AUFTRAGSVERARBEITUNGSVERTRAG

NACH ART. 28 DSGVO

zwischen dem Verantwortlichen


bei mobilversichert registrierten Nutzer
– nachfolgend „Auftraggeber“ genannt –


und dem Auftragsverarbeiter
Munich General Insurance Services GmbH
Dingolfinger Str. 15
81673 München

– nachfolgend „Auftragnehmer“ genannt –
– nachfolgend zusammen „Parteien“ genannt –


PRÄAMBEL

Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.


1. GEGENSTAND

  1. Gegenstand dieses Auftragsverarbeitungsvertrags ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.
  2. Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.
  3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden oder auf sonstige Weise in dessen Auftrag verarbeitet werden.

2. ORT DER DATENVERARBEITUNG

Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus der Anlage nichts anderes ergibt. Vor Verlagerung der Verarbeitung in ein Drittland informiert der Auftragnehmer den Auftraggeber in Textform (bspw. per E-Mail). Der Auftraggeber kann der Änderung innerhalb von 3 Wochen ab Erhalt der Information durch den Auftragnehmer in schriftlicher Form oder in Textform (bspw. per E-Mail) begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Die Verlagerung der Verarbeitung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.


3. LAUFZEIT

  1. Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von drei Monaten gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrags bis zu der regulären Beendigung des Hauptvertrags/der Hauptverträge fort.
  2. Endet der Hauptvertrag, so endet automatisch auch dieser Auftragsverarbeitungs- vertrag, ohne dass es einer gesonderten Kündigung bedarf.
  3. Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Bei unerheblichen Verstößen kann der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe setzen. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber ebenfalls zur außerordentlichen Kündigung berechtigt.

4. WEISUNG

  1. Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.
  2. Falls Weisungen, die unter Ziffer 1 der Anlage dieses Vertrags getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.
  3. Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrags und anschließend noch für drei Jahre aufzubewahren.
  4. Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

5. UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS

  1. Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
  2. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
  3. Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.

6. PRÜFUNGSRECHTE DES AUFTRAGGEBERS

  1. Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.
  2. Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und beim Auftragnehmer Inspektionen vor Ort durchzuführen. Der Auftragnehmer ermöglicht dies und trägt dazu bei. Soweit nicht aus vom Auftraggeber zu dokumentierenden dringlichen Gründen (z. B. einem Verstoß gegen die in diesem Vertrag festgelegten Pflichten) anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers sowie nicht häufiger als alle 12 Monate statt.
  3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
  4. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen.
  5. Der Auftraggeber vergütet dem Auftragnehmer den angemessenen Aufwand, der ihm im Rahmen der Kontrolle entsteht.
  6. Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.

7. DATENSCHUTZBEAUFTRAGTER DES AUFTRAGNEHMERS

Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage dieses Vertrags unter Ziffer 3 angeführt, soweit für den Auftragnehmer ein Datenschutzbeauftragter bestellt sein muss oder freiwillig bestellt ist.


8. VERTRAULICHKEIT

  1. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.
  2. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.
  3. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.

9. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

  1. Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.
  2. Die in Ziffer 5 der Anlage aufgeführten technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
  3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage unter der Ziffer 5 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.

10. INFORMATIONSPFLICHTEN DES AUFTRAGNEHMERS UND VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

  1. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen.
  2. Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
  3. Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.
  4. Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.
  5. Diese Ziffer 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.

11. UNTERAUFTRAGNEHMER

  1. Vor der Hinzuziehung oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber in Textform (bspw. per E-Mail). Der Auftraggeber kann der Änderung innerhalb von 3 Wochen ab Erhalt der Information durch den Auftragnehmer in Textform (bspw. per E-Mail) begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.
  2. Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.
  3. Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
  4. Der Auftraggeber erteilt hiermit seine Zustimmung zur Beauftragung der in der Anlage unter der Ziffer 4 aufgeführten Unterauftragnehmer.
  5. Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unteraufragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

12. LÖSCHUNG UND RÜCKGABE PERSONENBEZOGENER DATEN

  1. Der Auftragnehmer ist nach Abschluss, der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
  2. Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
  3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung unter Datumsangabe in einem dokumentierten elektronischen Format zu bestätigen.

13. HAFTUNG

  1. Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Ebenso haftet er für schuldhaftes Verhalten seiner Unterauftragnehmer sowie deren Unterauftragnehmer.
  2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

14. SCHLUSSBESTIMMUNGEN

  1. Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.
  2. Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben.
  3. Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.
  4. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.
  5. Gerichtsstand für Streitigkeiten aus dieser Vereinbarung ist Berlin, unabhängig von dem vereinbarten Gerichtsstand des Hauptvertrages.


