Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem jeweiligen Kunden (Auftraggeber) und der VS-Apps GmbH, Jülicher Straße 72a, 52070 Aachen (Auftragnehmer).

1. Gegenstand und Dauer des Vertrags

(1) Gegenstand

Die Leistung umfasst eine Digitalisierungs- und Strategieberatung zur Analyse, Konzeption und Umsetzung von Maßnahmen zur Optimierung und Digitalisierung von Geschäftsprozessen. Der Auftragnehmer erbringt hierzu moderierte Workshops und strukturierte Interviews, erhebt und analysiert bestehende Prozesse, Anforderungen, Datenquellen sowie die bestehende System- und Toollandschaft, bewertet technische und organisatorische Rahmenbedingungen (inkl. Datenschutz/Informationssicherheit/Compliance) und erstellt Entscheidungsgrundlagen, Umsetzungsfahrpläne sowie konkrete Handlungsempfehlungen.

Ergänzend übernimmt der Auftragnehmer — sofern beauftragt — die Einrichtung und Konfiguration digitaler Werkzeuge, die Implementierung automatisierter Workflows und Integrationen (z. B. zwischen CRM-, Kollaborations-, Kommunikations- und Cloud-Systemen) sowie die Konzeption und Entwicklung individueller Softwarelösungen und Apps einschließlich Tests, Dokumentation und Übergabe in den Betrieb.

(2) Die Dauer dieses Vertrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

(3) Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).

(4) Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.

2. Konkretisierung des Vertragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten

Nähere Beschreibung des Vertragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers: Durchführung einer Digitalisierungs- und Strategieberatung zur Analyse, Optimierung und Digitalisierung von Geschäftsprozessen, einschließlich moderierter Workshops und strukturierter Interviews, Erhebung und Analyse der bestehenden Prozess- und Kommunikationsabläufe sowie der eingesetzten Systeme, Tools und Schnittstellen. Bewertung und Strukturierung geeigneter Datenquellen und Informationsbestände (z. B. Webseiteninhalte, Dokumentationen, Wissensdatenbanken, CRM-/Ticket-Daten) als Grundlage für Automatisierungen und digitale Lösungen. Prüfung und Abstimmung technischer Rahmenbedingungen (z. B. Zielarchitektur, Hosting, Datenhaltung, Zugriffs- und Berechtigungskonzepte, Integrationsfähigkeit) sowie organisatorischer, datenschutzrechtlicher und compliancebezogener Anforderungen. Ableitung von Entscheidungsgrundlagen, Priorisierung von Maßnahmen, Definition eines Umsetzungskonzepts und Erstellung von Empfehlungen/Umsetzungsfahrplänen für ein nachgelagertes Implementierungs- bzw. Softwareentwicklungsprojekt (z. B. automatisierte Workflows, Tool-Setups, individuelle App-/Softwareentwicklung).

(2) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

• Personenstammdaten

• Kommunikationsdaten (z.B. Telefon, E-Mail)

• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

• Kundenhistorie

(3) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Kunden

• Interessenten

• Abonnenten

• Beschäftigte

• Lieferanten

• Handelsvertreter

• Ansprechpartner

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung [Anlage 1]. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Vertrags.

(2) Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(3) Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzen.

4. Rechte von betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

(1) Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

b) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

c) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

d) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

e) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

f) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieses Vertrags.

g) Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DS-GVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.

h) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.

i) Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.

(2) Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO mit dem Unterauftragnehmer zu.

Die vertragliche Vereinbarung wird dem Auftraggeber auf dessen Verlangen vorgelegt, wobei geschäftliche Klauseln ohne datenschutzrechtlichen Bezug hiervon ausgenommen sind.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung. Der Auftragnehmer stellt ferner sicher, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Internationale Datentransfers

(1) Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

(2) Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DS-GVO verantwortlich.

8. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

9. Weisungsbefugnis des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt.

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber — spätestens aber mit Beendigung der Leistungsvereinbarung — hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

11. Aufnahme weiterer Vertragsparteien

Verantwortliche oder Auftragsverarbeiter, die nicht Partei dieses Vertrags sind, können, mit Zustimmung der Vertragsparteien, diesem Vertrag jederzeit beitreten, indem sie die Anlagen dieses Vertrages ausfüllen und unterzeichnen.

Anlage 1 – Technisch-organisatorische Maßnahmen

Beschreibung von Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

• Personenbezogene Daten werden, soweit erforderlich (und technisch möglich), in Auswertungen/Ergebnisdokumenten pseudonymisiert bzw. anonymisiert (z. B. Entfernung von Namen/E-Mail-Adressen, Ersetzung durch Platzhalter).

• Verschlüsselung bei Transport und Speicherung: Verwendung verschlüsselter Verbindungen (TLS/HTTPS) für Zugriffe auf Systeme und für Datenübertragungen; Verschlüsselung von Datenträgern auf Endgeräten (Full-Disk-Encryption).

• Passwörter/Secrets werden nicht im Klartext gespeichert, sondern in geeigneten Passwort-/Secret-Management-Lösungen verwaltet.

Beschreibung von Maßnahmen zur Gewährleistung einer kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

• Zugriff nach dem Need-to-know-Prinzip; rollen- und berechtigungsbasierte Zugriffskonzepte; Vergabe individueller Benutzerkonten (keine Sammelaccounts).

• Trennung von Kundenumgebungen/Projekten und projektspezifische Ablage; Zugriff nur für am Projekt beteiligte Personen.

• Regelmäßige Datensicherung der projektbezogenen Arbeitsstände (soweit beim Auftragnehmer gespeichert) und Schutz vor unbefugtem Zugriff.

• Berechtigungen werden dezentral über die genutzten Plattformen verwaltet.

Beschreibung von Maßnahmen zur Gewährleistung der Verfügbarkeit personenbezogener Daten und des raschen Zugangs zu Daten im Falle eines physischen oder technischen Zwischenfalls

• Backup-/Wiederherstellungsprozesse für beim Auftragnehmer gespeicherte projektbezogene Dokumente/Arbeitsstände; Wiederherstellung nach technischem Zwischenfall nach definiertem Verfahren der jeweiligen Cloudanbieter (siehe Anlage 2).

Beschreibung von Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

• Regelmäßige Überprüfung der Zugriffsberechtigungen (z. B. bei Rollenwechsel/Projektende), sowie Deaktivierung nicht mehr benötigter Konten.

• Regelmäßige Aktualisierung von Systemen/Software und Prüfung sicherheitsrelevanter Einstellungen.

• Dokumentation und Nachverfolgung von Sicherheitsvorfällen und umgesetzten Maßnahmen.

Beschreibung von Maßnahmen zur Identifizierung und Authentifizierung von Nutzern

• Zugriff auf Systeme ausschließlich über persönliche Benutzerkonten.

• Starke Passwortrichtlinien; wo verfügbar Einsatz von Multi-Faktor-Authentifizierung (MFA).

• Sperrung/Entzug von Zugängen bei Ausscheiden von Mitarbeitenden oder nach Projektende.

• Zugriff auf Administrationsfunktionen nur für ausdrücklich autorisierte Personen (sofern möglich).

Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung

• Datenübertragung ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS); keine unverschlüsselten Übertragungswege.

• Remote-Zugriffe erfolgen über vom Auftraggeber bereitgestellte sichere Zugänge; wenn erforderlich Nutzung eines gesicherten Zugriffskanals (z. B. VPN) gemäß Vorgaben des Auftraggebers.

• Austausch von Dokumenten über definierte, abgesicherte Kanäle; keine Weitergabe über private Messenger/unsichere Kanäle.

Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei ihrer Speicherung

• Projektbezogene Daten werden nur gespeichert, soweit für die Leistungserbringung erforderlich, und auf definierte Speicherorte beschränkt.

• Zugriffsschutz durch Berechtigungskonzepte; Verschlüsselung von Endgeräten/Datenträgern; regelmäßige Updates.

