.

Auftragsverarbeitungsvertrag CCM19

Vereinbarung zwischen dem
Auftraggeber

und der

Papoo Software & Media GmbH
Hersteller CCM19
Auguststr. 4
53229 Bonn
(nachfolgend „Auftragnehmer")

über die Verarbeitung von personenbezogenen Daten. Definitionen in den AGB oder der Leistungsbeschreibung gelten auch in dieser Auftragsverarbeitungsvereinbarung.

1. Gegenstand und Dauer des Auftrags
1.1. Gegenstand des Auftrags
Gegenstand des Auftragsverarbeitungsvertrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer entsprechend der Leistungsbeschreibung im Angebot: Erhebung, Verwaltung, Dokumentation und Weitergabe der Einwilligung der Nutzer des Auftraggebers sowie ggf. sonstige Services.
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage der AGB.

1.2. Dauer des Auftrags
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Vertrages.

2. Auftragsinhalt
2.1. Umfang, Art und Zweck
Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Leistungsbeschreibung im Angebot.

2.2. Art der Daten
Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind folgende Daten:
• Kundendaten: Einstellungen und Login Daten
• Userdaten:
• Consent Daten (Consent ID, Uhrzeit des Consents, Opt-in o. Opt-out, Banner Sprache, Kunden Einstellungen im Banner – Consent Daten, Template)
• Device Daten (HTTP Agent, HTTP Referrer, HTTP Page)
• Bei Nutzung erweiterter Statistik oder anderer statistische Plugins: Browserdaten (Version), Zeit, Page, TimeOnPage, sowie weitere im konkreten Angebot aufgeführten Daten.

2.3. Wer ist betroffen
Es sind folgende Personen betroffen:
1. Webseitenbesucher oder App-Nutzer,
2. Kunden / Registrierte User

3. Weisungsbefugnis des Auftraggebers / Ort der Datenverarbeitung
3.1. Der Umgang mit den spezifizierten Daten erfolgt nur im Rahmen der getroffenen Vereinbarungen sowie nach dokumentierten Weisungen des Auftraggebers (vgl. Art. 28 Abs. 3 lit. a DSGVO). Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind abzustimmen und zu dokumentieren. Entstehende Zusatzaufwände sind vom Auftraggeber zu vergüten. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer ausschließlich nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

3.2. Mündliche Weisungen des Auftraggebers sind unverzüglich schriftlich oder per E-Mail (in Textform) zu bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, diese an Dritte weiterzugeben. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Verpflichtungen nach Unionsrecht oder dem Recht eines EU-Mitgliedstaats, sowie zur Einhaltung von Aufbewahrungspflichten erforderlich sind.

3.3. Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend Art. 28 Abs. 3 Uabs. 2 DSGVO zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

3.4. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer findet innerhalb der EU statt. Der Auftragnehmer ist verpflichtet, den Auftraggeber vor Aufnahme der Verarbeitung auf eine gesetzliche Verpflichtung des Auftragnehmers hinzuweisen, die Verarbeitung der Auftraggeberdaten an einem anderen Ort durchzuführen, sofern eine solche Mitteilung nicht gesetzlich untersagt ist. Die Verarbeitung und / oder Verbringung in ein Drittland außerhalb des Gebietes der EU oder an eine internationale Organisation bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. In einem solchen Fall ist der Auftragnehmer zusätzlich verpflichtet, entsprechend den gesetzlich anwendbaren Vorgaben sowie gerichtlichen und behördlichen Auslegungen derselben, für ein angemessenes Datenschutzniveau am Ort der Datenverarbeitung zu sorgen oder – nach Wahl des Auftraggebers – dem Auftraggeber die Möglichkeit einzuräumen, für ein angemessenen Datenschutzniveau zu sorgen, unter anderem durch den Abschluss von oder dem Beitritt zu EU-Standardvertragsklauseln.

