Vertrag zur Auftragsverarbeitung

Stand: 15. November 2024

Vereinbarung

zwischen dem

Kunden der offree.me GmbH
– Verantwortlicher – nachstehend Auftraggeber genannt 

und der

offree.me GmbH
– Auftragsverarbeiter – nachstehend Auftragnehmer genannt 

1. Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags ergibt sich aus der jeweiligen Bestellung des Kunden sowie den dort referenzierten allgemeinen Geschäftsbedingungen, auf die hier insgesamt verwiesen wird (nachstehend „Leistungsvereinbarung“).

(2) Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in der Leistungsvereinbarung konkret beschrieben. Insbesondere erbringt der Auftragnehmer gegenüber dem Auftraggeber im Rahmen der Leistungsvereinbarung folgende Leistungen:

  • Verarbeitung personenbezogener Daten (z. B. E-Mail-Adresse, Profilbild).
  • Automatische Verarbeitung und Beantwortung von E-Mails, basierend auf Kalendereinträgen.

 

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet durch den Auftragnehmer selbst ausschliesslich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Soweit jeweils in Anlage 1 – technisch-organisatorische Massnahmen – ausdrücklich bezeichnet, finden einzelne Verarbeitungen ausserhalb eines Mitgliedsstaates der Europäischen Union oder eines anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum statt; in diesen Fällen ist jedoch stets das angemessene Schutzniveau im Drittstaat gewährleistet (siehe Anlage 2) und durch die in Anlage 1 genannten Massnahmen sichergestellt. Jede sonstige Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Diese Zustimmung kann für in diesem Vertrag genannte einzelne Verarbeitungen für jeweils ein spezifisches Drittland erteilt werden, auch im Hinblick auf Unterauftragsverhältnisse.

(2) Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

  • Personenstammdaten
  • Kommunikationsdaten (z. B. Telefon, E-Mail)
  • Adressdaten
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten, einschliesslich Ressourcen
  • Weitere Daten, falls vom Kunden eingegeben (z. B. Geburtsdaten, Fertigkeiten)

(3) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Beschäftigte
  • Lieferanten, externe Dienstleister
  • Kunden
  • Geschäftspartner
  • Interessenten
  • Weitere Ansprechpartner, falls vom Kunden eingegeben

 

3. Technisch-organisatorische Massnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Massnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Massnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Die getroffenen Massnahmen dienen der Datensicherheit und stellen sicher, dass Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dem jeweiligen Risiko angemessen geschützt sind. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die im Einzelnen ergriffenen technischen und organisatorischen Massnahmen ergeben sich aus Anlage 1.

(3) Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative, adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken, soweit keine gesetzlichen Anforderungen den Auftragnehmer zu selbstständigem Tätigwerden verpflichten. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäss Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäss Art. 38 und 39 DSGVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber bei Vertragsschluss bekanntzugeben. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b) Die Wahrung der Vertraulichkeit gemäss Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschliesslich entsprechend der Weisung des Auftraggebers verarbeiten einschliesslich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Massnahmen gemäss Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO. Die Einzelheiten sind in Anlage 1 aufgeführt.

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Massnahmen der Aufsichtsbehörde, soweit sie sich auf diese konkrete und grundsätzliche Beauftragung beziehen und eine solche Information gesetzlich nicht verboten ist. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Kontext der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen, soweit dies gesetzlich erlaubt ist.

g) Der Auftragnehmer kontrolliert regelmässig die internen Prozesse sowie die technischen und organisatorischen Massnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Massnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrags.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Massnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmassnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

a) Der Auftraggeber stimmt der Beauftragung der in Anlage 2 benannten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu.

b) Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber spätestens 14 Tage vorab schriftlich oder in Textform anzeigt und
  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

(3) Erbringt der Unterauftragnehmer die vereinbarte Leistung ausserhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Massnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(4) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. Die technischen und organisatorischen Massnahmen von Unterauftragnehmern sind an die hier definierten technischen und organisatorischen Massnahmen anzulehnen und dürfen nur in begründeten Ausnahmefällen das hier vereinbarte Niveau unterschreiten.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig und spätestens 14 Tage vorab anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen nachzuweisen.

