Bots & People product GmbH
Datenverarbeitungsbedingungen

Juli 2024

1. Allgemeines | Geltungsbereich

  1. Der Kunde hat Bots & People mit der Erbringung der im Dienstleistungsvertrag genannten Dienstleistungen beauftragt. Teil der Ausführung des Dienstleistungsvertrages ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 GDPR stellt besondere Anforderungen an eine solche Auftragsverarbeitung. Um diese Anforderungen zu erfüllen, vereinbaren die Parteien, dass diese Datenverarbeitungsbedingungen ("Datenverarbeitungsbedingungen") auf diese Verarbeitung Anwendung finden.
  2. Diese Datenverarbeitungsbedingungen ergänzen die Bots & People Bedingungen gemäß Ziffer 13.2 der Bedingungen.

2. Begriffsbestimmungen

  1. Gemäß Art. 4 (7) DSGVO ist der für die Verarbeitung Verantwortliche die Stelle, die allein oder gemeinsam mit anderen für die Verarbeitung Verantwortlichen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  2. Gemäß Art. 4 (8) DSGVO ist ein Datenverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
  3. Gemäß Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  4. Personenbezogene Daten, die einen besonderen Schutz erfordern, sind personenbezogene Daten gemäß Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Person hervorgehen, personenbezogene Daten gemäß Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, sowie genetische Daten gemäß Art. 4 (13) GDPR, biometrische Daten gemäß Art. 4 (14) GDPR, Gesundheitsdaten gemäß Art. 4 (15) GDPR und Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.
  5. Gemäß Artikel 4 (2) DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, das Ordnen, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.
  6. Gemäß Artikel 4 (21) DSGVO ist die Aufsichtsbehörde eine unabhängige staatliche Stelle, die von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtet wurde.

3. Allgemeine Bestimmungen

  1. Bots & People die im Dienstleistungsvertrag genannten Dienstleistungen für den Kunden zu erbringen. Dabei erhält Bots & People Zugang zu personenbezogenen Daten, die Bots & People als Auftragsverarbeiter für den Kunden verarbeitet, der als Verantwortlicher ausschließlich im Namen und nach den Anweisungen des Kunden handelt. Umfang und Zweck der Datenverarbeitung durch Bots & People ergeben sich aus dem Dienstleistungsvertrag und den dazugehörigen Leistungsbeschreibungen. Der Kunde ist für die Beurteilung der Zulässigkeit der Datenverarbeitung verantwortlich.
  2. Zweck dieser Datenverarbeitungsbedingungen ist die Festlegung der gegenseitigen datenschutzrechtlichen Rechte und Pflichten. Im Zweifelsfall haben die Bestimmungen dieser Datenverarbeitungsbedingungen Vorrang vor den Bestimmungen des Dienstleistungsvertrags.
  3. Die Bestimmungen dieser Datenverarbeitungsbedingungen gelten für alle Tätigkeiten im Zusammenhang mit dem Dienstleistungsvertrag, bei denen Bots & People und seine Mitarbeiter oder von Bots & People beauftragte Personen mit personenbezogenen Daten, die vom Kunden stammen oder für den Kunden erhoben wurden, in Berührung kommen.

4. Recht auf Unterweisung

  1. Bots & People darf Daten nur im Rahmen des Dienstleistungsvertrages und nach den Weisungen des Kunden erheben, verarbeiten oder nutzen; dies gilt insbesondere für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Soweit Bots & People nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem sie unterliegt, zur Weiterverarbeitung verpflichtet ist, wird sie den Kunden vor der Verarbeitung auf diese rechtlichen Anforderungen hinweisen.
  2. Die Weisungen des Auftraggebers werden zunächst durch diese Datenverarbeitungsbedingungen bestimmt. Sie können danach vom Kunden in Schrift- oder Textform durch Einzelweisungen (Einzelweisungen) geändert, ergänzt oder ersetzt werden. Der Kunde ist berechtigt, solche Weisungen jederzeit zu erteilen. Dazu gehören auch Weisungen hinsichtlich der Berichtigung, Löschung und Sperrung von Daten. 
  3. Alle Anweisungen des Kunden in Bezug auf die Verarbeitung von Daten, die Gegenstand dieser Vereinbarung und des Dienstleistungsvertrags sind, müssen an Bots & People per E-Mail an operations@botsandpeople.com übermittelt werden . 
  4. Alle erteilten Anweisungen müssen vom Kunden dokumentiert werden. Anweisungen, die über den im Dienstleistungsvertrag vereinbarten Dienst hinausgehen, werden als Antrag auf Änderung des Dienstes behandelt.
  5. Ist Bots & People der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, so teilt sie dies dem Auftraggeber unverzüglich mit. Bots & People ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird. Bots & People kann die Durchführung einer offensichtlich rechtswidrigen Weisung verweigern.

