Auftragsverarbeitungsvereinbarung (AVV)

Auftragsverarbeitungsvereinbarung gyde Platform im Sinne des Art. 28 Abs. 3 Datenschutzgrundverordnung (DSGVO)

zwischen gyde (nachfolgend „Auftragnehmer“ genannt) und dem jeweiligen Kunden (nachfolgend „Auftraggeber“ genannt).

  1. Gegenstand der Vereinbarung

1.1. Gegenstand der Vereinbarung ist die Verarbeitung im Sinne des Art. 4 Ziff. 2 DSGVO (nachfolgend: „Verarbeitung“) personenbezogener Daten des Auftraggebers durch den Auftragnehmer.

1.2. Der Gegenstand sowie Art, Umfang und Zweck der Verarbeitung ergeben sich aus den Beschreibungen im Hauptvertrag und aus Anlage 1 (Spezifikation der Verarbeitung). Sie werden bei Bedarf durch entsprechende Weisungen des Auftraggebers ergänzt. Die Art der personenbezogenen Daten (nachfolgend: „Daten“) wird in Anlage 1 (Spezifikation der Verarbeitung) ebenso wie die Kategorien der betroffenen Personen spezifiziert.

  1. Weisungsrechte und Pflichten des Auftraggebers

2.1. Der Auftraggeber behält sich ein Weisungsrecht über Art, Umfang und Zweck der Verarbeitung der Daten im Rahmen des vertraglich vorgesehenen Leistungsumfangs vor. Die Weisungen ergeben sich aus den Regelungen des Hauptvertrags und dieser Vereinbarung sowie ggf. aus schriftlichen Einzelanweisungen des Auftraggebers. Einzelanweisungen sind von beiden Parteien zu dokumentieren.

2.2. Der Auftraggeber benennt gegenüber dem Auftragnehmer einen Ansprechpartner, der weisungsbefugt ist, sowie einen Stellvertreter. Der Auftragnehmer benennt entsprechend einen Weisungsempfänger sowie einen Stellvertreter.

2.3. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der Betroffenen verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung ihrer Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

2.4. Der Auftraggeber ist Inhaber aller etwaigen erforderlichen Rechte betreffend die Daten.

2.5. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der Daten durch den Auftragnehmer im Rahmen dieser Vereinbarung oder seiner Weisungen feststellt.

  1. Pflichten des Auftragnehmers

3.1. Der Auftragnehmer verarbeitet die Daten im Rahmen des Hauptvertrags, dieser Vereinbarung sowie der speziellen Einzelweisungen des Auftraggebers. Er ist nicht berechtigt, die Daten unbefugt an Dritte weiterzugeben. Dies gilt nicht, wenn dies (i) im Einklang mit der Vereinbarung und dem Hauptvertrag geschieht, (ii) vom Auftraggeber schriftlich verlangt wird oder (iii) aufgrund gesetzlicher oder rechtlicher Anforderungen erforderlich ist. Der Auftragnehmer wird in Fällen der Ziffer (iii), soweit dies das anwendbare Recht zulässt, den Auftraggeber vorab über die beabsichtigte Weitergabe informieren und sich mit diesem abstimmen. Der Auftragnehmer stellt sicher, dass alle Personen, die Zugang zu den Daten haben, diese entsprechend den Weisungen des Auftraggebers verarbeiten.

3.2. Ist der Auftragnehmer der Ansicht, eine Weisung des Auftraggebers verstoße gegen die Datenschutzgrundverordnung („DSGVO“) oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten, wird er den Auftraggeber darauf hinweisen. Der Auftragnehmer ist in diesen Fällen berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber oder eine zuständige Datenschutzaufsichtsbehörde die Weisung bestätigt oder abändert.

3.3. Ist der Auftragnehmer durch das Recht der Europäischen Union bzw. das nationale Recht zu einer konkreten Verarbeitung verpflichtet und kann daher eine Weisung nicht ausführen, teilt er dies dem Auftraggeber – vorbehaltlich der rechtlichen Zulässigkeit – im Vorfeld mit.

