Vertrag zur Auftragsverarbeitung

§ 1 Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus dem zwischen der

loyos bi GmbH
Media Docks, Willy-Brandt-Allee 31b, 23554 Lübeck, Deutschland

als Auftragsverarbeiter (im Folgenden „Auftragnehmer“) und dem Kunden als Verantwortlichem (im Folgenden „Auftraggeber“) abgeschlossenen Hauptvertrag ergeben. Der Auftraggeber beauftragt den Auftragnehmer gemäß Hauptvertrag mit den in § 2 genannten Leistungen. Teil der Vertragsdurchführung ist u.a. die Verarbeitung von personenbezogenen Daten. Die Datenschutzgrundverordnung (DSGVO, englisch: General Data Protection Regulation, GDPR) stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Sofern der Auftraggeber seinen Sitz in der Schweiz hat, kommen zudem die Anforderungen des Bundesgesetzes über den Datenschutz der Schweizerischen Eidgenossenschaft (Datenschutzgesetz, DSG) zum Tragen. Sofern der Auftraggeber seinen Sitz im Vereinigten Königreich (UK) hat, kommen neben der DSGVO die Anforderungen des UK GDPR und des Data Protection Act 2018 (DPA 2018) zum Tragen. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung. Die in diesem Vertrag verwendeten Begriffe haben die gleiche Bedeutung wie in der DSGVO, im UK GDPR, im DPA 2018 sowie im DSG. Sofern die Bezeichnungen in den Gesetzen nicht deckungsgleich sind (Beispiel: die DSGVO spricht vom Auftragsverarbeiter, das DSG von einem Auftragsbearbeiter), wird in dieser Vereinbarung der Einfachheit halber der Wortlaut der DSGVO verwendet. Ziel dieser Vereinbarung ist, die Verarbeitung personenbezogener Daten so zu regeln, dass sowohl die Vorgaben der DSGVO als auch die des UK GDPR, des DPA 2018 und des DSG eingehalten werden.  

§ 2 Vertragsgegenstand

(1) Der Auftragnehmer und der Auftraggeber haben einen Vertrag abgeschlossen („Hauptvertrag“), der den Auftragnehmer dazu verpflichtet, Dienstleistungen im Bereich von App- bzw. browserbasierten Reportinglösungen zu erbringen und diese Lösungen für den Auftraggeber zu betreiben. Dabei erhält der Auftragnehmer u.a. auch Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag und ggf. der dazugehörigen Leistungsbeschreibung. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
(2) Die beiderseitigen datenschutzrechtlichen Rechte und Pflichten werden durch die vorliegende Vereinbarung konkretisiert. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(4) Der Auftraggeber stellt sicher, dass, falls der Auftragnehmer für diesen Vertrag relevante Daten auch von verbundenen Unternehmen des Auftraggebers verarbeitet, der Auftraggeber mit diesen verbundenen Unternehmen die notwendigen Vereinbarungen geschlossen hat.  

§ 3 Weisungsrecht

(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftraggeber darf seine anfänglich durch den Hauptvertrag oder diesen Vertrag festgelegten Weisungen jederzeit in schriftlicher Form oder in Textform durch einzelne Weisungen ändern, ergänzen oder ersetzen (Einzelweisung). Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Einzelweisungen dürfen grundsätzlich nur von der Geschäftsführung des Auftraggebers erteilt werden. Sollen Einzelweisungen auch durch Mitarbeiter des Auftraggebers erteilt werden dürfen, teilt der Auftraggeber dies dem Auftragnehmer schriftlich oder in Textform mit. Der Auftraggeber kann dazu entweder die Namen oder die Rolle(n) der berechtigten Mitarbeiter nennen. Der Auftragnehmer muss der Einzelweisung eines Mitarbeiters erst Folge leisten, wenn der Mitarbeiter dem Auftragnehmer als weisungsberechtigt benannt wurde. Er darf solange auf die Berechtigung des Mitarbeiters vertrauen, bis die Geschäftsführung des Auftraggebers dem Auftragnehmer mitteilt, dass das Weisungsrecht nicht länger besteht.
(3) Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.  

