Auftragsverarbeitungs-Vertrag

Präambel

Der Auftraggeber möchte den Auftragnehmer mit den in Ziff. 1 und 2 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten („Daten“). Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien den nachfolgenden Vertrag:

1. Anwendungsbereich und Verantwortlichkeit

Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Kommunikationstechnik auf Grundlage des Hauptvertrages. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO und verarbeitet diese im Auftrag des Auftraggebers.

Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien den vorliegenden Vertrag. Die Regelungen des vorliegenden Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor.

Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

Der Auftraggeber verpflichtet sich seine Mitarbeiter und sonstige bei ihm beschäftigte Personen, deren Daten auf Grundlage des Hauptvertrages und dieses Vertrages durch den Auftragnehmer verarbeitet werden („Meldende“), über die Datenverarbeitung gemäß Art. 13, 14 DSGVO, zu informieren. Zur Erfüllung dieser Informationspflichten dient das Informationsblatt „Informationen für Meldende“, das der Auftraggeber den Meldenden aushändigen wird.

Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.

Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

2. Gegenstand und Umfang der Verarbeitung personenbezogener Daten

Umfang und Zweck der Datenverarbeitung ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung. Im Rahmen der Durchführung des Hauptvertrages erhält der Auftragnehmer Zugriff auf folgende Arten von personenbezogenen Daten von den folgenden betroffenen Personen zu folgenden Zwecken:

Art der Daten Art und Zweck der Verwendung Betroffene Personen
Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Passwort Erstellung eines Nutzerprofils für die Bearbeitung von Meldungen Vertrauenspersonen1
Geschlecht Information für die/den Meldende/n bei der Auswahl der Vertrauensperson Vertrauenspersonen
Allgemeine Arbeitszeiten2 Generierung individueller Begrüßungsnachrichten für die/den Meldende/n Vertrauenspersonen
Foto2 Verwendung im Chat und ggf. auf anderen Seiten zum Zweck der Vertrauensbildung Vertrauenspersonen
E-Mail-Adresse, Vorname, Nachname2, 3 Benachrichtigung für:
  • Eingangsbestätigung der Meldung
  • Neue Nachrichten
  • Änderungen des Fallstatus
  • Änderungen der Vertrauensperson(en)
  • Abschluss des Vorfalls
Meldende
Vorfallkategorie, Vorfalltyp, Geschlecht2
Zeitpunkt des Vorfalls2
Zeitpunkt des Vorfallsmeldung2
Häufigkeit des Vorfalls2
  • Information für Vertrauensperson
  • Statistische Erfassung im Dashboard
Meldende
Inhalt des Nachrichtenverlaufs, Vorname, Nachname3 Information für Vertrauensperson zur Bearbeitung der Beschwerde/des Anliegens Personen, über die eine Beschwerde abgegeben wird

Sofern der Auftragnehmer lediglich das Kommunikationssystem dem Auftraggeber zur Verfügung stellt (d.h. die Anliegen der Meldenden werden ausschließlich von Case Managern des Auftraggebers bearbeitet), so erhält der Auftragnehmer keinen Einblick in und keine Kenntnis vom Inhalt der Nachrichtenverläufe.

Sofern der Auftragnehmer gemäß des Hauptvertrags auch das Beschwerdemanagement (d.h. die Anliegen der Meldenden werden von Case Managern des Aufragnehmers bearbeitet) für den Auftraggeber übernimmt, so wird der Auftragnehmer auch für das Beschwerdemanagement ausschließlich weisungsgebunden tätig. Allein in diesem Fall erhält der Auftragnehmer Einsicht und Kenntnis vom Inhalt des Nachrichtenverlaufes zwischen dem Meldenden und dem von ihm eingesetzten Case Manager. Der Auftragnehmer hat in diesem Fall dem Auftraggeber Einsicht in die Nachrichtenverläufe zu gewähren, insbesondere wenn

  • der Auftraggeber einen begründeten Verdacht aufgrund seiner (Fürsorge-)pflichten als Arbeitgeber i.S.d. ArbSchG, StGB, BetrVG, AGG o.ä. Gesetzestexten äußert, oder
  • der Auftragnehmer im Rahmen des Beschwerdemanagements feststellt, dass die Offenlegung des Nachrichtenverlaufes gegenüber dem Auftraggeber im Sinne seiner (Fürsorge-)Pflichten i.S.d. ArbSchG, StGB, BetrVG, AGG o.ä. Gesetzestexten zweckdienlich ist, bzw. Gefahr in Verzug besteht.