3.4. Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörden im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Er wird dem Auftraggeber die Informationen zur Verfügung stellen, die dieser benötigt, um nachzuweisen, dass er hinsichtlich dieser Auftragsverarbeitung die Anforderungen des anwendbaren Datenschutzrechts erfüllt hat.

3.5. Der Auftragnehmer unterstützt den Auftraggeber außerdem unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen auf Anforderung bei der Einhaltung folgender Pflichten:

3.5.1. Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten,

3.5.2. Meldung der Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen,

3.5.3. ggfs. Durchführung einer Datenschutzfolgenabschätzung, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist,

3.5.4. ggfs. Durchführung einer erforderlichen vorherigen Konsultation der Datenschutzbehörde, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist.

3.6. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm ein Verstoß gegen das Datenschutzrecht im Rahmen seiner Auftragsverarbeitung für den Auftraggeber bekannt wird.

3.7. Der Auftragnehmer verpflichtet die bei der Verarbeitung der Daten beschäftigten Personen auf den vertraulichen Umgang mit den Daten.

  1. Technisch-organisatorische Maßnahmen

4.1. Der Auftragnehmer trifft die in Anlage 2 definierten technischen und organisatorischen Maßnahmen vor Beginn der Datenverarbeitung.

4.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit kann der Auftragnehmer alternative, adäquate Maßnahmen umzusetzen. Änderungen sind zu dokumentieren und die Dokumentationen sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen. Wesentliche Änderungen sind dem Auftraggeber schriftlich anzuzeigen. Im Falle einer wesentlichen Änderung ist Anlage 2 entsprechend anzupassen.

  1. Kontrollen

5.1. Der Auftraggeber überzeugt sich auf eigene Kosten vor Beginn der Datenverarbeitung durch den Auftragnehmer und sodann regelmäßig, von den umgesetzten technischen und organisatorischen Maßnahmen nach Anlage 2 und dokumentiert das jeweilige Ergebnis. Der Auftraggeber ist zudem berechtigt, die Auftragskontrolle im Benehmen mit dem Auftragnehmer im erforderlichen Umfang durchzuführen oder durch im Einzelfall zu benennende neutrale Dritte durchführen zu lassen. Kontrollen sind rechtzeitig im Vorfeld anzumelden und erfolgen während der Geschäftszeiten des Auftragnehmers. Der Auftraggeber wird hierbei auf betriebliche Abläufe des Auftragnehmers angemessen Rücksicht nehmen.

5.2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Durchführung einer umfassenden Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Nachweis der Umsetzung geeigneter Maßnahmen kann auch durch Vorlage aktueller Testate sowie von Berichten unabhängiger Prüfer (Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, etc.) erbracht werden.

5.3. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich auf die Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitspflicht unterliegt. Auf Verlangen des Auftragnehmers wird ihm der Auftraggeber die Verschwiegenheitsverpflichtung unverzüglich vorlegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

  1. Unterauftragsverhältnisse

6.1. Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung der Daten begründen. Die zurzeit eingesetzten Unterauftragnehmer und deren jeweilige Tätigkeitsbereiche sind in Anlage 3 genannt. Diese gelten mit Unterzeichnung dieser Vereinbarung als vom Auftraggeber akzeptiert.

6.2. Sofern der Unterauftragnehmer seinen Sitz nicht in einem Mitgliedsstaat der Europäischen Union („EU“) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) hat, wird der Auftragnehmer dafür Sorge tragen, dass die nach Art. 44 ff. DSGVO erforderlichen Voraussetzungen zur Legitimierung der Weitergabe der Daten erfüllt sind.

6.3. Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung eines Unterauftragnehmers oder den Einsatz eines neuen Unterauftragnehmers unterrichten. Der Auftraggeber kann nach Erhalt der Mitteilung innerhalb von 14 Tagen der Änderung bzw. dem Einsatz des Unterauftragnehmers widersprechen, sofern er berechtigte Gründe für den Widerspruch hat. Er wird diese dem Auftragnehmer mitteilen, der dann über das weitere Vorgehen entscheidet.

