Login Kontakt Jobs finden
Support
Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

Promotionbasis GmbH | gemäß Art. 28 DSGVO

Präambel

Mit Abschluss der Nutzungsbedingungen der Promotionbasis GmbH (nachfolgend „Hauptvertrag") wurde die Promotionbasis GmbH (nachfolgend „Auftragnehmer" oder „PB") von dem jeweiligen Auftraggeber mit der Bereitstellung von Diensten zur Verwaltung von Personalvermittlungsprozessen (iPM-Planungstool) und/oder zur digitalen Vertragserstellung und -unterzeichnung (staffSign-Dienste) beauftragt.

Die Durchführung des Hauptvertrags resultiert u.a. in einer Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 DSGVO durch den Auftragnehmer. Zur Konkretisierung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit diesem Datenumgang schließen die Parteien nachstehende Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag im Sinne von Art. 28 Abs. 1 DSGVO (nachfolgend „AVV" oder „Auftrag").

Dieser AVV gilt für alle Jobanbieter, die das iPM-Planungstool nutzen, sowie für alle Jobanbieter und Nutzer, die über Promotionbasis (promotionbasis.de) oder staffSign (staffsign.de) Verträge digital erstellen und signieren lassen.

§ 1 – Auftragsgegenstand

(1) Die nachfolgenden Datenschutz- und Datensicherheitsbestimmungen finden Anwendung auf alle Leistungen, die der Auftragnehmer gegenüber dem Auftraggeber im Zusammenhang mit der Erfüllung des Auftrags erbringt, und auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten im Sinne des § 1 Abs. 2 in Berührung kommen können.

(2) Der Gegenstand dieses Auftrags, die Art der von diesem Auftrag erfassten personenbezogenen Daten („auftragsgegenständliche Daten"), Art und Zweck deren Verarbeitung sowie die Kategorien der hiervon betroffenen Personen ergeben sich jeweils aus Anlage 1. Der Auftrag umfasst sowohl die Verarbeitung im Rahmen des iPM-Planungstools als auch, soweit vom Auftraggeber genutzt, die Verarbeitung im Rahmen der staffSign-Dienste.

§ 2 – Territoriale Beschränkung

(1) Die Verarbeitung und Nutzung der auftragsgegenständlichen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Diese Einschränkung bezieht sich auf den Speicherort der Daten, nicht auf den Unternehmenssitz des Auftraggebers.

(2) Jede Verlagerung in ein Land, das weder Mitgliedstaat der Europäischen Union noch Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ist („Drittland"), bedarf der vorherigen schriftlichen Zustimmung des für die auftragsgegenständlichen Daten datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO („Verantwortlicher") und darf nur erfolgen, soweit dies nach Maßgabe der Art. 44 ff. DSGVO zulässig ist.

(3) Der Auftragnehmer setzt Server-Infrastruktur ausschließlich innerhalb der EU/des EWR ein. Backend-Daten (Datenbank, API) werden auf Google Cloud Services (Google Ireland Ltd., Rechenzentrum Frankfurt am Main, Deutschland) gespeichert; PB hat mit Google Ireland Ltd. einen direkten AVV abgeschlossen. Die Administration erfolgt durch iPark-Media GmbH als technischen Dienstleister, die ihrerseits berechtigt ist, Unterauftragnehmer einzusetzen (vgl. Anlage 3). Im Falle der Unterbeauftragung sind zusätzlich die einschlägigen Bestimmungen der §§ 10, 11 zu beachten.

§ 3 – Weisungen

(1) Der Auftraggeber ist berechtigt und verpflichtet, dem Auftragnehmer hinsichtlich Art, Umfang, Verfahren und Zweck(en) der Verarbeitung der auftragsgegenständlichen Daten durch den Auftragnehmer jederzeit Weisungen zu erteilen. Die bei Auftragserteilung getroffenen Weisungen sind in Anlage 1 dokumentiert.

(2) Soweit durch eine Weisung des Auftraggebers die in diesem Auftrag getroffenen Vereinbarungen der Parteien geändert werden (z.B. im Hinblick auf die einzusetzenden Datenverarbeitungssysteme), kann der Auftragnehmer die Umsetzung dieser Weisung davon abhängig machen, dass der Auftraggeber die hierzu voraussichtlich erforderlichen Kosten vorab an den Auftragnehmer erstattet.

