Vertrag über Auftragsverarbeitung

Definitionen

Datenschutzgrundverordnung oder DSGVO: Verordnung (EU) 2016/679 vom 27. April 2016

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, siehe Artikel 4 (1) der Datenschutzgrundverordnung

Sonstige in dieser Vertrag über Auftragsverarbeitung verwendete Begriffe haben die gleiche Bedeutung wie die im Vertrag definierten Begriffe.

1 Gegenstand der Vertrag über Auftragsverarbeitung

1.1 Emply ist für den Kunden als Auftragsverarbeiter tätig, da Emply die in Anhang 1 beschriebenen Datenverarbeitungstätigkeiten im Auftrag des Kunden ausführt.

1.2 Die personenbezogenen Daten, die von Emply verarbeitet werden, Art und Zweck der Verarbeitung, die Kategorien der personenbezogenen Daten sowie die Kategorien betroffener Personen sind in Anhang 1 aufgeführt.

1.3 Gegenstand dieser Vertrag über Auftragsverarbeitung ist ausschließlich die Verarbeitung personenbezogener Daten durch Emply als Auftragsverarbeiter für den Kunden.

2 Verarbeitung personenbezogener Daten
2.1 Emply darf personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, und zwar auch in Bezug auf die Übermittlung an ein Drittland oder eine internationale Organisation, sofern Emply nicht durch das Recht der Union oder der Mitgliedstaaten, dem Emply unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt Emply dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.2 Weisungen: Emply wurde angewiesen, personenbezogene Daten nur zur Ausführung der Tätigkeiten, die in Anhang 1 konkretisiert sind, zu verarbeiten.

2.3 Emply unterrichtet den Kunden unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen die Datenschutzgrundverordnung, andere Datenschutzbestimmungen der Union oder sonstige anwendbare Gesetze verstößt.

2.4 Der Kunde gewährleistet, dass er über die erforderliche Berechtigung zur Verarbeitung der von dieser Vereinbarung erfassten personenbezogenen Daten verfügt, insbesondere über gegebenenfalls erforderliche Einwilligungen der Betroffenen.

3 Pflichten von Emply

3.1 Emply ist verpflichtet, personenbezogene Daten gemäß den anwendbaren nationalen Rechtsvorschriften über den Schutz personenbezogener Daten einschließlich der Datenschutzgrundverordnung zu verarbeiten.

3.2 Emply gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 Emply hat alle Maßnahmen zu ergreifen, um den Anforderungen des Artikels 32 der Datenschutzgrundverordnung zu entsprechen, einschließlich der geeigneten technischen und organisatorischen Maßnahmen, die sicherstellen, dass die verarbeiteten personenbezogener Daten (i) nicht unbeabsichtigt oder unrechtmäßig vernichtet werden, verloren gehen oder verändert werden; (ii) nicht unbefugt offengelegt werden beziehungsweise unbefugter Zugang zu den personenbezogenen Daten ermöglicht wird; und (iii) nicht in anderer Weise unrechtmäßig verarbeitet werden.

3.4 Die Festlegung der geeigneten technischen und organisatorischen Sicherheitsmaßnahmen erfolgt unter Berücksichtigung (i) des Stands der Technik, (ii) der Implementierungskosten, (iii) der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

3.5 Emply trifft mindestens die die in Anhang 2 genannten technischen und organisatorischen Maßnahmen.

3.6 Emply hat auf Verlangen des Kunden alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in dieser Vertrag über Auftragsverarbeitung niedergelegten Pflichten erforderlich sind, und Überprüfungen im Rahmen dieser Vereinbarung zu ermöglichen sowie dazu beizutragen , einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden.

3.7 Emply hat einmal im Jahr auf eigene Kosten eine Erklärung eines unabhängigen Sachverständigen über die Einhaltung der in dieser Vertrag über Auftragsverarbeitung festgelegten Anforderungen an Sicherheitsmaßnahmen einzuholen. Die Erklärung wird einmal im Jahr auf die Website von Emply, www.emply.dk, hochgeladen. Emply kann die Website, auf die die Erklärung hochgeladen wird, durch schriftliche Mitteilung an den Kunden ändern.