Anlage zum Auftragsverarbeitungsvertrag

zwischen dem Verantwortlichen


bei mobilversichert registrierten Nutzer
– nachfolgend „Auftraggeber“ genannt –

und dem Auftragsverarbeiter

Munich General Insurance Services GmbH, Dingolfinger Str. 15, 81673 München
– nachfolgend „Auftragnehmer“ genannt –
– nachfolgend zusammen „Parteien“ genannt –


Diese Anlage und der Auftragsverarbeitungsvertrag korrespondieren mit dem Hauptvertrag zwischen den Parteien.


1. GEGENSTAND DES AUFTRAGS


1.1 Gegenstand des Auftrags:

Der Auftraggeber ist gegenüber privaten und institutionellen Kunden als Versicherungsmakler für Finanz- und Versicherungsprodukte tätig. mobilversichert ist eine web-basierte Plattform der Munich General Insurance Services GmbH für die Versicherungswirtschaft zur Digitalisierung des Vermittlungsprozesses von Versicherungen. In der Kombination aus personalisierter Maklerplattform und Endkunden-Webportal/APP rüstet mobilversichert Versicherungsmakler mit digitalen Werkzeugen aus. Durch automatisierte Abläufe können Makler somit größere Bestände effizient verwalten, den Endkunden bedarfsgerechte Lösungen anbieten und effektiv abwickeln. Der Auftragnehmer übernimmt vom Auftraggeber für die Erledigung der in diesem Umfeld entstehenden Aufgaben die Datenverarbeitung im Rahmen von Neuabschlüssen, Änderungen und Beendigung von Verträgen und ihrer Verwaltung. Darüber hinaus werden Daten für die Angebotserstellung vor Abschluss von Verträgen vom Auftragnehmer außerhalb bestehender Kundenbeziehungen verarbeitet.


1.2 Art und Zweck der Datenverarbeitung:

Im Rahmen der unter 1.1 dargelegten Leistungserbringung sind die folgenden Arten der Datenverarbeitung Gegenstand des Auftrags:

  • Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung
  • Auslesen, Abfragen, Verwendung
  • Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
  • Abgleich oder Verknüpfung
  • Einschränkung, Löschen oder Vernichtung von Daten

Die Verarbeitung im Rahmen der unter 1.1 dargelegten Leistungserbringung erfolgt zu den folgenden Zwecken:

  • Unterstützung bei der Durchführung von Verträgen oder Aufträgen
  • Vertrieb oder Versand von Waren oder Erbringung von Leistungen
  • Betreuung von Kunden und Geschäftspartnern
  • Gewährleistung der ordnungsmäßigen Buchführung
  • Rechnungsstellung für Waren oder Leistungen
  • Abrechnung sonstiger Kosten (z. B. Telekommunikation)
  • Pflege und Verwaltung von Kunden- oder Beschäftigtendaten
  • Dokumentation von Datums- und Zeitangaben von Verarbeitungsschritten
  • Dokumentation von Terminen
  • Kontaktmanagement
  • Kommunikation mittels elektronischer Medien (E-Mail, Telefon, Chat, Messenger, Videokonferenzen u. ä.)
  • Überwachung technischer Systeme einschließlich Serverinfrastruktur und Netzwerk
  • Gewährleistung der Einhaltung von ordnungsmäßigen Aufbewahrungs- bzw. Löschfristen
  • Verwaltung von Berechtigungen, Lizenzen und Nutzung von Softwarekomponenten
  • Dokumentation von Terminen
  • Kontaktmanagement
  • Qualitätssicherung

1.3 Art der Daten:

Folgende Datenkategorien und konkreten Daten werden verarbeitet:

  • Stammdaten: Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Personalnummern, Anwesenheit
  • Daten zu beruflichen Verhältnissen: Berufsbezeichnung, beruflicher Werdegang, Betriebszugehörigkeit, Aufgaben, Tätigkeiten, Qualifikationen, Tarifgruppe
  • Personal- und andere Identifikationsnummern: Personalnummer, User-ID
  • Vertragsdaten: Abgeschlossene Verträge, Datum Vertragsschluss, Vertragsleistungen/Preise
  • Kundenverhaltensdaten: Abgeschlossene Verträge, Nutzung der Applikationen, Geräteinformationen, IP-Adresse
  • Nutzerkennungen und Zugangsdaten: Benutzername, Firmierung, Passwort, E-Mail-Adresse

