AVV

VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG ("AVV")

AI Device Hero BG

1. Präambel

Diese AVV ergänzt den Rahmenvertrag ("Vertrag") zwischen der Logicc GmbH ("Logicc") und dem Kunden, der auf diese AVV Bezug nimmt (Logicc und der Kunde zusammen die "Parteien"). Diese AVV tritt automatisch mit dem Abschluss des Vertrages in Kraft und gilt ab demselben Datum wie der Vertrag.

Im Rahmen der Erfüllung des Vertrages verarbeitet Logicc die vom Kunden bereitgestellten personenbezogenen Daten. Die Parteien vereinbaren, dass Logicc solche personenbezogenen Daten im Auftrag des Kunden verarbeitet, entweder als Auftragsverarbeiter, wenn der Kunde Verantwortlicher ist, oder als Unterauftragsverarbeiter, wenn der Kunde seinerseits ein Auftragsverarbeiter ist. Daher gilt diese AVV, wenn und soweit Logicc bei der Erbringung von Dienstleistungen im Rahmen des Vertrags personenbezogene Daten für den Kunden verarbeitet. Die Parteien vereinbaren, dass diese AVV alle bestehenden Datenschutzbestimmungen ersetzt, die die Parteien zuvor in Verbindung mit den Dienstleistungen abgeschlossen haben.

2. Definitionen

2.1 "Kundendaten"

sind alle personenbezogenen Daten, die im Rahmen der Nutzung der Dienstleistungen hochgeladen werden und die Logicc im Rahmen der Erbringung der Dienstleistungen im Auftrag des Kunden verarbeitet.

2.2 "Verantwortlicher"

ist die Person oder Gesellschaft, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

2.3 "Auftragsverarbeiter"

ist die Person oder Gesellschaft, die personenbezogene Daten im Auftrag eines für die Datenverarbeitung Verantwortlichen verarbeitet.

2.4 "Datenschutzgesetze"

sind alle Datenschutzgesetze, die auf die Verarbeitung personenbezogener Daten anwendbar sind. Für die EU und den EWR umfasst dies insbesondere die Datenschutz-Grundverordnung (DSGVO) und die e-Privacy-Richtlinie 2002/58/EG sowie die lokalen Gesetze der Mitgliedstaaten zum Datenschutz.

2.5 "EWR"

ist der Europäischen Wirtschaftsraum.

2.6 "EU"

ist die Europäische Union.

2.7 "Personenbezogene Daten"

sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

2.8 "Verarbeitung"

hat die in der DSGVO festgelegte Bedeutung und umfasst jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung oder das Löschen von personenbezogenen Daten.

2.9 "Sicherheitsvorfall"

ist jede unbefugte oder unrechtmäßige Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt.

2.10 "Dienstleistungen"

hat die im Vertrag festgelegte Bedeutung.

2.11 "SCC"

sind die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4\. Juni 2021 enthaltenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer.

2.12 "Unterauftragsverarbeiter"

ist jeder Auftragsverarbeiter, der von Logicc beauftragt wird, um bei der Erbringung der Dienstleistungen zu unterstützen.

3. Gegenstand dieser AVV

3.1

Diese AVV legt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung von Kundendaten durch Logicc im Zusammenhang mit der Erbringung der Dienstleistungen fest.

3.2

Zu diesem Zweck beauftragt der Kunde hiermit Logicc als Auftragsverarbeiter, wenn der Kunde als Verantwortlicher handelt, oder als Unterauftragsverarbeiter, wenn der Kunde als Verantwortlicher handelt.

3.3

Diese AVV gilt für alle Kundendaten gemäß Spezifikation in Anlage 1, auf die Logicc während der Erbringung der Dienstleistungen Zugriff hat. Dazu gehören Kundendaten, die Logicc vom Kunden für die Erbringung der Dienstleistungen zur Verfügung gestellt werden, Kundendaten, die von Logicc während der Erbringung der Dienstleistungen generiert werden, oder Kundendaten, die Logicc auf andere Weise, z. B. direkt von betroffenen Personen, im Rahmen der Erbringung der Dienstleistungen Zugriff erhält. Diese AVV gilt nicht für Daten, die nicht als Kundendaten gelten, einschließlich nicht personenbezogener Daten, die vom Kunden zur Verfügung gestellt werden, oder Daten, die nicht als Teil der Dienstleistungen verarbeitet werden.

