INFORMATION ZUM DATENSCHUTZ gem. Artikel 13 DSGVO

Sehr geehrte Kund:In, sehr geehrte Interessent:In,

nach der EU-Datenschutz-Grundverordnung (DSGVO) sind wir verpflichtet, Sie darüber zu informieren, auf welcher Rechtsgrundlage und zu welchem Zweck unser Unternehmen Ihre personenbezogenen Daten verarbeitet.

Die vorliegende Information richtet sich insofern an Kunden und Interessenten unseres Unternehmens.

1. VERANTWORTLICHKEIT FÜR DIE DATENVERARBEITUNG

kraussfirmengruppe GmbH & Co. KG

Haldenloh E 10

D-86465 Welden

Fon: +49 (8293) 950 80 0

Fax: +49 (8293) 950 80 29

E-Mail: info@kraussfirmengruppe.de

Unseren Datenschutzbeauftragten erreichen info@kraussmanagement.de

2. ZWECK DER DATENVERARBEITUNG

Die Datenverarbeitung erfolgt aufgrund gesetzlicher Vorgaben, um den Dienstleistungs- oder Liefervertrag zwischen Ihnen und unserem Haus sowie die damit verbundenen Pflichten zu erfüllen. Hierzu erheben und speichern wir ausschließlich Daten, die zur Vertragserfüllung notwendig sind. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Buchstabe b), DSGVO.

Daten von Interessenten, mit denen noch kein Vertragsverhältnis besteht, verarbeiten wir auf der Grundlage unseres berechtigten Interesses gem. Artikel 6 Buchstabe f), DSGVO. Auch hier speichern wir ausschließlich solche Informationen, die im Rahmen von Angebotserstellungen und der Vertragsanbahnung erforderlich oder öffentlich verfügbar sind.

3. EMPFÄNGER DER DATEN

Wir geben Ihre personenbezogenen Daten ausschließlich an solche Unternehmen weiter, die diese Daten zur Erfüllung vertraglicher oder gesetzlicher Pflichten benötigen.

Ihre personenbezogenen Daten werden in unserem Auftrag auch auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO verarbeitet. Hierbei bedienen wir uns externer Dienstleister mit einem Leistungsportfolio, welches wir benötigen, selber aber nicht leisten (z.B. IT Betreuung, Websitebetreuung). Dabei kann es sich auch um Dienstleistungsunternehmen handeln, die keine Auftragsverarbeiter sind (z.B. Steuerberater, Steuerprüfer, Rechtsanwalt).

In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DS-GVO erfolgt und ein adäquates Datenschutzniveau gegeben ist.

Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erfordern oder uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft verpflichtet sind.

4. ÜBERMITTLUNG IN EIN DRITTLAND

Eine Übermittlung Ihrer personenbezogenen Daten in ein Drittland ist nicht vorgesehen. Sie kann im Einzelfall aber stattfinden, der nachstehende Passus erläutert den Hintergrund.

Microsoft Teams

Wir nutzen die Dienstleistungen von Microsoft Teams für Online Besprechungen sowie Schulungsveranstaltungen.

Im Falle der Anwendung des Videodienstes nutzen wir selbstverständlich die gewerblich lizensierte Version und haben mit den Anbietern einen Auftragsverarbeitungsvertrag geschlossen. Microsoft speichert dabei die IP Adresse der Nutzer, dies geschieht auch auf Servern in den USA. Um die Rechtssicherheit der Datenübermittlung in die USA nach aktuellem Stand zu gewährleisten, haben wir mit Microsoft die Anwendung der aktuellen EU Standardvertragsklauseln vertraglich vereinbart. Nähere Informationen zum Datenschutz beim Anbieter Microsoft Teams entnehmen Sie folgendem Link: Datenschutz und Sicherheit in Microsoft Teams – für Nutzer | News Center Microsoft

5. SPEICHERUNG IHRER DATEN

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie dies für die Durchführung des Vertrages und der gesetzlichen Aufbewahrungsfrist erforderlich ist (6 Jahre nach Handelsgesetzbuch).

Etwaige weitere Daten, die wir zweckgebunden verarbeitet haben und die keiner gesetzliche Aufbewahrungsfrist unterliegen, werden umgehend nach Vertragsende gelöscht.

