Cozero DPA

Zuletzt aktualisiert am: 09.08.2024

Auftragsverarbeitungsvereinbarung (AVV)

  1. Präambel, Regelungsgegenstand und Rangfolge

1.1 Allgemeines. Diese Auftragsverarbeitungsvereinbarung („AVV“) ist Teil der Rahmenvereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste (die "Vereinbarung").

1.2 Gegenstand der AVV. Diese AVV beschreibt, wie Cozero personenbezogene Daten, die Sie uns im Zusammenhang mit der Nutzung unserer Dienste zur Verfügung stellen, in Übereinstimmung mit den Anforderungen der Datenschutzgesetze verarbeiten wird.

1.3 Widersprüche. Im Falle eines Konflikts haben die Bestimmungen dieser AVV Vorrang vor den Bestimmungen des Abkommens.

2. Definitionen

In dieser AVV werden folgende Begriffe verwendet:

2.1 "Vereinbarung" bezeichnet die Vereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste, wie in unseren Servicebedingungen dargelegt.

2.2 "Kunde" oder "Sie" bezieht sich auf Sie, die Person, die die Vereinbarung (einschließlich dieser AVV) mit Cozero abschließt. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen dieser Organisation zu und versichern, dass Sie dazu befugt sind, dies zu tun. In diesem Fall bezieht sich der Begriff "Kunde" oder "Sie" auf diese Organisation.

2.3"Datenschutzgesetze" sind alle Gesetze und Verordnungen, einschließlich der Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, die auf die Verarbeitung personenbezogener Daten (auch im Zusammenhang mit der Erbringung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) anwendbar sind, insbesondere die DSGVO, das deutsche Telekommunikations- und Telemediendatenschutzgesetz (TTDSG).

2."DSGVO" bezeichnet die EU-Datenschutz-Grundverordnung (EU) 2016/679.

2.5 "Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die von Cozero im Rahmen der Dienste an und/oder mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Abgleichen oder Kombinieren, Sperren, Löschen oder Vernichten.

2.6 "Dienste" bezeichnet die Dienste, die wir über unsere Website anbieten, einschließlich unserer Emission Communication and Engagement Services.

2.7 "Website" bezeichnet unsere Website, www.cozero.io​ sowie die dazugehörige Plattform.

2.8 "Unterauftragsverarbeiter" bezeichnet einen von Cozero beauftragten dritten Unterauftragnehmer, der als Teil der Aufgabe des Unterauftragnehmers, die Dienste zu erbringen, personenbezogene Daten verarbeiten wird.

2.9 "Betroffener" bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Angestellter, ein Lieferantenvertreter, ein Kundenvertreter oder ein Geschäftskontakt von Ihnen ist und die von Ihnen über unsere Website kontaktiert und/oder in den Kohlenstoffmanagementprozess einbezogen wurde oder wird.

2.10 "Personenbezogene Daten" sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Personenbezogene Daten können in den Kundendaten enthalten sein.

Andere Begriffe haben die Definitionen, die für sie in der Vereinbarung oder in der Datenschutz-Grundverordnung vorgesehen sind, oder werden im Folgenden anders definiert.

  1. Anwendungsbereich, Dauer, Art der Daten und Kategorien von betroffenen Personen

3.1 Allgemeiner Geltungsbereich. Gemäß den Bedingungen dieser AVV wird Cozero personenbezogene Daten im Namen des Kunden in Übereinstimmung mit Artikel 28 DSGVO verarbeiten.

3.2 Dauer. Diese AVV gilt für die Dauer der von Cozero im Rahmen der Vereinbarung erbrachten Dienstleistungen und endet automatisch bei Ablauf oder Kündigung der Vereinbarung aus irgendeinem Grund.

3.3 Umfang, Art und Zweck der Verarbeitung. Der Umfang, die Art und der Zweck der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung sind in der Vereinbarung und in unserer Datenschutzrichtlinie.

3.4 Arten von Daten. Die Verarbeitung kann die folgenden Arten/Kategorien personenbezogener Daten umfassen: personenbezogene Daten wie Name oder E-Mail-Adresse, Stellenbeschreibung, Zugehörigkeit zum Unternehmen, zur Verfügung gestellte persönliche Bilder, IP-Adresse, Nutzungsdaten, Gerätedaten, Empfehlungsdaten, Informationen aus Cookies und Page Tags.

3.5 Kategorien von betroffenen Personen. Die von der vorliegenden Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet: (i) Mitarbeiter des Kunden; (ii) Lieferanten des Kunden und (iii) Geschäftskontakte des Kunden.

3.6 Ausnahme. Während der Dauer der Mitgestaltungsphase ist diese AVV nur eingeschränkt anwendbar, da sich der Dienst von Cozero in einem frühen Entwicklungsstadium befindet. Spätestens mit dem Ende der Co-Creation-Phase tritt die AVV in vollem Umfang in Kraft.

4. Anweisungen für Kunden

4.1 Verarbeitungsanweisungen. Während unserer Dienstleistungen können Sie uns zusätzlich zu den in dieser AVV genannten Anweisungen, Anweisungen bezüglich der Verarbeitung personenbezogener Daten (jede solche Anweisung wird im Folgenden als "Verarbeitungsanweisung" bezeichnet) in Verbindung mit unseren Dienstleistungen erteilen. Jede Verarbeitungsanweisung muss schriftlich oder in elektronischer Form erfolgen. Wir werden Ihre personenbezogenen Daten gemäß Ihren Anweisungen verarbeiten

4.2 Änderungsanträge. Jede Verarbeitungsanweisung, die die Bedingungen dieser AVV ändert oder von ihnen abweicht, stellt eine Änderungsanforderung dar und unterliegt den in Abschnitt 14 dargelegten Anforderungen. Wir verhandeln mit Ihnen nach Treu und Glauben über jede Änderung der Dienste und/oder Gebühren, die sich aus einer Verarbeitungsanweisung ergeben.

