Datenschutzanhang

Gültigkeitsdatum: 16. Februar 2025

zwischen

Kunde gemäß den AGB als Verantwortlicher (im Folgenden „Verantwortlicher“),

und

Wave Connect Inc., 3 Pl. Ville-Marie Suite 400, H3B 2E3, Montreal, Kanada als Auftragsverarbeiter (im Folgenden "Auftragsverarbeiter", Verantwortlicher und Auftragsverarbeiter gemeinsam die "Parteien") Wave Connect Inc., 3 Pl. Ville-Marie Suite 400,  H3B 2E3, Montreal, Kanada als Auftragsverarbeiter (im Folgenden "Auftragsverarbeiter", Verantwortlicher und Auftragsverarbeiter gemeinsam die "Parteien")

Präambel

Der Verantwortliche hat den Auftragsverarbeiter in den AGB (im Folgenden als „Hauptvertrag“ bezeichnet) für die darin spezifizierten Dienstleistungen beauftragt. Teil der Vertragsausführung ist die Verarbeitung personenbezogener Daten. Insbesondere stellt Art. 28 DSGVO besondere Anforderungen an eine solche Auftragsverarbeitung. Um diese Anforderungen zu erfüllen, schließen die Parteien die folgende Datenverarbeitungsvereinbarung (im Folgenden als „Vereinbarung“ bezeichnet), deren Erfüllung nicht gesondert vergütet wird, es sei denn, dies ist ausdrücklich vereinbart.

1. Definitionen

(1) Gemäß Art. 4 (7) DSGVO ist der Verantwortliche die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt.

(2) Gemäß Art. 4 (8) DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Gemäß Art. 4 (1) DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbare natürliche Person wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(4) Besondere Kategorien personenbezogener Daten sind personenbezogene Daten im Sinne des Art. 9 DSGVO, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Personen hervorgehen, personenbezogene Daten gemäß Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit in Zusammenhang stehende Sicherheitsmaßnahmen sowie genetische Daten gemäß Art. 4 (13) DSGVO, biometrische Daten gemäß Art. 4 (14) DSGVO, Gesundheitsdaten gemäß Art. 4 (15) DSGVO und Daten über das Sexualleben oder die sexuelle Orientierung einer Person.

(5) Gemäß Art. 4 (2) DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(6) Gemäß Art. 4 (21) DSGVO ist die Aufsichtsbehörde eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

(7) „Europäische Datenschutzgesetze“ sind alle für den Europäischen Wirtschaftsraum und seine Mitgliedsstaaten („EWR“), die Schweiz und das Vereinigte Königreich („UK“) geltenden Datenschutzgesetze und -vorschriften, einschließlich (i) der Verordnung 2016/679 des Europäischen Parlaments und des Rates über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr (Allgemeine Datenschutzverordnung) („DSGVO“); (ii) der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) der nationalen Umsetzungen von (i) und (ii); (iv) der DSGVO, wie sie durch das UK European Union (Withdrawal) Act 2018 und den UK Data Protection Act 2018 Teil des britischen Rechts ist (zusammen „UK-Datenschutzgesetze“); und (v) das Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung („Schweizer DSG“).


2. Gegenstand des Vertrags

(1) Der Auftragsverarbeiter erbringt die im Hauptvertrag für den Verantwortlichen spezifizierten Dienstleistungen. Dabei erhält der Auftragsverarbeiter Zugang zu personenbezogenen Daten, die er ausschließlich im Auftrag und gemäß den Weisungen des Verantwortlichen für den Verantwortlichen verarbeitet. Der Umfang und der Zweck der Datenverarbeitung durch den Auftragsverarbeiter sind im Hauptvertrag und in allen damit verbundenen Leistungsbeschreibungen festgelegt. Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Datenverarbeitung verantwortlich.

(2) Die Parteien schließen die vorliegende Vereinbarung, um die gegenseitigen Rechte und Pflichten nach den Datenschutzgesetzen festzulegen. Im Zweifelsfall haben die Bestimmungen dieser Vereinbarung Vorrang vor den Bestimmungen des Hauptvertrags.

(3) Die Bestimmungen dieses Vertrags gelten für alle mit dem Hauptvertrag verbundenen Tätigkeiten, bei denen der Auftragsverarbeiter und seine Mitarbeiter oder vom Auftragsverarbeiter autorisierte Personen mit personenbezogenen Daten des Verantwortlichen oder im Auftrag des Verantwortlichen gesammelten personenbezogenen Daten in Kontakt kommen.

