Vereinbarung zur Auftragsverarbeitung (Artikel 28 DSGVO)

 

Vereinbarung

zwischen

dem Auftraggeber

und

der LINC GmbH

Grapengießerstr. 16, 21335 Lüneburg

– Auftragsverarbeiter, nachfolgend „Auftragnehmer“ genannt –

Auftraggeber und Auftragnehmer jeweils einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

 
  1. Definition Auftraggeber
Auftraggeber sind Coaches und Unternehmen, die das Coaching Board für die Administration, Durchführung und Dokumentation ihres Coachings verwenden möchten. Das Coaching Board wird von der LINC GmbH als Auftragsverarbeitung bereitgestellt. Als Auftraggeber entscheidet der Coach bzw. das Unternehmen über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten und agiert als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die Datenverarbeitung der Coachees.  
  1. Vertragsgegenstand
Im Rahmen des zwischen den Parteien bestehenden Leistungsverhältnisses ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO mit personenbezogenen Daten umgeht, für die der Auftraggeber Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung der vereinbarten Leistung.  
  1. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Dauer der Auftragsverarbeitung
Der Auftragnehmer verarbeitet die personenbezogenen Daten während der Dauer der Leistungserbringung im Auftrag und nur nach Weisung des Auftraggebers. Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen werden in Anlage 1 festgelegt. Jede davon abweichende oder darüber hinaus gehende Verarbeitung von personenbezogenen Daten, insbesondere zu eigenen Zwecken, ist dem Auftragnehmer untersagt.  
  1. Weisungsrechte des Auftraggebers
4.1 Die Weisungen des Auftraggebers erfolgen grundsätzlich in Schrift- oder Textform (z.B. E-Mail). Abweichend hiervon können (fern-) mündliche Weisungen erfolgen, die im Nachgang in Schrift- bzw. Textform bestätigt werden. 4.2 Der Auftragnehmer ist verpflichtet, die Weisungen des Auftraggebers unverzüglich oder ggf. unter Einhaltung einer durch den Auftraggeber festgelegten, angemessenen Frist auszuführen und insbesondere personenbezogene Daten auf Weisung des Auftraggebers unverzüglich zu berichtigen, zu löschen oder zu sperren und dies auf Verlangen schriftlich zu bestätigen. 4.3 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag, gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. 4.4 Soweit der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist, die personenbezogenen Daten auch ohne Weisung des Auftraggebers zu verarbeiten, teilt der Auftragnehmer dem Auftraggeber den Grund der Verarbeitung und die entsprechenden rechtlichen Anforderungen rechtzeitig vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.  
  1. Pflichten des Auftraggebers
5.1 Der Auftraggeber ist nach außen, also gegenüber Dritten und den Betroffenen, für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. 5.2 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen (insbesondere in Bezug auf technische und organisatorische Maßnahmen der Datensicherheit) des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. 5.3 Soweit sich der Auftragnehmer gegen einen Anspruch auf Schadenersatz nach Art. 82 DSGVO, gegen ein drohendes oder bereits verhängtes Bußgeld nach Art. 83 DSGVO oder sonstige Sanktionen im Sinne des Art. 84 DSGVO mit rechtlichen Mitteln verteidigen will, erlaubt der Auftraggeber dem Auftragnehmer Details der Auftragsverarbeitung inklusive erlassener Weisungen zum Zweck der Verteidigung offenzulegen.  
  1. Pflichten des Auftragnehmers
6.1 Soweit sich eine betroffene Person in Wahrnehmung ihrer Rechte aus Kapitel 3 DSGVO (Art. 12 bis 23 DSGVO) unter Berücksichtigung von Teil 2, Kapitel 2 BDSG (§§ 32 bis 37 BDSG) unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer unterstützt den Auftraggeber auf zumutbare Weise mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung solcher Anträge auf Wahrnehmung der in Kapitel 3 DSGVO benannten Rechte der betroffenen Person nachzukommen. 6.2 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. 6.3 Wenn dem Auftragnehmer hinsichtlich der verarbeiteten Auftraggeber-Daten eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bekannt wird („Datenschutzvorfall“), meldet er dies dem Verantwortlichen unverzüglich. Im Rahmen der Meldung gem. Art. 33 Abs. 2 DSGVO teilt der Auftragnehmer dem Auftraggeber nach Möglichkeit den Zeitpunkt sowie Art und Ausmaß des Vorfalls, das betroffene IT-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die daraufhin ergriffenen Maßnahmen mit. 6.