Allgemeine Geschäftsbedingungen Schulbegleiter-Jobs – für Schulbegleiter mit Anhang
Auftragsverarbeitung
Stand: 16.12.2024
Präambel
Schulbegleiter-Jobs.de ist eine Plattform, für den Austausch zwischen Trägern der Eingliederungshilfe
und Fördereinrichtungen einerseits und Schulbegleitern andererseits. Es dient als Instrument, das es
den Schulbegleitern ermöglicht, gezielt nach passenden beruflichen Angeboten zu suchen, während
Träger die Möglichkeit haben, Suchprofile zu erstellen und potenzielle Kandidaten zu finden. Bei
Interesse können Schulbegleiter ihre Daten den Arbeitgebern direkt über die Plattform zur Verfügung
stellen. Der gesamte anschließende Prozess zwischen Träger und Schulbegleiter ist nicht Teil des
Angebots der Plattform.
1. Geltungsbereich
Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für Schulbegleiter, die die Webanwendung
Schulbegleiter-Jobs nutzen. Anbieterin der Webanwendung ist die Just Made IT GmbH.
2. Vertragspartnerin
Ihre Vertragspartnerin ist die Just Made IT GmbH, Untermainanlage 7, 60329 Frankfurt am Main,
Handelsregister: HRB 134954, Registergericht: Frankfurt am Main, vertreten durch die
Geschäftsführer Narieman Shojai, Philip Iske, kontakt@schulbegleiter-jobs.de, Telefonnummer: +49
162 6096869.
Dieses kostenlose Angebot richtet sich ausschließlich an Schulbegleiter.
3. Vertragsgegenstand
Gegenstand dieser AGB ist die kostenlose Nutzung der Webanwendung Schulbegleiter-Jobs für
Schulbegleiter. Schulbegleiter und Just Made IT sind sich einig darüber, dass dem Schulbegleiter
Leistung unentgeltlich zugewendet wird. Die Funktionen des Portals sind in der
Leistungsbeschreibung beschrieben.
4. Registrierung, Vertragsabschluss, Vertragsdauer
(1) Schulbegleiter müssen sich zunächst auf der Plattform registrieren. Als Schulbegleiter können nur
natürliche Personen registriert werden, die voll geschäftsfähig sind.
(2) Mit Abschluss der Registrierung (Anklicken des Bestätigungslinks in der Bestätigungs-E-Mail)
kommt ein Vertrag über die kostenlose Nutzung der Webanwendung zustande.
(3) Die Nutzung kann jederzeit beendet werden, die hochgeladenen Daten können in der
Webanwendung gelöscht werden.
(4) Die Vertragssprache ist Deutsch.
5. Nutzungsmöglichkeiten
(1) Mit Vereinbarung dieser Nutzungsbedingungen erhalten Schulbegleiter das einfache, nicht
übertragbare, widerrufliche, weltweite, zeitlich auf die Dauer dieses Vertrages begrenzte Recht,
die Webanwendung Schulbegleiter-Jobs kostenlos zu nutzen.
(2) Schulbegleiter-Jobs bietet den Schulbegleitern verschiedene Leistungen und Funktionen an, die
in der Leistungsbeschreibung beschrieben sind.
(3) Die vom Schulbegleiter bereitgestellten Daten werden von Schulbegleiter-Jobs ausschließlich im
Auftrag des Schulbegleiters für die Bereitstellung der Funktionen des Portals verarbeitet und
nicht zu sonstigen Zwecken verwendet.
(4) Unterlizenzen dürfen nicht vergeben werden. Schulbegleiter sind nicht berechtigt, Dritten die
Nutzung zu ermöglichen oder Dienste für Dritte auszuführen. Die vom Portal ausdrücklich zur
Verfügung gestellten Möglichkeiten zur Nutzung der Dienste fallen nicht hierunter.
6. Zugangsdaten
(1) Der Schulbegleiter erhält unmittelbar nach seiner Registrierungsanfrage per E-Mail einen
Bestätigungslink zur Verifizierung der E-Mailadresse und zum Abschluss der Registrierung. Zum
Schutz des Accounts sind ausreichend sichere Passwörter (ausreichende Anzahl Zeichen, Groß-
und Kleinbuchstaben, Zahlen und Sonderzeichen) zu wählen.
