Anhang I - IV
ANHANG I
Liste der Parteien
Verantwortliche(r): [Name und Kontaktdaten des/der Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten des Verantwortlichen]
1. Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Unterschrift und Beitrittsdatum: …
2.
…
Auftragsverarbeiter: [Name und Kontaktdaten des/der Auftragsverarbeiter/s und gegebenenfalls des Datenschutzbeauftragten des Auftragsverarbeiters]
1. Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Unterschrift und Beitrittsdatum: …
2.
…
ANHANG II
Beschreibung der Verarbeitung
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden
…
Kategorien personenbezogener Daten, die verarbeitet werden
…
Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
…
Art der Verarbeitung
…
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
…
Dauer der Verarbeitung
…
…
Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
ANHANG III
Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten
ERLÄUTERUNG:
Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben werden; eine allgemeine Beschreibung ist nicht ausreichend.
Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen Beispiele für mögliche Maßnahmen:
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
Maßnahmen zum Schutz der Daten während der Übermittlung
Maßnahmen zum Schutz der Daten während der Speicherung
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Maßnahmen zur Gewährleistung der Datenminimierung
Maßnahmen zur Gewährleistung der Datenqualität
Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.
Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss
ANHANG IV
Liste der Unterauftragsverarbeiter
ERLÄUTERUNG:
Dieser Anhang muss im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 7.7 Buchstabe a, Option 1).
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
1. Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): …
2. …