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn Rechte des Auftraggebers an den personenbezogenen Daten beim Auftragnehmer durch Maßnahmen Dritter oder durch sonstige Ereignisse maßgeblich berührt werden. 6.5 Der Auftragnehmer ist verpflichtet, auf Verlangen des Auftraggebers sämtliche Auftraggeber-Daten herauszugeben. Vom Auftraggeber erhaltene Datenträger sind gesondert zu kennzeichnen und laufend zu verwalten. Kopien und Duplikate der personenbezogenen Daten dürfen ausschließlich nach vorheriger Zustimmung durch den Auftraggeber angefertigt werden, sofern sie nicht zur ordnungsgemäßen Durchführung dieser Vereinbarung bzw. des jeweiligen Projektauftrags oder zur Einhaltung von gesetzlichen Aufbewahrungspflichten dienen. 6.6 Sofern eine gesetzliche Pflicht besteht, benennt der Auftragnehmer einen Datenschutzbeauftragten (Art. 37 ff. DSGVO). Die Kontaktdaten des aktuellen Datenschutzbeauftragten befinden sich in Anlage 4 dieses Vertrages.  
  1. Sicherheit der Verarbeitung
7.1 Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen insbesondere die Fähigkeit ein, die Vertraulichkeit, die Integrität, die Verfügbarkeit sowie der Belastbarkeit der Systeme auf Dauer sicherzustellen und die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Der Auftragnehmer führt regelmäßig eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch und dokumentiert die Ergebnisse. 7.2 Der Auftragnehmer garantiert, dass er vor Beginn der Verarbeitung der Auftraggeber-Daten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen implementiert, während der Dauer der Verarbeitung aufrechterhält und wenn erforderlich dem Stand der Technik und dem Risiko der Verarbeitung anpassen wird. 7.3.  Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.  
  1. Kontrollrechte des Auftraggebers
8.1 Der Auftragnehmer räumt dem Auftraggeber ein Kontrollrecht zur Prüfung der Datenverarbeitung sowie Einhaltung dieses Vertrags bzw. des jeweiligen Projektauftrags ein. Insbesondere stellt der Auftragnehmer dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung und ermöglicht die Durchführung von Überprüfungen einschließlich Inspektionen. Die Kontrollhandlungen können ebenfalls durch einen zur Geheimhaltung verpflichteten Dritten vorgenommen werden, sofern es sich bei dem Dritten um keinen Konkurrenten des Auftragnehmers handelt. 8.2 Die Parteien sind sich einig, dass der Auftraggeber eine Überprüfung nach Ziffer 7.1 durchführt, indem er den Auftragnehmer anweist, nach seiner Wahl ein geeignetes Testat, einen Bericht oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Datenschutzauditor oder Qualitätsauditor) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit – z.B. nach ISO 27001 oder BSI-Grundschutz – („Prüfungsbericht“) vorzulegen. In begründeten Ausnahmen kann der Auftraggeber eigenständige Inspektionen durchführen. 8.3 Der Auftragnehmer verpflichtet sich, die Durchführung der Kontrollen zu unterstützen. Dies beinhaltet die Gewährung sämtlicher benötigter Zugangs-, Auskunfts- und Einsichtsrechte. Gleiches gilt für öffentliche Kontrollen durch die zuständige Aufsichtsbehörde gemäß den anwendbaren Datenschutzvorschriften. 8.4 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.  
  1. Unterauftragsverhältnisse
9.1 Der Auftragnehmer darf Unterauftragsverhältnisse mit weiteren Auftragsverarbeitern (Subdienstleister) begründen. Zurzeit beschäftigt der Auftragnehmer die in Anlage 3 bezeichneten Subdienstleister. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subdienstleistern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen innerhalb von zwei Wochen Einspruch zu erheben, wobei dies nicht ohne wichtigen datenschutzrechtlichen Grund erfolgen darf. Sofern der Auftraggeber keine begründeten Einwände innerhalb von 2 Wochen ab Mitteilung über die Änderung erhebt, gilt diese als durch den Auftraggeber genehmigt. Im Fall eines Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtige Änderung für den Auftragnehmer nicht zumutbar ist – die Leistung gegenüber dem Auftraggeber innerhalb von zwei Wochen nach Zugang des Einspruchs einstellen und die Zusammenarbeit fristlos und mit sofortiger Wirkung kündigen. 9.2 Ist die Beauftragung eines Subdienstleisters mit einer Übermittlung der Auftraggeber-Daten in ein Land außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraum (EWR) („Drittland“) verbunden, gelten zusätzlich die Vorgaben aus Ziffer 10. 9.3 Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Datenschutzpflichten, auch gegenüber dem Subdienstleister gelten und diesen gem. Art. 28 Abs. 4 DSGVO vor Aufnahme der Tätigkeiten entsprechend im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zu verpflichten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.  
