Zuletzt aktualisiert am: 09.08.2024

Auftragsverarbeitungsvereinbarung (AVV)

1. Präambel, Regelungsgegenstand und Rangfolge

1.1 Allgemeines. Diese Auftragsverarbeitungsvereinbarung („AVV“) ist Teil der Rahmenvereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste (die "Vereinbarung").

1.2 Gegenstand der AVV. Diese AVV beschreibt, wie Cozero personenbezogene Daten, die Sie uns im Zusammenhang mit der Nutzung unserer Dienste zur Verfügung stellen, in Übereinstimmung mit den Anforderungen der Datenschutzgesetze verarbeiten wird.

1.3 Widersprüche. Im Falle eines Konflikts haben die Bestimmungen dieser AVV Vorrang vor den Bestimmungen des Abkommens.

2. Definitionen

In dieser AVV werden folgende Begriffe verwendet:

2.1 "Vereinbarung" bezeichnet die Vereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste, wie in unseren Servicebedingungen dargelegt.

2.2 "Kunde" oder "Sie" bezieht sich auf Sie, die Person, die die Vereinbarung (einschließlich dieser AVV) mit Cozero abschließt. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen dieser Organisation zu und versichern, dass Sie dazu befugt sind, dies zu tun. In diesem Fall bezieht sich der Begriff "Kunde" oder "Sie" auf diese Organisation.

2.3"Datenschutzgesetze" sind alle Gesetze und Verordnungen, einschließlich der Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, die auf die Verarbeitung personenbezogener Daten (auch im Zusammenhang mit der Erbringung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) anwendbar sind, insbesondere die DSGVO, das deutsche Telekommunikations- und Telemediendatenschutzgesetz (TTDSG).

2."DSGVO" bezeichnet die EU-Datenschutz-Grundverordnung (EU) 2016/679.

2.5 "Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die von Cozero im Rahmen der Dienste an und/oder mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Abgleichen oder Kombinieren, Sperren, Löschen oder Vernichten.

2.6 "Dienste" bezeichnet die Dienste, die wir über unsere Website anbieten, einschließlich unserer Emission Communication and Engagement Services.

2.7 "Website" bezeichnet unsere Website, www.cozero.io​ sowie die dazugehörige Plattform.

2.8 "Unterauftragsverarbeiter" bezeichnet einen von Cozero beauftragten dritten Unterauftragnehmer, der als Teil der Aufgabe des Unterauftragnehmers, die Dienste zu erbringen, personenbezogene Daten verarbeiten wird.

2.9 "Betroffener" bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Angestellter, ein Lieferantenvertreter, ein Kundenvertreter oder ein Geschäftskontakt von Ihnen ist und die von Ihnen über unsere Website kontaktiert und/oder in den Kohlenstoffmanagementprozess einbezogen wurde oder wird.

2.10 "Personenbezogene Daten" sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Personenbezogene Daten können in den Kundendaten enthalten sein.

Andere Begriffe haben die Definitionen, die für sie in der Vereinbarung oder in der Datenschutz-Grundverordnung vorgesehen sind, oder werden im Folgenden anders definiert.

3. Anwendungsbereich, Dauer, Art der Daten und Kategorien von betroffenen Personen

3.1 Allgemeiner Geltungsbereich. Gemäß den Bedingungen dieser AVV wird Cozero personenbezogene Daten im Namen des Kunden in Übereinstimmung mit Artikel 28 DSGVO verarbeiten.

3.2 Dauer. Diese AVV gilt für die Dauer der von Cozero im Rahmen der Vereinbarung erbrachten Dienstleistungen und endet automatisch bei Ablauf oder Kündigung der Vereinbarung aus irgendeinem Grund.

3.3 Umfang, Art und Zweck der Verarbeitung. Der Umfang, die Art und der Zweck der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung sind in der Vereinbarung und in unserer Datenschutzrichtlinie.

