Datenschutzerklärung
Wir wollen Ihnen hier einen Überblick über die Verarbeitung Ihrer
personenbezogenen Daten in unserer Webanwendung geben. Dazu gehören alle
Daten, die mit Ihrer Person verbunden sind. Eine Webanwendung ist eine Software,
die in Ihrem Webbrowser ausgeführt wird.
Datenschutz dient nach Art. 1 Abs. 1 DS-GVO dem Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Jede Person hat nach Art. 8 der Charta der Grundrechte der Europäischen Union das
Recht auf Schutz der sie betreffenden personenbezogenen Daten.
1. Verantwortliche für die Datenverarbeitung in dieser
Webanwendung
Just Made IT GmbH, Untermainanlage 7, 60329 Frankfurt am Main, Handelsregister:
HRB 134954, Registergericht: Frankfurt am Main, kontakt@schulbegleiter-jobs.de
Telefon: +49 152 26608885, Geschäftsführer: Narieman Shojai, Philip Iske
2. Informationen zur Ihren Rechten bezüglich Ihrer Daten
a) Auskunftsrecht
Hinsichtlich Ihrer bei uns gespeicherten personenbezogenen Daten haben Sie das
Recht Auskunft darüber zu verlangen:
- welche Kategorien personenbezogener Daten gespeichert werden (z.B. Adressdaten,
berufliche Daten, ggfs. Zahlungsdaten)
- zu welchen Zwecken die Daten verarbeitet werden
- gegenüber welchen Empfängern oder Kategorien von Empfängern die Daten
offengelegt werden (z.B. Auftragsverarbeiter, ggfs. Zahlungsdienstleister) und
insbesondere ob wir die Daten in ein Drittland außerhalb der Europäischen Union
oder an eine internationale Organisation übermitteln,
- wie lange sie gespeichert werden oder nach welchen Kriterien sich die Dauer der
Speicherung richtet
- ob eine automatisierte Entscheidungsfindung einschließlich Profiling angewendet
wird und ggfs. wie dieses ausgestaltet ist und welche Auswirkungen es hat,
- wenn die Daten nicht bei Ihnen selbst erhoben wurden, alle vorhandenen
Informationen darüber, wo die Daten herstammen
b) Herausgabe, Korrektur- und Löschungsrechte
Außerdem sind Sie berechtigt, Ihre bei uns gespeicherten personenbezogenen Daten
-die wir aufgrund Ihrer Einwilligung oder aufgrund eines Vertrages mit Ihnen
verarbeiten und deren Verarbeitung mithilfe automatisierter Verfahren erfolgt, in
einem strukturierten, gängigen und maschinenlesbaren Format an sich oder einen
Dritten – soweit dies technisch machbar ist - herauszuverlangen.
- bei Unrichtigkeit unverzüglich berichtigen zu lassen und bei Unvollständigkeit
unverzüglich vervollständigen zu lassen
- löschen zu lassen, es sei denn
• Ihre Daten sind erforderlich, um das Recht auf freie Meinungsäußerung
auszuüben,
• oder um eine rechtliche Verpflichtung zu erfüllen
• oder eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt
• oder um Rechtsansprüche auszuüben, geltend zu machen oder zu verteidigen.
- oder die Verarbeitung der Daten einschränken zu lassen,
• solange wir prüfen, ob Ihr Einwand, dass die Daten unrichtig sind, zutrifft
• oder wenn die Datenverarbeitung nicht rechtmäßig ist und Sie aber eine
Löschung der Daten ablehnen
• oder wenn wir die Daten nicht mehr länger benötigen, Sie diese aber
benötigen, um Rechtsansprüche zu verfolgen
• oder wenn Sie Widerspruch gegen die Datenverarbeitung eingelegt haben aber
noch nicht feststeht ob unsere berechtigten Gründe die Ihren überwiegen
c) Widerrufsrecht, Beschwerderecht, Recht zur Auskunft über
die Pflicht zur Angabe von Daten
Weiter haben Sie das Recht,
- eine erteilte Einwilligung in die Datenverarbeitung jederzeit mit Wirkung für die
Zukunft zu widerrufen. Die bis zum Widerruf erfolgte Verarbeitung Ihrer Daten bleibt
rechtmäßig. Ihr Widerrufsrecht können Sie per E-Mail ausüben:
kontakt@schulbegleiter-jobs.de;
- sich bei einer Aufsichtsbehörde über uns zu beschweren, Sie können sich an die
Aufsichtsbehörde Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres
Unternehmenssitzes wenden;
- eine Information darüber zu erhalten, ob Sie als Betroffener aufgrund von
gesetzlichen oder vertraglichen Grundlagen verpflichtet sind, personenbezogene
Daten zur Verfügung zu stellen und welche Folgen es hat, wenn Sie die Daten nicht
bereitstellen.