3.8 Darüber hinaus ist der Kunde berechtigt auf eigene Kosten einen unabhängigen Sachverständigen zu benennen, dem Zugang zu denjenigen physischen Einrichtungen zu gewähren ist, in denen die Verarbeitung personenbezogener Daten stattfindet, und der die erforderlichen Informationen zu erhalten hat, die zur Durchführung der Untersuchung erforderlich sind, ob Emply die geeigneten technischen und organisatorischen Maßnahmen durchgeführt hat. Der unabhängige Sachverständige des Kunden hat keinen Zugang zu Informationen über Emply‘ s allgemeine Kostenstruktur oder zu Informationen über andere Kunden von Emply. Auf Verlangen von Emply hat der Sachverständige eine übliche Verschwiegenheitserklärung zu unterzeichnen; in jedem Fall hat der Sachverständige sämtliche von Emply erhaltenen Informationen vertraulich zu behandeln und darf solche Informationen nur mit dem Kunden teilen. Der Kunde darf solche Informationen nicht weitergeben oder zu anderen Zwecken verwenden als zur Feststellung, ob Emply die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat.

3.9 Emply ist verpflichtet, den Kunden unverzüglich nach Kenntniserlangung schriftlich zu benachrichtigen über (i) jedes Ersuchen einer Behörden um Offenlegung personenbezogener Daten, die von dieser Vertrag über Auftragsverarbeitung umfasst sind, sofern die Unterrichtung des Kunden nicht durch das Recht der Union oder der Mitgliedstaaten, dem Emply unterliegt, untersagt ist, (ii) jeden Verdacht auf oder die Feststellung (a) von Sicherheitsverstößen, die zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zu Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten führt, die Emply im Rahmen dieser Vertrag über Auftragsverarbeitung übermittelt, speichert oder anderweitig verarbeitet, oder (b) einer sonstigen Verletzung der Verpflichtungen gemäß Ziffer 3.3, oder (iii) alle Anfragen auf Zugang zu personenbezogenen Daten, die von der betroffenen Person selber oder durch Dritten gestellt wurden.

3.10 Emply hat dem Kunden angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zu unterstützen, auf Anfragen zur Ausübung der in Kapitel III der Datenschutz-Grundverordnung festgelegten Rechte der betroffenen Person zu reagieren, einschließlich Anfragen auf Auskunft, Berichtigung, Sperrung oder Löschung.

3.11 Emply hat unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32-36 der Datenschutzgrundverordnung genannten Pflichten zu unterstützen. Dies gilt auch für Pflichten, die dem Kunden durch das Recht der Union oder eines Mitgliedstaaten auferlegt werden und die Unterstützungshandlungen durch den Auftragsverarbeiter vorsehen, jedoch nur in dem Umfang, in dem die Unterstützung durch Emply für den Kunden erforderlich ist, um seinen Verpflichtungen nachzukommen. Dies schließt unter anderem ein, dass dem Kunden auf Anfrage hin alle notwendigen Informationen über einen Vorfall im Sinne der Ziffer 9(ii), sowie alle für eine Datenschutz-Folgenabschätzung notwendigen Informationen gemäß den Artikeln 35-36 der Datenschutzgrundverordnung zur Verfügung gestellt werden, soweit Emply auf solche Informationen Zugriff hat.

3.12 Der physische Standort von Servern, Servicezentren u.a.m., die an der Datenverarbeitung beteiligt sind, ist Anhang 1 zu entnehmen. Im Falle von Änderungen des physischen Standorts ist Emply verpflichtet, den Kunden hierüber schriftlich im Voraus zu unterrichten. Eine formale Änderung von Anhang 1 ist nicht erforderlich.

3.13 Für die Bearbeitung von Anfragen und die Wahrnehmung von Aufgaben gemäß den Ziffern 3.6, 3.8, 3.9 (i) und (iii), 3.10, 3.11 und 5.2 dieser Vertrag über Auftragsverarbeitung kann Emply eine Aufwandsentschädigung verlangen, die sich nach dem aufgewendeten Zeit- und Materialaufwand richtet; es gelten die jeweils gültigen Stundensätzen von Emply.