6. IHRE RECHTE

Sie haben das Recht, über die Sie betreffenden personenbezogenen Daten Auskunft zu erhalten. Auch können Sie die Berichtigung unrichtiger Daten verlangen.

Darüber hinaus steht Ihnen unter bestimmten Voraussetzungen das Recht auf Löschung von Daten, das Recht auf Einschränkung der Datenverarbeitung sowie das Recht auf Datenübertragbarkeit zu.

Die Verarbeitung Ihrer Daten erfolgt auf Basis von gesetzlichen Regelungen. Nur in Ausnahmefällen benötigen wir Ihr Einverständnis. In diesen Fällen haben Sie das Recht, die Einwilligung für die zukünftige Verarbeitung zu widerrufen.

Sie haben ferner das Recht, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.

Die Anschrift der für uns zuständigen Aufsichtsbehörde lautet:

Name:             Bayerisches Landesamt für Datenschutzaufsicht

Anschrift:       Promenade 18, 91522 Ansbach

Kontakt:          Telefon: +49 (0) 981 180093-0

Telefax: +49 (0) 981 180093-800

E-Mail: poststelle@lda.bayern.de

Ihr Team der kraussfirmengruppe

Bewerberinformation Website

Die vorliegende Information richtet sich an Bewerber unseres Unternehmens.

 VERANTWORTLICHKEIT FÜR DIE DATENVERARBEITUNG

kraussfirmengruppe GmbH & Co. KG

Haldenloh E 10

D-86465 Welden

Fon: +49 (8293) 950 80 0

Fax: +49 (8293) 950 80 29

E-Mail: info@kraussfirmengruppe.de

Unseren Datenschutzbeauftragten erreichen info@kraussmanagement.de

Umgang mit Bewerberdaten

Wir bieten Ihnen die Möglichkeit, sich bei uns zu bewerben (z. B. per E-Mail, postalisch oder via Online-Bewerberformular). Im Folgenden informieren wir Sie über Umfang, Zweck und Verwendung Ihrer im Rahmen des Bewerbungsprozesses erhobenen personenbezogenen Daten.

Umfang und Zweck der Datenerhebung

Wenn Sie uns eine Bewerbung zukommen lassen, verarbeiten wir Ihre damit verbundenen personenbezogenen Daten (z. B. Kontakt- und Kommunikationsdaten, Bewerbungsunterlagen, Notizen im Rahmen von Bewerbungsgesprächen etc.), soweit dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Rechtsgrundlage hierfür ist § 26 BDSG nach deutschem Recht (Anbahnung eines Beschäftigungsverhältnisses), Art. 6 Abs. 1 lit. b DSGVO (allgemeine Vertragsanbahnung) und – sofern Sie eine Einwilligung erteilt haben – Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

Sofern die Bewerbung erfolgreich ist, werden die von Ihnen eingereichten Daten auf Grundlage von § 26 BDSG und Art. 6 Abs. 1 lit. b DSGVO zum Zwecke der Durchführung des Beschäftigungsverhältnisses in unseren Datenverarbeitungssystemen gespeichert.

Aufbewahrungsdauer der Daten

Sofern wir Ihnen kein Stellenangebot machen können, Sie ein Stellenangebot ablehnen oder Ihre Bewerbung zurückziehen, behalten wir uns das Recht vor, die von Ihnen übermittelten Daten auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) bis zu 6 Monate ab der Beendigung des Bewerbungsverfahrens (Ablehnung oder Zurückziehung der Bewerbung) bei uns aufzubewahren. Anschließend werden die Daten gelöscht und die physischen Bewerbungsunterlagen vernichtet. Die Aufbewahrung dient insbesondere Nachweiszwecken im Falle eines Rechtsstreits. Sofern ersichtlich ist, dass die Daten nach Ablauf der Sechs-Monats-Frist erforderlich sein werden (z. B. aufgrund eines drohenden oder anhängigen Rechtsstreits), findet eine Löschung erst statt, wenn der Zweck für die weitergehende Aufbewahrung entfällt.

