Vertrag über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag gemäß 11 Bundesdatenschutzgesetz

Transkript

1 Vertrag über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag gemäß 11 Bundesdatenschutzgesetz zwischen [Bitte tragen Sie Ihre Firma hier ein] nachfolgend Auftraggeber genannt und Fapool GmbH & Co. KG, Am Trieb 77, Neu-Isenburg nachfolgend Auftragnehmer genannt 1 Vertragsgegenstand Mit seiner Registrierung auf dem Portal hat der Auftraggeber den Auftragnehmer mit der Erbringung von Dienstleistungen eines Stellenportals beauftragt. Gegenstand des vorliegenden Auftrags ist die Einhaltung der nachfolgend genannten Aufgaben durch den Auftragnehmer betreffend des Datenumgangs im Zusammenhang mit den akzeptierten AGB unseres Portals. 2 Leistungen des Auftragnehmers (1) Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers i.s.v. 11 BDSG (Auftragsdatenverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle ( Herr der Daten ). (2) Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und den dort bestimmten Kreis der Betroffenen. (3) Gebiet Die Erhebung, Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. (5) Technisch-organisatorische Maßnahmen Der Auftragnehmer hat vor Beginn der Verarbeitung der Auftraggeber-Daten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen

2 zu implementieren und während des Vertrags aufrechtzuerhalten. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen. (6) Berichtigung, Sperrung und Löschung von Daten Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. (7) Sonstige Pflichten Zusätzlich zu der Einhaltung der Regelungen dieses Auftrags übernimmt der Auftragnehmer nach 11 Abs.4 BDSG folgende Pflichten: (a) Schriftliche Bestellung soweit gesetzlich vorgeschrieben eines Datenschutzbeauftragten, der seine Tätigkeit gemäß 4f, 4g BDSG ausüben kann. Der Auftragnehmer wird dem Auftraggeber dessen Kontaktdaten zum Zweck der direkten Kontaktaufnahme mitteilen. (b) Wahrung des Datengeheimnisses gemäß 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. (c) Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend 9 BDSG und Anlage. (d) Unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG. Dies gilt auch im Falle der Ermittlung einer zuständige Behörde nach 43, 44 BDSG beim Auftragnehmer. (e) Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags. (f) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Insoweit kann der Auftragnehmer auch aktuelle Testate oder Berichte unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen. (8) Unterauftragsverhältnisse (1) Die Weitergabe von Aufträgen im Rahmen der in dem Vertrag vereinbarten Tätigkeiten an Subunternehmer durch den Auftragnehmer bedarf der schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer wird Subunternehmer nach deren Eignung sorgfältig auswählen. (2) Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die in der Anlage 3 aufgeführten Unternehmen als Subunternehmer für Teilleistungen für den Auftragnehmer

3 tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Daten des Auftraggebers. Für diese Subunternehmer gilt die Einwilligung für das Tätigwerden als erteilt. (3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. (4) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder Wartung. Der Auftragnehmer wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz zu gewährleisten. 3 Kontrollrechte des Auftraggebers (1) Der Auftraggeber hat das Recht, die in Nr.6 der Anlage zu 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. (2) Hinsichtlich der Kontrollverpflichtungen des Auftraggebers nach 11 Abs.2 S.4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß 9 BDSG und der Anlage nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch Vorlage eines aktuellen Testats oder von Berichten unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI- Grundschutz) erbracht werden. 4 Mitteilung bei Verstößen des Auftragnehmers (1) Der Auftragnehmer wird in allen Fällen dem Auftraggeber eine Meldung erstatten, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. (2) Dem Auftragnehmer ist bekannt, dass nach 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen

4 gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen. 5 Weisungsbefugnis des Auftraggebers (1) Es ist vereinbart, dass der Umgang mit den Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers gemäß 11 Abs. 3 S. 1 BDSG erfolgt. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. (2) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. (3) Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich gemäß 11 Abs. 3 S. 2 BDSG zu informieren, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 6 Rückgabe von Datenträgern und Löschung von Daten (1) Es besteht Einigkeit, dass nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der Teilnahme an unserem Portal hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger schriftlicher Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung dem Auftraggeber vorzulegen. (2) Der Auftragnehmer ist berechtigt, Dokumentationen, die dem Nachweis der auftragsund ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 7 Auftragsdauer, Kündigung (1) Die Dauer dieses Auftrags entspricht der Dauer der Teilnahme an unserem Portal, sofern sich aus den Besonderheiten des vorliegenden Auftrags nichts anderes ergibt.