5. Arten der verarbeiteten Daten, Gruppe der betroffenen Personen

  1. Im Rahmen der Durchführung des Dienstleistungsvertrags hat Bots & People Zugriff auf die in Anlage 1 näher bezeichneten personenbezogenen Daten. 
  2. Die Kategorie der von der Datenverarbeitung betroffenen Personen ist in Anlage 1 aufgeführt.

6. Schutzmaßnahmen von Bots & People

  1. Bots & People verpflichtet sich, die gesetzlichen Bestimmungen zum Datenschutz zu beachten und die aus dem Bereich des Auftraggebers gewonnenen Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind unter Berücksichtigung des Standes der Technik gegen die Kenntnisnahme Unbefugter zu sichern.
  2. Bots & People organisiert die interne Organisation in seinem Verantwortungsbereich so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Anlage 2 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Kunden gemäß Art. 32 DSGVO getroffen, die der Kunde als angemessen anerkennt. Bots & People behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern und dabei sicherzustellen, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  3. Den von Bots & People mit der Datenverarbeitung beauftragten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Bots & People wird alle von ihr mit der Verarbeitung und Durchführung des Dienstleistungsvertrages betrauten Personen ("Mitarbeiter") entsprechend verpflichten (Verschwiegenheitspflicht, Art. 28 (3) lit. b GDPR) und stellt die Einhaltung dieser Datenverarbeitungsbedingungen mit der gebotenen Sorgfalt sicher.

Bots & People hat einen Datenschutzbeauftragten bestellt. Bots & PeopleDer Datenschutzbeauftragte der heyData GmbH, Kantstraße 99, 10627 Berlin, Deutschland, datenschutz@heydata.eu, www.heydata.eu.

7. Informationsverpflichtungen der Bots & People

  1. Bei Störungen, vermuteten Datenschutzverletzungen oder Verstößen gegen vertragliche Pflichten von Bots & People, vermuteten sicherheitsrelevanten Vorfällen oder sonstigen Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch Bots & People, durch von ihr im Rahmen des Dienstleistungsvertrages eingesetzte Personen oder durch Dritte, informiert Bots & People den Auftraggeber unverzüglich. Gleiches gilt für Überprüfungen von Bots & People durch die Datenschutzaufsichtsbehörde. Die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten muss mindestens die folgenden Informationen enthalten:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der Anzahl der betroffenen Personen, der betroffenen Kategorien und der Anzahl der betroffenen personenbezogenen Datensätze;
    2. eine Beschreibung der von Bots & People ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes und gegebenenfalls Maßnahmen zur Abschwächung seiner möglichen nachteiligen Auswirkungen;
    3. eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
  1. Bots & People ergreift unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Abmilderung möglicher nachteiliger Folgen für die betroffenen Personen, unterrichtet den Kunden darüber und fordert weitere Anweisungen an.
  2. Darüber hinaus ist Bots & People verpflichtet, dem Kunden jederzeit Auskunft zu erteilen, soweit Daten des Kunden von einer Verletzung gemäß Ziffer 7.1 dieses Anhangs betroffen sind.
  3. Bots & People informiert den Kunden über alle wesentlichen Änderungen der Sicherheitsmaßnahmen gemäß Ziffer 6.2 dieses Anhangs.