6.4. Der Auftragnehmer wird die in dieser Vereinbarung festgelegten Verpflichtungen, einschließlich der Gewährleistung der technischen und organisatorischen Maßnahmen, an seine Unterauftragnehmer weitergeben. Die technischen und organisatorischen Maßnahmen müssen den Anforderungen des anwendbaren Datenschutzrechts entsprechen.

  1. Rechte von betroffenen Personen

7.1. Die Rechte betroffener Personen sind gegenüber dem Auftraggeber geltend zu machen.

7.2. Soweit eine betroffene Person ihre Rechte gegenüber dem Auftragnehmer geltend macht, wird dieser das Ersuchen zeitnah an den Auftraggeber weiterleiten.

7.3. Soweit eine betroffene Person ihre Rechte gegenüber dem Auftraggeber geltend macht, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Ansprüche angemessen und im erforderlichen Umfang unterstützen, wenn der Auftraggeber den Anspruch ohne die Unterstützung des Auftragnehmers nicht erfüllen kann.

  1. Datenschutzbeauftragter ‍

rsdatenschutz Bismarckstraße 2 71634 Ludwigsburg

E-Mail: [email protected]

  1. Haftung

9.1. Für die Verletzung von datenschutzrechtlichen Vorschriften und der Regelungen dieser Vereinbarung haftet der Auftragnehmer gegenüber dem Auftraggeber nach den Regelungen des Hauptvertrags.

9.2. Sollte der Auftragnehmer aufgrund einer Verletzung von Datenschutzgesetzen durch den Auftraggeber von Dritten in Anspruch genommen werden, stellt der Auftraggeber den Auftragnehmer auf erstes Anfordern von der Haftung frei. Außerdem steht der Auftraggeber dem Auftragnehmer bei der Rechtsverteidigung im erforderlichen Umfang bei und erstattet dem Auftragnehmer alle aus dem Vorfall entstandenen Schäden, einschließlich der angemessenen Kosten einer Rechtsverteidigung.

  1. Vergütung

10.1. Für die Unterstützungsleistungen nach den Ziffern 3.4, 3.5 sowie 7 dieser Vereinbarung sowie für seinen Aufwand bei der Durchführung der Kontrollen nach Ziffer 5 dieser Vereinbarung kann der Auftragnehmer von dem Auftraggeber eine angemessene Vergütung entsprechend den in dem Hauptvertrag festgelegten Vergütungssätzen verlangen.

10.2. Dieses Recht entfällt hinsichtlich der Mitwirkungsleistung nach Ziffer 3.5.2 dieser Vereinbarung, wenn die Verletzung auf einem Verschulden des Auftragnehmers beruht.

10.3. Im Übrigen ist die Vergütung für die Leistungen nach dieser Vereinbarung bereits durch die nach dem Hauptvertrag geschuldete Vergütung abgedeckt.

  1. Vertragsdauer

11.1. Die Vereinbarung tritt mit ihrer Unterzeichnung durch die Parteien in Kraft und läuft auf unbestimmte Zeit.

11.2. Die Vereinbarung endet mit Beendigung des Hauptvertrags, der der Datenverarbeitung durch den Auftragnehmer zugrunde liegt, ohne dass es einer gesonderten Kündigung der Vereinbarung bedarf.

  1. Rückgabe bzw. Löschung der Daten

12.1. Der Auftragnehmer ist verpflichtet Daten, Originaldatenträger bzw. Unterlagen, die vom Auftraggeber im Rahmen dieser Vereinbarung an ihn übergeben bzw. übermittelt wurden (nachfolgend: „Materialien“), nach (i) Beendigung der Vereinbarung oder (ii) nach Aufforderung des Auftraggebers (je nachdem, was früher eintritt) entweder

• an den Auftraggeber auszuhändigen,

• an diesen zurück zu übermitteln oder

• nach vorheriger Weisung des Auftraggebers die Daten datenschutzgerecht zu vernichten bzw. so von allen Datenspeichergeräten des Auftragnehmers zu löschen, dass diese während oder nach der Entfernung nicht wiederherzustellen sind.