(3) Der Auftragnehmer wird zur Verarbeitung der auftragsgegenständlichen Daten nur solche Mittel der Datenverarbeitung einsetzen, die zur Durchführung und Erfüllung des Hauptvertrags geeignet und angemessen sind. Diese Mittel sind in der Anlage 1 dokumentiert.

(4) Der Auftragnehmer darf auftragsgegenständliche Daten ausschließlich verarbeiten, soweit dies zur Erfüllung des Hauptvertrags bzw. der dokumentierten Weisungen des Auftraggebers erforderlich ist. Dies gilt allerdings nicht, soweit das Recht der Europäischen Union oder das Recht des Mitgliedstaats der Europäischen Union, dessen Rechtsregime ein Verarbeitungsvorgang unterliegt, den Auftragnehmer zu einer weisungswidrigen Verarbeitung verpflichtet; der Auftragnehmer teilt dem Auftraggeber das Bestehen einer entsprechenden Verarbeitungspflicht jeweils unverzüglich in Textform mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

(5) Weisungen, die sich auf einen Regelungsgegenstand im Sinne von Art. 28 Abs. 3 S. 2 DSGVO beziehen, müssen in elektronischem Format (Art. 28 Abs. 9 DSGVO) erteilt werden; im Übrigen bleibt die formlose Erteilung zulässig. Mündliche Weisungen wird der Auftraggeber unverzüglich per E-Mail (Textform gem. § 126b BGB) bestätigen.

(6) Der Auftragnehmer dokumentiert sämtliche Weisungen des Auftraggebers.

(7) Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen maßgebliche Datenschutzbestimmungen oder wenn er diese aus sonstigen Gründen nicht einhalten kann.

(8) Soweit sich der Auftragnehmer nach Maßgabe von § 10 Unterauftragnehmern bedienen darf, ist ersterer verpflichtet, Weisungen des Auftraggebers jeweils unverzüglich an Unterauftragnehmer weiterzuleiten.

(9) Weisungen sollen gegenüber dem Empfangsberechtigten des Auftragnehmers erteilt werden. Empfangsberechtigter für Weisungen ist: datenschutz@promotionbasis.de. In dringenden Fällen darf der Auftraggeber auch anderen Beschäftigten des Auftragnehmers Weisungen erteilen, sofern der Empfangsberechtigte nicht erreichbar war.

§ 4 – Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer unterhält bei der Verarbeitung personenbezogener Daten im Rahmen seines Verantwortungsbereichs ein angemessenes Sicherheitsniveau gemäß Art. 28 Abs. 3 lit. c), Art. 32 DSGVO.

(2) Die erforderlichen TOM haben die Schutzziele der Vertraulichkeit, Integrität, Verfügbarkeit der auftragsgegenständlichen Daten sowie die Belastbarkeit der zur Verarbeitung eingesetzten Systeme zu umfassen. Die aktuell implementierten TOM sind in Anlage 2 beschrieben.

(3) Der Auftragnehmer darf TOM nach eigenem Ermessen ändern, soweit dadurch das vereinbarte oder von Gesetzes wegen erforderliche Schutzniveau nicht unterschritten wird.

(4) Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Einhaltung der Anforderungen des Art. 32 DSGVO innerhalb des Verantwortungsbereichs des Auftraggebers angemessen unterstützen.

§ 5 – Kontrollen

(1) Der Auftragnehmer räumt dem Auftraggeber bezüglich der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht (Inspektionsrecht) ein. Das Inspektionsrecht wird durch den Datenschutzbeauftragten des Auftraggebers oder einen von ihm benannten externen Sachverständigen ausgeübt.

(2) Das Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragnehmer obliegenden Pflichten in dessen Geschäftsbetrieb zu überprüfen. Der Nachweis kann neben Vor-Ort-Kontrollen auch durch geeignete Prüfberichte und Zertifizierungen sichergestellt werden.

(3) Sofern Vor-Ort-Kontrollen durchgeführt werden sollen, sind diese als Stichprobenkontrollen auszugestalten und grundsätzlich rechtzeitig, mindestens 10 Werktage im Voraus, anzumelden. Kontrollen sind auf maximal eine pro Kalenderjahr beschränkt, es sei denn, es besteht ein konkreter Anlass für eine weitere Kontrolle.

