Anlage zum Nutzervertrag

1. Präambel

1.1 Die YooniQ solutions GmbH bietet dem Auftraggeber die Nutzung der web-basierten Softwareanwendung kiwiHR zur digitalen Mitarbeiterverwaltung, die dem Auftraggeber zur Nutzung über das Internet zur Verfügung gestellt wird.

1.2 Zwischen dem Auftraggeber und YooniQ wurde ein Nutzungsvertrag über die Nutzung der web-basierten Softwareanwendung kiwiHR abgeschlossen.

1.3 Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien in Bezug auf den Schutz der personenbezogenen Daten des Auftraggebers.

2. Definitionen

Für die Zwecke dieser Vereinbarung bezeichnet der Ausdruck:

a.) "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

b.) "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

c.) "Personenbezogene Daten" oder (kurz) "Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

d.) "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

e.) "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

f.) "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

g.) "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

3. Gegenstand dieser Vereinbarung und Laufzeit

3.1 Gegenstand dieser Vereinbarung sind die gesetzlichen Pflichten des Auftragverarbeiters im Hinblick auf personenbezogene Daten des Auftraggebers, die YooniQ im Auftrag des Auftraggebers verarbeitet.

3.2 Die Beurteilung der Rechtmäßigkeit der Auftragsverarbeitung und die Wahrung der Rechte der betroffenen Personen obliegen ausschließlich dem Auftraggeber.

3.3 Die Laufzeit dieser Vereinbarung beginnt mit dem Beginn der Laufzeit des zugrundeliegenden Nutzungsvertrags und endet zusammen mit der Beendigung des Nutzungsvertrags gemäß Ziffer 12 der Vertragsbedingungen für die Nutzung der Software KiwiHR der YooniQ solutions GmbH.

3.4 Die Vertragsparteien können diese Vereinbarung unbeschadet der Regelung in 3.3 aus wichtigem Grund kündigen. Besteht der wichtige Grund in der Verletzung einer Pflicht aus dieser Vereinbarung, ist die Kündigung erst nach erfolglosem Ablauf einer zur Abhilfe bestimmten Frist oder nach erfolgloser Abmahnung zulässig. Ein wichtiger Grund für YooniQ liegt insbesondere vor, wenn

a.) der Auftraggeber wiederholt rechtswidrige Weisungen erteilt, YooniQ den Auftraggeber unverzüglich gemäß 5.4 darauf hingewiesen hat und der Auftraggeber von den Weisungen nicht Abstand nimmt;

b.) der Auftraggeber seine Pflichten aus dieser Vereinbarung mehr als unwesentlich verletzt;

4. Art und Umfang der Verarbeitung im Auftrag

4.1 Die Zugriffsberechtigung hinsichtlich der Daten des Auftraggebers für den Zweck der Erbringung von Leistungen gemäß Nutzungsvertrag besteht zu dem Umfang gemäß Anlage 1. Diese Vereinbarung erweitert nicht, sondern konkretisiert nur die Leistungspflichten von YooniQ (siehe auch 5.3; zur Hierarchie der Vertragsdokumente 16.). Diese Vereinbarung regelt aber auch Leistungspflichten des Auftraggebers.

4.2 Weitere Konkretisierungen können Gegenstand der Weisungen des Auftraggebers sein (siehe 5.).

4.3 YooniQ verarbeitet die Daten nicht für eigene geschäftliche Zwecke, sondern ausschließlich für den Auftraggeber und unter Einhaltung dieser Vereinbarung. YooniQ darf die Daten nicht für andere Zwecke verarbeiten und darf die Daten insbesondere nicht ohne vorherige Zustimmung des Auftraggebers an Dritte übermitteln oder anderen Empfängern offenlegen, soweit sich aus dieser Vereinbarung nicht etwas anderes ergibt.