3.4 Arten von Daten. Die Verarbeitung kann die folgenden Arten/Kategorien personenbezogener Daten umfassen: personenbezogene Daten wie Name oder E-Mail-Adresse, Stellenbeschreibung, Zugehörigkeit zum Unternehmen, zur Verfügung gestellte persönliche Bilder, IP-Adresse, Nutzungsdaten, Gerätedaten, Empfehlungsdaten, Informationen aus Cookies und Page Tags.

3.5 Kategorien von betroffenen Personen. Die von der vorliegenden Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet: (i) Mitarbeiter des Kunden; (ii) Lieferanten des Kunden und (iii) Geschäftskontakte des Kunden.

3.6 Ausnahme. Während der Dauer der Mitgestaltungsphase ist diese AVV nur eingeschränkt anwendbar, da sich der Dienst von Cozero in einem frühen Entwicklungsstadium befindet. Spätestens mit dem Ende der Co-Creation-Phase tritt die AVV in vollem Umfang in Kraft.

4. Anweisungen für Kunden

4.1 Verarbeitungsanweisungen. Während unserer Dienstleistungen können Sie uns zusätzlich zu den in dieser AVV genannten Anweisungen, Anweisungen bezüglich der Verarbeitung personenbezogener Daten (jede solche Anweisung wird im Folgenden als "Verarbeitungsanweisung" bezeichnet) in Verbindung mit unseren Dienstleistungen erteilen. Jede Verarbeitungsanweisung muss schriftlich oder in elektronischer Form erfolgen. Wir werden Ihre personenbezogenen Daten gemäß Ihren Anweisungen verarbeiten

4.2 Änderungsanträge. Jede Verarbeitungsanweisung, die die Bedingungen dieser AVV ändert oder von ihnen abweicht, stellt eine Änderungsanforderung dar und unterliegt den in Abschnitt 14 dargelegten Anforderungen. Wir verhandeln mit Ihnen nach Treu und Glauben über jede Änderung der Dienste und/oder Gebühren, die sich aus einer Verarbeitungsanweisung ergeben.

4.3 Übereinstimmung der Verarbeitungsanweisungen mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, dass Ihre Verarbeitungsanweisungen mit den Datenschutzgesetzen übereinstimmen.

4.4 Benachrichtigung. Wenn wir der Meinung sind, dass eine Verarbeitungsanweisung gegen die DSGVO oder andere Datenschutzgesetze verstößt, werden wir Sie unverzüglich darüber informieren.

5. Pflichten und Rechte des Kunden

5.1 Kunde als Verantwortlicher. Sie sind der für die Verarbeitung Verantwortliche im Sinne von Artikel 4 Absatz 7 DSGVO. Sie tragen die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen Sie die personenbezogenen Daten erworben haben.

5.2 Aufzeichnung von Verarbeitungstätigkeiten. Sie führen ein Verzeichnis der Verarbeitungstätigkeiten unter Ihrer Verantwortung gemäß Artikel 30 DSGVO.

5.3 Meldepflicht. Sie werden uns unverzüglich jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Bestimmungen zum Datenschutz informieren.

6. Cozero-Verpflichtungen

6.1 Verarbeitung ausschließlich für die Erbringung von Dienstleistungen. Wir werden Ihre personenbezogenen Daten nur auf dokumentierte Anweisung von Ihnen und ausschließlich für die Erbringung der Dienstleistungen gemäß Artikel 28 Absatz 3 a) bis h) DSGVO verarbeiten und ansonsten (i) Ihre personenbezogenen Daten nicht für andere als die in der Vereinbarung oder dieser AVV festgelegten Zwecke verarbeiten oder nutzen oder (ii) Ihre personenbezogenen Daten an Dritte weitergeben, die keine Unterauftragsverarbeiter für die vorgenannten Zwecke sind, oder wenn dies nach dem Recht der Union oder eines Mitgliedstaats, dem wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.