4 Unterauftragsverarbeiter

4.1 Der Kunde erteilt Emply die allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern. Zum Zeitpunkt des Abschlusses des Vertrags über Auftragsverarbeitung setzt Emply die im Anhang 3 aufgeführten Unterauftragsverarbeiter ein. Emply hat den Kunden spätestens zwei Monate im Voraus über eine beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern schriftlich zu informieren. Der Kunde kann innerhalb von 2 Wochen nach Zugang der Mitteilung über die beabsichtigte Änderung ohne Angabe von Gründen Einspruch gegen die beabsichtigte Änderung erheben. In diesem Fall ist Emply berechtigt, alle Verträge mit dem Kunden, unter denen Emply personenbezogene Daten im Auftrag des Kunden verarbeitet, unter Einhaltung einer Kündigungsfrist von 2 Monaten zu kündigen.

4.2 Emply hat vor der Einbindung eines Unterauftragsverarbeiters eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter zu schließen, die diesem mindestens die gleichen Verpflichtungen auferlegt, denen Emply gemäß dieser Vertrag über Auftragsverarbeitung selbst unterliegt, einschließlich der Verpflichtung geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung den Anforderungen der Datenschutzgrundverordnung entspricht.

4.3 Der Kunde kann eine Kopie derjenigen Teile der Vereinbarungen zwischen Emply und den Unterauftragsverarbeitern anfordern, die zwingende Datenschutzverpflichtungen gemäß Ziffer 4.2 enthalten.

4.4 Wenn ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt Emply für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gegenüber dem Kunden uneingeschränkt verantwortlich.

5 Vertragsdauer und Kündigung

5.1 Die Laufzeit der Vertrag über Auftragsverarbeitung richtet sich nach der Laufzeit des Vertrages.

5.2 Ungeachtet der formalen Laufzeit gilt die Vertrag über Auftragsverarbeitung solange fort, wie Emply als Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeitet.

5.3 Nach Beendigung des Vertrages hat Emply nach Wahl des Kunden alle personenbezogenen Daten zu löschen oder an den Kunden zurückzugeben und bestehende Kopien zu vernichten, wenn nicht nach das Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

6 Mitteilungen

Wenn eine Partei im Rahmen dieser Vertrag über Auftragsverarbeitung verpflichtet ist, die andere Partei schriftlich zu benachrichtigen, so genügt hierfür die Übersendung einer E-Mail an die zuletzt angegebene E-Mail-Adresse der jeweils anderen Partei.

7 Vorrang

Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Auftragsverarbeitungs-vereinbarung und den Bestimmungen anderer schriftlicher oder mündlicher Vereinbarungen zwischen den Parteien haben die Bestimmungen der Vertrag über Auftragsverarbeitung Vorrang, sofern nicht ausdrücklich anders vereinbart.

Anhang 1: Weisung

Dieser Anhang enthält die Weisung des Kunden an Emply hinsichtlich der Datenverarbeitung im Auftrag des Kunden durch Emply im Zusammenhang mit der Nutzung der Software-Lösung durch den Kunden.

Zweck und Art der Datenverarbeitung
Der Zweck der Datenverarbeitung durch Emply ist die Zurverfügungstellung der Software-Lösung und der darin enthaltenen Funktionen an den Kunden sowie die Leistung von Support und Beratung im Zusammenhang mit u.a. der Implementierung und dem täglichen Gebrauch der Software-Lösung.

Kategorien der von der Datenverarbeitung betroffenen Personen
In der Software-Lösung werden personenbezogene Daten von
a) Bewerbern und
b) Mitarbeitern des Kunden verarbeitet.

Kategorien der verarbeiteten personenbezogene Daten
Bzgl. a) Name, E-Mailadresse, Telefonnummer und sonstige Angaben, die der Bewerber im Zusammenhang mit seiner Bewerbung macht
Bzgl. b) Name, E-Mailadresse, Bankdaten, Alter, Geschlecht, Berufsbezeichnung, Lohndaten u.a.m. sowie ggf. sonstige personenbezogene Daten, die in die Personalakte des einzelnen Mitarbeiters aufgenommen werden

Orte der Verarbeitung
Lyngbyvej 2, 2100 Kopenhagen Ø, Dänemark
Engholm Parkvej 8, 3450 Allerød, Dänemark
Industrieparken 35, 2750 Ballerup, Dänemark

Bitte beachten Sie auch die nachstehende Liste der Unterauftragsverarbeiter.

