Auftragsdatenverarbeitungsvereinbarung

Diese Auftragsdatenverarbeitungsvereinbarung („AVV„) ergänzt die MANSIO-Nutzungsbedingungen für die MANSIO-Software und das MANSIO-Internetportal unter https://app.mansio-logistics.com/, die von Zeit zu Zeit zwischen dem Kunden und MANSIO aktualisiert werden, oder andere Vereinbarungen zwischen dem Kunden und MANSIO, die die Nutzung der MANSIO-Dienste durch den Kunden regeln (die „Vereinbarung„). Diese DPA ist eine Vereinbarung zwischen Ihnen und der von Ihnen vertretenen juristischen Person („Kunde„, „Sie“ oder „Ihr„) und MANSIO GmbH, Bismarckstr. 2-8, 52066 Aachen („MANSIO„). Sofern in dieser AVV oder in der Vereinbarung nicht anders definiert, haben alle in dieser AVV verwendeten Begriffe in Großbuchstaben die Bedeutung, die ihnen in Abschnitt 16 dieser AVV gegeben wird.

1. Datenverarbeitung.

1.1 Anwendungsbereich und Rollen. Diese AVV gilt für die Verarbeitung von Kundendaten durch MANSIO. In diesem Zusammenhang handelt MANSIO als Auftragsverarbeiter gegenüber dem Kunden, der entweder als Verantwortlicher oder als Verarbeiter von Kundendaten handeln kann.

1.2 Einzelheiten der Datenverarbeitung.

1.2.1 Gegenstand. Der Gegenstand der Datenverarbeitung gemäß dieser AVV sind die Kundendaten.

1.2.2 Dauer. Im Verhältnis zwischen MANSIO und dem Kunden wird die Dauer der Datenverarbeitung im Rahmen dieser DPA vom Kunden bestimmt.

1.2.3 Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser AVV ist die Erbringung der vom Kunden von Zeit zu Zeit in Auftrag gegebenen Dienstleistungen.

1.2.4 Art der Verarbeitung. Berechnung, Speicherung und andere Dienste, wie in der Dokumentation beschrieben und vom Kunden von Zeit zu Zeit veranlasst.

1.2.5 Art der Kundendaten. Kundendaten, die unter den MANSIO-Konten des Kunden zu den Diensten hochgeladen werden.

1.2.6 Kategorien von Datensubjekten. Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endnutzer des Kunden gehören.

1.3 Einhaltung von Gesetzen. Jede Partei wird bei der Durchführung dieser AVV alle auf sie anwendbaren und für sie verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich der anwendbaren Datenschutzgesetze wie der DSGVO.

2. Anweisungen des Kunden. Die Parteien vereinbaren, dass diese AVV und der Vertrag (einschließlich der Bereitstellung von Anweisungen durch den Kunden über Konfigurationstools und APIs, die von MANSIO für seine Dienste zur Verfügung gestellt werden) die dokumentierten Anweisungen des Kunden in Bezug auf die Verarbeitung von Kundendaten durch MANSIO darstellen („dokumentierte Anweisungen„). MANSIO wird Kundendaten nur in Übereinstimmung mit den dokumentierten Anweisungen verarbeiten (die, wenn der Kunde als Auftragsverarbeiter agiert, auf den Anweisungen seiner Controller basieren können). Zusätzliche Anweisungen, die über die dokumentierten Anweisungen hinausgehen (falls vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen MANSIO und dem Kunden, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren, die der Kunde an MANSIO für die Ausführung solcher Anweisungen zu zahlen hat. Der Kunde ist berechtigt, diese DPA und den Vertrag zu kündigen, wenn MANSIO sich weigert, vom Kunden angeforderte Anweisungen zu befolgen, die außerhalb des Umfangs der in dieser DPA erteilten oder vereinbarten Anweisungen liegen oder von diesen abgeändert wurden. In Anbetracht der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MANSIO sich eine Meinung darüber bilden kann, ob dokumentierte Anweisungen gegen geltendes Datenschutzrecht verstoßen. Sollte MANSIO zu einer solchen Einschätzung gelangen, wird MANSIO den Kunden unverzüglich darüber informieren, wobei der Kunde berechtigt ist, seine dokumentierten Anweisungen zurückzuziehen oder zu ändern.