3. Widerspruchsrecht
Sie haben das Recht, der Verwendung Ihrer Daten zu widersprechen, sofern Ihre
Daten aufgrund von berechtigten Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO
verarbeitet werden. Das Widerspruchsrecht muss sich aus den Gründen der
besonderen Situation ergeben, es sei denn, der Widerspruch richtet sich gegen
Direktwerbung oder Profiling, das mit Direktwerbung in direkter Verbindung steht. In
diesem Fall ist die Angabe von Gründen nicht erforderlich;
4. Speicherung von Daten auf Ihrem Endgerät
Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung
ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DS-GVO und § 25 Abs. 1 TDDDG,
soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf
Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des
TDDDG umfasst. Die Einwilligung ist jederzeit widerrufbar.
Wenn Sie in die Setzung von Cookies einwilligen, speichert unsere Webanwendung
während Ihrer Sitzung Cookies auf Ihrem Endgerät. Hierbei handelt es sich um
Textdateien, die Ihr Browser auf Ihrem Gerät (z.B. Computer oder Smartphone) ablegt,
während Sie unsere Webanwendung nutzen. Diese Dateien ermöglichen es
beispielsweise, die Login-Funktion bei der Navigation innerhalb des Login-Bereichs
beizubehalten, sich zu registrieren, Angriffe abzuwehren oder Ihre Einwilligung in die
Verwendung von Cookies zu speichern. Die gespeicherten Daten werden nach 13
Monaten gelöscht. Einzelheiten erfahren Sie in den Cookie-Einstellungen.
5. Google Analytics
Diese Website nutzt auf Grundlage Ihrer uns erteilten Einwilligung (Art. 6 Abs. 1 S. 1
lit. a DS-GVO) die Funktionen von Google Analytics, einen Webanalysedienst der
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Ihre
Einwilligung können Sie uns bei Aufruf unserer Website durch Betätigung der
entsprechenden Schaltfläche in dem „Cookie-Banner“ freiwillig erteilen
(„Akzeptieren“) oder den Einsatz von Google Analytics ablehnen („Ablehnen“). Wir
speichern Ihre Auswahl in einem separaten Cookie (Art. 6 Abs. 1 S. 1 lit. f DS-GVO)
auf der Grundlage des berechtigten Interesses, Ihre Entscheidung zu respektieren und
das Cookie-Banner nicht mehr anzuzeigen.
Regelmäßig werden im Rahmen der nachfolgend beschriebenen Verarbeitungen auch
Daten an die Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043,
USA), übermittelt. Google Ireland Limited und Google LLC werden im Folgenden
gemeinsam „Google“ genannt. Google Analytics verwendet Cookies (First-Party-
Cookies), die eine Analyse der Benutzung der Website durch Sie ermöglichen. Dies
bedeutet jedoch nicht, dass wir dadurch unmittelbar Kenntnis von Ihrer Identität
erhalten. Google verwendet die durch die Cookies erzeugten Informationen in
unserem Auftrag dazu, um die Nutzung der Website auszuwerten, um Reports über
die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung
und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen.
Dadurch können wir die Qualität unserer Website und ihrer Inhalte verbessern. Wir
erfahren auf Basis statistischer Analysen, wie die Website genutzt wird und können so
unser Angebot stetig optimieren.
Die durch die Google Analytics Cookies erzeugten Informationen über Ihre Benutzung
dieser Website (beispielsweise Zeit, Ort und Häufigkeit Ihres Webseitenbesuchs
einschließlich IP-Adresse) werden an einen Server von Google in den USA übertragen
und dort gespeichert. Google ist nach dem „EU-US Data Privacy Framework“ (DPF)
zertifiziert. Der DPF ist ein Übereinkommen zwischen der Europäischen Union und
den USA, der die Einhaltung europäischer Datenschutzstandards bei
Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte
Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere
Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link:
https://www.dataprivacyframework.gov/list Die Speicherdauer bei Google für
entsprechende Daten haben wir auf Nutzer- und Ereignisebene auf 13 Monate
festgelegt (kürzest mögliche Einstellungsoption).
a) IP Anonymisierung
Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch
wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen
Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen
Wirtschaftsraum vor der Übermittlung in die USA gekürzt und dadurch anonymisiert.
Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den
USA übertragen und dort gekürzt. Nach eigenen Angaben von Google wird die im
Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse nicht mit
anderen Daten von Google zu Ihrer Person zusammengeführt.
b) Browser Plugin
Sie können die Speicherung der Google Analytics Cookies durch eine entsprechende
Einstellung Ihrer Browser-Software verhindern (vgl. oben). Sie können darüber hinaus
die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website
bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser
Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare
Browser-Plugin herunterladen und installieren:
https://tools.google.com/dlpage/gaoptout?hl=de.
c) Widerspruch gegen Datenerfassung
Alternativ können Sie die Erfassung Ihrer Daten durch Google Analytics insbesondere
auf mobilen Endgeräten aktivieren/deaktivieren, indem Sie auf folgenden Link klicken:
Google Analytics deaktivieren
Bei Deaktivierung wird ein Cookie gesetzt, das die Erfassung Ihrer Daten bei
zukünftigen Besuchen dieser Website verhindert.
Konkret werden die folgenden Tracking Cookies von Google Analytics verwendet:
_gid_.* : Wird von Google Analytics zur Identifikation von Nutzern genutzt. Läuft
nach 24 Stunden ab.
_ga_.* : Wird von Google Analytics zur Identifikation neuen von Nutzern genutzt.
Läuft nach 13 Monaten ab.
_gat_.* : Wird von Google Analytics genutzt, um die Nutzer-Anfragen
zu kontrollieren und zu verifizieren. Damit wird sichergestellt, dass die Informationen
die an Google gesendet werden immer richtig sind. Läuft nach einer Minute ab.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics und den
Sicherheits- und Datenschutzgrundsätzen sowie Einstellungs- und
Widerspruchsmöglichkeiten finden Sie in den Datenschutzhinweisen von Google,
abrufbar über folgenden Link:
https://support.google.com/analytics/answer/6004245?hl=de.
6. Datenerhebung bei der Nutzung unserer Webanwendung
Unsere Webanwendung wird über Server unseres Providers Amazon Web Services
EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (nachfolgend AWS) an
Ihren Browser ausgeliefert. Hierzu haben wir mit ihm einen Vertrag über die
Auftragsverarbeitung abgeschlossen. Bei der Nutzung der Webanwendung können
auch personenbezogene Daten an das Mutterunternehmen von AWS in die USA
übermittelt werden. Die Datenübertragung in die USA wird auf die EU-
Standardvertragsklauseln gestützt. Details finden Sie hier:
https://aws.amazon.com/de/blogs/security/aws-gdpr-data-processing-addendum/.
Weitere Informationen entnehmen Sie der Datenschutzerklärung von AWS:
https://aws.amazon.com/de/privacy/?nc1=f_pr
Der Provider speichert von Ihrem Browser automatisch übermittelte Informationen in
seinen Protokoll-Dateien. Dazu gehören:
- Browsertyp und Versionsnummer
- Adresse der zuvor besuchten Webanwendung (sog. http-Referrer)
- Datum und Uhrzeit der Anfrage
- IP-Adresse
- Ggfs. Login
Die Speicherung erfolgt zum Zwecke der Fehleranalyse und zu statistischen Zwecken
damit wir Ihnen eine komfortable Webanwendung anbieten und die Webanwendung
verbessern können. Die Daten werden bis zur automatischen Löschung temporär
gespeichert. Die Daten werden nicht mit anderen Daten zusammengeführt.
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO.
Der Provider ist nach dem „EU-US Data Privacy Framework“ (DPF) zertifiziert. Der
DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die
Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA
gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich,
diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie
vom Anbieter unter folgendem Link:
https://www.dataprivacyframework.gov/participant/5776.
7. Datenspeicherung bei Registrierung, Nutzung von
Dienstleistungen in unserer Webanwendung
Wenn Sie sich in unserer Webanwendung registrieren, um unsere Dienstleistungen in
Anspruch zu nehmen, speichern wir die von Ihnen angegebene E-Mailadresse. Dies
dient dem Zweck, dass Ihr Account Ihnen zweifelsfrei zugeordnet werden kann, Ihnen
die Vertragsbedingungen zugesendet, sowie weitere Korrespondenz geführt werden
können. Rechtsgrundlage für die Erhebung dieser Daten ist der mit Ihnen
geschlossene Vertrag gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO.
