Famly Datenverarbeitungsvertrag
November 2018
Famly DSGVO Datenverarbeitungsvertrag

(im Folgenden: „Vertrag”)

zwischen
dem Kunden

(im Folgenden „Auftraggeber” und „Verantwortlichem“)

und
Famly ApS

Købmagergade 19, 2tv
1150 Kopenhagen K Dänemark
UST ID: 35 41 37 58
(nachfolgend „Famly“)

über die Verarbeitung personenbezogener Daten im Auftrag eines gemäß Art. 28 Abs. 3 der Datenschutzgrundverordnung (DSGVO) Verantwortlichen (im Folgenden: „Vereinbarung zur Auftragsverarbeitung“).

Präambel

Diese Anlage konkretisiert die Verpflichtung der Parteien zum Datenschutz, die sich aus der im Hauptvertrag (im Folgenden: „Vertrag“) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag im Zusammenhang stehen und bei denen Beschäftigte von Famly oder durch Famly Beauftragte personenbezogene Daten (im Folgenden: „Daten“) des Auftraggebers verarbeiten (im Folgenden: „Vertragsabwicklung“).

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Auftragsverarbeitung:

Art der Daten
Art und Zweck (Gegenstand) der Datenverarbeitung
Kategorien betroffener Personen
Rahmendaten
Zur Sicherstellung, dass der Auftraggeber alle relevanten Informationen über das Kind hat, um das Geschäft zu führen.
Kinder
Kontaktdaten
Zur Sicherstellung, dass die Eltern kontaktiert werden können.
Eltern
Finanzinformation
Rechnungen an die Eltern und möglicherweise Bankkontodaten, um den Kunden in die Lage zu versetzen, seine Kunden zu bedienen.
Eltern
Anwesenheitsdaten
Um Anwesenheitsdaten zu
speichern und Anwesenheitsberichte zu erstellen.
Kinder
Aktivitätsdaten
Um die Aktivitäten des Kindes digital verfolgen zu können, z.B, Schlafen, Ausflüge, Essen.
Kinder
Kontaktdaten
Um Aufzeichnungen über die
Mitarbeiter zu führen und diese kontaktieren zu können.
Mitarbeiter
Anwesenheitsdaten
Um Anwesenheitsdaten zu
speichern und Anwesenheitsberichte zu erstellen.
Mitarbeiter

Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.

