verantwortliches Unternehmen:
HR-Autopilot GmbH
Im Grasfeld 8
50354 Hürth
Die Übermitlung von Daten an einen Empfänger in einem Dritland außerhalb von EU und EWR ist unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Bedingungen zulässig.
Macht eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO bei einer Partei geltend, so informiert dieser die andere Partei darüber unverzüglich. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
Der für die Erfüllung der gesetzlichen Verpflichtungen des Auftragsverarbeiters entstehende Aufwand ist mit dem gemäß dem Hauptvertrag gezahlten Entgelt abgegolten. Hinsichtlich des Aufwandes für Personalleistungen, der anfällt für die Unterstützung nach Maßgabe von Ziffer 7 Satz 2 und für solche Kontrollen vor Ort nach Ziffer 8.3 und 8.4, die über eine jährliche Kontrolle hinausgehen oder die bei anlassbezogenen Kontrollen anfallen, die im Zuge der Kontrolle keine datenschutzrechtlichen Auffälligkeiten bzw. Verstöße ergeben, behält sich der Auftragsverarbeiter vor, sich seinen Aufwand nach
seinen jeweils aktuellen Sätzen vergüten zu lassen.
Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrags, längstens solange der Auftragsverarbeiter noch Daten für den Verantwortlichen verarbeitet. Mit Beendigung des Hauptvertrags hat der Auftragsverarbeiter nach Wahl des Verantwortlichen die im Auftrag verarbeiteten Daten herauszugeben oder datenschutzkonform zu löschen sowie etwaig vorhandene Kopien der Daten zu löschen, sofern nicht eine Verpflichtung zur Speicherung vorliegt. Nach Beendigung dieser Vereinbarung wird der Auftragsverarbeiter, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder sonstiger ihn zur Aufbewahrung berechtigenden Vorschriften, die für den Verantwortlichen im Rahmen dieser Vereinbarung verarbeiteten Daten an den Verantwortlichen herausgeben bzw. vernichten oder löschen.
Beschreibung der technischen und organisatorischen Maßnahmen des Auftragnehmerszum angemessenen Schutz der Daten des Kunden nach Art. 32 DSGVO –
Durch die technischen und organisatorischen Maßnahmen werden die Belastbarkeit, Integrität Pseudonymisierung, Verfügbarkeit, Verschlüsselung, Vertraulichkeit und Wiederherstellbarkeit der Systeme und Dienste von HR-Autopilot und dessen Unterauftragnehmer im Zusammenhang mit diesem
AV-Vertrag sichergestellt.
Zusätzlich hierzu ist der Kunde nach Art. 24 DSGVO eigenverantwortlich für die Erarbeitung und Umsetzung eigener geeigneter Maßnahmen verantwortlich. Entsprechende Richtlinien, wie zum Beispiel ISO 27002, sollten durch den Kunden beim Bundesamt für Sicherheit in der Informationstechnik erfragt und eingehalten werden.
Maßnahmen, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutztwerden können
Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entferntwerden können.
Maßnahmen, die gewährleisten, dasszu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Transport- und Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischenÜbertragung, ihrer
Speicherung auf Datenträger oder während ihres Transportes nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in Systeme eingegeben, verändert oder entfernt worden sind.
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können:
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Kunden, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
(Art. 32 Abs. 1 lit. b+c DSGVO) Maßnahmen, die gewährleisten, dass personenbezogene Daten, gegen zufällige Zerstörung oder Verlust geschützt sind.
Maßnahmen, die gewährleisten, dass die Datenschutzanforderungen umgesetzt werden und diese auch nachweisbar sind (Datenschutz-Management).
Maßnahmen, die gewährleisten, dass Datenpannen schnell erkannt und gemeldet werden.
Maßnahmen, die gewährleisten, dass Privacy by Design und by Default berücksichtigtsind.