Eine längere Aufbewahrung kann außerdem stattfinden, wenn Sie eine entsprechende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erteilt haben oder wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen.

Aufnahme in den Bewerber-Pool

Sofern wir Ihnen aktuell kein Stellenangebot machen können, besteht ggf. die Möglichkeit, Sie in unseren Bewerber-Pool aufzunehmen. Im Falle der Aufnahme werden alle Dokumente und Angaben aus der Bewerbung in den Bewerber-Pool übernommen, um Sie im Falle von passenden Vakanzen zu kontaktieren.

Die Aufnahme in den Bewerber-Pool geschieht ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Abgabe der Einwilligung ist freiwillig und steht in keinem Bezug zum laufenden Bewerbungsverfahren. Sie können Ihre Einwilligung jederzeit widerrufen, in diesem Falle werden die Daten aus dem Bewerber-Pool unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungsgründe vorliegen.

Die Daten aus dem Bewerber-Pool werden wir spätestens 18 Monate nach Erteilung der Einwilligung unwiderruflich löschen.

Stand: 27.02.2024

Dieser Auftragsverarbeitungsvertrag im Sinne von Artikel 28 Absatz 3 Satz 1 DSGVO wird zwischen kraussmanagement und dem jeweiligen Kunden geschlossen. Zwischen dem Verantwortlichen im Sinne von Artikel 4 Nr. 7 DSGVO (im Folgenden Kunde) und dem Auftragsverarbeiter im Sinne von Artikel 4 Nr. 8 DSGVO kraussfirmengruppe GmbH & Co. KG, Haldenloh E 10, 86465 Welden (im Folgenden kraussmanagement oder Auftragsverarbeiter) – beide nachfolgend gemeinsam „Vertragsparteien“ – wird folgender Vertrag zur Auftragsverarbeitung geschlossen:

Präambel

kraussmanagement bietet seinen Kunden die Möglichkeit, Dokumente in einer eigenverantwortlich betriebenen Plattform auf der Website hochzuladen. Das Angebot richtet sich auch an Interessenten, mit denen noch kein Dienstleistungsvertrag geschlossen wurde, dieser sich aber in der Anbahnung befindet.

In diesem Rahmen kann es zu einer Auftragsverarbeitung durch kraussmanagement für den Kun-den kommen. Für diese Fälle begründen die Vertragsparteien hierdurch ein Auftragsverarbeitungs-verhältnis. Rechtsgrundlage zur Datenverarbeitung ist in beiden o.g. Fällen Artikel 6 Abs. (1) lit. b) der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016), kurz DSGVO. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Vertragsparteien die folgende Vereinbarung.

Begriffsbestimmungen

Es gelten die Begriffsbestimmungen der DSGVO und des BDSG.

Gegenstand

• Der Auftragsverarbeiter erbringt für den Kunden Leistungen auf Grundlage eines bereits bestehenden oder sich in der Anbahnung befindlichen Hauptvertrages. Dabei ist es dem Kunden möglich, Dokumente für die weitere Bearbeitung durch kraussmanagement auf der Website des Auftragsverarbeiters hochzuladen. Dadurch erhält der Auftragsverarbeiter in der Regel Zugriff auf personenbezogene Daten, die auf den relevanten Dokumenten enthalten sein können und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Kunden; eine Verarbeitung der Daten durch kraussmanagement zu eigenen Zwecken ist ausgeschlossen.

Umfang und Zweck der Datenverarbeitung bestimmt der Kunde im Zusammenhang mit der im Hauptvertrag bezeichneten Leistung. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags und beginnt mit dem Nutzungsbeginn des im Hauptvertrag benannten Produktes.

• kraussmanagement verarbeitet im Auftrag des Kunden folgende personenbezogene Daten, die auf den Kundendokumenten i.d.R. enthalten sind oder sein können:
  • Name, Vorname, Funktion
  • Kontaktdaten (Anschrift, Telefon- und Faxnummer, E-Mail Adresse)
• kraussmanagement verarbeitet im Auftrag des Kunden folgende personenbezogene Daten von Nutzern der Webapplikation:
  • IP-Adresse, E-Mail, Nutzungsdaten
  • Log Files und Zeit
• Dem Kunden obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung
• Sämtliche in diesem Vertrag beschriebenen Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte bzw. mitwirkende Personen des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Kunden in Berührung kommen.