6.2 Verarbeitung innerhalb und außerhalb der EU/EWR. In der Regel verarbeiten wir personenbezogene Daten innerhalb des Gebiets der Bundesrepublik Deutschland, eines Mitgliedstaats der Europäischen Union oder eines anderen Unterzeichnerstaats des Abkommens über den Europäischen Wirtschaftsraum. In einigen Fällen können wir personenbezogene Daten auch an unsere Drittdienstleister in den Vereinigten Staaten von Amerika übermitteln; Einzelheiten zu den von uns eingesetzten Drittdienstleistern entnehmen Sie bitte unserer Liste der Unterauftragsverarbeiter (abrufbar unter https://cozero.io/de/subprocessors). Sollte aus Sicht des Kunden bei der Verarbeitung personenbezogener Daten in einem Drittland die Durchführung einer Transfer-Folgenabschätzung erforderlich sein, wird Cozero den Kunden dabei in angemessenem Umfang und nach bestem Wissen und Gewissen unterstützen. Es besteht jedoch keine Verpflichtung für den Kunden, eine Transfer-Folgenabschätzung durchzuführen.

6.3 Personal von Cozero. Wir stellen sicher, dass unser Personal, das mit der Verarbeitung personenbezogener Daten befasst und dazu befugt ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist und sich zur Vertraulichkeit verpflichtet hat oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegt.

6.4 Unser Datenschutzbeauftragter. Wir haben einen Datenschutzbeauftragten bestellt: Anja Ruisinger, Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin. Die Person ist per E-Mail erreichbar unter dpo@cozero.io.

7. Technische und organisatorische Maßnahmen

7.1 Cozero TOM. Wenn wir personenbezogene Daten in Ihrem Auftrag verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen und haben bestimmte technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung dieser Daten eingeführt und werden diese beibehalten, wie in Anhang 1 beschrieben. Diese Maßnahmen sollen personenbezogene Daten vor versehentlichem oder unbefugtem Verlust, Zerstörung, Änderung, Offenlegung oder Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung schützen.

7.2 Änderungen der TOM. Alle technischen und organisatorischen Sicherheitsmaßnahmen unterliegen dem technischen Fortschritt und der Entwicklung. Dementsprechend können wir unsere Sicherheitsmaßnahmen modifizieren und/oder alternative Sicherheitsmaßnahmen implementieren, sofern diese nicht hinter dem in Anlage 1 vertraglich vereinbarten Sicherheitsniveau zurückbleiben.

8. Audit-Rechte des Kunden

8.1 Kunden-Audits. Sie sind berechtigt, vor Beginn unserer Dienstleistungen und bis zu einmal pro Jahr während der Erbringung unserer Dienstleistungen die von Cozero implementierten technischen und organisatorischen Maßnahmen zu prüfen. Sie können häufigere Audits durchführen, soweit dies von den Datenschutzgesetzen verlangt werden.

8.2 Einzelheiten zu Audits. Im Rahmen eines solchen Audits können Sie insbesondere die folgenden Maßnahmen durchführen: (i) Sie können alle Informationen von Cozero einholen, die erforderlich sind, um die Einhaltung der in dieser AVV festgelegten Verpflichtungen nachzuweisen. (ii) Sie können Cozero auffordern, Ihnen eine bestehende Bescheinigung eines qualifizierten Drittprüfers vorzulegen. (iii) Sie können nach angemessener vorheriger Vereinbarung während der regulären Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs von Cozero eine Vor-Ort-Inspektion derjenigen Teile der Geschäftseinrichtungen von Cozero durchführen, in denen personenbezogene Daten verarbeitet werden, vorbehaltlich der dann geltenden Sicherheitsrichtlinien von Cozero.

8.3 Vor-Ort-Inspektionen. Um eine Vor-Ort-Inspektion zu beantragen, müssen Sie uns mindestens zwei Wochen vor dem vorgeschlagenen Inspektionstermin einen Inspektionsplan vorlegen, in dem der vorgeschlagene Umfang, die Dauer und das Anfangsdatum der Inspektion beschrieben sind. Wir prüfen den Inspektionsplan und teilen Ihnen alle Bedenken oder Fragen mit (z. B. jede Anforderung von Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von Cozero gefährden könnten).

