit Rücksicht auf die Interessen des Auftragsverarbeiters durchzuführen. Dies schließt ein, dass sie zu den gewöhnlichen Geschäftszeiten des Auftragsverarbeiters stattfinden und den ordentlichen Geschäftsablauf soweit möglich nicht übermäßig stören.

(3) Bericht anstelle einer Prüfung. Wenn der beantragte Prüfungsrahmen in einem SSAE 16/ISAE Typ 2, ISO, NIST oder einem ähnlichen Prüfbericht behandelt wurde und von einem qualifizierten externen Prüfer innerhalb der vorausgegangenen zwölf Monate durchgeführt wurde, erklärt sich der Kunde damit einverstanden, anstelle der beantragten Prüfung der Systeme den Prüfbericht zu akzeptieren.

(5) Nutzung von Berichten. Sie als Kunde stellen uns alle nach diesem Abschnitt generierten Prüfberichte zur Verfügung, falls dies nicht gesetzlich verboten ist. Sie dürfen die Prüfberichte nur dazu benutzen, zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen die Anforderungen dieser AVV erfüllen. Die Prüfberichte sind gemäß den Bedingungen des Vertrages vertrauliche Informationen der Parteien.

(6) Prüfungskosten. Jede Prüfung erfolgt auf Ihre eigenen Kosten. Jede Anfrage an die done.by GmbH um Unterstützung bei einer Prüfung wird als separater Dienst angesehen, sofern eine solche Prüfungsunterstützung die Verwendung von anderen oder zusätzlichen Ressourcen erforderlich macht. Wir werden Ihre schriftliche Genehmigung und Ihr Einverständnis zur Zahlung der damit verbundenen Gebühren einholen, bevor wir eine solche Prüfungsunterstützung zur Verfügung stellen.
Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z.B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.

(7) Externe Prüfer. Wenn ein Dritter die Prüfung durchführt, müssen sich der Kunde und die done.by GmbH gemeinsam mit dem Dritten einverstanden erklären und, bevor die Prüfung durchgeführt wird, muss eine für done.by GmbH akzeptable schriftliche Vertraulichkeitsvereinbarung abgeschlossen werden.
 

§ 9 Unterauftragnehmer

(1) Unterauftragnehmer.
Wir dürfen Unterauftragnehmer einsetzen, um uns bei der Verarbeitung Ihrer Projekt-Referenz-Daten und Nutzer-Daten zu unterstützen. Durch den Abschluss dieser AVV geben Sie uns Ihre allgemeine schriftliche Genehmigung zu der Verwendung von Unterauftragnehmern gemäß Artikel 28 Paragraf 2 DSGVO. Die Liste der Unterauftragnehmer finden Sie in Anlage 2. Wenn wir beabsichtigen, einen Unterauftragnehmer hinzuzuziehen oder zu ersetzen, werden wir Sie darüber informieren, um Ihnen die Möglichkeit zu geben, gegen eine solche Änderung Einspruch zu erheben wenn es begründete Bedenken hinsichtlich des angemessenen Schutzes personenbezogener Daten gibt. Wenn Sie nicht innerhalb von zwei Wochen nach unserer Mitteilung über die Änderung eines Unterauftragsverarbeiters widersprechen, hat dies die gleiche Wirkung wie eine Zustimmung. Widerspricht der Kunde einer Änderung, behält sich referenzen.com/done.by das Recht vor, das Vertragsverhältnis mit einer Frist von zwei Wochen außerordentlich zu kündigen.

(2) Unsere Vereinbarungen mit Unterauftragnehmern.
Wir gewährleisten, dass unsere Unterauftragnehmer sich im Rahmen dieser AVV an dieselben Verpflichtungen wie referenzen.com/done.by halten. Dies gilt insbesondere für die Anforderungen in § 4, § 7, § 8, und § 10 bis § 13. referenzen.com/done.by bleibt jederzeit verantwortlich für die Erfüllung der Bedingungen dieser AVV durch alle Unterauftragnehmer, die an der Erbringung unserer Dienste für Sie beteiligt sind.

(3) Soweit wir mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellen wir sicher, dass wir nur mit solchen Freelancern zusammenarbeiten, die technische und organisatorische Maßnahmen so umzusetzen, dass die Datenverarbeitung den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Datenverarbeitung durch einen Freelancer unterliegt einem Datenverarbeitungsvertrag, der den gleichen Datenschutzstandard gewährleistet, den Sie und wir vereinbart haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung.