§ 2 Anwendungsbereich und Verantwortlichkeit
  1. Famly verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an Famly sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).
  2. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die von Famly Famly DSGVO Datenverarbeitungsvertrag T-Systems v2.1 Seite 3 von 13 bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen
§ 3 Pflichten von Famly
  1. Famly darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Famly informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass seine Weisung gegen anwendbare Gesetze verstößt. Famly darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
  2. Famly wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DSGVO) genügen. Famly hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind die technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt Famly vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  3. Famly unterstützt den Auftraggeber, soweit dies für Famly zumutbar ist und nur dann, wenn der Auftraggeber dies nicht ohne die Hilfe von Famly tun kann, bei der Erfüllung der Anfragen und Ansprüche der betroffenen Personen gemäß Kapitel 3 der DSGVO sowie bei der Einhaltung der in Artt. 33 bis 36 genannten Pflichten. (sofern diese Unterstützung nicht zu einer Verletzung der Vertraulichkeitsverpflichtungen von Famly gegenüber Dritten führt).
  4. Famly gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für Famly tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet Famly, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  5. Famly unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Famly trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
  6. Famly nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Famly DSGVO Datenverarbeitungsvertrag T-Systems v2.1 Seite 4 von 13
  7. Famly gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
  8. Famly berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt Famly die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe; Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.
  9. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
  10. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich Famly, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
  1. Der Auftraggeber hat Famly unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen von Famly Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  2. Im Falle einer Inanspruchnahme von Famly durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO gilt der oben stehende § 3 Abs. 10 entsprechend.
  3. Der Auftraggeber nennt Famly den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
§ 5 Anfragen betroffener Personen
  1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an Famly, wird Famly die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Famly leitet den Auftrag der betroffenen Person unverzüglich an den Auftraggeber weiter. , Soweit vereinbart, unterstützt Famly den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung. Famly haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 6 Überprüfung (Audit) und Nachweismöglichkeiten
  1. Famly wird regelmäßig die Sicherheit der Computer und der Computerumgebung überprüfen, die es bei der Verarbeitung der personenbezogenen Daten des Kunden bei der Erbringung Leistungen nach dem Vertrag verwendet. Famly dokumentiert die Einhaltung der in diesem Datenverarbeitungsvertrag vereinbarten technischen und organisatorischen Maßnahmen durch sachgerechte Verfahren.
  2. Auf schriftliches Verlangen des Auftraggebers wird Famly diesem eine vertrauliche Zusammenfassung der Ergebnisse dieser Überprüfung („Summary Report“) zur Verfügung stellen, damit der Kunde die Einhaltung der Sicherheitsverpflichtungen aus dem Datenverarbeitungsvertrag durch Famly nachvollziehen kann. Der Summary Report ist eine vertrauliche Information von Famly.
  3. Der Auftraggeber verpflichtet sich, sein Auditrecht auszuüben, indem er Famly anweist, die Prüfung gemäß Ziffer 6.2 dieser Vereinbarung zur Auftragsverarbeitung durchzuführen. Hält der Auftraggeber eine Vor-Ort-Inspektion für notwendig, um die Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall zu überprüfen, hat der Auftraggeber auch das Recht, im Einzelfall solche Vor-Ort-Inspektionen durchzuführen oder durch einen Prüfer (welcher kein Wettbewerber von Famly ist) durchführen zu lassen, sofern die Überprüfungen und Vor-Ort-Inspektionen durchgeführt werden (i) während der üblichen Geschäftszeiten, (ii) ohne Beeinträchtigung der Geschäftstätigkeit von Famly, (iii) nach vorheriger Ankündigung (unter Einhaltung einer angemessenen Ankündigungsfrist) und Rücksprache mit Famly, (iv) vorbehaltlich (sofern nicht bereits durch den Vertrag abgedeckt) der Einhaltung der Vertraulichkeitsverpflichtung, insbesondere zum Schutz der Vertraulichkeit der eingesetzten technischen und organisatorischen Maßnahmen und Sicherheitsvorkehrungen.
  4. Im Falle einer Vor-Ort-Inspektion trägt der Auftraggeber seine eigenen Kosten und ersetzt Famly die Kosten, welche durch diese Überprüfung anfallen (nach Aufwand basierend auf Zeit und Material gemäß der jeweils geltenden Preise); letzteres nur dann, wenn die Prüfung nicht ergibt, dass Famly tatsächlich gegen die Verpflichtungen aus diesem Vertrag verstoßen hat (im Falle eines Verstoßen wird Famly den Verstoß unverzüglich auf eigene Kosten beheben).
§ 7 Subunternehmer (weitere Auftragsverarbeiter)
  1. Der Einsatz von Subunternehmern als weitere Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat
  2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn Famly weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Famly wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutzund Informationssicherheitsmaßnahmen zu gewährleisten. Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:
Vereinbarte weitere Auftragsverarbeiter
Name des Subunternehmers:
T-Systems International GmbH
Ort der Auftragsverarbeitung/Server:
Frankfurt am Main, Deutschland
Kurzbeschreibung der Subunternehmerleistung:
Hosten der Lösung
Vereinbarte weitere Auftragsverarbeiter
Name des Subunternehmers:
SMTP.dk ApS
Ort der Auftragsverarbeitung/Server:
Glostrup, Dänemark
Kurzbeschreibung der Subunternehmerleistung:
Versenden von Benachrichtigungs-E-Mails

Famly wird den Auftraggeber vor dem Einsatz neuer oder dem Austausch von Subunternehmern mindestens dreißig (30) Tage vorher hierüber informieren. Der Auftraggeber ist berechtigt, einer von Famly mitgeteilten Änderung innerhalb von zehn (10) Tagen nach Erhalt der Mitteilung schriftlich aus angemessenen Gründen zu widersprechen. Famly wird die Einwendungen des Auftraggebers auswerten und mit diesem mögliche Lösungen besprechen. Wenn diese Lösungen vernünftigerweise nach Ermessen von Famly nicht möglich sind und der Auftraggeber der Änderung weiterhin nicht zustimmt (die Zustimmung darf nicht aus unangemessenen Gründen verweigert werden), kann der Auftraggeber den Vertrag mit einer Frist von vierzehn (14) Tagen nach Erhalt der vorgenannten Entscheidung von Famly schriftlich kündigen. Kündigt der Auftraggeber den Vertrag nicht innerhalb dieser Frist, so gilt der weitere Auftragsverarbeiter als vom Auftraggeber akzeptiert. Der Auftraggeber erhält eine Rückerstattung der vorausbezahlten Gebühren für den Zeitraum nach dem Wirksamwerden der Kündigung für die gekündigten Dienste. Weitere Ansprüche des Auftraggebers gegen Famly und von Famly gegen den Auftraggeber bestehen auf Grund einer solchen Kündigung nicht.