Der Auftragnehmer wird dem Auftraggeber schriftlich bestätigen, dass die in dieser Ziffer 12.1 beschriebenen Maßnahmen ordnungsgemäß ausgeführt wurden.

12.2. Dokumentation, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dient, kann der Auftragnehmer entsprechend den jeweils maßgeblichen Aufbewahrungsfristen über die Laufzeit der Vereinbarung hinaus aufbewahren. Gleiches gilt für sonstige Materialien, die rechtlichen oder gesetzlichen Aufbewahrungspflichten (z.B. aus dem Steuerrecht) unterliegen oder aufgrund von anderen rechtlichen bzw. gesetzlichen Gründen aufzubewahren sind.

  1. Sonstiges

13.1. Bei Änderungen der tatsächlichen Ausgestaltung der Leistungsbeziehungen zwischen den Parteien werden die Parteien die Anlagen entsprechend anpassen und einvernehmlich austauschen. Mit Unterzeichnung der geänderten Anlage durch die Parteien wird diese wirksam und ersetzt insoweit die bislang geltende Anlage.

13.2. Auf die Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist Mannheim.

13.3. Änderungen oder Ergänzungen der Vereinbarung bedürfen der Schriftform. Dies gilt für Änderung oder Aufhebung des vorstehenden Schriftformerfordernisses entsprechend.

13.4. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die in ihrem wirtschaftlichen Gehalt der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle von Regelungslücken.

Übersicht Anlagen Anlage 1: Daten, Betroffene, Datenverarbeitungen und Zweck der Datenverarbeitung

Anlage 2: Technische und organisatorische Maßnahmen

Anlage 3: Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers  

Anlage 1: Betroffene, Daten, Datenverarbeitungen und Zweck der Datenverarbeitung Der für die Verarbeitung Verantwortliche erkennt an, dass der Umfang der Datenverarbeitung im Ermessen des Verantwortlichen liegt und je nach Nutzung der gyde Platform und der Services variieren kann. Folgende Datenarten/ -kategorien sind üblicherweise Gegenstand der Verarbeitung, können im Einzelfall jedoch variieren:

Der Auftragnehmer verarbeitet die personenbezogenen Daten folgender betroffener Personen:

  • Kunden und relevante Ansprechpartner

  • Admin

  • Nutzer

  • Content Creator

  • Trainer

Der Auftragnehmer verarbeitet im Rahmen des Hauptvertrags folgende Daten:

  • Kontaktdaten (insb. Name, E-Mailadresse)

  • Im Rahmen des Coachings anfallende personenbezogene Daten

  • Eingaben der Nutzer in der App (bspw. Feedback, Antworten auf Quiz-Fragen)

  • Nutzungs- und Interaktionsdaten

  • Daten für die Bereitstellung der App (bspw. IP-Adresse)

Der Auftragnehmer erbringt folgende Verarbeitungen für folgende Zwecke:

  • Verwaltung der Nutzer

  • Koordination und Durchführung von Coaching

  • Analysen zu Feedback und Nutzungsverhalten

Anlage 2: Technische und organisatorische Maßnahmen (Stand Dezember 2024) Der Auftragnehmer ist zur Sicherstellung des Datenschutzes verpflichtet. Er hat die folgenden technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrages zu ergreifen und aufrechtzuerhalten:

I. Sicherstellung der Vertraulichkeit insb. durch

  1. Zugriffskontrolle (z.B. Berechtigungskonzepte, Zugriffsprotokolle)

Angemessene Maßnahmen, die den Zugriff unautorisierter Personen auf die Datenverarbeitungssysteme verhindern, durch:

  • Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk

  • Autorisierungsprozess für Zugangsberechtigungen

  • Begrenzung der befugten Benutzer

  • Single Sign-On

  • BIOS-Passwörter

  • Kennwortverfahren

  • 2-Faktoren Authentifizierung

  • Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff

  • Protokollierung des Zugangs

  • Zusätzlicher System-Log-In für bestimmte Anwendungen

  • Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts;

  • Verschließbarkeit der Einrichtungen zur Datenverarbeitung (Räume, Gebäude, Computerhardware und zugehöriges Equipment);

  1. Zutrittskontrolle

Angemessene Maßnahmen zur Verhinderung des Zutritts unautorisierter Personen zum Datenverarbeitungsequipment, durch

  • Zutrittskontrollsystem

  • Türsicherungen (elektrische Türöffner, etc.)

