Sehr geehrte Damen
sehr geehrte Herren, 

Sie haben seit Beginn der Nutzung unserer Softwareprodukte eine direkte Geschäftsbeziehung zu p.a.d. europe ltd und lassen mittels Software Daten im
posPAD/gastronovi Rechenzentrum verarbeiten. Deshalb sind Sie als Auftraggeber und die p.a.d. europe ltd als Auftragnehmer aufgrund der neuen
EU-Datenschutz-Grundverordnung (DSGVO) gesetzlich verpflichtet, Verträge zur Auftragsverarbeitung zu schließen.

Bitte handeln Sie jetzt: Unterzeichnen Sie die von uns vorbereitete Vereinbarung zur Auftragsverarbeitung. Sie vermeiden dadurch ein Bußgeldrisiko
und helfen uns gleichzeitig, eine einheitliche Vertragsbasis mit unseren Kunden zu vereinbaren.

Die Vereinbarung regelt, welche Daten wie verarbeitet werden, welche technischen oder organisatorischen Maßnahmen getroffen werden und
welche Kontrollpflichten, Rechte und Weisungsbefugnisse gelten.

Mit freundlichen Grüßen

p.a.d. europe ltd

Vereinbarung zur Auftragsdatenverarbeitung

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien. Sie findet Anwendung auf alle Tätigkeiten, die mit der Durchführung von Aufträgen in Zusammenhang stehen, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Subunternehmer mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die vertraglichen Verpflichtungen ergeben sich im Übrigen aus den sonstigen Vereinbarungen auf der Grundlage der Geschäftsbedingungen der p.a.d. europe ltd. (Auftragnehmerin ist die p.a.d. europe ltd. Auftraggeberin ist der Kunde)

§ 1 Gegenstand und Dauer des Auftrags
1. Die Auftragnehmerin führt die im Anhang 1 beschriebenen Dienstleistungen für die Auftraggeberin durch. Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen werden dort beschrieben.
2. Dieser Vertrag tritt – solange keine anderweitigen Regelungen vereinbart wurden – mit der elektronischen Unterzeichnung der Auftraggeberin in Kraft und gilt, solange die Auftragnehmerin für die Auftraggeberin personenbezogene Daten verarbeitet.

§ 2 Weisungen der Auftraggeberin
1. Die Auftraggeberin ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich. Gesetzliche oder vertragliche Haftungsregelungen bleiben hiervon unberührt.
2. Die Auftragnehmerin verarbeitet die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen der Auftraggeberin und im Rahmen der getroffenen Vereinbarungen. Daten dürfen nur berichtigt, gelöscht und gesperrt werden, wenn die Auftraggeberin dies anweist.
3. Die Verarbeitung erfolgt nur auf Weisung der Auftraggeberin, es sei denn, die Auftragnehmerin ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem die Auftragnehmerin unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt die Auftragnehmerin der Auftraggeberin diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.
4. Grundsätzlich können Weisungen mündlich erteilt werden. Mündliche Weisungen sind anschließend von der Auftraggeberin zu dokumentieren. Weisungen sind schriftlich oder in Textform zu erteilen, wenn die Auftragnehmerin dies verlangt.
5. Ist die Auftragnehmerin der Ansicht, dass eine Weisung der Auftraggeberin gegen datenschutzrechtliche Vorschriften verstößt, hat sie die Auftraggeberin unverzüglich darauf hinzuweisen.

§ 3 Technische und organisatorische Maßnahmen
1. Die Auftragnehmerin verpflichtet sich, für die zu verarbeitenden Daten angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen und im Anhang 3 dieses Vertrages zu dokumentieren. Die Sicherheitsmaßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
2. Die getroffenen Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Die Auftragnehmerin darf entsprechende Anpassungen nur vornehmen, wenn diese mindestens das Sicherheitsniveau der bisherigen Maßnahmen erreichen. Soweit nichts anderes bestimmt ist, muss die Auftragnehmerin der Auftraggeberin nur wesentliche Anpassungen mitteilen.
3. Die Auftragnehmerin unterstützt die Auftraggeberin bei der Einhaltung aller gesetzlichen Pflichten hinsichtlich der einzuhaltenden technischen und organisatorischen Maßnahmen. Die Auftragnehmerin hat auf Anfrage an der Erstellung und der Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten der Auftraggeberin mitzuwirken. Die Auftragnehmerin wirkt bei der Erstellung einer Datenschutz-Folgenabschätzung und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden mit. Sie hat der Auftraggeberin alle erforderlichen Angaben und Dokumente auf Anfrage offenzulegen.