Anhang 2: Technische und organisatorische Maßnahmen

Emply verfolgt einen risikobasierten Ansatz bezüglich IT-Sicherheit und der Sicherung personenbezogener Daten, die für die Kunden und die Mitarbeiter der Kunden verarbeitet werden. Emply hat in seiner Eigenschaft als Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen getroffen, um die Risiken, die mit der Verarbeitung personenbezogener Daten in den Systemen von Emply einhergehen, zu verringern. Emply wird stets mindestens die nachfolgenden technischen und organisatorischen Maßnahmen ergreifen, behält sich jedoch vor, das Sicherheitsniveau und die damit verbundenen Maßnahmen jederzeit zu erhöhen, wenn sich das Risikoszenario ändern sollte.

Physische Sicherheit in den Räumen und Rechenzentren von Emply

Emply hat Sicherheitsvorkehrungen getroffen, die nur autorisiertem Personal den Zutritt zu Räumen und Rechenzentren ermöglichen, in denen personenbezogene Daten gespeichert und verarbeitet werden. Externe Berater und andere Besucher haben nur in Begleitung von autorisiertem Personal Zugang zu Rechenzentren.
Die Einrichtungen und Rechenzentren von Emply stehen unter Videoüberwachung.
In den Räumen und Rechenzentren von Emply wurden Alarmanlagen installiert; die Räume und Rechenzentren sind nur mit einem Schlüssel oder einer Zugangskarte und einem Code zugänglich.
Die Rechenzentren sind mit einer Kühlanlage, redundanter Stromversorgung, Brandschutz, Glasfasernetz und einem Überwachungssystem ausgestattet.

Protokollierung
Der gesamte Netzwerkverkehr ebenso wie Server-Logs werden überwacht und protokolliert.
Folgendes wird in den Systemen, Datenbanken und Netzwerken protokolliert:
• alle Zugriffsversuche;
• alle Suchvorgänge; und
• die Aktivitäten von Systemadministratoren und anderen Personen mit besonderen Rechten;
• Sicherheitsvorfälle einschließlich (i) Deaktivierung der Protokollierung; (ii) Änderungen der Systemrechte; und (iii) fehlgeschlagene Anmeldeversuche.

Emply lässt kein gemeinsames Einloggen (shared login) zu; dies bedeutet, dass es stets möglich ist, denjenigen Mitarbeiter zu identifizieren, der eine Aktivität ausübt.
Die relevanten Logdateien werden gespeichert und vor Manipulationen und technischen Fehlern geschützt. Die Logdateien werden zur Sicherstellung des normalen Betriebs und zur Überprüfung zufälliger Ereignisse oder Vorfälle regelmäßig kontrolliert.

 
Antivirus- und Firewall-Programme

Jeder externe Zugriff auf Systeme und Datenbanken, die für die Verarbeitung personenbezogener Daten genutzt werden, wird durch eine sichere Firewall geleitet.
Ein Port und ein IP-Filter wurden angelegt, um sicherzustellen, dass der Zugriff auf Ports und spezifische IP-Adressen beschränkt bleibt.
Um feindliche Angriffe zu verhindern, wurden Antivirus-Software sowie ein Intrusion Prevention System (IPS) auf allen Systemen und Datenbanken installiert, die für die Verarbeitung personenbezogener Daten genutzt werden. Die Antivirus-Software wird regelmäßig aktualisiert.
Schutzmaßnahmen gegen XSS und SQL Injections wurden in alle Dienste implementiert.
Nur berechtigte Personen können auf das interne Netzwerk von Emply zugreifen.

Verschlüsselung / Encryption
Für die Übermittlung personenbezogener Daten über das Internet und/oder E-Mail wird eine auf Algorithmen basierte Verschlüsselung verwendet.
Die User-ID (Benutzername) und das Passwort des Kunden werden unter Verwendung eines Algorithmus verschlüsselt.

