Vertrag zur auftragsverarbeitung gemäß art. 28 dsgvo

Siehe Anhang 1, Abschnitt “B. Subunternehmer”, “1. Microsoft Corporation” (4) Der Auftragnehmer hat das Recht, die Einhaltung der gesetzlichen Anforderungen und Bestimmungen dieses Vertrages, insbesondere der Nutzungsbedingungen beim Subunternehmer, so weit wie möglich jederzeit zu überwachen. c) Der Auftragsverarbeiter bestätigt, dass er einen Datenschutzbeauftragten gemäß Art. 37 DSGVO und gegebenenfalls gemäß Art. 38 FDPA, und dass der Auftragsverarbeiter die Einhaltung der Datenschutz- und Sicherheitsgesetze überwacht. (3) Der Nachweis solcher Maßnahmen, die nicht nur die spezifische Bestellung betreffen, kann erfolgen durch: d) Der Auftraggeber und der Auftragnehmer werden auf Verlangen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten. Dies sind die minimal erforderlichen, aber der Controller und Der Prozessor können vereinbaren, sie mit ihren eigenen Bedingungen zu ergänzen. Jeder dieser Begriffe wird weiter unten untersucht.

(3) Die personenbezogenen Daten werden erhoben und verwendet, um die im Rahmen der Registrierung, Anmeldung und Nutzung von Collaboard erbrachten Dienstleistungen anzubieten und zu verbessern. Darüber hinaus werden die personenbezogenen Daten für die Kommunikation mit Nutzern und Statistiken verwendet. b) SendGrid führt die Patchverwaltung auf Systemen durch, die persönliche Daten hosten oder verarbeiten. SendGrid implementiert kritische Patches innerhalb des vom Anbieter empfohlenen Zeitrahmens auf Systemen, die personenbezogene Daten hosten oder verarbeiten, und darf 30 Tage nach der Identifizierung des Patches nicht überschreiten. (2) Der Auftragnehmer hat den Auftraggeber über alle Änderungen der Unterauftragnehmer zu informieren, die für die Abwicklung der Bestellung relevant sind. Der öffentliche Auftraggeber übt sein Widerspruchsrecht in Bezug auf die Änderungen oder neuen Unterverarbeiter nur nach den Grundsätzen des guten Glaubens sowie der Angemessenheit und Fairness aus. (1) Der Auftragnehmer gestaltet die interne Organisation in seinem Verantwortungsbereich nach den gesetzlichen Anforderungen und trifft insbesondere technische und organisatorische Maßnahmen (nachstehend “TOMs” genannt) zur angemessenen Sicherheit, insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit der Daten des Kunden, unter Berücksichtigung des Stands der Technik, der Durchführungskosten und der Art , Umfang, Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen und stellen sicher, dass sie aufrechterhalten werden. Auf Wunsch des Kunden stellt Microsoft dem Kunden die einzelnen Microsoft-Testberichte zur Verfügung, damit sich der Kunde von der Einhaltung der Sicherheitsverpflichtungen gemäß den Bestimmungen des DPT durch Microsoft überzeugen kann. Der Microsoft-Testbericht unterliegt den Vertraulichkeits- und Verteilungsbeschränkungen von Microsoft und dem Prüfer.

Der Vertrag kann Einzelheiten zu den in Artikel 28 Absatz 3 genannten Anweisungen enthalten, oder diese Anweisungen können gesondert erteilt werden. Der Prozessor führt eine Aufzeichnung der Sicherheitsvorfälle mit einer Beschreibung des Vorfalls, des Zeitraums, der Folgen, des Namens des Reporters oder Dienstes, an den der Vorfall gemeldet wurde, und der Behebung. Gemäß Artikel 28 Absatz 3 Buchstabe e) muss der Vertrag vorsehen, dass der Auftragsverarbeiter “geeignete technische und organisatorische Maßnahmen” ergriff, um dem für die Verarbeitung Verantwortlichen bei der Beantwortung von Anträgen von Einzelpersonen bei der Ausübung seiner Rechte zu helfen.