§ 4 Pflichten der Auftragnehmerin
1. Die Auftragnehmerin bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Sie gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
2. Die Auftragnehmerin bietet hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person steht.
3. Die Auftragnehmerin sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Sie überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
4. Die Auftragnehmerin darf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten der Auftraggeberin zugreifen, wenn dies für die Durchführung der Auftragsverarbeitung zwingend erforderlich ist.
5. Soweit gesetzlich vorgeschrieben, bestellt die Auftragnehmerin einen Beauftragten für den Datenschutz. Die Kontaktdaten des Beauftragten für den Datenschutz werden der Auftraggeberin zum Zweck der direkten Kontaktaufnahme mitgeteilt.
6. Die Auftragnehmerin darf die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland oder in einem Mitgliedsstaat der Europäischen Union verarbeiten. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung der Auftraggeberin und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.



7. Die Auftragnehmerin unterstützt die Auftraggeberin mit geeigneten technischen und organisatorischen Maßnahmen, damit diese ihre bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann, z.B. die Information und Auskunft an die betroffene Person, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Die Auftragnehmerin benennt einen Ansprechpartner, der die Auftraggeberin bei der Erfüllung von gesetzlichen Informations- und Auskunftspflichten, die im Zusammenhang mit der Auftragsverarbeitung entstehen, unterstützt und teilt der Auftraggeberin dessen Kontaktdaten unverzüglich mit. Soweit die Auftraggeberin besonderen gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten unterliegt, unterstützt die Auftragnehmerin die Auftraggeberin hierbei. Auskünfte an die betroffene Person oder Dritte darf die Auftragnehmerin nur nach vorheriger Weisung der Auftraggeberin erteilen. Soweit eine betroffene Person ihre datenschutzrechtlichen Rechte unmittelbar gegenüber der Auftragnehmerin geltend macht, wird die Auftragnehmerin dieses Ersuchen unverzüglich an die Auftraggeberin weiterleiten.

§ 5 Berechtigung zur Begründung von Unterauftragsverhältnissen1. Die Auftragnehmerin darf Unterauftragnehmer nur beauftragen, wenn sie die Auftraggeberin immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch die Auftraggeberin die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Einspruch darf nur aus wichtigem Grund erfolgen.
2. Ein Unterauftragsverhältnis liegt insbesondere vor, wenn die Auftragnehmerin weitere Auftragnehmer in Teilen oder im Ganzen mit Leistungen beauftragt, auf die sich dieser Vertrag bezieht. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen oder Reinigungskräfte. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Auftraggeberin auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
3. Ein Zugriff auf Daten darf durch den Unterauftragnehmer erst dann erfolgen, wenn die Auftragnehmerin durch einen schriftlichen Vertrag sicherstellt, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber den Unterauftragnehmern gelten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorschriften erfolgt.
4. Die Inanspruchnahme der in Anhang 2 zum Zeitpunkt der Vertragsunterzeichnung aufgeführten Unterauftragnehmer gilt als genehmigt, sofern die in § 5 Abs. 3 dieses Vertrages genannten Voraussetzungen umgesetzt werden.

§ 6 Kontrollrechte der Auftraggeberin
Die Auftragnehmerin erklärt sich damit einverstanden, dass die Auftraggeberin oder eine von ihr beauftragte Person berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und Anforderung von relevanten Unterlagen, die Einsichtnahme in die Verarbeitungsprogramme oder durch Zutritt zu den Arbeitsräumen der Auftragnehmerin zu den ausgewiesenen Geschäftszeiten nach vorheriger Anmeldung. Durch geeignete und gültige Zertifikate zur IT-Sicherheit (z.B. IT-Grundschutz, ISO 27001) kann auch der Nachweis einer ordnungsgemäßen Verarbeitung erbracht werden, sofern hierzu auch der jeweilige Gegenstand der Zertifizierung auf die Auftragsverarbeitung im konkreten Fall zutrifft. Die Vorlage eines relevanten Zertifikats ersetzt jedoch nicht die Pflicht der Auftragnehmerin zur Dokumentation der Sicherheitsmaßnahmen im Sinne des § 3 dieser Vereinbarung.

