Version vom 17.02.2020

Auftragsverarbeitung gemäß Art. 28 DSGVO



Zwischen dem SoVx Kunden (Verantwortlicher) und SoftVer GmbH (Auftragsverarbeiter), Sonneck
18, 63762 Großostheim wird nachfolgender Vertrag geschlossen.

Präambel

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag über die Nutzung
des in Ziffer 1 der AGBs näher bezeichneten Softwaremoduls SoVx (im Weiteren Lizenzvereinbarung)
des Auftragsverarbeiters durch den Verantwortlichen. Der Auftragsverarbeiter unterstützt den
Verantwortlichen bei der Umsetzung eigener Geschäftszwecke im Zusammenhang mit dem
Dienstleistungsvertrag – eine Übertragung von ‚Funktionen‘ ist ausdrücklich nicht beabsichtigt.

1. Gegenstand und Dauer des Auftrags

1.1. Gegenstand des Auftrags

In den Versionen “Vertriebe”, “Arbeitgeber”, sowie “Arbeitnehmer” gehören dazu im Kern die Analyse
von Gehaltsabrechnungen und dem optionalen Angebot weitere Lohnarten mit einzubauen wie z.B.
Restaurant-Schecks, Berufskleidung, Werbepauschale etc. sowie das Angebot der Verwaltung dieser
Lohnarten für den Arbeitgeber und den Arbeitnehmer wie z.B. bestellen und versenden der
Restaurant-Schecks.

Bei allen Versionen ist es zudem möglich über die „Verwaltung“ Dateien hochzuladen und mit Dritten
zu teilen. Dabei trägt der Verantwortliche die volle Verantwortung für die hochgeladenen Dateien,
deren Inhalt vom Auftragsverarbeiter nicht geprüft wird.

In der Version "Arbeitgeber" ist es zusätzlich möglich, mehrere Arbeitnehmer mit Löhne und Gehälter
zu erfassen und damit nachzubilden.

In der Version "Vertriebe" ist es zusätzlich möglich, mehrere Arbeitgeber mit wiederum mehrere
Arbeitnehmer mit Löhne und Gehälter zu erfassen und damit nachzubilden.

Neben der Erhebung, Verarbeitung und Nutzung von Daten im Auftrag als Hauptzweck werden u.a.
personenbezogene Daten im Rahmen der Personalverwaltung sowie für sonstige Zwecke (z. B.
Geschäftspartner- und Interessentenbetreuung, Hilfe und Support, Analyse und Verbesserung des
Dienstleistungsangebots von SoVx, Marktanalysen und Marketingmaßnahmen) erhoben, verarbeitet
oder genutzt.

Der Gegenstand dieses Auftrags ergibt sich im Übrigen aus der bestehenden Lizenzvereinbarung, auf
die hier verwiesen wird (im Weiteren „Lizenzvereinbarung“). Dabei handelt es sich um die
Verarbeitung personenbezogener Daten (im Weiteren „Daten“) durch den Auftragsverarbeiter für den
Verantwortlichen im Zusammenhang mit der Nutzung eines der folgenden Softwareversionen:
- Vertriebe
- Arbeitgeber
- Arbeitnehmer

1.2. Dauer der Vereinbarung

Die Laufzeit dieses Vertrages entspricht der Laufzeit der Lizenzvereinbarung.

2. Konkretisierung des Auftragsverhältnisses

2.1. Art und Zweck der vorgesehenen Verarbeitung von Daten

Der Zweck der SoVx Softwareversionen ist es, den Kunden von Vertrieben, Arbeitgebern und
Arbeitnehmern bei der Analyse ihrer Kostenstruktur auf der Basis von Gehaltsabrechnungen optimal
zu unterstützen. Hierbei erbringt SoVx insbesondere Leistungen der Datenverarbeitung und der
Telekommunikation sowie andere Dienstleistungen und Nebenleistungen. Der Auftragsverarbeiter
erhält dabei Zugriff auf die bei der Benutzung der in den vertragsgegenständlichen Softwareversionen
gespeicherten personenbezogenen Daten. Folgende Datenkategorien können vom Verantwortlichen
durch direkte Eingabe oder durch Hochladen in allen SoVx Versionen verarbeitet werden:

- Angaben zu Vertrieben und Arbeitgebern (Firmendaten):
Stammdaten wie Name und Anschrift, E-Mail-Adresse, Telefonnummer, Mobilfunknummer,
Bankverbindung, Bestelldaten, Rechnungsdaten, Daten zum Zahlungsverhalten, Steuerummer /
UST-ID Nr., Daten zum Zahlungsverhalten, Ansprechpartner.
- Angabe zu Mitbenutzer (User) in SoVx:
Anrede, Vorname, Name, Geburtstag, Anschrift, E-Mail-Adresse, Telefonnummer,
Mobilfunknummer, Bankverbindung, Sprachauswahl, Zeitstempel, Sicherheitsfrage für
Passwortverlust und IP-Adresse des letzten Logins, durchgeführte Aktionen innerhalb von SoVx
(Audit Log).
- Angaben zu Arbeitnehmern:
Anrede, Vorname, Name, Geburtstag, Anschrift, E-Mail-Adresse, Telefonnummer,
Mobilfunknummer, Personalnummer, Beruf, Firmen-Eintrittsdatum, Telefonbeschreibung,
Autotyp, Autokennzeichen, Beratungs- und Entscheidungsinfos, Abrechungsdaten (Steuerklasse,
Kinderanzahl, Kirchensteuer, Bundesland, Rentenpflichtigkeit,
Arbeitlosenversicherungspflichtigkeit, Arbeitsmonatsstunden, Jahresfreibetrag, Einmalbezüge,
Krankenkasse Info mit Beitragssätzen bzw. Private Krankenversicherungsinfos (Beitrag ohne
Pflege, Pflegebeitrag, Arbeitgeber-Zuschuss), verschiedene Gehalts- und Abrechnungsangaben.
Firmenangaben, Sozialversicherungsangaben, Bankverbindung.

Im Modul “Verwaltung” können Dateien mit kundenrelevanten Informationen hochgeladen werden.
Die Verantwortung für diese Inhalte trägt allein der Verantwortliche. Insbesondere sind dort keine
Dateien hochzuladen, die gegen die Lizenzvereinbarungen oder geltendes Recht verstoßen.

Alle Kernfunktionen von SoVx werden ausschließlich in Deutschland entwickelt und in der EU gehostet
(Rechnungserstellung, Belegerfassung- und Verarbeitung, Lohnabrechnungen). Darüber hinaus gibt es
ergänzende Zusatzfunktionen (z.B. E-Mail Versand, Supportplattform, Analytics), bei der auf durch den
Verantwortlichen genehmigte Subunternehmen (siehe Anlage 2) zurückgegriffen wird, die in
Ausnahmefällen außerhalb der EU/EWR ihren Sitz haben sind.

Jede Verlagerung einer Datenverarbeitung in ein Drittland außerhalb der EU/EWR bedarf der
vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen
Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau in den USA wird
hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DS-GVO).

2.2. Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

- Ansprechpartner des Verantwortlichen
- Beschäftigte des Verantwortlichen gem. § 26 BDSG

- Mitbenutzer (User), die durch den Verantwortlichen zur Mitarbeit in SoVx freigeschaltet werden,
z.B. der Steuerberater des Verantwortlichen oder die Angestellten im Unternehmen des
Verantwortlichen

In der Version “Vertriebe” zusätzlich:

- Kunden des Verantwortlichen
- Ansprechpartner bei Kunden des Verantwortlichen
- Beschäftigte bei Kunden des Verantwortlichen

3. Technische und organisatorische Maßnahmen

3.1. Der Auftragsverarbeiter verpflichtet externe Rechenzentren sowie sonstige
Unterauftragsverarbeiter, die innerbetriebliche Organisation so zu gestalten, dass es den besonderen
Anforderungen des Datenschutzes gerecht wird. Insbesondere findet die Datenverarbeitung auf
Datenverarbeitungsanlagen statt, für die das Rechenzentrum oder der sonstige
Unterauftragsverarbeiter alle technischen und organisatorischen Maßnahmen zum Schutz
personenbezogener Daten getroffen hat.

3.2. Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in
Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu
treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem
Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit
sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten
und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen (Einzelheiten in Anlage 1).

3.3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und
der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate
Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

4.1. Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig,
sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren
Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den
Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den
Verantwortlicher weiterleiten.

4.2. Der Auftragsverarbeiter wird die Daten des Verantwortlichen nach dem Ende der
Lizenzvereinbarung vollständig löschen.

