nunq logo

Auftragsverarbeitungsvertrag zur KI-Plattform „nunq“ nach Art. 28 DSGVO

Stand: 14. Oktober 2025

1. Gegenstand

1.1 Gegenstand dieses Auftragsverarbeitungsvertrags ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.

1.2 Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.

2. Ort der Datenverarbeitung

Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus der Anlage nichts anderes ergibt. Jede Verlagerung der Verarbeitung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.

3. Laufzeit

3.1 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrags bis zu der regulären Beendigung des Hauptvertrags/ der Hauptverträge oder bis zur Beendigung der Datenverarbeitung durch den Auftragnehmer fort.

3.2 Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

4. Weisung

4.1 Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.

4.2 Falls Weisungen, die unter Ziffer 1 der Anlage dieses Vertrags getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.

4.3 Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrags und anschließend noch für drei Jahre aufzubewahren.

4.4 Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

5. Unterstützungspflichten des Auftragnehmers

5.1 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.

5.2 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.

5.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.

6. Prüfungsrechte des Auftraggebers

6.1 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.

6.2 Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und beim Auftragnehmer zu den üblichen Geschäftszeiten Inspektionen vor Ort durchzuführen. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. Der Auftragnehmer ermöglicht dies und trägt dazu bei.

6.3 Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.

7. Datenschutzbeauftragter des Auftragnehmers

Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind:

PROLIANCE GmbH

Leopoldstraße 21

80802 München

Deutschland

E-Mail: datenschutzbeauftragter@datenschutzexperte.de

8. Vertraulichkeit

8.1 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.

8.2 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.

8.3 Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.

9. Technische und organisatorische Maßnahmen

9.1 Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.

9.2 Die Auflistung der technischen und organisatorischen Maßnahmen in der Anlage wird als verbindlich festgelegt.

9.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage unter der Ziffer 3 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.

10. Informationspflichten des Auftragnehmers und Verletzung des Schutzes personenbezogener Daten

10.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen.

10.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.

10.3 Sollten die personenbezogenen Daten die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.

10.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.

10.5 Diese Ziffer 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.

11. Unterauftragnehmer

11.1 Vor der Hinzuziehung oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber in schriftlicher Form / in Textform (bspw. per E-Mail). Der Auftraggeber kann der Änderung innerhalb von 3 Wochen ab Erhalt der Information durch den Auftragnehmer in schriftlicher Form oder in Textform (bspw. per E-Mail) begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.

11.2 Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.

11.3 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

11.4 Der Auftraggeber erteilt hiermit seine Zustimmung zur Beauftragung der in der Anlage unter der Ziffer 2 aufgeführten Unterauftragnehmer.

11.5 Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unteraufragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

12. Löschung und Rückgabe personenbezogener Daten

12.1 Der Auftragnehmer ist nach Abschluss der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.

12.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind. Die Löschung ist zu protokollieren.

12.3 Eine vollständige Löschung aller Daten kann aufgrund von Backup-Routinen oder Aufbewahrungsfristen beim Auftragnehmer oder den eingesetzten Unterauftragsverarbeitern bis zu 30 Tage in Anspruch nehmen.

13. Haftung

Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Ebenso haftet er für schuldhaftes Verhalten seiner Unterauftragnehmer sowie deren Unterauftragnehmer.

14. Schlussbestimmungen

14.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.

14.2 Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben.

14.3 Für Änderungen oder Nebenabreden gelten die Bestimmungen des Hauptvertrages entsprechend.

14.4 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.

Anlage zum Auftragsverarbeitungsvertrag

1. Gegenstand des Auftrags

1.1 Gegenstand des Auftrags:

Gegenstand des Auftrags ist die weisungsgebundene Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der KI-Plattform nunq (nachfolgend: nunq). Die Einzelheiten der erbrachten Leistungen und Datenverarbeitungen können dem Hauptvertrag entnommen werden.