5 (2) Unberührt bleibt das Recht jeder Vertragspartei, diesen Auftrag aus wichtigem Grund fristlos zu kündigen. 8 Anwendbares Recht, Erfüllungsort, Gerichtsstand (1) Auf vorliegenden Vertrag findet deutsches Recht Anwendung. (2) Für Streitigkeiten aus diesem Vertrag ist ausschließlicher Gerichtsstand Frankfurt am Main. 9 Sonstiges (1) Mündliche Nebenabreden sind nicht getroffen. Änderungen, Ergänzungen und Zusätze dieses Vertrags haben nur Gültigkeit, wenn sie zwischen den Vertragsparteien schriftlich vereinbart werden. Dies gilt auch für die Abänderung dieser Vertragsbestimmung. (2) Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Die Vertragsparteien sind verpflichtet, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke. (Ort, Datum) Neu-Isenburg, (Ort, Datum) (1. Unterschrift Auftraggeber) (Unterschrift Auftragnehmer) Ich bestätige hiermit, dass ich diesen Vertrag zur Auftragsdatenverarbeitung samt Anlagen, wie von Fapool GmbH & Co. KG bereitgestellt, ohne Änderungen unterschrieben habe. Ich nehme zur Kenntnis, dass ein wirksamer Vertrag zwischen mir und der Fapool GmbH & Co. KG nicht zu Stande kommt, sofern durch mich oder durch mich veranlasst inhaltliche Änderungen an den Vertragsdokumenten vorgenommen wurden. (Ort, Datum) (2. Unterschrift Auftraggeber)

6 Bitte drucken Sie den Vertrag (ohne Anlagen) aus und schicken diesen unterschrieben an folgendes Adresse: Fapool GmbH & Co. KG, Am Trieb 77, Neu-Isenburg Anlagen: Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Anlage 2: Technische und organisatorische Maßnahmen im Sinne des 9 BDSG Anlage 3: Subunternehmer Anlage 4: Aktuelle Selbstauskunft unseres Datenschutzbeauftragten Anlage 1: Zweck, Art und Umfang der Datenerhebung, -verarbeitung und -nutzung, Art der Daten und Kreis der Betroffenen Zweck der Datenverarbeitung Art und Umfang der Datenerhebung, -verarbeitung und -nutzung Art der Daten Kreis der Betroffenen Eigenhändige Einstellung von Kundendaten des Auftraggebers in das Portal des Auftragnehmers zum Zwecke der Vermittlung als Arbeitnehmer. Sämtliche Daten werden durch den Auftraggeber eingestellt; eine Bearbeitung oder auch nur Kenntniserlangung durch den Auftragnehmer ist nicht erforderlich, kann aber auch nicht völlig ausgeschlossen werden. Personenstammdaten, Kommunikationsdaten (z. B. Telefon, ), Beruf, Ausbildung, beruflicher Werdegang. Private Kunden des Personaldienstleisters (arbeitsuchend) Anlage 2: Technische und organisatorische Maßnahmen im Sinne des 9 BDSG Technische und organisatorische Maßnahmen i.s.d. 9 BDSG der Fapool GmbH & Co. KG Am Trieb Neu-Isenburg 1. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene

7 Daten verarbeitet oder genutzt werden, zu verwehren. Alarmanlage (nur Rechenzentrum) Schließsystem mit Codesperre Schlüsselregelung (Schlüsselausgabe etc.) Lichtschranken / Bewegungsmelder Sorgfältige Auswahl von Wachpersonal (nur Rechenzentrum) Protokollierung der Besucher Absicherung von Gebäudeschächten Manuelles Schließsystem Videoüberwachung der Zugänge Sicherheitsschlösser Personenkontrolle beim Pförtner / Empfang (Rechenzentrum) Sorgfältige Auswahl von Reinigungspersonal 2. Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zuordnung von Benutzerrechten Erstellen von Benutzerprofilen Authentifikation mit Benutzername / Passwort Zuordnung von Benutzerprofilen zu IT- Systemen Schlüsselregelung (Schlüsselausgabe etc.) Protokollierung der Besucher Sorgfältige Auswahl von Wachpersonal (nur Rechenzentrum) Einsatz von Intrusion-Detection-Systemen Einsatz von Anti-Viren-Software Einsatz einer Hardware-Firewall Einsatz von VPN-Technologie Sicherheitsschlösser Personenkontrolle beim Pförtner / Empfang (nur Rechenzentrum) Sorgfältige Auswahl von Reinigungspersonal Tragepflicht von Berechtigungsausweisen Einsatz einer Software-Firewall 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Erstellen eines Berechtigungskonzepts Verwaltung der Rechte durch Systemadministrator

8 Anzahl der Administratoren auf das Notwendigste reduziert Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Sichere Aufbewahrung von Datenträgern ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Einrichtungen von Standleitungen bzw. VPN- Tunneln Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und fahrzeugen -Verschlüsselung 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Protokollierung der Eingabe, Änderung und Löschung von Daten Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen

9 schriftliche Weisungen an den Auftragnehmer (z.b. durch Auftragsdatenverarbeitungsvertrag) i.s.d. 11 Abs. 2 BDSG Auftragnehmer hat Datenschutzbeauftragten bestellt Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ( 5 BDSG) Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Unterbrechungsfreie Stromversorgung (USV) (nur Rechenzentrum) Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen (nur Rechenzentrum) In Hochwassergebieten: Serverräume über der Wassergrenze Feuer- und Rauchmeldeanlagen Testen von Datenwiederherstellung Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Klimaanlage in Serverräumen (nur Rechenzentrum) Schutzsteckdosenleisten in Serverräumen Feuerlöschgeräte in Serverräumen (nur Rechenzentrum) Erstellen eines Backup- & Recoverykonzepts Erstellen eines Notfallplans Serverräume nicht unter sanitären Anlagen 8. Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Erstellung eines Berechtigungskonzepts (in Bearbeitung) Trennung von Produktiv- und Testsystem Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden Festlegung von Datenbankrechten Anlage 3: Subunternehmer Name und Anschrift des Subunternehmers Beschreibung der Teilleistung

10 ProfitBricks GmbH Greifswalder Str. 207 Infrastructure as a service (IaaS) ADV-Vertrag wurde abgeschlossen Berlin Equinix (Germany) GmbH Postanschrift: Postfach Rechenzentrum des o.g. Subunternehmers Zertifizierungen nach ISO 9001:2008; ISO/IEC 27001: Frankfurt am Main Die beauftragten Subunternehmer sind ausschließlich technische Dienstleister. Diese haben als solche nur die Aufgabe der Zurverfügungstellung von Rechenkapazität oder Speicherplatz und nicht die Aufgabe zur Verarbeitung von Kundendaten. Da jedoch eine theoretische Möglichkeit hierzu besteht, wurden auch mit diesen Verträge zur Auftragsdatenverarbeitung geschlossen (bzw. wurde geprüft, ob solche Verträge in der Leistungskette vorliegen). Anlage 4: Aktuelle Selbstauskunft unseres Datenschutzbeauftragten Ich habe die in Anlage 2 angekreuzten technischen und organisatorischen Maßnahmen in unserem Betrieb überprüft und bestätige hiermit, dass sämtliche Maßnahmen aktuell sind und so auch tatsächlich durchgeführt werden. Ich habe mich von der Einhaltung der technischen und organisatorischen Maßnahmen unserer Subunternehmer nach Anlage 3 überzeugt bzw. habe überprüft, dass die angegebenen Zertifikate noch aktuell und nicht veraltet sind Bernd Seremet Datum (in Druckbuchstaben) Unterschrift des Datenschutzbeauftragten