8. Kontrollrechte des Kunden

  1. Der Kunde kann sich vor Beginn der Datenverarbeitung und danach regelmäßig jährlich von den technischen und organisatorischen Maßnahmen von Bots & People überzeugen. Zu diesem Zweck kann der Kunde z.B. Auskünfte bei Bots & People einholen, vorhandene Bescheinigungen von Sachverständigen, Zertifizierungen oder interne Audits einholen oder nach rechtzeitiger Abstimmung die technischen und organisatorischen Maßnahmen von Bots & People während der üblichen Geschäftszeiten persönlich besichtigen oder durch einen fachkundigen Dritten besichtigen lassen, sofern der Dritte nicht in einem Wettbewerbsverhältnis zu Bots & People steht. Der Kunde wird die Kontrollen nur in dem erforderlichen Umfang durchführen und dabei den Betrieb von Bots & People nicht unverhältnismäßig stören.
  2. Der Kunde trägt alle Kosten im Zusammenhang mit vom Kunden veranlassten Datenverarbeitungskontrollen und Audits.
  3. Bots & People verpflichtet sich, dem Kunden auf dessen mündliche oder schriftliche Anfrage innerhalb einer angemessenen Frist alle Informationen und Nachweise zur Verfügung zu stellen, die zur Überprüfung der technischen und organisatorischen Maßnahmen von Bots & People erforderlich sind.
  4. Der Kunde wird die Ergebnisse der Prüfung dokumentieren und Bots & People darüber informieren. Im Falle von Fehlern oder Unregelmäßigkeiten, die der Kunde insbesondere bei der Kontrolle der Kontrollergebnisse feststellt, wird er Bots & People unverzüglich informieren. Werden bei der Kontrolle Tatsachen festgestellt, deren künftige Vermeidung eine Änderung des beauftragten Verfahrens erfordert, wird der Kunde Bots & People unverzüglich über die erforderlichen Verfahrensänderungen informieren.

9. Einsatz von Unterauftragsverarbeitern

  1. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 3 genannten Dienstleister (die "Unterauftragsverarbeiter") erbracht. Der Kunde erteilt Bots & People seine allgemeine Ermächtigung im Sinne von Art. 28 Abs. 2 S. 1 DSGVO, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverarbeiter einzuschalten oder bereits eingeschaltete Unterauftragsverarbeiter zu ersetzen.
  2. Bots & People informiert den Kunden vorab per E-Mail-Newsletter über jede beabsichtigte Änderung hinsichtlich der Einschaltung oder des Austauschs eines Unterauftragsverarbeiters. Den E-Mail-Newsletter erhält der Kunde, nachdem er eine E-Mail mit dem Betreff "Subscribe" an operations@botsandpeople.com gesendet hat. 
  3. Der Widerspruch gegen die beabsichtigte Einschaltung oder Ersetzung eines Unterauftragsverarbeiters muss innerhalb von 2 Wochen nach Versendung der Information im E-Mail-Newsletter erhoben werden. Erfolgt kein Widerspruch, gilt die Einschaltung oder Ersetzung als genehmigt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und kann keine einvernehmliche Lösung zwischen dem Kunden und Bots & People gefunden werden, so hat der Kunde ein Sonderkündigungsrecht zum Ende des auf den Widerspruch folgenden Monats.
  4. Bei der Beauftragung von Unterauftragsverarbeitern hat Bots & People diese gemäß den Bestimmungen dieser Datenverarbeitungsbedingungen zu verpflichten. 
  5. Ein Unterauftragsverarbeitungsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn Bots & People Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versanddienstleistungen, Reinigungsdienstleistungen, Telekommunikationsdienstleistungen ohne konkreten Bezug zu den von Bots & People für den Kunden erbrachten Dienstleistungen und Bewachungsdienstleistungen. Wartungs- und Prüfdienstleistungen stellen zustimmungspflichtige Unterauftragsverhältnisse dar, soweit sie für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Dienstleistungen für den Kunden genutzt werden.

10. Ersuchen und Rechte der betroffenen Personen

  1. Bots & People unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten nach den Artikeln 12 bis 22 und 32 bis 36 DSGVO.
  2. Macht eine betroffene Person Rechte wie das Recht auf Auskunft, Berichtigung oder Löschung in Bezug auf ihre personenbezogenen Daten direkt gegenüber Bots & People geltend, so reagiert dieser nicht eigenständig, sondern verweist die betroffene Person an den Kunden und wartet dessen Anweisungen ab.‍