(4) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags, es sei denn, die nachstehenden Bestimmungen begründen weitergehende Pflichten oder Kündigungsrechte.

3. Weisungsrecht

(1) Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Verantwortlichen erheben, verarbeiten oder nutzen. Sofern der Auftragsverarbeiter aufgrund des Rechts der Europäischen Union oder der Mitgliedsstaaten, dem er unterliegt, zu einer weiteren Verarbeitung verpflichtet ist, hat er den Verantwortlichen vor der Verarbeitung über diese gesetzlichen Anforderungen zu informieren.

(2) Die Weisungen des Verantwortlichen werden anfänglich durch diese Vereinbarung bestimmt. Danach können sie vom Verantwortlichen schriftlich oder in Textform durch Einzelweisungen (Einzelanweisungen) geändert, ergänzt oder ersetzt werden. Der Verantwortliche ist berechtigt, solche Weisungen jederzeit zu erteilen. Dies umfasst Weisungen in Bezug auf die Berichtigung, Löschung und Sperrung von Daten.

(3) Alle erteilten Weisungen werden vom Verantwortlichen dokumentiert. Weisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, werden als Änderungsanforderung der Leistung behandelt.

(4) Wenn der Auftragsverarbeiter der Meinung ist, dass eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen verstößt, hat er den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter ist berechtigt, die Umsetzung der betreffenden Weisung so lange auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter kann die Ausführung einer offensichtlich rechtswidrigen Weisung verweigern.

4. Arten der verarbeiteten Daten, Gruppe der betroffenen Personen, Drittland

(1) Im Rahmen der Umsetzung des Hauptvertrags hat der Auftragsverarbeiter Zugriff auf die in Anhang 1 näher spezifizierten personenbezogenen Daten.

(2) Die Gruppe der von der Datenverarbeitung betroffenen Personen ist in Anhang 1 aufgeführt.

(3) Eine Übermittlung personenbezogener Daten in ein Drittland kann unter den Bedingungen des Art. 44 ff. DSGVO erfolgen.

5. Schutzmaßnahmen des Auftragsverarbeiters

(1) Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Datenschutzbestimmungen zu beachten und Informationen aus dem Bereich des Verantwortlichen nicht an Dritte weiterzugeben oder ihnen zugänglich zu machen. Dokumente und Daten werden unter Berücksichtigung des Stands der Technik gegen die Offenlegung an Unbefugte gesichert.

(2) Der Auftragsverarbeiter organisiert die interne Organisation in seinem Verantwortungsbereich so, dass sie die besonderen Anforderungen des Datenschutzes erfüllt. Er hat die in Anhang 2 genannten technischen und organisatorischen Maßnahmen ergriffen, um die Daten des Verantwortlichen gemäß Art. 32 DSGVO angemessen zu schützen, was der Verantwortliche als angemessen anerkennt. Der Auftragsverarbeiter behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern, wobei sichergestellt wird, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Den in der Datenverarbeitung beim Auftragsverarbeiter eingesetzten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter verpflichtet alle ihm mit der Verarbeitung und Durchführung dieses Vertrags betrauten Personen entsprechend (Geheimhaltungspflicht, Art. 28 (3) lit. 28 (3) lit. b DSGVO) und stellt die Einhaltung dieser Pflicht mit der gebotenen Sorgfalt sicher.

(4) Der Auftragsverarbeiter hat einen Datenschutzbeauftragten benannt. Der Datenschutzbeauftragte des Auftragsverarbeiters ist Rickert Rechtsanwaltsgesellschaft m.b.H, Colmantstraße 15, 53115 Bonn, Deutschland. Email: info@rickert.law, Telefon: +49 (0)228 74 898 0

6. Informationspflichten des Auftragsverarbeiters

(1) Bei Störungen, vermuteten Datenschutzverletzungen oder Verstößen gegen vertragliche Verpflichtungen des Auftragsverarbeiters, vermuteten sicherheitsrelevanten Vorfällen oder anderen Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, durch von ihm im Rahmen des Vertrags eingesetzte Personen oder durch Dritte hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Gleiches gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutzaufsichtsbehörde. Die Mitteilung einer Verletzung des Schutzes personenbezogener Daten hat mindestens folgende Informationen zu enthalten:

(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten einschließlich, soweit möglich, der Kategorien und der Zahl der betroffenen Personen, der jeweiligen Kategorien Betroffener und der Zahl der betroffenen personenbezogenen Datensätze;

(b) eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen;

(c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.