4. Vertraulichkeit
Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung von personenbezogenen Daten befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- / Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

5. Technisch-organisatorische Maßnahmen
5.1. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird für angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Auftraggebers sorgen, die den Anforderungen des Art. 32 DSGVO genügen. Insbesondere sind die technischen und organisatorischen Maßnahmen dergestalt zu treffen, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sichergestellt sind. Diese technischen und organisatorischen Maßnahmen sind in Anhang 1 dieser Vereinbarung beschrieben. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

5.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6. Unterauftragsverhältnisse
6.1. Die Einschaltung und/oder Änderung von Unterauftragnehmern durch den Auftragnehmer ist grundsätzlich nur mit Zustimmung des Auftraggebers gestattet. Der Auftraggeber stimmt dem Einsatz von Unterauftragnehmern wie folgt zu:
6.1.1. Der Auftraggeber stimmt dem Einsatz der in Anhang 2 dieser Vereinbarung aufgeführten Unterauftragnehmer bereits jetzt zu.

6.1.2. Der Auftraggeber stimmt der Änderung resp. der Ergänzung weiterer Unterauftragnehmer zu, wenn der Auftragnehmer den Einsatz bzw. die Änderung 1 Monat / (30) Tage vor Beginn der Datenverarbeitung schriftlich (E-Mail reicht aus) dem jeweiligen Auftraggeber mitteilt. Der Auftraggeber kann einem Einsatz eines neuen / geänderten Unterauftragnehmers widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zum Einsatz oder zur Änderung als gegeben. Der Auftraggeber nimmt zur Kenntnis, dass in bestimmten Fällen die Leistung ohne den Einsatz eines bestimmten Unterauftragnehmers nicht mehr erbracht werden kann. In diesen Fällen ist jede Partei zur Kündigung ohne die Einhaltung einer Frist berechtigt.
Liegt ein wichtiger datenschutzrechtlicher Grund für den Widerspruch vor und ist eine einvernehmliche Lösungsfindung zwischen den Parteien nicht zustande gekommen, wird dem Auftraggeber ein Sonderkündigungsrecht eingeräumt. Der Auftraggeber hat seine Absicht zur Kündigung innerhalb von einer Woche nach dem Scheitern zur Aushandlung einer einvernehmlichen Lösung schriftlich gegenüber dem Auftragnehmer zu erklären. Der Auftragnehmer kann innerhalb von zwei Wochen nach Zugang der Absichtserklärung dem Widerspruch abhelfen. Wird dem Widerspruch nicht abgeholfen, kann der Auftraggeber die Sonderkündigung erklären, die mit Zugang wirksam wird.

6.2. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den Unterauftragnehmer/n so zu gestalten, dass sie dieselben Datenschutzpflichten wie in diesem Auftrag vereinbart enthalten, unter Berücksichtigung der Art und des Umfangs der Datenverarbeitung im Rahmen des Unterauftrags. Die Verpflichtung des Unterauftragsverarbeiters muss schriftlich erfolgen bzw. im elektronischen Format.

6.3. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

7. Betroffenenrechte

7.1. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen nach Kapitel III der DSGVO.

7.2. Der Auftragnehmer hat nur nach Weisung des Auftraggebers über die Daten, die im Auftrag verarbeitet werden, Auskunft zu geben, diese Daten zu berichtigen, zu löschen oder die Datenverarbeitung entsprechend einzuschränken. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung oder Löschung seiner / ihrer Daten sowie hinsichtlich der Einschränkung der Datenverarbeitung wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

8. Mitwirkungspflichten des Auftragnehmers
8.1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen.

8.2. Im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO gilt Folgendes: Der Auftragnehmer ist verpflichtet, den Auftraggeber (i) über die Verletzung des Schutzes personenbezogener Daten unverzüglich zu informieren und (ii) bei einer solchen Verletzung erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO (Meldungen und Benachrichtigungen bei Verletzung des Schutzes personenbezogener Daten) für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziffer 3 dieser Vereinbarung durchführen.

8.3. Soweit der Auftraggeber im Falle eines Sicherheitsvorfalles Benachrichtigungs- oder Mitteilungspflichten hat, verpflichtet sich der Auftragnehmer, den Auftraggeber auf dessen Kosten zu unterstützen.