Der Auftragnehmer ist damit einverstanden, dass ein Austausch eines Subunternehmers erforderlich sein kann, wenn der Grund für die Änderung außerhalb der sinnvollen Kontrolle von Famly liegt (sog. Notfallersatz). Famly wird den Kunden entsprechend informieren. Widerspricht der Kunde dem Einsatz eines solchen Subunternehmers, kann er von seinem Recht zur Kündigung des Vertrages wie im obigen Abschnitt Gebrauch machen.

  1. Erteilt Famly Aufträge an Subunternehmer, so obliegt es Famly, dass seine datenschutzrechtlichen Pflichten aus dem Vertrag und dieser Vereinbarung zur Auftragsverarbeitung bei Unterbeauftragungen gültig und bindend sind.
  2. Zur Vermeidung von Unklarheiten gelten die Genehmigungserfordernisse dieser Vereinbarung zur Auftragsverarbeitung nicht, wenn Famly oder eines seiner Subunternehmer Nebenleistungen/Hilfsleistungen von Dritten in Auftrag gibt, die nicht spezifisch für Erbringung der Leistungen des Vertrages sind. Zu diesen Nebenleistungen gehören beispielsweise (aber nicht ausschließlich) allgemeine Infrastrukturdienste oder Gebäudemanagement-Dienstleistungen. Famly und der Subunternehmer schließen jedoch mit dem Dritten etwaige erforderliche Vereinbarungen ab, um zu gewährleisten, dass die geltenden Datenschutzstandards eingehalten werden.
§ 8 Informationspflichten, Schriftformerfordernis, Rechtswahl
  1. Sollten die Daten des Auftraggebers bei Famly durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat Famly den Auftraggeber unverzüglich darüber zu informieren. Famly wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der Datenschutzgrundverordnung liegen.
  2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen von Famly – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Famly DSGVO Datenverarbeitungsvertrag T-Systems v2.1 Seite 7 von 13 Form (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Erfordernis.
  3. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht
  4. Es gilt deutsches Recht.
  5. Famly hat folgenden Datenschutzbeauftragten (DSB) benannt

Name: Christian Harrington
E-Mail: security@famly.co
Telefon: +49 (0) 30 8878 9707 oder +44 (0) 20 3514 4069

§ 9 Haftung und Schadensersatz
  1. Die im Vertrag enthaltenen Regelungen zur Haftung der Parteien gelten auch für die Zwecke der Vertragsabwicklung, soweit nicht ausdrücklich etwas anderes vereinbart ist.
Anhang zu den technischen und organisatorischen Maßnahmen nach Artikel 32 der DSGVO

Die technischen und organisatorischen Sicherheitsmaßnahmen, die Famly getroffen hat, um unrechtmäßige Vernichtung, Änderung, Offenlegung, Zugriff oder andere unrechtmäßige Formen der Verarbeitung der vom Auftraggeber an Famly übermittelten Informationen zu verhindern, einschließlich der Folgenden:

1. Vertraulichkeit (Artikel 32 Absatz 1 lit. b DSGVO)

Physische Zugangskontrolle

Unbefugter Zugriff (im physischen Sinn) ist zu verhindern.
Technische und organisatorische Maßnahmen zur Zugangskontrolle zu Räumen und
Einrichtungen, insbesondere zur Berechtigungsprüfung:

  • Die Bürogebäude von Famly sind mit Brandmeldeanlagen sowie elektronischen Sicherheitsund Überwachungseinrichtungen geschützt. Es werden keine Kundendaten in den Büros gelagert oder auf Mitarbeitercomputern gespeichert. Alle Daten werden von den Büros von Famly über sichere, verschlüsselte Verbindungen mit dem Rechenzentrum abgerufen.
  • Die von Famly genutzten Rechenzentren sind auf dem neuesten Stand der Technik und nutzen innovative architektonische und technische Ansätze. Unser Anbieter verfügt über langjährige Erfahrung in der Planung, dem Bau und dem Betrieb von Großrechenzentren. Diese Erfahrung wurde auf die Plattform und die Infrastruktur übertragen. Rechenzentren sind in unscheinbaren Einrichtungen untergebracht. Der physische Zugang wird sowohl im Außenbereich als auch an den Gebäudeeingängen durch professionelles Sicherheitspersonal mit Videoüberwachung, Überwachungssystemen und anderen elektronischen Vorkehrungen streng kontrolliert. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-FaktorAuthentifizierung bestehen, bevor diese das Rechenzentrum betreten dürfen. Alle Besucher und Vertragspartner müssen sich ausweisen und werden von autorisiertem Personal angemeldet und dauerhaft begleitet. Alle physischen Zugriffe auf die Datenzentren werden routinemäßig protokolliert und geprüft.
  • Physische Medien: Physische Medien (z.B. Kopien), welche personenbezogene Daten aus der Famly-IT-Lösung enthalten, werden, solange sie nicht in Gebrauch sind und bis zum Zeitpunkt ihrer Vernichtung, in verschlossenen Schränken aufbewahrt.

Elektronische Zugangskontrolle

Unbefugter Zugriff auf die IT-Systeme ist zu verhindern.
Technische (ID-/Passwortsicherheit) und organisatorische (Benutzerdaten-stamm) Maßnahmen zur Benutzeridentifikation und –authentifizierung:

  • Firewalls: Es werden aktualisierte Firewalls eingesetzt, um das Netzwerk im Büro von Famly vor unberechtigtem Zugriff zu schützen. Die gleichen Standards werden auch in der Firmenzentrale implementiert, wo Firewalls sowie andere technische Methoden angewendet werden, um die Zentrale vor unberechtigtem Zugriff zu schützen. Famly DSGVO Datenverarbeitungsvertrag T-Systems v2.1 Seite 9 von 13
  • Anti-Virus/Anti-Malware: IT-Geräte, welche von Famly für den Zugriff auf die IT-Lösung verwendet werden, einschließlich der Server, sind, soweit möglich und erforderlich, mit aktualisierter Anti-Viren-und Anti-Malware-Software geschützt.
  • Verschlüsselung: Bei der Datenübertragung innerhalb der IT-Lösung von Famly über öffentliche Kommunikationsverbindungen, auch beim Zugriff der Benutzer auf die ITLösung, wird eine sichere Verschlüsselung angewendet, welche auf allgemein anerkannten Algorithmen basiert, die mindestens SSL 256bit entsprechen. Alle WifiVerbindungen, die im Famly-Büro und in der Zentrale verwendet werden, sind durch Verschlüsselung in Form von WPA2 oder besser gesichert.
  • Famly’s Fernzugriff: Greifen Mitarbeiter von Famly per Fernzugriff auf die IT-Lösung zu, werden diese Verbindungen durch Verschlüsselung, z.B. in Form von VPN, gesichert. Jeder Zugriff auf die IT-Systeme von Famly erfordert die Eingabe eines Benutzernamens und eines Passworts durch den jeweiligen Mitarbeiter. Famly erfüllt die Bedingungen dieser Datenverarbeitungsvereinbarung, unabhängig von der Nutzung des Fernzugriffs.
  • Famly’s Passwortrichtlinie: Mitarbeiter von Famly mit Zugriff auf die IT-Lösung unterliegen einer strengen Passwortpolitik. Passwörter müssen mindestens 10 Zeichen lang sein und Folgendes enthalten: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Mindestens alle 3 Monate müssen die Passwörter geändert werden. Passwörter dürfen keinerlei Namen oder Benutzernamen enthalten.