Weisungsrecht des Kunden

• Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Kunden. Ausgenommen hiervon sind Sachverhalte, in denen dem Auftragsverarbeiter eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. Der Auftragsverarbeiter unterrichtet soweit ihm möglich in derartigen Situationen den Kunden vor Beginn der Verarbeitung über die entsprechenden rechtlichen Anforderungen. Der Kunde hat im Rahmen der vereinbarten Leistung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung, das er durch Einzelweisungen konkretisieren kann. Dies umfasst insbesondere Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
• Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Kunden unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Kunden bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

Pflichten des Auftragsverarbeiters

• Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Kunden erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
• Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Kunden gem. Art. 32 DSGVO. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei der Auftragsverarbeiter sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
• Beim Auftragsverarbeiter ist ein Datenschutzbeauftragter bestellt. Der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit.
• Den bei der Datenverarbeitung beschäftigten Personen des Auftragsverarbeiters ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle mitwirkenden Personen, die mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden, entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen der mitwirkenden Person und dem Auftragsverarbeiter bestehen bleiben.
• Soweit ein Beschäftigter oder sonstiger Erfüllungsgehilfe des Auftragsverarbeiters im Rahmen der vereinbarten Leistung als nach § 203 StGB mitwirkende Person im zulässigen Umfang Zugriff auf Daten des Kunden hat, die nach § 203 StGB für Beschäftigte des Kunden anvertraute oder sonst bekanntgewordene Privatgeheimnisse sind oder sein können, ist diese Person zur Geheimhaltung dieser Privatgeheimnisse (sog. fremde Geheimnisse) verpflichtet und dazu, diese nicht unbefugt zu offenbaren. Der Auftragsverarbeiter sorgt in seinem Einflussbereich für die Einhaltung dieser Verpflichtung. Er verpflichtet sich ferner, weitere mitwirkende Personen, derer er sich bedient, entsprechend zur Geheimhaltung zu verpflichten. Über die Ausübung des Rechts der sog. mitwirkenden Personen, das Zeugnis zu verweigern, entscheiden jeweils die in § 203 Abs. 1 und 2 StGB genannten Berufsgeheimnisträger, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann.
• Im Fall von eines Verdachts auf datenschutzrechtliche oder sicherheitsrelevante Vorfälle bei der Verarbeitung der personenbezogenen Daten wird der Auftragsverarbeiter den Kunden unverzüglich in Textform informieren. Der Auftragsverarbeiter trifft in einem solchen Fall unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Kunden und ersucht um weitere Weisungen.
• Sollten die Daten des Kunden beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Kunden unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten beim Kunden liegt.
• Der Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis gem. Art. 30 Abs. 2 DSGVO zu allen Kategorien von im Auftrag des Kunden durchgeführten Tätigkeiten der Verarbeitung. Das Verzeichnis ist dem Kunden auf Anforderung zur Verfügung zu stellen. An der Erstellung des Verfahrensverzeichnisses durch den Kunden hat der Auftragsverarbeiter im angemessenen Umfang mitzuwirken.

Kontrollrechte

• Der Kunde oder ein von diesem beauftragter Prüfer hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz, die Einhaltung der zwischen den Vertragsparteien getroffenen vertraglichen Regelungen und die Einhaltung der Weisungen des Kunden durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren.
• Der Auftragsverarbeiter verpflichtet sich, dem Kunden auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen erforderlich sind.
• Der Kunde kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle in der Betriebsstätte des Auftragsverarbeiters zu den jeweils üblichen Geschäftszeiten vornehmen. Der Kunde wird Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragsverarbeiters nicht unverhältnismäßig zu stören. Die Vertragsparteien gehen davon aus, dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Kunden unter Angabe des Anlasses zu begründen. Im Falle von Vor-Ort-Kontrollen wird der Kunde dem Auftragsverarbeiter die entstehenden Aufwände inklusive der Personalkosten für die Betreuung und Begleitung der Kontrollpersonen vor Ort in angemessenen Umfang ersetzen. Der Auftragsverarbeiter teilt dem Kunden die Grundlagen der Kostenberechnung vor Durchführung einer Kontrolle mit.
• Nach Wahl des Kunden kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter) erfolgen.