(2) Der Auftragsverarbeiter hat unverzüglich die erforderlichen Maßnahmen zu ergreifen, um die Daten zu sichern und mögliche nachteilige Folgen für die betroffenen Personen zu mindern und den Verantwortlichen darüber zu informieren und weitere Weisungen anzufordern.

(3) Darüber hinaus ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen jederzeit Informationen bereitzustellen, soweit die Daten des Verantwortlichen von einem Verstoß gemäß Absatz 1 betroffen sind.

(4) Der Auftragsverarbeiter hat den Verantwortlichen über wesentliche Änderungen der Schutzmaßnahmen gemäß Abschnitt 5 (2) zu informieren.

7. Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche kann sich vor Beginn der Datenverarbeitung und anschließend regelmäßig einmal jährlich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Zu diesem Zweck kann der Verantwortliche beispielsweise Informationen vom Auftragsverarbeiter einholen, bestehende Zertifikate von Sachverständigen, Zertifizierungen oder interne Prüfungen einholen oder nach rechtzeitiger Abstimmung persönlich die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters während der normalen Geschäftszeiten kontrollieren oder von einem fachkundigen Dritten kontrollieren lassen, sofern der Dritte nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Verantwortliche führt Kontrollen nur im erforderlichen Umfang durch und beeinträchtigt dabei nicht unverhältnismäßig den Betrieb des Auftragsverarbeiters.

(2) Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen auf dessen mündliche oder schriftliche Anforderung und innerhalb einer angemessenen Frist alle Informationen und Nachweise bereitzustellen, die für die Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.

(3) Der Verantwortliche dokumentiert die Ergebnisse der Prüfung und teilt dem Auftragsverarbeiter diese mit. Bei festgestellten Fehlern oder Unregelmäßigkeiten, die der Verantwortliche insbesondere bei der Auswertung der Prüfergebnisse entdeckt, informiert der Verantwortliche den Auftragsverarbeiter ohne unangemessene Verzögerung. Werden bei der Kontrolle Tatsachen festgestellt, deren künftige Vermeidung Änderungen des beauftragten Verfahrens erfordert, teilt der Verantwortliche dem Auftragsverarbeiter die erforderlichen Verfahrensänderungen unverzüglich mit.

8. Einsatz von Dienstleistern

(1) Die vertraglich vereinbarten Leistungen werden unter Einbeziehung der in Anhang 3 genannten Dienstleister erbracht (im Folgenden „Subunternehmer“). Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung im Sinne von Artikel 28 (2) S. 1 DSGVO, weitere Subunternehmer im Rahmen seiner vertraglichen Verpflichtungen einzusetzen oder bereits beauftragte Subunternehmer auszutauschen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen vor einer beabsichtigten Änderung in Bezug auf die Einbeziehung oder den Austausch eines Subunternehmers. Der Verantwortliche kann der beabsichtigten Einbeziehung oder dem Austausch eines Subunternehmers aus wichtigem Grund datenschutzrechtlicher Art widersprechen.

(3) Der Widerspruch gegen die beabsichtigte Einbeziehung oder den Austausch eines Subunternehmers muss innerhalb von 2 Wochen nach Erhalt der Information über die Änderung erfolgen. Erfolgt kein Widerspruch, gilt die Einbeziehung oder der Austausch als genehmigt. Besteht ein wichtiger Grund datenschutzrechtlicher Art und ist eine einvernehmliche Lösung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nicht möglich, hat der Verantwortliche ein Sonderkündigungsrecht zum Ende des Monats, der auf den Widerspruch folgt.

(4) Beim Einsatz von Subunternehmern verpflichtet der Auftragsverarbeiter diese gemäß den Bestimmungen dieser Vereinbarung.