(4) Kopien der relevanten Bestimmungen.
Sie sind dazu berechtigt, Kopien der relevanten Bestimmungen aus Vereinbarungen mit unseren Unterauftragnehmern zu erhalten, die Ihre Projekt-Referenz-Daten und Nutzer-Daten verarbeiten, falls die Vereinbarung keine vertraulichen Inhalte enthält; sollte dies der Fall sein, kann die done.by GmbH eine redigierte Version der Vereinbarung zur Verfügung stellen.

(5) Zusätzliche Dienste.
Dieser § 9 gilt nicht, wenn wir dritte Parteien für zusätzliche Dienste einsetzen; diese umfassen insbesondere Telekommunikationsdienste, Post- und Versanddienste, Gebäudesicherheitsdienste, Gebäudemanagementdienste und Dienste im Zusammenhang mit der Reinigung oder Entsorgung von Datenmedien.
 

§ 10 Betroffenenrechte

(1) Weiterleiten von Anfragen.
Wenn ein Betroffener uns dazu auffordert, Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten zu berichtigen, zu sperren oder zu löschen, leiten wir die Anfrage an Sie weiter. referenzen.com/done.by wird ohne Ihre vorherige schriftliche Genehmigung keine Anfragen von Betroffenen beantworten.

(2) Unterstützung.
Wenn ein Betroffener Sie dazu auffordert, Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten zu berichtigen, zu sperren oder zu löschen, oder wenn ein Betroffener Auskunft über die Erhebung, Verarbeitung oder Verwendung der Daten in Verbindung mit unserem Dienst erbittet, und Sie nicht dazu in der Lage sind, die Anfrage über unsere Site selbst abzuhandeln, sowie in den Fällen der Art. 18, 20 und 21 DSGVO werden wir Sie, soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung und der Erledigung der Anfrage unterstützen, vorausgesetzt dass
(i) Sie uns schriftlich oder in Textform eine entsprechende Weisung erteilen und
(ii) Sie uns für die Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstehen, entschädigen.
Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z. B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.
 

§ 11 Löschen von Daten

(1) Keine Kopien oder Duplikate.
Wir werden ohne Ihr vorheriges Wissen keine Kopien oder Duplikate Ihrer Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten erstellen. Ungeachtet des vorstehenden Satzes sind wir berechtigt,
(i) Sicherungskopien und Replikationen unserer Datenbanken zu erstellen, soweit dies erforderlich ist, um die ordnungsgemäße Verarbeitung der Daten des Referenz-Management-Systems, die Funktionalität unserer Plattform und die Produktentwicklung sicherzustellen
(ii) Kopien der Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten zu erstellen und aufzubewahren, soweit dies zur Erfüllung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.

(2) Löschen von Daten.
Nach der Löschung Ihres Accounts, oder nach Ihrer schriftlichen Anfrage zu einem früheren Zeitpunkt, werden wir alle Kopien Ihrer Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten innerhalb eines Monats aus unseren Systemen löschen. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung ergeben. Es liegt in Ihrer Verantwortung, sicherzustellen, dass alle Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten vor der Löschung per Export-Funktion gesichert werden.

(3) Weitere Nutzung zur Erfüllung gesetzlicher Verpflichtungen.
Ungeachtet des oben Gesagten werden wir nur solche Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten behalten, die zur Erfüllung unserer gesetzlichen Verpflichtungen, zur Lösung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen nötig sind.
 

§ 12 Service-Analysen und Datenanonymisierung

(1) Service Analysen.
Wir können statistische und andere Informationen in Bezug auf die Leistung, den Betrieb und die Nutzung unserer Dienste zusammenstellen. In die Service Analyse werden die Daten der Mitarbeiter oder Kontakte des Kunden nicht in einer Form aufgenommen, die eine Person identifizieren oder zur Identifizierung dienen könnte.

(2) Anonymisierung der Daten.
Wie in §11(1) angegeben, sind wir berechtigt, Sicherungskopien und Replikationen unserer Datenbanken zu erstellen. referenzen.com/done.by ist auch berechtigt, die Projekt-Referenz-Daten, Firmenprofil- und Redakteurs-Daten in solchen Sicherungskopien und Replikationen zu anonymisieren und die für eine solche Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Der ursprüngliche Datenbestand ist von der Anonymisierung nicht betroffen.