4.3 Übereinstimmung der Verarbeitungsanweisungen mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, dass Ihre Verarbeitungsanweisungen mit den Datenschutzgesetzen übereinstimmen.

4.4 Benachrichtigung. Wenn wir der Meinung sind, dass eine Verarbeitungsanweisung gegen die DSGVO oder andere Datenschutzgesetze verstößt, werden wir Sie unverzüglich darüber informieren.

5. Pflichten und Rechte des Kunden

5.1 Kunde als Verantwortlicher. Sie sind der für die Verarbeitung Verantwortliche im Sinne von Artikel 4 Absatz 7 DSGVO. Sie tragen die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen Sie die personenbezogenen Daten erworben haben.

5.2 Aufzeichnung von Verarbeitungstätigkeiten. Sie führen ein Verzeichnis der Verarbeitungstätigkeiten unter Ihrer Verantwortung gemäß Artikel 30 DSGVO.

5.3 Meldepflicht. Sie werden uns unverzüglich jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Bestimmungen zum Datenschutz informieren.

6. Cozero-Verpflichtungen

6.1 Verarbeitung ausschließlich für die Erbringung von Dienstleistungen. Wir werden Ihre personenbezogenen Daten nur auf dokumentierte Anweisung von Ihnen und ausschließlich für die Erbringung der Dienstleistungen gemäß Artikel 28 Absatz 3 a) bis h) DSGVO verarbeiten und ansonsten (i) Ihre personenbezogenen Daten nicht für andere als die in der Vereinbarung oder dieser AVV festgelegten Zwecke verarbeiten oder nutzen oder (ii) Ihre personenbezogenen Daten an Dritte weitergeben, die keine Unterauftragsverarbeiter für die vorgenannten Zwecke sind, oder wenn dies nach dem Recht der Union oder eines Mitgliedstaats, dem wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.

6.2 Verarbeitung innerhalb und außerhalb der EU/EWR. In der Regel verarbeiten wir personenbezogene Daten innerhalb des Gebiets der Bundesrepublik Deutschland, eines Mitgliedstaats der Europäischen Union oder eines anderen Unterzeichnerstaats des Abkommens über den Europäischen Wirtschaftsraum. In einigen Fällen können wir personenbezogene Daten auch an unsere Drittdienstleister in den Vereinigten Staaten von Amerika übermitteln; Einzelheiten zu den von uns eingesetzten Drittdienstleistern entnehmen Sie bitte unserer Liste der Unterauftragsverarbeiter (abrufbar unter https://cozero.io/de/subprocessors). Sollte aus Sicht des Kunden bei der Verarbeitung personenbezogener Daten in einem Drittland die Durchführung einer Transfer-Folgenabschätzung erforderlich sein, wird Cozero den Kunden dabei in angemessenem Umfang und nach bestem Wissen und Gewissen unterstützen. Es besteht jedoch keine Verpflichtung für den Kunden, eine Transfer-Folgenabschätzung durchzuführen.

6.3 Personal von Cozero. Wir stellen sicher, dass unser Personal, das mit der Verarbeitung personenbezogener Daten befasst und dazu befugt ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist und sich zur Vertraulichkeit verpflichtet hat oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegt.

6.4 Unser Datenschutzbeauftragter. Wir haben einen Datenschutzbeauftragten bestellt: Anja Ruisinger, Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin. Die Person ist per E-Mail erreichbar unter dpo@cozero.io.

7. Technische und organisatorische Maßnahmen

7.1 Cozero TOM. Wenn wir personenbezogene Daten in Ihrem Auftrag verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen und haben bestimmte technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung dieser Daten eingeführt und werden diese beibehalten, wie in Anhang 1 beschrieben. Diese Maßnahmen sollen personenbezogene Daten vor versehentlichem oder unbefugtem Verlust, Zerstörung, Änderung, Offenlegung oder Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung schützen.

7.2 Änderungen der TOM. Alle technischen und organisatorischen Sicherheitsmaßnahmen unterliegen dem technischen Fortschritt und der Entwicklung. Dementsprechend können wir unsere Sicherheitsmaßnahmen modifizieren und/oder alternative Sicherheitsmaßnahmen implementieren, sofern diese nicht hinter dem in Anlage 1 vertraglich vereinbarten Sicherheitsniveau zurückbleiben.

8. Audit-Rechte des Kunden

8.1 Kunden-Audits. Sie sind berechtigt, vor Beginn unserer Dienstleistungen und bis zu einmal pro Jahr während der Erbringung unserer Dienstleistungen die von Cozero implementierten technischen und organisatorischen Maßnahmen zu prüfen. Sie können häufigere Audits durchführen, soweit dies von den Datenschutzgesetzen verlangt werden.

8.2 Einzelheiten zu Audits. Im Rahmen eines solchen Audits können Sie insbesondere die folgenden Maßnahmen durchführen: (i) Sie können alle Informationen von Cozero einholen, die erforderlich sind, um die Einhaltung der in dieser AVV festgelegten Verpflichtungen nachzuweisen. (ii) Sie können Cozero auffordern, Ihnen eine bestehende Bescheinigung eines qualifizierten Drittprüfers vorzulegen. (iii) Sie können nach angemessener vorheriger Vereinbarung während der regulären Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs von Cozero eine Vor-Ort-Inspektion derjenigen Teile der Geschäftseinrichtungen von Cozero durchführen, in denen personenbezogene Daten verarbeitet werden, vorbehaltlich der dann geltenden Sicherheitsrichtlinien von Cozero.

