Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO – Stand: 07/2023

zwischen

den Nutzern der SimpleSell-Plattform

im Folgenden „Auftraggeber genannt

und

SimpleSell GmbH, Im Moos 5, 93462 Lam, DEUTSCHLAND

im Folgenden „Auftragnehmer“ genannt.

1. Präambel

1.1
Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung personenbezogener Daten im Auftrag. Der Auftragnehmer (auch „Auftragsverarbeiter“ genannt) verarbeitet dabei personenbezogene Daten für den Auftraggeber (auch „Verantwortlicher“ genannt) im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Auftrags.

1.2
Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn eingesetzte Unterauftragnehmer (auch „Unterauftragsverarbeiter“ genannt) personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

1.3
In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO in ihrer jeweils aktuellen Fassung zu verstehen.

1.4
Die Vergütung wird im Hauptvertrag vereinbart.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer übernimmt die Verarbeitung von personenbezogenen Daten im Rahmen der Bereitstellung der cloud-basierten Versandsoftware „SimpleSell“ für den Auftraggeber. Der Vertrag wird auf unbestimmte Zeit geschlossen und endet mit der Löschung des Kundenkontos in „SimpleSell“. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Art, Zweck und Betroffene der Datenverarbeitung

3.1
Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist die operative Nutzung durch den Auftraggeber und Support durch den Auftragnehmer bzgl. der cloud-basierten Versandsoftware „SimpleSell“. Insbesondere erfolgt die Datenverarbeitung zum Zweck der Erzeugung von Versandetiketten zur Automatisierung des Versandprozesses des Auftraggebers. Hierfür werden Bestelldaten der Kunden des Auftraggebers von dessen verschiedenen Marktplätzen und Shopsystemen in „SimpleSell“ importiert und verarbeitet.

3.2
Art der Daten

Im Auftrag werden verarbeitet:

  • Daten der Kunden des Auftraggebers, z.B. Name, Adresse, Bestellungen

  • Name und Kommunikationsdaten des Auftraggebers (soweit natürliche Person), z.B. Telefon, E-Mail-Adresse

  • ggf. Name und E-Mail-Adresse von Mitarbeitern des Auftraggebers, wenn für diese individuelle Nutzeraccounts angelegt werden

3.3
Kreis der Betroffenen

Von der Verarbeitung betroffen sind:

  • Kunden des Auftraggebers

  • Mitarbeiter des Auftraggebers

  • Auftraggeber selbst (soweit natürliche Person)

4. Pflichten des Auftragnehmers

4.1
Die unmittelbare Datenverarbeitung auf der Plattform „SimpleSell“ erfolgt durch den Auftraggeber selbst. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zwecke der Verbesserung und Erbringung von Dienstleistungen für den Auftraggeber sowie um dem Auftraggeber Support bei der Plattformnutzung zu leisten. Die Verarbeitung erfolgt ausschließlich im Auftrag bzw. nach Weisung des Auftraggebers und in Übereinstimmung mit diesen Bestimmungen, sofern nicht anderweitig durch ein entsprechendes Gesetz, dem der Auftragnehmer unterliegt, vorgeschrieben.

4.2
Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung und sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

4.3
Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Der Auftragnehmer setzt bei der Durchführung von Aufgaben nur Personen ein, die auf Vertraulichkeit, sofern sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen, schriftlich verpflichtet sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz und dieses Vertrags vertraut gemacht wurden. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

4.4
Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutz-Folgenabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Aufzeichnungen macht der Auftragnehmer dem Auftraggeber auf Anfrage unverzüglich zugänglich.

Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die dieser benötigt, um die Einhaltung der Vorschriften zur Auftragsverarbeitung gem. Art. 28 DSGVO dokumentieren und nachweisen zu können. Der Auftragnehmer stellt dem Auftraggeber die für das Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO notwendigen Informationen zur Verfügung.