Back-up und Zugänglichkeit
Die technischen Maßnahmen sowie die Systeme von Emply werden mittels Schwachstellenscans und Penetrationstests regelmäßig überprüft.
Alle Änderungen von Systemen, Datenbanken und Netzwerken erfolgen unter Einhaltung des Änderungsmanagement-Verfahrens, das sicherstellen soll, dass relevante Updates und Patches, einschließlich Sicherheitspatches, eingepflegt werden.
Alle Systeme, die für die Verarbeitung personenbezogener Daten eingesetzt werden, werden überwacht.
Die Datenumgebung wird auf Schwachstellen überwacht und festgestellte Probleme werden beseitigt.
Backups werden erstellt, um sicherzustellen, dass bei Verlust oder Änderung alle Systeme und Daten, einschließlich personenbezogener Daten, wiederhergestellt werden können.

Berechtigungen, Zugangsbeschränkungen und Sicherheit
Nur Mitarbeiter, deren Tätigkeit Zugang zu personenbezogenen Daten erfordert, werden Zugang erhalten. Die Beurteilung erfolgt auf Basis eines Need-to-have-Ansatzes, um dem Prinzip der Datensparsamkeit gerecht zu werden. Die Zugriffsrechte der Mitarbeiter werden regelmäßig neu bewertet.

Die Mitarbeiter werden regelmäßig geschult, um ihr Bewusstsein für IT-Sicherheit und Sicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten zu schärfen. Alle Mitarbeiter werden über die von der Geschäftsleitung genehmigte Informationssicherheitspolitik unterrichtet.
Alle neuen Mitarbeiter werden einem Screening unterzogen und haben eine Vertraulichkeitsvereinbarung zu unterzeichnen. Darüber hinaus werden neue Mitarbeiter über die Informationssicherheitspolitik sowie die Verfahren zur Verarbeitung personenbezogener Daten innerhalb des Verantwortungsbereichs des einzelnen Mitarbeiters in Kenntnis gesetzt.
Verfahren sind festgelegt worden, um sicherzustellen, dass Mitarbeitern die ihnen gewährten Nutzungsrechte entzogen werden, sobald sie aus dem Unternehmen ausscheiden.
Emply hat eine Passwort-Policy eingeführt, die dazu beiträgt sicherzustellen, dass (i) die Passwörter der Mitarbeiter nicht in die Hände Unbefugter fallen; (ii) nur hinreichend komplexe Passwörter genehmigt werden; und (iii) Passwörter regelmäßig geändert werden.
Auch tragbare Geräte sind durch Sicherheitsvorkehrungen geschützt, u.a. durch Verschlüsselung und Passwörter auf Festplattenebene. Für den Fernzugriff werden eine VPN-Verbindung sowie eine Zwei-Faktor-Authentifizierung genutzt.
Externe Personen, die sich in den Räumen und Rechenzentren von Emply befinden, in denen Zugriff auf personenbezogenen Daten möglich ist, werden über die Sicherheitsregeln von Emply in Kenntnis gesetzt und haben eine Vertraulichkeitsvereinbarung zu unterzeichnen.

Kontrollen
Entsprechend dem anerkannte ISO 27002 Standard führt Emply interne Prüfungen und Kontrollen der beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen durch. Die ISO 27002 Norm wird verwendet, um die Kontrolle der Implementierung des Managementsystems für die Informationssicherheit (ISMS: Information Security Management System) zu gewährleisten, das von Emply für Zwecke des Risikomanagements, u.a. bei der Festlegung der erforderlichen Sicherheitsmaßnahmen, eingesetzt wird.
Des Weiteren wird ein unabhängiger Prüfer einmal jährlich einen Bestätigungsvermerk nach ISAE 3000 erstellen. Schwerpunkt des Bestätigungsvermerk ist, ob Emply ein angemessenes IT-Sicherheitsniveau hergestellt hat und aufrecht erhält.

Anhang 3: Unterauftragsverarbeiter

Der Kunde hat dem Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter bei Vertragsschluss zugestimmt. Die Hinzuziehung weiterer oder die Ersetzung bisheriger Unterauftragsverarbeiter wird jeweils unter Einhaltung der in der Vertrag über Auftragsverarbeitung genannten Bestimmungen angekündigt.