3. Vertraulichkeit von Kundendaten. MANSIO wird nicht auf Kundendaten zugreifen oder diese verwenden oder an Dritte weitergeben, es sei denn, dies ist notwendig, um die Dienste aufrechtzuerhalten oder zur Verfügung zu stellen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer Regierungsbehörde (wie eine Vorladung oder ein Gerichtsbeschluss) zu erfüllen. Wenn eine staatliche Stelle MANSIO eine Anfrage nach Kundendaten sendet, wird MANSIO versuchen, die staatliche Stelle umzuleiten, damit sie diese Daten direkt vom Kunden anfordert. Als Teil dieser Bemühungen kann MANSIO die grundlegenden Kontaktinformationen des Kunden an die staatliche Stelle weitergeben. Wenn MANSIO gezwungen ist, Kundendaten an eine staatliche Stelle weiterzugeben, wird MANSIO den Kunden in angemessener Weise über die Forderung informieren, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, MANSIO ist dies gesetzlich untersagt.

4. Vertraulichkeitsverpflichtungen des Personals von MANSIO. MANSIO untersagt seinen Mitarbeitern die Verarbeitung von Kundendaten ohne Genehmigung von MANSIO, wie in den Sicherheitsstandards beschrieben. MANSIO erlegt seinen Mitarbeitern entsprechende vertragliche Verpflichtungen auf, einschließlich relevanter Verpflichtungen hinsichtlich Vertraulichkeit, Datenschutz und Datensicherheit.

5. Sicherheit der Datenverarbeitung

5.1 MANSIO hat die technischen und organisatorischen Maßnahmen, wie sie in den Sicherheitsstandards und diesem Abschnitt beschrieben sind, eingeführt und wird diese beibehalten. Insbesondere nutzt MANSIO AWS und das AWS-Netzwerk als Unterauftragsverarbeiter für die Verarbeitung von Kundendaten. AWS hat die folgenden technischen und organisatorischen Maßnahmen implementiert und wird diese beibehalten:

(a) Sicherheit des AWS-Netzwerks, wie in Abschnitt 1.1 der Sicherheitsstandards dargelegt;

(b) physische Sicherheit der Einrichtungen gemäß Abschnitt 1.2 der Sicherheitsstandards;

(c) Maßnahmen zur Kontrolle der Zugangsrechte für autorisiertes Personal zum AWS-Netz gemäß Abschnitt 1.3 der Sicherheitsstandards und

(d) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der von AWS umgesetzten technischen und organisatorischen Maßnahmen, wie in Abschnitt 2 der Sicherheitsstandards beschrieben.

5.2 Der Kunde kann sich dafür entscheiden, technische und organisatorische Maßnahmen zum Schutz der Kundendaten zu ergreifen. Solche technischen und organisatorischen Maßnahmen umfassen die folgenden, die der Kunde von MANSIO, wie in der Dokumentation beschrieben, oder direkt von einem Drittanbieter erhalten kann:

(a) Pseudonymisierung und Verschlüsselung zur Gewährleistung eines angemessenen Sicherheitsniveaus;

(b) Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der vom Kunden betriebenen Verarbeitungssysteme und -dienste; Maßnahmen, die es dem Kunden ermöglichen, in angemessener Weise Sicherungskopien zu erstellen und zu archivieren, um die Verfügbarkeit und den Zugang zu den Kundendaten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und

(c) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der vom Kunden getroffenen technischen und organisatorischen Maßnahmen.

6. Unterauftragsverarbeitungen.

6.1 Autorisierte Unterverarbeiter. Der Kunde erteilt MANSIO die allgemeine Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten im Namen des Kunden („Unterauftragsverarbeiter„) gemäß diesem Abschnitt zu beauftragen. Auf der Website von MANSIO (derzeit unter https://mansio-logistics.com/en-us/cdpa/) sind die derzeit von MANSIO beauftragten Unterauftragsverarbeiter aufgeführt. Mindestens 30 Tage bevor MANSIO einen Unterauftragsverarbeiter einstellt, wird MANSIO die entsprechende Website aktualisieren und dem Kunden einen Mechanismus zur Verfügung stellen, mit dem er über diese Aktualisierung informiert wird. Um einem Unterauftragsverarbeiter zu widersprechen, kann der Kunde: (i) den Vertrag gemäß seinen Bestimmungen kündigen; (ii) die Nutzung des Dienstes, für den MANSIO den Unterauftragsverarbeiter beauftragt hat, einstellen.