Der Auftragnehmer verpflichtet sich, den Auftraggeber bei den zu treffenden Maßnahmen in Bezug auf die Datensicherheit nach Art. 32 DSGVO, bei ggf. nötigen Meldungen an die Aufsichtsbehörde (Art. 33 DSGVO) oder bei Benachrichtigungen Betroffener (Art. 34 DSGVO), bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie bei der Abstimmung mit Aufsichtsbehörden (Art. 36 DSGVO) zu unterstützen. Insbesondere bei der Erfüllung der Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO) wird der Auftragnehmer dem Auftraggeber die notwendigen Informationen unverzüglich zur Verfügung stellen. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer dem Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten zu unterstützen (Art. 30 DSGVO).

4.5
Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

Der Auftragnehmer ermöglicht eine ordnungsgemäße Datenschutzkontrolle und Aufsicht durch die zuständige Aufsichtsbehörde. Insbesondere erteilt er der Aufsichtsbehörde richtig, vollständig und rechtzeitig Auskunft, duldet Prüfungen und (Kontroll-)Maßnahmen und vollzieht Anordnungen der Aufsichtsbehörde. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, falls sich die Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an den Auftragnehmer wenden sollte.

4.6
Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Nachrichten wird er unverzüglich an den Auftraggeber weiterleiten.

Der Auftragnehmer stellt sicher, dass der Auftraggeber gesetzliche Ansprüche Betroffener aus den Artt. 12 bis 22 DSGVO erfüllen kann. Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen zu treffen, um den Auftraggeber bei der Beantwortung entsprechender Anträge von Betroffenen zu unterstützen. Insbesondere wird der Auftragnehmer den Auftraggeber darin unterstützen, Ansprüche Betroffener auf Löschung ihrer personenbezogenen Daten gem. Art. 17 DSGVO zu erfüllen. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls sich ein Betroffener zum Zwecke der Auskunft, Berichtigung, Löschung oder Sperrung seiner Daten unmittelbar an den Auftragnehmer wenden sollte.

4.7
Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Der Auftragnehmer teilt dem Auftraggeber auf Anfrage unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Der Auftragnehmer informiert den Auftraggeber unverzüglich über jeden Wechsel in der Person des Datenschutzbeauftragten. Der Auftragnehmer gewährleistet, dass die Anforderungen an den Datenschutzbeauftragten und seine Tätigkeit gemäß Art. 38 DSGVO erfüllt werden. Sofern kein Datenschutzbeauftragter beim Auftragnehmer benannt ist, benennt der Auftragnehmer dem Auftraggeber einen Ansprechpartner.

4.8
Die Auftragsverarbeitung erfolgt vollständig und ausschließlich innerhalb der EU oder des EWR. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

4.9
Sollten personenbezogene Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, hat der Auftragnehmer den Auftraggeber unverzüglich hierüber zu informieren. Der Auftragnehmer wird die in diesem Zusammenhang Beteiligten unverzüglich darüber informieren, dass die Hoheit an den personenbezogenen Daten beim Auftraggeber liegt.

5. Sicherheit der Verarbeitung

5.1

Die in der Anlage 1 zu diesem Vertrag beschriebenen technischen und organisatorischen Datensicherheitsmaßnahmen nach Art. 32 DSGVO sind vom Auftragnehmer gemäß Art. 28 Abs. 3 Satz 2 lit. c DSGVO umzusetzen und aufrechtzuerhalten. Sie definieren das vom Auftragnehmer geschuldete Minimum.

5.2
Die zu treffenden technischen und organisatorischen Maßnahmen umfassen insbesondere Maßnahmen zur Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Verarbeitungssysteme. Weiterhin umfasst ist die Fähigkeit, nach einem Vorfall zeitnahe Verfügbarkeit und Zugriff auf die betroffenen personenbezogenen Daten wiederherzustellen, sowie die regelmäßige Kontrolle der Wirksamkeit der implementierten Maßnahmen. Bei der Implementierung von Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

5.3
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.

6. Berichtigung, Löschung und Sperrung von Daten

6.1
Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

6.2
Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrags hinaus Folge leisten.

7. Unterauftragsverhältnisse

7.1
Dem Auftragnehmer ist es gestattet, zur Auftragsverarbeitung Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber bzgl. der eingesetzten Unterauftragsverarbeiter, aktualisiert diese Auflistung regelmäßig und benachrichtigt den Auftraggeber im Falle der Ernennung eines neuen Unterauftragnehmers rechtzeitig.

