Common use of Informationspflichten, Schriftformklausel, Rechtswahl Clause in Contracts

Informationspflichten, Schriftformklausel, Rechtswahl. Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle Dritten in diesem Zusammenhang unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegt. Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Gerichtsstand ist Stuttgart Anhang 1: Technisch-organisatorische Maßnahmen (TOM) / Sicherheitskonzept Folgende TOMs werden zwischen Auftraggeber und Auftragnehmer vereinbart Maßnahmen zur Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) ￮ Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, durch Einsatz von Magnet- oder Chipkarten, physikalischen Schlüsseln, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen sowie teilweise Videoanlagen zur Außenhautsicherung ￮ Zugangskontrolle Keine unbefugte Systembenutzung durch verbindliche Regelungen für sichere Kennwörter mit implementierter Prüfung von Mindeststandards, verbindliche Regelungen sowie implementierten, automatischen Mechanismen zur Sperrung der Arbeitsplatzrechner, Verschlüsselung von Datenträgern ￮ Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch festgelegte Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte inklusive deren Überprüfung. ￮ Trennungskontrolle Daten für die Wartung werden getrennt von allen anderen Daten des Auftragnehmers sowie getrennt je Mandant verwaltet. Maßnahmen zur Gewährleistung der Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ￮ Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch verschlüsseltes Netzwerk, Virtual Private Networks (VPN) ￮ Eingabekontrolle Es werden ausschließlich die vom Auftraggeber für den jeweiligen Support-Call im Rahmen der Wartung übergebenen Daten unverändert gespeichert. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) z. B. ￮ Verfügbarkeitskontrolle Unsere IT-Systeme und Netze sind über unterschiedliche Backup-Strategien sowie Firewalls, Virenschutz und Notfallszenarien gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt. ￮ Auftragskontrolle Wir verwenden die vom Auftraggeber übergebenen Daten ausschließlich zur Unterstützung der Fehlerfindung und Fehlerbehebung unserer Software. ￮ Belastbarkeit Systeme und Dienste (z.B. Speicher-, Zugriffs-, Leitungskapazitäten etc.) sind so ausgelegt, dass auch punktuelle hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen möglich sind Maßnahmen zur Pseudonymisierung personenbezogener Daten ￮ Soweit möglich übergibt der Auftraggeber anonymisierte oder pseudonymisierte Daten. Hinweise dazu befinden sich in den Handbüchern unserer Produkte. ￮ Die vom Auftraggeber übergebenen Daten werden nicht verändert (vgl. 2. Punkt Eingabekontrolle) und daher auch nicht weiter pseudonymisiert.

Informationspflichten, Schriftformklausel, Rechtswahl. 1. Sollten die personenbezogenen von der Datenverarbeitung betroffene Daten des Auftraggebers (vgl. 2.2) beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle Dritten in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „»Verantwortlicher“ « im Sinne der DSDatenschutz-GVO liegtGrundverordnung liegen. 2. Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 4. Es gilt das Recht der Bundesrepublik Deutschland. 