(2) Der Schulbegleiter ist verpflichtet, die Zugangsdaten sorgfältig aufzubewahren und vor dem
Zugriff anderer Personen zu schützen.
(3) Der Schulbegleiter ist für jede Nutzung der Zugangsdaten verantwortlich. Dies gilt auch für die
Nutzung durch Unbefugte, es sei denn, dass deren Nutzung nicht durch den Schulbegleiter zu
verantworten ist.
7. Verfügbarkeit
(1) Der Schulbegleiter darf rund um die Uhr an sieben Wochentagen auf Schulbegleiter-Job
zugreifen.
(2) Der Schulbegleiter wird darauf hingewiesen, dass die Verfügbarkeit aufgrund von
Wartungsarbeiten oder sonstigen Störungen zeitweise unterbrochen sein kann.
8. Unterstützung bei der Nutzung
Gern unterstützen wir bei allen Fragen, die im Zusammenhang mit der Nutzung von Schulbegleiter-
Jobs entstehen. Hierzu kann per E-Mail-Kontakt aufgenommen werden.
9. Mitwirkungspflichten
(1) Über die Plattform können Schulbegleiter dem Träger Zugriff auf ihre Bewerbungsunterlagen
(Zeugnisse, Fortbildungsnachweise etc.) gewähren. Hierbei kann es sich im Einzelfall auch um
besonders sensible Daten im Sinne des Art. 9 DS-GVO (z.B. Gesundheitsdaten, Religion,
Gewerkschaftszugehörigkeit) handeln. Der Schulbegleiter ist selbst verantwortlich dafür, ob und
welche Daten anderen (z.B. Trägern) zur Verfügung gestellt werden.
(2) Schulbegleiter-Jobs ist kein System zur Aufbewahrung und Archivierung von Daten. Die
Sicherung von Daten ist auf anderen Systemen vom Schulbegleiter zu gewährleisten.
(3) Die Instandhaltung der eigenen IT-Systeme und der Betrieb der Internetverbindung des
Schulbegleiters obliegt ihm selbst. Er stellt sicher, dass keine Schadsoftware, Viren etc. auf die
Server der Just Made IT gespielt werden.
10. Datenschutz
Just Made IT verarbeitet die in der Webanwendung hochgeladenen Daten ausschließlich im
Rahmen von Weisungen des Schulbegleiters. Das Nähere hierzu regeln die Bedingungen zur
Auftragsverarbeitung (im Anhang), welche Bestandteil dieser AGB sind.
11. Verbraucherschlichtung
Zur Teilnahme an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle nach dem
Verbraucherstreitbeilegungsgesetz (VSBG) sind wir nicht verpflichtet und nicht bereit.
12. Mängelhaftung
(1) Für Mängel an den auf dem Portal zur Verfügung gestellten Funktionen stehen Schulbegleitern
die gesetzlichen Mängelhaftungsansprüche zur Verfügung.
(2) Stehen Funktionen nach (1) nicht oder nicht vollständig zur Verfügung, kann der Schulbegleiter
Just Made IT benachrichtigen, damit angemessene Maßnahmen ergriffen werden können.
13. Haftung
(1) Just Made IT haftet unbegrenzt nach den gesetzlichen Vorschriften für sämtliche Schäden, die
durch vorsätzliche oder grob fahrlässige Pflichtverletzung von Just Made IT, ihren Mitarbeitern
und Erfüllungsgehilfen entstehen, sowie für Schäden aus der Verletzung des Lebens, des Körpers
oder der Gesundheit oder von Garantien und Ansprüche nach dem Produkthaftungsgesetz.
(2) Bei Schäden, die durch eine leicht fahrlässig verursachte Verletzung einer wesentlichen
Vertragspflicht entstanden sind, ist die Haftung von Just Made IT auf den vorhersehbaren
Schaden begrenzt. Wesentliche Vertragspflichten sind alle Pflichten, die für die Entscheidung
zum Vertragsabschluss wesentlich waren und auf deren Einhaltung der Vertragspartner
vertrauen durfte.
(3) Bei Schäden, die durch eine leicht fahrlässig verursachte Verletzung einer anderen Pflicht als
einer wesentlichen Vertragspflicht entstanden sind, ist die Haftung von Just Made IT
ausgeschlossen.