(3) Der Nachweis solcher Massnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäss Art. 40 DSGVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäss Art. 42 DSGVO;
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

 

8. Mitteilung bei Verstössen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u. a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Massnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen:

d) unverzügliche Weiterleitung von Ersuchen betroffener Personen, z. B. Recht auf Auskunft, an den Auftraggeber;

e) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;

f) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. Grundlage für die Berechnung der Vergütung ist die Leistungsvereinbarung oder die allgemeinen Vergütungssätze des Auftragnehmers für vergleichbare Tätigkeiten.

9. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstosse gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Die Feststellung der Beendigung der Leistungsvereinbarung bedarf der Mitteilung durch den Auftraggeber. Mit der Erklärung, die vertragliche Beziehung einstellen zu wollen, beginnt zudem die Löschfrist hinsichtlich aufbewahrungspflichtiger Geschäftsunterlagen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Sonstiges

Der Ansprechpartner beim Auftraggeber auch für den Datenschutz ist standardmäßig der als Rechnungskontakt benannte Ansprechpartner; dieser kann jederzeit vom Auftraggeber geändert oder ergänzt werden. Ansprechpartner beim Auftragnehmer ist dessen jeweiliger Datenschutzbeauftragter, erreichbar unter .

Anlage 1 – Technisch-organisatorische Massnahmen

A. Auftragnehmer:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zugangskontrolle
    Es wird unterschieden zwischen der Zugangskontrolle zu den Rechenzentren, der Zugangskontrolle zu den Rechenzentren für den Kundensupport, der Zugangskontrolle über das Internet sowie der generellen Zugangskontrolle.
    • Generelle Zugangskontrolle:
      • Zugangsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
      • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
      • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
      • Es gibt eine Richtlinie für das Sperren der Rechner.
      • Entsprechend den technischen Möglichkeiten werden Timeouts konfiguriert.
      • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
      • Sämtliche Zugänge sind mit Benutzernamen und Passwort gesichert.
      • Es bestehen Anforderungen an die Passwortkomplexität.
      • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
    • Zugangskontrolle über das Internet:
      • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
      • Der Zugang zu den Datenverarbeitungssystemen ist mittels Benutzernamen und Passwörtern geschützt.
      • Der Zugang zu den Datenverarbeitungssystemen erfolgt mittels VPN-Technologie und personenbezogenen Zugangsdaten.
      • Der Remote-Zugang zu den Datenverarbeitungssystemen ist lediglich einem eingeschränkten Benutzerkreis gestattet.
      • Der Remote-Zugang zu datenschutzrelevanten Systemen erfordert eine Zwei-Faktor-Authentifizierung.
      • Datenschutzrelevante Kernsysteme sind nur über das Unternehmensnetzwerk erreichbar.
    • Zugangskontrolle in den Rechenzentren:
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist auf bestimmte IP-Adressbereiche eingeschränkt (verringerte Zugangspunkte).
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
      • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Microsoft. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft-Rechenzentren in Deutschland“ sowie „Unterauftragnehmer Microsoft Azure“.
    • Zugangskontrolle in den Rechenzentren für den Kundensupport:
      • Der Mitarbeiter-Zugang zu den Systemen ist auf bestimmte IP-Adressbereiche eingeschränkt (verringerte Zugangspunkte).
      • Der Remote-Wartungszugang zu den Systemen in den Rechenzentren ist besonderen Rollenträgern vorbehalten (verkleinerter Benutzerkreis).
      • Das Sicherheitsniveau für die Rechenzentren selbst liegt im Verantwortungsbereich von Freshworks. Hierzu zählt neben der physischen Sicherheit auch die Sicherheit der Umgebung sowie Zugriffskontrollrichtlinien. Einzelheiten zu den Zugangskontrollen der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Freshworks“.
  • Zugriffskontrolle
    Die Zugriffsberechtigungen sind in der Praxis oft an die Zugangsberechtigungen gekoppelt, sodass die Massnahmen zum Zugang auch indirekte Auswirkungen auf den Zugriff haben.
    • Zugriffsberechtigungen sind nach Notwendigkeit eingerichtet (Prinzip der betrieblichen Erforderlichkeit).
    • Unterscheidung nach Fachbereich, sowie zwischen normalen, privilegierten und externen Konten (Gruppen- und Rollenkonzept).
    • Vergabe- und Entzugsprozess von Berechtigungen (Dokumentierte Prozesse bei Einstellung/Ausscheiden von Berechtigten).
    • Es bestehen Anforderungen an die Passwortkomplexität.
    • Elektronische und papiergebundene Informationen werden datenschutzkonform vernichtet.
  • Trennungskontrolle
    • Trennung von Test- und Produktivsystemen (Sandboxing).
    • Getrennte Speicherung in unterschiedlichen Systemen:
      • CRM / allgemeine Kundendaten
      • ERP / buchhaltungsrelevante Daten
      • Service- und Supportdaten
      • Produktivdaten der Kunden von offree.me