5. Die Parteien vereinbaren als Gerichtsstand ist Stuttgart Anhang 1: Technisch-den Sitz des für Augsburg zuständigen Gerichts. Ort/Datum Ort/Datum Unterschrift Auftraggeber (Kunde) Unterschrift Auftragnehmer Anlage 1 - Technisch organisatorische Maßnahmen (TOM) / Sicherheitskonzept Folgende TOMs werden zwischen Auftraggeber Technische und Auftragnehmer vereinbart organisatorische Maßnahmen zur Gewährleistung der gemäß Art. 32 DS-GVO: Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) ￮ ● Zutrittskontrolle Kein unbefugter alle Rechenzentren: ○ Videoüberwachung im Innen und Aussenbereich ○ PIN-geschützte Zugangsbereiche ○ elektronisches Zutrittskontrollsystem ○ Alarmanlage LimTec Colocation Unterschleissheim: ○ Zutritt nur in Begleitung von autorisierten Fachpersonal e-shelter Rechenzentrum: ○ Zutrittskontrolle nach ISO-27001 und ISO-9001 zertifiziert Hetzner Rechenzentrum: ○ Zutrittskontrolle nach ISO-27001 zertifiziert ● Zugangskontrolle Managed-Server, Webhosting, Meetzi: ○ passwortgeschützter Benutzer-Zugang zu DatenverarbeitungsanlagenServer und Kundenmenü ○ Vergabe hinreichend langer Zufallspasswörter ○ Administrativer Zugriff nur für berechtigte Mitarbeiter vom Auftragnehmer Root-Server und Server im Eigentum des Auftraggebers: ○ Für die Einhaltung der Zugangskontrolle ist der Auftraggeber verantwortlich interne Systeme des Auftragnehmers (Infrastruktur, durch zentrale Dienste, Verwaltung): ○ Vergabe hinreichend langer Zufallspasswörter ○ Zugriff auf kritische Systeme über VPN ○ Einsatz von Magnet- Datenträgerverschlüsselung wo sinnvoll und erforderlich (z.B. mobile Datenträger) weitere Maßnahmen werden nach Bedarf eingesetzt, u.a. ○ Datenträgerverschlüsselung ○ BruteForce Detection mit automatischer Sperrung ○ Protokollierung der Zugriffe ● Zugriffskontrolle Managed-Server, Webhosting, Meetzi: ○ regelmäßige Sicherheitsupdates des Betriebssystems und der vom Auftraggeber verwalteten Software sofern diese über ein öffentliches Netz erreichbar sind ○ Erreichbarkeit nur über ein internes Netz, falls regelmäßige Sicherheitsupdates aufgrund von Kompatibilitäts- oder ChipkartenVerfügbarkeitsanforderungen nicht erfüllt werden können ○ für vom Auftraggeber übertragene und/oder verwaltete Software/Daten ist der Auftraggeber auch für deren Sicherheit und Updates zuständig Root-Server und Server im Eigentum des Auftraggebers: ○ Für die Einhaltung der Zugriffskontrolle ist der Auftraggeber verantwortlich interne Systeme des Auftragnehmers (Infrastruktur, physikalischen Schlüsselnzentrale Dienste, elektrische TüröffnerVerwaltung): ○ Betrieb in einem internen Netz (Zugriff via VPN) ○ Einsatz von zentralen Monitoring weitere Maßnahmen werden nach Bedarf eingesetzt, Werkschutz bzwu.a. Pförtner○ zentrales Monitoring ○ zentrales Ausbringen von Updates via Puppet ○ Vermeidung unberechtigter Zugriffe (Web Application Firewall, Alarmanlagen sowie DDOS-Blocker, Firewall, Proxy) ○ Detektion kompromittierter Kundenanwendungen (Virenscan, Prozessüberwachung) ● Trennungskontrolle Managed-Server, Webhosting, Meetzi: ○ physisch oder logische getrennte Produktiv- und Testsysteme ○ physisch oder logische Trennung von Daten ○ Datensicherung auf physisch oder logisch getrennte Systeme Root-Server und Server im Eigentum des Auftraggebers: ○ Für die Trennungskontrolle ist der Auftraggeber verantwortlich interne Systeme des Auftragnehmers (Infrastruktur, zentrale Dienste, Verwaltung): ○ physisch oder logische Trennung von Daten ○ Datensicherung auf physisch oder logisch getrennte Systeme ○ Projekt-/Aufgabenbezogener Mitarbeiter- oder Kundenzugriff weitere Maßnahmen werden nach Bedarf eingesetzt, u.a. ○ Trennung der Netze in verschiedene Sicherheitsbereiche (teilweise Videoanlagen zur Außenhautsicherung ￮ Zugangskontrolle Keine unbefugte Systembenutzung durch verbindliche Regelungen für sichere Kennwörter mit implementierter Prüfung von Mindeststandardsnur über VPN zugänglich) ○ Sandboxing oder Separierung mittels Virtualisierungstechnik ● Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Managed-Server, verbindliche Regelungen sowie implementiertenWebhosting, automatischen