1.4 Kreis der Betroffenen:

  • Kunden des Auftraggebers/des Verantwortlichen
  • Interessenten des Auftraggebers/des Verantwortlichen
  • Lieferanten / Dienstleister des Verantwortlichen
  • Geschäftspartner
  • Gesellschafter, Organe der Gesellschaft
  • Externe Mitarbeiter und Berater
  • Beschäftigte
  • Auszubildende, Praktikanten

2. DATENSCHUTZBEAUFTRAGTER

Datenschutzbeauftragter des Auftragsnehmers ist:
PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München
+49 89 250039222
datenschutzbeauftragter@datenschutzexperte.de


3. UNTERAUFTRAGNEHMER

Zum Kreis der genehmigten Unterauftragnehmer bei Abschluss dieses Vertrags gehören:

  • 01 Zoho Corporation
    • Beneluxlaan 48, 3527 HT Utrecht, Niederlande
    • Tel.: +31 85 066 6700
    • CRM-System für Nutzer der mobilversichert-Plattform
    • Ort der Datenverarbeitung: EU/EWR
  • 02 Microsoft Ireland Limited
    • One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland
    • Tel.: +353 (1) 706-3117
    • Plattform für das Hosting von Datenbanken in der Cloud
    • Bereitstellung von KI-Services (Microsoft Foundry)
    • Ort der Datenverarbeitung: EU/EWR und USA
  • 03 Amazon Web Services EMEA SARL
    • 38 avenue John F. Kennedy, L-1855, Luxemburg
    • Tel.: +352 2789 0057
    • Plattform für das Hosting von Datenbanken in der Cloud
    • Bereitstellung von KI-Services (Amazon Bedrock)
    • Ort der Datenverarbeitung: EU/EWR
  • 04 Smart InsurTech AG
    • Heidestraße 8, 10557 Berlin
    • Tel.: +49 30 233 23 70
    • Online Vergleichs- und Antragssystem für Versicherungspolicen
    • Ort der Datenverarbeitung: EU/EWR
  • 05 NAFI GmbH
    • Lütmarser Straße 60, 37671 Höxter
    • Tel.: +49 5271 931-444
    • Online Vergleichs- und Antragssystem für Versicherungspolicen
    • Ort der Datenverarbeitung: EU/EWR
  • 06 Morgen & Morgen GmbH
    • Wickerer Weg 13, 65719 Hofheim am Taunus
    • Tel.: +49 6192 9962 650
    • Online Vergleichs- und Antragssystem für Versicherungspolicen
    • Ort der Datenverarbeitung: EU/EWR
  • 07 Thinksurance GmbH
    • Stephanstraße 14-16, 60313 Frankfurt am Main
    • Tel.: +49 69 2043695 379
    • Online Vergleichs- und Antragssystem für Versicherungspolicen
    • Ort der Datenverarbeitung: EU/EWR
  • 08 nepatec GmbH
    • Seelhorststraße 44, 30175 Hannover
    • Tel.: +49 511 935 946 51
    • Partner für rechtskonforme BiPRO-Prozesse und -Schnittstellen
    • Ort der Datenverarbeitung: EU/EWR
  • 09 European Broker Systems GmbH
    • Robert-Bosch-Straße 17a, 63477 Maintal
    • Tel.: +49 6181 3699 326
    • Dienstleister im Informationsmanagement und Prozessautomatisierung
    • Ort der Datenverarbeitung: EU/EWR
  • 10 fb research GmbH
    • Prinzenstraße 16, 30159 Hannover
    • Tel.: +49 511 367 389-0
    • Online Vergleichs- und Antragssystem für Versicherungspolicen
    • Ort der Datenverarbeitung: EU/EWR
  • 11 mv-Services GmbH
    • Beethovenstraße 43, 60325 Frankfurt am Main
    • Tel.: +49 176 81119357
    • Service-Anbieter für Plattformen
    • Ort der Datenverarbeitung: EU/EWR
  • 12 Mistral AI SAS
    • 15 rue des Halles, 75001 Paris, Frankreich
    • E-Mail: contact@mistral.ai
    • Bereitstellung von KI-Services
    • Ort der Datenverarbeitung: EU/EWR
  • 13 Anthropic Ireland, Limited
    • 6th Floor, South Bank House, Barrow Street, Dublin 4, D04 TR29, Irland
    • E-Mail: privacy@anthropic.com
    • Bereitstellung von KI-Services
    • Ort der Datenverarbeitung: EU/EWR und USA
  • 14 Qwist GmbH
    • Hohe Bleichen 22, 20354 Hamburg
    • PSD2 Schnittstelle für den Abruf von Kontodaten
    • Ort der Datenverarbeitung: EU/EWR

4. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Zu den einzuhaltenden Regelungen des Datenschutzes werden folgende technische und organisatorische Maßnahmen verbindlich festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrechtzuerhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.