§ 4 Art und Zweck der Verarbeitung, Art der Daten, Kreis der Betroffenen, Dauer der Verarbeitung

(1) Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO/UK GDPR zur Erfüllung des Auftrags. Zwecke der Verarbeitung sind alle zur Erbringung der im Hauptvertrag vereinbarten Leistungen in den Bereichen Beratung, Setup, Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
(2) Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Im Rahmen der Durchführung des Hauptvertrags kann der Auftragnehmer grundsätzlich Zugriff auf folgende Arten von personenbezogenen Daten erhalten: Vor- und Nachnamen, Geschlecht, Geburtsdaten, E-Mail-Adressen, IP-Adressen, Personalnummern, Eintrittsdaten, Lohnarten, Beträge je Monat, regelmäßige Arbeitszeiten, Religionszugehörigkeit, ggf. gemeldete Abwesenheitstage, Gesundheitsdaten sowie sonstige Daten, die ggf. in der Lohnbuchhaltung gespeichert sind,  
(3) Den Kreis der Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Die personenbezogenen Daten folgender Personen können von der Verarbeitung betroffen sein: Mitarbeiter des Auftraggebers, Mitarbeiter von mit dem Auftraggeber verbundenen Unternehmen, Daten von Kunden des Auftraggebers, Daten von Lieferanten des Auftraggebers. Ggf. kann der Kreis der betroffenen Personen durch Weisungen des Auftraggebers erweitert werden.

§ 5 Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz aus der DSGVO, der UK GDPR, des DPA 2018 und des DSG zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO/UK GDPR und Art. 8 DSG sowie der relevanten Vorschriften des DPA 2018. Da der Auftragnehmer seinen Sitz in Deutschland hat und mit den Anforderungen des DPA 2018 nicht in gleichem Maße vertraut ist wie mit den Bestimmungen der DSGVO, liegt es in der Verantwortung eines Auftraggebers mit Sitz in UK, den Auftragnehmer über relevante besondere Anforderungen aus dem DPA 2018 zu informieren, die über die Anforderungen der DSGVO hinausgehen.
Die vom Auftragnehmer getroffenen Maßnahmen umfassen insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen:

a) Zutrittskontrolle
b) Zugangskontrolle
c) Zugriffskontrolle
d) Weitergabekontrolle
e) Eingabekontrolle
f) Auftragskontrolle
g) Verfügbarkeitskontrolle
h) Trennungsgebot.

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Beim Auftragnehmer muss derzeit kein Datenschutzbeauftragter nach Art. 37 Abs. 1 DSGVO/UK GDPR, § 38 BDSG, Teil 3 Kapitel 4 DPA 2018 bzw. kein Datenschutzberater nach Art. 10 DSG bestellt werden. Der jeweilige Ansprechpartner für den Datenschutz ist unter datenschutz@loyos-bi.de zu erreichen
(4) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO/UK GDPR) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

§ 6 Informationspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
(4) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO/UK GDPR, DPA 2018 bzw. des DSG liegen.
(5) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 5 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
(6) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.  

§ 7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind. Kosten, die dem Auftragnehmer durch seine Unterstützungshandlung entstehen, sind ihm in angemessenem Umfang zu erstatten.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(4) Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 5 Abs. 4 auf Verlangen nach.

 § 8 Einsatz von Subunternehmern

(1) Zur Erbringung der vertraglich vereinbarten Leistungen oder Teilleistungen schließt der Auftragnehmer Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) ab.
(2) Der Einsatz folgender Subunternehmer ist vom Auftraggeber genehmigt:

Cloudserver und Onlinedienste:
Microsoft Ireland Operations LtD One Microsoft Place, South County Business Park Leopardstown Dublin 18, D18 P521 Irland  (Standort der Server: Niederlande)
STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland
 
(3) Der Auftraggeber stimmt zu, dass der Auftragnehmer im Rahmen seiner vertraglichen Verpflichtungen weitere Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Auftragnehmer den Auftraggeber und gibt ihm Gelegenheit, dem innerhalb angemessener Frist (28 Tage) bei Vorliegen wichtiger Gründe zu widersprechen. Ein Widerspruch berechtigt den Auftragnehmer zur sofortigen Kündigung dieses Vertrags sowie des zugehörigen Hauptvertrags. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Erteilt der Auftragnehmer Aufträge an weitere Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Subunternehmer zu übertragen. Sofern eine Einbeziehung von Subunternehmern in einem Drittland (außerhalb der EU, UK und der Schweiz) erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(4) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste.  

§ 9 Anfragen und Rechte Betroffener

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 DSGVO/UK GDPR bzw. Art. 25-29 DSG sowie Art. 32 DSGVO/UK GDPR bzw. Art. 8 DSG und Art. 36 DSGVO/UK GDPR bzw. Art. 23 DSG oder, soweit anwendbar, der relevanten Regelungen des DPA 2018.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab. (3) Soweit eine Mitwirkung des Auftragnehmers nach Abs. 1 oder 2 erforderlich ist, ist der Auftragnehmer hierzu gegen Erstattung der anfallenden Kosten verpflichtet.  

§ 10 Haftung

(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer allein der Auftraggeber gegenüber dem Betroffenen verantwortlich.
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
(3) Ergänzend gelten die Haftungsregeln aus dem Hauptvertrag.  