Mechanismen zur Sperrung der Arbeitsplatzrechner, Verschlüsselung von Datenträgern ￮ Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch festgelegte Berechtigungskonzepte Meetzi: ○ Zugriffslogs und bedarfsgerechte Zugriffsrechte inklusive deren Überprüfung. ￮ Trennungskontrolle Daten Statistiken werden anonymisiert gespeichert und nach 180 Tagen gelöscht ○ Der Auftraggeber ist für die Wartung werden getrennt Pseudonymisierung von allen anderen Daten Anwendungsdaten zuständig, sofern er eigene Anwendungen einsetzt. Root-Server und Server im Eigentum des Auftraggebers: ○ Der Auftraggeber ist für die Pseudonymisierung zuständig interne Systeme des Auftragnehmers sowie getrennt je Mandant verwaltet. Maßnahmen zur Gewährleistung (Infrastruktur, zentrale Dienste, Verwaltung): ○ Anonymisierung der Logs wo erforderlich Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ￮ ● Weitergabekontrolle Kein unbefugtes LesenManaged-Server, KopierenWebhosting, Verändern oder Entfernen bei elektronischer Meetzi: ○ verschlüsselte Datenübertragung (unterstützte Protokolle sind der Leistungsbeschreibung zu entnehmen, i.d.R. SSH, SCP, SFTP, HTTPS ) ○ verschlüsselte Übertragung oder Transport durch verschlüsseltes Netzwerk, Virtual Private Networks (VPN) ￮ Eingabekontrolle Es werden ausschließlich die vom Auftraggeber für den jeweiligen Supportvon Backups ○ Bereitstellung kostenloser Letsencrypt-Call Zertifikate Root-Server und Server im Rahmen Eigentum des Auftraggebers: ○ Der Auftraggeber ist für die Weitergabekontrolle zuständig interne Systeme des Auftragnehmers (Infrastruktur, zentrale Dienste, Verwaltung): ○ verschlüsselte Datenübertragung ○ verschlüsselte Übertragung von Backups ○ Mitarbeiter sind der Wartung übergebenen Einhaltung des Datenschutzes verpflichtet ○ Nutzung von VPN (nach Bedarf) ● Eingabekontrolle Managed-Server, Webhosting, Meetzi: ○ Änderungen der Daten unverändert gespeichertwerden protokolliert ○ Der Autraggeber ist für die Eingabekontrolle innerhalb seiner Anwendungen zuständig Root-Server und Server im Eigentum des Auftraggebers: ○ Der Auftraggeber ist für die Eingabekontrolle zuständig interne Systeme des Auftragnehmers (Infrastruktur, zentrale Dienste, Verwaltung): ○ Nutzer müssen sich vor Eingabe authentifizieren ○ Änderungen der Daten werden protokolliert weitere Maßnahmen werden nach Bedarf eingesetzt, u.a. Maßnahmen zur Gewährleistung der ○ Protokollierung von Änderungen über ein Versions-Management System ○ Protokollierung von Änderungen über ein Change-Management System Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) z. B. ￮ ● Verfügbarkeitskontrolle Unsere ITManaged-Systeme und Netze sind über unterschiedliche Server, Webhosting, Meetzi: ○ Backup-Strategien sowie FirewallsKonzept mit täglicher Sicherung (abhängig vom gewählten Tarif) ○ Einsatz von Schutzprogrammen (Web Application Firewall, Virenschutz DDOS-Blocker, Firewall, Proxy, Spam-Filter) Root-Server und Notfallszenarien gegen zufällige oder mutwillige Zerstörung bzwServer im Eigentum des Auftraggebers: ○ Die Datensicherung obliegt dem Auftraggeber interne Systeme des Auftragnehmers (Infrastruktur, zentrale Dienste, Verwaltung): ○ Backup-Konzept mit täglicher Sicherung ○ Einsatz von Schutzprogrammen (Web Application Firewall, DDOS-Blocker, Firewall, Proxy, Spam-Filter) weitere Maßnahmen werden nach Bedarf eingesetzt, u.a. Verlust geschützt○ zentrales Monitoring ○ Einsatz unterbrechungsfreier Stromversorgung und Netzersatzanlage ○ Einsatz redundanter Klimatechnik ○ Einsatz redundanter Netzanbindung ○ Einsatz von Festplattenspiegelung ○ Einsatz verteilter Speichertechnologien (DRBD, CEPH) ● Rasche