9. Sonstige Pflichten des Auftragnehmers
9.1. Soweit gesetzlich vorgeschrieben bestellt der Auftragnehmer einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO, §§ 38, 6 BDSG neu ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme auf Anfrage mitgeteilt.

9.2. Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO unterrichten. Dies gilt auch, soweit eine zuständige Behörde nach Art. 83 DSGVO beim Auftragnehmer ermittelt.

9.3. Der Auftragnehmer wird die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. –erfüllung sicherstellen, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.

10. Informations- und Überprüfungsrecht des Auftraggebers
10.1. Der Auftraggeber hat das Recht, die nach Art. 28 Abs. 3 h) DSGVO erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Pflichten des Auftragnehmers anzufordern und Überprüfungen im Einvernehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.

10.2. Die Parteien vereinbaren, dass der Auftragnehmer zum Nachweis der Einhaltung seiner Pflichten und Umsetzung der technischen und organisatorischen Maßnahmen berechtigt ist, dem Auftraggeber aussagekräftige Dokumentationen vorzulegen. Eine aussagekräftige Dokumentation kann durch die Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter), einer geeigneten Zertifizierung durch IT-Sicherheitsoder Datenschutzaudit (z.B. nach ISO 27001) oder einer durch die zuständigen Aufsichtsbehörden genehmigten Zertifizierung erbracht werden.

10.3. Das Recht des Auftraggebers Vor-Ort-Kontrollen durchzuführen, wird hierdurch nicht beeinträchtigt. Der Auftraggeber wird jedoch abwägen, ob nach Vorlage von aussagekräftiger Dokumentation eine Vor-Ort-Kontrolle noch erforderlich ist, insbesondere unter Berücksichtigung der Aufrechterhaltung des ordnungsgemäßen Betriebs des Auftragnehmers.

10.4. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

11. Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder Datenschutzkonform zu vernichten. Ein Nachweis ist dem Auftraggeber auf Anfrage auszuhändigen.

12. Haftung
Die Haftung der Parteien aus dieser Vereinbarung richtet sich im Innenverhältnis nach den
Haftungsregelungen in den AGB des Auftragnehmers, soweit sich nicht aus der Leistungsbeschreibung im Angebot oder einer gesonderten Vereinbarung der Parteien etwas anderes ergibt. Für die Haftung im Außenverhältnis gelten die gesetzlichen Bestimmungen nach Art. 82 DSGVO.

 

Anlage 1 - Technisch–organisatorische Maßnahmen/Sicherheitskonzept der Papoo Software & Media GmbH
Folgende technische und organisatorische Maßnahmen sind vom Auftragnehmer umgesetzt und mit dem Auftraggeber vereinbart.

1. Gewährleistung der Vertraulichkeit
Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit sind unter anderem Maßnahmen zur Zutritts-, Zugriffs- oder Zugangskontrolle. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Maßnahmen, die die Papoo Software & Media GmbH umgesetzt hat, die einen Zugang durch Unbefugte auf Datenverarbeitungssysteme verhindern:

• Persönlicher und individueller User-Login bei Anmeldung im System
• Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
• Zusätzlicher System-Login für bestimmte Anwendungen
• Automatische Sperrung der Clients nach gewissen Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
• Elektronische Dokumentation sämtlicher Passwörter und Verschlüsselung dieser Dokumentation zum Schutz vor unbefugten Zugriff
• Zwei-Faktor-Authentifizierung wenn technisch möglich
• Regelmäßige Softwareaktualisierung
• Regelmäßige Schwachstellenscans

Die Server werden bei der OVH GmbH in Frankfurt, Deutschland gehostet. Dieser Hoster gewährleistet Ausfallsicherheit und Schutz vor unberechtigtem Zugriff auf die physische Infrastruktur. Maßnahmen, die der Subunternehmer OVH umgesetzt hat, können hier eingesehen werden:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf

2. Gewährleistung der Integrität
Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Zerstörung oder unbeabsichtigter Schädigung.

