DPA - Datenverarbeitungsvereinbarung

Allgemeine Bestimmungen

Art. 1 - Prämissen
1.01Als integrierende Teile des vorliegenden Vertrags einigen sich CORETECH und der KUNDE auf die folgenden tatsächlichen Prämissen:
(a) wie im Dienstvertrag angegeben, stellt CORETECH IT-Dienstleistungen wie dort beschrieben bereit (IaaS, SaaS, damit verbundene Wartungsdienstleistungen), die die Notwendigkeit beinhalten, potenziell auch auf die Daten des KUNDEN zuzugreifen, als technische Voraussetzung, um die Dienstleistungen zu erbringen oder die entsprechende Unterstützung zu leisten;
(b) dies hat daher zur Folge, dass CORETECH Verarbeitungen personenbezogener Daten durchführt, die vom KUNDEN über die bereitgestellten Dienstleistungen verwaltet werden, wobei diese Verarbeitungen ausschließlich im Auftrag des letzteren durchgeführt werden;
(c) die personenbezogenen Daten, die vom KUNDEN über die genannten Dienstleistungen verwaltet werden, können von jeder Art sein, gewöhnlich, besonders oder auch Straftaten oder Straftaten betreffend, da nur der KUNDE entscheidet, wie die Dienstleistungen zu nutzen und daher welche personenbezogenen Daten einzugeben und welche Verarbeitungen durchzuführen sind, wobei sich CORETECH darauf beschränkt, nur die IT-Dienstleistungen bereitzustellen;
(d) der KUNDE kann darüber hinaus die Verarbeitung personenbezogener Daten durchführen, indem er die Zwecke und Mittel der Verarbeitung entscheidet, oder er kann seinerseits die Daten im Auftrag eines anderen Subjekts verarbeiten, von dem er Anweisungen über die Verarbeitung dieser personenbezogenen Daten erhält;
(e) der KUNDE kann daher sowohl direkt ein Verantwortlicher (oder Mitverantwortlicher) der Verarbeitung sein oder ein Verantwortlicher oder Sub-Verantwortlicher der Verarbeitung, je nach Art der Dienstleistung, die der KUNDE seinerseits Dritten erbringt;
(f) angesichts dieser Prämissen ist es notwendig, die Modalitäten zu regeln, mit denen CORETECH die Verarbeitungen personenbezogener Daten im Auftrag des KUNDEN verwaltet, um sicherzustellen, dass die Verarbeitung die Datenschutzvorschriften einhält und den Schutz der Rechte und Freiheiten der Betroffenen gewährleistet;
(g) der vorliegende Vertrag beabsichtigt, die Pflichten und Rechte zu regeln, die den Parteien, CORETECH und dem KUNDEN, in Bezug auf die Einhaltung der von der Datenschutzgesetzgebung vorgesehenen Pflichten zustehen, insbesondere die Verordnung (EU) 2016/679 (fortan DSGVO) und den Datenschutz-Kodex gemäß D.lgs. 30.06.2003 Nr. 196, geändert durch D.lgs. 10.08.2018 Nr. 101 und etwaige nachfolgende Änderungen oder Ergänzungen sowie die daraus resultierende regulatorische Disziplin;
(h) CORETECH hat technische und organisatorische Maßnahmen eingeführt, um sicherzustellen, dass die ihren Kunden angebotenen Dienstleistungen einen angemessenen Schutz haben, gemäß Marktstandards, um einen effizienten Schutz der Rechte und Freiheiten der Betroffenen in Bezug auf ihre personenbezogenen Daten zu gewährleisten.
1.02 Der vorliegende Vertrag muss als integraler Bestandteil des CORETECH-Dienstleistungsvertrags verstanden werden, der die Regelung der daraus resultierenden Pflichten gemäß Art. 28 DSGVO zum Gegenstand hat, wobei sie zwischen CORETECH und dem KUNDEN nach dem Prinzip der geteilten Verantwortung verteilt werden, wie im Folgenden präzisiert.

Art. 2 - Definitionen
2.01 Zum Zwecke der Anwendung und Auslegung des vorliegenden Vertrags müssen die verwendeten Begriffe und Ausdrücke wie folgt verstanden werden:
(a) Es wird auf die Definitionen verwiesen, die im zwischen CORETECH und dem KUNDEN geschlossenen Dienstvertrag angegeben wurden;
(b) Es wird ferner auf die regulatorischen Definitionen verwiesen, die von der Datenschutzdisziplin vorgesehen sind, einschließlich in erster Linie dessen, was in Art. 4 § 1 DSGVO festgelegt ist, sowie dessen, was durch die Anwendungspraxis konsolidiert wurde, die von den zuständigen europäischen Organen in dieser Angelegenheit und der italienischen Datenschutzbehörde vorgeschlagen wurde, zusätzlich zur relevanten europäischen und italienischen Rechtsprechung;
(c) Per comodità espositiva si considera “responsabile del trattamento” colui che tratta di dati per conto di un titolare del trattamento, mentre si considera “sub-responsabile” colui che tratta dati per conto di un responsabile del trattamento o un altro sub-responsabile del trattamento;
(d) Im Laufe des vorliegenden Vertrags wird CORETECH zur einfachen Erleichterung der Darstellung als Verantwortlicher für die Verarbeitung bezeichnet, auch falls sie als Sub-Verantwortlicher qualifiziert werden kann in Bezug auf die Rolle, die der KUNDE einnimmt.