(4) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der anwendbaren Datenschutzbestimmungen jederzeit angemessen überzeugen kann.

(5) Soweit sich der Auftragnehmer nach Maßgabe von § 10 Unterauftragnehmern bedient, ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des jeweiligen Unterauftragnehmers zu erhalten.

§ 6 – Berichtigung, Löschung

(1) Der Auftragnehmer ist verpflichtet, auftragsgegenständliche Daten ausschließlich nach Maßgabe der Weisungen des Auftraggebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken.

(2) Der Auftragnehmer stellt dem Auftraggeber in der Nutzeroberfläche (iPM-Planungstool und/oder staffSign-Dashboard) Eingabemöglichkeiten bereit, um alle oder einzelne der aktuell beim Auftragnehmer gespeicherten auftragsgegenständlichen Daten zu löschen. Im Falle der vorübergehenden Nichtverfügbarkeit können Löschanweisungen jederzeit per E-Mail an datenschutz@promotionbasis.de erteilt werden.

(3) Der Auftragnehmer übernimmt keine Beratungs- oder Unterstützungsleistungen im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungs- oder Löschpflichten, denen der Auftraggeber unterliegt.

(4) Signierte Verträge und zugehörige Audit-Trails im staffSign-System unterliegen ggf. gesetzlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO). Der Auftragnehmer empfiehlt dem Auftraggeber, lokale Kopien aller signierten Dokumente zu erstellen.

§ 7 – Rechte Betroffener

(1) Soweit sich ein Betroffener zwecks Erfüllung seiner Rechte gemäß Art. 15–18, 20, 22 DSGVO unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer das Ersuchen unverzüglich in Textform an den Auftraggeber weiterleiten.

(2) Der Auftragnehmer wird den Auftraggeber angemessen dabei unterstützen, Anträge auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der Betroffenen zu erfüllen.

(3) Soweit der Auftraggeber ohne eigenes Verschulden nicht in der Lage ist, eine Anfrage eines Betroffenen zu beantworten, wird der Auftragnehmer auf Anfrage wirtschaftlich angemessene Anstrengungen unternehmen, um bei der Beantwortung einer solchen Anfrage zu unterstützen.

§ 8 – Störung der Verarbeitung, Verletzungen des Datenschutzes

(1) Der Auftragnehmer teilt dem Verantwortlichen jeweils unverzüglich — und in jedem Fall innerhalb von 24 Stunden nach Kenntniserlangung — alle festgestellten oder mutmaßlichen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten mit.

(2) Bei Verdacht auf eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO müssen die Angaben im Sinne von Art. 33 Abs. 3 DSGVO und alle sonstigen Informationen möglichst frühzeitig und vollständig mitgeteilt werden.

(3) Der Auftragnehmer trifft im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der betroffenen Daten sowie zur Minderung möglicher nachteiliger Folgen für betroffene Personen.

(4) Bei Eingriffen Dritter wird der Auftragnehmer die jeweiligen Dritten unverzüglich darüber informieren, dass die Verantwortlichkeit im Sinne des Art. 4 Abs. 7 DSGVO ausschließlich beim Auftraggeber liegt.

§ 9 – Sonstige Pflichten

(1) Der Auftragnehmer gewährleistet, dass alle zur Verarbeitung der auftragsgegenständlichen Daten befugten Personen einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Die Verpflichtung zur Gewährleistung der Vertraulichkeit gilt über die Beendigung dieses Vertrages hinaus.

(3) Datenschutzbeauftragter der Promotionbasis GmbH: Dr. Sebastian Kraska, IITR Datenschutz GmbH, Marienplatz 2, 80331 München. Kontakt: datenschutz@promotionbasis.de

(4) Der Auftragnehmer führt ein Verzeichnis über die im Auftrag des Auftraggebers durchgeführte Verarbeitung der auftragsgegenständlichen Daten gemäß Art. 30 Abs. 2 DSGVO.

(5) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(6) Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützen.

§ 10 – Unterauftragnehmer

(1) Dem Auftragnehmer ist gestattet, im Zusammenhang mit der Verarbeitung der auftragsgegenständlichen Daten Dienste weiterer Auftragnehmer im Sinne von Art. 28 DSGVO („Unterauftragnehmer") in Anspruch zu nehmen. Die aktuell eingesetzten Unterauftragnehmer sind in Anlage 3 aufgeführt. Der Auftraggeber erteilt mit Abschluss dieses AVV seine Zustimmung zum Einsatz der in Anlage 3 genannten Unterauftragnehmer.

