Zum Inhalt springen
Datenschutz

Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Vereinbarung zur Auftragsverarbeitung (AVV) — BLUNATECH GmbH — Version 1.0

Anhang III — Vereinbarung zur Auftragsverarbeitung (AVV)

(gemäß Art. 28 Datenschutz-Grundverordnung – DSGVO)

zwischen dem Kunden (nachfolgend „Auftraggeber“) und der BLUNATECH GmbH, Sitz München (nachfolgend „Auftragsverarbeiter“), gemeinsam nachfolgend die „Parteien“.

Diese Vereinbarung ist Bestandteil der Allgemeinen Nutzungsbedingungen (AGB) der BLUNATECH GmbH.

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch BLUNATECH im Auftrag des Auftraggebers im Rahmen der Nutzung der cloudbasierten Plattform von BLUNATECH.

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen gemäß den AGB.

1.2 Dauer

Die Verarbeitung erfolgt für die Dauer des jeweiligen Nutzungsverhältnisses zwischen den Parteien und endet mit dessen Beendigung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Datenverarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst insbesondere folgende Vorgänge:

  • Erheben
  • Erfassen
  • Speichern
  • Ordnen
  • Verändern
  • Auslesen
  • Übermitteln
  • Abfragen
  • Löschen

personenbezogener Daten mittels automatisierter Verfahren.

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

  • technische Bereitstellung der Plattform,
  • Versand, Verwaltung und Analyse digitaler Kommunikationsinhalte,
  • Verwaltung von Nutzerkonten, Kampagnen und Verteilerlisten,
  • Gewährleistung der IT-Sicherheit, Stabilität und Funktionsfähigkeit der Plattform,
  • Erfüllung gesetzlicher Verpflichtungen.

Eine Verarbeitung zu eigenen Zwecken von BLUNATECH erfolgt nicht.

3. Kategorien betroffener Personen und Daten

3.1 Kategorien betroffener Personen

Von der Verarbeitung können insbesondere betroffen sein:

  • Empfänger von Newslettern oder Kampagnen,
  • Kunden, Nutzer und Mitarbeiter des Auftraggebers,
  • Interessenten, Geschäftspartner oder sonstige Kontaktpersonen des Auftraggebers.

3.2 Kategorien personenbezogener Daten

Es können insbesondere folgende Daten verarbeitet werden:

  • Stammdaten (z. B. Name, E-Mail-Adresse),
  • Kontaktdaten,
  • Nutzungs- und Kommunikationsdaten,
  • Metadaten (z. B. Zeitpunkte, Versand- und Öffnungsinformationen),
  • technische Daten (z. B. IP-Adressen, Geräteinformationen),
  • sonstige vom Auftraggeber übermittelte Inhalte.

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sollen nicht verarbeitet werden, es sei denn, der Auftraggeber veranlasst dies ausdrücklich und rechtmäßig.

4. Pflichten und Rechte des Auftraggebers

4.1 Weisungsrecht

Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung und erteilt BLUNATECH die erforderlichen Weisungen.

Weisungen erfolgen in der Regel durch die Nutzung der Plattform. Einzelweisungen bedürfen der Textform.

4.2 Rechtmäßigkeit

Der Auftraggeber sichert zu, dass:

  • sämtliche Daten rechtmäßig erhoben wurden,
  • eine wirksame Rechtsgrundlage besteht,
  • erforderliche Einwilligungen eingeholt wurden,
  • Betroffenenrechte gewahrt werden.

4.3 Kontrollrechte

Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV nach Maßgabe von Ziffer 9 zu überprüfen.

5. Pflichten der BLUNATECH GmbH als Auftragsverarbeiter

5.1 Verarbeitung nur auf Weisung

BLUNATECH verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung zur anderweitigen Verarbeitung besteht.

5.2 Vertraulichkeit

BLUNATECH stellt sicher, dass alle mit der Verarbeitung befassten Personen:

  • zur Vertraulichkeit verpflichtet sind,
  • über datenschutzrechtliche Anforderungen unterrichtet wurden.

5.3 Technische und organisatorische Maßnahmen

BLUNATECH trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz der Daten. Diese sind in Anhang IV (TOMs) dokumentiert.

5.4 Datenschutzvorfälle

BLUNATECH informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.