5. Weisungen des Auftraggebers, Rechte von betroffenen Personen, Datenschutzfolgenabschätzung

5.1 Der Auftraggeber ist berechtigt, durch Weisung(en) Art, Zweck und Umfang der Auftragsverarbeitung sowie die zu verarbeitenden Daten und Betroffenengruppen zu regeln bzw. zu aktualisieren. Das gilt vor allem, aber nicht beschränkt auf die Fälle, wenn eine Aufsichtsbehörde oder Änderung von Rechtsvorschriften Weisungen des Auftraggebers veranlasst oder bedingt. Richtet sich eine betroffene Person unmittelbar an YooniQ, informiert YooniQ unverzüglich den Auftraggeber in Textform und fordert ihn insoweit zur Weisung hinsichtlich des weiteren Vorgehens auf.

5.2 Führt der Auftraggeber eine Datenschutz-Folgenabschätzung durch, unterstützt YooniQ ihn auf Weisung im Rahmen des Zumutbaren und Erforderlichen, auch bei etwaigen vorherigen Konsultationen mit der zuständigen Aufsichtsbehörde.

5.3 Weisungen des Auftraggebers sind auf die Umsetzung von gesetzlichen oder behördlichen Anforderungen des Datenschutzrechts beschränkt. Der Auftraggeber erteilt Weisungen grundsätzlich schriftlich (per E-Mail). Ausnahmsweise mündlich erteilte Weisungen bestätigt der Auftraggeber unverzüglich per E-Mail.

5.4 YooniQ informiert den Auftraggeber unverzüglich in Textform, wenn YooniQ der Meinung ist, dass eine Weisung des Auftraggebers gegen Datenschutzvorschriften verstößt oder nicht nur unerheblich fehlerhaft, unvollständig, widersprüchlich oder nicht rechtlich oder technisch durchführbar ist. Zusammen mit dieser Information fordert YooniQ den Auftraggeber ausdrücklich in Textform auf, sich unverzüglich zu erklären, ob YooniQ die Weisung dennoch befolgen oder die Auftragsdatenverarbeitung ohne Berücksichtigung der Weisung weiter ausführen soll, bis der Auftraggeber die Information geprüft und weiter entschieden hat.

6. Informationspflichten und weitere Pflichten des Auftragsverarbeiters

6.1 Für den Auftraggeber können im Falle einer Verletzung des Schutzes personenbezogener Daten Meldepflichten bestehen. YooniQ informiert den Auftraggeber bei Verdacht oder Kenntnis über eine nicht nur unerhebliche Verletzung des Schutzes personenbezogener Daten des Auftraggebers durch YooniQ oder YooniQ unterstellte Personen.

6.2 Der Auftraggeber kann von YooniQ im Rahmen des Zumutbaren und Erforderlichen Unterstützung bei der Erfüllung der Meldepflichten verlangen.

7. Datenschutzbeauftragter

7.1 Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Dominik Fünkner von PROLIANCE GmbH bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

7.2 Der Auftraggeber informiert YooniQ über die Identität seines bzw. seiner Datenschutzbeauftragten oder – soweit der Auftraggeber zu einer Benennung eines/einer Datenschutzbeauftragten nicht verpflichtet ist und auch keine(n) benannt bzw. bestellt hat – über die Identität einer Person, die beim Auftraggeber entsprechende Verantwortung und Aufgaben hat. Der Auftraggeber teilt YooniQ ohne ausdrückliche Aufforderungen durch YooniQ mit, wenn diesbezüglich Änderungen eintreten oder bevorstehen.

7.3 Soweit der Auftraggeber zur Benennung eines Vertreters im Sinne von Art. 27 Datenschutzgrund-Verordnung verpflichtet ist, informiert er YooniQ über die Identität des Vertreters. Der Auftraggeber teilt YooniQ ohne ausdrückliche Aufforderungen durch YooniQ mit, wenn diesbezüglich Änderungen eintreten oder bevorstehen.

8. YooniQ unterstellte Personen

8.1 YooniQ setzt bei der Auftragsverarbeitung nach Maßgabe dieser Vereinbarung nur solche ihm unterstellte Personen ein, die auf dokumentierte Weise auf die Vertraulichkeit verpflichtet und zuvor mit den für sie und für die Verarbeitungstätigkeiten im Auftrag des Auftraggebers relevanten gesetzlichen Bestimmungen zum Datenschutz vertraut gemacht wurden.