6.2 Verpflichtungen des Unterauftragsverarbeiters. Wenn MANSIO einen Unterauftragsverarbeiter wie in Abschnitt 6.1 beschrieben autorisiert:

(i) beschränkt MANSIO den Zugriff des Unterauftragsverarbeiters auf die Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Services in Übereinstimmung mit der Dokumentation erforderlich ist, und MANSIO untersagt dem Unterauftragsverarbeiter den Zugriff auf die Kundendaten für andere Zwecke;

(ii) MANSIO schließt einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, und soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsdienste erbringt, die MANSIO im Rahmen dieser DPA erbringt, erlegt MANSIO dem Unterauftragsverarbeiter dieselben vertraglichen Verpflichtungen auf, die MANSIO im Rahmen dieser AVV hat; und

(iii) MANSIO bleibt für die Einhaltung der Verpflichtungen aus dieser AVV und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich, die eine Verletzung der Verpflichtungen von MANSIO aus dieser AVV zur Folge haben.

7. Unterstützung von MANSIO bei Anfragen von Betroffenen. Unter Berücksichtigung der Art der Verarbeitung unterstützt MANSIO den Kunden bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen gemäß dem geltenden Datenschutzrecht. Wenn eine betroffene Person eine Anfrage an MANSIO stellt, wird MANSIO diese Anfrage unverzüglich an den Kunden weiterleiten, sobald MANSIO festgestellt hat, dass die Anfrage von einer betroffenen Person stammt, für die der Kunde verantwortlich ist. Der Kunde ermächtigt MANSIO, in seinem Namen und im Namen seiner Verantwortlichen, wenn der Kunde als Auftragsverarbeiter auftritt, jeder betroffenen Person, die eine Anfrage an MANSIO stellt, zu antworten und zu bestätigen, dass MANSIO die Anfrage an den Kunden weitergeleitet hat. Die Parteien vereinbaren, dass die Weiterleitung von Anfragen betroffener Personen an den Kunden durch MANSIO gemäß diesem Abschnitt den Umfang und das Ausmaß der erforderlichen Unterstützung des Kunden darstellt.

8. Benachrichtigung bei Sicherheitsvorfällen.

8.1 Sicherheitsvorfall. MANSIO wird (a) den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen und (b) geeignete Maßnahmen ergreifen, um den Sicherheitsvorfall zu beheben, einschließlich Maßnahmen zur Abmilderung der aus dem Sicherheitsvorfall resultierenden nachteiligen Auswirkungen.

8.2 MANSIO-Unterstützung. Um den Kunden in die Lage zu versetzen, einen Sicherheitsvorfall an Aufsichtsbehörden oder betroffene Personen (je nach Fall) zu melden, wird MANSIO mit dem Kunden zusammenarbeiten und ihn unterstützen, indem es in die Meldung gemäß Abschnitt 8.1(a) die Informationen über den Sicherheitsvorfall aufnimmt, die MANSIO in der Lage ist, dem Kunden offenzulegen, wobei die Art der Verarbeitung, die MANSIO zur Verfügung stehenden Informationen und etwaige Beschränkungen für die Offenlegung der Informationen, wie z. B. Vertraulichkeit, berücksichtigt werden. Unter Berücksichtigung der Art der Verarbeitung stimmt der Kunde zu, dass er am besten in der Lage ist, die wahrscheinlichen Folgen eines Sicherheitsvorfalls zu bestimmen.

8.3 Erfolglose Sicherheitsvorfälle. Der Kunde stimmt zu, dass:

(i) ein erfolgloser Sicherheitsvorfall nicht unter diesen Abschnitt 8 fällt. Ein erfolgloser Sicherheitsvorfall ist ein Vorfall, der zu keinem unbefugten Zugriff auf Kundendaten oder auf Geräte oder Einrichtungen von MANSIO führt, in denen Kundendaten gespeichert sind, und könnte unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen; und

(ii) die Verpflichtung von MANSIO, einen Sicherheitsvorfall gemäß diesem Abschnitt 8 zu melden oder darauf zu reagieren, ist nicht als Anerkennung eines Verschuldens oder einer Haftung von MANSIO in Bezug auf den Sicherheitsvorfall zu verstehen und wird nicht als solche ausgelegt.