7.2
Eine Beauftragung eines Unterauftragnehmers in einem Drittland außerhalb der EU bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

7.3
Im Hinblick auf jeden Unterauftragnehmer stellt der Auftragnehmer sicher, dass:

  • diese Beauftragung in einem schriftlichen Vertrag festgelegt ist, was auch in einem elektronischen Format erfolgen kann;

  • die Verpflichtungen, die in diesem Vertrag und gemäß Art. 28 Abs. 3 DSGVO dargelegt sind, mutatis mutandis auf den Unterauftragsverarbeiter übertragen werden;

  • der Unterauftragsverarbeiter personenbezogene Daten im Einklang mit den technischen und organisatorischen Maßnahmen gemäß diesen Bestimmungen und Art. 32 DSGVO verarbeitet.

7.4
Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

8. Rechte und Pflichten des Auftraggebers

8.1
Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte von Betroffenen nach Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.

8.2
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

8.3
Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang und auf eigene Kosten selbst oder durch Dritte zu kontrollieren. Vom Auftragnehmer ist den mit der Kontrolle betrauten Personen soweit erforderlich Zutritt und Einblick zu gewähren, um ihnen die im Zusammenhang mit der Kontrolle erforderlichen Auskünfte zu erteilen. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

8.4
Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen und finden nur nach angemessener Vorankündigung statt.

8.5
Der Auftraggeber erlaubt die Verarbeitung personenbezogener Daten in Privatwohnungen von Mitarbeitern des Auftragnehmers im Rahmen von Telearbeitsplätzen. Der Auftragnehmer stellt hierbei sicher, dass in den betroffenen Privatwohnungen ein diesem Vertrag entsprechendes Datenschutzniveau gewährleistet werden kann und die Kontrollrechte des Auftraggebers auch dort uneingeschränkt ausgeübt werden können.

9. Mitteilungspflichten

9.1
Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Der Auftragnehmer ergreift unverzüglich Maßnahmen zur Behebung dieser Verletzung und zur Milderung eventueller negativer Folgen.

9.2
Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezug zur Auftragsverarbeitung aufweisen.

9.3
Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und Art. 34 DSGVO im erforderlichen Umfang zu unterstützen.

10. Weisungen

10.1
Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

10.2
Der Auftraggeber benennt auf Verlangen des Auftragnehmers eine oder mehrere weisungsberechtigte Personen. Änderungen sind dem Auftragnehmer unverzüglich mitzuteilen.

10.3
Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen in Textform. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich in Textform bestätigen.

10.4
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10.5
Bei gesetzlichen Ausnahmen von der Weisungsgebundenheit des Auftragnehmers gem. Art. 28 Abs. 3 S. 2 lit. A) DSGVO informiert der Auftragnehmer den Auftraggeber über auf Grundlage von Rechtsvorschriften erfolgte oder unterbliebene Datenverarbeitungen, es sei denn, die Rechtsvorschrift verbietet dem Auftragnehmer eine Mitteilung.

10.6
Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

10.7
Weisungsgebundenheit

10.7.1
Der Auftragnehmer erhebt und verarbeitet personenbezogene Daten im Rahmen der im Hauptvertrag geregelten Dienste ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers, zu dem vorgesehenen Zweck (vgl. Ziff. 3.1) und Umfang sowie in Übereinstimmung mit den Bestimmungen dieses Auftragsverarbeitungsvertrags.

10.7.2
Der Auftraggeber behält sich vor, den Auftrag ergänzende, ändernde oder ersetzende Weisungen in Bezug auf die Verarbeitung zu erteilen. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

10.7.3
Soweit Weisungen des Auftraggebers unklar sein sollten, ist der Auftragnehmer verpflichtet, hierüber den Auftraggeber zu informieren und eine Klarstellung einzuholen.

11. Löschung und Rückgabe von personenbezogenen Daten

11.1
Kopien oder Duplikate von personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich sind.

11.2
Nach der Schließung des Kundenkontos in „SimpleSell“ wird der Auftragnehmer alle personenbezogenen Daten innerhalb von sechs Monaten datenschutzkonform löschen, soweit und solange nicht gesetzliche Aufbewahrungspflichten bestehen, und dies dem Auftraggeber bestätigen.