1.2 Art und Zweck der Datenverarbeitung:

Die Verarbeitung personenbezogener Daten bei der Nutzung von nunq findet zu folgenden Zwecken und im folgenden Kontext statt:

  • Interaktionen mit der Plattform und KI-Kommunikation (Prompts und Ausgaben)
  • Erstellung von Dokumenten oder anderweitigen Materialien in verschiedenen Formaten
  • Sprachverarbeitung und Bereitstellung von Audio-Funktionen (z.B. Speech-to-Text Transkriptionen)
  • Chat- und Plattform-Verwaltung (z.B. Tags und Kategorisierungen)
  • Cross-Device Synchronisation von Chats (bei zentraler Speicherung)
  • Kontexterhaltung und Personalisierung bei Nutzung verschiedener Sprachmodelle
  • Konfiguration von Assistenten und Verwaltung von Projekten
  • Erstellen von Prompt-Vorlagen
  • Erstellung von Screenshots sowie Bildschirmaufnahmen und Auslesen von Fenster-/Programm-/Software- oder Bildschirm-Inhalten zur Kontextanreicherung (Screen Scraping; Content Extraction; Content Recognition), z.B. bei Nutzung des nunq-Buttons, im Live-Modus oder beim einmaligen Kontextabruf
  • Nutzung von Wissensdokumenten und Referenzen für Ausgaben
  • Drittanbieter-Integration, Verknüpfung mit Wissensquellen (z.B. Integration mit SharePoint oder Google Drive)
  • Bereitstellen von weiteren Features, die im Leistungsumfang enthalten sind (z.B. Internet-Suche, Screenshot-Input, Live-Modus, Agenten-Modus, Tool-Integrationen).
  • Organisationsverwaltung/Administration/Benutzermanagement (Admin Panel)
  • Support-Tätigkeiten

1.3 Art der Daten:

Die Art der durch den Auftragnehmer im Auftrag verarbeiteten Daten ist maßgeblich von der Nutzung von nunq durch den Auftraggeber abhängig. Der Auftraggeber hat sicherzustellen, dass er zur Verarbeitung der bereitgestellten Daten berechtigt ist bzw. dass für diese eine gültige Rechtsgrundlage vorliegt. Von der Verarbeitung können insbesondere jedoch nicht abschließend die folgenden Datenkategorien umfasst sein:

DatenkategorieAuflistung konkret verarbeiteter Daten
Nutzerverwaltungsdaten
  • Name, Vorname
  • E-Mail-Adresse
  • Benutzername
  • Identifikationsnummern
  • Teilnehmerlisten und Berechtigungen
  • IP-Adresse
Daten zu KI-Interaktion, Chats und Inhalten
  • Prompts/Eingaben und Promptvorlagen
  • KI-Ausgaben
  • Chat-Verlauf
  • Titel/Beschreibungen
  • Metadaten
  • Assistenten-Zuordnungen
  • Tags/Kategorisierungen
  • Hochgeladene Dateien und Inhalte
  • Assistentenkonfigurationen
  • Kollaborationshistorie
  • Änderungsprotokolle
  • Temporäre Sprachaufnahmen (Audio-Files)
  • Transkriptionen
  • Screenshots, Bildschirmaufnahmen und Fenster-/Programm-/Software- oder Bildschirm-Inhalte, z.B. bei Nutzung des nunq-Buttons, im Live-Modus oder beim einmaligen Kontextabruf
Daten aus Wissensquellen und Integrationen (sofern angebunden)
  • Dokument-Referenzen
  • Metadaten
  • Zugriffsberechtigungen und Freigabelisten
  • Suchindexes und Content-Extrakte
Support-Daten
  • Kommunikation im Rahmen von Support-Leistungen
Sonstige Daten
  • Alle sonstigen Daten, die der Auftraggeber bzw. dessen Mitarbeitende über nunq verarbeiten.