  1. Übermittlung von Auftraggeber-Daten an Drittländer
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Übermittlung der Auftraggeber-Daten in ein Land außerhalb von EU/EWR („Drittland“) erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.  
  1. Rückgabe und Löschung von Auftraggeber-Daten
11.1 Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Abschluss der Erbringung der Verarbeitungsleistungen und insbesondere nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung der Zusammenarbeit) nach Wahl des Auftraggebers an den Auftraggeber herauszugeben oder datenschutzgerecht zu löschen (inkl. vorhandener Kopien). Von dem Auftraggeber erhaltene Datenträger sind an den Auftraggeber zurückzugeben oder unter Einhaltung einer angemessenen Schutzstufe zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Dies gilt nicht, sofern nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. 11.2 Dokumentationen und Protokolle, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.  
  1. Laufzeit und Kündigung
Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung der Zusammenarbeit. Eine Kündigung der Zusammenarbeit bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.  
  1. Vorrangklausel
Sofern in der Vergangenheit bereits eine individuelle Vereinbarung zum Datenschutz zwischen den Parteien geschlossen wurde, hat diese Vereinbarung Vorrang und gilt an Stelle dieses Vertrages.    
  Anlagen: Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Anlage 2: Technische und organisatorische Maßnahmen Anlage 3: Unterauftragnehmer Anlage 4: Datenschutzbeauftragter   Anlage 1: Art und Zweck der Datenverarbeitung, Art der Daten und Kategorien betroffener Personen Art und Zweck der Datenverarbeitung:
Die Datenverarbeitung im Auftrag erfolgt im Rahmen der Bereitstellung eines Coaching-Boards durch den Auftragnehmer für den Auftraggeber. Beim Coaching-Board handelt es sich um eine Online-Plattform zur Administration, Durchführung und Dokumentation von Coachings. Das Coaching-Board kann dazu verwendet werden, personenbezogene Daten der Coachees zu erheben, zu organisieren, zu speichern und zu verwenden. Es kann ein Austausch zwischen den Auftraggeber und deren Coachees stattfinden, indem den Coachees ebenfalls ein Zugang zu dem Coaching-Board eingerichtet wird. Die Zugänge werden vom Auftraggeber eingerichtet und verwaltet.
  Art der personenbezogenen Daten:
–          Vor- und Nachname –          E-Mail-Adresse –          Inhaltsdaten –          Nutzungsdaten –          Meta-Daten und Logfiles
  Kategorien betroffener Personen:
Coachees des Auftraggebers
      Anlage 2: Technische und organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO) und Verschlüsselung (Art. 32 Abs. 1 lit. a) DSGVO)
Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:
–   Eingangstüren werden stets verschlossen gehalten. –   Besucher/Externe werden begleitet bzw. abgeholt und stets beaufsichtigt. –   Schlüssel –   Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister zusätzliche Maßnahmen.
Zugangskontrolle/Verschlüsselung Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:
–   Zugang zu extern gehosteten/betriebenen IT-Systemen ist besonders gesichert (Verschlüsselung, VPN) –   Abschottung des Netzwerkes gegen ungewollte Zugriffe von außen (Firewall) –   Zugang zu IT-Systemen nur mit Benutzerkennung und individuellem Passwort möglich –   Zugangsberechtigungen werden dokumentiert. –   Passwortrichtlinie wird über Active Directory durchgesetzt. –   IT-Systeme werden bei wiederholt erfolglosem Anmeldeversuch automatisch gesperrt. –   Mobile Datenträger sind verschlüsselt (Hardwareverschlüsselung). –   Bildschirmsperre an Arbeitsstationen, automatische Sperrung bei längerer Abwesenheit –    Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister zusätzliche Maßnahmen.
Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:
–   Individuelle Zugriffsrechte für jeden einzelnen Benutzer (in einem schriftlichen Berechtigungskonzept dokumentiert), zentrale Verwaltung und Steuerung –   Zugriffsberechtigungen werden aufgabenbezogen und nach dem Need-to-know-Prinzip erteilt. –   Regelmäßige Überprüfung der Zugriffsberechtigungen. Nicht mehr erforderliche Berechtigungen werden unverzüglich entzogen. –    Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister zusätzliche Maßnahmen.
Trennungskontrolle/Zweckbindungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
–   Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister folgende Maßnahmen: o   Trennung der Zugriffsregelungen über Datenbankprinzip o   Softwareseitige Mandantentrennung o   Trennung von Produktiv- und Testsystemen (in getrennten Datenbanken)
2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO)
Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
–   Übermittlungen personenbezogener Daten sind im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. –   Datenspeicherung und -verarbeitung erfolgt auf IT-Systemen im Rechenzentrum. Verbindung zwischen Clients und Server ist besonders gesichert (Verschlüsselung, VPN). –   Mitbringen und verwenden privater Datenträger ist untersagt. Es dürfen nur verschlüsselte betriebliche Datenträger genutzt werden. –   Wiederbeschreibbare Datenträger werden vor der Wiederverwendung nach Standard DOD 5220-220.M gelöscht. –   Bei Hardwaretausch werden Festplatten vorher ausgebaut. –   Kontrollierte Vernichtung von Datenträgern mit Protokollierung (physische Vernichtung, zertifizierter Entsorger). –   Besucher haben keinen Zugriff auf betriebliches LAN/WLAN. –   Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister zusätzliche Maßnahmen.
Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:
–   Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister folgende Maßnahmen: o   automatisierte Protokollierung der Dateneingabe, Änderung oder Löschung o   Protokollierung der Aktivitäten des Systemverwalters und sämtlicher Benutzer o   Protokollierung aller Aktivitäten auf dem Server o   Sicherung der Protokolldaten gegen Verlust oder Veränderung
  3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DSGVO), rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DSGVO
Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (die Angaben beziehen sich auf eigene IT-Systeme des Auftragnehmers):
–   Die Daten werden in einem externen Rechenzentrum gespeichert. Dort gewährleistet der Dienstleister folgende Maßnahmen: o   Datensicherheitskonzept o   Versionierte Daten- und Systembackups nach Backup-Plan (täglich/wöchentlich) o   Festplattenspiegelung (RAID), Backup-Rechenzentrum o   Schadsoftwareschutz o   Sicherheitsrelevante Updates und Patches werden regelmäßig und zeitnah eingespielt. o   Unterbrechungsfreie Stromversorgung
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO, Art. 25 Abs. 1 DSGVO)
Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:
–   Auftragnehmer werden sorgfältig ausgesucht. –   Klare und unzweifelhafte vertragliche Regelungen zur Datenverarbeitung –   Formalisiertes Weisungsmanagement –   Kontrolle des Auftragnehmers durch die Geschäftsführung oder den Datenschutzbeauftragten.
Datenschutz-Management Maßnahmen, die eine Steuerung der Datenschutzprozesse ermöglichen und die Einhaltung der datenschutzrechtlichen Vorgaben nachweisbar sicherstellen:
–   Es existiert ein dokumentiertes Datenschutz-Management-System. –   Es wurde eine fachkundige Person zum Datenschutzbeauftragten benannt. –   Beschäftigte werden regelmäßig im Datenschutz geschult und sensibilisiert und sind über die Vertraulichkeit von Daten belehrt.
5. Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO, Art. 25 Abs. 1 DSGVO) Maßnahmen, die gewährleisten, dass personenbezogene Daten in einer Weise verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
 
    Anlage 3: Unterauftragnehmer  
Name Anschrift/Land Auftragsinhalt
Codecan solutions GmbH Schmalzhofgasse 4 1060 Wien Österreich Produkt-Entwicklung und Hosting der technischen Infrastruktur
      Anlage 4: Datenschutzbeauftragter  Datenschutzbeauftragter der LINC GmbH   David Oberbeck Herting Oberbeck Datenschutz GmbH datenschutzbeauftragter@linc-institute.de