Interne Zugangskontrolle

Aktivitäten im IT-System, die nicht unter die zugewiesenen Zugriffsrechte fallen, sind zu verhindern.
Anforderungsgerechte Definition des Autorisierungskonzepts und der Zugriffsrechte sowie Überwachung und Protokollierung der Zugriffe:

a) Autorisierung

  • Alle Mitarbeiter von Famly, die Zugang zu personenbezogenen Daten haben, sind von Famly hierfür autorisiert. Diese Berechtigungen legen fest, welchem Mitarbeiter welche Art von Zugriff auf die personenbezogenen Daten und zu welchem Zweck gestattet ist. Den Mitarbeitern von Famly ist der Zugriff auf die personenbezogenen Daten des Kunden zu betrieblichen oder technischen Zwecken gestattet. Die Mitarbeiter von Famly haben keinen Zugriff auf personenbezogene Daten, die außerhalb ihrer Berechtigung liegen. Alle Zugriffe von Famly-Mitarbeitern auf personenbezogene Daten werden protokolliert.
  • Famly überprüft und aktualisiert die Berechtigungen der Mitarbeiter in regelmäßigen Abständen, mindestens jedoch halbjährlich. Die Berechtigungen werden angepasst oder entzogen, wenn ein Mitarbeiter seine Position oder den Verantwortungsbereich wechselt oder aus dem Unternehmen ausscheidet.
  • Die Mitarbeiter der Firmenzentrale sind ausschließlich dazu berechtigt, auf personenbezogene Daten für betriebliche Zwecke zuzugreifen. Solche Zugriffe werden protokolliert, vgl. Abschnitt „Protokollierung“. Diese Berechtigung wird entzogen, sobald diese nicht mehr ihrem Zweck entspricht.
  • Das IT-System von Famly ist so konfiguriert, dass der Auftraggeber seine Mitarbeiter nach Aufgabenbereichen autorisieren kann. Der Kunde vergibt die Mitarbeiter-Berechtigungen über das von Famly zur Verfügung gestellte Web-Modul. Anderen Nutzern des Systems ist Famly DSGVO Datenverarbeitungsvertrag T-Systems v2.1 Seite 10 von 13 zusätzlich eine Berechtigung zu gewähren, welche einen entsprechenden Zugang ermöglicht.
  • Alle Mitarbeiter von Famly, die Zugang zu personenbezogenen Daten haben, werden über diese Auftragsverarbeitung informiert und verpflichtet, deren Anforderungen zu erfüllen. Ohne Berechtigung besteht kein Zugriff auf personenbezogene Daten.
  • Alle Famly-Mitarbeiter, die Zugang zu personenbezogenen Daten haben, haben sich im Vorfeld der Tätigkeit einer Überprüfung anhand ihres Strafregisters unterzogen.

b) Login, Benutzername und Passwörter

  • Alle Mitarbeiter bei Famly und in der Firmenzentrale haben eindeutig zugeordnete Benutzernamen und Passwörter. Benutzernamen und Passwörter werden nach allgemein anerkannten Grundsätzen erstellt und geändert, ferner wird kein Benutzername innerhalb eines Zeitraumes von sechs Monaten seit der letzten Verwendung des Benutzernamens wiederverwendet. Sofern ein Famly-Mitarbeiter den ihm zugeordneten Benutzernamen innerhalb eines Zeitraumes von 3 Monaten nicht benutzt hat, wird dieser automatisch gesperrt.
  • Nach mehreren aufeinanderfolgenden, fehlgeschlagenen Anmeldeversuchen mit demselben Benutzernamen wird dieser gesperrt. Dies gilt sowohl für Mitarbeiter von Famly als auch für Kunden. Sofern die aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche von der gleichen IP-Adresse ausgehen, wird der Zugriff von dieser jeweils blockiert. Die Sperrung aufgrund der oben genannten Szenarien begründet keine Haftung gegenüber Famly. Sollte es zu einer Sperrung eines Famly-Mitarbeiterkontos kommen, wird Famly die Angelegenheit schnellstmöglich überprüfen.
  • Es ist nicht möglich, sich mit einem anonymen Benutzer- oder Gastkonto in die IT-Systeme von Famly einzuloggen.

c) Vertraulichkeit

  • Alle Mitarbeiter von Famly und der Firmenzentrale, die Zugang zu personenbezogenen Daten haben, unterliegen während ihres Beschäftigungsverhältnisses der Vertraulichkeit.
  • Die Vertraulichkeit wird über die Beendigung des Vertragsverhältnisses oder den Ablauf der Vertragslaufzeit mit dem Unterauftragnehmer hinaus gewahrt. Auch nach der Beendigung der Beschäftigung unterliegen die Mitarbeiter einer Verschwiegenheitspflicht.

Trennbarkeitskontrolle

Daten, welche für verschiedene Zwecke erhoben werden, sind getrennt zu verarbeiten.