4. Grundsatz der Verarbeitung im Auftrag des Kunden

4.1

Logicc ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung von Kundendaten den Anforderungen der geltenden Datenschutzgesetze entspricht und die Rechte der betroffenen Personen gewahrt werden.

4.2

Die Verarbeitung von Kundendaten durch Logicc und ggf. beauftragte Unterauftragsverarbeiter erfolgt grundsätzlich im Gebiet des EWR. Übertragungen von Kundendaten in ein Drittland außerhalb des EWR finden nur statt, wenn Logicc die Einhaltung der Anforderungen der geltenden Datenschutzgesetze sicherstellt und wenn solche Übertragungen durch eine geeignete Rechtsgrundlage gestützt werden, wie z. B. einen Angemessenheitsbeschluss, SCC oder andere geltende Garantien.

4.3

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung der Kundendaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien allein verantwortlich. Sollten Dritte gegen Logicc aufgrund der Verarbeitung von Kundendaten nach Maßgabe dieser AVV Ansprüche geltend machen, wird der Kunde Logicc von solchen Ansprüchen freistellen.

5. Weisungsrecht des Kunden

5.1

Die unter diese AVV fallenden Kundendaten werden nur in Übereinstimmung mit dokumentierten Weisungen des Kunden verarbeitet, einschließlich Weisungen zur Übermittlung von Kundendaten in ein Drittland. Wenn Logicc nach geltendem Recht verpflichtet ist, Kundendaten ohne solche Weisungen zu verarbeiten, wird Logicc den Kunden vor der Verarbeitung über die gesetzliche Verpflichtung informieren, es sei denn, eine solche Mitteilung ist aus Gründen des öffentlichen Interesses gesetzlich verboten.

5.2

Das Weisungsrecht des Kunden hinsichtlich Art, Umfang und Verfahren der Verarbeitung von Kundendaten ist auf den in dieser AVV und im Vertrag festgelegten Umfang beschränkt. Stimmt Logicc einer darüber hinausgehenden Weisung zu, so hat der Kunde Logicc die damit verbundenen Kosten und Aufwendungen zu ersetzen.

5.3

Der Kunde erteilt seine Anweisungen schriftlich, per E-Mail (in Textform) oder über die Nutzung der Funktionalitäten der Dienstleistungen.

5.4

Logicc darf Kundendaten nicht für andere Zwecke als die Erbringung der Dienstleistungen verwenden. Diese Einschränkung gilt nicht für Sicherungskopien, die zur Sicherstellung einer ordnungsgemäßen Verarbeitung erforderlich sind, oder für Daten, die zur Erfüllung gesetzlicher Aufbewahrungspflichten aufbewahrt werden, oder für anonymisierte oder aggregierte Daten, die nicht wieder identifiziert werden können und ausschließlich für interne Geschäftszwecke, wie z. B. Analysen oder Serviceverbesserungen, verwendet werden.

6. Unterauftragsverarbeiter

6.1

Logicc wird ohne vorherige schriftliche Zustimmung des Kunden, die entweder als Einzelzustimmung oder als generelle Zustimmung erteilt werden kann, keinen Unterauftragsverarbeiter einschalten

6.2

Der Kunde erteilt hiermit seine Zustimmung zur Beauftragung der in Anlage 2 aufgeführten Unterauftragsverarbeiter mit Wirkung ab dem Datum dieser AVV.

6.3

Der Kunde erteilt hiermit auch seine allgemeine Zustimmung zur Beauftragung weiterer Unterauftragsverarbeiter. Logicc informiert den Kunden über alle beabsichtigten Änderungen der Liste der Unterauftragsverarbeiter, einschließlich der Hinzufügung oder des Austauschs eines Unterauftragsverarbeiters, und gibt dem Kunden die Möglichkeit, gegen diese Änderungen Einspruch zu erheben. Der Kunde kann aus angemessenen Gründen innerhalb von 15 Tagen nach der Benachrichtigung schriftlich Einspruch erheben, und die Parteien werden nach Treu und Glauben zusammenarbeiten, um den Einspruch zu lösen.