(3) Anonymisierte oder aggregierte Daten gelten nicht mehr als personenbezogene Daten. Unter Wahrung der Anonymität kann referenzen.com/done.by alle erzeugten Daten für eigene Zwecke wie statistische Analysen, Branchenvergleiche, Forschung und Entwicklung und andere Zwecke verwenden. referenzen.com/done.by ist berechtigt, diese Daten über das Vertragsende hinaus für eigene Zwecke zu nutzen und aufzubewahren.
 

§ 13 Mitteilungspflichten und weiterer Support

(1) Mitteilungen von (behördlichen) Durchsuchung und Beschlagnahmen.
Wir werden Sie unverzüglich darüber informieren, wenn Ihre Projekt-Referenz-Daten, Firmenprofil- und Nutzer-Daten unter unserer Kontrolle zum Gegenstand einer Durchsuchung oder Beschlagnahme, eines Pfändungsbeschlusses, einer Konfiszierung während einer Insolvenz oder eines Insolvenzverfahrens oder ähnlichen Maßnahmen durch Dritte geworden sind. In einem solchen Fall werden wir alle an einer solchen Aktion beteiligten Parteien darüber informieren, dass jegliche hier betroffenen Daten sich in Ihrem alleinigen Eigentum befinden und in Ihren Verantwortungsbereich fallen, dass die Daten zu Ihrer alleinigen Verfügung stehen und dass Sie der für die Verarbeitung Verantwortliche im Sinne der DSGVO sind.

(2) Mitteilung über Zwischenfälle und Rechtsverstöße.
Wir werden Sie unverzüglich informieren, wenn wir erkennen, dass
(i) Ihre Projekt-Referenz-Daten, Firmenprofil- und Nutzer-Daten Gegenstand eines Sicherheitsvorfalls (inklusive durch einen referenzen.com/done.by-Mitarbeiter) geworden sind oder
(ii) wenn durch referenzen.com/done.by ein Rechtsverstoß (inklusive durch einen referenzen.com/done.by-Mitarbeiter) gegen die Datenschutzgesetze, die für die Durchführung unserer Dienste Ihnen gegenüber gelten, oder gegen eine der Bestimmungen, die in dieser AVV festgesetzt wurden, stattgefunden hat.
In einem solchen Fall werden wir den Sicherheitsvorfall oder den Rechtsverstoß sofort untersuchen und angemessene Maßnahmen zur Identifizierung der Grundursache und der Verhinderung einer Wiederholung ergreifen.

(3) Unterstützung.
Falls Sie aufgrund des Sicherheitsvorfalls oder des Rechtsverstoßes Offenlegungspflichten gemäß Artikel 33 DSGVO erfüllen müssen, werden wir Sie bei der Erfüllung solcher Pflichten unterstützen, vorausgesetzt, dass
(i) Sie uns schriftlich oder in Textform dazu anweisen und
(ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen. Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z. B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.

(4) Weiterer Support.
Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen werden wir Sie unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32-36 DSGVO genannten Pflichten unterstützen, vorausgesetzt dass
(i) Sie uns schriftlich oder in Textform dazu anweisen und
(ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen.
 

§ 14 Änderungen

(1) Änderungen dieser Bedingungen.
referenzen.com/done.by kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, wenn das Datenschutzniveau mindestens beibehalten wird, zum Beispiel, um Änderungen im geltenden Recht wiederzugeben, um Updates unserer Dienste oder der technischen und/oder organisatorischen Maßnahmen, die wir einsetzen, zu reflektieren, oder um neue Dienste oder Funktionalitäten zu berücksichtigen.

(2) Mitteilung über Änderungen.
Üblicherweise werden wir Sie über Änderungen oder Updates der Bedingungen dieser Vereinbarung nicht im Vorhinein informieren. Wenn Sie sich jedoch nach einer solchen Änderung oder einem Update zum ersten Mal in unsere Site einloggen, werden wir Sie auf elektronischem Weg über die Änderung informieren. Wenn Sie damit fortfahren, unsere Dienste zu nutzen, erteilen Sie Ihre Zustimmung zu solchen Änderungen oder Anpassungen, falls referenzen.com/done.by keine rechtzeitigen Widerspruch von Ihnen erhält.

(3) Aktuelle Version.
Änderungen dieser Bedingungen werden mit Eintrag auf unserer Site wirksam. Sie sind dafür verantwortlich, sich mit den aktuellsten Bedingungen unserer Vereinbarung vertraut zu machen. Sie können die aktuellste Version immer unter https://referenzen.com/de/services/avv.htm finden.
 