(5) Es besteht keine Subunternehmerbeziehung im Sinne dieser Bestimmungen, wenn der Auftragsverarbeiter Dritte mit Leistungen beauftragt, die als rein unterstützende Leistungen angesehen werden. Dazu gehören beispielsweise Post-, Transport- und Versanddienste, Reinigungsdienste, Telekommunikationsdienste ohne spezifischen Bezug zu den vom Auftragsverarbeiter an den Verantwortlichen erbringenden Leistungen und Wachdienste. Wartungs- und Prüfungsdienste stellen Subunternehmerbeziehungen dar, die einer Zustimmung bedürfen, soweit sie für IT-Systeme erbracht werden, die auch in Verbindung mit der Erbringung von Leistungen für den Verantwortlichen verwendet werden.

9. Anfragen und Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, um die Verpflichtungen des Verantwortlichen gemäß den Artikeln 12-22 und 32 bis 36 DSGVO zu erfüllen.

(2) Wenn eine betroffene Person Rechte wie das Recht auf Auskunft, Berichtigung oder Löschung in Bezug auf ihre Daten unmittelbar gegenüber dem Auftragsverarbeiter geltend macht, reagiert dieser nicht eigenständig, sondern verweist die betroffene Person an den Verantwortlichen und wartet auf die Weisungen des Verantwortlichen.

Im Rahmen unseres Engagements für Datenschutz und Compliance können Sie den Zugriff auf, die Berichtigung oder die Löschung Ihrer unter unserer Datenverarbeitungsvereinbarung (DPA) verarbeiteten personenbezogenen Daten beantragen. Bitte füllen Sie das Formular aus, um Ihren Antrag zu stellen.

10. Haftung

(1) Im Innenverhältnis mit dem Auftragsverarbeiter haftet allein der Verantwortliche der betroffenen Person gegenüber für den Schaden, den eine betroffene Person wegen unzulässiger oder unrichtiger Datenverarbeitung nach den Datenschutzgesetzen oder Nutzung im Rahmen der beauftragten Verarbeitung erleidet.

(2) Der Auftragsverarbeiter haftet unbeschränkt für Schäden, soweit die Ursache des Schadens auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung durch den Auftragsverarbeiter, seinen gesetzlichen Vertreter oder Erfüllungsgehilfen beruht.

(3) Der Auftragsverarbeiter haftet nur für fahrlässiges Verhalten bei Verletzung einer Verpflichtung, deren Erfüllung Voraussetzung für die ordnungsgemäße Durchführung des Vertrags ist und auf deren Einhaltung der Verantwortliche regelmäßig vertraut und vertrauen darf, ist jedoch auf den für den Vertrag typischen, vorhersehbaren Schaden begrenzt. In allen anderen Fällen ist die Haftung des Auftragsverarbeiters - einschließlich für seine Erfüllungsgehilfen - ausgeschlossen.

(4) Die Haftungsbeschränkung gemäß § 10.3 gilt nicht für Schadensersatzansprüche aus Verletzungen von Leben, Körper, Gesundheit oder aus der Übernahme einer Garantie.

11. Beendigung des Hauptvertrags

(1) Nach Beendigung des Hauptvertrags hat der Auftragsverarbeiter dem Verantwortlichen alle ihm zur Verfügung gestellten Dokumente, Daten und Datenträger zurückzugeben oder - auf Verlangen des Verantwortlichen, sofern keine Pflicht zur Aufbewahrung der personenbezogenen Daten nach Unionsrecht oder dem Recht der Bundesrepublik Deutschland besteht - zu löschen. Dies gilt auch für etwaige Datensicherungen des Auftragsverarbeiters. Der Auftragsverarbeiter hat auf Anfrage einen dokumentierten Nachweis über die ordnungsgemäße Löschung aller Daten zu erbringen.

(2) Der Verantwortliche hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten beim Auftragsverarbeiter in angemessener Weise zu kontrollieren.

(3) Der Auftragsverarbeiter ist verpflichtet, die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten auch über das Ende des Hauptvertrags hinaus vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus gültig, solange der Auftragsverarbeiter personenbezogene Daten hat, die ihm vom Verantwortlichen übermittelt wurden oder die er für den Verantwortlichen gesammelt hat.

12. Schlussbestimmungen

(1) Soweit der Auftragsverarbeiter Unterstützungsleistungen im Rahmen dieser Vereinbarung nicht ausdrücklich unentgeltlich erbringt, kann er dem Verantwortlichen eine angemessene Vergütung hierfür in Rechnung stellen, es sei denn, die eigenen Handlungen oder Unterlassungen des Auftragsverarbeiters haben eine solche Unterstützung direkt erforderlich gemacht.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf diese Formvorschrift. Die Priorität einzelvertraglicher Vereinbarungen bleibt unberührt.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder nicht durchsetzbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(4) Diese Vereinbarung unterliegt deutschem Recht.