Wiederherstellbarkeit (Art. ￮ 32 Abs. 1 lit. c DS-GVO); ○ Möglichkeit zur schnellen Verlagerung von Servern und Diensten an einem anderen Rechenzentrums-Standort (internes Netz über zwei Standorte) ○ Möglichkeit zur Live-Migration virtualisierter Server auf andere Hostsysteme ○ Einsatz von Fallback-Hardware für die Wiederinbetriebnahme bei Hardwareproblemen ○ Maßnahmen zum schnellen Bereitstellen neuer Server (u.a. automatisierte Installation via Puppet und Vereinheitlichung von Systemimages) ○ schneller Zugriff auf Backupdaten durch Snapshots Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) ● Datenschutz-Management ○ Einführung eines Datenschutz-Management-Systems ● Incident-Response-Management ○ Ticket-System für Fehlerreporting ○ zentrales Monitoringsystem ○ Notfallhotline ● Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO); Datenschutzfreundliche Voreinstellungen sind wesentlicher Bestandteil aller internen Softwareentwicklungen. abhängig vom gewählten Tarif: ○ Anonymisierung von IP-Adressen voreingestellt ○ Standardmäßig aktivierte Sicherheitsfunktionen (Web Application Firewall, DDOS-Blocker, Firewall, Viren-Scanner und Spam-Filter) ○ kostenlose Letsencrypt SSL-Zertifikate ● Auftragskontrolle Wir verwenden die vom Auftraggeber übergebenen Daten ausschließlich zur Unterstützung ○ Xxxxx Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, durch eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen. Anlage 2: Liste der Fehlerfindung Unterauftragnehmer Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte und Fehlerbehebung unserer Softwareder erbrachten Leistungen: 1. ￮ Belastbarkeit Systeme und Dienste (z.B. Speicher-SaSG GmbH & Co. KG Xxxxxxxxxxxx 00, Zugriffs-, Leitungskapazitäten etc.) sind so ausgelegt, dass auch punktuelle hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen möglich sind Maßnahmen zur Pseudonymisierung personenbezogener Daten ￮ Soweit möglich übergibt der Auftraggeber anonymisierte oder pseudonymisierte Daten. Hinweise dazu befinden sich in den Handbüchern unserer Produkte. ￮ Die vom Auftraggeber übergebenen Daten werden nicht verändert (vgl. X-00000 Xxxxxxxx 2. Punkt EingabekontrolleNTT Global Data Centers EMEA GmbH (früher e-shelter services GmbH) und daher auch nicht weiter pseudonymisiert.Xxxxxxxxxxx 00, X-00000 Xxxxxxxxxxx xx Xxxx 3. Xxxxxxx Xxxxxx XxxX

Informationspflichten, Schriftformklausel, Rechtswahl. a) Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer Vertragspartners bei WESLINK durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer WESLINK den Auftraggeber Vertragspartner unverzüglich darüber zu informieren. Der Auftragnehmer WESLINK wird alle Dritten in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber Vertragspartner als „»Verantwortlicher“ « im Sinne der DS-GVO liegt. liegen. b) Änderungen und Ergänzungen dieser Vereinbarung Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. . c) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz AGB AV den Regelungen des Vertrages Hauptvertrages vor. Sollten Im Übrigen gelten sie ergänzend und nachrangig zu den Allgemeinen Geschäftsbedingungen B2B von WESLINK, abrufbar unter xxxxx://xxxxxxx.xx/xxx/ .Sollten einzelne Teile dieser Vereinbarung AGB AV unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung AGB AV im Übrigen nicht. Gerichtsstand · Der Auftragsverarbeiter ist Stuttgart Anhang 1mit der technischen Wartung sowie der Weiterentwicklung des CMS Systems Wordpress, also für die Internetpräsenz, beauftragt. Die technische Wartung beinhaltet die regelmäßige Kontrolle der entsprechenden Server des Auftraggebers hinsichtlich technischer Unregelmäßigkeiten. U.a. werden die