11.3
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer für drei Jahre über das Vertragsende hinaus aufzubewahren.

12. Haftung

12.1
Haftung im Außen- und Innenverhältnis

12.1.1
Auftragnehmer und Auftraggeber haften im Außenverhältnis nach Art. 82 Abs. 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind sowohl der Auftraggeber als auch der Auftragnehmer für einen solchen Schaden gem. Art. 82 Abs. 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung.

12.1.2
Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadenersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit dies ihrem Anteil an der Verantwortung entspricht.

12.2
Haftung für Mitarbeiter und Beauftragte

Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer und seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

Der Auftragnehmer haftet nicht für Schäden, die durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden sind.

12.3
Subunternehmer

Der Auftragnehmer haftet dem Auftraggeber gegenüber entsprechend auch für die Einhaltung der Datenschutzpflichten der Unterauftragnehmer, die er zur Erfüllung seiner Aufgaben einsetzt. Verschulden von Unterauftragnehmern ist dem Auftragnehmer wie eigenes Verschulden zuzurechnen.

Anlage 1: Technische und organisatorische Maßnahmen

Pseudonymisierung

  • Personenbezogene Daten werden für statistische Auswertungen pseudonymisiert.

  • Kundendaten werden bei der Kontolöschung endgültig gelöscht, sofern sie nicht einer gesetzlichen Aufbewahrungspflicht unterliegen.

  • Nicht mehr benötigte personenbezogene Bestelldaten in SimpleSell werden automatisch pseudonymisiert bzw. gelöscht.

Verschlüsselung

  • Der Zugang zu SimpleSell erfolgt ausschließlich verschlüsselt über SSL-Verbindungen mittels aktueller Cipher-Suiten und Protokolle.

  • Wir verschlüsseln Data-at-Rest mittels aktueller Verschlüsselungsalgorithmen auf unseren Systemen.

  • Die Wartung und Konfiguration unserer Systeme erfolgt ausschließlich über verschlüsselte Verbindungen, z. B. SSL oder SSH.

  • Login-Passwörter und SimpleSell-API-Tokens unserer Kunde werden mittels aktuellen Hashing-Algorithmen gehasht und sind somit für niemanden im Klartext lesbar.

  • SimpleSell kommuniziert ausschließlich verschlüsselt über SSL-Verbindungen mit den APIs von Drittsystemen, z. B. den Transportdienstleistern, und speichert die zugehörigen API-Zugangsdaten verschlüsselt.

Vertraulichkeit

Zutrittskontrolle

  • Die Zutrittskontrolle zu unseren Datenverarbeitungssystemen wird durch unseren Unterauftragsverarbeiter AWS sichergestellt.

Zugangskontrolle

  • Unsere Systeme sind durch Authentifizierung und Autorisierung vor unbefugtem Zugriff geschützt.

  • Wir verwenden benutzerspezifische und komplexe Passwörter, SSH-Schlüssel und falls möglich Zwei-Faktor-Authentifizierung zum Schutz unserer Systeme und Administrationsoberflächen.

  • Unsere Systeme sind auf Netzwerkebene durch Firewalls geschützt.

  • Wir haben automatische Sperrmechanismen zur Abwehr fehlerhafter oder unbefugter Anmeldeversuche implementiert.

  • Es werden regelmäßig Software- und Sicherheitsupdates aller Systeme durchgeführt.

Zugriffskontrolle

  • Unsere Systeme sind durch Authentifizierung und Autorisierung von unbefugtem Zugriff geschützt.

  • Fehlerhafte Anmeldeversuche an unseren Systemen werden protokolliert und überwacht.

  • Wir verwenden individuelle Benutzerkonten zur eindeutigen Identifizierbarkeit und zur Nachweisbarkeit von Aktionen.

  • Wir überprüfen regelmäßig die Zugriffsberechtigungen aller Benutzerkonten und deaktivieren inaktive Benutzerkonten.

  • Der Zugriff auf die für einen Verarbeitungsprozess notwendigen Daten wird rollenbasiert nach dem Need-to-know-Prinzip erteilt.

  • Unsere Systeme sind durch Firewalls, Virenscanner und Spamfilter geschützt.