6.4

Beauftragt Logicc einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden, so legt Logicc dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auf, wie sie in dieser AVV festgelegt sind. Dies erfolgt durch einen Vertrag oder ein anderes rechtsverbindliches Instrument gemäß den geltenden Datenschutzgesetzen, wobei sichergestellt wird, dass der Unterauftragsverarbeiter ausreichende Garantien bietet, insbesondere die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Einhaltung der Anforderungen der DSGVO und anderer geltender Datenschutzgesetze. Die Vertragsparteien stellen klar, dass es ausreicht, wenn das vom Unterauftragsverarbeiter gebotene Schutzniveau dem Schutzniveau gemäß dieser AVV entspricht.

6.5

Unterliegt die Beauftragung von Unterauftragsverarbeitern durch Logicc den Artikeln 44 ff. DSGVO, schließt Logicc, soweit erforderlich, das anwendbaren SCC und stellt sicher, dass seine Unterauftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

6.6

Für den Fall, dass die SCC ungültig werden oder anderweitig nicht mehr als gültiger Datenübermittlungsmechanismus unter der DSGVO oder anderen Datenschutzgesetzen anerkannt sind, kann Logicc auf jede alternative Garantie zurückgreifen, die unter den Datenschutzgesetzen zugelassen ist, wie z. B. verbindliche unternehmensinterne Regeln (BCR) oder andere angemessene Schutzmaßnahmen oder Ausnahmen, die unter Kapitel V der DSGVO oder entsprechenden Datenschutzgesetzen zulässig sind.

6.7

Kommt ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, ist Logicc dem Kunden gegenüber dafür verantwortlich.

6.8

Die Beauftragung eines Dritten mit der Erbringung von Nebenleistungen (z. B. Telekommunikation, Wartung, Benutzerunterstützung, Reinigung, Prüfung oder Entsorgung von Datenträgern) gilt nicht als Beauftragung eines Unterauftragsverarbeiters. Logicc stellt jedoch sicher, dass geeignete rechtliche Vereinbarungen bestehen und Kontrollmaßnahmen ergriffen werden, um die Sicherheit und Vertraulichkeit der Kundendaten zu schützen, wenn Dritte solche Nebenleistungen erbringen.

7. Kontrollrechte des Kunden

7.1

Logicc verpflichtet sich, auf schriftliche Anfrage des Kunden innerhalb eines angemessenen Zeitraums die Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus dieser AVV nachzuweisen.

7.2

Der Kunde oder ein vom Kunden beauftragter Prüfer kann die Einhaltung dieser AVV durch Logicc überprüfen. Solche Prüfungen sind auf ein Mal pro Kalenderjahr beschränkt und müssen mindestens 60 Tage vorher schriftlich angekündigt werden. Die Prüfungen werden während der regulären Geschäftszeiten und in einer Weise durchgeführt, die den Betrieb von Logicc so wenig wie möglich stört.

7.3

Logicc kann zum Nachweis der Einhaltung dieser DSGVO aktuelle Prüfzeugnisse, Berichte oder Auszüge daraus von unabhängigen Stellen (z.B. Wirtschaftsprüfern, Datenschutzbeauftragten, IT-Sicherheitsabteilungen oder Datenschutzauditoren) oder geeignete Zertifizierungen aus anerkannten IT-Sicherheits- oder Datenschutzaudits vorlegen. In diesem Fall ist der Kunde nicht berechtigt, zusätzliche Kontrollen durchzuführen.

7.4

Der Kunde entschädigt Logicc für alle angemessenen Kosten, die durch die Bereitstellung solcher Informationen oder die Ermöglichung von Kontrollen entstehen, es sei denn, diese Prüfungen ergeben, dass Logicc seine Verpflichtungen aus dieser AVV in erheblichem Maße nicht erfüllt.

8. Verpflichtung zur Vertraulichkeit

Logicc gewährleistet, dass alle Personen, die zur Verarbeitung von Kundendaten im Rahmen dieser AVV berechtigt sind, zur Vertraulichkeit verpflichtet sind, entweder durch vertragliche Verpflichtungen oder durch gesetzliche Verschwiegenheitspflichten.