5.1 Zutrittskontrolle für Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwahren.

  • Pforte/Empfang
  • Alle Räume sind abschließbar
  • Zutritt für Mitarbeiter mit Schlüssel; am Standort Berlin mit Sicherheitsschlüssel
  • Kontrollierte, dokumentierte Schlüsselvergabe
  • Stellung des Reinigungsdienstes durch Vermieter
  • Empfang von Besuchern, Handwerkern und Dienstleistern an der Pforte und Abholung durch zuständigen Mitarbeiter
  • Kein unbeaufsichtigter Aufenthalt von Besuchern, Handwerkern und Dienstleistern in den Büroräumen
  • Sicherung aller sonstigen Zu- und Ausgänge zum Gebäude
  • Ausgelagerter Serverbetrieb bei Microsoft Azure Cloud
  • Ausgelagerter Serverbetrieb bei Amazon AWS
  • Erfolgte Überprüfung der Sicherheitsbestimmungen des Cloudanbieters
  • Sicherung aller Verbindungen zum Server über Firewalls
  • Wegschließen nicht genutzter Hardware
  • Wegschließen nicht genutzter Papierakten in Aktenschränken

5.2 Zugangs- und Zugriffskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können sowie, dass die berechtigten Personen ausschließlich innerhalb ihrer Berechtigung am Datenverarbeitungssystem arbeiten.

  • Dokumentierte Ausgabe von Hardware an Mitarbeiter
  • Rollen- und Berechtigungskonzept für Mitarbeiter
  • Personalisierte Nutzerkonten
  • Individuelle Einrichtung von Zugangsrechten (Zugangsrechte sind für die Mitarbeiter auf die Programme beschränkt, die sie auch verwenden müssen)
  • Begrenzung der Anzahl von Administratoren
  • Login mit Benutzerkennung und Passwort
  • 2-Faktor-Authentifizierung
  • Passwortvoraussetzungen: Mindestens 14 Zeichen bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Passwortrichtlinie
  • Automatische Bildschirmsperre nach 15 Minuten Inaktivität
  • Anweisung aller Mitarbeiter, den Bildschirm vor Verlassen des Arbeitsplatzes zu sperren
  • Firewall/Virenschutz für Rechner und Geräte
  • Automatische Durchführung von Updates des Schadsoftwareschutzes
  • Freigabe nur benötigter Ports
  • Clean-Desk-Policy

5.3 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Protokollierung der Aktivitäten der IT-Systeme (revisionssicher)
  • Kontrolle der Protokolle der Aktivitäten der IT-Systeme
  • Protokollierung der Aktivitäten der IT-Administratoren (revisionssicher)
  • Kontrolle der Protokolle der Aktivitäten der IT-Administratoren
  • Protokollierung der Benutzeraktivitäten (revisionssicher)
  • Kontrolle der Protokolle der Benutzeraktivitäten
  • Sicherstellung der regelmäßigen Löschung der Protokolle
  • Sicherstellung der Integrität neuer Programme und Updates dadurch, dass Mitarbeiter keine Adminrechte haben und somit nicht selbst Programme herunterladen oder installieren können
  • Ausschließlich Verwendung von Datenträgern, die das Unternehmen den Mitarbeitern überlassen hat; Mitarbeiter dürfen keine privaten Datenträger verwenden
  • Schadsoftwarecheck vor der Verwendung von Datenträgern

5.4 Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Einsatz von Auftragsverarbeitern
  • Eindeutige Vertragsgestaltung, schriftliche Festlegung der Weisungen
  • Maßnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Auftrag entsprechend den Weisungen des Auftraggebers erfolgen: schriftliche Weisungen per E-Mail, Dokumentation der Weisung, Auswahl der Auftragsverarbeiter nach DSGVO-Konformität
  • Vorherige Kontrolle der TOM der Auftragsverarbeiter
  • Vorbehalten von Vor-Ort-Kontrollen
  • Zentrale Dokumentation aller abgeschlossenen Auftragsverarbeitungsverträge
  • Anfordern einer Löschbestätigung nach Beendigung des Auftrages