1.4 Kreis der Betroffenen:

Der Kreis der Betroffenen ist maßgeblich von der Nutzung von nunq durch den Auftraggeber abhängig. Der Auftraggeber hat sicherzustellen, dass er zur Verarbeitung der personenbezogenen Daten der Betroffenen berechtigt ist bzw. dass für diese eine gültige Rechtsgrundlage vorliegt. Von der Verarbeitung können insbesondere jedoch nicht abschließend die folgenden Betroffenengruppen umfasst sein:

BetroffenengruppeBeschreibungBeispiele
Mitarbeiter des Auftraggebers/des VerantwortlichenEigene Mitarbeiter des Auftraggebers/ des VerantwortlichenArbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Mitarbeiter anderer UnternehmenMitarbeiter anderer Unternehmen, deren personenbezogene Daten für den Auftraggeber/den Verantwortlichen verarbeitet werdenArbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte
Kunden des Auftraggebers/des VerantwortlichenJede Person, mit der eine Kunden-Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle)Käufer, Versicherungsnehmer, Mieter, Kunden einer Dienstleistung
Sonstige GeschäftspartnerJede natürliche Person, mit der eine Geschäftsbeziehung besteht (mit dem Auftraggeber) außer KundenLieferanten, Importeure, Dienstleister, Vermittler, Freelancer
AußenstehendeJede Person, die in keiner Geschäftsbeziehung mit der jeweiligen Konzerngesellschaft (verantwortlichen Stelle) stehtBesucher, Gäste, Interessenten
SonstigeAlle sonstigen Personen, deren Daten der Auftraggeber oder dessen Beschäftigte über nunq verarbeiten.

2. Unterauftragnehmer

Zum Kreis der genehmigten Unterauftragnehmer bei Abschluss dieses Vertrags gehören:

Nr.Unterauftragnehmer (Name, Anschrift)Beschreibung der TätigkeitOrt der Datenverarbeitung
1
Microsoft Ireland Operations Ltd.
One Microsoft Place
South County Business Park
Dublin D18 P521
Irland
Hosting-Dienstleister für nunq; Bereitstellung von KI-ModellenEU-Region
2
Google Cloud EMEA Ltd.
70 Sir John Rogerson's Quay
Dublin 2
Irland
Bereitstellung von KI-ModellenEU-Region
3
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy
L-1855, Luxemburg
Bereitstellung von KI-ModellenEU-Region

3. Technische und Organisatorische Maßnahmen

Bei nunq handelt es sich um ein in der Cloud betriebenes Produkt, dass in der Microsoft Azure Cloud gehostet wird. Es werden keine im Auftrag verarbeiteten Daten in den Geschäftsräumen des Auftragnehmers gespeichert. Es gelten insofern die von Microsoft implementieren Sicherheitsmaßnahmen. Nähere Informationen hierzu finden Sie unter: https://learn.microsoft.com/de-de/compliance/assurance/assurance-datacenter-security.

Der Auftragnehmer implementiert geeignete Sicherheitsmaßnahmen, um im Rahmen der Bereitstellung von nunq ein angemessenen Datenschutzniveau zu gewährleisten. Diese Maßnahmen umfassen unter anderem Verfahren zur Verschlüsselung von Daten, Mechanismen zur sicheren Authentifizierung sowie weitere technische Schutzvorkehrungen, die dem aktuellen Stand der Technik entsprechen. Eine detaillierte Übersicht der in nunq eingesetzten Sicherheitsfunktionen finden Sie unter https://nunq.de/technical-organizational-measures.

Im Übrigen hat der Auftragnehmer die folgenden technischen und organisatorischen Maßnahmen implementiert.

3.1 Zutrittskontrolle für Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden

Beschreibung: Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Der Auftragsverarbeiter hat im Rahmen der Zutrittskontrolle folgende Maßnahmen ergriffen:

  • Zutrittskontrollsysteme für das Betriebsgelände, für das Gebäude und auch für einzelne Räume/Räumlichkeiten, in denen die Datenverarbeitung stattfindet (z.B. Ausweisleser, Magnetkarte, Chipkarte, Schlüssel)
  • Türsicherung (Sicherheitsschlösser, elektrische Türöffner, manuelles/automatisches/biometrisches Transponder Schließsystem usw.)
  • Standort des Servers, z.B. in Raum, Schrank, ausgelagert
  • Sicherung des Serverraums vor Zutritt unberechtigter Personen
  • Anzahl der Personen, die Zugang zum Serverraum haben, auf das Notwendigste begrenzt
  • Kontrollierte, dokumentierte Schlüsselvergabe, nicht duplizierbare Schlüssel, sichere Verwahrung von zusätzlichen Schlüsseln, Zutrittskarten etc.
  • Sicherung von sonstigen Zu- und Ausgängen, z.B. Fenster, Notausgänge, Lüftungsöffnungen
  • Empfang, Pförtner
  • Überwachungseinrichtung (z.B. Alarmanlage, Video- / Fernsehmonitor, sonstiger Einbruchschutz)
  • Protokollierung des Zutritts zum Rechenzentrum
  • Server außerhalb des Unternehmens ausgelagert (alle weiteren Angaben hierzu unter 5.2.4 Auftragskontrolle angeben)
  • Zutrittsregelungen für freie Mitarbeiter/Besucher/Dienstleister (z.B. Besucher gelangen zuerst zu einem Empfang und betreten das restliche Gebäude nur in Begleitung)
  • Besucherregelungen (z.B. Begleitung von Besuchern, Besucherausweise)

3.2 Zugangs- und Zugriffskontrolle

Beschreibung: Das Eindringen Unbefugter in die Datenverarbeitungs(DV)-Systeme (IT-Systeme) ist zu verhindern. Ebenso sind Tätigkeiten in DV-Systemen (IT-Systemen) außerhalb eingeräumter Berechtigungen sowie unerlaubte Zugriffe auf das System von außen zu verhindern.

Der Auftragsverarbeiter hat im Rahmen der Zugangs- und Zugriffskontrolle (zu IT-Systemen) folgende Maßnahmen ergriffen:

  • Dokumentation der Ausgabe von Hardware an Mitarbeiter
  • Personalisierte Accounts (eindeutige Benutzer-ID/Benutzer-Zuordnung), kein „Account-Sharing" (Nutzung eines Accounts durch mehrere Personen)
  • Individuelle Einrichtung von Zugangsrechten (Zugangsrechte sind für die Mitarbeiter auf die Programme beschränkt, die sie auch verwenden müssen)
  • Anzahl der Systemadministratoren auf das Notwendigste begrenzt
  • Login mit Benutzerkennung und Passwort
  • Kennwortverfahren/Passwortregelungen (u.a. Sonderzeichen, Mindestlänge); Passwortrichtlinie
  • Einrichtung jeweils nur eines Benutzerstammsatzes pro User/getrennte Benutzerstammsätze
  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte, Bsp.: Begrenzung des Zugriffs auf Ordner nach dem „need-to-know" Prinzip)
  • Ordnungsgemäße Vernichtung/Löschung von Datenträgern
  • Schadsoftwareschutz für den Server
  • Firewall/Virenschutz für Rechner/Geräte
  • Incident Response Management
  • Clean-Desk-Policy
  • Einsatz von Passwortmanagern zum Generieren und Teilen von Passwörtern
  • Passwortverschlüsselung
  • Berechtigungskonzept
  • Zweifaktorauthentifizierung für alle User
  • Schutz von Schnittstellen gegen unbefugtes Eindringen von außen (z.B. WLAN, USB, Netzwerksteckdosen)
  • Automatische Sperrung eines Benutzers, wenn er das Passwort mehrmals falsch eingibt und Maßnahmen, die in diesem Fall getroffen werden
  • Automatische Sperrung (z.B. Kennwort oder Pausenschaltung (Timeout)/Bildschirmsperrung)
  • Organisatorische Vorkehrungen zur Verhinderung unberechtigter Zugriffe auf personenbezogene Daten am Arbeitsplatz (z.B. Richtlinien)
  • Schulung von Mitarbeitern, Awareness-Training
  • Auswertungen / Reports
  • VPN Technologie
  • Verschlüsselung von Datenträgern
  • Trennung von zusammengehörigen Daten(sätzen), so dass eine Pseudonymisierung erfolgt
  • Absicherung von Fernwartungszugängen, Servern und Endgeräten, externen Schnittstellen (z.B. USB)
  • Andere Maßnahmen: Conditional Access, Intune Compliance, Defender XDR/SIEM

3.3 Eingabekontrolle

Beschreibung: Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind.