11. Beendigung des Dienstleistungsvertrags

  1. Nach Beendigung des Dienstleistungsvertrages wird Bots & People alle ihr überlassenen Unterlagen, Daten und Datenträger an den Kunden zurückgeben oder - auf Verlangen des Kunden, soweit nicht nach Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Aufbewahrung der personenbezogenen Daten besteht - löschen. Dies gilt auch für etwaige Datensicherungen bei Bots & People. Bots & People hat auf Verlangen einen Nachweis über die ordnungsgemäße Löschung der Daten zu erbringen.
  2. Der Kunde hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten unter Bots & People in geeigneter Weise zu kontrollieren.
  3. Bots & People ist verpflichtet, die ihr im Zusammenhang mit dem Dienstleistungsvertrag bekannt gewordenen Daten auch über die Beendigung des Dienstleistungsvertrages hinaus vertraulich zu behandeln. Diese Datenverarbeitungsbedingungen gelten über das Ende des Dienstleistungsvertrages hinaus, solange Bots & People über personenbezogene Daten verfügt, die ihr vom Kunden übermittelt wurden oder die sie für den Kunden erhoben hat.

Anlage 1: BESCHREIBUNG DER TYPEN UND KATEGORIEN VON DATEN UND KATEGORIEN VON DATENSUBJEKTEN

Arten von personenbezogenen Daten:

  • Benutzerdaten: Name, geschäftliche E-Mail-Adresse, Benutzername, Passwort, alphanumerische Kennung, Zugriffsstufe und Systemrolle Profilbild (falls vorhanden, freiwillig)
  • Inhalt: Meeting-Inhalte: Video, Audio, Bilder, Chat, Text, Aufzeichnungen, Transkriptionen, interaktive Kartenantworten, Dateien, Kalenderdaten
  • Suchanfragen: Eingereichte Suchanfragen
  • Fortschritte der Lernenden: Zeit, Abschlussdaten, Fortschritt, Kurs- und Pfadzuweisungen, Favoriten
  • Gerät: Browsertyp, IP-Adresse, Betriebssystem, Standort, Gerätetyp, MAC-Adresse
  • Aktivität: Ereignisprotokolle (z. B. durchgeführte Aktion, Ereignistyp, Ereignisort, Zeitstempel, Client UUID, Benutzer-ID und Kanal-ID)
  • Cookies: Sitzungsinformationen (z. B. Häufigkeit, durchschnittliche und tatsächliche Dauer, Quantität, Qualität, Netzwerkaktivität und Netzwerkkonnektivität)

Kategorien von betroffenen Personen:
Mitarbeiter des Kunden (Lernende/Nutzer)

Bots & People wird die Daten wie folgt verarbeiten:

  • das Learning-Hub-Konto des Lernenden zu erstellen und zu pflegen, damit dieser jederzeit seine Lernfortschritte verfolgen, sich für neue Lernreisen anmelden und an interaktiven Online-Live-Sitzungen teilnehmen kann 
  • um die Erfahrung des Nutzers auf dem Learning Hub zu personalisieren 
  • dem Nutzer/Lernenden Kalendereinladungen, Bestätigungs- und Erinnerungs-E-Mails zu senden, wenn er sich für eine Lernreise oder eine Live-Sitzung auf dem Bots & People Learning Hub anmeldet
  • den Nutzern gelegentlich E-Mails mit Rückmeldungen/Zufriedenheitsbewertungen zu senden, in denen sie den Dienst Bots & People freiwillig und anonym bewerten können 
  • Beantwortung von Support-Anfragen, wenn Lernende diese proaktiv an support@botsandpeople.com richten.
  • auf Anfrage des Kunden/Endnutzers (Lernenden) an support@botsandpeople.com, alle gespeicherten Daten über den Lernenden zu löschen

Anlage 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN ZUR SICHERHEIT DER DATEN

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN  

1. Einleitung 

1.1. Controller und Prozessor

Verantwortlicher im Sinne von Art. 4 (7) EU-Datenschutzgrundverordnung (DSGVO) ist der Kunde. Der Auftragsverarbeiter ist Bots & People, eingetragen als Bots & People Product GmbH, Schlesische Str. 29, 10997 Berlin, Deutschland, E-Mail: operations@botsandpeople.com. Gesetzlich vertreten durch Nico Bitzer, Oliver Bohr. 

1.2. Datenschutzbeauftragter 

Unser Datenschutzbeauftragter ist die heyData GmbH, Schützenstr. 5, 10117 Berlin, www.heydata.eu, E-Mail: datenschutz@heydata.eu.  