(2) Der Auftragnehmer informiert den Auftraggeber in Textform über jede Absicht, Unterauftragnehmer hinzuzuziehen oder zu ersetzen. Der Auftraggeber kann derartigen Veränderungen bis zu zwei (2) Wochen nach Zugang der Mitteilung widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung als erteilt.

(3) Dem Auftragnehmer ist der Einsatz von Unterauftragnehmern nur unter der Bedingung gestattet, dass zwischen Auftrags- und Unterauftragnehmer ein schriftlicher Vertrag über die Verarbeitung personenbezogener Daten geschlossen wird, welcher dem Unterauftragnehmer dieselben Pflichten auferlegt wie diesem AVV.

(4) Ein zustimmungsbedürftiges Unterauftragsverhältnis liegt nicht vor, soweit der Auftragnehmer im Rahmen der Auftragsdurchführung unterstützende Nebenleistungen dritter Parteien in Anspruch nimmt, bei denen die Offenlegung personenbezogener Daten nicht zu befürchten ist.

§ 11 – Nutzung von Cloud-Anwendungen

(1) Der Auftragnehmer ist bei cloudbasierter Verarbeitung verpflichtet, dem Verantwortlichen die Standorte der Datenzentren zu benennen und nach Vertragsschluss eintretende Änderungen mitzuteilen sowie dem Verantwortlichen angemessenen Zugriff auf relevante Protokolle und Logdateien zu gewähren.

(2) Die Server-Infrastruktur wird ausschließlich innerhalb der EU/des EWR betrieben. Backend-Daten liegen auf Google Cloud Services (Frankfurt am Main, Deutschland). Änderungen des Serverstandorts werden dem Auftraggeber mindestens 4 Wochen im Voraus mitgeteilt.

§ 12 – Haftung im Innenverhältnis

(1) Für die Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Schäden durch Datenschutz-Verstöße i.S.v. Art. 82 DSGVO gelten die Haftungsregelungen aus den AGB der Promotionbasis GmbH (§9) in der jeweils aktuell geltenden Fassung entsprechend.

(2) Nimmt ein Betroffener den Auftragnehmer wegen eines von Auftragnehmer und Auftraggeber gemeinsam verursachten Datenschutz-Verstoßes in Anspruch, ist der Auftraggeber verpflichtet, den Auftragnehmer von diesem Anspruch zu dem Anteil freizustellen, der dem Verschuldensanteil des Auftraggebers entspricht.

(3) Wegen eines Datenschutz-Verstoßes durch einen vom Auftragnehmer beauftragten Unterauftragnehmer haftet der Auftragnehmer dem Auftraggeber nur nach Maßgabe der allgemeinen Haftungsregelungen der AGB, sofern PB ein Auswahlverschulden trifft.

(4) Soweit durch eine vom Auftraggeber verspätete oder unvollständige Pflichtmeldung gemäß § 9 Abs. 5 Verstöße oder Schäden entstehen, stellt der Auftraggeber den Auftragnehmer von entsprechenden Ansprüchen Dritter auf erstes Anfordern frei.

§ 13 – Laufzeit, Kündigung

(1) Die Dauer des AVV entspricht derjenigen des Hauptvertrags. Das Recht beider Parteien zur ordentlichen Kündigung dieses AVV ist ausgeschlossen; er kann nur außerordentlich gekündigt werden.

(2) Ein wichtiger Grund zur außerordentlichen Kündigung dieses AVV liegt insbesondere vor, wenn eine schwerwiegende und anhaltende Verletzung datenschutzrechtlicher Pflichten durch eine der Parteien vorliegt und diese trotz schriftlicher Abmahnung nicht innerhalb einer angemessenen Frist abgestellt wird.

(3) Ein wichtiger Grund zur außerordentlichen Kündigung durch den Auftraggeber liegt auch vor, wenn die Ablehnung eines bestimmten Unterauftragnehmers durch den Auftraggeber dazu führt, dass der Auftragnehmer wesentliche Pflichten gemäß dieses AVV nicht mehr erfüllen kann.