Die Datenverarbeitung im Rahmen des vom Auftragnehmer übernommenen Beschwerdemanagements erfolgt durch ausgebildetes Fachpersonal des Auftragnehmers. Meldende, die ausdrücklich erklärt haben, dass sie anonym bleiben möchten, werden vor der Einsichtnahme durch den Auftraggeber gemäß des vorgenannten Absatzes dieser Ziffer anonymisiert bzw. unkenntlich gemacht. In diesem Fall erhält der Auftraggeber bzw. dessen Case Manager allein Kenntnis vom Inhalt des Anliegens des Meldenden, nicht jedoch von der Identität des Meldenden.

3. Pflichten des Auftragnehmers​

Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten.. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oderabgeändert wurde.

Der Auftragnehmer trifft alle erforderlichen Schutzmaßnahmen zum angemessenen Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO. Näheres ist in Ziff. 5 dieses Vertrages geregelt.

Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen, soweit keine angemessene gesetzliche Verschwiegenheitspflicht besteht. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

Beim Auftragnehmer ist ein Datenschutzbeauftragter für den Datenschutz bestellt. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung des Auftraggebers in geeigneter Weise nach.

Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

4. Pflichten des Auftraggebers​

Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt Ziff. 3 Abs. 8 entsprechend.

Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Hauptvertrages anfallende Datenschutzfragen.

5. Technische und organisatorische Maßnahmen​

Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO. Hierzu wird der Auftragnehmer insbesondere (i) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, sowie (ii) die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall seitens des Auftragnehmers rasch wiederherzustellen, gewährleisten. Der Auftragnehmer hat vor Beginn der Verarbeitung der Daten die in Anlage A dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren und während der Dauer dieses Vertrags aufrechtzuerhalten.

Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage A festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

Dem Aufraggeber sind die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

6. Meldungen von Verletzungen des Schutzes der Daten​

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen und potentielle des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer hat den Auftraggeber hierbei nach Möglichkeit auch über die Art der Verletzung mit Angabe der Kategorien und der Anzahl der betroffenen Personen, der betroffenen Datensätze und deren Anzahl zu informieren.

Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen, informiert hierüber den Auftraggeber und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

Der Auftragnehmer ist verpflichtet, sämtliche (potentiellen) Verletzungen des Schutzes der Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten (z.B. nach Art. 33, 34 DSGVO) ermöglicht.

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber im Sinne der DSGVO liegen.

7. Anfragen betroffener Personen​

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

8. Nachweismöglichkeiten​

Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.

Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden des Auftragnehmers und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu, sofern der Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt.

Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

9. Drittanbieter​

Der Einsatz von Drittanbietern als weiteren Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat.

Ein zustimmungspflichtiges Drittanbieterverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Hauptvertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung von Drittanbietern durchgeführt:

  1. Hosting der der Anwendung über den Dienst “Open Telekom Cloud“ in Magdeburg, Deutschland durch die Telekom Deutschland GmbH in Landgrabenweg 151, 53227 Bonn, Deutschland
  2. Monitoring der Applikation inkl. Logfiles durch die AppSignal B.V. in Herengracht 504, 1017 CB Amsterdam, Niederlande
  3. Monitoring der Applikation inkl. Logfiles und Fehlermeldungen durch die Functional Software, Inc. tätig als Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA
  4. Versenden von Benachrichtigungen dur die Mailjet GmbH, Rankestr. 21, 10789 Berlin, Deutschland

Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Drittanbieter holt der Auftragnehmer die Zustimmung des Auftraggebers ein, wobei diese nicht ohne wichtigen datenschutzrechtlichen Grund verweigert werden darf.

Eine Weitergabe von Aufträgen im Rahmen der in dem Hauptvertrag vereinbarten Tätigkeiten an Drittanbieter durch den Auftragnehmer erfolgt nicht.

Erteilt der Auftragnehmer Aufträge an Drittanbieter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Drittanbieter zu übertragen.

10. Haftung und Schadensersatz​

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

11. Vertragsdauer und Kündigung​

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrages bewirkt automatisch die Kündigung dieses Vertrages. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen.

Der Auftraggeber ist zu einer außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags berechtigt, wenn der Auftragnehmer gegen wesentliche Pflichten aus diesem Vertrag oder gegen Wei­sungen des Auftraggebers verstößt und er den jeweiligen Verstoß auf Abmahnung des Auftraggebers hin nicht behebt.

12. Beendigung des Hauptvertrages​

Nach Beendigung dieses Vertrags hat der Auftragnehmer nach Wahl des Auftraggebers sämtliche Daten des Auftraggebers zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Pflicht zur Speichernden der personenbezogenen Daten besteht, oder in geeigneter Weise zurückzugeben.