  • Schlüsselmanagement und -verwaltung/Dokumentation der Schlüsselvergabe

  • Spezielle Schutzvorkehrungen des Serverraums

  • Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern

  • Nicht-reversible Vernichtung von Datenträgern

  • Gesicherter Eingang für An- und Ablieferung (Kontrolle vor Eintritt zu den Zugangspunkten)

  • Festlegung befugter Personen (Betriebsangehörige und Betriebsfremde)

  • Regelung für Firmenfremde

  • Gegenseitige Überwachung (4-Augen-Prinzip)

  1. Zugangskontrolle (Kennwörter, Verschlüsselung von Datenträgern etc.)

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:

  • Verwaltung und Dokumentation von differenzierten Berechtigungen

  • Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten, Gegenstand der Dienstleistung ist.

  • Autorisierungsprozess für Berechtigungen

  • Genehmigungsroutinen

  • Profile/Rollen

  • „Mobile Device Management-System“

  • Vier-Augen-Prinzip

  • Funktionstrennung „Segregation of Duties“

  • Nicht-reversible Löschung von Datenträgern

  • Autorisierter Zutritt in Büroräumlichkeiten

  • Berechtigungskonzepte: Nur passwortgeschützte Zugriffe inkl. Rollenkonzepte in allen datenverarbeitenden und –datenspeichernden Systemen

  • Passwortrichtlinien (sichere Passwörter, regelmäßiger Wechsel)

  • Authentisierung von Benutzern mit Fernzugriff (kryptografische Techniken, VPN-Lösungen)

  • Verpflichtung auf das Datengeheimnis nach Art 28 Abs. 3 lit. b DSGVO

  • Prüf-, Abstimm- und Kontrollsysteme

  • Programmprüfungs- und Freigabeverfahren

  • Firewalls

II. Sicherstellung der Integrität (lit b) insb. durch

  1. Weitergabekontrolle (z.B. Verschlüsselung, VPN);

Angemessene Maßnahmen, die bei einer weiteren Übermittlung der Daten (elektronisch oder auch Transport auf Datenträgern) sicherstellen, dass keine unbefugten Dritten die Daten lesen, löschen, ändern, kopieren durch:

  • Verschlüsselung des Speichermediums von Laptops

  • Gesicherter File Transfer (z.B. sftp)

  • Gesicherter Datentransport (z.B. SSL, ftp, ftps, TLS)

  • Gesichertes WLAN

  • Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)

  • Interne Richtlinie/Anordnungen für die Nutzung von E-Mail Diensten (Privat- und Dienstgebrauch)

  • Verschlüsselung bei Datenübertragung (Netzwerkverschlüsselung, TLS, PGP

  • Verfahren zur Erkennung und Schutz von Schadsoftware

  • Zugriff für bestimmte autorisierte Benutzer

  • Gegenseitige Überwachung (4-Augen-Prinzip)

  • Plausibilitätsprüfung

  • Vollständigkeits- und Richtigkeitsprüfung

  1. Eingabekontrolle (z.B. Dokumentenmanagement, Protokollierung).

Der Auftragnehmer trägt dafür Sorge, dass nachträglich geprüft und festgestellt werden kann, ob und wann personenbezogene Daten in Datenverarbeitungssysteme eingegeben worden sind, durch:

  • Zugriffsrechte

  • Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

  • Mehraugenprinzip

  • Nachweis der organisatorisch festgelegten Zuständigkeiten für die Eingabe

  • Verfahrens-, Programm- und Arbeitsablauforganisation

  • Verpflichtung auf das Datengeheimnis und zur Vertraulichkeit

  1. Auftragskontrolle

Die von dem Auftragnehmer verarbeiteten und genutzten Daten dürfen ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers verarbeitet werden. Dies wird sichergestellt durch:

  • formalisierte Auftragserteilung (Auftragsformular)

  • Eindeutige vertragliche Regelungen

  • Sorgfältige Auswahl des Auftragnehmers

  • Überprüfung der Einhaltung der vertraglichen Regelungen

  • Funktionstrennung

III. Sicherstellung der Verfügbarkeit und Belastbarkeit (lit b) insb. durch

  1. Verfügbarkeitskontrolle (z.B. Backup-Strategie, Virenschutz, unterbrechungsfreie Stromversorgung, Notfallpläne etc.)

Angemessene Maßnahmen, die die Daten gegen zufällige Zerstörung oder Verlust schützen, durch:

  • Sicherheitskonzept für Software- und IT-Anwendungen

  • Back-Up Verfahren

  • Aufbewahrungsprozess für Back-Ups

  • Gewährleistung der Datenspeicherung im gesicherten Netzwerk

  • Bedarfsgerechtes Einspielen von Sicherheits-Updates

  • Firewall

  • Backups gemäß Back-Up-Plan

  • Virenschutz/Firewalls

  • Interne Guidelines und Arbeitsanweisungen

  • Spiegeln von Daten

  • Redundante Hardware

  • Absicherung der Systeme gegen Ausfall der Datenbank, Service-Level-Agreements

  • Unterbrechungsfreie Stromversorgung (USV)

  • Getrennte Aufbewahrung

  1. Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass die zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten getrennt verarbeitet werden:

  • Logische Mandantentrennung

  • Zugriffsberechtigungen nach funktioneller Zuständigkeit

  • Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

  • Mandantenfähigkeit von IT-Systemen

  • Verwendung von Testdaten

  • Trennung von Entwicklungs- und Produktionsumgebung

  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (lit d) insb. durch

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Bestellung eines Datenschutzbeauftragten

  • IT-Sicherheitskonzept

  • Arbeits- und Verfahrensanweisungen

  • Richtlinie zur PC-Nutzung

  • Clean-Desk Policy

  • Sicherheitsregeln und -richtlinien für den Gebrauch mobiler Geräte

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis

  • Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten

  • Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

  • Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

  • Einhaltung von Verhaltensregeln nach Art. 40 DSGVO

  • IT-Sicherheitsbeauftragter

Incident-Response-Management

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:

  • Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers

  • Prozess zur Erteilung und/oder Befolgung von Weisungen

  • Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

  • Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

  • Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis

Anlage 3: Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers ‍

Google Cloud Platform

  • Tätigkeiten: Speicherung von Daten

  • Zweck: Bereitstellung der Cloud Infrastruktur

  • Kategorien von Daten: Alle Daten, die innerhalb der gyde Platform verarbeitet werden

  • Betroffene: gyde Kunden und Nutzer

  • Anschrift: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

  • Weitere Informationen zum Datenschutz der Google Cloud Platform finden Sie hier: https://policies.google.com/privacy

Microsoft Azure

  • Tätigkeiten: Verarbeitung von Texteingaben und Kontextinformationen

  • Zweck: Generierung von Textvorschlägen für Nutzeranfrage

  • Kategorien von Daten: Nutzereingaben, Kontextinformationen aus Daten, die vom Nutzer zur Verfügung gestellt wurden

  • Betroffene: gyde Kunden und Nutzer der KI-Funktionalitäten

  • Anschrift: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

  • Weitere Informationen zum Datenschutz von Microsoft Azure finden Sie hier: https://azure.microsoft.com/de-de/explore/trusted-cloud/privacy

Rustici Software LLC (Learning Technologies Group) – optional, nur bei Nutzung des SCORM-Moduls

  • Tätigkeiten: Ausführung, Bereitstellung und Tracking von SCORM-basierten Lerninhalten