Maßnahmen zur getrennten Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) von Daten für verschiedene Zwecke:

  • Datenspeicherung: Innerhalb der IT-Lösung von Famly werden alle Daten auf den Servern des Subunternehmers gespeichert. Die Daten des Auftraggebers werden logisch getrennt von den Daten anderer Kunden, für welche Famly die Datenverarbeitung durchführt. Alle Daten sind mit eindeutigen IDs versehen, welche erkennen lassen, zu welchem Endnutzer oder Auftraggeber die Daten gehören.
2. Integrität (Artikel 32 Absatz 1 lit. b DSGVO)

Datenübertragungskontrolle

Aspekte bei der Übertragung personenbezogener Daten müssen überprüft werden:
elektronische Übermittlung, Datenübertragung, Übertragungskontrolle.
Maßnahmen zur Übertragung, Übermittlung und Austausch oder Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur nachträglichen Prüfung:

  • IT-Speichermedien: Bei Recycling, Entsorgung, Reparatur oder Instandhaltung von Speichermedien, welche für personenbezogene Daten verwendet werden, wird sichergestellt, dass Dritte keinen Zugang zu Daten auf diesen Medien erhalten. Solche Sicherungsvorkehrungen werden entweder durch Verschlüsselung oder durch gründliches Löschen oder Überschreiben durchgeführt, um sicherzustellen, dass alle zuvor gespeicherten personenbezogenen Daten nicht mittels einer allgemein anerkannten Methode (z.B. DOD 5220-22-M) wiederhergestellt werden können.
  • Physische Medien: Alle physischen Medien, die personenbezogene Daten aus der IT-Lösung des Auftraggebers enthalten können (z.B. Ausdrucke), werden auf sichere Weise entsorgt, nachdem diese nicht mehr gebraucht werden. Dies kann durch Schreddern oder durch andere Mittel geschehen, die sicherstellen, dass der Zugriff auf personenbezogene Daten nicht möglich ist.
  • Virtuelles Privates Netz: Greifen Mitarbeiter von Famly auf die IT-Lösung zu, werden diese Verbindungen durch Verschlüsselung, beispielsweise in Form von VPN, gesichert. Jeder Zugriff erfordert die Registrierung via Benutzername und Passwort.
  • Elektronische Signatur: Famly verwendet 256-Bit-SSL-Zertifikate für die Authentifizierung von Famly gegenüber den Endnutzern.
  • Übertragungssicherheit: Famly verwendet durchgängig SSL-Verschlüsselung zwischen dem Endgerät und der Datenbank sowie bei den internen Dienstleistungen auf den Servern.

Dateneingabekontrolle

Die vollständige Dokumentation der Datenverwaltung und –pflege muss gewährleistet werden.
Maßnahmen zur nachträglichen Kontrolle, ob Daten erfasst, geändert oder entfernt (gelöscht) wurden und von wem:

  • Jeder Zugriff auf personenbezogene Daten im Zusammenhang mit der Nutzung der ITLösung von Famly wird automatisch protokolliert („Application Log“). Das Erfassen von Uhrzeit, Benutzername, Art der Anwendung und der betroffenen Person werden registriert. Dieses Protokoll wird mindestens sechs Monate aufbewahrt und nach maximal sieben Monaten gelöscht.
  • Der Auftraggeber kann auf besonderen Wunsch Zugang zum Application Log erhalten.
  • Sofern der Zugriff auf die IT-Lösung im Zusammenhang mit technischen Problemen wie z.B. Support, Fehlerkorrekturen oder anderen technischen Ursachen erfolgt, wird dieser Zugriff in speziellen Protokollen festgehalten. In Fällen, in denen die Nutzung der IT-Lösung von Famly der Nutzung durch andere Benutzer ähnelt, wird der Zugriff im Application Log protokolliert.
3. Verfügbarkeit und Belastbarkeit (Artikel 32 Absatz 1 lit) b und c DSGVO)

Verfügbarkeitskontrolle

Die Daten müssen vor unbeabsichtigter Zerstörung oder Verlust geschützt werden.
Maßnahmen zur Gewährleistung der Datensicherheit (physisch/logisch):