5.5 Getrennte Verarbeitung von Daten / Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Nutzung von unterschiedlichen, kundenspezifischen bzw. mandantenfähigen Accounts
  • Detaillierte Zugriffskonzepte
  • Trennung von Daten, die verschiedene Kunden/Auftraggeber betreffen
  • Trennung von Daten, die zu verschiedenen Zwecken verarbeitet werden
  • Einhaltung gesetzlich oder anderweitig vorgeschriebener Löschfristen
  • Pseudonymisierung

5.6 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • WLAN mit WPA2
  • Gäste-WLAN
  • Am Standort München Nutzung des WLANs nur über registrierte Mac-Adresse
  • Elektronische Übertragung von Daten TLS-verschlüsselt
  • TLS-Verschlüsselung der E-Mail-Kommunikation
  • Keine Weitergabe von Daten auf physischem Weg
  • Vernichtung nicht mehr benötigter Datenträger durch Dienstleister (AV-Vertrag vorhanden)
  • Aktenvernichter an allen Standorten

5.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Regelmäßige Datensicherungen/Backup-Verfahren
  • Notfallplan für Datenschutzverletzungen
  • Klare Meldewege für Notfälle (sowohl IT-Notfall als auch Datenschutzverletzung) mit entsprechender Arbeitsanweisung
  • Automatische Benachrichtigung der IT-Administratoren bei Störungen des IT-Systems

5.8 Organisationskontrolle

Maßnahmen, die sicherstellen, dass die Mitarbeiter über die Anforderungen des Datenschutzes informiert sowie sensibilisiert sind und dass sie auf die Einhaltung des Datenschutzes verpflichtet werden. Außerdem fallen unter den Punkt der Organisation übergreifende Konzepte, in denen die Unternehmensleitung festlegt, wie es den Datenschutz im Unternehmen handhaben will.

  • Organisation der Umsetzung des Datenschutzes (Bestellung eines Datenschutzbeauftragten; interne Mitarbeiter, die den Datenschutzbeauftragten unterstützen)
  • Auditierung der internen Prozesse
  • Verpflichtung aller Mitarbeiter zur Vertraulichkeit
  • Datenschutzschulung
  • Verfahren zur Risikoabschätzung und zum Risikomanagement etabliert und dokumentiert
  • Zusatzvereinbarung zur Arbeit im Homeoffice/Mobile Office
  • Arbeitsanweisung zur Nutzung des dienstlichen Internetzugangs und des dienstlichen E-Mail-Accounts
  • Regelungen für die geschäftliche Nutzung von dienstlichen Smartphones
  • Arbeitsanweisung Betroffenenanfragen
  • Arbeitsanweisung sichere E-Mail-Kommunikation
  • Arbeitsanweisung Übersicht Umgang mit Datenschutzverletzungen
  • Arbeitsanweisung Verwendung von Datenträgern
  • Arbeitsanweisung Umgang mit Besuchern und externen Dienstleistern

5.9 Privacy by Default und Privacy by Design

„Privacy by Design“ bedeutet Datenschutz durch Technikgestaltung. Ziel soll es sein, dass bereits bei der Entwicklung von Verarbeitungsvorgängen geeignete technische Maßnahmen implementiert werden, um die geplanten Verarbeitungsvorgänge datenschutzkonform zu gestalten. „Privacy by Default“ meint datenschutzfreundliche Voreinstellungen. Das heißt, bereits die Werkeinstellungen eines Programms/einer Software sollen datenschutzfreundlich ausgestaltet sein. Hierdurch sollen vor allem die Daten der Nutzer geschützt werden.

  • Berücksichtigung der Möglichkeit, Verarbeitungsvorgänge datenschutzkonform zu gestalten, beim Einkauf von Software und bei der Entwicklung von Anwendungen
  • Vornahme datenschutzfreundlicher Voreinstellungen
  • Transparente Information der betroffenen Personen

5.10 Wirksamkeitskontrolle

Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen regelmäßig überprüft werden und funktionieren.

  • Regelmäßige Kontrollen der Wirksamkeit der eingesetzten technischen und organisatorischen Maßnahmen
  • Regelmäßige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Software und der Firewall
  • Penetrationstest