9. Technische und organisatorische Maßnahmen

9.1

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten der betroffenen Personen werden sowohl der Kunde als auch Logicc in ihrem jeweiligen Verantwortungsbereich geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf Sicherheitsvorfälle.

9.2

Die von Logicc getroffenen technischen und organisatorischen Maßnahmen sind in Anlage 3 aufgeführt. Der Kunde bestätigt, dass diese Maßnahmen die Anforderungen erfüllen und ein angemessenes Schutzniveau für die Verarbeitung von Kundendaten gewährleisten.

9.3

Logicc ist jederzeit berechtigt, die technischen und organisatorischen Maßnahmen durch gleich- oder höherwertige Maßnahmen zu ersetzen, sofern diese den Anforderungen der Ziffer 8 genügen.

10. Informationspflichten von Logicc

10.1

Logicc wird den Kunden unverzüglich informieren, wenn Logicc Kenntnis von einem Sicherheitsvorfall erhält.

10.2

Der Kunde erstattet Logicc alle angemessenen Aufwendungen für die Bereitstellung dieser Informationen, es sei denn, der Sicherheitsvorfall ist unmittelbar auf grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten von Logicc zurückzuführen.

11. Aufgaben zur Unterstützung des Kunden

11.1

Unter Berücksichtigung der Art der Verarbeitung und der Logicc vernünftigerweise zur Verfügung stehenden Ressourcen unterstützt Logicc den Kunden mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Verpflichtungen des Kunden zur Beantwortung von Anfragen der betroffenen Personen und anderer Verpflichtungen nach den Datenschutzgesetzen.

11.2

Logicc wird den Kunden unverzüglich informieren, wenn Logicc der Auffassung ist, dass eine vom Kunden erteilte Weisung gegen Datenschutzgesetze verstößt

11.3

Der Kunde erstattet Logicc den angemessenen Aufwand für die Erbringung der in dieser Ziffer 10 beschriebenen Leistungen, es sei denn, diese Leistungen sind zur Erfüllung der gesetzlichen Verpflichtungen von Logicc nach den Datenschutzgesetzen erforderlich.

12. Laufzeit

12.1

Diese AVV tritt automatisch mit dem Abschluss des Vertrages in Kraft und bleibt mindestens für die Dauer des Vertrages in Kraft, sofern nichts anderes bestimmt ist.

12.2

Eine vorzeitige oder anderweitige Beendigung des Vertrages, gleich aus welchem Grund, hat die automatische Beendigung dieser AVV zur Folge. Die Bestimmungen dieser AVV bleiben jedoch insoweit in Kraft, als dies erforderlich ist, um den ordnungsgemäßen Abschluss der Verarbeitung von Kundendaten im Rahmen dieser AVV in Übereinstimmung mit den Datenschutzgesetzen zu gewährleisten, insbesondere in Bezug auf die Löschung oder Rückgabe von Kundendaten. Sobald eine solche Verarbeitung abgeschlossen ist, endet diese AVV ohne weitere Mitteilung.

13. Verpflichtung zur Löschung und Rückgabe nach Beendigung

Nach Beendigung der Dienstleistungen wird Logicc nach Weisung des Kunden alle Kundendaten entweder löschen oder zurückgeben. Der Kunde muss Logicc innerhalb von 30 Tagen nach Beendigung der Dienstleistungen über seine Wahl informieren. Erfolgt innerhalb dieser Frist keine Mitteilung, kann Logicc die Kundendaten löschen, es sei denn, das geltende Recht schreibt eine weitere Speicherung vor. Aufbewahrungs- und Archivierungspflichten nach geltendem Recht bleiben hiervon unberührt. Logicc wird die Löschung oder Rückgabe auf Anfrage des Kunden bestätigen.

14. Datenschutzbeauftragter

Logicc wird einen Datenschutzbeauftragten bestellen, soweit dies nach den Datenschutzgesetzen erforderlich ist, und dem Kunden in diesem Fall die Kontaktdaten des Datenschutzbeauftragten zur Verfügung stellen

15. Vergütung

15.1

Alle von Logicc im Rahmen dieser AVV erbrachten Leistungen sind vollständig durch die im Vertrag vereinbarte Vergütung abgegolten, sofern in dieser AVV nicht ausdrücklich etwas anderes bestimmt ist.