8.3 Vor-Ort-Inspektionen. Um eine Vor-Ort-Inspektion zu beantragen, müssen Sie uns mindestens zwei Wochen vor dem vorgeschlagenen Inspektionstermin einen Inspektionsplan vorlegen, in dem der vorgeschlagene Umfang, die Dauer und das Anfangsdatum der Inspektion beschrieben sind. Wir prüfen den Inspektionsplan und teilen Ihnen alle Bedenken oder Fragen mit (z. B. jede Anforderung von Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von Cozero gefährden könnten).

8.4 Bericht anstelle eines Audits. Wenn der geforderte Prüfungsumfang in einem SSAE 16/ISAE 3402 Typ 2, ISO, NIST oder ähnlichen Prüfungsbericht behandelt wird, der von einem qualifizierten externen Prüfer innerhalb der letzten zwölf Monate durchgeführt wurde, erklären Sie sich damit einverstanden, diese Feststellungen anstelle einer geforderten Prüfung der von dem Bericht erfassten Systeme zu akzeptieren.

8.5 Weitergabe von Berichten. Sie werden uns alle gemäß diesem Abschnitt erstellten Prüfberichte zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Sie dürfen die Auditberichte nur dazu verwenden, um zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen den Anforderungen dieser AVV entsprechen. Die Audit-Berichte sind vertrauliche Informationen der Parteien gemäß den Bedingungen der Vereinbarung.

8.6 Kosten für Audits. Alle Audits gehen zu Ihren Lasten. Jede Anfrage an Cozero, Unterstützung bei einer Prüfung zu leisten, wird als separate Dienstleistung betrachtet, wenn diese Prüfungsunterstützung den Einsatz von Ressourcen erfordert, die sich von denen unterscheiden, die für die Erbringung der Dienstleistungen erforderlich sind, oder diese ergänzen. Wir holen Ihre schriftliche Zustimmung und Ihr Einverständnis zur Zahlung der entsprechenden Gebühren ein, bevor wir eine solche Prüfungsunterstützung durchführen.

8.7 Prüfer von Dritten. Wenn eine dritte Partei die Prüfung durchführen soll, muss die dritte Partei von dem Kunden und Cozero einvernehmlich bestimmt werden und eine schriftliche Vertraulichkeitsvereinbarung unterzeichnen, die für Cozero akzeptabel ist, bevor die Prüfung durchgeführt wird.

9. Unterauftragsverarbeiter

9.1 Unterauftragsverarbeiter. Wir können Unterauftragsverarbeiter beauftragen, die uns bei der Verarbeitung Ihrer personenbezogenen Daten unterstützen. Indem Sie diese AVV mit uns abschließen, erteilen Sie uns Ihre vorherige allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern gemäß Artikel 28 Absatz 2 DSGVO. Eine Liste der Unterauftragsverarbeiter finden Sie unter https://cozero.io/de/subprocessors. Wenn wir beabsichtigen, einen Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen, werden wir Sie über diese beabsichtigte Änderung informieren und Ihnen die Möglichkeit geben, dieser Änderung zu widersprechen. Wenn Sie nicht innerhalb von zwei Wochen nach unserer Benachrichtigung über den Wechsel eines Unterauftragsverarbeiters widersprechen, hat dies die gleiche Wirkung wie eine Einwilligung.

9.2 Unsere Vereinbarungen mit Unterauftragsverarbeitern. Wir stellen sicher, dass alle unsere Unterauftragsverarbeiter im Wesentlichen dieselben Verpflichtungen wie Cozero gemäß dieser AVV einhalten müssen, die für die Erbringung der Dienstleistungen gelten. Dies gilt insbesondere, aber nicht ausschließlich, für die Anforderungen in Ziffern 4, 7, 8 und 10 bis 13. Cozero bleibt jederzeit für die Einhaltung der Bedingungen dieser AVV durch alle Unterauftragsverarbeiter verantwortlich, die mit der Erbringung unserer Dienstleistungen für Sie beauftragt sind.

9.3 Soweit wir mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellen wir sicher, dass wir nur mit Freelancern zusammenarbeiten, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, so dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Freelancer wird durch eine AVV geregelt, die denselben Datenschutzstandard gewährleistet, auf den Sie und wir uns geeinigt haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung.

9.4 Kopien der relevanten Bedingungen. Sie haben das Recht, auf schriftlichen Antrag Kopien der relevanten Bedingungen der Vereinbarung zwischen Cozero und jedem Unterauftragsverarbeiter, der Ihre personenbezogenen Daten verarbeitet, zu erhalten, es sei denn, die Vereinbarung enthält vertrauliche Informationen; in diesem Fall kann Cozero eine geschwärzte Version der Vereinbarung bereitstellen.

9.5 Nebendienstleistungen. Dieser § 9 gilt nicht, soweit wir Dritte mit Nebenleistungen beauftragen; hierzu gehören insbesondere Telekommunikationsdienstleistungen, Post- und Versanddienstleistungen, Gebäudesicherheitsdienstleistungen, Facility Management Dienstleistungen sowie Dienstleistungen im Zusammenhang mit der Reinigung oder Entsorgung von Datenträgern.

10. Rechte der betroffenen Personen

10.1 Weiterleitung von Anfragen der betroffenen Person. Wenn eine betroffene Person uns auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, werden wir diese Aufforderung an Sie weiterleiten. Cozero wird ohne Ihre vorherige schriftliche Zustimmung nicht auf Anfragen von betroffenen Personen reagieren.