 

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    • Alle Mitarbeiter sind vertraglich auf Vertraulichkeit und Verschwiegenheit verpflichtet.
    • Alle Mitarbeiter sind vertraglich auf § 88 des TKG verpflichtet.
    • Die Datenträger von stationären Rechnern, Laptops / Notebooks sowie mobile Datenträger sind verschlüsselt.
    • Web-Oberflächen verwenden gesicherte Verbindungen (TLS/SSL) mit Schlüssellängen, die dem Stand der Technik entsprechen.
    • Der Zugang zu den Datenverarbeitungssystemen ist generell mit Hardware-Firewalls gesichert.
    • Die Löschfristen der überlassenen Daten entsprechen den gesetzlichen Vorgaben und sind im internen Löschkonzept niedergelegt.
    • Bei Kommunikation mit externen Geschäftspartnern, Kunden und Diensten werden Verschlüsselungen nach dem Stand der Technik eingesetzt, sofern der Kommunikationspartner dies wünscht. Die bei der Verschlüsselung verwendeten Signaturen werden gegen die Zertifizierungsstelle validiert.
  • Eingabekontrolle
    Es wird unterschieden zwischen der Eingabekontrolle von Daten, die offree.me intern verwendet, z. B. zur Verwaltung, Entwicklung, Support und Marketing sowie der Eingabekontrolle von Produktivdaten der Kunden von offree.me sowie generellen Eingabekontrollen.
    • Generelle Eingabekontrolle:
      • Der Zugriff erfolgt mittels individueller Benutzernamen und Passwörter.
      • Ein mehrstufiges Berechtigungskonzept sorgt dafür, dass unterschiedliche Benutzer unterschiedliche Rechte zur Eingabe, Änderung und Löschung von Daten in der Benutzeroberfläche haben.
    • offree.me-interne Eingabekontrolle:
      • Versionierung der internen Dokumente (Dokumentenmanagement).
      • Versionierung von Quellcodes (Quellcodemanagement).
      • Protokollierung von Support-Tickets (Kundenservicemanagement).
    • Eingabekontrolle von Produktivdaten der Kunden von offree.me:
      • Datensätze beinhalten eine Erstell-, Veränderungs- und Löschkennzeichnung.

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle
    Es wird unterschieden zwischen der Verfügbarkeitskontrolle von Daten, die a) offree.me intern verwendet, z. B. zur Verwaltung, Entwicklung und Marketing, der Verfügbarkeitskontrolle von Kundensupportdaten, der Verfügbarkeitskontrolle von Produktivdaten der Kunden von offree.me sowie der Verfügbarkeitskontrolle von Produktivdaten der Kunden von Managed Services.
    • Verfügbarkeitskontrolle von offree.me-internen Daten:
      Es wird unterschieden zwischen Datenverarbeitungsanlagen, die offree.me innerhalb der Standorte selbst betreibt, und Datenverarbeitungsanlagen in externen Rechenzentren, die offree.me angemietet hat.
      • Datenverarbeitungsanlagen in externen Rechenzentren:
        • offree.me hat Rechenzentren in Microsoft Azure angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
        • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft Azure“.
    • Verfügbarkeitskontrolle von Kundensupportdaten:
      • Einzelheiten zur Verfügbarkeitskontrolle befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Freshworks“.
    • Verfügbarkeitskontrolle von Produktivdaten der Kunden von offree.me und für Managed Services:
      • offree.me betreibt keine eigenen Rechenzentren, sondern hat Microsoft-Rechenzentren in Deutschland angemietet. Diese Rechenzentren erfüllen verschiedene Zertifizierungen, darunter ISO 27001.
      • Die Rechenzentren befinden sich in Frankfurt am Main und Berlin. Die Datenbestände sind in Einklang mit deutschem und europäischem Recht geschützt. 
      • Simultane Bereitstellung auf voneinander unabhängigen Systemen („Hot Spare“-Prinzip).
      • Einzelheiten zur Verfügbarkeitskontrolle der Rechenzentren befinden sich in Anhang 2 im Abschnitt „Unterauftragnehmer Microsoft-Rechenzentren in Deutschland“.