5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche
Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung
folgender Vorgaben:

a. Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Thomas Ehrhardt, Geschäftsführer
SoftVer GmbH, Telefon: 06022-7093432, E-Mail: t.ehrhardt@softver.de bestellt. Ein Wechsel des
Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der
Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die
Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz
vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte
Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend
der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten
Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und
organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO (Einzelheiten in Anlage 1).

d. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei
der Erfüllung ihrer Aufgaben zusammen.

e. Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der
Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige
Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung
personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.

f. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem
Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder
eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim
Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu
unterstützen.

g. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und
organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem
Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt
und der Schutz der Rechte der betroffenen Person gewährleistet wird.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem
Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

a. Als Unterauftragsverhältnisse im Sinne dieses Vertrags sind solche Dienstleistungen zu verstehen,
die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören
Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-
/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern
sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und
Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der
Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der
Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen
angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu
ergreifen.

b. Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel der bestehenden genehmigten
Unterauftragsverarbeiter sind zulässig, soweit der Auftragsverarbeiter eine solchen Einschaltung von
Unterauftragsverarbeitern dem Verantwortliche eine angemessene Zeit vorab schriftlich oder in

Textform anzeigt und der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber
dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt
und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
Im Falle des Einspruchs des Verantwortlichen steht dem Auftragsverarbeiter ein außerordentliches
Kündigungsrecht sowohl hinsichtlich dieser Vereinbarung als auch bezüglich der
Leistungsvereinbarung zu.

c. Der Verantwortliche stimmt der Beauftragung der in der Anlage 2 vor Beginn der Verarbeitung
mitgeteilten Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach
Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu.

d. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der
Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

e. Der Auftragnehmer wird vom Auftraggeber ermächtigt im Namen und mit Vollmacht des
Auftraggebers „Standard Contract Clauses (Processors, Beschluss der EU-Kommission vom 05.02.2010,
(2010/87/EU) – genannt Standardvertrag)“ mit den Auftragsverarbeiter des Auftragsverarbeiters
(Datenimporteur), die die Leistung außerhalb der EU/des EWR erbringen, und die nicht von der EU
Kommission per Angemessenheitsbeschluss als sicheres Drittland deklariert wurden, für den
Auftraggeber abzuschließen.

f. Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den
Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller
Voraussetzungen für eine Unterbeauftragung gestattet.

7. Drittanbieter

Wir bieten Kooperationen mit externen Partnern an (Details siehe AGBs). Der Auftraggeber (SoVx
Kunde) schließt mit diesen Partnern direkt Lizenzverträge und Verträge zur Auftragsverarbeitung ab.
Stimmt der Auftraggeber der Datenübertragung an diese Partner zu, werden die Daten vom
Auftragnehmer übertragen.

8. Kontrollrechte des Verantwortlichen

a. Der Verantwortliche hat nach Vorankündigung das Recht, die Einhaltung der über die
datenschutzrechtlichen Prozesse und der vertraglichen Vereinbarung durch den Auftragsverarbeiter
oder das externe Rechenzentrum/den Unterauftragsverarbeiter zu kontrollieren. Dies kann entweder
durch die Einholung von Auskünften oder die Vorlage von aktuellen Testaten, Berichten oder
Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter)
oder durch eine geeignete Zertifizierung mittels IT-Sicherheits- oder Datenschutzaudit erfolgen. Der
Auftragsverarbeiter verpflichtet sich, dem Verantwortliche auf Anforderung die zur Wahrung seiner
Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden
Nachweise verfügbar zu machen.

b. Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortlicher von der Einhaltung der Pflichten
des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet
sich, dem Verantwortlicher auf Anforderung die erforderlichen Auskünfte zu erteilen und
insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

9. Mitteilung bei Verstößen des Auftragsverarbeiters

a. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32
bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei
Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische
Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte
Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken
berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen
ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlicher
zu melden
- die Verpflichtung, dem Verantwortlicher im Rahmen seiner Informationspflicht gegenüber dem
Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante
Informationen unverzüglich zur Verfügung zu stellen
- die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung
- die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der
Aufsichtsbehörde

b. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein
Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine
Vergütung beanspruchen.

10. Weisungsbefugnis des Verantwortlichen

a. Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mind. Textform).

b. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der
Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist
berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den
Verantwortlichen bestätigt oder geändert wird.

11. Löschung von personenbezogenen Daten

a. Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon
ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen
Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.

b. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den
Verantwortlicher – spätestens mit Beendigung der Leistungsvereinbarung – hat der
Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen,
nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und
Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Für die Löschung der
Daten in der Applikation gilt Nr. 4.

c. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung
dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über
das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem
Verantwortlichen übergeben.