• Löschung bzw. Rückgabe projektbezogener Daten nach Abschluss entsprechend den vertraglichen Vorgaben; keine Erstellung von Kopien außerhalb der vereinbarten Ablage (ausgenommen Backups).

Beschreibung von Maßnahmen zur Gewährleistung einer physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

• Alle Geräte sind mit Passwortschutz oder biometrischer Authentifizierung (TouchID) und automatischer Sperrung gesichert.

• Nutzung eines Passwortmanagers mit automatisch generierten Passwörtern (Mindestlänge: 12 Zeichen & zufällige Kombination aus Zahlen, Sonderzeichen, Groß- & Kleinbuchstaben).

• Vorwiegende Nutzung von Zwei-Faktor-Authentifizierung (2FA).

• Berechtigungen werden anlassbezogen vergeben und regelmäßig überprüft.

• Wir arbeiten ausschließlich mit MacBooks. Diese verfügen über die folgenden integrierten Sicherheitsfunktionen von macOS:

  • XProtect — Ein eingebauter Virenscanner, der bekannte Malware erkennt und blockiert.

  • Gatekeeper — Schützt vor unsignierten Apps und verhindert, dass schadhafte Software gestartet wird.

  • Malware Removal Tool (MRT) — Entfernt bekannte Malware automatisch bei System-Updates.

  • System Integrity Protection (SIP) — Verhindert unerlaubte Änderungen am System durch Malware oder Nutzer.

  • macOS Firewall — Blockiert unerwünschte eingehende Verbindungen.

• Wir nutzen die Festplattenverschlüsselung von macOS (FileVault):

  • Verschlüsselungsmethode: AES-XTS mit 128-Bit-Blöcken und einem 256-Bit-Schlüssel.

  • Verschlüsselung der gesamten Festplatte (Full Disk Encryption, FDE).

• Papierunterlagen werden, soweit überhaupt genutzt, sicher aufbewahrt und nach Zweckfortfall datenschutzgerecht vernichtet.

Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Heim- oder Telearbeit

• Heim-/Telearbeit nur mit dienstlichen bzw. freigegebenen, verschlüsselten Endgeräten; keine Verarbeitung auf gemeinsam genutzten Privatgeräten.

• Vertrauliche Gespräche/Datenzugriffe in geschützter Umgebung; Schutz vor Einsichtnahme Dritter (z. B. Sichtschutz, keine öffentlichen Räume).

• Nutzung gesicherter Netzwerke; keine ungesicherten WLANs ohne zusätzliche Schutzmaßnahmen.

Beschreibung von Anforderungen an die Ereignisprotokollierung (z.B. bei der Nutzerauthentifizierung oder der Dateneingabe, -veränderung oder -löschung)

• Nutzung der Protokollierungs-/Audit-Funktionen der eingesetzten Systeme (CRM/ERP/Chatbot), soweit vom Auftraggeber bereitgestellt/aktiviert.

• Protokollierung von Zugriffen und administrativen Tätigkeiten, soweit systemseitig möglich; Auswertung im Anlassfall (z. B. Sicherheitsvorfall).

Beschreibung technisch-organisatorischer Maßnahmen im Rahmen der Unterstützungspflichten des Auftragnehmers (z.B. bei den Betroffenenrechten)

• Unterstützung des Auftraggebers bei der Beantwortung von Betroffenenanfragen, soweit dies die beim Auftragnehmer vorhandenen Daten/Unterlagen betrifft (z. B. Auffinden, Export, Löschung projektbezogener Dokumente).

• Weiterleitung von direkt beim Auftragnehmer eingehenden Betroffenenanfragen unverzüglich an den Auftraggeber.

• Unterstützung bei der Aufklärung/Behebung von Datenschutzvorfällen durch Bereitstellung der notwendigen Informationen (z. B. Umfang, Zeitpunkt, betroffene Systeme, getroffene Maßnahmen).

Anlage 2 – Genehmigte Unterauftragsverhältnisse