Anhang 1 - Beschreibung der Daten/Datengruppen und der betroffenen Personen/Gruppen betroffener Personen

Kundentyp

Kategorien betroffener Personen

Kategorien von Daten

Unternehmenskonten

Mitarbeiter

Name, Kontaktdaten, Position, Abteilung, Foto, Firmendetails, Links zu sozialen Medien

Unternehmenskonten & individuelle Benutzer

Interessenten

Kontaktdaten, Name, Unternehmen

Anhang 2 - Technische und organisatorische Maßnahmen des Datenverarbeiters

1. Einleitung

Dieses Dokument fasst die technischen und organisatorischen Maßnahmen zusammen, die der Auftragsverarbeiter im Sinne von Art. 32 Abs. 1 DSGVO getroffen hat. Dies sind Maßnahmen, die der Auftragsverarbeiter ergriffen hat, um personenbezogene Daten zu schützen. Zweck des Dokuments ist es, den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflichten gemäß Art. 5 Abs. 2 DSGVO zu unterstützen.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Zugangskontrolle

Die folgenden implementierten Maßnahmen verhindern, dass unbefugte Personen Zugang zu den Datenverarbeitungssystemen erhalten:

  • Arbeiten von zu Hause: Unbefugte Personen haben keinen Zugang zu den Wohnungen der Mitarbeiter
  • Arbeiten im Homeoffice: Anweisung an die Mitarbeiter, nach Möglichkeit in einem separaten Büro zu arbeiten, das vom Wohnzimmer getrennt ist

2.2 Zugangskontrolle

Die folgenden implementierten Maßnahmen verhindern, dass unbefugte Personen Zugang zu den Datenverarbeitungssystemen erhalten:

  • Authentifizierung mit Benutzername und Passwort
  • Einsatz von Firewalls
  • Einsatz von Mobile Device Management
  • Verschlüsselung von Datenträgern
  • Automatisches Sperren des Desktops
  • Verwaltung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Zentrale Passwortregeln
  • Verwendung von 2-Faktor-Authentifizierung
  • Richtlinien des Unternehmens für sichere Passwörter
  • Allgemeine Anweisung, den Desktop beim Verlassen des Arbeitsplatzes manuell zu sperren

2.3 Zugriffskontrolle

Die folgenden umgesetzten Maßnahmen sorgen dafür, dass unbefugte Personen keinen Zugang zu personenbezogenen Daten erhalten:

  • Protokollierung des Zugriffs auf Anwendungen (insbesondere beim Eingeben, Ändern und Löschen von Daten)
  • Anzahl der Administratoren wird so gering wie möglich gehalten
  • Verwaltung von Benutzerrechten durch Systemadministratoren
  • Anweisung an Mitarbeiter, dass Daten nur nach Rücksprache gelöscht werden

2.4 Trennungskontrolle

Die folgenden Maßnahmen sorgen dafür, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden:

  • Physische Trennung der Speicherung auf separaten Systemen oder Datenträgern
  • Trennung von Produktions- und Testsystem
  • Logische Mandantentrennung (auf der Softwareseite)
  • Definition von Datenbankrechten
  • Interne Anweisung zur Anonymisierung/Pseudonymisierung personenbezogener Daten im Falle einer Offenlegung oder nach Ablauf der gesetzlichen Löschfrist, falls möglich.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Übertragungskontrolle

Es wird sichergestellt, dass personenbezogene Daten während der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, zu überprüfen, welche Personen oder Stellen personenbezogene Daten empfangen haben. Die folgenden Maßnahmen wurden implementiert, um dies sicherzustellen:

  • Protokollierung von Zugriffen und Abrufen
  • Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
  • Verbot des Hochladens von Unternehmensdaten auf externe Server

3.2 Eingabekontrolle

Die folgenden Maßnahmen gewährleisten, dass überprüft werden kann, wer zu welchem Zeitpunkt personenbezogene Daten in Datenverarbeitungssystemen verarbeitet hat:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Manuelle oder automatische Kontrolle der Protokolle
  • Nachvollziehbarkeit der Dateneingabe, -änderung und -löschung durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Klare Verantwortlichkeiten für Löschungen

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Dienste laufen auf der Google Cloud Platform (“GCP”) und sind durch die Sicherheits- und Umweltkontrollen von Google geschützt. Wave Connect führt regelmäßige Backups der Kundendaten durch, die in den GCP-Rechenzentren gehostet werden. Backups werden weltweit repliziert, um gegen regionale Katastrophen widerstandsfähig zu sein, und regelmäßig vom Ingenieurteam von Wave Connect getestet.