12. Schlussbestimmungen

a. Änderungen und Ergänzungen dieser Vertragsregelung und all ihrer Bestandteile, einschließlich
etwaiger Zusicherungen des Auftragsverarbeiters, bedürfen einer schriftlichen Vereinbarung und des
ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser
Vertragsregelung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

b. Sollten einzelne Teile dieser Vertragsregelung unwirksam sein, so berührt dies die Wirksamkeit der
Vertragsregelung im Übrigen nicht. An Stelle der unwirksamen Bestimmung soll eine Bestimmung
vereinbart werden, die dem von den Partnern hiermit verfolgten wirtschaftlichen Zweck möglichst
nahekommt. Entsprechendes gilt im Falle einer Regelungslücke.

c. Diese Vertragsregelung unterliegt ausschließlich dem formellen und materiellen Recht der
Bundesrepublik Deutschland. Die Anwendung des internationalen Privatrechts sowie des einheitlichen
UN-Kaufrechts (CISG) wird ausdrücklich ausgeschlossen.

d. Diese Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO tritt mit Bestätigung des
Bestellprozesses in Kraft.

Anlage 1: Technische und organisatorische Maßnahmen



1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a. Zutrittskontrolle
- Geschäftsräume:
i. Jeder Mitarbeiter kann den elektrischen Türöffner via PIN öffnen.
ii. Das Gebäude wird videoüberwacht.
- Rechenzentrumsräume:
i. SoVx Kundendaten werden in Rechenzentren von Hosteurope verarbeitet und
gespeichert
ii. Technische und organisatorische Maßnahmen bei Hosteurope sind in Anlage 3 zu
diesem Vertrag aufgeführt
b. Zugangskontrolle:
- Der Benutzer- und Administratorzugriff auf das SoVx System beruht auf einem
rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um
sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und
Administratoren genutzt werden können.
- Bei SoVx gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die
Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen.
Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus, muss eine
entsprechende Berechtigung vorliegen.
- Einsatz von Firewallsystemen, Virenscanner und Intrusion Detection Systemen auf SoVx
Serversystemen.
- Der Zugriff auf SoVx Serversysteme erfolgt SSH-verschlüsselt.
c. Zugriffskontrolle:
- Zugriffsberechtigung auf SoVx Produktivsysteme ist auf einen kleinen Kreis von
Mitarbeitern (“Administratoren”) beschränkt.
- Alle Zugriffe auf SoVx Produktivsysteme durch Administratoren werden mit User-ID und
Zeitstempel protokolliert.
- Für Admin-Zugriffe durch Dienstleister (Hosteurope): Siehe Technische und
organisatorische Maßnahmen bei Hosteurope in Anlage 3 zu diesem Vertrag.
d. Trennungskontrolle:
- Datensätze unterschiedlicher SoVx Kunden werden in einer einheitlichen Datenbank
speziell markiert (SalesID, CompanyID, softwareseitige Mandantenfähigkeit).

- Unterschiedliche Domains und SSL-Zertifikate für Test- und Produktivsysteme

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

a. Weitergabekontrolle:
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder
Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

b. Eingabekontrolle
Audit-Log als Feature in SoVx, in dem Eingaben durch Kunden protokolliert werden.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a. Verfügbarkeitskontrolle
- Es werden regelmäßig automatische Sicherungskopien und Backups aller SoVx
Kundendaten erstellt.
- Zur Ausstattung der Rechenzentren von Hosteurope, vgl. Technische und organisatorische
Maßnahmen bei Hosteurope in Anlage 3 zu diesem Vertrag
b. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO):
- Backups werden regelmäßig auf Wiedereinspielbarkeit geprüft

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

a. Für sämtliche Produkte von der SoftVer GmbH in denen personenbezogenen Daten verarbeitet
werden, wurde ein Datenschutzbeauftragter bestellt.

b. Die SoftVer GmbH verfügt über ein Datenschutzmanagementsystem. Mit entsprechender Planung
zu Maßnahmen zum Umgang mit Chancen/Risiken und die Ausstattung mit angemessenen
Ressourcen, Kompetenzen, Awareness und Kommunikation. Die Überwachung, Messung, Analyse und
Bewertung, zusammen mit internen Audits und Managementbewertungen finden zur fortlaufenden
Verbesserung des Managementsystems kontinuierlich statt. Das Managementsystem des
Auftragsverarbeiter ist bei den Hostern integriert.

c. Dediziertes Incident-Response-Management für SoVx (Vgl. §3)

d. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

e. Auftragskontrolle:
- Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende
Weisung des Verantwortlichen
- Klare, eindeutige Weisungen
- Verhinderung von Zugriffen unbefugter Dritter auf die Daten
- Verbot, Daten in unzulässiger Weise zu kopieren
- Vereinbarungen über Art des Datentransfers und deren Dokumentation
- Kontrollrechte durch den Auftraggeber
- Vereinbarung von Vertragsstrafen
- strenge Auswahl der Dienstleister
- Nachkontrollen