10.2 Unterstützung. Wenn eine betroffene Person Sie auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren oder Auskunft über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Zusammenhang mit unseren Diensten zu erteilen, und Sie nicht in der Lage sind, der Aufforderung selbst über unsere Website nachzukommen, werden wir Sie bei der Beantwortung der Aufforderung und bei der Erfüllung der Aufforderung durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, vorausgesetzt, (i) Sie weisen uns schriftlich oder in Textform an, dies zu tun, und (ii) Sie erstatten uns die Kosten und Auslagen, die bei der Bereitstellung dieser Unterstützung entstehen.

11. Löschung von Daten und Rückgabe von Datenträgern

11.1 Keine Kopien oder Duplikate. Wir werden keine Kopien oder Duplikate Ihrer personenbezogenen Daten ohne Ihr vorheriges Wissen erstellen. Ungeachtet des vorstehenden Satzes können wir (i) Sicherungskopien erstellen, soweit dies für die ordnungsgemäße Verarbeitung personenbezogener Daten erforderlich ist, und (ii) Kopien personenbezogener Daten anfertigen und aufbewahren, wenn dies für uns zur Einhaltung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.

11.2 Löschung von Daten. Nach der Kündigung Ihres Kontos oder zu jedem früheren Zeitpunkt auf Ihre schriftliche Anfrage hin werden wir nach Ihrer Wahl entweder alle Kopien Ihrer personenbezogenen Daten innerhalb eines Monats aus unseren Systemen löschen oder Ihnen diese personenbezogenen Daten zurückgeben. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung oder Rückgabe ergeben, und es liegt in Ihrer Verantwortung, sicherzustellen, dass alle von Ihnen benötigten personenbezogenen Daten vor der Löschung oder Rückgabe gesichert oder repliziert werden.

11.3 Rückgabe von Datenträgern. Wenn wir im Zusammenhang mit unseren Diensten von Ihnen Datenträger erhalten haben, die personenbezogene Daten enthalten, geben wir Ihnen alle Datenträger zurück, die sich zum Zeitpunkt der Kündigung Ihres Kontos oder auf Ihre schriftliche Anfrage noch in unserem Besitz befinden.

11.4 Weiterverwendung für rechtliche Verpflichtungen. Ungeachtet des Vorstehenden werden wir nur diejenigen personenbezogenen Daten aufbewahren, die erforderlich sind, um unseren rechtlichen Verpflichtungen nachzukommen, Streitigkeiten beizulegen und unsere Vereinbarungen durchzusetzen.

12. Meldepflichten und weitere Unterstützung

12.1 Benachrichtigung über (behördliche) Durchsuchungen und Beschlagnahmen. Wir werden Sie unverzüglich informieren, wenn Ihre personenbezogenen Daten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme im Rahmen eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in unserer Kontrolle befinden. In einem solchen Fall werden wir alle an einer solchen Maßnahme beteiligten Parteien darüber informieren, dass alle davon betroffenen Daten in Ihrem alleinigen Eigentum und Verantwortungsbereich stehen, dass Sie über die Daten allein verfügen können und dass Sie die verantwortliche Stelle im Sinne der DSGVO sind.

12.2 Benachrichtigung über Vorfälle und Verstöße. Wir werden Sie unverzüglich informieren, wenn wir feststellen, dass (i) Ihre / oder persönliche Daten Gegenstand eines Sicherheitsvorfalls (auch durch einen Cozero-Mitarbeiter) waren oder (ii) dass Cozero (auch durch einen Cozero-Mitarbeiter) gegen Datenschutzgesetze verstoßen hat, die für die Erbringung unserer Dienstleistungen für Sie oder für eine oder mehrere der in dieser AVV festgelegten Bestimmungen gelten. In einem solchen Fall werden wir den Sicherheitsvorfall oder die Verletzung unverzüglich untersuchen und angemessene Maßnahmen ergreifen, um die Ursache zu ermitteln und eine Wiederholung zu verhindern.

12.3 Unterstützung. Für den Fall, dass Sie aufgrund des Sicherheitsvorfalls oder der Sicherheitsverletzung verpflichtet sind, Offenlegungspflichten gemäß Artikel 33 DSGVO zu erfüllen, werden wir Sie bei der Erfüllung dieser Pflichten unterstützen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform anweisen, dies zu tun, und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für die Bereitstellung dieser Unterstützung erstatten.

12.4 Weitere Unterstützung. Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen unterstützen wir Sie bei der Einhaltung Ihrer Verpflichtungen gemäß Artikel 32 bis 36 DSGVO, wobei wir die Art der Verarbeitung und die uns zur Verfügung stehenden Informationen berücksichtigen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform damit beauftragen und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für diese Unterstützung erstatten.

13. Änderungen

Änderungen an diesen Bedingungen. Cozero kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, z. B. um Änderungen des geltenden Rechts zu berücksichtigen, um Aktualisierungen unserer Dienste oder der von uns eingesetzten technischen und/oder organisatorischen Maßnahmen zu berücksichtigen und um neue Dienste oder Funktionalitäten zu berücksichtigen.

14. Sonstiges

14.1 Gültigkeit. Sollten einzelne Bestimmungen dieser AVV ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser AVV davon nicht berührt.

14.2 Geltendes Recht und Gerichtsstand. Diese AVV unterliegt dem deutschen Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV sind die Gerichte in Berlin.