§ 7 Mitzuteilende Verstöße der Auftragnehmerin
Die Auftragnehmerin unterrichtet die Auftraggeberin unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten der Auftraggeberin mit sich bringen, sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten der Auftraggeberin. Gleiches gilt, wenn die Auftragnehmerin feststellt, dass die bei ihr getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen. Der Auftragnehmerin ist bekannt, dass die Auftraggeberin verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person unverzüglich zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird die Auftragnehmerin die Auftraggeberin bei der Einhaltung ihrer Meldepflichten unterstützen. Sie wird die Verletzungen der Auftraggeberin unverzüglich melden und hierbei zumindest folgende Informationen mitteilen:
1. eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
2. Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
4. eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

§ 8 Beendigung des Auftrags
1. Nach Abschluss der Auftragsverarbeitung hat die Auftragnehmerin alle personenbezogenen Daten nach Wahl der Auftraggeberin entweder zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
2. Die Auftraggeberin kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn die Auftragnehmerin einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Bestimmungen begeht und der Auftraggeberin aufgrund dessen die Fortsetzung der Auftragsverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht zugemutet werden kann. Durch Kündigung des Auftragsverhältnisses werden alle mit diesem Vertrag in Zusammenhang stehenden p.a.d. europe ltd Office Betriebe gesperrt.  

§ 9 Schlussbestimmungen
1. Sollte das Eigentum der Auftraggeberin bei der Auftragnehmerin durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die Auftragnehmerin die Auftraggeberin unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände der Auftraggeberin ausgeschlossen.
2. Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
3. Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.

Anhang

Technisch-organisatorische Sicherheitsmaßnahmen

Anhang: Technische und organisatorische Maßnahmen nach § 32 DSGVO

Nachstehend erfolgen eine Aufstellung und eine Beschreibung der wesentlichen Maßnahmen der p.a.d. europe ltd zur Einhaltung der Datensicherheitsvorschriften gemäß der Anlage zu § 32 DSGVO. Hierbei ist einschränkend darauf hinzuweisen, dass ein Rechenzentrum verständlicherweise nicht alle Sicherheitsvorkehrungen offenlegen kann; vielmehr ist gerade im Interesse des Datenschutzes und der Datensicherheit der Verzicht auf vertrauliche und detaillierte Beschreibungen unabdingbar.

A Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität
1. Zutrittskontrollmaßnahmen zu Serverräumen
1.0 Werden personenbezogene Daten auf Servern gespeichert, die von Ihnen betrieben werden?
☑ ja ☐ nein
Wenn 1.0 nein: In diesem Fall müssen die weiteren Fragen zu A1 ​nicht beantwortet werden​, sondern sogleich die Fragen ab A2. Auch die Fragen zu B1 und B2 entfallen.
1.1 Standort des Serverraums / Rechenzentrums (RZ).
Telehouse Deutschland GmbH - Frankfurt/Main
1.2 Sind die personenbezogenen Daten auf mehr als einen Serverstandort / Rechenzentrum verteilt (z. B. Backup Server/ Nutzung von Cloud-Dienstleistungen)?
☐ ja ☑ nein
1.3 Falls 1.2 ja: Machen Sie bitte die entsprechenden Standortangaben auch bzgl. weiterer Server. Weitere Serverstandorte:
1.4 Gelten die folgenden Angaben zu Zutrittskontroll-Maßnahmen für alle​ im Einsatz befindlichen Server- / RZ
Standorte?
☑ ja ☐ nein
1.5 Falls 1.4 nein: Beantworten Sie bitte die Fragen 1.6 bis 1.21 und B für weitere RZ- /
Serverstandorte.
1.6 Ist der Serverraum fensterlos?
☑ ja ☐ nein
1.7 Wenn 1.6 nein: Wie sind die Fenster vor Einbruch geschützt?
☐ vergittert ☐ alarmgesichert ☐ abschließbar ☐ gar nicht ☐ Sonstiges:
1.8 Ist der Serverraum mittels einer Einbruchmeldeanlage (EMA) alarmgesichert?
☑ ja ☐ nein
1.9 Wenn 1.8 ja: Wer wird informiert, wenn die EMA auslöst?
☑ beauftragter Wachdienst ☑ Administrator ☑ Leiter IT ☐ Sonstiges:
1.1
0
Ist der Serverraum videoüberwacht?
☐ ja, ohne Bildaufzeichnung ☐ ja, mit Bildaufzeichnung ☑ nein
1.1
1
Wenn 1.10 ja, mit Bildaufzeichnung​: Wie lange werden die Bilddaten gespeichert?
Tage
1.1
2
Wie viele Personen haben Zutritt zum Serverraum und welche Funktionen haben diese inne?
Anzahl der Personen: 5
Funktion im Unternehmen: Techniker/ Administratoren
1.1
3
Ist der Serverraum mit einem elektronischen Schließsystem versehen?
☑ ja ☐ nein, mit mechanischem Schloss
1.1
4
Wenn 1.13 ja​: Welche Zutrittstechnik kommt zum Einsatz?
☑ RFID ☑ PIN ☑ Biometrie ☐ Sonstiges:
1.1
5
Wenn 1.13 ja​: Werden die Zutrittsrechte personifiziert vergeben?
☑ ja ☐ nein
1.1
6
Wenn 1.13 ja​: Werden die Zutritte zum Raum im Zutrittssystem protokolliert?
☑ ja, sowohl erfolgreiche als auch erfolglose Zutrittsversuche
☐ ja, aber nur erfolgreiche Zutritte
☐ ja, aber nur erfolglose Zutrittsversuche
☐ nein, das Schloss wird nur freigegeben oder nicht
1.1
7
Wenn 1.16 ja​: Wie lange werden die Zutrittsdaten ungefähr gespeichert?
30 Tage
Seite 1 von 8
1.1
8
Wenn 1.13 nein​, wie viele Schlüssel zum Serverraum existieren, wo werden diese aufbewahrt, wer gibt
die Schlüssel aus?
Anzahl Schlüssel: Aufbewahrungsort:
Ausgabestelle:
1.1
9
Aus welchem Material besteht die Zugangstür zum Serverraum?
☑ Stahl / Metall ☐ sonstiges Material
1.2
0
Wird der Serverraum neben seiner eigentlichen Funktion noch für andere Zwecke genutzt?
☐ ja ☑ nein
1.2
1
Wenn 1.20 ja​: Was wird in dem Serverraum noch aufbewahrt?
☐ Telefonanlage ☐ Lagerung Büromaterial ☐ Lagerung Akten ☐ Archiv
☐ Lagerung von IT Ausstattung ☐ Sonstiges:
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für
die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
2. Zutrittskontrollmaßnahmen zu Büroräumen
2.1 Standort der Clientarbeitsplätze, von denen auf personenbezogene Daten zugegriffen wird:
1. gastronovi GmbH, Buschhöhe 6, D-28357 Bremen
2. gastronovi GmbH, Haferwende 14, D-28357 Bremen
3. RobHost GmbH, Glashütter Str. 53, D-01309 Dresden
Existieren zu den jeweiligen Standorten unterschiedliche Zutrittskontrollmaßnahmen werden diese im
folgenden über die obige Nummerierung für die einzelnen Standorte separat angegeben
2.2 Existiert ein Pförtnerdienst / ständig besetzter Empfangsbereich zum Gebäude bzw. zu Ihren Büros?
☐ ja ☑ nein
2.3 Wird ein Besucherbuch geführt?
☐ ja ☑ nein