1.3. Gegenstand des Dokuments 

Dieses Dokument fasst die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters im Sinne von Artikel 32 (1) DSGVO zusammen. Dies sind Maßnahmen, mit denen der Auftragsverarbeiter personenbezogene Daten schützt. Zweck des Dokuments ist es, den Auftragsverarbeiter bei der Erfüllung seiner Rechenschaftspflichten gemäß Art. 5 (2) GDPR ZU UNTERSTÜTZEN.  

2. Vertraulichkeit (Art. 32 (1)(b) GDPR) 

2.1. Einreisekontrolle 

Die folgenden Maßnahmen verhindern, dass sich Unbefugte Zugang zu den Datenverarbeitungsanlagen verschaffen können: 

  • Chipkarten-/Transponder-Schließsystem 
  • Schlüsselverordnung / Schlüsselbuch 
  • Besucher nur in Begleitung von Personal
     
2.2. Einlasskontrolle 

Die folgenden Maßnahmen verhindern den Zugriff Unbefugter auf die Datenverarbeitungssysteme: 

  • Authentifizierung mit Benutzer und Passwort 
  • Verwendung von Antiviren-Software 
  • Verwaltung von Benutzerberechtigungen 
  • Erstellung von Benutzerprofilen 
  • Zentrale Passwortregeln 
  • Verwendung der 2-Faktor-Authentifizierung 
  • Schlüsselkontrolle / Schlüsselbuch
     
2.3. Zugangskontrolle 

Die folgenden Maßnahmen stellen sicher, dass Unbefugte keinen Zugang zu personenbezogenen Daten haben: 

  • Verwendung eines Berechtigungskonzepts 
  • Die Anzahl der Administratoren wird so gering wie möglich gehalten. 
  • Verwaltung von Benutzerrechten durch Systemadministratoren

4. Verfügbarkeit und Belastbarkeit (Art. 32 (1) (b) GDPR) 

Die folgenden Maßnahmen gewährleisten, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind und dem Kunden jederzeit zur Verfügung stehen: 

  • Regelmäßige Backups 
  • Hosting (zumindest der wichtigsten Daten) bei einem professionellen Hoster
     

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32(1)(d) GDPR; Art. 25(1) DS-GVO) 

5.1. Datenschutz-Management 

Die folgenden Maßnahmen stellen sicher, dass eine Organisation vorhanden ist, die die grundlegenden Anforderungen des Datenschutzrechts erfüllt: 

  • Nutzung der heyData-Plattform für das Datenschutzmanagement 
  • Ernennung des Datenschutzbeauftragten heyData 
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis 
  • Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz 
  • Überblick über die Verarbeitungstätigkeiten behalten (Art. 30 DSGVO) 
  • Durchführung von Datenschutz-Folgenabschätzungen, falls erforderlich (Art. 35 DSGVO)
     
5.2. Vorfall-Reaktions-Management 

Die folgenden Maßnahmen sollen sicherstellen, dass bei Datenschutzverletzungen Meldeverfahren eingeleitet werden: 

  • Meldeverfahren für Datenschutzverletzungen gemäß Art. 4 Nr. 12 DS-GVO gegenüber Aufsichtsbehörden (Art. 33 DS-GVO) 
  • Verfahren zur Benachrichtigung bei Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO gegenüber den betroffenen Personen (Art. 34 DSGVO) 
  • Einschaltung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenpannen 
  • Verwendung von Antiviren-Software
     
5.3. Datenschutzfreundliche Standardeinstellungen (Art. 25 (2) GDPR) 

Die folgenden Maßnahmen tragen den Anforderungen der Grundsätze "Privacy by Design" und "Privacy by Default" Rechnung: 

  • Schulung der Mitarbeiter in "Privacy by design" und "Privacy by default". 
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
5.4. Überwachung bestellen 

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten nur gemäß den Anweisungen verarbeitet werden können: 

  • Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Datenverarbeitungsvertrag). 
  • Sicherstellung der Datenvernichtung nach Abschluss des Auftrags, z.B. durch Einfordern entsprechender Bestätigungen 
  • Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (normalerweise in der Datenverarbeitungsvereinbarung)
Anlage 3: LISTE DER UNTERVERARBEITER: Der Auftraggeber (für die Verarbeitung Verantwortlicher) hat den Einsatz der oben genannten Unterauftragsverarbeiter durch den Auftragsverarbeiter genehmigt