Unterauftragsverhältnisse

• Der Kunde ist damit einverstanden, dass die vertraglich vereinbarten Leistungen unter Einschaltung von Unterauftragsverarbeitern durchgeführt werden kann. Der Auftragsverarbeiter ist verpflichtet, Unterauftragsverarbeiter sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von Unterauftragsverarbeitern diese entsprechend den Regelungen dieses Vertrags zu verpflichten. Bei der Einbeziehung von Unterauftragsverarbeitern hat der Auftragsverarbeiter sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist und hinreichende technische und organisatorische Maßnahmen geboten werden.
• Die aktuelle Liste der eingeschalteten Unterauftragsverarbeiter des Auftragsverarbeiters befindet sich in Anlage 2 zu dieser Vereinbarung.
• Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zum Wechsel von Unterauftragsverarbeitern sowie zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt und wird den Kunden vorab darüber informieren. Der Kunde hat das Recht, dem Wechsel oder der Neubeauftragung des Unterauftragsverarbeiters unter Angabe einer Begründung in Textform binnen 14 Tagen nach Zugang der Information zu widersprechen.
• Ein Unterauftrag im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste und Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Kunden erbringt.

Anfragen Betroffener

• Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber den Auftragsverarbeiter geltend, verweist der Auftragsverarbeiter den Betroffenen unverzüglich an den Kunden und wartet dessen Weisungen ab.

Haftung

• Die Haftung bestimmt sich im Außenverhältnis nach den allgemeinen Gesetzen.
• Im Innenverhältnis haftet der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Kunden gehandelt hat.

Beendigung des Hauptvertrages

• Der Auftragsverarbeiter wird dem Kunden nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Kunden, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen und Datenträger sind unter Verwendung geeigneter Sicherheitsstufen und Schutzklassen zu vernichten.
• Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus so lange gültig, wie der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Kunden zugeleitet wurden oder die er für diesen erhoben hat.

Änderungen

• kraussmanagement kann den Auftragsverarbeitungsvertrag anpassen, soweit ein sachlicher Grund die Änderung erfordert und sie für den Kunden zumutbar ist.
• Änderungen werden dem Kunden mindestens vier Wochen vor ihrem geplanten Wirksamwerden in Textform mitgeteilt. Widerspricht der Kunde der beabsichtigten Änderung nicht spätestens innerhalb von vier Wochen nach Zugang der Änderungsmitteilung, gelten die Änderungen als wirksam vereinbart. Widerspricht der Kunde der beabsichtigten Änderung, kann kraussmanagement diese Vereinbarung zusammen mit dem Hauptvertrag mit einer Frist von mindestens 14 Tagen zum Ende eines Kalendermonats aufkündigen.

Schlussbestimmungen

• Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden oder sollte sich in diesem Auftragsverarbeitungsvertrag eine Lücke befinden, wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, welche dem Sinn und Zweck der unwirksamen entspricht. Im Falle einer Lücke gilt diejenige Bestimmung als vereinbart, die dem entspricht, was nach Sinn und Zweck des Auftragsverarbeitungsvertrags vereinbart worden wäre, hätte man die Angelegenheit von vornherein bedacht.
• Es gilt das deutsche Recht

Anhang 1

Übersicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO (vgl. auch § 4 Abs. 4.2 dieses Vertrages)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

• Zutrittskontrolle
  Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z. B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;
• Zugangskontrolle
  Keine unbefugte Systembenutzung, z. B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
• Zugriffskontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z. B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
• Trennungskontrolle
  Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z. B. Mandantenfähigkeit, Sandboxing;
• Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
  Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Integrität (Art. 32 Abs. 1 lit. b) DS-GVO)

• Weitergabekontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
• Eingabekontrolle
  Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

• Verfügbarkeitskontrolle
  Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z. B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
• Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO)

• Datenschutz-Management;
• Incident-Response-Management;
• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
• Auftragskontrolle
  Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Anhang 2

Verzeichnis der Unterauftragnehmer