2.4 Ist das Gebäude oder sind die Büroräume mittels einer Einbruchmeldeanlage (EMA) alarmgesichert?
1. ☑ ja ☐ nein
2. ☐ ja ☑ nein
3. ☑ ja ☐ nein
2.5 Wenn 2.4 ja​: Wer wird informiert, wenn die EMA auslöst?
1. ☑ beauftragter Wachdienst ☑ Administrator ☑ Leiter IT ☐ Sonstiges:
2. ☐ beauftragter Wachdienst ☐ Administrator ☐ Leiter IT ☐ Sonstiges:
3. ☑ beauftragter Wachdienst ☐ Administrator ☑ Leiter IT ☐ Sonstiges:
2.6 Werden das Bürogebäude bzw. seine Zugänge videoüberwacht?
1. ☐ ja, ohne Bildaufzeichnung ☑ ja, mit Bildaufzeichnung ☐ nein
2. ☐ ja, ohne Bildaufzeichnung ☑ ja, mit Bildaufzeichnung ☐ nein
3. ☐ ja, ohne Bildaufzeichnung ☐ ja, mit Bildaufzeichnung ☑ nein
2.7 Wenn 2.6 „ja, mit Bildaufzeichnung“,​ wie lange werden die Bilddaten gespeichert?
1. 14 Tage
2. 14 Tage
3. Tage
2.8 Ist das Gebäude / die Büroräume mit einem elektronischen Schließsystem versehen?
☑ ja, Gebäude und Büroräume sind elektronisch verschlossen
☐ ja, aber nur das Gebäude, nicht der Eingang zu den Büros bzw. zur Büroetage.
☐ ja, aber nur der Eingang zu den Büros / zur Büroetage, nicht das Gebäude insgesamt.
☐ nein
Seite 2 von 8
2.9 Wenn 2.8 ja​: Welche Zutrittstechnik kommt zum Einsatz?
☑ RFID ☐ PIN ☐ Biometrie ☐ Sonstiges:
2.1
0
Wenn 2.8 ja​: Werden die Zutrittsrechte personifiziert vergeben?
☑ ja ☐ nein
2.1
1
Wenn 2.8 ja​: Werden die Zutritte im Zutrittssystem protokolliert?
☑ ja, sowohl erfolgreiche als auch erfolglose Zutrittsversuche
☐ ja, aber nur erfolgreiche positive Zutritte
☐ ja, aber nur erfolglose Zutrittsversuche
☐ nein, das Schloss wird nur freigegeben oder nicht
2.1
2
Wenn 2.11 ja​: Wie lange werden diese Protokolldaten aufbewahrt?
30 Tage
2.1
3
Wenn 2.11 ja​: Werden die Protokolle regelmäßig ausgewertet?
☐ ja ☑ nein, eine Auswertung wäre aber im Bedarfsfall möglich
2.1
4
Existiert ein mechanisches Schloss für die Gebäude / Büroräume?
☐ ja ☑ nein
2.1
5
Wenn 2.14 ja​: Wird die Schlüsselausgabe protokolliert, wer gibt die Schlüssel aus?
☐ ja ☐ nein Ausgabestelle:
2.1
6
Gibt es offizielle Zutrittsregelung für betriebsfremde Personen (bspw. Besucher) zu den Büroräumen?
☐ nein
☑ ja, betriebsfremde Personen werden am Eingang bzw. Empfang vom Ansprechpartner abgeholt und
dürfen sich im Gebäude nur begleitet bewegen.
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für
die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
3 Zugangs- und Zugriffskontrollmaßnahmen
Sofern sich die Regelungen bezüglich der Zugangs- und Zugriffskontrollmaßnahmen bei dem von der
gastronovi GmbH beauftragten Dienstleister und bei der gastronovi GmbH selbst unterscheiden, werden
die verschiedenen Maßnahmen über die folgende Nummerierung gekennzeichnet
1. gastronovi GmbH
2. RobHost GmbH
3.1 Existiert ein Prozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der
Neueinstellung und beim Ausscheiden von Mitarbeitern bzw. bei organisatorischen Veränderungen?
1. ☑ definierter Freigabeprozess
☐ kein definierter Freigabeprozess, auf Zuruf
☑ Sonstige Vergabeweise: Definition und Freigabe durch den Vorgesetzten
2. ☑ definierter Freigabeprozess
☐ kein definierter Freigabeprozess, auf Zuruf
☐ Sonstige Vergabeweise:
3.2 Werden die Vergabe bzw. Änderungen von Zugriffsberechtigungen protokolliert?
☑ ja ☐ nein
3.3 Authentisieren sich die Mitarbeiter über eine individuelle Kennung gegenüber dem zentralen
Verzeichnisdienst?
☐ ja ☑ nein
3.4 Existieren verbindliche Passwortparameter im Unternehmen?
☑ ja ☐ nein
Seite 3 von 8
3.5 Passwort-Zeichenlänge:
1. Mindestens 10 Zeichen
2. Mindestens 8 Zeichen + 2FA
Muss das Passwort Sonderzeichen enthalten?
☑ ja ☐ nein
Mindest-Gültigkeitsdauer in Tagen: ​30
3.6 Zwingt das IT System den Nutzer zur Einhaltung der oben genannten PW Vorgaben?
1. ☑ ja ☐ nein (*1)
2. ☑ ja ☐ nein
3.7 Wird der Bildschirm bei Inaktivität des Benutzers gesperrt?
Wenn ja, nach wieviel Minuten?
5 Minuten