Anlage 2: Unterauftragsverarbeiter



Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter zu unter
der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:

1. Host Europe GmbH („Hosteurope“)

a. Anschrift: Hansestrasse 111, 51149 Köln
b. Leistung:
- Hosting und Betriebsaufgaben für alle Versionen “Vertriebe”, “Arbeitgeber”, “Arbeitnehmer”.
- Interne und externe Kommunikation über E-Mail

2. Google Inc.

a. Anschrift: Amphitheatre Parkway, Mountain View, CA 94043, US
b. Leistung:
- Interne und externe Kommunikation über E-Mail

Anlage 3: Technische und organisatorische Maßnahmen der Unterauftragsverarbeiter



1. Technische und organisatorische Maßnahmen: Host Europe GmbH („Hosteurope“)

Es wurden alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO ergriffen.

2. Technische und organisatorische Maßnahmen: Google Inc.

2.1. Datenverarbeitungsanlagen und Netzwerksicherheit
(a) Datenverarbeitungsanlagen
Infrastruktur. Google unterhält geographisch verteilte Rechenzentren. Google speichert alle
produktiven Daten in physisch gesicherten Rechenzentren.

Redundanz. Die Infrastruktursysteme wurden dahingehend konzipiert, einzelne Fehlerquellen zu
eliminieren und die Auswirkungen von zu erwartenden Umweltrisiken zu minimieren. Zweifache
Schaltkreise, Schalter, Netzwerke oder andere notwendige Geräte tragen dazu bei, diese Redundanz
bereitzustellen. Die Services ermöglichen es Google, bestimmte Arten der präventiven und korrektiven
Wartung unterbrechungsfrei durchzuführen. Alle Anlagen und Einrichtungen verfügen über
dokumentierte vorbeugende Wartungsverfahren, die den Prozess und die Häufigkeit der
Leistungserbringung gemäß den Hersteller- oder internen Spezifikationen detailliert beschreiben. Die
vorbeugende und korrektive Wartung der Rechenzentrumsanlagen wird nach einem standardisierten
Änderungsprozess gemäß den dokumentierten Verfahren geplant.

Stromversorgung. Die Stromversorgungssysteme für Rechenzentren sind so konzipiert, dass sie
redundant sind und gewartet werden können, ohne den kontinuierlichen Betrieb zu beeinträchtigen,
24 Stunden am Tag und 7 Tage die Woche. In den meisten Fällen wird für kritische
Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative
Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Notstrom wird durch verschiedene
Mechanismen wie bspw. batteriegestützte unterbrechungsfreie Stromversorgungen (USV) zur
Verfügung gestellt, die einen durchweg zuverlässigen Leistungsschutz während
Versorgungsspannungsabfällen, Stromausfällen, Überspannung, Unterspannung und außerhalb der
Toleranz liegenden Frequenzbedingungen liefern. Wenn die Netzstromversorgung unterbrochen wird,
ist die Notstromversorgung so ausgelegt, dass das Rechenzentrum bei voller Auslastung für bis zu 10
Minuten mit Strom versorgt wird, bis die Dieselgeneratorsysteme die Stromversorgung übernehmen.
Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch hochzufahren, um

genügend Notstrom zu liefern, um das Rechenzentrum typischerweise über einen Zeitraum von
mehreren Tagen mit voller Kapazität zu betreiben.

Serverbetriebssysteme. Die Server von Google verwenden eine Linux-basierte Implementierung, die
auf die Anwendungsumgebung hin angepasst wurde. Daten werden unter Verwendung proprietärer
Algorithmen gespeichert, um die Datensicherheit und -redundanz zu erhöhen. Google verwendet
einen Code-Review-Prozess, um die Sicherheit des Codes, der für die Bereitstellung der Services
verwendet wird, zu erhöhen und die Sicherheit in produktiven Umgebungen zu verbessern.

Betriebskontinuität. Google repliziert Daten über mehrere Systeme hinweg zwecks Schutz vor
versehentlicher Zerstörung oder Verlust. Google hat Verfahren zur Betriebskontinuität/Notfallpläne
entwickelt und überprüft und testet diese regelmäßig.