8.4 Kommunikation. Benachrichtigungen über etwaige Sicherheitsvorfälle werden einem oder mehreren Administratoren des Kunden auf eine von MANSIO gewählte Weise, einschließlich per E-Mail, zugestellt. Es liegt in der alleinigen Verantwortung des Kunden, sicherzustellen, dass die Administratoren des Kunden korrekte Kontaktinformationen auf der MANSIO-Plattform und eine sichere Übertragung zu jeder Zeit gewährleisten.

8.5 Benachrichtigungspflichten. Wenn MANSIO den Kunden über einen Sicherheitsvorfall benachrichtigt oder der Kunde anderweitig von einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung von oder einem Zugriff auf Kundendaten Kenntnis erlangt, ist der Kunde dafür verantwortlich, (a) festzustellen, ob eine daraus resultierende Benachrichtigungs- oder sonstige Verpflichtung nach dem anwendbaren Datenschutzrecht besteht, und (b) die erforderlichen Maßnahmen zu ergreifen, um diesen Verpflichtungen nachzukommen. Dies schränkt die Verpflichtungen von MANSIO gemäß diesem Abschnitt 8 nicht ein.

9. AWS-Zertifizierungen und -Audits.

9.1 AWS ISO-Zertifizierung und SOC-Berichte. Zusätzlich zu den in dieser AVV enthaltenen Informationen wird MANSIO auf Anfrage des Kunden und unter der Voraussetzung, dass die Parteien ein anwendbares NDA abgeschlossen haben, die folgenden AWS-Dokumente und Informationen zur Verfügung stellen:

(i) die ausgestellten Zertifikate für die ISO 27001-Zertifizierung, die ISO 27017-Zertifizierung, die ISO 27018-Zertifizierung und die ISO 27701-Zertifizierung (oder die Zertifizierungen oder andere Unterlagen, die die Einhaltung solcher alternativen Standards belegen, die im Wesentlichen gleichwertig zu ISO 27001, ISO 27017, ISO 27018 und ISO 27701 sind); und

(ii) den Bericht über die System- und Organisationskontrollen (SOK) 1, den Bericht über die System- und Organisationskontrollen (SOK) 2 und den Bericht über die System- und Organisationskontrollen (SOK) 3 (oder die Berichte oder sonstigen Unterlagen, in denen die von AWS durchgeführten Kontrollen beschrieben werden, die die SOK 1, SOK 2 und SOK 3 ersetzen oder ihnen im Wesentlichen gleichwertig sind).

9.2 AWS-Audits. AWS setzt externe Prüfer ein, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, einschließlich der Sicherheit der physischen Rechenzentren, von denen aus AWS seine Dienste anbietet. Dieses Audit: (a) wird mindestens einmal jährlich durchgeführt; (b) wird gemäß den ISO 27001-Standards oder anderen alternativen Standards durchgeführt, die im Wesentlichen mit ISO 27001 gleichwertig sind; (c) wird von unabhängigen Sicherheitsexperten auf Kosten von AWS durchgeführt; und (d) führt zur Erstellung eines Auditberichts („Bericht„), der zu den vertraulichen Informationen von AWS gehört.

9.3 Prüfberichte. Auf schriftliche Anfrage des Kunden und unter der Voraussetzung, dass die Parteien ein anwendbares Geheimhaltungsabkommen (NDA) abgeschlossen haben, stellt MANSIO dem Kunden eine Kopie des Berichts zur Verfügung, damit der Kunde in angemessener Weise die Einhaltung der Verpflichtungen von MANSIO bzw. AWS gemäß dieser AVV überprüfen kann.

9.4 Datenschutzfolgenabschätzung und vorherige Konsultation. Unter Berücksichtigung der Art der Verarbeitung und der AWS zur Verfügung stehenden Informationen unterstützt MANSIO den Kunden mit Hilfe von AWS bei der Einhaltung der Verpflichtungen des Kunden in Bezug auf die Datenschutz-Folgenabschätzung und die vorherige Konsultation, indem es die von AWS gemäß diesem Abschnitt 9 zur Verfügung gestellten Informationen bereitstellt.

