Datenschutz
Vertragspartner: Auftraggeber (Unternehmen, das den CyberRisikoCheck beauftragt) und Auftragnehmer (COOZINHA UG (haftungsbeschränkt), Sonnenallee 120, 12045 Berlin).
1.1 Gegenstand ist die Durchführung des CyberRisikoChecks nach DIN SPEC 27076 und die damit verbundene Verarbeitung personenbezogener Daten.
1.2 Die Vereinbarung gilt für die gesamte Dauer des Beratungs- und Prüfprozesses bis zur endgültigen Ablieferung des Abschlussberichts und darüber hinaus für die gesetzlich vorgeschriebenen Aufbewahrungsfristen.
2.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:
2.2 Nach Abschluss des Projekts werden alle Antworten auf die Fragen des CyberRisikoChecks sowie die daraus resultierenden Handlungsempfehlungen ausschließlich anonymisiert in der Software des BSI gespeichert.
2.3 Eventuell für die Durchführung notwendige oder sinnvolle Notizen außerhalb dieser Software werden unverzüglich nach Abschluss des Audits vollständig gelöscht.
2.4 Erkenntnisse aus dem Check werden – sofern der Auftraggeber Interesse an einem Angebot zu empfohlenen Maßnahmen bekundet – ausschließlich im Rahmen eines üblichen Leistungsangebotsprozesses verarbeitet.
3.1 Betroffene Personen sind Mitarbeitende und verantwortliche Stelle des Auftraggebers.
3.2 Verarbeitete Datenkategorien umfassen u. a.:
Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung für Vertragszwecke) sowie – soweit erforderlich – Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen).
5.1 Der Auftraggeber bleibt verantwortlich für den rechtmäßigen Ursprung der Daten und erteilt alle Verarbeitungshinweise schriftlich.
5.2 Alle weiteren Mitwirkungspflichten richten sich nach § 3 der AGB (Mitwirkungspflichten des Auftraggebers).
Alle beim Auftragnehmer mit der Verarbeitung befassten Personen sind auf Vertraulichkeit verpflichtet und zur Einhaltung der DSGVO geschult.
8.1 Der Auftragnehmer darf nur mit vorheriger schriftlicher Zustimmung des Auftraggebers Unterauftragnehmer einsetzen.
8.2 Anforderungen an Unterauftragnehmer: gleichwertige TOM und vertragliche Regelungen wie zwischen Auftraggeber und Auftragnehmer.
Der Auftragnehmer unterstützt den Auftraggeber bei Anfragen zur Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung gemäß Art. 15–22 DSGVO in angemessenem Umfang.
10.1 Nach Abschluss des Auftrags und Ablauf gesetzlicher Aufbewahrungsfristen werden alle personenbezogenen Daten gelöscht oder – soweit erforderlich – dem Auftraggeber zurückgegeben.
10.2 Notizen, die nicht in der BSI-Software gespeichert wurden, werden unverzüglich nach Abschluss der Prüfung gelöscht.
10.3 Erkenntnisse aus dem Check werden nur im Rahmen eines üblichen Leistungsangebotsprozesses verarbeitet, wenn der Auftraggeber ausdrücklich Interesse an empfohlenen Maßnahmen bekundet.
Der Auftragnehmer dokumentiert sämtliche Prozessschritte und TOM und stellt diese dem Auftraggeber bzw. Aufsichtsbehörden auf Verlangen zur Verfügung.
Die Haftung richtet sich nach den Regelungen in § 8 der AGB (Haftung und Versicherung) sowie den ergänzenden Vorgaben des Art. 82 DSGVO.
13.1 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
13.2 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
13.3 Gerichtsstand ist – soweit zulässig – Berlin; anzuwendendes Recht ist deutsches Datenschutzrecht und DSGVO.