Diese AVV wird zwischen den Parteien ohne gesonderte Unterschrift wie folgt verbindlich vereinbart: Bei einem Vertragsabschluss in Papierform durch einen ausdrücklichen Verweis auf die Nutzungsbedingungen; bei einem Online-Vertragsabschluss durch einen Link auf die Nutzungsbedingungen.

Anhang 1 - Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Cozero ist nach ISO/IEC 27001 zertifiziert und verpflichtet sich damit, die international anerkannten Standards für Informationssicherheits-Managementsysteme (ISMS) bei Entwicklung und Betrieb der Cozero SaaS-Applikation kontinuierlich einzuhalten. Die Zertifizierung wird regelmäßig durch unabhängige Auditoren überprüft. Details zur Zertifizierung sowie weiterführende Informationen zu konkreten technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO finden Sie im Cozero Trust Center: https://app.secfix.com/trust/cozero/0ad783ccd4ea4b3b9af1defa0d7ae827

Dazugehörige und weitere technische und organisatorische Maßnahmen sind im Einzelnen:

  1. Maßnahmen zur Gewährleistung der Vertraulichkeit

1.1 Physische Zugangskontrolle

Maßnahmen, die Unbefugten den Zugang zu IT-Systemen und Datenverarbeitungsanlagen, die der Verarbeitung personenbezogener Daten dienen, sowie zu vertraulichen Dateien und Datenträgern physisch verwehren.

Beschreibung der physischen Zugangskontrolle:

  • Sicherheitsschlösser an Türen
  • Sorgfältige Auswahl des Reinigungspersonals
  • Zulassungsverwaltung: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert
  • Sorgfältige Auswahl des Sicherheitspersonals
  • Weitere Maßnahmen des Dienstanbieters

1.2 Logische Zugangskontrolle

Maßnahmen zur Verhinderung der Verarbeitung oder Nutzung von datenschutzrechtlich geschützten Daten durch Unbefugte.

Beschreibung des logischen Zugangskontrollsystems:

  • Begrenzung der Anzahl der zugelassenen Mitarbeiter
  • Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
  • Benutzerrechte werden restriktiv vergeben
  • Alle An- und Abmeldungen werden aufgezeichnet
  • Verwendung einer zentralen Passwortpolitik

1.3 Kontrolle des Datenzugriffs

Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur entsprechend ihren Zugriffsrechten auf personenbezogene Daten zugreifen können, so dass Daten während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung der Datenzugriffskontrolle:

  • Begrenzung der Anzahl der zugelassenen Mitarbeiter
  • Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
  • Alle Datenzugriffe werden automatisch protokolliert
  • Geringe Anzahl von Systemadministratoren
  • Aufzeichnungen und Protokolldateien werden regelmäßig ausgewertet

1.4 Trennungsregel

Maßnahmen, die sicherstellen, dass für verschiedene Zwecke erhobene Daten getrennt von anderen Daten und Systemen verarbeitet werden, so dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

Beschreibung des Prozesses der Trennungskontrolle:

  • Die Systeme ermöglichen eine Trennung der Daten (Mandantenfähigkeit), die Daten werden nach Software getrennt.
  • Produktivsysteme und Testsysteme sind voneinander getrennt
  • Auf die Datensätze kann nur über die vordefinierten Anwendungen zugegriffen werden.
  • Datenbankbenutzerrechte werden zentral vergeben und verwaltet

1.5 Maßnahmen zur Pseudonymisierung

Maßnahmen, die den direkten Personenbezug bei der Verarbeitung so reduzieren, dass eine Zuordnung der Daten zu einer bestimmten Person nur unter Einbeziehung von Zusatzinformationen möglich ist. Die Zusatzinformationen müssen durch geeignete technische und organisatorische Maßnahmen vom Pseudonym getrennt gehalten werden.

Beschreibung der Pseudonymisierung:

  • keine aufgrund der Arbeit auf einem zentralen Serversystem
  1. Maßnahmen zur Gewährleistung der Integrität

2.1 Übertragungs- und Transportkontrolle

Maßnahmen, die sicherstellen, dass die Vertraulichkeit und Integrität der Daten bei der Übermittlung personenbezogener Daten und beim Transport von Datenträgern geschützt ist. Ferner Maßnahmen, die sicherstellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übermittelt oder zur Verfügung gestellt werden oder wurden.

Beschreibung der Übertragungs- und Transportkontrolle:

  • HTTPS
  • Unnötige Ausdrucke werden abgebrochen
  • Keine Verwendung von physischen Datenträgern
  • Umfassende Protokollierungsverfahren
  • Keine Nutzung von privaten Datenträgern am Arbeitsplatz

2.2 Eingabekontrolle

Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder verändert wurden.

Beschreibung des Prozesses der Eingangskontrolle:

  • Protokollierung aller Systemaktivitäten und Aufbewahrung dieser Protokolle für mindestens sechs Monate
  • Nutzung einer zentralen Rechteverwaltung für die Eingabe, Änderung und Löschung von Daten
  1. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

  • Es werden regelmäßig Backups erstellt und 120 Tage lang aufbewahrt.
  • Sicherungs- und Wiederherstellungsplan ist vorhanden
  • Datensicherungsdateien werden an einem sicheren und entfernten Ort aufbewahrt, diverse zusätzliche Maßnahmen werden von den Lieferanten getroffen
  • Lokalisierung
  • Zusätzlich vielfältiges Maß an Serverdienstleistern

3.2 Schnelle Erholung

Maßnahmen, die sicherstellen, dass die Verfügbarkeit von und der Zugang zu personenbezogenen Daten und verwendeten Systemen im Falle eines physischen oder technischen Zwischenfalls schnell wiederhergestellt werden kann.