Der Auftragsverarbeiter hat im Rahmen der Eingabekontrolle folgende Maßnahmen ergriffen:

  • Login- und Logout-Protokollierung
  • Protokollierungen der Aktivitäten des IT-Systems selbst sowie der Aktivitäten der IT-Administratorentätigkeiten
  • Protokollierung hinsichtlich der Benutzeraktivitäten
  • Dokumentation von durchgeführten Wartungs-, Fernwartungs- oder Reparaturarbeiten am IT-System
  • Sicherstellung der Integrität neuer Programme und Updates, z.B. durch einen Prozess zur Sicherstellung, dass Mitarbeiter nicht selbst Programme herunterladen oder installieren können
  • Schadsoftwarecheck für erhaltene und auszuliefernde Datenträger
  • Datenschutzgerechte Aufbewahrung dieser Protokolle
  • Dokumentenmanagementsysteme
  • Komplette Sicherung der betroffenen Systeme vor größeren Wartungs-/Fernwartungs- oder Reparaturarbeiten

3.4 Auftragskontrolle

Beschreibung: Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt. Maßnahmen (technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber/Datenexporteur und Auftragnehmer/Datenimporteur.

Der Auftragsverarbeiter hat im Rahmen der Auftragskontrolle folgende Maßnahmen ergriffen:

  • Kriterien zur sorgfältigen Auswahl der Unterauftragnehmer
  • Eindeutige Vertragsgestaltung, schriftliche Festlegung der Weisungen
  • Maßnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Auftrag entsprechend den Weisungen des Auftraggebers erfolgen, z.B. schriftliche Weisungen, Dokumentation der Weisungen, Angebot und Auftragsbestätigung, Sicherstellung der Verpflichtung der Mitarbeiter des Auftragnehmers auf die datenschutzrechtliche Vertraulichkeit, vertraglich festgelegte Verantwortlichkeiten (Weisungsberechtigte und Weisungsempfänger), regelmäßige Kontrollen im Unternehmen
  • Auftragsverarbeitungsverträge
  • Konzept für die Löschung der Daten nach Ende des Vertragsverhältnisses

3.5 Getrennte Verarbeitung von Daten/Trennungskontrolle

Beschreibung: Die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten Verarbeitung der Daten unterschiedlicher Auftraggeber sind zu gewährleisten.

Der Auftragsverarbeiter hat im Rahmen der Trennungskontrolle folgende Maßnahmen ergriffen:

  • Trennung von Daten, die verschiedene Kunden/Auftraggeber betreffen
  • Trennung von Daten, die zu verschiedenen Zwecken verarbeitet werden
  • Funktionstrennung (Produktion/Test)
  • Physikalische oder logische Trennung

3.6 Weitergabekontrolle

Beschreibung: Aspekte der Weitergabe personenbezogener Daten sind zu regeln (elektronische Übertragung, Datentransport, Übermittlungskontrolle usw.), um einen Verlust, eine Veränderung oder eine unbefugte Veröffentlichung zu verhindern. Maßnahmen zu Transport, Übertragung, Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie zur nachträglichen Überprüfung sind zu treffen.

Der Auftragsverarbeiter hat im Rahmen der Weitergabekontrolle folgende Maßnahmen ergriffen:

  • WLAN-Zugänge gesichert
  • Sicherung von Daten bei Übertragung auf dem elektronischen Weg
  • E-Mail-Verschlüsselung (SSL, TSL usw.)
  • Transportsicherung (z.B. Kurier, verschlossene Behälter)
  • Sichere Vernichtung nicht mehr benötigter Datenträger
  • Fachgerechte Entsorgung nicht mehr benötigter Papierakten
  • Protokollierung der Empfänger von Daten
  • Protokollierung der Datenabrufe
  • Tunnelverbindung (VPN = Virtual Private Network)
  • Verschlüsselte Plattformen zur Weitergabe von Daten
  • Ipsec-Verfahren/SSH-Verfahren
  • Verschlüsselte Datenübertragung/ Verschlüsselung von Daten auf Datenträgern
  • Elektronische Signatur
  • Protokollierung („Logging")
  • Löschung von Daten auf Datenträgern bei Wiederverwendung

3.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Beschreibung: Die Daten sind gegen zufällige Zerstörung und Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch).