  • Feuer, Stromausfälle: Das Büro sowie die Zentrale von Famly sind in üblichem Maß gegen Feuer gesichert. Die Zentrale ist darüber hinaus so gesichert, dass der Betrieb auch bei Stromausfall eine gewisse Dauer fortgesetzt werden kann; zudem wurde ein Schutz gegen den Verlust der Kommunikationswege eingerichtet.
  • Backup: Famly sichert die in der Famly IT-Lösung gespeicherten Daten durch täglich mehrfache dauerhafte Sicherung. Das Backup wird als eine Mischung aus einem vollen Backup und inkrementellem Backup (wobei die Änderungen gespeichert werden) durchgeführt. Famly führt regelmäßig Restore-Tests von bereits abgeschlossenen Backups durch, um sicherzustellen, dass die Backup-Routinen wie vorgesehen funktionieren. Backups werden aus Sicherheitsgründen dupliziert und in einem anderen Rechenzentrum desselben Anbieters in demselben Land sowie derselben Region gespeichert.
  • Unterbrechungsfreie Stromversorgung (USV): Die Stromversorgungssysteme des Rechenzentrums sind vollständig redundant und wartungsfrei ausgelegt, 24 Stunden am Tag und sieben Tage in der Woche. Unterbrechungsfreie Stromversorgungseinheiten (USV) stellen bei einem Stromausfall eine Notstromversorgung für kritische und unverzichtbare Geräte in der Anlage bereit. Rechenzentren verwenden Generatoren, um die gesamte Anlage mit Strom zu versorgen.
  • Klima und Temperatur: Eine Klimatisierung ist erforderlich, um eine konstante Betriebstemperatur für Server und andere Hardware aufrechtzuerhalten, die eine Überhitzung verhindert und die Möglichkeit von Serviceausfällen reduziert. Rechenzentren sind so ausgestattet, dass sie für optimale Bedingungen sorgen. Personal und Systeme überwachen und kontrollieren Temperatur und Luftfeuchtigkeit. Elektrische, mechanische und funktionserhaltende Systeme und Geräte werden derart überwacht, so dass etwaige Probleme sofort identifiziert werden. Präventive Wartungen werden durchgeführt, um die Funktionsfähigkeit der Systeme aufrechtzuerhalten.

Schnelle Wiederherstellung

Im Falle eines Vorfalls hat Famly die Möglichkeit, den Zugang zu personenbezogenen Daten jederzeit wiederherzustellen, indem kürzlich gesicherte Dateien in den Produktionsumgebungen auf neu gestarteten Servern wiederhergestellt werden. Dies erfordert nur wenige Minuten, so dass eventuelle Ausfallzeiten minimiert werden.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Absatz 1 lit. d DSGVO; Artikel 25 Absatz 1 DSGVO)

Störungsmanagement (Incident Response Management)

Sicherheitsverletzungsverfahren

  • Stellt Famly eine Sicherheitsverletzung oder eine Bedrohung im Zusammenhang mit der IT-Lösung von Famly fest, wird Famly versuchen, den Verstoß bzw. die Bedrohung sowie den Umfang des Problems schnellstmöglich zu lokalisieren und zu identifizieren, den drohenden oder eingetretenen Schaden größtmöglich zu begrenzen, einen solchen Sicherheitsverstoß zukünftig zu verhindern und, soweit möglich, alle verlorenen Daten wiederherzustellen.
  • Im Falle eines Sicherheitsverstoßes, bei welchem Unbefugte Zugang zu den Daten des Auftraggebers erhalten oder bei dem ein Datenverlust eingetreten ist, wird Famly den Auftraggeber, wenn möglich, vgl. beispielsweise im Abschnitt „Verfahren“, schriftlich über den Verstoß informieren. Solche Benachrichtigungen sollen Informationen darüber enthalten, zu welchen Daten Famly unberechtigterweise Zugang erhalten hat, ob Famly besondere Vorkehrungen getroffen hat und ob der Kunde nach Einschätzung von Famly besondere Vorkehrungen zu treffen hat.

Auftrags- oder Vertragskontrolle

Famly hat marktübliche DSGVO-Auftragsverarbeitungsverträge mit Anbietern abgeschlossen, um die Bedingungen dieser Vereinbarung zur Auftragsverarbeitung einhalten zu können.

Überprüfung/Audit

Famly wird mindestens einmal pro Jahr durch einen externen Prüfer überprüfen lassen, ob die in dieser Vereinbarung zur Auftragsverarbeitung näher erläuterten Verfahren eingehalten werden.