6. Einsatz von Unterauftragsverarbeitern

6.1 Grundsatz

BLUNATECH ist berechtigt, Unterauftragsverarbeiter einzusetzen, sofern:

  • diese sorgfältig ausgewählt wurden,
  • vertraglich nach Art. 28 DSGVO verpflichtet sind,
  • ein gleichwertiges Datenschutzniveau gewährleistet ist.

6.2 Genehmigung

Der Auftraggeber erteilt BLUNATECH eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.

Eine aktuelle Liste kann auf Anfrage zur Verfügung gestellt werden.

6.3 Drittstaaten

Eine Verarbeitung in Drittstaaten erfolgt nur, sofern:

  • ein Angemessenheitsbeschluss besteht oder
  • geeignete Garantien (z. B. Standardvertragsklauseln) vereinbart wurden.

7. Unterstützungsleistungen und Betroffenenrechte

7.1 Unterstützungspflichten

BLUNATECH unterstützt den Auftraggeber im angemessenen Umfang bei:

  • Auskunfts-, Lösch- und Berichtigungsanfragen,
  • Datenschutz-Folgenabschätzungen,
  • Meldungen an Aufsichtsbehörden.

7.2 Kosten

Soweit Unterstützungsleistungen einen unverhältnismäßigen Aufwand verursachen, ist BLUNATECH berechtigt, hierfür ein angemessenes Entgelt zu verlangen.

8. Löschung und Rückgabe von Daten

8.1 Vertragsende

Nach Beendigung des Vertragsverhältnisses wird BLUNATECH:

  • personenbezogene Daten löschen oder
  • auf Weisung des Auftraggebers zurückgeben,

sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

8.2 Sicherungskopien

Sicherungskopien werden im Rahmen regulärer Backup-Zyklen gelöscht.

9. Kontrollrechte und Nachweispflichten

9.1 Nachweise

BLUNATECH stellt dem Auftraggeber auf Anfrage geeignete Nachweise zur Einhaltung dieser AVV zur Verfügung (z. B. Zertifikate, Audits, Selbstauskünfte).

9.2 Audits

Vor-Ort-Audits sind:

  • rechtzeitig anzukündigen,
  • auf einmal jährlich beschränkt,
  • während der üblichen Geschäftszeiten durchzuführen,
  • auf das erforderliche Maß zu beschränken.

BLUNATECH ist berechtigt, Audits aus Sicherheits- oder Geheimhaltungsgründen abzulehnen und durch gleichwertige Nachweise zu ersetzen.

10. Haftung und Vertragslaufzeit

10.1 Haftung

Es gelten die Haftungsregelungen der AGB. Eine darüberhinausgehende Haftung wird nicht übernommen.

10.2 Laufzeit

Diese AVV tritt mit Vertragsschluss in Kraft und gilt für die Dauer der Verarbeitung.

Schlussbestimmung

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anhang IV — Technische und organisatorische Sicherheitsmaßnahmen (TOMs)

(gemäß Art. 32 DSGVO)

Dieser Anhang konkretisiert die von der BLUNATECH GmbH ergriffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Rahmen der Auftragsverarbeitung gemäß Anhang III (AVV).

Die Maßnahmen berücksichtigen:

  • den Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung,
  • sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade der Risiken.

1. Zugriffskontrolle (Zugriff auf Daten und Systeme)

Ziel ist die Verhinderung des unbefugten Zugriffs auf personenbezogene Daten.

Technische Maßnahmen

  • Rollen- und berechtigungsbasierte Zugriffskonzepte (Role-Based Access Control – RBAC),
  • Zugriff nur nach dem Prinzip der minimalen Rechtevergabe (Least Privilege),
  • Trennung von System-, Administrations- und Nutzerrechten,
  • Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Aktualisierung),
  • Unterstützung von Multi-Faktor-Authentifizierung (MFA), soweit verfügbar,
  • automatische Sperrung bei wiederholten Fehlanmeldeversuchen.

Organisatorische Maßnahmen

  • Vergabe und Entzug von Zugriffsrechten nach dokumentierten Prozessen,
  • regelmäßige Überprüfung und Rezertifizierung von Berechtigungen,
  • Zugriff ausschließlich für befugte Mitarbeiter mit arbeitsbezogener Notwendigkeit.

2. Zutritts- und Zugangssicherung (physische und logische Sicherheit)

Ziel ist die Verhinderung unbefugten physischen und logischen Zugangs.