10. Kunden-Audits. Wenn der Kunde sich für die Durchführung eines Audits, einschließlich einer Inspektion, entscheidet, hat er das Recht, in seinem eigenen Namen und im Namen seiner für die Verarbeitung Verantwortlichen, wenn der Kunde als Auftragsverarbeiter fungiert, gemäß dem anwendbaren Datenschutzrecht oder den Standardvertragsklauseln, MANSIO mit der Durchführung des in Abschnitt 10 beschriebenen Audits zu beauftragen. Wenn der Kunde diese Anweisung bezüglich des Audits ändern möchte, hat er das Recht, eine Änderung dieser Anweisung zu verlangen, indem er MANSIO eine schriftliche Mitteilung, wie im Vertrag vorgesehen, zukommen lässt. Wenn MANSIO sich weigert, eine vom Kunden verlangte Anweisung in Bezug auf Audits, einschließlich Inspektionen, zu befolgen, ist der Kunde berechtigt, den Vertrag gemäß seinen Bestimmungen zu kündigen.

11. Übermittlung von personenbezogenen Daten.

11.1 Regionen. MANSIO kann den/die Ort(e) angeben, an dem/denen die Kundendaten innerhalb des AWS-Netzwerks verarbeitet werden (jeweils eine „Region“), einschließlich Regionen im EWR. Sobald MANSIO seine Wahl getroffen hat, wird AWS keine Kundendaten aus der/den vom Kunden gewählten Region(en) übertragen, es sei denn, dies ist erforderlich, um die vom Kunden in Auftrag gegebenen Services zu erbringen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer staatlichen Stelle einzuhalten.

11.2 Anwendung von Standardvertragsklauseln. Die Standardvertragsklauseln gelten nur für Kundendaten, die der DSGVO unterliegen und entweder direkt oder durch Weitergabe in ein Drittland übertragen werden (jeweils eine „Datenübertragung“).

11.2.1 Wenn der Kunde als für die Verarbeitung Verantwortlicher handelt, gelten die Klauseln für die Verarbeitung durch den für die Verarbeitung Verantwortlichen für eine Datenübermittlung.

11.2.2 Handelt der Kunde als Auftragsverarbeiter, so gelten für eine Datenübermittlung die Klauseln für Auftragsverarbeiter. In Anbetracht der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MANSIO die Identität der für die Verarbeitung Verantwortlichen des Kunden kennt, da MANSIO keine direkte Beziehung zu den für die Verarbeitung Verantwortlichen des Kunden hat, und daher wird der Kunde die Verpflichtungen von MANSIO gegenüber den für die Verarbeitung Verantwortlichen des Kunden gemäß den Verarbeiter-zu-Verarbeiter-Klauseln erfüllen.

12. Beendigung der AVV. Diese AVV bleibt bis zur Beendigung des Abkommens (das „Beendigungsdatum“) in Kraft.

13. Rückgabe oder Löschung von Kundendaten. Bis zum Beendigungsdatum und für 90 Tage nach dem Beendigungsdatum wird MANSIO gemäß den Bedingungen des Vertrags die Kundendaten zurückgeben oder löschen, wenn der Kunde eine solche Rückgabe oder Löschung verlangt. Spätestens am Ende dieses 90-Tage-Zeitraums wird der Kunde alle MANSIO-Konten, die Kundendaten enthalten, schließen.

14. Informationspflichten. Wenn Kundendaten im Rahmen eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Maßnahmen durch Dritte beschlagnahmt werden, während sie von MANSIO verarbeitet werden, wird MANSIO den Kunden unverzüglich informieren. MANSIO wird alle relevanten Parteien in einem solchen Verfahren (z.B. Gläubiger, Konkursverwalter) unverzüglich darüber informieren, dass alle Kundendaten, die Gegenstand eines solchen Verfahrens sind, Eigentum und Verantwortungsbereich des Kunden sind und dass die Kundendaten ausschließlich in der Verfügungsgewalt des Kunden liegen.

15. Gesamte Vereinbarung; Konflikt. Diese AVV enthält die Standardvertragsklauseln durch Verweis. Sofern sie nicht durch diese AVV geändert wird, bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts zwischen der Vereinbarung und dieser AVV haben die Bedingungen dieser AVV Vorrang, mit der Ausnahme, dass die Servicebedingungen Vorrang vor dieser AVV haben. Die Standardvertragsklauseln werden durch dieses Dokument in keiner Weise verändert oder modifiziert.

16. Definitionen. Sofern in der Vereinbarung nicht anders definiert, haben alle in dieser DPA verwendeten Begriffe in Großbuchstaben die nachstehend angegebene Bedeutung:

API“ bedeutet eine Anwendungsprogrammschnittstelle.
Anwendbares Datenschutzrecht“ bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung von Kundendaten durch eine Partei anwendbar und für diese verbindlich sind, einschließlich, soweit anwendbar, die DSGVO.