8.2 YooniQ stellt sicher, dass alle ihm unterstellten Personen, die Zugang, Zugriff oder Zutritt zu den zu verarbeitenden Daten des Auftraggebers haben, nur im Rahmen und in Übereinstimmung mit den Weisungen des Auftraggebers und den Bestimmungen dieser Vereinbarung verarbeiten. Ausgenommen davon sind ausschließlich im Einzelfall Verarbeitungen, insbesondere Datenübermittlungen, die aufgrund des Rechts der Union oder der Mitgliedstaaten durch ein Gericht oder eine Behörde innerhalb der EU gegenüber YooniQ oder den ihm unterstellten Personen ausdrücklich angeordnet werden.

9. Grundsätze zu Sicherheit der Verarbeitung, technische und organisatorische Sicherheitsmaßnahmen

9.1 YooniQ trifft unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der vom Auftraggeber bestimmten Art, Umfang, Umstände und Zwecke der im Auftragsverarbeitungen sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Risikoanalyse) technische und organisatorische Maßnahmen für angemessenen Schutz der Daten.

9.2 Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt YooniQ die mit der Auftragsverarbeitung der Daten des Auftraggebers verbundenen Risiken, insbesondere das Risiko einer unbeabsichtigten oder unrechtmäßigen Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu den Daten des Auftraggebers.

9.3 YooniQ aktualisiert und passt die technischen und organisatorischen Maßnahmen in seinem Sicherheitskonzept dem jeweiligen Stand der Technik an, wobei sie nicht unter das Sicherheits- und Schutzniveau, wie es in dieser Vereinbarung festgelegt ist (Anlage 2), sinken dürfen.

9.4 YooniQ dokumentiert die technischen und organisatorischen Maßnahmen gemäß dieser Vereinbarung detailliert in Anlage 2. YooniQ hält die Dokumentation aktuell und dokumentiert wesentliche Änderungen.

9.5 Der Auftraggeber ist verpflichtet, die technischen und organisatorischen Maßnahmen anhand einer eigenen Risikoanalyse zu überprüfen. Der Auftraggeber ist dafür verantwortlich, dass die technischen und organisatorischen Maßnahmen ein den Risiken der verarbeitenden Daten angemessenes Datenschutzniveau bieten. Führt die Risikoanalyse des Auftraggebers zu einem anderen Ergebnis, als die Risikoanalyse von YooniQ, ist der Auftraggeber berechtigt, mit YooniQ über die Anpassung der Sicherheitsmaßnahmen zu verhandeln. Bei Nichteinigung haben beide Vertragsparteien ein Kündigungsrecht zum Ende des laufenden Monats.

10. Kontrollen

10.1 Der Auftraggeber ist berechtigt, die Leistungserbringung durch YooniQ im Hinblick auf die Daten des Auftraggebers und die Einhaltung der Regelungen dieser Vereinbarung, insbesondere der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (siehe 9. und Anlage 2) nach den folgenden Ziffern 10.2-10.4 zu kontrollieren.

10.2 Auf Anfrage stellt YooniQ dem Auftraggeber eine qualifizierte Selbstauskunft eines unabhängigen Dritten (z.B. DSB, Wirtschaftsprüfer/Auditoren, externe Datenschutz-/Sicherheitsauditoren) in Textform zur Verfügung. Diese Auskunft enthält alle Informationen, die erforderlich sind, um die Einhaltung und Umsetzung der Pflichten dieser Vereinbarung und der jeweils aktuellen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung (siehe 9. und Anlage 2) nachzuweisen. Der Auftraggeber kann diese Auskunft einmal im Kalenderjahr und in kürzeren Zeitabständen nur bei begründetem Verdacht eines Verstoßes durch YooniQ gegen diese Vereinbarung (durch den Auftraggeber in Textform an YooniQ mitzuteilen) von YooniQ anfordern.

10.3 Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung, insb. die Einhaltung der Sicherheit der Verarbeitung durch YooniQ mit Vorlaufzeit in Textform angekündigte Vor-Ort-Kontrollen in den betrieblichen Räumen von YooniQ zu den üblichen Geschäftszeiten zu überprüfen oder durch einen externen Auditor, der gesetzlichen oder vertraglichen Geheimhaltungspflichten unterliegt, überprüfen zu lassen. Diese Einschränkung für den Auftraggeber gilt nicht in dringenden Fällen, die der Auftraggeber YooniQ in Textform vorab mitteilen muss.