(4) Just Made IT haftet nicht für den Verlust von Daten. Daten müssen vom Schulbegleiter
anderweitig gesichert werden. Just Made IT haftet insbesondere nicht für den Verlust von
Daten, die bei einer ordnungsgemäßen Datensicherung nach dem Stand der Technik
wiederhergestellt werden könnten.
(5) Ansprüche aufgrund von Mängeln werden durch diese Haftungsregelungen nicht eingeschränkt.
(6) Schulbegleiter-Jobs dient nur zur Erleichterung und Optimierung der Jobsuche. Die
Suchergebnisse und basieren ausschließlich auf den durch die Träger und Schulbegleiter in
eigener Verantwortung eingegebenen Daten und Informationen. Für die Richtigkeit der Angaben
haftet der Träger selbst. Der Schulbegleiter ist allein dafür verantwortlich, zu beurteilen, ob der
Träger den Erwartungen des Schulbegleiters entspricht. Just Made IT GmbH kann keine
Verantwortung dafür übernehmen, dass ein Träger der angegebenen Selbstbeschreibung
entspricht oder ein Arbeitsvertrag zustande kommt.
(7) Über Schulbegleiter-Jobs können weder Arbeitsverträge abgeschlossen werden, noch rechtliche
Beratung erfolgen. Soweit Suchergebnisse von Schulbegleiter-Jobs für arbeits-,
sozialversicherungs-, steuerrechtliche, unternehmerische oder sonstige Fragestellungen relevant
werden können, werden diese in der eigenen Verantwortung durch die Schulbegleiter
verwendet.
Anhang: Ergänzende Bedingungen zur Auftragsverarbeitung
Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO
1. Auftraggeber (Verantwortlicher) sind Sie als Schulbegleiter.
Auftragnehmer (Auftragsverarbeiter):
Just Made IT GmbH, Untermainanlage 7, 60329 Frankfurt am Main, Handelsregister: HRB 134954,
Registergericht: Frankfurt am Main, vertreten durch die Geschäftsführer Narieman Shojai, Philip Iske,
kontakt@schulbegleiter-jobs.de
1. Gegenstand und Dauer der Vereinbarung
Der Auftrag umfasst die Nutzung der Webanwendung Schulbegleiter-Jobs (Arbeitgebersuche,
Speicherung der Zeugnisse, Nachweise, Lebensläufe des Schulbegleiters, Kommunikationsfunktion)
durch den Schulbegleiter auf der Basis der zugrundeliegenden AGB.
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von
Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der
Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein
Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die
besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der
Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Diese Vereinbarung beginnt mit Registrierung auf der Webanwendung und endet mit Ende der
Nutzungszeit.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist beenden, wenn ein
schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmun-
gen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen
kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO
abgeleiteten Pflichten stellt einen schweren Verstoß dar.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener
Personen:
2. Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):
Die Daten werden vom Schulbegleiter hochgeladen, gespeichert, den Trägern zur Ansicht und
Download zur Verfügung gestellt und können vom Schulbegleiter jederzeit gelöscht werden.
Zweck der Verarbeitung:
Zweck der Verarbeitung ist die Nutzung der Webanwendung Schulbegleiter-Jobs, Zweck ist, einen
passenden Arbeitgeber zu finden und sich selbst gegenüber Arbeitgebern präsentieren zu können
Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-
GVO):
Name, Anschrift, online-Kennung, Kontaktdaten, Adressdaten, Zeugnisse, Bewerbungsunterlagen,
Lebensläufe und gegebenenfalls auch Gesundheitsdaten oder andere besonders sensible Daten.
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):
Schulbegleiter, Assistenzkräfte, Träger von Schulen und Fördereinrichtungen und deren Mitarbeiter,
Ausbilder, Personalabteilungsmitarbeiter
3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die
Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der
Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen,
sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen
weiterzuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen
Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten
elektronischen Format festzulegen.