2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
• Verschlüsselung von E-Mail wenn möglich
• Verschlüsselung von CD/DVD-ROM, externen Festplatten und/ oder Laptops (~ Verzeichnis)
• Gesichertes WLAN
• SSL-/TLS-Verschlüsselung
• Datenschutzkonforme Vernichtung von Daten, Datenträgern und Ausdrucken
• Protokollierung der Datenweitergabe

2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, zu welcher Zeit und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind:
• Gesetzeskonforme Vertragsgestaltung von Verträgen über die Datenverarbeitung personenbezogener Daten mit Subunternehmern mit entsprechender Regelung von Kontrollmechanismen
• Einholung von Selbstauskünften bei Dienstleistern bezüglich deren Maßnahmen zur Umsetzung datenschutzrechtlicher Anforderungen
• Schriftliche Bestätigung von mündlichen Weisungen
• Aufzeichnung und bedarfsgerechtes Vorhalten von entsprechenden, an Systemen durchgeführten Aktionen (z. B. Logfiles)
• Einsatz von Protokollierungs- und Protokollauswertungssysteme
• Festlegung der Befugten für die Erstellung von Datenträgern und der Bearbeitung von Daten

3. Maßnahmen zur Pseudonymisierung von personenbezogenen Daten
Pseudonymisierung ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Maßnahmen in Zusammenhang mit der Pseudonymisierung personenbezogener Daten sind:
• Privacy-by-design
• Alle IDs eines Nutzers (consentID, processorID, consentID) werden mit einem sha-256 kryptografischen Hash pseudonymisiert
• Es liegt ein Pseudonymisierungskonzept in Programmform vor (u.a. Definition der zu ersetzenden Daten; Pseudonymisierungsregeln, Beschreibung Vorgehensweise, etc.)

4. Gewährleistung der Verfügbarkeit
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
• Einsatz zentral geprüfter und freigegebener Standardsoftware aus sicheren Quellen
• Regelmäßige Durchführung von Datensicherungen bzw. Einsatz von Spiegelungsverfahren
• Außerbetriebnahme von Hardware (insbesondere von Servern) erfolgt nach einer Überprüfung der darin eingesetzten Datenträger und ggf. nach erfolgter Sicherung der relevanten Datensätzen
• Unterbrechungsfreie Stromversorgung (USV) im Serverraum
• Getrennte Aufbewahrung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden
• Mehrschichtige Virenschutz- und Firewall-Architektur
• Notfallplanung (Notfallplan für Sicherheits- und Datenschutzverletzungen mit konkreten
• Handlungsanweisungen)
• Feuer-/Wasser- und Temperaturfrühwarnsystem in den Serverräumen
• Brandschutztüren

5. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
Zur Sicherstellung der Wiederherstellbarkeit sind einerseits ausreichende Sicherungen erforderlich, wie aber auch Maßnahmenpläne, die im Sinne von Katastrophen-Fall-Szenarien den laufenden Betrieb wiederherstellen können.
Dazu werden folgende Maßnahmen, teilweise durch Unterauftragnehmer OVH GmbH getroffen:
• Tägliches Backup des gesamten Servers
• Service Level Agreements (SLAs) mit Dienstleistern
• Backup Verfahren
• Redundanz (z.B. Spiegeln von Festplatten)
• Firewall, IDS/IPS
• Brandschutz und Löschwasserschutz
• Monitoring von Alarmen
• Pläne für Ausfall, Notfall und Wiederherstellung

6. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung erfolgt im Rahmen der Durchführung von:
• regelmäßige Revisionen des Sicherheitskonzepts
• Informationen über neu auftretende Schwachstellen und andere Risikofaktoren, ggf. Überarbeitung der Risikoanalyse und -bewertung
• Prüfungen des Datenschutzbeauftragten und des, Informationssicherheitsbeauftragten, Prozesskontrollen durch Qualitätsmanagement.

Anhang 2 zur Auftragsverarbeitungsvereinbarung
Genehmigte Unterauftragnehmer
OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Deutschland
Server in Deutschland
Hoster Webseite, Dienst und Datenbanken.