§ 14 – Abschluss der Verarbeitungsleistungen

(1) Der Auftragnehmer hat sämtliche in seinem Besitz befindlichen auftragsgegenständlichen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sobald die vereinbarten Verarbeitungsleistungen abgeschlossen sind oder der Hauptvertrag endet. Der Auftraggeber kann die Löschbestätigung in schriftlicher Form verlangen.

(2) Der Auftragnehmer bleibt berechtigt, ausschließlich dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienende Dokumentationen über den Abschluss der vereinbarten Verarbeitungsleistungen hinaus aufzubewahren.

§ 15 – Anlagen

Anlage 1 (Auftragsgegenstand und Verarbeitungstätigkeiten), Anlage 2 (Technische und organisatorische Maßnahmen) und Anlage 3 (Liste der Unterauftragnehmer) sind integraler Bestandteil dieses AVV.

§ 16 – Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus oder im Zusammenhang mit diesem AVV ist München (Sitz des Auftragnehmers), soweit der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(3) Dieser AVV gibt alle Abreden zwischen den Parteien im Zusammenhang mit dem Auftrag vollständig wieder. Mündliche Zusagen vor Abschluss dieses AVV sind rechtlich unverbindlich.

(4) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.

(5) Dieser AVV wird durch die elektronische Annahme der AGB der Promotionbasis GmbH im Rahmen der Kontoerstellung auf promotionbasis.de oder staffsign.de wirksam abgeschlossen (elektronische Form gemäß Art. 28 Abs. 9 DSGVO). Auf Anfrage ist eine gesonderte schriftliche Unterzeichnung möglich; wenden Sie sich hierfür an datenschutz@promotionbasis.de.

Anlage 1: Verarbeitungstätigkeiten

Diese Anlage enthält die nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben und ist integraler Bestandteil des AVV.

A. iPM-Planungstool

(gilt für alle Jobanbieter, die das iPM-Planungstool zur Personalplanung und Einsatzverwaltung nutzen)

Verarbeitungsvorgang: Speicherung, Abruf und Verarbeitung von Kandidaten-Profilen, Bewerbungen und Einsatzdaten

Zweck: Erbringung der iPM-Planungstool-Leistung für den Auftraggeber als Verantwortlichen

Datenkategorien: Name, Adresse, Geburtsdatum, Kontaktdaten (E-Mail, Telefon), Qualifikations- und Erfahrungsdaten (SetCard/Sedcard, u.a. Sprachen, Optik/Erscheinungsbild, Nationalität, Wunschvergütung), Profilbilder, hochgeladene Dokumente (z.B. Ausweise, Zertifikate), Bewerbungsunterlagen, Fragebogen-Antworten, Einsatzhistorie, Verfügbarkeiten, Schicht- und Zeiterfassungsdaten, Vertragsdaten des Auftraggebers mit Kandidaten

Betroffene Personen: Kandidaten (Bewerber, Promoter, freie Mitarbeiter), Mitarbeiter des Auftraggebers

Systeme/Speicherorte: iPM-Promotion-System (Backend-Daten: Google Cloud, Frankfurt am Main, Deutschland; Client-Dateien: HostEurope via iPark-Media GmbH, Straßburg, Frankreich/EWR)

Verarbeitungsmittel: Web-Applikation (pm.promotionbasis.de), REST-API, interne Datenbankserver

Weisungsgegenstand: Welche Daten gespeichert werden, wann gelöscht wird, Zugriffsberechtigungen

Verarbeitungsvorgänge:

  • Profilverwaltung: Erstellung, Änderung, Löschung von Kandidaten-Profilen auf Weisung des Auftraggebers
  • Bewerbungsmanagement: Entgegennahme, Speicherung, Weiterleitung von Bewerbungen an Auftraggeber
  • Einsatzplanung: Verwaltung von Einsatzdaten, Schichtplänen, Anwesenheitsdaten
  • Aktionsreporting: Erfassung, Speicherung und Weitergabe von Fragebogen-Antworten und Einsatzreportings
  • Datensicherung: Regelmäßige Backups aller auftragsgegenständlichen Daten
  • Support & Betrieb: Einsicht in kundenbezogene Daten bei Störungsbehebung, ausschließlich auf Weisung