Im Falle der Löschung der -Daten des Auftraggebers hat der Auftragnehmer diese in einem Protokoll zu dokumentieren.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, hat der Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

13. Schlussbestimmungen​

Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein, so berührt dies nicht die Wirksamkeit der jeweils übrigen Bestimmungen dieses Vertrages.

Dieser Vertrag unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Münster.

[1] Fallbearbeiter sollten geschulte Personen aus mindestens einer der folgenden Gruppen sein: Vertrauenspersonen, Gleichstellungsbeauftrage, Compliance-Beauftragte, Ethikbeauftragte, Personalreferenten, Betriebsratsmitglieder, Interne/Externe Juristen, Interne/Externe Psychologen

[2] Freiwillige Angabe

[3] Eine Verarbeitung und Kenntnis dieser Daten durch den Auftragnehmer erfolgt nur dann, wenn der Auftragnehmer auch das Beschwerdemanagement übernimmt

Anlage A – Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO​

1. Vertraulichkeit (Art. 32 I lit. b) DSGVO)

a. Zutrittskontrolle

Die Anwendungsdaten werden in zwei verschiedenen Räumlichkeiten verarbeitet, im Büro von Lytt und in von Unterauftragnehmern zur Verfügung gestellten Rechenzentren.

Rechenzentrum

Lytt nutzt für den Serverbetrieb im Rechenzentrum einen Unterauftragnehmer, die Open Telekom Cloud der Telekom Deutschland GmbH. Der Unterauftragnehmer wird entsprechend der Vereinbarung zur Auftragsvereinbarung durch Lytt geprüft. Das Rechenzentrum des von Lytt beauftragten Unterauftragnehmers erfüllt mindestens folgende Anforderungen an:

Zutrittskontrollen

  • Alarmüberwachung
  • Personenüberprüfung und -identifikation bei Zutritt
  • Zutrittsprotokollierung
  • Kameraüberwachung sowie Bewegungs- und Einbruchsmelder
  • Personenkontrolle und -überwachung durch Vor-Ort-Personal

Diese Sicherheitsmaßnahmen werden durch die Unterauftragnehmer rund um die Uhr an sieben Tagen pro Woche sichergestellt.

Büroräume

Die Büroräume der Lytt GmbH liegen im 4. OG am Alter Fischmarkt 12 in 48143 Münster. Der Zugang zu den Büroräumen ist durch folgende Maßnahmen geschützt:

  • Transponder-Schließsystem
  • Zutrittsprotokollierung
  • Dokumentierte Aus- und Rückgabe bzw. Sperrung der Transponder

b. Zugangskontrolle​

Für die Rechner der Mitarbeitenden, für eigene Server als auch für externe Dienste (z.B. zur Administration von gemieteten Servern) unternimmt Lytt umfangreiche Maßnahmen, um die Nutzung durch Unbefugte zu verhindern:

  • Alle nicht-öffentlichen Dienste sind grundsätzlich durch individuelle Benutzername/Passwort-Kombinationen geschützt.
  • Die Anmeldung bei kritischen Diensten ist nur mit Zwei-Faktor-Authentifizierung möglich, d.h. mit Benutzername, Passwort und einem zusätzlichem, getrennt generierten Einmaltoken.
  • Ein externer Zugang zum Büronetzwerk ist nur über eine verschlüsselte VPN-Verbindung möglich.
  • Sofern die Mitarbeitenden firmeneigene Smartphones nutzen, sind diese durch Vollverschlüsselung geschützt und können bei Diebstahl oder Verlust durch eine zentrale Administrationsplattform gelöscht werden.
  • Die Daten auf den Rechnern der Mitarbeitenden sind vollständig verschlüsselt und nur nach Anmeldung durch den Nutzer entschlüsselbar, um einen Zugriff auf die Daten bei Verlust oder Diebstahl des Rechners zu verhindern.
  • Durch den ausschließlichen Einsatz von Linux- und Apple-Computern reduzieren sich die Angriffsmöglichkeiten auf die Systeme deutlich.

c. Zugriffskontrolle​

Lytt stellt durch verschiedene Maßnahmen sicher, dass Personen nur entsprechend der ihnen eingeräumten Zugriffsberechtigung auf IT-Systeme und die darauf gespeicherten Daten zugreifen können. Dies wird durch folgende Maßnahmen erreicht:

  • Benutzer und ihre Zugriffsrechte werden zentral verwaltet, aktiviert und gesperrt.
  • Die Verwaltung der Nutzer für sicherheits- und datenschutzrelevante Systeme ist nur durch den Geschäftsführer und einen leitenden Angestellten möglich.
  • Für den Zugriff auf die verwendeten Systeme werden, sofern technisch möglich, Passwortrichtlinien inkl. Passwortlänge und Änderungsintervallen vorgegeben.
  • Für die ordnungsgemäße Vernichtung von Dokumenten und optischen Datenträgern wird ein Aktenvernichter der Sicherheitsstufe 3 gemäß DIN 32757 genutzt.

d. Trennungskontrolle​

Mit den folgenden Maßnahmen realisiert Lytt die Trennung der Daten verschiedener Kunden bzw. Kundenprojekte:

  • Beim Betrieb werden die Daten verschiedener Kunden auf jeweils eigenen Servern gespeichert
  • Produktiv- und Testsysteme werden getrennt betrieben
  • Sofern eine logische Mandantentrennung innerhalb der Anwendung notwendig ist, wird dies gemeinsam mit dem Auftraggeber im Rahmen der Anwendungsentwicklung vorgenommen.

e. Pseudonymisierung und Verschlüsselung (Art. 32 I lit. a) DSGVO)

Lytt gewährleistet, dass Datensätze auch bei der Datenübermittlung an Dritte pseudonymisiert und verschlüsselt werden.

2. Integrität (Art. 32 I lit. b) DSGVO)​

a. Weitergabekontrolle​

Daten zwischen Auftraggeber und Auftragnehmer werden ausschließlich elektronisch übertragen, ein Datentransport per Datenträger findet nicht statt. Dementsprechend werden folgende Maßnahmen zur Sicherung der personenbezogenen Daten bei der Übertragung vorgenommen:

  • Daten werden ausschließlich verschlüsselt (per SSH-, TLS- oder VPN-Verbindung) übertragen.
  • Falls Anwendungsdaten zur Demonstration von Funktionen der Anwendung benötigt werden (sogenannte Test-Daten), werden diese vor der Übertragung auf das Testsystem pseudonymisiert.
  • Zugriffe auf Systeme mit personenbezogenen Daten werden protokolliert.

b. Eingabekontrolle​

Folgende Maßnahmen gewährleisten die Überprüfung und Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:

  • Im Rahmen der Anwendungsentwicklung und des Betriebs der Anwendung erfolgt keine Eingabe oder Änderung von Anwendungsdaten durch Lytt. Dies obliegt allein dem Auftraggeber.
  • Das Löschen von Datensicherungsdateien im Rahmen des Betriebs erfolgt nach der vom Auftraggeber festgelegten Frist.
  • Maßnahmen innerhalb der Anwendung, die die Nachvollziehbarkeit von Datenänderungen sicherstellt und Lösch- und Sperrfristen umsetzt, sind durch den Auftraggeber im Rahmen der Zusammenarbeit zu beauftragen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 I lit. b) DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt im Rechenzentrum des Unterauftragnehmers und in den Büroräumen von Lytt. Dementsprechend sind beim Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust die Maßnahmen für die beiden Standorte zu unterscheiden.

a. Rechenzentrum​

Der Unterauftragnehmer für den Serverbetrieb im Rechenzentrum ist vertraglich verpflichtet, mindestens mit den folgenden Maßnahmen die Verfügbarkeit sicherzustellen:

  • Betrieb einer unterbrechungsfreien Stromversorgung
  • Temperatur- Feuchtigkeits- und Klimaüberwachung
  • Feuer- und Rauchmeldeanlagen
  • Automatische Löschanlagen

b. Wiederherstellbarkeit (Art. 32 I lit. c) DSGVO)​

Zum Schutz der personenbezogenen Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung werden alle relevanten Daten täglich gesichert (Artikel 32 DSGVO).

Die Datensicherung umfasst sowohl die Datenbank als auch alle hochgeladenen Dateien in Onlinespeichern. Hierdurch ist die Integrität aller erhobenen Daten gewährleistet.

Die Backups werden täglich durchgeführt und in einem vom normalen Betrieb getrennten Speicher gesichert. Die Aufbewahrungsfristen sind wie folgt:

  • Tägliche Sicherung für einen Monat (30 Tage)
  • Wöchentliche Sicherung für ein Jahr

Nach Ablauf der jeweiligen Fristen werden sämtliche Daten unwiederbringlich gelöscht. Es werden jeweils alle Dateien vollständig gesichert (nicht-inkrementell), sodass für das Wiederherstellen die Integrität von nur einem Backup gegeben sein muss.