(b) Netzwerke und Datenübertragung.
Datenübertragung. Die Rechenzentren sind üblicherweise über private Hochgeschwindigkeits-
Verbindungen verbunden, um einen sicheren und schnellen Datentransfer zwischen ihnen zu
gewährleisten. Dies soll gewährleisten, dass Daten während der elektronischen Übertragung oder des
Transports oder während der Aufzeichnung auf Datenträger weder gelesen, kopiert, geändert oder
entfernt werden. Google überträgt Daten über Internetstandardprotokolle.

Angriffe von außen. Google verwendet mehrere Schichten von Netzwerkgeräten und Systeme zur
Eindringungserkennung, um sich vor Angriffen von außen zu schützen. Google berücksichtigt
potenzielle Angriffsvektoren und integriert geeignete speziell entwickelte Technologien in nach außen
gerichteten Systemen.

Eindringungserkennung. Die Eindringungserkennung soll Einblick in laufende Angriffsaktivitäten geben
und ausreichende Informationen bereitstellen, um auf entsprechende Vorfälle zu reagieren. Die
Eindringungserkennung von Google beinhaltet:

Engmaschige Kontrollen hinsichtlich Größe und Art möglicher Angriffsflächen durch vorbeugende
Maßnahmen;
Einsatz intelligenter Erkennungsmechanismen an Dateneingabestellen; und
Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch entschärfen.
Reaktion auf sicherheitsrelevante Vorfälle. Google überwacht über eine Vielzahl an
Kommunikationskanälen das Auftreten von sicherheitsrelevanten Vorfällen und das
Sicherheitspersonal von Google reagiert umgehend auf bekannte Vorfälle.

Verschlüsselungstechnologien. Google stellt HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet)
zur Verfügung.

2.2. Zugangskontrollen
(a) Zugang zu Liegenschaften.
Sicherheitskontrollen der Rechenzentren. Die Rechenzentren von Google werden vor Ort 24 Stunden
am Tag, 7 Tage die Woche überwacht. Das Sicherheitspersonal vor Ort beobachtet mittels
Videoüberwachungsssystemen und überwacht alle Alarmsysteme. Außerdem werden innerhalb und
außerhalb der Rechenzentren regelmäßig Kontrollgänge durchgeführt.

Zutrittskontrollen. Google hat festgelegte Zutrittsverfahren für den physischen Zutritt zu den
Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die einen Zutritt nur mit
elektronischen Zugangskarten ermöglichen, mit Alarmsystem für das Sicherheitspersonal vor Ort. Alle
in das Rechenzentrum Eintretenden müssen sich ausweisen und gegenüber dem Sicherheitspersonal
identifizieren. Nur autorisierte Mitarbeiter, Auftragnehmer und Besucher erhalten Zutritt zu den

Rechenzentren. Nur autorisierten Mitarbeitern und Auftragnehmern ist es gestattet, elektronische
Zugangskarten für diese Einrichtungen zu beantragen. Anträge für elektronische Zugangskarten
müssen per E-Mail erfolgen und erfordern die Genehmigung des Vorgesetzten des Beantragenden
sowie des Direktors des Rechenzentrums. Alle anderen Besucher, die einen temporären Zutritt zum
Rechenzentrum benötigen, müssen: (i) vorab von den Verantwortlichen des Rechenzentrums eine
Genehmigung für das spezifische Rechenzentrum und die internen Bereiche erhalten, die sie besuchen
möchten; (ii) sich beim Sicherheitspersonal vor Ort anmelden (iii) und eine genehmigte
Zutrittserlaubnis des Rechenzentrums aufweisen können, in der die entsprechende Person als
genehmigt identifiziert wird.

Sicherheitseinrichtungen im Rechenzentrum. Die Rechenzentren von Google verwenden eine
elektronische Zugangskarte und ein biometrisches Zutrittskontrollsystem, welches mit einem
Systemalarm verbunden ist. Das Zutrittskontrollsystem überwacht und zeichnet die Daten der
elektronischen Zugangskarte jeder Person auf, wenn diese Eingangstüren, Versand- und
Empfangsbereiche und andere kritische Bereiche passieren. Nicht autorisierte Aktivitäten und
fehlgeschlagene Zutrittsversuche werden vom Zutrittssteuerungssystem protokolliert und
gegebenenfalls untersucht. Der autorisierte Zutritt im gesamten Geschäftsbetrieb und in den
Rechenzentren ist in Zonen aufgeteilt und gemäß der Verantwortlichkeit des einzelnen Mitarbeiters
beschränkt. Die Feuerschutztüren in den Rechenzentren sind mit Alarmanlagen ausgestattet.
Videoüberwachungssysteme sind sowohl innerhalb als auch außerhalb der Rechenzentren in Betrieb.
Die Kameras wurden so positioniert, dass sie strategische Bereiche abdecken, unter anderem die
Umgebung, Türen zum Gebäude des Rechenzentrums und den Versand/Empfang.
Sicherheitsmitarbeiter vor Ort verwalten die Videoüberwachungs-, Aufzeichnungs- und Kontrollgeräte.
Gesicherte Leitungen in den Rechenzentren verbinden die Videoüberwachungs-Geräte. Kameras
zeichnen 24 Stunden am Tag, 7 Tage die Woche auf digitale Videorekorder vor Ort auf. Die
Aufzeichnungen werden je nach Aktivität für bis zu 90 Tage aufbewahrt.