Weiter verarbeiten wir alle von Ihnen im Zuge der Nutzung unserer
Plattformfunktionen eingegebenen Daten. Hierzu gehören die von den Nutzern
eingegebenen beruflichen Angaben (z.B. Ausbildung, Zeugnisse, Arbeitgeber, Anzahl
Mitarbeitende, Adresse, Name, Kontaktdaten, Suchanfragen). Rechtsgrundlage für die
Verarbeitung dieser Daten ist der mit Ihnen geschlossene Vertrag gem. Art. 6 Abs. 1 S.
1 lit. b DS-GVO.
Wir verarbeiten die von unseren Nutzern in unserer Webanwendung eingegebenen
Daten im Auftrag der Nutzer. Hierzu haben wir mit den Nutzern einen Vertrag über
die Auftragsverarbeitung abgeschlossen.
8. Datenspeicherung bei Kommunikation mit uns
Wenn Sie von uns E-Mails im Rahmen der Vertragsabwicklung erhalten, erfolgt dies
auf der Rechtsgrundlage des Art. 6 Abs. 1. S. 1 lit. b DS-GVO. Hierzu setzen wir einen
Provider ein, der die Daten in unserem Auftrag verarbeitet. Wir haben mit ihm einen
Vertrag über die Auftragsverarbeitung abgeschlossen. Soweit Sie Kontakt mit uns
aufnehmen, speichern diese Nachricht und alle mit ihr übersendeten Daten. Das dient
dem Zweck der Beantwortung Ihrer Nachricht. Die Verarbeitung Ihrer Kontaktdaten
beruht auf Ihrer freiwillig erteilten Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO). Ihre
Einwilligung können Sie jederzeit widerrufen. Der Widerruf hat keinen Einfluss auf
Datenverarbeitung, die vor dem Widerruf stattgefunden hat. Die im Rahmen der
Verwendung unseres Kontaktformulars verarbeiteten personenbezogenen Daten
werden gelöscht, sobald Ihre Anfrage bearbeitet ist, Sie Ihre Einwilligung widerrufen
haben oder uns auffordern, die Daten zu löschen, bzw. bis zur Verjährung Ihrer
Auskunftsansprüche und sonstigen Ansprüche.
Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO
1. Auftraggeber (Verantwortlicher) sind Sie als Schulbegleiter.
Auftragnehmer (Auftragsverarbeiter):
Just Made IT GmbH, Untermainanlage 7, 60329 Frankfurt am Main, Handelsregister: HRB 134954,
Registergericht: Frankfurt am Main, vertreten durch die Geschäftsführer Narieman Shojai, Philip Iske,
kontakt@schulbegleiter-jobs.de
1. Gegenstand und Dauer der Vereinbarung
Der Auftrag umfasst die Nutzung der Webanwendung Schulbegleiter-Jobs (Arbeitgebersuche,
Speicherung der Zeugnisse, Nachweise, Lebensläufe des Schulbegleiters, Kommunikationsfunktion)
durch den Schulbegleiter auf der Basis der zugrundeliegenden AGB.
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von
Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der
Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein
Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die
besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der
Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Diese Vereinbarung beginnt mit Registrierung auf der Webanwendung und endet mit Ende der
Nutzungszeit.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist beenden, wenn ein
schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmun-
gen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen
kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO
abgeleiteten Pflichten stellt einen schweren Verstoß dar.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener
Personen:
2. Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):
Die Daten werden vom Schulbegleiter hochgeladen, gespeichert, den Trägern zur Ansicht und
Download zur Verfügung gestellt und können vom Schulbegleiter jederzeit gelöscht werden.
Zweck der Verarbeitung:
Zweck der Verarbeitung ist die Nutzung der Webanwendung Schulbegleiter-Jobs, Zweck ist, einen
passenden Arbeitgeber zu finden und sich selbst gegenüber Arbeitgebern präsentieren zu können
Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-
GVO):
Name, Anschrift, online-Kennung, Kontaktdaten, Adressdaten, Zeugnisse, Bewerbungsunterlagen,
Lebensläufe und gegebenenfalls auch Gesundheitsdaten oder andere besonders sensible Daten.