§ 11 Vertragslaufzeit; Beendigung des Hauptvertrags

(1) Dieser Vertrag kommt dadurch zustande, dass der Auftraggeber im Rahmen des Abschlusses des Hauptvertrages den Abschluss dieses Vertrages zur Auftragsverarbeitung bestätigt. Dieser Vertrag wird auf unbestimmte Zeit geschlossen und endet grundsätzlich, wenn der Hauptvertrag endet. Der Auftragnehmer ist jedoch verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
(2) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – unter Verwendung datenschutzkonformer Maßnahmen löschen. Der Auftragnehmer weist dem Auftraggeber die ordnungsgemäße Löschung noch vorhandener Daten nach, sofern der Auftraggeber den Nachweis verlangt.  Dies gilt nicht für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen oder soweit z.B. rechtliche Regelungen, gesetzliche Pflichten oder gerichtliche Verfügungen dem entgegenstehen. Entstehen durch eine Löschung vor Vertragsbeendigung zusätzliche Kosten, so trägt diese der Auftraggeber. (3) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
(4) Sollte der Auftraggeber keine anderslautende Weisung erteilen, hat der Auftragnehmer die Daten grundsätzlich sechs Monate nach Beendigung des Hauptvertrages zu löschen.  

§ 12 Außerordentliches Kündigungsrecht

Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO oder, soweit anwendbar, der UK GDPR oder des DSG vorsätzlich oder grob fahrlässig verletzt oder eine gesetzeskonforme Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.  

§ 13 Drittlandstransfer

Für die Durchführung der gem. Hauptvertrag geschuldeten Leistungen ist der Transfer von personenbezogenen Daten zwischen Deutschland, den Niederlanden und, sofern der Auftraggeber dort seinen Sitz hat, der Schweiz oder UK erforderlich. Da es sich aus Sicht der EU bei der Schweiz und UK um sogenannte „Drittländer“ und aus Sicht der Schweiz bei Deutschland und den Niederlanden um „Ausland“, aus Sicht der UK um „Drittländer“ handelt, dürfen personenbezogene Daten zwischen den Ländern nur übertragen werden, wenn jeweils festgestellt ist, dass der Staat, in den die Daten übermittelt werden, einen angemessenen Schutz gewährleistet (Art. 45 Abs. 1 DSGVO/UK GDPR bzw. Art. 16 Abs. 1 DSG). Die Schweiz wird von der Europäischen Kommission als ein Land anerkannt, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (Angemessenheitsbeschluss 2000/518/EG, bestätigt durch den Bericht der Kommission vom 15.01.2024). Der Schweizerische Bundesrat hat in seiner Verordnung vom 31.08.2022 (Stand 01.01.2024) Deutschland und die Niederlande zu Staaten mit einem angemessenen Datenschutz erklärt. UK erkennt Deutschland und andere Länder des Europäischen Wirtschaftsraums (EWR) als sichere Länder für die Übermittlung von personenbezogenen Daten an. Datenübermittlungen zwischen UK und EWR-Ländern, einschließlich Deutschland, sind aus Sicht von UK ohne zusätzliche Sicherheitsmaßnahmen wie Standardvertragsklauseln möglich. Ein EU-Angemessenheitsbeschluss zugunsten von UK liegt ebenfalls vor. Aus diesem Grund ist der Transfer personenbezogener Daten zwischen den jeweils genannten Ländern uneingeschränkt möglich.  

§ 14 Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(4) Dieser Vertrag zur Auftragsverarbeitung liegt in deutscher und englischer Sprache vor. Im Falle von Widersprüchen geht die deutsche Fassung vor.
(5) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Hamburg. Die Vereinbarung soll sowohl den Anforderungen der DSGVO, der UK GDPR, des DPA 2018 als auch des DSG gerecht werden. Im Falle eines Konflikts zwischen den Gesetzen geht die strengere Vorschrift vor.  

Anlagen Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers     

Allgemeine Praxis. loyos BI nutzt zur Umsetzung der Lösungen sowie alle internen Prozesse die Microsoft Online Lösung Office 365. Von daher ist ein analoges Arbeiten mit Personenbezogenen Daten nicht nötig.  Es wird aus zwei Büros in Lübeck und Hamburg sowie aus dem Homeoffice gearbeitet. Um die Zugänge zu schützen, sind folgende technische und organisatorische Maßnahmen umgesetzt.  