Beschreibung der Maßnahmen zur schnellen Wiederherstellung:

  • Verfahren zur Datensicherung
  1. Maßnahmen zur regelmäßigen Prüfung und Bewertung der Sicherheit der Datenverarbeitung

Maßnahmen, die gewährleisten, dass die Daten sicher und im Einklang mit den Datenschutzvorschriften verarbeitet werden. Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

  • Einbindung der Datenschutzbeauftragten für alle datenschutzrelevanten Fragen
  • Formalisierte Prozesse für Datenschutzvorfälle

Last updated: 09.08.2024

Data Processing Agreement

1. Preamble, Subject-Matter, and Order of Precedence

1.1 This data processing agreement (the "Data Processing Agreement") is an integral part of the Contract between the Customer and Cozero relating to the provision of the Contractual Services.

1.2 This Data Processing Agreement describes how Cozero will Process Personal Data that the Customer provides to Cozero in connection with the Customer’s use of the Contractual Services, in accordance with the requirements of Data Protection Laws.

1.3 In case of any conflict, the provisions of this Data Processing Agreement shall take precedence over the provisions of the Contract.

2. Definitions

The definitions in the Terms shall also apply to this Data Processing Agreement. Additionally, the following definitions apply:

2.1 "Data Protection Laws" means all laws and regulations, including laws and regulations of the European Union, the European Economic Area and their member states, applicable to the Processing of Personal Data (including in connection with providing telecommunication Services and conducting email marketing), and including, without limitation, the GDPR and the German Bundesdatenschutzgesetz (BDSG).

2.2 "Process" or "Processing" means any operation or set of operations which is performed by Cozero as part of the Contractual Services upon /or Personal Data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction.

2.3 "Subprocessor" means a third-party subcontractor engaged by Cozero which, as part of the subcontractor's role of delivering the Contractual Services, will Process /or Personal Data.

3. Scope, Duration, Type of Data and Categories of Data Subjects

3.1 Under the terms of this Data Processing Agreement, Cozero will Process Personal Data on behalf of Customer in accordance with article 28 GDPR.

3.2 This Data Processing Agreement shall be effective for the duration of Cozero's Contractual Services under the Contract, and shall terminate automatically upon expiration or termination of the Contract for any reason.

3.3 Processing may include the following types/categories of Personal Data: personal information including name or email address, job description, business location affiliation, provided personal pictures, IP address, usage data, device data, referral data, information from cookie and page tags.

3.4 The data subjects concerned by the Processing hereunder are assigned to the following categories: (i) employees of the Customer; (ii) suppliers of the Customer and (iii) business contacts of the Customer.

4. Customer Instructions

4.1 During the Contractual Services, the Customer may provide instructions to Cozero in addition to those specified in this Data Processing Agreement with regard to the Processing of Personal Data (each such instruction hereinafter, a "Processing Instruction") in connection with the Contractual Services. Any Processing Instruction must be in writing or in electronic form. Cozero will Process the Customers Personal Data according to Customers instructions.

4.2 Any Processing Instruction that amends or deviates from the terms of this Data Processing Agreement will constitute a change request with regard to the Terms. Cozero will negotiate in good faith with the Customer with respect to any change in the Contractual Services and/or fees resulting from any Processing Instructions.

4.3 Customer is responsible for ensuring that the Customers Processing Instructions comply with Data Protection Laws.

4.4 If Cozero believes that a Processing Instruction infringes or violates Data Protection Laws, Cozero will immediately inform the Customer thereof.

5. Obligations and Rights of the Customer

5.1 The Customer will be the controller as defined in Article 4 paragraph 7 GDPR. The Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which the Customer has acquired Personal Data.

5.2 The Customer will maintain a record of Processing activities under Customers responsibility in accordance with article 30 GDPR.

6. Cozero’s Obligations

6.1 Cozero will Process Personal Data only on documented instructions by the Customer and solely for the provision of the Contractual and will not otherwise (i) Process or use Personal Data for purposes other than those set forth in the Contract or this Data Processing Agreement or (ii) disclose Personal Data to third parties other than Subprocessors for the aforementioned purposes or as required to do so by Union or Member State law to which Cozero are subject. In such a case, Cozero will inform the Customer of that legal requirement before Processing, unless that law prohibits such information on important grounds of public interest.

6.2 Cozero will generally Process Personal Data within the territory of the Federal Republic of Germany, a Member State of the European Union or another signatory to the Agreement on the European Economic Area. In some instances, Cozero may also transfer Personal Data to Cozero's third-party service providers located in the United States of America; please see Cozero's List of Subprocessors (available at https://cozero.io/subprocessors) for details on the third-party service providers Cozero use. If, from the Customer's point of view, the performance of a transfer impact assessment should be necessary in the event of Processing of Personal Data in a third country, Cozero will support the Customer in this to a reasonable extent and to the best of its knowledge.

6.3 Cozero will ensure that their personnel engaged in and authorized for the Processing of Personal Data are informed of the confidential nature of the Personal Data and have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

6.4 Cozero has appointed a data protection officer: Anja Ruisinger, Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin. The person may be reached by email via dpo@cozero.io.

7. Technical and Organizational Measures

7.1 When Cozero Processes Personal Data on the Customers behalf, Cozero will take all measures required pursuant to Article 32 GDPR, and have implemented and will maintain certain technical and organizational security measures for the Processing of such data, as such measures are specified in Annex 1. These measures are intended to protect Personal Data against accidental or unauthorized loss, destruction, alteration, disclosure or access, and against all other unlawful forms of Processing.

7.2 All technical and organizational security measures are subject to technical progress and development. Accordingly, Cozero may modify their security measures and/or implement alternative security measures, provided, however, that these do not fall short of the level of security as contractually agreed upon in Annex 1.