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):
Schulbegleiter, Assistenzkräfte, Träger von Schulen und Fördereinrichtungen und deren Mitarbeiter,
Ausbilder, Personalabteilungsmitarbeiter
3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die
Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der
Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen,
sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen
weiterzuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen
Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten
elektronischen Format festzulegen.
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel in einem
dokumentierten elektronischen Format (über die Web-Applikation). Mündliche Weisungen sind
unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und so-
dann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen
technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten
Verpflichtungen zu überzeugen.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von
Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu
behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
4. Weisungsempfänger des Auftragnehmers
Weisungsempfänger beim Auftragnehmer sind:
Geschäftsführer Narieman Shojai, Philip Iske, Just Made IT GmbH, Untermainanlage 7, 60329
Frankfurt am Main, Handelsregister: HRB 134954, Registergericht: Frankfurt am Main,
kontakt@schulbegleiter-jobs.de, Telefon: +49 162 6096869.
5. Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen
Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter
unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder
Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen
diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a
DS-GVO).
Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für
keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der
personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen
Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für
den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den
Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei
erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im
notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu
unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO).
Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom
Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28
Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden
Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach
Überprüfung bestätigt oder geändert wird.
Der Auftragnehmer hat – soweit der Auftragnehmer nicht selbst Zugriff darauf hat -
personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und
berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen
darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber
erteilen.
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach
Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und
Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen
Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch
die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die
Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3
Satz 2 lit. h DS-GVO).
Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-
rechtlichen Vorschriften der DS-GVO bekannt sind.
Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen
Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des
Vertrages fort.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten
Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des
Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des
Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3
Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der
datenschutzrechtlichen Vorschriften in seinem Betrieb.
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche
Notwendigkeit für eine Bestellung nicht vorliegt.
6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen
des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, sowie Verstöße des
Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche
Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf
Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten
mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des
Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber
erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen
(Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber
darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem
Auftragnehmer gestattet.
Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen
Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem
Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des
Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden
mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen
Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene
Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von
ihm beauftragte Dritte durchführen zu lassen.
Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem
elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die
Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Daten-
schutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden
Vertragsabschnitt vertraglich auferlegt wurden.
Zurzeit ist für den Auftragnehmer die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy,
L-1855, Luxemburg mit dem Hosting der webbasierten Software und damit der Verarbeitung von
personenbezogenen Daten beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber
einverstanden.
Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in
Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der
Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2
Satz 2 DS-GVO).
8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-
GVO)
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von
der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu
werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit
der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck
der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische
Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
Die vom Subunternehmer Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855,
Luxemburg ergriffenen technischen und organisatorischen Maßnahmen (TOM) können Sie unter
diesem Link https://aws.amazon.com/de/compliance/gdpr-center/abrufen.
Technische und organisatorische Maßnahmen (TOMs) (Stand Dezember 2024):
Der Auftragnehmer ist zur Sicherstellung des Datenschutzes verpflichtet. Er hat die folgenden
technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrages zu ergreifen und
aufrechtzuerhalten:
I. Sicherstellung der Vertraulichkeit insb. durch
1. Zugriffskontrolle (z.B. Berechtigungskonzepte, Zugriffsprotokolle) Angemessene Maßnahmen, die
den Zugriff unautorisierter Personen auf die Datenverarbeitungssysteme verhindern, durch:
• Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts (Differenzierte
Berechtigungen über Profile, Rollen, Transaktionen, Objekte) und der
Zugriffsrechte sowie deren Überwachung und Protokollierung;
• Bereitstellung angemessener Funktionen zur Authentisierung;
• Überprüfung der Berechtigung, maschinell z. B. durch Identifizierungsschlüssel;
• Aufzeichnung von Protokollen (erfolglose und erfolgreiche
Authentifizierungsversuche);
• Verschließbarkeit der Einrichtungen zur Datenverarbeitung (Räume, Gebäude,
Computerhardware und zugehöriges Equipment);
• Einsatz von Verschlüsselungsverfahren;
2. Zutrittskontrolle
Angemessene Maßnahmen zur Verhinderung des Zutritts unautorisierter Personen zum
Datenverarbeitungsequipment werden durch den Dienstleister AWS festgelegt und sind
unter https://aws.amazon.com/de/compliance/data-center/controls/ abrufbar.