15.2

Soweit Leistungen im Rahmen dieser AVV als vergütungspflichtig bezeichnet sind, werden diese Leistungen nach Aufwand zu den im Vertrag vereinbarten Sätzen vergütet. Sind keine Vergütungssätze vereinbart, gelten die zum Zeitpunkt der Leistung gültigen Standardsätze von Logicc.

16. Haftung

16.1

Die Haftungsbestimmungen des Vertrages gelten entsprechend für dieses AVV.

16.2

Behördliche Strafen oder Bußgelder, die direkt gegen den Kunden verhängt werden, können von Logicc nicht zurückgefordert werden, es sei denn, sie sind auf einen Verstoß von Logicc gegen diese AVV oder Datenschutzgesetze zurückzuführen. In solchen Fällen ist die Haftung von Logicc auf das Mitverschulden beschränkt, das durch eine rechtskräftige Entscheidung eines zuständigen Gerichts oder einer zuständigen Behörde festgestellt wird, und unterliegt den Haftungsbestimmungen des Vertrags.

17. Schlussbestimmungen

17.1

Diese AVV ist integraler Bestandteil des Vertrages. Im Falle eines Widerspruchs zwischen den Bestimmungen des Vertrages und dieser AVV haben die Bestimmungen dieser AVV ausschließlich in Bezug auf die Verarbeitung von Kundendaten Vorrang.

17.2

Logicc behält sich das Recht vor, diese AVV bei Bedarf zu ändern, um Änderungen der geltenden Datenschutzgesetze, regulatorischen Anforderungen oder verbindlichen Entscheidungen der zuständigen Aufsichtsbehörden Rechnung zu tragen. Logicc wird den Kunden mindestens 30 Tage im Voraus schriftlich oder in Textform (z.B. per E-Mail) über solche Änderungen informieren, es sei denn, eine sofortige Änderung ist gesetzlich oder regulatorisch vorgeschrieben. Widerspricht der Kunde solchen Änderungen aus berechtigten Gründen, werden die Parteien nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden. Widerspricht der Kunde solchen Änderungen und wird innerhalb einer angemessenen Frist keine einvernehmliche Lösung erzielt, kann der Kunde den Vertrag in Bezug auf die betroffenen Verarbeitungstätigkeiten durch schriftliche Mitteilung kündigen.

17.3

Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen dieser AVV nicht berührt. Das Gleiche gilt, wenn und soweit sich eine Lücke in dieser AVV zeigt. Anstelle der unwirksamen oder undurchführbaren Bestimmung oder zur Ausfüllung der Lücke soll eine angemessene Regelung gelten, die, soweit rechtlich möglich, dem am nächsten kommt oder entspricht, was die Parteien wirtschaftlich gewollt haben oder nach dem Sinn und Zweck dieser AVV gewollt hätten, sofern sie diesen Punkt bedacht hätten.

17.4

Im Übrigen gelten die Schlussbestimmungen des Vertrages entsprechend für diese AVV.

Anlage 1: Details der Verarbeitung

1. Kategorien von betroffenen Personen

  • Nutzer der Dienstleistungen

  • Mitarbeiter des Kunden

  • Personen, auf die sich Daten beziehen, die von Nutzern eingegeben werden

2. Arten von Kundendaten

  • Namen, E-Mailadressen von Nutzern und Mitarbeitern des Kunden

  • Daten, die von den Nutzern eingegeben werden

3. Verarbeitung von besonderen Kategorien von Kundendaten

  • Im bestimmungsgemäßen Nutzungsfall sollten besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 DSGVO nicht vom Kunden zur Verfügung gestellt werden und daher nicht als Kundendaten verarbeitet werden.