B. staffSign — Digitale Vertragsunterzeichnung

(gilt für Jobanbieter auf promotionbasis.de sowie Nutzer von staffsign.de)

Verarbeitungsvorgang: Vertragserstellung, -versand, Signaturprozess, Audit-Trail-Verwaltung

Zweck: Erbringung der staffSign-Dienste für den Auftraggeber als Verantwortlichen

Datenkategorien: Name und E-Mail-Adresse der Vertragsparteien, Vertragsinhalt (PDF), Signatur-Metadaten (Zeitstempel, IP-Adresse, Geräteinformation), Audit-Trail-Daten, Zustellstatus und Signaturstatus, Webhook-Events

Besondere Datenkategorien (QES): Ggf. Ausweisdaten bei QES-Identifikation (nur bei befristeten Verträgen mit QES-Erfordernis)

Betroffene Personen: Arbeitnehmer, freie Mitarbeiter, Praktikanten, Mitarbeiter des Auftraggebers und sonstige Vertragspartner des Auftraggebers

Systeme/Speicherorte: staffSign-Backend (staffsign.de / pm.promotionbasis.de), Audit-Log-System (Server: Google Cloud, Rechenzentrum Frankfurt am Main, Deutschland), Signatur-Infrastruktur: Paperless GmbH

Verarbeitungsmittel: staffSign-Dashboard (staffsign.de), REST-API, MCP-Server, E-Mail-Versand, Webhook-Endpunkte

Verarbeitungsvorgänge:

  • Vertragserstellung und -speicherung: Erstellung von PDFs, Speicherung auf PB-Servern
  • E-Mail-Versand (Signatureinladung): Transaktionale E-Mails an Vertragsempfänger via iPark-Media GmbH (Mailjet SAS)
  • AES-Signatur: Fortgeschrittene elektronische Signatur für unbefristete Verträge via Paperless GmbH
  • QES-Signatur (inkl. Identifikation): Qualifizierte elektronische Signatur für befristete Verträge via Paperless GmbH
  • Audit-Trail: Unveränderliche Protokollierung aller Signaturereignisse
  • Webhook-Events: Echtzeit-Benachrichtigung des Auftraggebers bei Statusänderungen
  • Support & Incident: Einsicht in Vertragsdaten bei Störungsbehebung, ausschließlich auf Weisung

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

I. Vertraulichkeit

Zutrittskontrolle:

  • Kein physischer Zugang zu Server-Infrastruktur durch PB-Mitarbeiter (Serverstandort: Google Cloud, Rechenzentrum Frankfurt am Main; physischer Zugangsschutz nach Google Cloud-Sicherheitsstandards)
  • Büroräume mit Zugangskontrolle, dokumentierte Schlüsselvergabe
  • Gastregelung: Betriebsfremde Personen nur in Begleitung eines Mitarbeiters

Zugangskontrolle:

  • Passwortgeschützter Zugang zu allen Systemen (Mindestvorgaben: 12 Zeichen, Kombination aus Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert (keine Klartext-Passwörter)
  • Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Zugänge
  • API-Keys werden als nicht umkehrbarer Hash gespeichert; kein PB-Mitarbeiter hat Zugriff auf API-Key-Klartexte nach Ausstellung
  • Berechtigungskonzept: Prinzip der geringsten Berechtigung (Least Privilege)

Zugriffskontrolle:

  • Rollenbasiertes Zugriffsmanagement (RBAC) für alle Backend-Systeme
  • Protokollierung aller Datenzugriffe auf auftragsgegenständliche Daten
  • Regelmäßige Sicherheitsupdates für alle eingesetzten Systeme
  • IP-beschränkter Zugriff auf Produktionssysteme

Trennungskontrolle:

  • Mandantenfähige Architektur: Daten verschiedener Auftraggeber sind logisch getrennt
  • Entwicklung und Test ausschließlich mit Testdaten

II. Integrität

Weitergabekontrolle:

  • Alle Mitarbeiter mit Datenzugang sind auf das Datengeheimnis gem. Art. 32 Abs. 4 DSGVO unterwiesen
  • Datenschutzkonforme Löschung nach Auftragsbeendigung gemäß Google Cloud-Datenlöschstandards
  • Ausschließlich verschlüsselte Datenübertragung (TLS 1.2 minimum, TLS 1.3 bevorzugt)