AWS-Netzwerk“ bezeichnet die Server, Netzwerkgeräte und Hostsoftwaresysteme (z. B. virtuelle Firewalls), die unter der Kontrolle von AWS stehen und zur Erbringung der Services verwendet werden.

Verbindliche Unternehmensregeln“ hat die Bedeutung, die ihm in der DSGVO gegeben wird. „Verantwortlicher“ hat die Bedeutung, die ihm in der DSGVO zugewiesen wird.

Verantwortlicher-Auftragsverarbeiter-Klauseln“ bezeichnet die Standardvertragsklauseln zwischen Verantwortlichen und Verarbeitendern für Datenübertragungen, wie sie durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und derzeit unter https://d1.awsstatic.com/Controller_to_Processor_SCCs.pdf zu finden sind.

Kundendaten“ bezeichnet die personenbezogenen Daten, die unter den MANSIO-Konten des Kunden auf die Dienste hochgeladen werden.

Dokumentation“ bezeichnet die jeweils aktuelle Dokumentation für die Dienste, die sich unter https://mansio-logistics.com/en-us/cdpa/ befindet.

EWR“ bezeichnet den Europäischen Wirtschaftsraum.

DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Personenbezogene Daten“ bedeutet personenbezogene Daten, persönliche Informationen, persönlich identifizierbare Informationen oder andere gleichwertige Begriffe (jeweils wie im geltenden Datenschutzrecht definiert).

Verarbeitung“ hat die Bedeutung, die ihm in der DSGVO gegeben wird, und „verarbeiten“, „verarbeiten“ und „verarbeitet“ werden entsprechend ausgelegt.

Auftragsverarbeiter“ hat die in der DSGVO festgelegte Bedeutung.

Auftragsverarbeiter-Klauseln“ bezeichnet die Standardvertragsklauseln zwischen Auftragsverarbeitern für Datenübermittlungen, wie sie durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und derzeit unter https://d1.awsstatic.com/Processor_to_Processor_SCCs.pdf zu finden sind.

Region“ hat die Bedeutung, die ihm in Abschnitt 11.1 dieser DSGVO gegeben wird.

Sicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit von MANSIO, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt.

Sicherheitsstandards“ bezeichnet die Sicherheitsstandards, die dieser DPA als Anhang 1 beigefügt sind.

Standardvertragsklauseln“ bedeutet (i) die Klauseln für den Vertrag zwischen Verantwortlichem und Auftragsverarbeiter oder (ii) die Klauseln für den Vertrag zwischen Auftragsverarbeiter und Auftragsverarbeiter, je nach Anwendbarkeit gemäß den Abschnitten 11.2.1 und 11.2.2.

Drittland“ bedeutet ein Land außerhalb des EWR, das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in der DSGVO beschrieben).

Anhang 1 AWS-Sicherheitsstandards

Begriffe in Großbuchstaben, die in diesem Dokument nicht anderweitig definiert sind, haben die ihnen in der Vereinbarung zugewiesene Bedeutung.

1 Informationssicherheitsprogramm. AWS unterhält ein Informationssicherheitsprogramm, das darauf ausgelegt ist, (a) den Kunden in die Lage zu versetzen, die Kundendaten vor versehentlichem oder unrechtmäßigem Verlust, Zugriff oder Offenlegung zu schützen, (b) vernünftigerweise vorhersehbare Risiken für die Sicherheit und Verfügbarkeit des AWS-Netzwerks zu identifizieren und (c) physische und logische Sicherheitsrisiken für das AWS-Netzwerk zu minimieren, unter anderem durch regelmäßige Risikobewertungen und Tests. AWS wird einen oder mehrere Mitarbeiter benennen, die das Informationssicherheitsprogramm koordinieren und für dieses verantwortlich sind.

Das Informationssicherheitsprogramm von AWS wird die folgenden Maßnahmen umfassen:

1.1 Logische Sicherheit.

A. Zugangskontrollen. AWS wird das AWS-Netzwerk nur autorisiertem Personal zugänglich machen, und zwar nur in dem Umfang, der für die Wartung und Bereitstellung der Services erforderlich ist. AWS unterhält Zugangskontrollen und -richtlinien, um die Berechtigungen für den Zugang zum AWS-Netzwerk für jede Netzwerkverbindung und jeden Benutzer zu verwalten, unter anderem durch den Einsatz von Firewalls oder funktional gleichwertiger Technologie und Authentifizierungskontrollen. AWS unterhält Zugangskontrollen, die darauf ausgelegt sind, (i) den unbefugten Zugriff auf Daten einzuschränken und (ii) die Daten jedes Kunden von den Daten anderer Kunden zu trennen.