4. Umfang und Art der Verarbeitung

  • Kommunikationsinhalte mit LLMs

  • Dokumente und Informationen, die der Kunde auf der Plattform hochlädt und speichert

5. Zweck der Verarbeitung

  • Bereitstellung der Dienstleistungen gemäß den Anweisungen des Kunden

Anlage 2: Unterauftragsverarbeiter

Name Adresse Aufgabe Ort der Verarbeitung Garantie gemäß Art. 44 ff. DSGVO
Microsoft Ireland Operations Limited The Atrium Building, Block B, Carmanhall Road, Sandyford Business Estate, Dublin 18, Ireland Bereitstellung von Cloud-Infrastruktur und LLM-Modellen via Azure OpenAI Service zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) Schweden
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland Bereitstellung von Cloud-Infrastruktur für das Hosting der Plattform Deutschland (Hetzner Rechenzentren in Nürnberg/Falkenstein)
IONOS SE Elgendorfer Str. 57, 56410 Montabaur, Deutschland Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) Deutschland
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) EU
Amazon Web Services EMEA SARL 38 avenue John F. Kennedy, L-1855, Luxemburg Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten EU
Cloudflare Inc. 101 Townsend Street, San Francisco, California 94107, United States Bereitstellung von DDoS-Schutz, Web Application Firewall (WAF) und Content Delivery Network (CDN) Ort der Nutzung ist Ort der Verarbeitung Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende Schutzmaßnahmen
Stripe Payments Europe, Limited (SPEL) 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland Abwicklung und Verwaltung von Zahlungsvorgängen EU
Auth0, LLC. (Tochtergesellschaft der Okta, Inc.) Auth0, Inc:
10900 NE 8th St, Suite 700, Bellevue, WA 98004, USA
Okta, Inc:
100 First Street, Suite 600, San Francisco, CA 94105, USA		 Authentifizierung und Autorisierung von Nutzern der Plattform EU

Anlage 3: Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen hat Logicc angemessene technische und organisatorische Sicherheitsmaßnahmen ergriffen und wird diese beibehalten, um die Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten zu wahren ("technische und organisatorische Maßnahmen"). Diese Maßnahmen beinhalten folgende Aspekte:

1. Vertraulichkeit

1.1 Zutrittskontrolle

Logicc wird angemessene Maßnahmen treffen, um das Risiko zu reduzieren, dass Unbefugte Zutritt zu Datenverarbeitungssystemen, mit denen die Kundendaten verarbeitet und genutzt werden, erhalten. Maßnahmen zur Zutrittskontrolle können z.B. automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen sein. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen können z.B. durch verschließbare Serverschränke geschützt werden.

  • Technische Maßnahmen:

    • Einsatz von mechanischen Schließsystemen an allen relevanten Türen zu Büros und Serverräumen.

    • Besucher werden durch Mitarbeiter begleitet.

    • Es existiert ein Schlüsselmanagement, welches die Ausgabe und Rücknahme von Schlüsseln regelt.

    • Sorgfältige Auswahl von Reinigungspersonal und anderen externen Dienstleistern.

  • Organisatorische Maßnahmen:

    • Zutrittsrichtlinie, die den Zutritt für Mitarbeiter, Dienstleister und Besucher klar regelt und auf das notwendige Minimum beschränkt.

    • Führung eines Besucherbuchs und Protokollierung aller Zutritte zu den Serverräumen.

    • Regelmäßige Kontrolle der Zutrittsprotokolle.

1.2 Zugangskontrolle

Logicc wird angemessene Maßnahmen treffen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Technische Maßnahmen:

    • Strikte Passwortrichtlinien (Mindestlänge, Komplexität, regelmäßiger Wechsel).

    • Einsatz von Multi-Faktor-Authentifizierung (MFA), wo immer möglich und sinnvoll.

    • Automatische Sperrung von inaktiven Sitzungen nach einem definierten Zeitraum.

    • VPN-Zugang für Fernzugriff auf interne Systeme.

    • Verwaltung von Benutzerberechtigungen.

    • Automatische Desktop-Sperre

  • Organisatorische Maßnahmen:

    • IT-Sicherheitsrichtlinie, die den sicheren Umgang mit Passwörtern, Zugangsdaten und mobilen Geräten regelt.

    • Vergabe von Benutzerkonten nach dem Prinzip der minimalen Rechtevergabe.

    • Regelmäßige Sicherheitsschulungen für Mitarbeiter, um das Bewusstsein für Phishing und andere Bedrohungen zu schärfen.

    • Erstellung von Benutzerprofilen

1.3 Zugriffskontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass die zur Benutzung der Datenverarbeitungssysteme Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass Kundendaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:

    • Implementierung eines differenzierten Berechtigungskonzepts, das den Zugriff auf Kundendaten auf das notwendige Minimum beschränkt.