10.4 Der Auftraggeber stellt sicher, dass es bei Vor-Ort-Kontrollen nicht zu einer Störung des Geschäftsbetriebs oder Verletzung der Vertraulichkeiten von Daten der anderen Kunden von YooniQ kommt.

11. Weitere Auftragsverarbeiter (Subunternehmer)

11.1 Wenn und soweit YooniQ durch ausdrückliche Vereinbarung mit dem Auftraggeber berechtigt ist, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen, und wenn nicht ausgeschlossen werden kann, dass diese Subunternehmer eine Kenntnisnahmemöglichkeit von Daten des Auftraggebers hat, darf YooniQ den Subunternehmer nur und erst dann beauftragen und eine Kenntnisnahmemöglichkeit von Daten des Auftraggebers vorliegen, wenn YooniQ den Auftraggeber in Textform über die Punkte in 11.2 informiert hat, dem Auftraggeber Gelegenheit zum Einspruch (siehe 11.3) gegeben hat und der Auftraggeber nicht innerhalb der Einspruchsfrist Einspruch erhoben hat.

11.2 Die Information durch YooniQ nach 11.1 muss mindestens in konkreter und detaillierter Form enthalten:

a.) die Identität des Subunternehmers,

b.) die spezifischen Leistungen, die der Subunternehmer für YooniQ erbringen soll,

c.) die Erfahrungen, das Leistungsvermögen, die Zuverlässigkeit sowie die IT Sicherheit und Datenschutzmaßnahmen, die für die Einhaltung der Verpflichtungen in dieser Vereinbarung entscheidend sind und

d.) die Garantien bzw. Versicherungen des Unteraufragnehmers, dass er die Bestimmungen dieser Vereinbarung entsprechend einhalten wird.

11.3 Der Auftraggeber ist berechtigt, innerhalb von 7 Tagen nach Zugang der Informationen gemäß 11.1 - 11.2 gegen die Beauftragung eines Subunternehmers in Textform Einspruch zu erheben. Der Einspruch darf nicht willkürlich sein. Im Falle eines Einspruchs ist YooniQ verpflichtet, seine Leistungserbringung und Pflichterfüllung und diese Vereinbarung ohne Inanspruchnahme dieses Subunternehmers zu erfüllen (zum außerordentlichen Kündigungsrecht seitens YooniQ siehe 3.4 c.).

11.4 Werden dem Subunternehmer Daten des Auftraggebers zugänglich gemacht, ist YooniQ verpflichtet, mit dem Subunternehmer vor der erstmaligen Zugänglichmachung von Daten des Auftraggebers einen Auftragsverarbeitungsvertrag schriftlich zu vereinbaren, der hinsichtlich der Verpflichtungen des Subunternehmers dieser Vereinbarung entspricht.

11.5 Der Auftraggeber stimmt bereits bei Abschluss dieser Vereinbarung dem Einsatz folgender Subunternehmer zu:

Name und Adresse des Subunternehmers	Beschreibung der Tätigkeiten des Subunternehmers für den Auftragnehmer
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg	Bereitstellung von Computing-Services (Hosting, Datenverarbeitung, Speicher)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland	Kommunikation, interne Datenspeicherung
ActiveCampaign LLC (Postmark), 1 North Dearborn St, 5th Floor, Chicago, IL 60602, USA	Versand von E-Mails
YooniQ solutions Sp. z o.o., ul. Zwierzyniecka 29/205, 31-105 Kraków, Poland	Unterstützung bei technischen Entwicklungen und Layout
Calendly LLC, 1315 Peachtree St NE, Atlanta, GA 30309, USA	Vereinbarung und Koordination von Online-Demos
HubSpot, 2nd Floor 30 North Wall Quay, Dublin 1, Ireland	System zum Verwalten von Kundenbeziehungen
Conflux V.O.F., located at Einsteinlaan 205, 1171VT, Badhoevedorp, The Netherlands	System für Kundenfeedback
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Ireland	Abwicklung von Zahlungsmodalitäten und Abonnementmodell
Intercom R&D Unlimited Company, 2nd Floor, Stephen Court, 18-21 St. Stephen's Green, Dublin 2, Ireland	System für die Abwicklung von Kunden-Onboardings, Versand von Mitteilungen und Support-Anfragen per E-Mail und für Live-Chats
Recruitee BV (und verbundene Unternehmen), Keizersgracht 313, 1016 EE Amsterdam, The Netherlands	Bewerbermanagement, Cross-Selling
Mixpanel, S.L., Attn: EEA DPO, 92, 75 Av. de Champs-Elysees, 75008 Paris, France	System für Produktanalysen und Verbesserung der Nutzererfahrung