3.8 Welche Maßnahmen ergreifen Sie bei Verlust, Vergessen oder Ausspähen eines Passworts?
☑ Admin vergibt neues Initialpasswort
☐ keine
3.9 Gibt es eine Begrenzung von erfolglosen Anmeldeversuchen?
1. ☐ ja, Versuche ☑ nein (*2)
2. ☑ ja, 3 Versuche ☐ nein
3.10 Wenn 3.8 ja​, Wie lange bleiben Zugänge gesperrt, wenn die maximale Zahl erfolgloser
Anmeldeversuche erreicht wurde?
☐ Die Zugänge bleiben bis zur manuellen Aufhebung der Sperre gesperrt
☑ Die Zugänge bleiben für 60 Minuten gesperrt.
3.11 Wie erfolgt die Authentisierung bei Fernzugängen:
1. Authentisierung mit ☑ Token ☐ VPN-Zertifikat ☑ Passwort
2. Authentisierung mit ☑ Token ☑ VPN-Zertifikat ☐ Passwort
3.12 Gibt es eine Begrenzung von erfolglosen Anmeldeversuchen bei Fernzugängen?
1. ☑ ja, 10 Versuche ☐ nein
2. ☑ ja, 3 Versuche ☐ nein
3.13 Wenn 3.11 ja​, Wie lange bleiben Zugänge gesperrt, wenn die maximale Zahl erfolgloser
Anmeldeversuche erreicht worden ist?
1. ☑ Die Zugänge bleiben bis zur manuellen Aufhebung der Sperre gesperrt
☐ Die Zugänge bleiben für Minuten gesperrt.
2. ☐ Die Zugänge bleiben bis zur manuellen Aufhebung der Sperre gesperrt
☑ Die Zugänge bleiben für 60 Minuten gesperrt.
3.14 Wird der Fernzugang nach einer gewissen Zeit der Inaktivität automatisch getrennt?
1. ☑ ja, nach 24 Stunden ☐ nein
2. ☐ ja, nach Stunden ☑ nein
3.15 Werden die Systeme, auf denen personenbezogene Daten verarbeitet werden, über eine Firewall
abgesichert?
☑ ja ☐ nein
3.16 Wenn 3.15 ja:​ Wird die Firewall regelmäßig upgedatet?
☑ ja ☐ nein
3.17 Wenn 3.15 ja​: Wer administriert Ihre Firewall?
☑ eigene IT ☐ Externer Dienstleister
3.18 Wenn ein externer DL zum Einsatz kommt​: Kann sich dieser ohne Aufsicht durch Ihre IT auf die
Firewall aufschalten?
☐ ja ☐ nein, die Aufschaltung ist nur im 4 Augenprinzip mit einem Mitarbeiter der eigenen IT möglich.
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
Hinweise:
(*1) Existieren in einem spezifischen System keine zwingenden Passwortvorgaben wird ein den
Richtlinien entsprechen Passwort automatisch generiert. Die Mitarbeitern sind angewiesen diese
generierten Passwörter zu verwenden.
(*2) Durch die Kombination von AES-256-Verschlüsselung und PBKDF2-Schlüssel werden Brute Force
Angriffe wirksam verhindert
4 Maßnahmen zur Sicherung von Papier-Unterlagen, mobilen Datenträgern und mobilen
Endgeräten
Sofern sich die Regelungen bezüglich der Maßnahmen zur Sicherung von Papier-Unterlagen, mobilen
Datenträgern und mobilen Endgeräten bei dem von der gastronovi GmbH beauftragten Dienstleister und
bei der gastronovi GmbH selbst unterscheiden, werden diese über die folgende Nummerierung
gekennzeichnet
1. gastronovi GmbH
2. RobHost GmbH
4.1 Wie werden nicht mehr benötigte Papier-Unterlagen mit personenbezogenen Daten (bspw. Ausdrucke /
Akten / Schriftwechsel) entsorgt?
☐ Altpapier / Restmüll
☑ Es stehen hierfür Schredder zur Verfügung, deren Nutzung angewiesen ist.
☐ Es sind verschlossene Datentonnen aufgestellt, die von einem Entsorgungsdienstleister zur
datenschutzkonformen Vernichtung abgeholt werden.
☐ Sonstiges:
4.2 Wie werden nicht mehr benötigte Datenträger (USB Sticks, Festplatten), auf denen personenbezogene