    • Einsatz von Firewalls und Intrusion Detection/Prevention Systemen.

    • Protokollierung aller Zugriffe auf Kundendaten in Audit-Logs.

    • SSH-verschlüsselter Zugang

    • SSL-Verschlüsselung

  • Organisatorische Maßnahmen:

    • Richtlinie zur Vergabe und Entziehung von Zugriffsrechten, die sich am "Need-to-know"-Prinzip orientiert.

    • Regelmäßige Überprüfung der Zugriffsberechtigungen und Audit-Logs.

    • Besondere Autorisierung für den Zugriff auf besonders sensible Datenkategorien.

    • Mindestanzahl an Administratoren

1.4 Trennungskontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Kundendaten getrennt verarbeitet werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:

    • Logische Trennung von Kundendaten verschiedener Mandanten in den Datenbanken und Anwendungssystemen.

    • Mandantentrennung in der Cloud-Infrastruktur durch separate virtuelle Netzwerke und Container.

    • Trennung von Entwicklungs-, Test- und Produktivsystemen.

    • Festlegung von Datenbankrechten

  • Organisatorische Maßnahmen:

    • Richtlinie zur Datenklassifizierung und zur getrennten Verarbeitung von Daten verschiedener Mandanten und Zwecke.

    • Regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen zur Datentrennung.

    • Steuerung über Berechtigungskonzept

2. Integrität

2.1 Weitergabekontrolle

Logicc wird angemessene Maßnahmen treffen, um das Risiko zu reduzieren, dass Kundendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:

    • Konsequente Verschlüsselung aller Übertragungswege für Kundendaten (z.B. TLS 1.3 für Webanwendungen, SFTP für Dateiübertragung, VPN für Fernzugriff).

    • Einsatz von sicheren E-Mail-Verschlüsselungsverfahren (z.B. S/MIME oder PGP), wo E-Mail-Kommunikation erforderlich ist.

    • Bereitstellung über verschlüsselte Verbindungen wie sftp, https und sichere Cloudstores.

  • Organisatorische Maßnahmen:

    • Richtlinie zur sicheren Übertragung und Weitergabe von Kundendaten, die die Nutzung unsicherer Kanäle untersagt.

    • Sensibilisierung der Mitarbeiter für die Risiken unsicherer Datenübertragung.

    • Klare Regelungen zur Nutzung von Cloud-Diensten und zur Übermittlung von Daten an Dritte.

    • Übersicht über regelmäßige Abruf- und Übermittlungsverfahren

2.2 Eingabekontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem Kundendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:

    • Umfassende Protokollierung aller Eingaben, Änderungen und Löschungen von Kundendaten in manipulationssicheren Audit-Logs.

    • Einsatz von Plausibilitätsprüfungen und Validierungsregeln bei der Dateneingabe.

    • Versionierung von Datensätzen oder Zeitstempel bei Änderungen.

    • Manuelle oder automatische Kontrolle der Protokolle (nach strengen internen Vorgaben)

  • Organisatorische Maßnahmen:

    • Richtlinie zur Protokollierung und zum Vier-Augen-Prinzip bei kritischen Dateneingaben.

    • Regelmäßige Auswertung der Audit-Logs auf Unregelmäßigkeiten.

    • Klare Zuständigkeiten für die Dateneingabe und \-pflege.

    • Vergabe von Rechten zur Eingabe, Änderung und Löschung Daten auf der Grundlage eines Berechtigungskonzepts

3. Verfügbarkeit und Belastbarkeit

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass Kundendaten gegen zufällige Zerstörung oder Verlust geschützt sind. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:

    • Hosting der Anwendung und Daten in den Rechenzentren von Hetzner, die nach ISO 27001 zertifiziert sind.

    • Tägliche Backups aller relevanten Daten mit einer Aufbewahrungsfrist von mindestens 7 Tagen.

    • Regelmäßige Tests der Wiederherstellbarkeit von Backups (mindestens einmal pro Quartal).

    • Einsatz von unterbrechungsfreier Stromversorgung (USV), Klimatisierung, Brandschutz und Festplattenspiegelung (RAID) in den Hetzner-Rechenzentren.