8.4 Bericht anstelle eines Audits. Wenn der geforderte Prüfungsumfang in einem SSAE 16/ISAE 3402 Typ 2, ISO, NIST oder ähnlichen Prüfungsbericht behandelt wird, der von einem qualifizierten externen Prüfer innerhalb der letzten zwölf Monate durchgeführt wurde, erklären Sie sich damit einverstanden, diese Feststellungen anstelle einer geforderten Prüfung der von dem Bericht erfassten Systeme zu akzeptieren.

8.5 Weitergabe von Berichten. Sie werden uns alle gemäß diesem Abschnitt erstellten Prüfberichte zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Sie dürfen die Auditberichte nur dazu verwenden, um zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen den Anforderungen dieser AVV entsprechen. Die Audit-Berichte sind vertrauliche Informationen der Parteien gemäß den Bedingungen der Vereinbarung.

8.6 Kosten für Audits. Alle Audits gehen zu Ihren Lasten. Jede Anfrage an Cozero, Unterstützung bei einer Prüfung zu leisten, wird als separate Dienstleistung betrachtet, wenn diese Prüfungsunterstützung den Einsatz von Ressourcen erfordert, die sich von denen unterscheiden, die für die Erbringung der Dienstleistungen erforderlich sind, oder diese ergänzen. Wir holen Ihre schriftliche Zustimmung und Ihr Einverständnis zur Zahlung der entsprechenden Gebühren ein, bevor wir eine solche Prüfungsunterstützung durchführen.

8.7 Prüfer von Dritten. Wenn eine dritte Partei die Prüfung durchführen soll, muss die dritte Partei von dem Kunden und Cozero einvernehmlich bestimmt werden und eine schriftliche Vertraulichkeitsvereinbarung unterzeichnen, die für Cozero akzeptabel ist, bevor die Prüfung durchgeführt wird.

9. Unterauftragsverarbeiter

9.1 Unterauftragsverarbeiter. Wir können Unterauftragsverarbeiter beauftragen, die uns bei der Verarbeitung Ihrer personenbezogenen Daten unterstützen. Indem Sie diese AVV mit uns abschließen, erteilen Sie uns Ihre vorherige allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern gemäß Artikel 28 Absatz 2 DSGVO. Eine Liste der Unterauftragsverarbeiter finden Sie unter https://cozero.io/de/subprocessors. Wenn wir beabsichtigen, einen Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen, werden wir Sie über diese beabsichtigte Änderung informieren und Ihnen die Möglichkeit geben, dieser Änderung zu widersprechen. Wenn Sie nicht innerhalb von zwei Wochen nach unserer Benachrichtigung über den Wechsel eines Unterauftragsverarbeiters widersprechen, hat dies die gleiche Wirkung wie eine Einwilligung.

9.2 Unsere Vereinbarungen mit Unterauftragsverarbeitern. Wir stellen sicher, dass alle unsere Unterauftragsverarbeiter im Wesentlichen dieselben Verpflichtungen wie Cozero gemäß dieser AVV einhalten müssen, die für die Erbringung der Dienstleistungen gelten. Dies gilt insbesondere, aber nicht ausschließlich, für die Anforderungen in Ziffern 4, 7, 8 und 10 bis 13. Cozero bleibt jederzeit für die Einhaltung der Bedingungen dieser AVV durch alle Unterauftragsverarbeiter verantwortlich, die mit der Erbringung unserer Dienstleistungen für Sie beauftragt sind.

9.3 Soweit wir mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellen wir sicher, dass wir nur mit Freelancern zusammenarbeiten, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, so dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Freelancer wird durch eine AVV geregelt, die denselben Datenschutzstandard gewährleistet, auf den Sie und wir uns geeinigt haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung.