B. Eingeschränkter Benutzerzugang. AWS wird (i) den Benutzerzugriff auf das AWS-Netzwerk nach den Grundsätzen der geringsten Privilegierung auf der Grundlage der Aufgaben des Personals bereitstellen und einschränken, (ii) vor der Bereitstellung des Zugriffs auf das AWS-Netzwerk über die Grundsätze der geringsten Privilegierung hinaus, einschließlich der Administratorkonten, eine Überprüfung und Genehmigung verlangen, (iii) mindestens eine vierteljährliche Überprüfung der Zugriffsrechte auf das AWS-Netzwerk verlangen und erforderlichenfalls die Zugriffsrechte auf das AWS-Netzwerk rechtzeitig widerrufen, und (iv) für den Zugriff auf das AWS-Netzwerk von entfernten Standorten aus eine Zwei-Faktor-Authentifizierung verlangen.

C. Schwachstellenbeurteilungen. AWS führt regelmäßig externe Schwachstellenbewertungen und Penetrationstests des AWS-Netzwerks durch, untersucht festgestellte Probleme und verfolgt deren Behebung in angemessener Zeit.

D. Anwendungssicherheit. Vor der öffentlichen Einführung neuer Services oder wesentlicher neuer Funktionen von Services führt AWS eine Überprüfung der Anwendungssicherheit durch, um Sicherheitsrisiken zu erkennen, zu mindern und zu beseitigen.

E. Änderungsmanagement. AWS unterhält Kontrollen, die dazu dienen, Änderungen an bestehenden AWS-Netzwerkressourcen zu protokollieren, zu autorisieren, zu testen, zu genehmigen und zu dokumentieren, und dokumentiert die Einzelheiten der Änderungen in seinen Tools für das Änderungsmanagement oder die Bereitstellung. AWS testet die Änderungen gemäß seinen Änderungsmanagementstandards vor der Migration in die Produktion. AWS unterhält Prozesse, die darauf ausgelegt sind, nicht autorisierte Änderungen am AWS-Netzwerk zu erkennen und festgestellte Probleme bis zur Lösung zu verfolgen.

F. Datenintegrität. AWS unterhält Kontrollen, die die Integrität der Daten während der Übertragung, Speicherung und Verarbeitung im AWS-Netzwerk gewährleisten. AWS wird dem Kunden die Möglichkeit geben, Kundendaten aus dem AWS-Netzwerk zu löschen.

G. Geschäftskontinuität und Notfallwiederherstellung. AWS unterhält ein formelles Risikomanagementprogramm zur Unterstützung der Kontinuität seiner kritischen Geschäftsfunktionen („Business Continuity Program“). Das Business Continuity Programm umfasst Prozesse und Verfahren zur Identifizierung von, Reaktion auf und Wiederherstellung nach Ereignissen, die die Bereitstellung der Services durch AWS verhindern oder wesentlich beeinträchtigen könnten (ein „BCP-Ereignis“). Das Business Continuity-Programm umfasst einen dreistufigen Ansatz, den AWS bei der Bewältigung von BCP-Ereignissen verfolgt:

(i) Aktivierungs- und Benachrichtigungsphase. Wenn AWS Probleme identifiziert, die wahrscheinlich zu einem BCP-Ereignis führen, wird AWS diese Probleme eskalieren, validieren und untersuchen. In dieser Phase analysiert AWS die Grundursache des BCP-Ereignisses.

(ii) Wiederherstellungsphase. AWS weist den entsprechenden Teams die Verantwortung zu, Schritte zur Wiederherstellung der normalen Systemfunktionalität oder zur Stabilisierung der betroffenen Services zu unternehmen.

(iii) Wiederherstellungsphase. Die AWS-Führung überprüft die ergriffenen Maßnahmen und bestätigt, dass die Wiederherstellungsbemühungen abgeschlossen sind und die betroffenen Teile der Services und des AWS-Netzwerks wiederhergestellt wurden. Nach dieser Bestätigung führt AWS eine Post-Mortem-Analyse des BCP-Ereignisses durch.