(b) Zugangskontrolle.
Organisation des Sicherheitspersonals. Google verfügt über und hält aufrecht eine Sicherheitsrichtlinie
für sein Personal sowie verpflichtende Sicherheitsschulungen als Teil des Schulungspakets für seine
Mitarbeiter. Das Sicherheitspersonal von Google ist für die laufende Überwachung der
Sicherheitsinfrastruktur von Google, die Überprüfung der Dienste und die Reaktion auf
Sicherheitsvorfälle verantwortlich.

Zugriffskontrolle und Rechteverwaltung. Die Administratoren und Endbenutzer bei Google müssen
sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren,
um die Dienste nutzen zu können. Jede Anwendung überprüft die Anmeldeinformationen vor der
Anzeige von Daten für autorisierte Endbenutzer oder autorisierte Administratoren.

Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinien. Die internen Datenzugriffsprozesse
und -richtlinien von Google verhindern, dass unbefugte Personen und / oder Systeme auf Systeme zur
Verarbeitung personenbezogener Daten zugreifen. Google gestaltet seine Systeme so, dass (i) nur
berechtigten Personen Zugriff auf die Daten gewährt wird, auf die sie zugreifen dürfen; und (ii)
sichergestellt ist, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der
Aufzeichnung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können. Die
Systeme sind so konzipiert, dass sie jeden unangemessenen Zugriff erkennen können. Google
verwendet ein zentralisiertes Zugriffsverwaltungssystem, um den Zugang der Mitarbeiter zu den
Produktionsservern zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisiertem
Personal Zugang. LDAP, Kerberos und ein proprietäres System, das RSA-Schlüssel verwendet, sind so
konzipiert, dass sie Google die Gestaltung sicherer und flexibler Zugriffsmechanismen ermöglichen.
Diese Mechanismen dienen dazu, dass auf Site-Hosts, Logs, Daten und Konfigurationsinformationen
nur mit Genehmigung zugegriffen werden kann. Google verwendet eindeutige Benutzer-IDs und starke

Kennwörter, Zwei-Faktor-Authentifizierung und sorgfältig überwachte Zugriffslisten, um das Risiko der
unbefugten Nutzung eines Benutzerkontos zu minimieren. Die Gewährung oder Änderung von
Zugriffsrechten erfolgt gemäß: den tätigkeitsbezogenen Verantwortlichkeiten; tätigkeitsbezogenen
Anforderungen zur Ausführung bestimmter Aufgaben; der “need-to-know-basis” (Kenntnis nur wenn
nötig); und muss den internen Datenzugriffsrichtlinien und Schulungen von Google entsprechen.
Genehmigungen werden von Workflow-Tools verwaltet, die Prüfprotokolle aller Änderungen
verwalten. Der Zugriff auf Systeme wird protokolliert, um einen Prüfpfad für die Verantwortlichkeit zu
erstellen. Wo Passwörter für die Authentifizierung verwendet werden (z. B. beim Anmelden an
Workstations), werden Passwortrichtlinien implementiert, die mindestens den Industriestandards
entsprechen. Zu diesen Standards gehören ein Ablaufdatum für ein Kennwort, Einschränkungen bei
der Wiederverwendung von Kennwörtern und ausreichende Kennwortstärke. Für den Zugriff auf
äußerst vertrauliche Informationen (z. B. Kreditkartendaten) verwendet Google Hardware-Token.