12. Rückgabe und Löschung

12.1 YooniQ ist verpflichtet nach Beendigung dieser Vereinbarung oder früher auf Aufforderung des Auftraggebers, alle Daten, Datenträger, Datenbanken, Dokumentation und sonstige Materialien des Auftraggebers sowie alle Arbeitsergebnisse der Auftragsverarbeitung (einschließlich Entwürfe und Vorstufen) – zurück- bzw. herauszugeben.

12.2 Einzelheiten zu den Löschpflichten ergeben sich aus Anlage 1. YooniQ ist verpflichtet, unverzüglich nach Beendigung dieser Vereinbarung oder früher auf Aufforderung des Auftraggebers, alle Daten zu löschen, sofern nicht eine gesetzliche Speicher- oder Aufbewahrungspflicht seitens YooniQ nach dem Recht der EU oder eines Mitgliedstaats entgegensteht oder eine ausdrücklich, abweichende Vereinbarung zur Speicherung bzw. Löschung der Daten mit dem Auftraggeber besteht. YooniQ protokolliert die Löschung.

13. Kostentragung durch YooniQ

Alle Kosten und Aufwände, die YooniQ oder ggf. Subunternehmern durch die Verarbeitung im Auftrag des Auftraggebers nach Maßgabe dieser Vereinbarung entstehen und von YooniQ zu protokollieren sind, insbesondere aufgrund

a.) einer Verpflichtung zur Erfüllung von Ansprüchen betroffener Personen auf Weisung des Auftraggebers, insb. die Berichtigung, Löschung, Einschränkung, Rückgabe der Daten an den Auftraggeber sowie ggf. Datenportabilität oder Unterstützung dabei,

b.) einer Verpflichtung zur Unterstützung bei der Datenschutzfolgenabschätzung gemäß 5.2,

c.) der Befolgung bzw. Umsetzung von Weisungen des Auftraggebers gemäß 5.3,

d.) der Pflicht zur Unterstützung bei der Erfüllung der Meldepflichten gegenüber der Aufsichtsbehörde oder den betroffenen Personen gemäß 6.2,

e.)der Erstellung einer qualifizierten Selbstauskunft gemäß 10.2,

f.) Vor-Ort-Kontrollen durch den Auftraggeber oder von diesem beauftragte (externe) Auditoren, es sei denn es wurden wesentliche Mängel festgestellt (siehe 10.3); die Darlegungs- und Beweispflicht liegt insoweit beim Auftraggeber;

g.) Mehraufwands für technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß 9.1, die aufgrund einer unterschiedlichen Risikoanalyse zwischen den Vertragsparteien gemäß 9.5 vereinbart wurden,

h.) Erfüllung von Rückgabe- und Löschpflichten während der Vertragslaufzeit gemäß 12., sind YooniQ gemäß der jeweils aktuell geltenden Preisliste von YooniQ gesondert zu vergüten.

14. Änderungen dieser Vereinbarung

14.1 Änderungen und Anpassungen dieser Vereinbarung und ihrer Anlagen und Anhänge bedürfen der Schriftform und treten erst nach Abschluss einer schriftlichen Änderungsvereinbarung in Kraft.

14.2 Der Auftraggeber ist verpflichtet, solche Änderungen und Anpassungen (14.1.) zu unterstützen und ihnen zuzustimmen, soweit sie von Gesetzes wegen für YooniQ erforderlich sind.