§ 15 Sonstiges

(1) Salvatorische Klausel.
Sollten einzelne Vorschriften dieser AVV ungültig oder nicht durchsetzbar sein, so berührt dies nicht die Gültigkeit und Durchsetzbarkeit der anderen Vorschriften dieser AVV. Gleiches gilt für Fälle einer Lücke in dieser AVV.

(2) Rechtswahl und Gerichtsstand.
Diese AVV unterliegt deutschem Recht. Für Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, sind allein die Gerichte in München zuständig.

Hinweis: Diese Auftragsverarbeitungsvereinbarung ist ohne Unterschrift durch Abschluss eines Einzelvertrages mit referenzen.com/done.by wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Auftraggeber den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.

Kunde
Name:
Titel:
Datum:

Unterschrift:

done.by GmbH
Name:
Titel:
Datum:

Unterschrift:
 

Anlage 1 zur Auftragsverarbeitungsvereinbarung (AVV)

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

1. Maßnahmen zur Sicherung der Vertraulichkeit

1.1. Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.

referenzen.com/done.by besitzt kein eigenes Rechenzentrum. Alle unsere Server und unser Hosting-Equipment werden als Service von 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur gemietet. Wir verweisen auf die TOMs der 1&1 IONOS SE (Anlage 2). Die Serverstandorte der 1&1 IONOS SE befinden sich in Deutschland. Weitere Datenverarbeitungen finden in-House am Unternehmensstandort statt.

Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der IONOS, Deutschland – verfügen über umfangreiche und moderne Zutrittskontrollen (bspw. elektronische Zutrittskontrollsysteme, Kameraüberwachung, Einbruchmeldeanlagen, Wachpersonal) und implementieren Prozesse, die nachhaltig vor unbefugtem Zutritt schützen (bspw. festgelegte Sicherheitsbereiche, individuelle Zutrittsberechtigungsvergabe, rollenbasiertes Berechtigungskonzept). Weitere Informationen über die getroffenen Schutzmaßnahmen finden Sie im Portal von IONOS zum Thema Cloud-Sicherheit.

1.2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können. Beschreibung des Zugangskontrollsystems:

  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  • Nutzern werden nur eingeschränkt Rechte gewährt
  • Role-Based Access Control (RBAC)
  • Einsatz einer zentralen Passwort Policy
  • Einsatz einer Software-Firewall
  • Einsatz von Anti-Viren-Software

1.3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Beschreibung des Zugriffskontrollsystems:

  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  • Alle Datenzugänge werden automatisch aufgezeichnet
  • Anzahl der Administratoren auf das Notwendigste reduziert
  • Protokollierung von Zugriffen und Missbrauchsversuchen

1.4. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist. Beschreibung des Trennungskontrollvorgangs:

  • Logische Mandantentrennung (softwareseitig)
  • Berechtigungskonzept
  • Produktiv- und Testsysteme sind getrennt voneinander
  • Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind
  • Datenbank-Nutzerrechte werden zentral ausgegeben und verwaltet

1.5. Pseudonymisierung
Maßnahmen zur Pseudonymisierung haben den Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

  • Die Ablage und Zusammenführung personenbezogener Daten erfolgen anhand einer pseudonymisierten Nutzeridentifikationsnummer (User-ID).

1.6 Verschlüsselung

  • Websiteangebote nur mit SSL/TLS-Verschlüsselung
  • Backups sind verschlüsselt
  • Nutzer-Passwörter werden nicht gespeichert. Stattdessen wird ein sicheres, auf kryptographischen Hashfunktionen basiertes Verfahren verwendet (“Salted Cryptographic Hash”)
     

2. Maßnahmen zur Sicherung der Integrität

2.1. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. Beschreibung der Weitergabekontrolle:

  • HTTPS
  • VPN
  • Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
  • Keine Benutzung von physischen Datenträgern
  • Umfassende Logging Prozeduren
  • Private Datenträger vom Personal dürfen nicht bei der Arbeit genutzt werden

2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Beschreibung des Eingabekontrollvorgangs:

  • Logging von allen System Aktivitäten und Behalten der Logs für mindestens 6 Monate
  • Nachvollziehbarkeit von Eingabe / Änderung / Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe / Änderung / Löschung von Daten auf Basis eines Berechtigungskonzepts
     

3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

Die Maßnahmen zur Verfügbarkeit und Belastbarkeit haben den Zweck, die Dienste und internen Betriebsabläufe, sowie deren Informationssicherheit, auch bei Betriebsstörungen und unvorhergesehenen Ereignissen zu gewährleisten.

  • Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der IONOS SE – verfügen über umfangreiche und moderne Brandmelde- und Löscheinrichtungen, Klima- und Temperaturregelungen sowie Maßnahmen zum Überspannungsschutz und zur unterbrechungsfreien Stromversorgung (USV). Weitere Informationen finden Sie in den jeweiligen Portalen von IONOS zum Thema Cloud-Sicherheit.
  • Die Inbetriebnahme der bereitgestellten Produktiv-Systeme, deren Konfiguration und das Einspielen von Änderungen erfolgen nachvollziehbar und transparent über eine weitgehend automatisierte Deployment-Infrastruktur.
  • Backups der Produktiv-Daten erfolgen stündlich in inkrementeller Form und täglich als Voll-Backup. Alle Backups werden redundant und in verschlüsselter Form (AES256) über mehrere Geräte und mehrere getrennte Einrichtungen – sofern nicht anders vereinbart oder anderweitig dokumentiert, mindestens 2 Einrichtungen bei IONOS – verteilt vorgehalten. Technische Zugriffsbeschränkungen, automatische Historisierungs- und Lösch-Policies, sowie strikte organisatorische Vorgaben zum Umgang mit Backups sind implementiert.
  • Integrierter Schutz vor Cyber-Security-Bedrohungen: Dazu gehören ein Anti-Malware-Schirm, Self Protection sowie eine Schwachstellenüberprüfung.
  • Disaster-Recovery-Prozesse für die Datenwiederherstellung und Prozesse zur stichprobenartigen Prüfung der Wiederherstellungsfähigkeit sind definiert.
  • Verfahren zum Umgang und der Meldung von Störungen (Incident-Management) inklusive der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle sind definiert.
     

4. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung

Die Maßnahmen zur Wirksamkeitsprüfung dienen der regelmäßigen Kontrolle und Bewertung der Effektivität aller zuvor beschriebenen technischen und organisatorischen Maßnahmen.

  • referenzen.com/done.by schult seine Mitarbeiter im Hinblick auf Informationssicherheit, um sicherzustellen, dass sie ihrer Verpflichtung nachgehen, Kundendaten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen. Somit soll die Vertraulichkeit von Kundendaten gewahrt werden, auch nach Beendigung jeglicher Funktionen, die mit Kundendaten zu tun hatten. Mitarbeiter sind angewiesen, erkannte Verletzungen der Datenschutzbestimmungen, Verdacht auf mögliche Verletzungen, sowie sonstige Vorfälle mit Bezug zur Informationssicherheit umgehend zu melden. Disziplinarmaßnahmen bei Zuwiderhandlung gegen Geheimhaltungsverpflichtungen bestehen.
  • referenzen.com/done.by führt eine Überprüfung des Beschäftigungsverhältnisses durch. Eingeschlossen ist hierbei die Überprüfung der Identität bei Neueinstellungen in Positionen, die den Zugang zu Systemen und Anwendungen, die Kundendaten speichern, erfordern. Bei Beendigung des Arbeitsverhältnisses sei es freiwillig oder unfreiwillig, sperrt referenzen.com/done.by unverzüglich den Zugang zu allen Systemen.
  • referenzen.com/done.by bewertet ständig die Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten und erstellt einen Aktionsplan zur Minderung der festgestellten Risiken.
  • Automatisierte und manuelle Penetrationstests werden regelmäßig durchgeführt.
  • referenzen.com/done.by unterhält Maßnahmen, um Schwachstellen in der Infrastruktur von referenzen.com/done.by zu identifizieren, zu verwalten, abzumildern und/oder zu beheben. Zu den Sicherheitsmaßnahmen gehören: Anti-Virus / Anti-Malware, Schwachstellen-Scanning, Warnungen bei Bedrohungen, Patch-Management.


Anlage 2 zur Auftragsverarbeitungsvereinbarung (AVV)

Unterauftragsverhältnisse gemäß der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

1. 1&1 IONOS SE
Name/Firma: 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur,
Registrierungsland: Deutschland
Funktion: Div. Server für Hosting, Matomo Tracking, NextCloud Collaboration
Speicherort: Deutschland
https://www.ionos.de/terms-gtc/datenschutzerklaerung/
https://www.ionos.de/terms-gtc/avv/

 

Zur Beta einladen