entsprechenden Logfiles auf Fehlermeldungen untersucht. Die Weiterentwicklung umfasst die Anpassung des Systems an die abgestimmten Bedürfnisse des Auftraggebers. Eine auftragsverarbeiterseitige Verarbeitung von Daten des Auftraggebers erfolgt nicht. Dennoch kann der Auftragsverarbeiter im Rahmen von Wartungsaktivitäten ggf. personenbezogene Daten der Kunden oder Interessenten einsehen. · Bei Webseiten Projekten: TechnischAdressdaten (Anschrift), Authentifizierungsdaten, Bilddaten, E-Mail-Adressen, Mitarbeiterdaten, Nutzungsdaten, Aufrufstatistiken, Personaldaten, Profildaten, Videodaten · Bei Bewerber Formularen: Name des Bewerbers, E-Mail-Adresse · Bei Online-Shops: Persönliche Daten mit Anschrift und Versandadresse, ggf. Geburtsdatum und möglicherweise Zahlungsinformationen (z.B. Stripe- oder PayPal E-Mail-Adresse) · Bei Newslettern: Name, Vorname, E-Mail-Adresse · Auszubildende, Bewerber, Berater, Dienstleister, Geschäftspartner, Gesellschafter, Interessenten, Kunden, Mitarbeiter, Nutzer, Praktikanten · Übertragung per E-Mail, Zugriff per (S)FTP, Übertragung per HTTP(S) Webinterface, Übertragung per GDrive, Zugriff via Webinterface WESLINK als Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen (TOM) / Sicherheitskonzept Folgende TOMs werden zwischen Auftraggeber und Auftragnehmer vereinbart zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen zur Gewährleistung der Vertraulichkeit (wurden im Einklang mit Art. 32 Abs. 1 lit. b DS-GVO) ￮ Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, durch Einsatz von Magnet- oder Chipkarten, physikalischen Schlüsseln, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen sowie teilweise Videoanlagen zur Außenhautsicherung ￮ Zugangskontrolle Keine unbefugte Systembenutzung durch verbindliche Regelungen für sichere Kennwörter DSGVO festgelegt und sind mit implementierter Prüfung von Mindeststandards, verbindliche Regelungen sowie implementierten, automatischen Mechanismen zur Sperrung der Arbeitsplatzrechner, Verschlüsselung von Datenträgern ￮ Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch festgelegte Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte inklusive deren Überprüfung. ￮ Trennungskontrolle Daten für die Wartung werden getrennt von allen anderen Daten des Auftragnehmers sowie getrennt je Mandant verwaltet. Maßnahmen zur Gewährleistung der Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ￮ Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch verschlüsseltes Netzwerk, Virtual Private Networks (VPN) ￮ Eingabekontrolle Es werden ausschließlich die vom dem Auftraggeber für den jeweiligen Support-Call im Rahmen der Wartung übergebenen Daten unverändert gespeichert. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) z. B. ￮ Verfügbarkeitskontrolle Unsere IT-Systeme und Netze sind über unterschiedliche Backup-Strategien sowie Firewalls, Virenschutz und Notfallszenarien gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt. ￮ Auftragskontrolle Wir verwenden die vom Auftraggeber übergebenen Daten ausschließlich zur Unterstützung der Fehlerfindung und Fehlerbehebung unserer Software. ￮ Belastbarkeit Systeme und Dienste (z.B. Speicher-, Zugriffs-, Leitungskapazitäten etcabgestimmt.) sind so ausgelegt, dass auch punktuelle hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen möglich sind Maßnahmen zur Pseudonymisierung personenbezogener Daten ￮ Soweit möglich übergibt der Auftraggeber anonymisierte oder pseudonymisierte Daten. Hinweise dazu befinden sich in den Handbüchern unserer Produkte. ￮ Die vom Auftraggeber übergebenen Daten werden nicht verändert (vgl. 2. Punkt Eingabekontrolle) und daher auch nicht weiter pseudonymisiert.