15. Haftung

15.1 Nimmt eine betroffene Person und/oder ein Dritter YooniQ wegen einer Datenverarbeitung, die YooniQ als Auftragsverarbeiter für den Auftraggeber vornimmt, in Anspruch, ist der Auftraggeber verpflichtet YooniQ von dieser Haftung freizustellen und die damit zusammenhängenden Rechtsverfolgungskosten, Schadensersatz und/oder Bußgelder und Strafen zu tragen.

15.2 Absatz 1 gilt dann nicht, wenn YooniQ speziell den einem Auftragsverarbeiter auferlegten Pflichten aus der Datenschutzgrundverordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Weisungen des Auftraggebers oder gegen diese Weisungen gehandelt hat.

16. Hierarchie der Vertragsdokumente

16.1 Im Falle von Widersprüchen oder Unstimmigkeiten zwischen dieser Vereinbarung und den Regelungen gemäß 1.2 gilt die Rangfolge entsprechend folgender Reihenfolge:

1.Diese Vereinbarung,
2.Nutzungsvertrag

16.2 Im Falle von Widersprüchen und Unstimmigkeiten zwischen dieser Vereinbarung und den Anlagen dazu gilt die Rangfolge entsprechend folgender Reihenfolge:

1.Diese Vereinbarung,
2.Anlage 1
3.Anlage 2

Mit Annahme des Auftraggebers durch Anklicken des entsprechenden Kästchens im Rahmen des Bestellprozesses kommt diese Vereinbarung zwischen den Parteien zustande.

Anlagen

Anlage 1: Betroffene Personen, Art der Daten und Umfang der Verarbeitung, Verarbeitungssysteme

Anlage 2: Risikobasierte technische und organisatorische Maßnahmen von YooniQ

Anlage 1

Einzelheiten zu betroffenen Personen, Art der Daten, Umfang der Verarbeitung und Verarbeitungssysteme

I. Kategorien von betroffenen Personen

Mitarbeiter des Auftraggebers

II. Arten der Daten

Personenstammdaten (Anrede, Name, Vorname, Geburtsdatum, Staatsangehörigkeit, ...)
Kommunikationsdaten (Adresse, E-Mail, Telefonnummern, Notfallkontakt, ...)
Profile in Sozialen Netzwerken (LinkedIn, Facebook, Twitter, ...)
Freitextfelder (Textfelder zur individuellen Benutzung)
Dateianhänge (Verträge, Lebensläufe, Formulare)

III. Umfang der Verarbeitung

Registrierung von Benutzern zur Nutzung des Dienstes
Erfassung von Kontaktdaten für die Personalverwaltung
Erstellung von Mitarbeiterprofilen zur Nutzung des Systems
Personalverwaltung (digitale Personalakte, Fehlzeitenmanagement, Zeiterfassung, Lohnabrechnung)
Erstellung und Visualisierung von Statistiken

IV. Verarbeitungssystem(e), inkl. Import und Export von Daten aus Umsystemen

Mixpanel (product analytics)
Amazon Web Services (Hosting-Anbieter)
Google Cloud Platform (Hosting-Anbieter)
Postmark Produkt von Wildbit LLC (Mail-Versand)
Stripe (Zahlungsmethode)
Intercom (Support/Ticketing System)

Anlage 2

Risikobasierte technische und organisatorische Sicherheitsmaßnahmen von YooniQ

1. Vorbemerkung

Der Auftragnehmer hat an seinem Geschäftssitz (zur Zeit Rüdesheimerstr. 21, 80686 München) zum Schutz der personenbezogenen Daten seiner Kunden die nachfolgend genannten technischen und organisatorischen Maßnahmen ergriffen. Diese Maßnahmen des Auftragnehmers werden ergänzt durch technische und organisatorische Maßnahmen der vom Auftragnehmer nach Ziff. 11.5 des AV-Vertrags eingesetzten Subunternehmer.