    • Verwendung von Virenschutz auf den Servern.

    • Notfallplan, der die Wiederherstellung der Systeme im Falle eines Ausfalls regelt.

    • Backup-Überwachung und Reporting, um die erfolgreiche Durchführung der Backups sicherzustellen.

    • Konzept für die Wiederherstellung, das die Schritte und Verantwortlichkeiten im Falle einer notwendigen Datenwiederherstellung beschreibt.

    • Wiederherstellbarkeit durch Automatisierungstools, um den Wiederherstellungsprozess zu beschleunigen.

    • Kontrolle des Backup-Prozesses durch regelmäßige Überprüfung der Backup-Logs und \-Reports.

    • Backup-Konzept, das sich an der Kritikalität der Daten und den spezifischen Kundenanforderungen orientiert.

    • Regelmäßige Tests der Datenwiederherstellung (mindestens einmal pro Quartal) und Protokollierung der Ergebnisse.

  • Organisatorische Maßnahmen:

    • Notfallpläne für verschiedene Ausfallszenarien (z.B. Stromausfall, Hardware-Defekt, Cyberangriff), die regelmäßig aktualisiert und geübt werden.

    • Klare Verantwortlichkeiten und Eskalationswege im Notfall, die auch die Kommunikation mit Hetzner als Cloud-Anbieter umfassen.

    • Vertragliche Vereinbarungen mit Hetzner über garantierte Verfügbarkeiten (SLAs), Reaktionszeiten und Support-Leistungen im Notfall.

    • Informationssicherheitsrichtlinie, die auch die Anforderungen an die Verfügbarkeit und den Notfallbetrieb regelt.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Logicc implementiert Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

5. Datenschutz-Management

  • Der Geschäftsführer und ein dedizierter Mitarbeiter übernehmen die Aufgaben im Datenschutz und fungieren als interne Datenschutzkoordinatoren.

  • Implementierung eines Datenschutz-Managementsystems (DSMS) in Anlehnung an bewährte Standards (z.B. ISO 27701, BSI IT-Grundschutz), angepasst an die Größe und Komplexität des Unternehmens.

  • Regelmäßige interne Überprüfungen der Datenschutzmaßnahmen und \-prozesse, mindestens einmal jährlich.

  • Dokumentation und Bearbeitung von Datenschutzvorfällen gemäß einem definierten internen Prozess.

  • Regelmäßige Schulungen der Mitarbeiter zum Datenschutz, mindestens einmal jährlich.

  • Prozesse bezüglich Informationspflichten gemäß Artikel 13 und 14 DSGVO umgesetzt.

  • Formalisiertes Verfahren für Auskunftsersuchen von betroffenen Personen eingerichtet.

  • Datenschutz-Checkpoints, soweit möglich und sinnvoll, in die Risikobewertung integriert.

  • Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf für neue Verarbeitungstätigkeiten mit voraussichtlich hohem Risiko durchgeführt.

  • Datenschutzaspekte sind Teil des allgemeinen Risikomanagements des Unternehmens.

6. Incident-Response-Management

  • Implementierung eines Incident-Response-Plans für Sicherheitsvorfälle, der die Phasen der Erkennung, Meldung, Analyse, Reaktion und Nachbereitung umfasst.

  • Einrichtung eines Incident-Response-Teams, das im Falle eines Sicherheitsvorfalls die Koordination und Bearbeitung übernimmt.

  • Nutzung der Google Workspace-Firewall und regelmäßige Aktualisierung

  • Nutzung des Google Workspace-Spamfilters und regelmäßige Aktualisierung

  • Nutzung des Google Workspace-Virenscanners und regelmäßige Aktualisierung

  • Regelmäßige Schulung der Mitarbeiter im Umgang mit Sicherheitsvorfällen und Phishing-Versuchen.

  • Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen über Ticketsystem

  • Formales Verfahren zur Nachverfolgung von Sicherheitsvorfällen und Datenschutzverletzungen

  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenschutzverletzungen (auch im Hinblick auf Meldepflicht an die Aufsichtsbehörde)

  • Formalisiertes Verfahren für den Umgang mit Sicherheitsvorfällen

  • Einbindung des CTO bei Sicherheitsvorfällen und Datenschutzverletzungen