Daten gespeichert sind, entsorgt?
1. ☐ Physikalische Zerstörung durch eigene IT.
☐ Physikalische Zerstörung durch externen Dienstleister.
☐ Löschen der Daten
☑ Löschen der Daten durch mindestens dreimaliges Überschreibungen
☐ Sonstiges:
2. ☐ Physikalische Zerstörung durch eigene IT.
☑ Physikalische Zerstörung durch externen Dienstleister.
☐ Löschen der Daten
☐ Löschen der Daten durch Überschreibungen
☐ Sonstiges:
4.3 Dürfen im Unternehmen mobile Datenträger verwendet werden (z.B. USB-Sticks)
☑ ja
☐ nein
4.4 Dürfen die Mitarbeiter private Datenträger (z.B. USB Sticks) verwenden?
☐ generell ja
☐ ja, aber nur nach Genehmigung und Überprüfung des Speichermediums durch die IT.
☑ nein, alle benötigten Speichermedien werden vom Unternehmen gestellt.
4.5 Werden personenbezogene Daten auf mobilen Endgeräten verschlüsselt?
☑ Verschlüsselung der Festplatte
☐ Verschlüsselung einzelner Verzeichnisse
☐ keine Maßnahmen
4.6 Verarbeiten Mitarbeiter personenbezogene Daten auch auf eigenen privaten Geräten (bring your own
device)?
1. ☑ ja ☐ nein
Seite 5 von 8
2. ☐ ja ☑ nein
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
5 Maßnahmen zur sicheren Datenübertragung
5.1 Erfolgt der Transfer personenbezogener Daten durchgängig verschlüsselt?
1. ☐ gar nicht
☐ nein, Datenübertragung erfolgt per mpls
☐ nur vereinzelt
☐ per verschlüsselter Datei als Mailanhang
☐ per PGP/SMime
☐ per verschlüsseltem Datenträger
☐ per VPN
☑ per https/TLS
☑ per SFTP
☑ Sonstiges: SSH
☐ gar nicht
2. ☐ gar nicht
☐ nein, Datenübertragung erfolgt per mpls
☐ nur vereinzelt
☐ per verschlüsselter Datei als Mailanhang
☐ per PGP/SMime
☑ per verschlüsseltem Datenträger
☑ per VPN
☑ per https/TLS
☑ per SFTP
☑ Sonstiges: SSH
5.2 Wer verwaltet die Schlüssel bzw. die Zertifikate?
☐ Anwender selbst ☑ eigene IT ☐ Externer Dienstleister
5.3 Werden die Übertragungsvorgänge protokolliert?
☑ ja ☐ nein
5.4 Wenn 5.2 ja​: Wie lange werden diese Protokolldaten aufbewahrt?
mindestens 30 Tage
5.5 Wenn 5.2 ja​: Werden die Protokolle regelmäßig ausgewertet?
☐ ja ☑ nein, eine Auswertung wäre aber im Bedarfsfall möglich
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
Seite 6 von 8
B. Maßnahmen zur Sicherstellung der Verfügbarkeit
1. Serverraum
1.1 Verfügt der Serverraum über eine feuerfeste bzw. feuerhemmende Zugangstür?
☑ ja ☐ nein
1.2 Ist der Serverraum mit Rauchmeldern ausgestattet?
☑ ja ☐ nein
1.3 Ist der Serverraum an eine Brandmeldezentrale angeschlossen?
☑ ja ☐ nein
1.4 Ist der Serverraum mit Löschsystemen ausgestattet?
☐ ja, CO2 Löscher ☑ ja, Halon / Argon Löschanlage ☐ Sonstiges: bitte angeben
1.5 Woraus bestehen die Außenwände des Serverraumes?
☑ Massivwand (bspw. Beton, Mauer) ☐ Leichtbauweise ☐ Brandschutzwand (bspw. F90)
1.6 Ist der Serverraum klimatisiert?
☑ ja ☐ nein
1.7 Verfügt der Serverraum über eine unterbrechungsfreie Stromversorgung (USV)?
☑ ja ☐ nein
1.8 Wird die Stromversorgung des Serverraums zusätzlich über ein Dieselaggregat abgesichert?
☑ ja ☐ nein
1.9 Werden die Funktionalität 1.2, 1.3, 1.4, 1.6, 1.7 und 1.8, sofern vorhanden, regelmäßig getestet?
☑ ja ☐ nein