2. Technische und organisatorische Maßnahmen des Auftragnehmers

2.1 Zutrittskontrolle

Videoüberwachung
Manuelles Schließsystem
Automatisches Schließsystem
Sicherheitsschlösser
Magnetkarten
Kontrollierte / dokumentierte Schlüsselvergabe
Sichere Verwahrung von zusätzlichen Schlüsseln / Karten
Empfang / Pförtner
Regelungen zum Verschluss von Eingängen / Büroräumen
Nicht duplizierbare Schlüssel
Server ausgelagert
Wachdienst / Werksschutz
Vorgaben / Anweisungen für Mitarbeiter
Vorgaben / Anweisungen für Besucher
Beaufsichtigung von Hilfskräften
Türsicherungen

2.2 Zugangskontrolle

Log-in mit Benutzerkennung und Passwort
Passwortregelungen
Personalisierte Accounts
Automatische Bildschirmsperrung
Firewall
Verschlüsselungsmaßnahmen
Vorgaben / Anweisungen für Mitarbeiter
Individuelle Einrichtung von Zugangsrechten
Passwortrichtlinien
Verschlüsselte Datenträger
Ausschluss von Gruppen-Accounts
Sorgfältige Auswahl von Reinigungspersonal

2.3 Zugriffskontrolle

Zugriffsrechte
Berechtigungskonzepte
Genehmigungsprozesse
Begrenzter Zugriff (Prinzip “need to know”)
Trennung von Verantwortlichkeiten
Vorgaben / Anweisungen für Mitarbeiter
Datenschutzkonforme Löschung von Datenträgern
Kein Tausch von Endgeräten
Regelung zu Länge / Wechsel von Passwörtern
Kein Account-Sharing

2.4 Weitergabekontrolle

VPN / Tunnelverbindungen
WLAN-Verschlüsselung
Verschlüsselte E-Mail-Kommunikation
Verschlüsselung von Daten auf Datenträgern
Verschlüsselte Datenübertragung
Vorgaben / Anweisungen für Mitarbeiter

2.5 Eingabekontrolle

Dokumentenmanagementsystem
Vorgaben / Anweisungen für Mitarbeiter

2.6 Auftragskontrolle

Eindeutige Vertragsgestaltung mit Kunden und Subunternehmen
Sorgfältige Auswahl von Auftragnehmern über sicherheitsrelevante Kriterien

2.7 Gewährleistung der Verfügbarkeit und Belastbarkeit

Regelmäßige Datensicherungen / Back-ups
Unterbrechungsfreie Stromversorgung
Notfallpläne
Wiederanlaufpläne
Automatische Benachrichtigungen bei Störungen
Feuer-/Rauchmelder
Vorgaben / Anweisungen für Mitarbeiter
Dokumentation von Maßnahmen
Ausgelagerte Datensicherungen
Computing-Services (Hosting, Datenverarbeitung, Speicher) werden von externen Anbietern erbracht, die über starke Sicherheitsmaßnahmen verfügen. Nähere Informationen hierzu:
- Mixpanel - https://eu.mixpanel.com/legal/privacy-policy/
- Amazon Web Services - https://aws.amazon.com/security/?nc1=f_ls
- Google Cloud Platform - https://cloud.google.com/security/?hl=de
- Intercom - https://www.intercom.com/de/security
- Stripe - https://stripe.com/us/privacy
- Postmark - https://postmarkapp.com/eu-privacy

2.8 Trennungskontrolle

Trennung Produktiv-/Testsystem
Trennung der Daten versch. Kunden / Auftraggeber (Mandantenfähigkeit)
Vorgaben / Anweisungen für Mitarbeiter
Trennung von Backups nach Mandanten

2.9 Wirksamkeitskontrolle der Sicherheitsmaßnahmen

Auditiertes Datenschutzmanagement über externen Datenschutzbeauftragten (Prozesse zu Informationspflichten und Bearbeitung von Auskunftsanfragen, Verpflichtung der MA auf Vertraulichkeit und Datengeheimnis, AV-Verträge, ...)
Löschkonzept mit gesetzten Fristen (Bewerbermagement und Backups)
Berechtigungskonzept ("Need to know"-Prinzip, Rollenkonzept, dedizierte Mitarbeiter für Zugriff auf personenbezogene Daten)