Der Auftragsverarbeiter hat im Rahmen der Kontrolle zur Verfügbarkeit und Belastbarkeit folgende Maßnahmen ergriffen:

  • Regelmäßige Datensicherungen/Backup-Verfahren, Widerstandsfähigkeit (Resilience) von IT-Systemen
  • Maßnahmen zur Sicherung des (eigenen) Serverraums und der IT-Infrastruktur
  • Notfallplan für einen IT-Notfall (Disaster Recovery Plan) und für Datenschutzverletzungen
  • Klare Meldewege für IT-Notfälle und Datenschutzverletzungen
  • Virenschutz, Firewall, Anti-Spy-Software, Spam-Filter, IDS oder IPS-Systeme
  • Integrität der IT-Systeme
  • Unterbrechungsfreie Stromversorgung
  • Überspannungsschutz der Stromversorgung
  • Klimatisierter Serverraum mit Überwachung der Funktionen
  • Feuermeldesystem
  • Brandschutz
  • Automatischer Shutdown/Notabschaltung der Systeme, automatische Stromabschaltung
  • Rauch- und Feuermelder, Sprinklersysteme, Feuertüren, Wasserschutzsysteme etc.

3.8 Organisationskontrolle

Beschreibung: Wie wird die reibungslose Organisation des Datenschutzes und der Sicherheit der Daten im Unternehmen sichergestellt?

Der Auftragsverarbeiter hat im Rahmen der Organisationskontrolle folgende Maßnahmen ergriffen:

  • Schriftliche Verpflichtung aller Mitarbeiter auf die datenschutzrechtliche Vertraulichkeit
  • Verfahren zur Risikoabschätzung und zum Risikomanagement etabliert und dokumentiert
  • Richtlinie zur Nutzung des betrieblichen Internetzugangs und des betrieblichen E-Mail-Accounts
  • Regelmäßige Sensibilisierung/Schulung der Mitarbeiter, Richtlinien / Handbücher für die Mitarbeiter
  • Organisation der Umsetzung des Datenschutzes (z.B. Bestellung eines Datenschutzbeauftragten; interne Mitarbeiter, die den Datenschutzbeauftragten unterstützen)
  • Richtlinie/Arbeitsanweisung zum Umgang mit personenbezogenen Daten im Homeoffice/ Mobile Office
  • Ausschluss der Nutzung privater Geräte für betriebliche Tätigkeiten (Bring-Your-Own-Device)

3.9 Privacy by Default und Privacy by Design

Beschreibung:

Privacy by Default bedeutet übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen". Das heißt, bereits die Werkseinstellungen sollen datenschutzfreundlich ausgestaltet werden. Hierdurch sollen vor allem die Nutzer geschützt werden.

Privacy by Design bedeutet „Datenschutz durch Technikgestaltung". Das heißt, dass bereits bei der Entwicklung oder dem Einkauf von Software auf eine datenschutzfreundliche Gestaltung geachtet werden soll.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen:

Privacy by Default:

  • Transparente Einstellungen und Optionen für den Nutzer zum Wählen der Einstellungen.
  • Voreinstellungen, bei denen die Software nur die nötigsten Daten sammelt.
  • Transparente Information der betroffenen Personen.
  • Voreinstellungen, bei denen die Software die Zugänglichkeit von Daten auf das Nötigste beschränkt

Privacy by Design:

  • Bei der Entwicklung oder beim Kauf von Software wird darauf geachtet, dass die Software so wenige Daten wie möglich für die Verarbeitung anfordert/benötigt
  • Möglichkeiten bei der Software mit pseudonymisierten oder anonymisierten Daten zu arbeiten

3.10 Wirksamkeitskontrolle

Beschreibung: Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen funktionieren.

Der Auftragsverarbeiter hat im Rahmen der Wirksamkeitskontrolle folgende Maßnahmen ergriffen:

  • Regelmäßige Kontrollen der Wirksamkeit der eingesetzten technischen und organisatorischen Maßnahmen
  • Regelmäßige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Software und der Firewall
nunq | Accelerate your business using AI