 

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutz-Management:
    • Auditplanung und Durchführung von internen und externen Audits.
    • Durchführung von Sensibilisierungsmassnahmen / regelmäßige Mitarbeiterschulungen.
    • Reporting bzw. Berichterstattung.
    • Risikomanagement und -analyse.
    • Durchführung von Penetrationstests.
    • Datenschutz-Folgenabschätzung und -Massnahmenplanung für neue und geänderte Abläufe als Standardprozess.
  • Prozess zur Behandlung von Datenschutzvorfällen:
    • Meldungspflicht / Meldeprozesse.
    • Regelmässige Mitarbeiterschulungen.
  • Datenschutzfreundliche Voreinstellungen:
    • Richtlinien für private Endgeräte im betrieblichen Einsatz (BYOD).
    • Richtlinien für betriebliche Endgeräte.
    • Gruppen- und Netzwerksicherheitsrichtlinien (Domain Policy).
  • Auftragskontrolle:
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch
    • eindeutige Vertragsgestaltung.
    • formalisiertes Auftragsmanagement.
    • strenge Auswahl und Überwachung des jeweiligen Dienstleisters/Unterauftragnehmers.

B. Unterauftragnehmer:

Siehe ergänzend jeweils die Verweise zum aktuellen Stand der Massnahmen zum jeweiligen Unterauftragnehmer in Anlage 2.

1. Microsoft Corporation, Stand Januar 2020

Microsoft hat für Kundendaten in den Kernonlinediensten die folgenden Sicherheitsmassnahmen getroffen, die in Verbindung mit den Sicherheitsverpflichtungen in diesem DPA (einschliesslich der Bestimmungen der DSGVO) die einzige Verantwortung von Microsoft in Bezug auf die Sicherheit dieser Daten darstellen, und wird diese Massnahmen aufrechterhalten.

DomänePraktiken
Organisation der IT-Sicherheit

Verantwortung für die Sicherheit. Microsoft hat einen oder mehrere Sicherheitsbeauftragte ernannt, die für die Koordination und Überwachung der Sicherheitsregeln und -verfahren verantwortlich sind.

Funktionen und Verantwortlichkeiten in Bezug auf Sicherheit. Microsoft-Mitarbeiter, die Zugang zu Kundendaten haben, sind zur Vertraulichkeit verpflichtet.

Risikomanagementprogramm. Microsoft führte eine Risikobewertung durch, bevor die Kundendaten verarbeitet oder die Onlinedienstleistungen gestartet wurden.

Microsoft archiviert ihre Sicherheitsunterlagen im Rahmen ihrer Aufbewahrungspflichten, nachdem sie nicht mehr in Kraft sind.

Asset-Management

Anlagenbestand. Microsoft pflegt einen Bestand aller Medien, auf denen Kundendaten gespeichert sind. Der Zugriff auf die Bestände solcher Medien ist auf Microsoft-Mitarbeiter beschränkt, die schriftlich dazu berechtigt sind.

Asset-Handling

  • Microsoft unterteilt Kundendaten in Kategorien, um die Identifizierung zu unterstützen und eine angemessene Beschränkung des Zugriffs auf Kundendaten zu ermöglichen.
  • Microsoft legt Einschränkungen für das Drucken von Kundendaten fest und verfügt über Verfahren für die Entsorgung gedruckter Materialien, die Kundendaten enthalten.
  • Mitarbeiter von Microsoft müssen eine Genehmigung von Microsoft einholen, bevor sie Kundendaten auf tragbaren Geräten speichern, remote auf Kundendaten zugreifen oder Kundendaten ausserhalb der Einrichtungen von Microsoft verarbeiten.
PersonalsicherheitSicherheitsschulungen. Microsoft informiert seine Mitarbeiter über relevante Sicherheitsverfahren und deren jeweilige Rollen. Microsoft informiert seine Mitarbeiter auch über mögliche Folgen einer Verletzung der Sicherheitsregeln und -verfahren. Microsoft verwendet in der Schulung nur anonyme Daten.
Physische und ökologische Sicherheit

Physischer Zugang zu Einrichtungen. Microsoft beschränkt den Zugang zu Einrichtungen, in denen sich Kundendaten verarbeitende Informationssysteme befinden, auf identifizierte, autorisierte Personen.