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel in einem
dokumentierten elektronischen Format (über die Web-Applikation). Mündliche Weisungen sind
unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und so-
dann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen
technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten
Verpflichtungen zu überzeugen.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von
Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu
behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
4. Weisungsempfänger des Auftragnehmers
Weisungsempfänger beim Auftragnehmer sind:
Geschäftsführer Narieman Shojai, Philip Iske, Just Made IT GmbH, Untermainanlage 7, 60329
Frankfurt am Main, Handelsregister: HRB 134954, Registergericht: Frankfurt am Main,
kontakt@schulbegleiter-jobs.de, Telefon: +49 162 6096869.
5. Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen
Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter
unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder
Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen
diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a
DS-GVO).
Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für
keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der
personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen
Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für
den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den
Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei
erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im
notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu
unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO).
Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom
Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28
Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden
Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach
Überprüfung bestätigt oder geändert wird.
Der Auftragnehmer hat – soweit der Auftragnehmer nicht selbst Zugriff darauf hat -
personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und
berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen
darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber
erteilen.
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach
Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und
Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen
Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch
die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die
Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3
Satz 2 lit. h DS-GVO).
Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-
rechtlichen Vorschriften der DS-GVO bekannt sind.
Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen
Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des
Vertrages fort.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten
Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des
Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des
Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3
Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragnehmer überwacht die Einhaltung der
datenschutzrechtlichen Vorschriften in seinem Betrieb.
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche
Notwendigkeit für eine Bestellung nicht vorliegt.
6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen
des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, sowie Verstöße des
Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche
Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf
Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten
mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des
Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber
erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen
(Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber
darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem
Auftragnehmer gestattet.
Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen
Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem
Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des
Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden
mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen
Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene
Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von
ihm beauftragte Dritte durchführen zu lassen.
Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem
elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die
Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Daten-
schutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden
Vertragsabschnitt vertraglich auferlegt wurden.
Zurzeit ist für den Auftragnehmer die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy,
L-1855, Luxemburg mit dem Hosting der webbasierten Software und damit der Verarbeitung von
personenbezogenen Daten beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber
einverstanden.
Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in
Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der
Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2
Satz 2 DS-GVO).
8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-
GVO)
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von
der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu
werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit
der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck
der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische
Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
Die vom Subunternehmer Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855,
Luxemburg ergriffenen technischen und organisatorischen Maßnahmen (TOM) können Sie unter
diesem Link https://aws.amazon.com/de/compliance/gdpr-center/abrufen.
Technische und organisatorische Maßnahmen (TOMs) (Stand Dezember 2024):
Der Auftragnehmer ist zur Sicherstellung des Datenschutzes verpflichtet. Er hat die folgenden
technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrages zu ergreifen und
aufrechtzuerhalten:
I. Sicherstellung der Vertraulichkeit insb. durch
1. Zugriffskontrolle (z.B. Berechtigungskonzepte, Zugriffsprotokolle) Angemessene Maßnahmen, die
den Zugriff unautorisierter Personen auf die Datenverarbeitungssysteme verhindern, durch:
• Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts (Differenzierte
Berechtigungen über Profile, Rollen, Transaktionen, Objekte) und der
Zugriffsrechte sowie deren Überwachung und Protokollierung;
• Bereitstellung angemessener Funktionen zur Authentisierung;
• Überprüfung der Berechtigung, maschinell z. B. durch Identifizierungsschlüssel;
• Aufzeichnung von Protokollen (erfolglose und erfolgreiche
Authentifizierungsversuche);
• Verschließbarkeit der Einrichtungen zur Datenverarbeitung (Räume, Gebäude,
Computerhardware und zugehöriges Equipment);
• Einsatz von Verschlüsselungsverfahren;
2. Zutrittskontrolle
Angemessene Maßnahmen zur Verhinderung des Zutritts unautorisierter Personen zum
Datenverarbeitungsequipment werden durch den Dienstleister AWS festgelegt und sind
unter https://aws.amazon.com/de/compliance/data-center/controls/ abrufbar.