Informationspflichten, Schriftformklausel, Rechtswahl. 9.1. Sollten die personenbezogenen Daten des Auftraggebers Kunden beim Auftragnehmer Provider durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer Provider den Auftraggeber Kunden unverzüglich darüber zu informieren. Der Auftragnehmer Provider wird alle Dritten in diesem Zusammenhang unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber Kunden als „Verantwortlicher“ »Verantwortlicher « im Sinne der DS-GVO liegt. 9.2. Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers Provider – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 9.3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages SaaS- Bedingungen und Konditionen vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Gerichtsstand ist Stuttgart SaaS-Vereinbarung zur Auftragsverarbeitung - Anhang 1: Technisch-1 Technische und organisatorische Maßnahmen (TOM) / Sicherheitskonzept Folgende TOMs werden zwischen Auftraggeber und Auftragnehmer vereinbart Maßnahmen Stand: 1.05.2018 Version: 1.0 Dieser Anhang der Vereinbarung zur Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) ￮ Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, durch Einsatz von Magnet- oder Chipkarten, physikalischen Schlüsseln, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen sowie teilweise Videoanlagen zur Außenhautsicherung ￮ Zugangskontrolle Keine unbefugte Systembenutzung durch verbindliche Regelungen für sichere Kennwörter mit implementierter Prüfung von Mindeststandards, verbindliche Regelungen sowie implementierten, automatischen Mechanismen zur Sperrung der Arbeitsplatzrechner, Verschlüsselung von Datenträgern ￮ Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch festgelegte Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte inklusive deren Überprüfung. ￮ Trennungskontrolle Daten Auftragsdatenverarbeitung gelten für die Wartung werden getrennt Nutzung von allen anderen Daten des Auftragnehmers sowie getrennt je Mandant verwaltetSoftwarefunktionalitäten auf der Grundlage von Software as a Service (SaaS) von der Bosch Software Innovations GmbH, Xxxxxxxxxxx. 000, 00000 Xxxxxx, (im Folgenden: "Provider (Processor)") durch den Kunden (im Folgenden: „Kunde (Controller)“), Kunde und Provider im Folgenden gemeinsam "Parteien" und einzeln "Partei". Folgende technische und organisatorische Maßnahmen sind vom Processor umgesetzt und sind mit dem Kunden vereinbart. 1. Maßnahmen zur Gewährleistung der Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ￮ Weitergabekontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch verschlüsseltes Netzwerk, Virtual Private Networks (VPN) ￮ Eingabekontrolle Es werden ausschließlich die vom Auftraggeber für den jeweiligen Support-Call im Rahmen der Wartung übergebenen Daten unverändert gespeichert. Maßnahmen zur Gewährleistung der Verfügbarkeit Pseudonymisierung und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) z. B. ￮ Verfügbarkeitskontrolle Unsere IT-Systeme und Netze sind über unterschiedliche Backup-Strategien sowie Firewalls, Virenschutz und Notfallszenarien gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt. ￮ Auftragskontrolle Wir verwenden die vom Auftraggeber übergebenen Daten ausschließlich zur Unterstützung der Fehlerfindung und Fehlerbehebung unserer Software. ￮ Belastbarkeit Systeme und Dienste (z.B. Speicher-, Zugriffs-, Leitungskapazitäten etc.) sind so ausgelegt, dass auch punktuelle hohe Belastungen oder hohe Dauerbelastungen Verschlüsselung von Verarbeitungen möglich sind Maßnahmen zur Pseudonymisierung personenbezogener Daten ￮ Soweit möglich übergibt der Auftraggeber anonymisierte oder pseudonymisierte personenbezogenen Daten. Hinweise dazu befinden sich in den Handbüchern unserer Produkte. ￮ Die vom Auftraggeber übergebenen Daten werden nicht verändert (vgl. 2. Punkt Eingabekontrolle) und daher auch nicht weiter pseudonymisiert.