Physischer Zugriff auf Komponenten. Microsoft führt Aufzeichnungen über die ein- und ausgehenden Medien, die Kundendaten enthalten, einschliesslich der Art der Medien, des zugelassenen Absenders/der zugelassenen Empfänger, Datum und Uhrzeit, der Anzahl von Medien und der darin enthaltenen Arten von Kundendaten.

Schutz vor Unterbrechungen. Microsoft nutzt eine Vielzahl von Branchenstandardsystemen, um den Verlust von Daten durch Stromausfall oder Leitungsinterferenzen zu verhindern.

Entsorgung von Komponenten. Microsoft verwendet Branchenstandardprozesse, um Kundendaten zu löschen, wenn sie nicht mehr benötigt werden.

Kommunikations- und Betriebsmanagement

Betriebsrichtlinie. Microsoft pflegt Sicherheitsunterlagen, in denen die Sicherheitsmassnahmen sowie die entsprechenden Verfahren und Verantwortlichkeiten der Mitarbeiter beschrieben sind, die Zugang zu Kundendaten haben.

Datenwiederherstellungsverfahren

  • Microsoft erstellt kontinuierlich, mindestens jedoch einmal pro Woche (es sei denn, es wurden im betreffenden Zeitraum keine Kundendaten aktualisiert) mehrere Kopien von Kundendaten, aus denen Kundendaten wiederhergestellt werden können.
  • Microsoft bewahrt Kopien von Kundendaten und Datenwiederherstellungsverfahren an einem anderen Ort als dem auf, an dem sich die primären Computergeräte befinden, von denen die Kundendaten verarbeitet werden.
  • Microsoft verfügt über bestimmte Verfahren, die den Zugriff auf Kopien von Kundendaten regeln.
  • Microsoft prüft die Datenwiederherstellungsverfahren mindestens einmal alle sechs Monate. Ausgenommen hiervon sind Verfahren für Azure Government Services, die alle zwölf Monate geprüft werden.
  • Microsoft protokolliert Datenwiederherstellungsannahmen. Dabei werden Informationen zur verantwortlichen Person, die Beschreibung der wiederhergestellten Daten sowie gegebenenfalls Angaben zu den Daten, die bei der Datenwiederherstellung manuell eingegeben werden mussten, aufgezeichnet.

Malware. Microsoft nimmt Anti-Schadsoftware-Kontrollen vor, um zu verhindern, dass bösartige Software unbefugten Zugriff auf Kundendaten erhält, einschliesslich bösartiger Software aus öffentlichen Netzwerken.

Daten ausserhalb von Landesgrenzen

  • Microsoft verschlüsselt Kundendaten, die über öffentliche Netzwerke übermittelt werden, oder ermöglicht dem Kunden eine solche Verschlüsselung.
  • Microsoft schränkt den Zugriff auf Kundendaten in Medien ein, die die Einrichtungen von Microsoft verlassen.

Ereignisprotokollierung. Microsoft protokolliert oder ermöglicht es dem Kunden, Kundendaten enthaltende Informationssysteme zu protokollieren, darauf zuzugreifen und diese zu nutzen, indem die Zugangs-ID, die Uhrzeit, die erteilte oder verweigerte Berechtigung und die entsprechende Aktivität registriert werden.

Zugriffskontrolle

Zugriffsrichtlinie. Microsoft führt eine Aufzeichnung der Sicherheitsberechtigungen von Einzelpersonen, die Zugang zu Kundendaten haben.

Zugriffsberechtigung

  • Microsoft pflegt und aktualisiert Unterlagen zu den Mitarbeitern, die zum Zugriff auf Microsoft-Systeme autorisiert sind, die Kundendaten enthalten.
  • Microsoft deaktiviert Anmeldedaten, die über einen bestimmten Zeitraum, der sechs Monate nicht überschreiten darf, nicht verwendet wurden.
  • Microsoft benennt diejenigen Mitarbeiter, die berechtigt sind, den autorisierten Zugriff auf Daten und Ressourcen zu gewähren, zu ändern oder zu widerrufen.
  • Wenn mehrere Personen Zugriff auf die Systeme haben, in denen Kundendaten enthalten sind, stellt Microsoft sicher, dass diese Personen über separate Kennungen/Anmeldedaten verfügen.