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
2 Backup- und Notfall-Konzept, Virenschutz
2.1 Existiert ein Backupkonzept?
☑ ja ☐ nein
2.2 Wird die Funktionalität der Backup-Wiederherstellung regelmäßig getestet?
☑ ja ☐ nein
2.3 In welchem Rhythmus werden Backups vom Systemen angefertigt, auf denen personenbezogene Daten
gespeichert werden?
☑ Echtzeitspiegelung ☑ täglich ☐ ein bis dreimal pro Woche
☐ Sonstiges:
2.4 Auf was für Sicherungsmedien werden die Backups gespeichert?
☑ Zweiter redundanter Server ☐ Sicherungsbänder ☑ Festplatten
☐ Sonstiges:
2.5 Wo werden die Backups aufbewahrt?
☑ Zweiter redundanter Server steht an einem anderen Ort
☐ Safe, feuerfest, datenträger- und dokumentensicher
☐ einfacher Safe
☐ Bankschließfach
☐ abgeschlossener Aktenschrank / Schreibtisch
☐ Im Serverraum
☐ Privathaushalt
☐ Sonstiges:
2.6 Zu 2.5:​ Im Falle eines Transports der Backups: Wie wird dieser durchgeführt?
☐ Mitnahme durch einen MA der IT / Geschäftsleitung / Sekretärin
☐ Abholung durch Dritte (bspw. Bankmitarbeiter / Wachunternehmen)
☐ Sonstiges:
Seite 7 von 8
2.7 Sind die Backups verschlüsselt?
☑ ja ☐ nein
2.8 Befindet sich der Aufbewahrungsort der Backups in einem vom primären Server aus betrachtet
getrennten Brandabschnitt bzw. Gebäudeteil?
☑ ja ☐ nein
2.9 Existiert ein dokumentierter Prozess zum Software- bzw. Patchmanagement?
☑ ja ☐ nein ☐ Prozess existiert, ist jedoch nicht dokumentiert
2.10 Wenn 2.9 ja​, wer ist für das Software- bzw. Patchmanagement verantwortlich?
☐ Anwender selbst ☐ eigene IT ☑ Externer Dienstleister
2.11 Existiert ein Notfallkonzept (bspw. Notfallmaßnahmen bei Hardwaredefekte / Brand / Totalverlust etc.)?
☑ ja ☐ nein
2.12 Sind die IT Systeme technisch vor Datenverlusten / unbefugten Datenzugriffen geschützt? Ja, mittels
stets aktualisiertem ☑ Virenschutz ☑ Anti-Spyware ☑ Spamfilter
2.13 Wenn 2.12 ja​, wer ist für den aktuellen Virenschutz, Anti-Spyware und Spamfilter verantwortlich?
☐ Anwender selbst ☐ eigene IT ☑ Externer Dienstleister
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet
3 Netzanbindung
3.1 Verfügt das Unternehmen über eine redundante Internetanbindung?
☑ ja ☐ nein
3.2 Sind die einzelnen Standorte des Unternehmens redundant miteinander verbunden?
☑ ja ☐ nein
3.3 Wer ist für die Netzanbindung des Unternehmens verantwortlich?
☑ eigene IT ☐ Externer Dienstleister
Sind die dokumentierten Maßnahmen aus Ihrer Sicht unter Berücksichtigung des Stands der
Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten der Betroffenen geeignet, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten?
☑ geeignet ☐ begrenzt geeignet ☐ ungeeignet


Vereinbarung
zur Auftragsdatenverarbeitung


zwischen

dem Auftragnehmer

p.a.d. europe ltd
Breslauer Straße 27
73054 Eislingen

und dem Auftraggeber

nebenstehend
eingetragener
Geschäftspartner

Auftraggeber

Postadresse für Waren

p.a.d. europe ltd
Breslauer Straße 27
73054 Eislingen
DEUTSCHLAND

Postadresse für Briefe

p.a.d. europe ltd
Postfach 1121
73080 Salach
DEUTSCHLAND

p.a.d. europe ltd

69 Great Hampton Street
B18 6EW Birmingham
CNo. 5396294 – CH CARDIFF
GREAT BRITAIN