9.4 Kopien der relevanten Bedingungen. Sie haben das Recht, auf schriftlichen Antrag Kopien der relevanten Bedingungen der Vereinbarung zwischen Cozero und jedem Unterauftragsverarbeiter, der Ihre personenbezogenen Daten verarbeitet, zu erhalten, es sei denn, die Vereinbarung enthält vertrauliche Informationen; in diesem Fall kann Cozero eine geschwärzte Version der Vereinbarung bereitstellen.

9.5 Nebendienstleistungen. Dieser § 9 gilt nicht, soweit wir Dritte mit Nebenleistungen beauftragen; hierzu gehören insbesondere Telekommunikationsdienstleistungen, Post- und Versanddienstleistungen, Gebäudesicherheitsdienstleistungen, Facility Management Dienstleistungen sowie Dienstleistungen im Zusammenhang mit der Reinigung oder Entsorgung von Datenträgern.

10. Rechte der betroffenen Personen

10.1 Weiterleitung von Anfragen der betroffenen Person. Wenn eine betroffene Person uns auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, werden wir diese Aufforderung an Sie weiterleiten. Cozero wird ohne Ihre vorherige schriftliche Zustimmung nicht auf Anfragen von betroffenen Personen reagieren.

10.2 Unterstützung. Wenn eine betroffene Person Sie auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren oder Auskunft über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Zusammenhang mit unseren Diensten zu erteilen, und Sie nicht in der Lage sind, der Aufforderung selbst über unsere Website nachzukommen, werden wir Sie bei der Beantwortung der Aufforderung und bei der Erfüllung der Aufforderung durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, vorausgesetzt, (i) Sie weisen uns schriftlich oder in Textform an, dies zu tun, und (ii) Sie erstatten uns die Kosten und Auslagen, die bei der Bereitstellung dieser Unterstützung entstehen.

11. Löschung von Daten und Rückgabe von Datenträgern

11.1 Keine Kopien oder Duplikate. Wir werden keine Kopien oder Duplikate Ihrer personenbezogenen Daten ohne Ihr vorheriges Wissen erstellen. Ungeachtet des vorstehenden Satzes können wir (i) Sicherungskopien erstellen, soweit dies für die ordnungsgemäße Verarbeitung personenbezogener Daten erforderlich ist, und (ii) Kopien personenbezogener Daten anfertigen und aufbewahren, wenn dies für uns zur Einhaltung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.

11.2 Löschung von Daten. Nach der Kündigung Ihres Kontos oder zu jedem früheren Zeitpunkt auf Ihre schriftliche Anfrage hin werden wir nach Ihrer Wahl entweder alle Kopien Ihrer personenbezogenen Daten innerhalb eines Monats aus unseren Systemen löschen oder Ihnen diese personenbezogenen Daten zurückgeben. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung oder Rückgabe ergeben, und es liegt in Ihrer Verantwortung, sicherzustellen, dass alle von Ihnen benötigten personenbezogenen Daten vor der Löschung oder Rückgabe gesichert oder repliziert werden.

11.3 Rückgabe von Datenträgern. Wenn wir im Zusammenhang mit unseren Diensten von Ihnen Datenträger erhalten haben, die personenbezogene Daten enthalten, geben wir Ihnen alle Datenträger zurück, die sich zum Zeitpunkt der Kündigung Ihres Kontos oder auf Ihre schriftliche Anfrage noch in unserem Besitz befinden.

11.4 Weiterverwendung für rechtliche Verpflichtungen. Ungeachtet des Vorstehenden werden wir nur diejenigen personenbezogenen Daten aufbewahren, die erforderlich sind, um unseren rechtlichen Verpflichtungen nachzukommen, Streitigkeiten beizulegen und unsere Vereinbarungen durchzusetzen.

12. Meldepflichten und weitere Unterstützung

12.1 Benachrichtigung über (behördliche) Durchsuchungen und Beschlagnahmen. Wir werden Sie unverzüglich informieren, wenn Ihre personenbezogenen Daten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme im Rahmen eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in unserer Kontrolle befinden. In einem solchen Fall werden wir alle an einer solchen Maßnahme beteiligten Parteien darüber informieren, dass alle davon betroffenen Daten in Ihrem alleinigen Eigentum und Verantwortungsbereich stehen, dass Sie über die Daten allein verfügen können und dass Sie die verantwortliche Stelle im Sinne der DSGVO sind.