3. Zugangskontrolle (Kennwörter, Verschlüsselung von Datenträgern etc.) Angemessene
Maßnahmen, die sicherstellen, dass diejenigen, die bei der Datenverarbeitung eingesetzt
werden, lediglich Zugang zu solchen Daten haben, die von ihrer jeweiligen Zugangsautorisierung
abgedeckt sind, durch:
• Autorisierter Zutritt in Büroräumlichkeiten;
• Berechtigungskonzepte: Nur passwortgeschützte Zugriffe inkl. Rollenkonzepte in
allen datenverarbeitenden und -datenspeichernden Systemen;
• Passwortrichtlinien (sichere Passwörter, regelmäßiger Wechsel, regelmäßige
Reviews);
• Technische (Kennwort- / Passwortschutz) und organisatorische
(Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und
Authentifizierung Sperrung bzw. zeitlich beschränkte Nutzung von Terminals;
• Zuordnung einzelner Clients und Identifizierungsmerkmale ausschließlich für
bestimmte Funktionen;
• Authentisierung von Benutzern mit Fernzugriff (kryptografische Techniken,
Hardware-Identifikation);
• Verpflichtung auf das Datengeheimnis nach Art 28 Abs. 3 lit. b DSGVO;
• Einsatz von Benutzercodes für Daten und Programme (PIN); Kontrollierte
Vernichtung von Datenträgern;
• Firewalls;
II. Sicherstellung der Integrität (lit. b) insb. durch
1. Weitergabekontrolle (z.B. Verschlüsselung, VPN);
Angemessene Maßnahmen, die bei einer weiteren Übermittlung der Daten (elektronisch oder auch
Transport auf Datenträgern) sicherstellen, dass keine unbefugten Dritten die Daten lesen, löschen,
ändern, kopieren durch:
• Leitlinien zum Austausch von Informationen aller Art; Verschlüsselung bei
Datenübertragung (Netzwerkverschlüsselung, TLS);
• Verfahren zur Erkennung und Schutz von Schadsoftware;
• Zugriff für bestimmte autorisierte Benutzer;
• Ausgabe von Datenträgern nur an autorisierte Personen (z. B. Auftragsquittung,
Begleitpapier);
• Datenträger-Verwaltung; Sicherheitsschränke;
• Gegenseitige Überwachung (4-Augen-Prinzip); Kontrollierte Vernichtung von
Datenträgern (z. B. Fehldrucke);
2. Eingabekontrolle (z.B. Dokumentenmanagement, Protokollierung). Der Auftragnehmer trägt
dafür Sorge, dass nachträglich geprüft und festgestellt werden kann, ob und wann
personenbezogene Daten in Datenverarbeitungssysteme eingegeben worden sind, durch:
• Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe;
• Verwendung von Logfiles;
• Verfahrens-, Programm- und Arbeitsablauforganisation;
• Verpflichtung auf das Datengeheimnis und zur Vertraulichkeit;
3. Auftragskontrolle Die von dem Auftragnehmer verarbeiteten und genutzten Daten dürfen
ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers verarbeitet werden.
Dies wird sichergestellt durch:
• formalisierte Auftragserteilung (Auftragsformular);
• Eindeutige vertragliche Regelungen;
• Sorgfältige Auswahl des Auftragnehmers;
• Überprüfung der Einhaltung der vertraglichen Regelungen;
• Bindende Richtlinien und Verfahren, die vorab von dem Auftraggeber freigegeben
worden sind;
• Funktionstrennung;
III. Sicherstellung der Verfügbarkeit und Belastbarkeit (lit. b) insb. durch
1. Verfügbarkeitskontrolle (z.B. Backup-Strategie, Virenschutz, unterbrechungsfreie
Stromversorgung, Notfallpläne etc.) Angemessene Maßnahmen, die die Daten gegen
zufällige Zerstörung oder Verlust schützen, durch:
• Backups gemäß Back-Up-Plan;
• Virenschutz/Firewalls;
• Interne Datenverarbeitungsrichtlinien und -verfahren, Guidelines, Arbeitsanweisungen;
• Redundante Hardwareabsicherung der Systeme gegen Ausfall der Datenbank, Service-
Level-Agreements;
• Unterbrechungsfreie Stromversorgung (USV);
2. Trennungskontrolle Angemessene Verfahren, die sicherstellen, dass die Daten getrennt
verarbeitet werden können:
• Funktionstrennung;
• Logische Trennung;
3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (lit. d) insb. Durch
• Datenschutz-Management, Datenschutzfreundliche Voreinstellungen;
• Auftragskontrolle;
9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-
GVO
Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie
an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder
Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht
zu löschen bzw. zu vernichten/vernichten zu lassen.