Trennungskontrolle

  • Entwicklungs-, Test- und Produktivsysteme sind voneinander getrennt.

  • Durch Authentifizierung und logische Mandantentrennung kann jeder Kunde von SimpleSell ausschließlich auf seine eigenen Daten zugreifen.

Integrität

Weitergabekontrolle

  • Alle Mitarbeiter sind gemäß Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

  • Unsere Systeme sind auf Netzwerkebene durch Firewalls geschützt.

  • Der Kunde entscheidet durch die Einrichtung einer Integration in SimpleSell über den Austausch von Daten mit der API des jeweiligen Drittsystems, z. B. einem Transportdienstleister.

  • Für Maßnahmen zur Verschlüsselung siehe Punkt "Verschlüsselung".

Eingabekontrolle

  • Daten werden bei der Eingabe in SimpleSell zur Vermeidung von Fehlern validiert und auf Plausibilität geprüft.

  • Eingabe, Änderung und Löschung von Daten wird zur Nachvollziehbarkeit protokolliert.

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

  • Die physikalische Sicherheit und der Schutz unserer Datenverarbeitungssysteme vor DDoS-Angriffen wird durch unseren Unterauftragsverarbeiter AWS sichergestellt.

  • Wir überwachen die Systemauslastung und haben die Möglichkeit, kurzfristig die Kapazitäten bei unerwarteten Lastspitzen zu erhöhen.

  • Alle Systeme sind redundant ausgelegt.

  • Es werden regelmäßig Software- und Sicherheitsupdates aller Systeme durchgeführt.

  • Anwendungsfehler werden zur frühzeitigen Identifikation von Problemen protokolliert und überwacht.

Rasche Wiederherstellbarkeit

  • Die Wiederherstellbarkeit der Hardware unserer Datenverarbeitungssysteme wird durch unseren Unterauftragsverarbeiter AWS sichergestellt.

  • Wir führen täglich Backups aller Anwendungsdaten durch und können diese bei Bedarf zur raschen Wiederherstellung verwenden.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Wir aktualisieren unsere internen Verfahrensverzeichnisse nach jeder großen Infrastrukturänderung.

  • Ein Incident Response Plan zur Abwicklung von Datenschutzvorfällen ist vorhanden.

  • Eine Datenschutzrichtline mit Angaben zum Umgang mit sensiblen Daten ist vorhanden.

  • Datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 2 DSGVO werden bei der Entwicklung berücksichtigt.

  • Alle Mitarbeiter sind gemäß Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

  • Wir bringen unsere Datenschutzmaßnahmen bei Bedarf risikobezogen angepasst auf den aktuellen Stand.

  • Eine automatisierte Testsuite stellt die Softwarequalität sicher.

  • Die Verarbeitung personenbezogener Daten ist gesetzeskonform in AV-Verträgen bzw. Standardvertragsklauseln geregelt.

  • Wir überprüfen die Funktionsfähigkeit und die Wirksamkeit unserer Backups regelmäßig.

Anlage 2: Liste der Unterauftragnehmer

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy
1855 Luxemburg
Luxemburg

Amazon Web Services (AWS) stellt Cloud-Dienste zum Betrieb unserer Softwarelösungen in zertifizierten Rechenzentren innerhalb Deutschlands bereit. Informationen zum Datenschutz bei AWS sowie die Zertifikate für ISO 27001, ISO 27017 und ISO 27018 können unter https://aws.amazon.com/de/compliance/gdpr-center/ abgerufen werden.

Stripe Payments Europe Ltd.

1 Grand Canal Street Lower
Grand Canal Dock
Dublin, D02 H210
Ireland

Wir nutzen Stripe zur Abrechnung unserer Dienstleistungen. Weitere Informationen zum Datenschutz bei Stripe können unter https://stripe.com/privacy-center/legal abgerufen werden.

Intercom R&D Unlimited Company

2nd Floor
Stephen Court
18-21 Saint Stephen's Green
Dublin 2, D02 N960
Ireland

Wir nutzen Intercom zur Bearbeitung von Supportanfragen. Weitere Informationen zum Datenschutz bei Intercom können unter https://www.intercom.com/legal/privacy abgerufen werden.