3. Zugangskontrolle (Kennwörter, Verschlüsselung von Datenträgern etc.) Angemessene
Maßnahmen, die sicherstellen, dass diejenigen, die bei der Datenverarbeitung eingesetzt
werden, lediglich Zugang zu solchen Daten haben, die von ihrer jeweiligen Zugangsautorisierung
abgedeckt sind, durch:
• Autorisierter Zutritt in Büroräumlichkeiten;
• Berechtigungskonzepte: Nur passwortgeschützte Zugriffe inkl. Rollenkonzepte in
allen datenverarbeitenden und -datenspeichernden Systemen;
• Passwortrichtlinien (sichere Passwörter, regelmäßiger Wechsel, regelmäßige
Reviews);
• Technische (Kennwort- / Passwortschutz) und organisatorische
(Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und
Authentifizierung Sperrung bzw. zeitlich beschränkte Nutzung von Terminals;
• Zuordnung einzelner Clients und Identifizierungsmerkmale ausschließlich für
bestimmte Funktionen;
• Authentisierung von Benutzern mit Fernzugriff (kryptografische Techniken,
Hardware-Identifikation);
• Verpflichtung auf das Datengeheimnis nach Art 28 Abs. 3 lit. b DSGVO;
• Einsatz von Benutzercodes für Daten und Programme (PIN); Kontrollierte
Vernichtung von Datenträgern;
• Firewalls;
II. Sicherstellung der Integrität (lit. b) insb. durch
1. Weitergabekontrolle (z.B. Verschlüsselung, VPN);
Angemessene Maßnahmen, die bei einer weiteren Übermittlung der Daten (elektronisch oder auch
Transport auf Datenträgern) sicherstellen, dass keine unbefugten Dritten die Daten lesen, löschen,
ändern, kopieren durch:
• Leitlinien zum Austausch von Informationen aller Art; Verschlüsselung bei
Datenübertragung (Netzwerkverschlüsselung, TLS);
• Verfahren zur Erkennung und Schutz von Schadsoftware;
• Zugriff für bestimmte autorisierte Benutzer;
• Ausgabe von Datenträgern nur an autorisierte Personen (z. B. Auftragsquittung,
Begleitpapier);
• Datenträger-Verwaltung; Sicherheitsschränke;
• Gegenseitige Überwachung (4-Augen-Prinzip); Kontrollierte Vernichtung von
Datenträgern (z. B. Fehldrucke);
2. Eingabekontrolle (z.B. Dokumentenmanagement, Protokollierung). Der Auftragnehmer trägt
dafür Sorge, dass nachträglich geprüft und festgestellt werden kann, ob und wann
personenbezogene Daten in Datenverarbeitungssysteme eingegeben worden sind, durch:
• Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe;
• Verwendung von Logfiles;
• Verfahrens-, Programm- und Arbeitsablauforganisation;
• Verpflichtung auf das Datengeheimnis und zur Vertraulichkeit;
3. Auftragskontrolle Die von dem Auftragnehmer verarbeiteten und genutzten Daten dürfen
ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers verarbeitet werden.
Dies wird sichergestellt durch:
• formalisierte Auftragserteilung (Auftragsformular);
• Eindeutige vertragliche Regelungen;
• Sorgfältige Auswahl des Auftragnehmers;
• Überprüfung der Einhaltung der vertraglichen Regelungen;
• Bindende Richtlinien und Verfahren, die vorab von dem Auftraggeber freigegeben
worden sind;
• Funktionstrennung;
III. Sicherstellung der Verfügbarkeit und Belastbarkeit (lit. b) insb. durch
1. Verfügbarkeitskontrolle (z.B. Backup-Strategie, Virenschutz, unterbrechungsfreie
Stromversorgung, Notfallpläne etc.) Angemessene Maßnahmen, die die Daten gegen
zufällige Zerstörung oder Verlust schützen, durch:
• Backups gemäß Back-Up-Plan;
• Virenschutz/Firewalls;
• Interne Datenverarbeitungsrichtlinien und -verfahren, Guidelines, Arbeitsanweisungen;
• Redundante Hardwareabsicherung der Systeme gegen Ausfall der Datenbank, Service-
Level-Agreements;
• Unterbrechungsfreie Stromversorgung (USV);
2. Trennungskontrolle Angemessene Verfahren, die sicherstellen, dass die Daten getrennt
verarbeitet werden können:
• Funktionstrennung;
• Logische Trennung;
3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (lit. d) insb. Durch
• Datenschutz-Management, Datenschutzfreundliche Voreinstellungen;
• Auftragskontrolle;
9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-
GVO
Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie
an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder
Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht
zu löschen bzw. zu vernichten/vernichten zu lassen.