12.2 Benachrichtigung über Vorfälle und Verstöße. Wir werden Sie unverzüglich informieren, wenn wir feststellen, dass (i) Ihre / oder persönliche Daten Gegenstand eines Sicherheitsvorfalls (auch durch einen Cozero-Mitarbeiter) waren oder (ii) dass Cozero (auch durch einen Cozero-Mitarbeiter) gegen Datenschutzgesetze verstoßen hat, die für die Erbringung unserer Dienstleistungen für Sie oder für eine oder mehrere der in dieser AVV festgelegten Bestimmungen gelten. In einem solchen Fall werden wir den Sicherheitsvorfall oder die Verletzung unverzüglich untersuchen und angemessene Maßnahmen ergreifen, um die Ursache zu ermitteln und eine Wiederholung zu verhindern.

12.3 Unterstützung. Für den Fall, dass Sie aufgrund des Sicherheitsvorfalls oder der Sicherheitsverletzung verpflichtet sind, Offenlegungspflichten gemäß Artikel 33 DSGVO zu erfüllen, werden wir Sie bei der Erfüllung dieser Pflichten unterstützen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform anweisen, dies zu tun, und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für die Bereitstellung dieser Unterstützung erstatten.

12.4 Weitere Unterstützung. Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen unterstützen wir Sie bei der Einhaltung Ihrer Verpflichtungen gemäß Artikel 32 bis 36 DSGVO, wobei wir die Art der Verarbeitung und die uns zur Verfügung stehenden Informationen berücksichtigen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform damit beauftragen und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für diese Unterstützung erstatten.

13. Änderungen

Änderungen an diesen Bedingungen. Cozero kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, z. B. um Änderungen des geltenden Rechts zu berücksichtigen, um Aktualisierungen unserer Dienste oder der von uns eingesetzten technischen und/oder organisatorischen Maßnahmen zu berücksichtigen und um neue Dienste oder Funktionalitäten zu berücksichtigen.

‍

14. Sonstiges

14.1 Gültigkeit. Sollten einzelne Bestimmungen dieser AVV ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser AVV davon nicht berührt.

14.2 Geltendes Recht und Gerichtsstand. Diese AVV unterliegt dem deutschen Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV sind die Gerichte in Berlin.

‍

Diese AVV wird zwischen den Parteien ohne gesonderte Unterschrift wie folgt verbindlich vereinbart: Bei einem Vertragsabschluss in Papierform durch einen ausdrücklichen Verweis auf die Nutzungsbedingungen; bei einem Online-Vertragsabschluss durch einen Link auf die Nutzungsbedingungen.

Anhang 1 - Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung‍

1. Maßnahmen zur Gewährleistung der Vertraulichkeit

1.1 Physische Zugangskontrolle

Maßnahmen, die Unbefugten den Zugang zu IT-Systemen und Datenverarbeitungsanlagen, die der Verarbeitung personenbezogener Daten dienen, sowie zu vertraulichen Dateien und Datenträgern physisch verwehren.

Beschreibung der physischen Zugangskontrolle:

• Sicherheitsschlösser an Türen
• Sorgfältige Auswahl des Reinigungspersonals
• Zulassungsverwaltung: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert
• Sorgfältige Auswahl des Sicherheitspersonals
• Weitere Maßnahmen des Dienstanbieters

1.2 Logische Zugangskontrolle

Maßnahmen zur Verhinderung der Verarbeitung oder Nutzung von datenschutzrechtlich geschützten Daten durch Unbefugte.

