Zuletzt aktualisiert: 25. Juni 2026
Der Auftragnehmer (raumobil GmbH, Auer Straße 19, 76227 Karlsruhe) stellt im Rahmen der beauftragten Leistungserbringung (nachfolgend „Hauptvertrag“ genannt) dem Auftraggeber die Anwendung smap und smapBot zur Verfügung. Hierbei ist es erforderlich oder zumindest nicht auszuschließen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit den Daten des Auftraggebers zur Durchführung des Hauptvertrags.
(1) Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
(2) Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Erbringung der Hauptleistung. Art und Zweck der Verarbeitung personenbezogener Daten: Der Auftragnehmer hostet und betreibt die vertragsgegenständliche Anwendung smap und smapBot (KI-Anwendung) im Rahmen der Leistungserbringung und verarbeitet zu diesem Zweck personenbezogene Daten von Nutzern der Anwender.
(3) Die Dauer der Datenverarbeitung und die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
(4) Gegenstand der Erhebung und Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien: Nutzungsdaten (z.B. Standortdaten, Buchungsdaten, Nutzereingaben in smapBot), Logfiles (z.B. Browserinformationen, Zeitstempel, IP-Adresse, Cookie-IDs), Zugangsdaten
(5) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Nutzer der Anwendungen
(6) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
(1) Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Daten des Auftraggebers Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
(2) Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
(1) Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der Europäischen Union oder ihrer Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Weisungen werden anfänglich durch den Hauptvertrag und dieser Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Einzelweisungen, die von den Festlegungen dieser Vereinbarung abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten.
(2) Weisungen des Auftraggebers dürfen die vertraglich vereinbarten Leistungspflichten aus dem Hauptvertrag nicht unmöglich machen.
(3) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
(4) Der Auftragnehmer hat ausschließlich nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
(5) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
(1) Der Auftragnehmer sichert die Umsetzung und Einhaltung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO vor Beginn der Verarbeitung zu. Diese sind durch den Auftragnehmer in der beigefügten Anhang 1 („Übersicht über die technischen und organisatorischen Maßnahmen“) dokumentiert.
(2) Die im vorgenannten Anhang dokumentierten Maßnahmen sind Grundlage dieser Vereinbarung. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(1) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
(2) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten.
(4) Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den gesetzlichen Bestimmungen zu bestellen ist) und einen Ansprechpartner für etwaige Datenschutzanfragen im Rahmen dieser Auftragsverarbeitung.
(5) Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit zu verpflichten.
(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Artt. 33, 34 DSGVO vorliegen. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.
(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Dem Auftraggeber obliegen die aus Artt. 33, 34 DSGVO resultierenden Meldepflichten.
(1) Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu erteilen oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber angesichts der Art der Verarbeitung bei der Erfüllung dieser Pflichten nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
(2) Der Auftragnehmer unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten.
(3) Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehenden und nachzuweisenden Aufwände und Kosten sind vom Auftraggeber zu ersetzen.
(4) Im Falle einer Inanspruchnahme einer Vertragspartei durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich die in Anspruch genommene Vertragspartei, die andere Vertragspartei unverzüglich zu informieren. Die Vertragsparteien werden sich bei der Abwehr des Anspruchs gegenseitig unterstützen.
(1) Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 3 lit. h DSGVO stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß des Anhangs zu dieser Vereinbarung überzeugen kann.
(2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung dieser Kontrollen erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
(3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
(4) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen die Daten des Auftraggebers verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß des Anhangs zu dieser Vereinbarung zu überzeugen.
(5) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß des Anhangs zu dieser Vereinbarung anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz), einer Bestätigung der Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder der Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO erbracht werden, wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß des Anhangs zu dieser Vereinbarung zu überzeugen.
(6) Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen.
(7) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen.
(8) Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand.
(1) Die Weitergabe von Aufträgen im Rahmen der im Hauptvertrag konkretisierten Tätigkeiten an Subunternehmer oder Unterauftragnehmer (im Folgenden einheitlich: Unterauftragnehmer) durch den Auftragnehmer bedarf der vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung durch den Auftraggeber. Gleiches gilt für die Ersetzung eines bestehenden Unterauftragnehmers.
(2) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Unterauftragnehmer hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anhang 2 („Übersicht über die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. § 9 Abs. 2“), für welche die Genehmigung mit Unterzeichnung dieser Vereinbarung als erteilt gilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Genehmigung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
(3) Erteilt der Auftragnehmer unter Beachtung von Abs. 1 Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Artt. 44 ff. DSGVO sicher.
(5) Keiner Genehmigung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann, wie z.B. Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann nicht nur Nebenleistungen dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten des Auftraggebers, die Gegenstand dieser Vereinbarung sind, zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Daten des Auftraggebers enthalten, an den Auftraggeber auszuhändigen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(2) Führt eine vom Auftraggeber verlangte Löschung der Daten des Auftraggebers dazu, dass der Auftragnehmer seine Leistungspflichten nach dem Hauptvertrag nicht mehr ordnungsgemäß erbringen kann, wird der Auftragnehmer von der Verpflichtung zur Leistung frei.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdrücklich etwas anderes vereinbart.
(1) Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen des Anhangs - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Ausschließlicher Gerichtsstand für alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.
(4) Es gilt deutsches Recht.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Maßnahmen, die eine Pseudonymisierung von Daten gewährleisten.
Maßnahmen, die eine Verschlüsselung von Daten gewährleisten.
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind – Gewährleistung der Verfügbarkeit von Daten.
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind – Gewährleistung der Belastbarkeit der Systeme.
Gewährleistung der Wiederherstellbarkeit von Daten und Systemen.
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Maßnahmen, die gewährleisten, dass Methoden evaluiert wurden, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu planen, organisieren, steuern und kontrollieren.
Maßnahmen, die gewährleisten, das Sicherheitsvorfällen vorgebeugt werden kann oder im Falle von bereits eingetretenen Sicherheitsvorfällen, dass Daten und Systeme geschützt werden können und eine schnelle Analyse und Behebung des Sicherheitsvorfalls durchgeführt werden kann.
Maßnahmen, die gewährleisten, das bereits durch die entsprechende Technikgestaltung (privacy by design) und Werkseinstellungen (privacy by default) einer Software vorab ein gewisses Datenschutzniveau herrscht.
| Firma Unterauftragnehmer | Anschrift/Land | Beschreibung der übernommenen Teilleistung | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| DigitalOcean, LLC. | 101 6th Avenue, New York, USA | Serverhoster. ISO 27001 zertifiziertes Rechenzentrum mit Standort in Frankfurt/Main | EU-U.S. Data Privacy Framework (Art. 45 Abs. 1 DSGVO); hilfsweise EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| Atlassian | 341 George Street, Sydney, Australien | Jira Service Management (Managing von Support-Anfragen) | EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| Geofabrik GmbH | Amalienstraße 44, 76133 Karlsruhe | Kartendienstleister | Kein Drittlandtransfer |
| Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Irland | Push Notifications über den Dienst Firebase Cloud Messaging | Kein Drittlandtransfer |
| LoyJoy GmbH | Kapuzinerstraße 20, 48149 Münster | Betreiber KI-System | Kein Drittlandtransfer |