Geringste Rechte

  • Technischen Supportmitarbeitern ist der Zugriff auf Kundendaten nur gestattet, wenn dies erforderlich ist.
  • Microsoft schränkt den Zugriff auf Kundendaten auf solche Personen ein, die diesen Zugriff benötigen, um ihre berufliche Tätigkeit auszuführen.

Integrität und Vertraulichkeit

  • Microsoft weist Mitarbeiter an, Administrationssitzungen zu deaktivieren, wenn sie Einrichtungen, die sich unter der Kontrolle von Microsoft befinden, verlassen oder wenn Computer anderweitig unbeaufsichtigt sind.
  • Microsoft speichert Kennwörter so, dass sie während des Gültigkeitszeitraums nicht erkennbar sind.

Authentifizierung

  • Microsoft verwendet Verfahren nach Branchenstandard, um Benutzer zu identifizieren und zu authentifizieren, die versuchen, auf Informationssysteme zuzugreifen.
  • Wenn die Authentifizierungsverfahren auf Kennwörtern beruhen, schreibt Microsoft vor, dass die Kennwörter regelmäßig erneuert werden müssen.
  • Wenn die Authentifizierungsverfahren auf Kennwörtern beruhen, schreibt Microsoft vor, dass das Kennwort mindestens acht Zeichen umfassen muss.
  • Microsoft stellt sicher, dass deaktivierte oder abgelaufene Kennungen an keine andere Person vergeben werden.
  • Microsoft überwacht wiederholte Versuche, sich mit ungültigen Kennwörtern Zugriff auf Informationssysteme zu verschaffen, oder ermöglicht Kunden eine solche Überwachung.
  • Microsoft unterhält Verfahren nach Branchenstandard zur Deaktivierung von Kennwörtern, die manipuliert oder versehentlich offengelegt wurden.
  • Microsoft verwendet Verfahren nach Branchenstandard zum Schutz von Kennwörtern, einschliesslich Verfahren, die die Vertraulichkeit und Integrität von Kennwörtern während der Zuweisung und Verteilung sowie während der Speicherung wahren sollen.

Netzwerkdesign. Microsoft führt Kontrollen durch, um zu verhindern, dass Personen Zugriffsrechte erhalten, die ihnen nicht zugewiesen wurden, um Zugang zu Kundendaten zu erhalten, auf die sie nicht zugreifen dürfen.

Handhabung eines Informationssicherheitsvorfalls

Vorfallreaktionsablauf

  • Microsoft führt Unterlagen über Sicherheitsverletzungen unter Angabe einer Beschreibung der Verletzung, des Zeitraums, der Konsequenzen der Verletzung, des Namens der Person, die den Zwischenfall gemeldet hat, und der Person, der der Zwischenfall gemeldet wurde, sowie des Verfahrens für die Wiederherstellung von Daten.
  • Für jede Sicherheitsverletzung, bei der es sich um einen Sicherheitsvorfall handelt, erfolgt (wie im Abschnitt „Meldung von Sicherheitsvorfällen“ weiter oben beschrieben) unverzüglich und auf jeden Fall innerhalb von 72 Stunden eine Benachrichtigung seitens Microsoft.
  • Microsoft verfolgt Offenlegung von Kundendaten, darunter Informationen dazu, welche Daten gegenüber wem und zu welchem Zeitpunkt offengelegt wurden, oder ermöglicht Kunden eine solche Verfolgung.

Dienstüberwachung. Das Microsoft-Sicherheitspersonal überprüft die Protokolle mindestens alle sechs Monate, um gegebenenfalls Wartungsmassnahmen vorzuschlagen.

Geschäftsfortführungsmanagement
  • Microsoft unterhält Notfall- und Alternativpläne für die Einrichtungen, in denen sich Microsoft Informationssysteme befinden, die Kundendaten verarbeiten.
  • Die redundante Speicherung von Microsoft sowie die Verfahren zur Wiederherstellung von Daten sind so konzipiert, dass versucht wird, Kundendaten in ihrem ursprünglichen oder ihrem zuletzt replizierten Zustand vor dem Verlust oder der Vernichtung zu rekonstruieren.
© 2025 • OFFREE