Beschreibung des logischen Zugangskontrollsystems:

• Begrenzung der Anzahl der zugelassenen Mitarbeiter
• Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
• Benutzerrechte werden restriktiv vergeben
• Alle An- und Abmeldungen werden aufgezeichnet
• Verwendung einer zentralen Passwortpolitik

1.3 Kontrolle des Datenzugriffs

Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur entsprechend ihren Zugriffsrechten auf personenbezogene Daten zugreifen können, so dass Daten während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung der Datenzugriffskontrolle:

• Begrenzung der Anzahl der zugelassenen Mitarbeiter
• Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
• Alle Datenzugriffe werden automatisch protokolliert
• Geringe Anzahl von Systemadministratoren
• Aufzeichnungen und Protokolldateien werden regelmäßig ausgewertet

1.4 Trennungsregel

Maßnahmen, die sicherstellen, dass für verschiedene Zwecke erhobene Daten getrennt von anderen Daten und Systemen verarbeitet werden, so dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

Beschreibung des Prozesses der Trennungskontrolle:

• Die Systeme ermöglichen eine Trennung der Daten (Mandantenfähigkeit), die Daten werden nach Software getrennt.
• Produktivsysteme und Testsysteme sind voneinander getrennt
• Auf die Datensätze kann nur über die vordefinierten Anwendungen zugegriffen werden.
• Datenbankbenutzerrechte werden zentral vergeben und verwaltet

1.5 Maßnahmen zur Pseudonymisierung

Maßnahmen, die den direkten Personenbezug bei der Verarbeitung so reduzieren, dass eine Zuordnung der Daten zu einer bestimmten Person nur unter Einbeziehung von Zusatzinformationen möglich ist. Die Zusatzinformationen müssen durch geeignete technische und organisatorische Maßnahmen vom Pseudonym getrennt gehalten werden.

Beschreibung der Pseudonymisierung:

• keine aufgrund der Arbeit auf einem zentralen Serversystem

2. Maßnahmen zur Gewährleistung der Integrität

2.1 Übertragungs- und Transportkontrolle

Maßnahmen, die sicherstellen, dass die Vertraulichkeit und Integrität der Daten bei der Übermittlung personenbezogener Daten und beim Transport von Datenträgern geschützt ist. Ferner Maßnahmen, die sicherstellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übermittelt oder zur Verfügung gestellt werden oder wurden.

Beschreibung der Übertragungs- und Transportkontrolle:

• HTTPS
• Unnötige Ausdrucke werden abgebrochen
• Keine Verwendung von physischen Datenträgern
• Umfassende Protokollierungsverfahren
• Keine Nutzung von privaten Datenträgern am Arbeitsplatz

2.2 Eingabekontrolle

Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder verändert wurden.

Beschreibung des Prozesses der Eingangskontrolle:

• Protokollierung aller Systemaktivitäten und Aufbewahrung dieser Protokolle für mindestens sechs Monate
• Nutzung einer zentralen Rechteverwaltung für die Eingabe, Änderung und Löschung von Daten

3. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

• Es werden regelmäßig Backups erstellt und 120 Tage lang aufbewahrt.
• Sicherungs- und Wiederherstellungsplan ist vorhanden
• Datensicherungsdateien werden an einem sicheren und entfernten Ort aufbewahrt, diverse zusätzliche Maßnahmen werden von den Lieferanten getroffen
• Lokalisierung
• Zusätzlich vielfältiges Maß an Serverdienstleistern

3.2 Schnelle Erholung

Maßnahmen, die sicherstellen, dass die Verfügbarkeit von und der Zugang zu personenbezogenen Daten und verwendeten Systemen im Falle eines physischen oder technischen Zwischenfalls schnell wiederhergestellt werden kann.

Beschreibung der Maßnahmen zur schnellen Wiederherstellung:

• Verfahren zur Datensicherung

4. Maßnahmen zur regelmäßigen Prüfung und Bewertung der Sicherheit der Datenverarbeitung

Maßnahmen, die gewährleisten, dass die Daten sicher und im Einklang mit den Datenschutzvorschriften verarbeitet werden. Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

• Einbindung der Datenschutzbeauftragten für alle datenschutzrelevanten Fragen
• Formalisierte Prozesse für Datenschutzvorfälle

‍