Technische Maßnahmen

  • Betrieb der Plattform in professionellen Rechenzentren mit:
    • Zutrittskontrollen (z. B. Chipkarten, biometrische Verfahren),
    • Videoüberwachung,
    • 24/7-Sicherheitsdiensten,
  • Absicherung von Servern, Netzwerken und Administrationssystemen durch Firewalls,
  • Segmentierung von Netzwerken (z. B. Trennung von Produktiv-, Test- und Administrationsumgebungen).

Organisatorische Maßnahmen

  • Zutrittsberechtigungen nur für autorisierte Personen,
  • Dokumentation und Protokollierung von Zutritten in Rechenzentren (durch Hosting-Anbieter),
  • Sicherheitsrichtlinien für Arbeitsplätze und mobile Endgeräte.

3. Datenübertragung und Verschlüsselung

Ziel ist der Schutz personenbezogener Daten vor unbefugtem Zugriff während Speicherung und Übertragung.

Technische Maßnahmen

  • Verschlüsselte Datenübertragung mittels aktueller Transportverschlüsselung (z. B. TLS),
  • Verschlüsselung sensibler Daten im Ruhezustand (Data-at-Rest), soweit technisch vorgesehen,
  • Absicherung externer Schnittstellen (APIs) durch Authentifizierungs- und Autorisierungsmechanismen,
  • Schutz vor unbefugtem Datenexport durch Zugriffsbeschränkungen.

Organisatorische Maßnahmen

  • Vorgaben zur sicheren Datenübertragung,
  • regelmäßige Überprüfung eingesetzter Verschlüsselungsverfahren auf Aktualität.

4. Verfügbarkeits- und Wiederherstellungskonzepte

Ziel ist die Sicherstellung der Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit der Systeme.

Technische Maßnahmen

  • Redundante Systemarchitekturen,
  • regelmäßige Datensicherungen (Backups),
  • geografisch getrennte Backup-Speicherung, soweit verfügbar,
  • Überwachung der Systemverfügbarkeit und -auslastung,
  • Schutz vor Datenverlust durch technische Ausfälle.

Organisatorische Maßnahmen

  • Dokumentierte Backup- und Wiederherstellungsprozesse,
  • regelmäßige Überprüfung der Backup-Integrität,
  • Notfall- und Wiederanlaufkonzepte (Disaster-Recovery-Pläne).

5. Protokollierung und Monitoring

Ziel ist die Nachvollziehbarkeit von Zugriffen und die frühzeitige Erkennung von Sicherheitsvorfällen.

Technische Maßnahmen

  • Protokollierung relevanter Systemereignisse (z. B. Login-Vorgänge, Systemzugriffe),
  • Monitoring von Systemzuständen, Performance und Sicherheitsereignissen,
  • Einsatz automatisierter Warnsysteme bei auffälligen Aktivitäten.

Organisatorische Maßnahmen

  • Regelmäßige Auswertung sicherheitsrelevanter Protokolle,
  • Zugriff auf Protokolldaten nur für befugte Personen,
  • Aufbewahrung von Logdaten nur solange erforderlich.

6. Incident- und Sicherheitsmanagement

Ziel ist der strukturierte Umgang mit Sicherheitsvorfällen und Datenschutzverletzungen.

Technische Maßnahmen

  • Mechanismen zur Erkennung von Sicherheits- und Datenschutzvorfällen,
  • Isolierung betroffener Systeme bei Sicherheitsereignissen,
  • technische Maßnahmen zur Schadensbegrenzung.

Organisatorische Maßnahmen

  • Definierte Incident-Response-Prozesse,
  • interne Meldewege für Sicherheitsvorfälle,
  • Bewertung und Dokumentation von Vorfällen,
  • unverzügliche Information des Auftraggebers bei Datenschutzverletzungen gemäß Art. 33 DSGVO,
  • regelmäßige Schulungen der Mitarbeiter zu Informationssicherheit und Datenschutz.

7. Regelmäßige Überprüfung und Weiterentwicklung

BLUNATECH überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig und passt diese bei:

  • technischen Weiterentwicklungen,
  • veränderten Bedrohungslagen,
  • gesetzlichen oder regulatorischen Änderungen

angemessen an.

Schlussbestimmung

Diese TOMs sind Bestandteil der Auftragsverarbeitungsvereinbarung (Anhang III). Sie gelten für alle Verarbeitungen personenbezogener Daten im Rahmen der Nutzung der Plattform von BLUNATECH.