8. Customer Audit Rights

8.1 The Customer may, prior to the commencement of the Contractual Services and up to once per year during the performance of the Contractual Services, audit the technical and organizational measures implemented by Cozero. The Customer may perform more frequent audits to the extent required by Data Protection Laws.

8.2 In the course of such audit, the Customer may, in particular, conduct the following measures: (i) the Customer may obtain all such information from Cozero that is necessary to demonstrate compliance with the obligations laid down in this Data Processing Agreement; (ii) the Customer may request Cozero to submit to the Customer an existing certificate by a qualified third party auditor and (iii) the Customer may, upon reasonable advance Agreement, during regular business hours and without interfering with Cozero's business operations, conduct an on-site inspection of those parts of Cozero's business facilities where Personal Data is being processed, subject to Cozero's then-applicable security policies.

8.3 To request an on-site inspection, the Customer must submit an inspection plan to Cozero at least two weeks in advance of the proposed inspection date, describing the proposed scope, duration and start date of the inspection. Cozero will review the inspection plan and provide the Customer with any concerns or questions (for example, any request for information that could compromise Cozero's security, privacy, employment or other relevant policies).

8.4 If the requested audit scope is addressed in a SSAE 16/ISAE 3402 Type 2, ISO, NIST or similar audit report performed by a qualified third-party auditor within the prior twelve months, the Customer agrees to accept those findings in lieu of requesting an audit of the systems covered by the report.

8.5 The Customer will provide Cozero with any audit reports generated under this section, unless prohibited by law. The Customer may use the audit reports only for the purpose of confirming that Cozero's technical and organizational measures are in compliance with the requirements of this Data Processing Agreement. The audit reports are confidential information of the parties under the terms of the Contract.

8.6 Any audits are at the Customers expense. Any request for Cozero to provide assistance with an audit is considered a separate service.

8.7 If a third party is to conduct the audit, the third party must be mutually agreed to by the Customer and Cozero and must execute a written confidentiality Agreement acceptable to Cozero before conducting the audit.

9. Subprocessors

9.1 Cozero may engage Subprocessors to assist in the Processing of the Customers Personal Data. The Customer gives his prior general authorization to Cozeros use of Subprocessors. A list of Subprocessor is provided under https://cozero.io/subprocessors. Where Cozero intends to add or replace a Subprocessor, Cozero will inform the Customer of such intended change, thereby giving the Customer the opportunity to object to such change. If the Customer doesn’t object within two weeks from Cozero's notification regarding the change of a Subprocessor, it has the same effect as a consent.

9.2 Cozero will ensure that all of their Subprocessors are required to abide by substantially the same obligations as Cozero under this Data Processing Agreement as applicable to their performance of the Contractual Services. Cozero remains responsible at all times for compliance with the terms of this Data Processing Agreement by all Subprocessors engaged in the performance of the Contractual Services to the Customer.

9.3 As far Cozero works with freelancers, who have access to the Customers Personal Data, Cozero ensures that Cozero only collaborates with freelancers providing sufficient guarantees to implement appropriate technical and organizational measures in such a manner that Processing will meet the requirements of the GDPR and ensure the protection of the rights of the data subject. Processing by a freelancer is governed by a Data Processing Agreement which ensures the same data protection standard the Customer and Cozero agreed on. Cozero will provide a list of the freelancers upon request.

10. Rights of Data Subjects

10.1 Where a data subject requests Cozero to correct, delete or block Personal Data, Cozero will pass on such request to the Customer. Cozero will not respond to any requests of data subjects without the Customers prior written consent.

10.2 Where a data subject requests the Customer to correct, delete or block Personal Data or to provide information about the collection, Processing or use of Personal Data in connection with the Contractual Services and the Customer are unable to fulfil the request by itself through Cozero's Website, Cozero will support the Customer in responding to the request and in fulfilling the request by appropriate technical and organisational measures, insofar as this is possible, provided that (i) the Customer instructs Cozero to do so in writing or in text form and (ii) the Customer reimburses Cozero for the cost and expenses incurred in providing such support.

11. Deletion and Return of Data

11.1 Cozero will not create copies or duplicates of the Customers Personal Data without the Customers prior approval. Notwithstanding the preceding sentence, Cozero may (i) create backup copies, to the extent such backup copies are required to ensure the proper Processing of Personal Data, and (ii) prepare and retain copies of Personal Data where required by Cozero to comply with any statutory retention and storage obligations.

11.2 Upon termination of the Contract or at any prior time upon the Customers written request, Cozero will at the Customers choice either delete the Personal Data from Cozero's systems or return such Personal Data to the Customer and delete all copies. Cozero is not liable for any loss or damage following, or as a result of, such deletion or return, and it is the Customers responsibility to ensure that any Personal Data which the Customer requires is backed-up or replicated before deletion or return.

11.3 If, in connection with the Contractual Services, Cozero has received from the Customer any data media containing Personal Data, Cozero will return to the Customer any such data media still in Cozeros possession at the time of termination of the Contract or upon the Customers written request.

11.4 Notwithstanding the above, Cozero will retain only those Personal Data which are required to comply with Cozeros EU law or member state law.

12. Duties to Notify and Further Support

12.1 Cozero will, without undue delay, inform the Customer if the Personal Data becomes subject to (governmental) search and seizure, an attachment order, confiscation during bankruptcy or insolvency proceedings, or similar events or measures by third parties while in Cozeros control.