Eingabekontrolle:

  • Protokollierung aller datenmodifizierenden Aktionen (Erstellung, Änderung, Löschung) mit Zeitstempel und Nutzer-ID
  • Audit-Trail für signierte Verträge ist unveränderlich (append-only)

III. Verfügbarkeit und Belastbarkeit

  • Tägliche automatisierte Backups aller Produktivdaten mit verschlüsselter Ablage
  • Backup-Retention: 30 Tage tägliche Backups, 12 Monate monatliche Backups
  • Monitoring aller relevanten Server und Dienste (24/7)
  • Redundante Netzwerkanbindung der Serverinfrastruktur
  • Definierte Eskalationskette für Störungsfälle
  • Angestrebte Verfügbarkeit: 99,9 % monatlich (für staffSign-Kernfunktionen)
  • DDoS-Schutz über Google Cloud Platform

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Jährliche interne Überprüfung und Aktualisierung der TOM
  • Incident-Response-Verfahren ist definiert und wird regelmäßig geübt
  • Datenschutz-Folgenabschätzungen werden für neue Verarbeitungstätigkeiten durchgeführt (Art. 35 DSGVO), soweit erforderlich
  • Mitarbeiter werden regelmäßig im Datenschutzrecht unterwiesen
  • Datenschutzbeauftragter ist in alle relevanten Prozesse eingebunden
  • Auftragskontrolle: Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag sind dokumentiert

Anlage 3: Liste der Unterauftragnehmer

Diese Liste ist integraler Bestandteil des AVV. Änderungen werden gemäß § 10 Abs. 2 mitgeteilt.

iPark-Media GmbH | Technischer Betrieb, Entwicklung und Administration (DevOps, technischer Support); administriert Google Cloud im Auftrag von PB; ist berechtigt, ihrerseits Unterauftragnehmer einzusetzen | Springe, Deutschland

iPark-Media GmbH ist technischer Dienstleister und Entwicklungspartner der Promotionbasis GmbH. Zwischen PB und iPark-Media GmbH besteht ein Auftragsverarbeitungsvertrag. iPark-Media GmbH ist berechtigt, ihrerseits Unterauftragnehmer einzusetzen — insbesondere: Mailjet SAS (transaktionale E-Mails), Cloudflare Ireland Ltd. (Website-Hosting/CDN für staffsign.de), Sparkpost (E-Mail-Dienste iPM), HostEurope (Client-Infrastruktur, Datadock Straßburg, Frankreich/EWR).

Google Ireland Ltd. (Google Cloud) | Speicherung von Backend-Daten (Datenbank, API) für PB-Plattform und staffSign-Dienste — direkter Auftragsverarbeiter von PB | Rechenzentrum Frankfurt am Main, Deutschland

PB hat mit Google Ireland Ltd. einen AVV gemäß Art. 28 DSGVO abgeschlossen (Google Cloud Data Processing Addendum). iPark-Media GmbH administriert die Google Cloud-Infrastruktur im Auftrag von PB. Serverstandort ausschließlich in Deutschland (Frankfurt am Main); kein Drittlandtransfer.

Paperless GmbH | QES- und AES-Signatur-Infrastruktur, Signaturzertifikate; für QES-Verträge: Abwicklung des Identifikationsprozesses über zugelassene Vertrauensdiensteanbieter (eIDAS-akkreditiert); ausschließlich für Verarbeitungsszenario B (staffSign) | Große Friedberger Str. 13-17, 60313 Frankfurt am Main, Deutschland

Paperless GmbH agiert als Unterauftragnehmer (Unterauftragsverarbeiter gem. Art. 28 Abs. 4 DSGVO) von PB im Rahmen der staffSign-AES/QES-Dienste. PB hat mit Paperless GmbH einen AVV gemäß Art. 28 DSGVO abgeschlossen.

Hinweis: staffSign ist kein Unterauftragnehmer. staffSign (staffsign.de) ist ein Produkt der Promotionbasis GmbH — beide sind dieselbe juristische Person.

Stand: 28.05.2026
Bei Fragen zu diesem AVV: datenschutz@promotionbasis.de
Verantwortlich: Promotionbasis GmbH, Datenschutzbeauftragter: Dr. Sebastian Kraska, IITR Datenschutz GmbH