H. Management von Zwischenfällen. AWS unterhält Pläne für Abhilfemaßnahmen und Pläne zur Reaktion auf Vorfälle, um auf potenzielle Sicherheitsbedrohungen für das AWS-Netzwerk zu reagieren. Die AWS-Reaktionspläne für Vorfälle enthalten definierte Prozesse zur Erkennung, Eindämmung, Untersuchung und Meldung von Sicherheitsvorfällen. Die AWS-Reaktionspläne für Vorfälle umfassen die Überprüfung von Vorfällen, die Angriffsanalyse, die Eindämmung, die Datenerfassung und die Behebung von Problemen. AWS unterhält ein AWS Security Bulletin (ab dem Datum des Inkrafttretens, http://aws.amazon.com/security/security-bulletins/), in dem sicherheitsrelevante Informationen, die sich auf die Services auswirken können, veröffentlicht und kommuniziert werden und das Anleitungen zur Minderung der festgestellten Risiken enthält.

I. Außerbetriebnahme von Speichermedien. AWS unterhält einen Prozess zur Außerbetriebnahme von Speichermedien, der vor der endgültigen Entsorgung von Speichermedien, die zur Speicherung von Kundendaten verwendet werden, durchgeführt wird. Vor der endgültigen Entsorgung werden Speichermedien, die zur Speicherung von Kundendaten verwendet wurden, entmagnetisiert, gelöscht, bereinigt, physisch vernichtet oder anderweitig saniert, und zwar in Übereinstimmung mit branchenüblichen Praktiken, die sicherstellen sollen, dass die Kundendaten nicht von dem betreffenden Speichermedientyp abgerufen werden können.

1.2 Physische Sicherheit.

A. Zugangskontrollen. AWS wird (i) physische Sicherheitsvorkehrungen einführen und aufrechterhalten, die den unbefugten physischen Zugang, die Beschädigung oder Störung des AWS-Netzes verhindern, (ii) geeignete Kontrollvorrichtungen verwenden, um den physischen Zugang zum AWS-Netz auf autorisiertes Personal zu beschränken, das eine legitime geschäftliche Notwendigkeit für einen solchen Zugang hat, (iii) den physischen Zugang zum AWS-Netz unter Verwendung von Systemen zur Erkennung von Eindringlingen überwachen, die so konzipiert sind, dass sie Sicherheitsvorfälle überwachen, erkennen und entsprechendes Personal benachrichtigen, (iv) den physischen Zugang zum AWS-Netz protokollieren und regelmäßig überprüfen und (v) regelmäßige Überprüfungen durchführen, um die Einhaltung dieser Standards zu bestätigen.

B. Verfügbarkeit. AWS wird (i) redundante Systeme für das AWS-Netzwerk implementieren, die darauf ausgelegt sind, die Auswirkungen einer Störung auf das AWS-Netzwerk zu minimieren, (ii) das AWS-Netzwerk so konzipieren, dass Hardwareausfälle antizipiert und toleriert werden, und (iii) automatisierte Prozesse implementieren, die darauf ausgelegt sind, den Kundendatenverkehr im Falle eines Hardwareausfalls aus dem betroffenen Bereich wegzuleiten.

1.3 AWS-Mitarbeiter.

A. Sicherheitsschulung für Mitarbeiter. AWS wird Sicherheitstrainingsprogramme für Mitarbeiter bezüglich der Anforderungen an die Informationssicherheit von AWS einführen und aufrechterhalten. Die Schulungsprogramme zum Sicherheitsbewusstsein werden mindestens einmal jährlich überprüft und aktualisiert.

B. Hintergrundüberprüfungen. Soweit gesetzlich zulässig und soweit bei den zuständigen Behörden verfügbar, wird AWS verlangen, dass sich jeder Mitarbeiter einer Hintergrunduntersuchung unterzieht, die für die Position des Mitarbeiters und den Grad des Zugangs zum AWS-Netzwerk angemessen und geeignet ist.

2 Fortlaufende Bewertung. AWS führt regelmäßige Überprüfungen des Informationssicherheitsprogramms für das AWS-Netzwerk durch. AWS wird sein Informationssicherheitsprogramm bei Bedarf aktualisieren oder ändern, um auf neue Sicherheitsrisiken zu reagieren und die Vorteile neuer Technologien zu nutzen.

Informieren Sie sich über die IT-Dienstleister des MANSIO-Transportsystems.