12.2 Cozero will, without undue delay, inform the Customer if Cozero determine that (i) the Personal Data has been subject to a security incident (including by a Cozero employee) or (ii) there has been a breach by Cozero (including by a Cozero employee) of Data Protection Laws applicable to the performance of the Contractual Services to the Customer or of any or any of the provisions set forth in this Data Processing Agreement. In such event, Cozero will promptly investigate the security incident or breach and take reasonable measures to identify its root cause and prevent a recurrence.

12.3 In the event that, due to the security incident or breach, the Customer is required to fulfil any disclosure obligations in accordance with Article 33 GDPR, Cozero will support the Customer in fulfilling such obligations, provided that (i) the Customer instructs Cozero to do so in text form and (ii) the Customer reimburses Cozero for its reasonable and documented cost and expenses incurred in providing such support.

12.4 In addition to Cozero's assistance obligations above, Cozero will assist the Customer in ensuring compliance with the Customers obligations pursuant to Articles 32 to 36 GDPR, taking into account the nature of Processing and the information available to Cozero, provided that (i) the Customer instructs Cozero to do so in text form and (ii) the Customer reimburses Cozero for its reasonable and documented cost and expenses incurred in providing such support.

13. Changes

13.1 Cozero may change these terms at any time for a variety of reasons, such as to reflect changes in applicable law, to reflect updates to the Contractual Services or the technical and/or organizational measures Cozero employs, and to account for new Services or functionalities.

14. Miscellaneous

14.1 Where individual provisions of this Data Processing Agreement are invalid or unenforceable, the validity and enforceability of the other provisions of this Data Processing Agreement shall not be affected.

14.2 This Data Processing Agreement is subject to German law. Any disputes arising out of or in connection with this Data Processing Agreement shall be exclusively submitted to the courts of Berlin.

14.3 This DPA is bindingly agreed between the Parties without separate signature as follows: In case of a conclusion of contract in paper form by an explicit reference to the Terms of Service; in case of a conclusion of contract online by a link to the Terms of Service.

Annex 1 - ​Technical and organizational measures to ensure the security of processing

  1. Measures to ensure confidentiality

1.1 Physical access control

Measures that physically deny unauthorized persons access to IT systems and data processing equipment used to process personal data, as well as to confidential files and data storage media.

Description of physical access control:

  • Safety locks on doors
  • Careful selection of cleaning staff
  • Admission management: authorized personnel and scope of authorization are pre-defined
  • Careful selection of security staff
  • Further measures by service provider

1.2 Logical access control

Measures to prevent unauthorized persons from processing or using data which is protected by data privacy laws.

Description of logical access control system:

  • Limitation of the number of authorized employees
  • Password procedure, i.e. personal and individual login user credentials when logging on to the system (e.g. special characters, minimum length, regular password change)
  • User rights are granted restrictively
  • All log-ons / log-offs are recorded
  • Use of central password policy

1.3 Data access control

Measures to ensure that persons authorized to use data processing systems can only access personal data according to their access rights, so that data cannot be read, copied, changed or removed without authorization during processing, use and storage.

Description of data access control:

  • Limitation of the number of authorized employees
  • Password procedure, i.e. personal and individual login user credentials when logging on to the system (e.g. special characters, minimum length, regular password change)
  • All data access is logged automatically
  • Small number of system administrators
  • Records and log files are analyzed regularly

1.4 Separation rule

Measures to ensure that data collected for different purposes are processed separately and separated from other data and systems in such a way as to preclude the unplanned use of such data for other purposes.

Description of the separation control process:

  • Systems allow for data segregation (multi-tenancy), data is segregated by software
  • Productive systems and test systems are separated from each other
  • Data sets can be accessed only through those applications which have been pre-defined
  • Database user rights are issued and managed centrally

1.5 Pseudonymization measures

Measures that reduce direct references to persons during processing in such a way that it is only possible to associate data with a specific person if additional information is included. The additional information must be kept separately from the pseudonym by appropriate technical and organizational measures.

Description of the pseudonymization:

  • none due to work on a central server system
  1. Measures to ensure integrity

2.1 Transmission and transport control

Measures to ensure that the confidentiality and integrity of data is protected during transmission of personal data and transport of data carriers. Furthermore measures to ensure that it is possible to verify and establish to which bodies personal data may be or have been transmitted or made available using data communication equipment.

Description of the transmission and transport control:

  • HTTPS
  • Unnecessary printouts are terminated
  • No use of physical data carriers
  • Comprehensive logging procedures
  • No use of private data carriers at work

2.2 Input control

Measures to ensure that it can be subsequently verified and ascertained whether and by whom personal data have been entered or modified in data processing systems.

Description of the input control process:

  • Logging of all system activities and keeping of these logs for at least six months
  • Use of central rights management for entering, altering and deleting data
  1. Measures to ensure availability and resilience

3.1 Availability control

Measures to ensure that personal data are protected against accidental destruction or loss.

Description of the availability control system:

  • Backups are taken on a regular basis and kept for 120 days
  • Backup and recovery plan is in place
  • Data backup files are stored at a safe and remote location, diverse additional measures taken by suppliers
  • Localisation
  • Additionally diverse measure of server service providers

3.2 Quick recovery

Measures to ensure the ability to quickly restore the availability of and access to personal data and used systems in the event of a physical or technical incident.

Description of the measures for quick recovery:

  • Data backup procedure
  1. Measures for the regular testing and evaluation of the security of data processing

Measures to ensure that the data are processed securely and in compliance with data protection regulation. Measures to ensure that personal data processed on behalf of the Controller can only be processed in accordance with the instructions of the Controller.

Description of the order control measures:

  • Involvement of data protection officers for all data protection-related questions
  • Formalized processes for data privacy incidents