Mitarbeiter absolvieren jährlich eine verpflichtende Schulung, die Datenschutz und Datensicherheit, Vertraulichkeit, Social Engineering, Passwort-Richtlinien und Informationssicherheit abdeckt.

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

5.1 Datenschutzmanagement

Die folgenden Maßnahmen sollen sicherstellen, dass die Organisation die grundlegenden Anforderungen des Datenschutzrechts erfüllt:

  • Ernennung des Datenschutzbeauftragten Rickert Rechtsanwaltsgesellschaft
  • Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses
  • Regelmäßige Datenschutzschulungen für Mitarbeiter
  • Beibehaltung eines Überblicks über die Verarbeitungstätigkeiten (Art. 30 DSGVO)

5.2 Management von Sicherheitsvorfällen

Die folgenden Maßnahmen sollen sicherstellen, dass bei Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO an die Aufsichtsbehörden (Art. 33 DSGVO)
  • Mitteilungsprozess bei Datenverletzungen gemäß Art. 4 Nr. 12 DSGVO an die betroffenen Personen (Art. 34 DSGVO)
  • Einbindung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenverletzungen
  • Einsatz von Firewalls

5.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Die folgenden Maßnahmen sollen sicherstellen, dass bei Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO an die Aufsichtsbehörden (Art. 33 DSGVO)
  • Mitteilungsprozess bei Datenverletzungen gemäß Art. 4 Nr. 12 DSGVO an die betroffenen Personen (Art. 34 DSGVO)

5.4 Auftragskontrolle

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten nur gemäß den Anweisungen verarbeitet werden können:

  • Schriftliche Anweisungen an den Auftragnehmer oder Anweisungen in Textform (z.B. durch eine Datenverarbeitungsvereinbarung)
  • Sicherstellung der Datenvernichtung nach Abschluss des Auftrags, z.B. durch Anforderung entsprechender Bestätigungen
  • Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter zur Datensekretiät verpflichten (in der Regel in der Datenverarbeitungsvereinbarung)
  • Sorgfältige Auswahl der Auftragnehmer (insbesondere im Hinblick auf Datensicherheit)
  • Laufende Überprüfung der Auftragnehmer und ihrer Aktivitäten
  • Sicherstellung der Datenvernichtung nach Abschluss des Auftrags, z.B. durch Anforderung entsprechender Bestätigungen

Anhang 3 – Aktuelle Unterauftragsverarbeiter

Name

Funktion

Standort

Datenschutzrichtlinie von Drittanbietern

Google LLC

Analytics, Cloud-Service-Provider

Vereinigte Staaten

https://google.com/policies/privacy/partners/. 


Sie können Google Analytics deaktivieren, indem Sie https://tools.google.com/dlpage/gaoptout besuchen. 

Microsoft

Cloud-Service-Provider

Vereinigte Staaten

https://privacy.microsoft.com/en-us/privacystatement/

Stripe

Zahlungsabwicklung

Vereinigte Staaten

https://stripe.com/en-ca/privacy

Twilio Sengrid

SMS- & E-Mail-Zustellung

Vereinigte Staaten

https://www.twilio.com/en-us/legal/privacy

PlanetScale

Datenbank-Hosting

Vereinigte Staaten

https://planetscale.com/legal/privacy

Vercel

Hosting-Service

Vereinigte Staaten

https://vercel.com/legal/privacy-policy

Intercom

Kundendienst & Kommunikation

Vereinigte Staaten

https://www.intercom.com/legal/privacy

MaxMind

IP-Dienst

Vereinigte Staaten

https://www.maxmind.com/en/privacy-policy

Shopify

E-Commerce-Plattform

Kanada

https://www.shopify.com/ca/legal/privacy

Hubspot

Kundendienst & Kommunikation

Vereinigte Staaten

https://legal.hubspot.com/privacy-policy

PostHog, Inc.

Produktanalytik

Vereinigte Staaten

https://posthog.com/privacy