2.3. Daten.
(a) Datenspeicherung, Datentrennung und Authentifizierung.
Google speichert Daten in einer mandantenfähigen Umgebung auf eigenen Servern. Daten, die
Datenbank des Dienstes und die Dateisystemarchitektur werden zwischen mehreren geografisch
verteilten Rechenzentren repliziert. Google trennt die Daten logisch je Endbenutzer auf der
Anwendungsebene. Google trennt außerdem die Daten des Datenexporteurs logisch und der
Datenexporteur erhält die Kontrolle über spezifische Datenfreigaberichtlinien. Google trennt die Daten
des Datenexporteurs, einschließlich der Daten verschiedener Endbenutzer, logisch voneinander, und
Daten für einen authentifizierten Endbenutzer werden keinem anderen Endbenutzer angezeigt (es sei
denn, der frühere Endbenutzer oder Administrator erlaubt die gemeinsame Nutzung der Daten). Ein
zentrales Authentifizierungssystem wird für alle Dienste verwendet, um die Sicherheit der Daten zu
erhöhen. Der Datenexporteur erhält die Kontrolle über bestimmte Datenfreigaberichtlinien. Diese
Richtlinien ermöglichen es dem Datenexporteur, in Übereinstimmung mit der Funktionalität der
Dienste die Einstellungen für die Produktfreigabe festzulegen, die für Endbenutzer für bestimmte
Zwecke gelten. Der Datenexporteur kann bestimmte Protokollierungsfunktionen verwenden, die
Google über die Dienste, Produkte und APIs bereitstellen kann. Der Datenexporteur stimmt zu, dass
seine Verwendung der API den Nutzungsbedingungen der API entspricht.

(b) Außer Betrieb genommene Datenträger und Richtlinien zur Löschung von Datenträger
Bei bestimmten Datenträgern können Leistungsprobleme, Fehler oder Hardwarefehler auftreten, die
dazu führen, dass sie außer Betrieb genommen werden („Außer Betrieb genommene Datenträger“).
Jeder außer Betrieb genommene Datenträger unterliegt einer Reihe von Datenvernichtungsprozessen
(die „Richtlinie zur Datenträgerlöschung“), bevor er die Räumlichkeiten von Google entweder zur
Wiederverwendung oder zur Zerstörung verlässt. Außer Betrieb genommene Festplatten werden in
einem mehrstufigen Prozess gelöscht und ihre Löschung durch mindestens zwei unabhängige Prüfer
verifiziert. Die erfolgte Löschung wird mit der Seriennummer der außer Betrieb genommenen
Festplatte zwecks Nachverfolgung protokolliert. Schließlich wird die gelöschte und außer Betrieb
genommene Platte für die Wiederverwendung und erneuten Bereitstellung im Inventar freigegeben.
Wenn die außer Betrieb genommene Festplatte aufgrund eines Hardwarefehlers nicht gelöscht
werden kann, wird sie sicher aufbewahrt, bis sie zerstört werden kann. Jede Einrichtung wird
regelmäßig überprüft, um die Einhaltung der Richtlinie zum Löschen von Datenträgern sicherzustellen.

2.4. Sicherheitsanforderungen an die Beschäftigten.
Das Personal von Google muss sich in Übereinstimmung mit den Unternehmensrichtlinien in Bezug auf
Vertraulichkeit, Geschäftsethik, angemessene Gepflogenheiten und professionelle Standards
verhalten. Google führt zumutbare und angemessene Hintergrundüberprüfungen im gesetzlich
zulässigen Umfang und in Übereinstimmung mit den geltenden lokalen arbeitsrechtlichen und
gesetzlichen Vorschriften durch.

Das Personal muss sich einer Vertraulichkeitsvereinbarung unterwerfen und den Erhalt und die
Einhaltung der Vertraulichkeits- und Datenschutzrichtlinien von Google bestätigen. Das Personal erhält
Sicherheitstrainings. Personal, das Kundendaten verarbeitet, muss zusätzliche Anforderungen erfüllen,
die dieser Rolle entsprechen (z. B. Zertifizierungen). Das Personal von Google verarbeitet Kundendaten
nicht ohne Genehmigung.

2.5. Sicherheitsanforderungen an Subunternehmer.
Vor dem Einbinden eines Subunternehmens führt Google eine Prüfung der Sicherheits- und
Datenschutzpraktiken des Subunternehmens durch, um sicherzustellen, dass das Subunternehmen ein
Maß an Sicherheit und Datenschutz bietet, das dem Zugriff auf Daten und dem Umfang der von diesem
erbrachten Dienste entspricht. Nachdem Google die bei einem Subunternehmen gegebenen Risiken
bewertet hat, muss das Subunternehmen in Vertragsklauseln betreffend Sicherheit, Vertraulichkeit
und Datenschutz einwilligen.

2.6. Datenschutzbeauftragter.
Der Datenschutzbeauftragte von Google kann kontaktiert werden unter: enterprise-dpo@google.com
pdf-Version