Das Ergebnis der Datensicherung wird vor der Übertragung in den Sicherungsspeicher verschlüsselt. Hierbei wird die synchronen, höchsten Sicherheitsstandards genügende AES Verschlüsselung mit einer Schlüssellänge von 256 bit verwendet. Der Schlüssel wird in einem Schlüsselbund gesichert, auf den lediglich Administratoren Zugriff haben. Der vom normalen Betrieb getrennte Speicher wird mit denselben Vorkehrungen gesichert wie die Infrastruktur des normalen Betriebs: Selektive Zugriffe nur für notwendige Personen (Administratoren) und zwei-Faktor-Authentifizierung. Erst bei einer Wiederherstellung der Daten wird die Sicherung außerhalb des Sicherungsspeichers wieder entschlüsselt. So liegen niemals unverschlüsselte Daten im Speicher. Die Übertragung der Sicherung selbst erfolgt ebenfalls über eine verschlüsselte Verbindung. Somit sind Daten In-Transit als auch At-Rest immer verschlüsselt.

Um der Speicherbegrenzung gerecht zu werden, werden vor Inbetriebnahme einer wiederhergestellten Datensicherung die für personenbezogene Daten relevanten, automatisierten Sperr- und Löschregeln auf die Daten angewandt. Hierdurch wird sichergestellt, dass Daten, welche zwischenzeitlich gelöscht wurden aber in der Sicherung aber noch vorhanden waren, erneut gelöscht werden (Artikel 5 DSGVO).

Das Programm, welches die Daten sichert, wird ebenfalls zur Wiederherstellung der Daten genutzt. Sowohl Sicherung als auch Wiederherstellung werden dokumentiert und sind durch autorisierte Personen (siehe oben) einfach umsetzbar.

Die tägliche Datensicherung wird überwacht. Bei einem Fehler werden qualifizierte Mitarbeiter umgehend benachrichtigt. Die Benachrichtigung erfolgt über ein Eskalationssystem, welches zunächst SMS und dann automatisierte Telefonanrufe bei den Mitarbeitern durchführt. Erst bei Bestätigung der Mitarbeiter wird die Eskalation gestoppt. Darüber hinaus wird bei einem Fehler automatisch mehrfach versucht, die Datensicherung neu zu starten.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 I lit. d) DSGVO)

Um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend der Weisungen des Auftraggebers verarbeitet werden, unternimmt Lytt u.a. die folgenden Maßnahmen:

  • Überprüfung vorhandener Zertifizierungen von Unterauftragnehmern (speziell gemäß ISO 9001, ISO 27001 und ISO 27018)
  • Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung oder von EU-Standardvertragsklauseln
  • Überprüfen von sonstigen Dokumentationen und Rechercheergebnissen, die eine Beurteilung der Zuverlässigkeit eines Anbieters ermöglichen
  • Kontrolle der Vertragsausführung

5. Verpflichtung der mit der Datenverarbeitung beschäftigten Personen (Art. 32 Abs. 4 DSGVO)

Lytt gewährleistet, dass Personen und freie Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen bzw. des Auftragverarbeiters verarbeiten und unternimmt hierzu folgende Maßnahmen:

  • Aufklärung über die Rechte und Pflichten im Umgang mit personenbezogenen Daten
  • Abschluss einer Vertraulichkeitsverpflichtung zwischen Lytt und den Personen
  • Regelmäßige Schulungen im Umgang mit personenbezogenen Daten

6. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1 und 2 DSGVO)​

a) Datenschutz durch Technikgestaltung​

Die über das Kommunikationssystems von Lytt geführten Chatverläufe erfolgen sind stets verschlüsselt (Zwei-Wege-Kommunikation). Ferner ist eine Rollenkonzeption zur Einschränkung des Datenzugriffs und zu Beschränkung von Benutzerrechten eingerichtet worden. Darüber hinaus nutzt Lytt flexible Audit Trails, so dass die Datenminimierung gewährleistet ist.

b) Datenschutzfreundliche Voreinstellungen​

Im Rahmen des Kommunikationssystems von Lytt werden Chatverläufe automatisch verschlüsselt gespeichert. Zugriffsrechte sind automatisch an die verschiedenen Benutzerrollen (Admin, Meldende, Dritte, Case Manager) angepasst bzw. beschränkt. Zugriffsrechte der Mitarbeiter von Lytt auf Endgeräte, die an das Netzwerk von Lytt angeschlossen sind, sind automatisch beschränkt.

Stand: August 2019