  • Zweck: Nutzung von SCORM-Kursen innerhalb der gyde Platform

  • Kategorien von Daten: Nutzungsdaten im Rahmen der Ausführung von SCORM-Modulen (z. B. Kursregistrierungen, Kurse, Fortschrittsdaten)

  • Betroffene: gyde Kunden und Nutzer, die SCORM-Inhalte verwenden

  • Anschrift: Rustici Software LLC, 725 Cool Springs Blvd., Suite 320, Franklin, TN 37067, USA

  • Weitere Informationen zum Datenschutz von Rustici finden Sie hier: https://ltgplc.com/privacy-notice/

OpenAI

  • Tätigkeiten: Verarbeitung von Texteingaben und Kontextinformationen

  • Zweck: Generierung von Textvorschlägen für Nutzeranfrage

  • Kategorien von Daten: Nutzereingaben, Kontextinformationen aus Daten, die vom Nutzer zur Verfügung gestellt wurden

  • Betroffene: gyde Kunden und Nutzer der KI-Funktionalitäten

  • Anschrift: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper Dublin 1, D01 YC43 Irland

  • Weitere Informationen zum Datenschutz von OpenAI finden Sie hier: https://openai.com/de-DE/policies/privacy-policy/

Antrophic

  • Tätigkeiten: Verarbeitung von Texteingaben und Kontextinformationen

  • Zweck: Generierung von Textvorschlägen für Nutzeranfrage

  • Kategorien von Daten: Nutzereingaben, Kontextinformationen aus Daten, die vom Nutzer zur Verfügung gestellt wurden

  • Betroffene: gyde Kunden und Nutzer der KI-Funktionalitäten

  • Anschrift: Anthropic Ireland Limited, 6th Floor, South Bank House, Barrow Street, Dublin 4 D04 TR29 Irland

  • Weitere Informationen zum Datenschutz von Antrophic finden Sie hier: https://www.anthropic.com/legal/privacy

Twilio Sendgrid

  • Tätigkeiten: Verarbeitung von Emailnachrichten und Emailadressen

  • Zweck: Versand von transaktionalen Emails

  • Kategorien von Daten: Alle Daten, die per transaktionaler E-Mail versendet werden, z.B. Emailadresse, Vor- & Zuname

  • Betroffene: gyde Kunden, Nutzer und weitere Empfänger von transaktionalen Emails

  • Anschrift: Twilio Ireland Limited, 70 Sir John Rogerson's Quay, Dublin 2 D02 R296, Ireland

  • Weitere Informationen zum Datenschutz von Twilio finden Sie hier: https://www.twilio.com/en-us/legal/privacy

‍Google Cloud KI-Dienste

  • Tätigkeiten: Verarbeitung von Texteingaben und Kontextinformationen

  • Zweck: Generierung von Text-, Bild-, Bewegtbild- und Audiomaterial für Nutzeranfrage

  • Kategorien von Daten: Nutzereingaben, Kontextinformationen aus Daten, die vom Nutzer zur Verfügung gestellt wurden

  • Betroffene: gyde Kunden und Nutzer der KI-Funktionalitäten

  • Anschrift: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

  • Weitere Informationen zum Datenschutz von Google Cloud KI-Diensten finden Sie hier: https://cloud.google.com/terms/cloud-privacy-notice

Black Forest Labs

  • Tätigkeiten: Verarbeitung von Texteingaben und Kontextinformationen

  • Zweck: Generierung von Bild- und Bewegtbildmaterial für Nutzeranfrage

  • Kategorien von Daten: Nutzereingaben, Kontextinformationen aus Daten, die vom Nutzer zur Verfügung gestellt wurden

  • Betroffene: gyde Kunden und Nutzer der KI-Funktionalitäten

  • Anschrift: BFL GmbH, Ingeborg-Krummer-Schroth-Straße 1879106 Freiburg im Breisgau, Germany

  • Weitere Informationen zum Datenschutz von Black Forest Labs finden Sie hier: https://bfl.ai/legal/privacy-policy