Zutrittskontrolle

Büro Lübeck: Zutritt zu unseren Büroräumen ist nur über 3 abschließbare Türen möglich.  Die direkte Bürotür wird verschlossen, sobald die letzte Person das Büro verlässt. Die Flurtür ist zwischen 19 und 7 Uhr verschlossen.  Die Eingangstür ist zwischen 19 und 7 Uhr verschlossen und ist videoüberwacht.
Zutrittsbewilligung und Schlüsselübergabe erfolgt ausschließlich durch die Geschäftsleitung. Falls Betriebsfremde Zutritt zu den Büroräumen benötigen, werden diese ständig durch einen loyos BI-Mitarbeiter begleitet.  Zutritt zu unseren Büroräumen ist nur über 2 abschließbare Türen möglich.  Die direkte Bürotür wird verschlossen, sobald die letzte Person das Büro verlässt. Die Eingangstür ist verschlossen und kann über einen vierstelligen Zahlencode geöffnet werden.
Zutrittsbewilligung und Schlüsselübergabe erfolgt ausschließlich durch die Geschäftsleitung. Falls Betriebsfremde Zutritt zu den Büroräumen benötigen, werden diese ständig durch einen loyos BI-Mitarbeiter begleitet. Ein eigener abschließbarer Raum, der nach Feierabend oder in Pausen für Dritte nicht zugänglich ist.

Büro Hamburg: Zutritt zu unseren Büroräumen ist nur über 2 abschließbare Türen möglich.  
Die direkte Bürotür wird verschlossen, sobald die letzte Person das Büro verlässt. Die Eingangstür ist verschlossen und kann über einen vierstelligen Zahlencode geöffnet werden.
Zutrittsbewilligung und Schlüsselübergabe erfolgt ausschließlich durch die Geschäftsleitung. Falls Betriebsfremde Zutritt zu den Büroräumen benötigen, werden diese ständig durch einen loyos BI-Mitarbeiter begleitet.

Homeoffice: Ein eigener abschließbarer Raum, der nach Feierabend oder in Pausen für Dritte nicht zugänglich ist.

Zugangskontrolle  
- Der Zugang zu Systemen erfolgt mit Authentifizierung durch individuelle Benutzerkennung und Passwort.  
- Passwörter müssen unserer Passwortrichtlinie entsprechen.  
- Zugangsberechtigungen werden ausschließlich durch die Geschäftsführung gewährt.
- Unsere Systeme sind vor unbefugtem Zugang durch Firewalls und Anti-Viren-Software geschützt. Alle Arbeitsplätze werden bei Verlassen des Arbeitsplatzes passwortgeschützt.

Zugriffskontrolle
- Der Zugriff auf den Microsoft Online Dienst erfolgt mit Authentifizierung durch individuelle Benutzerkennung und Passwort. - - Passwörter müssen unserer Passwortrichtlinie entsprechen.  
- Alle Rechner sind mit Firewall und Anti-Virensoftware gesichert.  
- Die Protokollierung von Benutzeraktionen wird im Microsoft Office 365 Security Compliance Center sichergestellt.
- Auffälligkeiten werden sofort via E-Mail an den Geschäftsführer kommuniziert.

Weitergabekontrolle
- Keine Weitergabe, Übermittlung, Übertragung oder Transport von personenbezogenen Daten im System vorgesehen.  
- Alle Mitarbeiter unterliegen unserer Geheimhaltungsverpflichtung.  
- Im Rahmen der Datenbereitstellung werden verschlüsselte Übertragungen genutzt.

Eingabekontrolle
- Alle inhaltlichen Daten werden durch den Aufraggeber selbst bereitgestellt und nicht durch den Auftragnehmer verändert.
- Die Benutzeranlage der Microsoft User (Vorname, Nachname, Emailadresse) wird durch den Auftragnehmer durchgeführt. Die Microsoft Office 365 Protokollierung der Benutzeraktionen ermöglicht die Überprüfung, wer, wann und wie personenbezogene Daten eingegeben, verändert oder gelöscht hat.  

Auftragskontrolle
- Die Protokollierung der Benutzeraktionen gewährleistet die Verarbeitung gemäß Weisungen des Auftraggebers.  
- Der Vertrag zur Auftragsverarbeitung spezifiziert die Rechte und Pflichten von Auftraggeber und Auftragnehmer.  
Verfügbarkeitskontrolle
- Microsoft Corporation Office 365 Verfügbarkeit

Trennungsgebot
- Die Speicherung erfolgt für jeden Mandanten getrennt.



Stand: 01.10.2024
‍‍

Ihr Reporting-as-a-Service Anbieter im Bereich Financial Management mit effizienten Lösungen der Datenbereitstellung und Visualisierung sowie Predicitve Analytics.

Transparency. Made. Simple.

Folgt uns auf
Produkte
Financial Management SuiteHR Reporting SuiteWeitere Lösungen
Links
HomeProdukteÜber unsJobs
Rechtliches
Allgemeine GeschäftsbedingungenAuftragsverarbeitungsvertragImpressum
Datenschutzerklärung
Kontakt

info@loyos-bi.de

+49 (0) 451 160 860 30

Standorte:

loyos bi GmbH
Willy-Brandt-Allee 31 b,
D-23554 Lübeck

loyos bi GmbH
Georgsplatz 10,
D-20099 Hamburg

© 2023 loyos bi