Art. 3 - Ernennung von CORETECH als Verantwortlicher für die Verarbeitung
3.01 Der KUNDE ernennt CORETECH zum Verantwortlichen für die Verarbeitung personenbezogener Daten, die über die IT-Dienstleistungen verarbeitet werden, Gegenstand des mit der zweiten geschlossenen Liefervertrags, und autorisiert letztere zur Verarbeitung im Auftrag des ersten der entsprechenden personenbezogenen Daten und nur insoweit als dies für die Erbringung der IT-Dienstleistungen selbst notwendig ist, im Einklang mit den vertraglichen Lieferbedingungen und gemäß dem im vorliegenden Vertrag Festgelegten.
3.02 In Bezug auf die Ernennung wird vereinbart, dass:
(a) Die Zwecke der Verarbeitung personenbezogener Daten, die vom KUNDEN übermittelt werden, sind ausschließlich die Erbringung der IT-Dienstleistungen gemäß dem vorherigen Absatz und werden im Auftrag des KUNDEN von CORETECH als Verantwortlicher für die Verarbeitung durchgeführt, gemäß den Angaben des vorliegenden Vertrags oder auch auf spezifische schriftliche Anweisung des letzteren, immer vorausgesetzt, dass sie mit der Datenschutzdisziplin übereinstimmt und die vertraglichen Bedingungen des Dienstes einhält;
(b) Nell’ambito dei trattamenti consentiti al responsabile del trattamento di cui alla lettera precedente, è compresa anche l’attività di assistenza tecnica, l’aggiornamento e la manutenzione dei sistemi informatici richiesta dal CLIENTE, se del caso anche in modalità “on premise”, e possono consistere in tutte le relative operazioni di supporto e quindi a titolo esemplificativo: - Datenmigrationsaktivitäten, die auf die Installation und den Test von Software oder IT-Dienstleistungen abzielen; - Unterstützungs- und Aktualisierungsdienstleistungen, die (auch gelegentlich) den Remote-Zugang zu den Daten des KUNDEN beinhalten (z.B. über Remote-Zugangstools, z.B. TeamViewer, VPN usw.); - Datenanalysen (DB, Bildschirme, Datenexporte usw.) des KUNDEN, um technische Probleme zu überprüfen und Wartungs- oder technische Supportaktivitäten durchzuführen;
(c) Der Verantwortliche für die Verarbeitung kann die Verarbeitungen in automatisierter und/oder papierbasierter Weise durchführen, immer insoweit als dies für die oben genannten Zwecke notwendig ist;
(d) Der KUNDE entscheidet über die Art der personenbezogenen Daten, die Gegenstand der Verarbeitung über die vom Verantwortlichen für die Verarbeitung bereitgestellten IT-Dienstleistungen sind, die gewöhnliche personenbezogene Daten, besondere Kategorien oder Straftaten betreffende sein können;
(e) Die Kategorie der Betroffenen bezieht sich auf natürliche Personen wie Kunden, Lieferanten oder Mitarbeiter des KUNDEN, abhängig von der Art der Aktivitäten oder Dienstleistungen, die letzterer seinerseits Dritten anbietet, direkt oder indirekt;
(f) Die Dauer der Verarbeitung ist auf die Dauer des Dienstes begrenzt, wie in den allgemeinen Lieferbedingungen beschrieben, und am Ende werden die personenbezogenen Daten gemäß dem vertraglich Festgelegten gelöscht, vorbehaltlich einer anderen schriftlichen Anweisung des KUNDEN, immer vorausgesetzt, dass sie mit der Datenschutzdisziplin übereinstimmt und die vertraglichen Bedingungen des Dienstes einhält. Es bleibt die in Art. 28 § 3 Buchst. g) DSGVO vorgesehene Hypothese gewahrt, bezüglich des Falls, in dem das Recht der Europäischen Union oder das italienische Recht die Konservierung der Daten vorsieht;
g) Der KUNDE erklärt und garantiert, alle notwendigen Befugnisse zu haben, um die Ernennung des Verantwortlichen in Bezug auf die personenbezogenen Daten durchzuführen, die letzterer im Auftrag des KUNDEN verarbeitet, im Einklang mit der Datenschutzgesetzgebung.

Art. 4 - Position des KUNDEN in Bezug auf die personenbezogenen Daten, die Gegenstand der Verarbeitung sind
4.01 Die Parteien bestätigen sich gegenseitig, dass der KUNDE verschiedene Positionen in Bezug auf die Datenschutzdisziplin einnehmen kann, wobei er Verantwortlicher (oder Mitverantwortlicher) der Verarbeitung für die personenbezogenen Daten sein kann, für die er die Zwecke und Mittel der Verarbeitung entscheidet, oder falls er die personenbezogenen Daten auf Anweisung und im Auftrag anderer verarbeitet, Verantwortlicher oder Sub-Verantwortlicher der Verarbeitung, je nach Fall.
4.02 Falls der KUNDE die Verarbeitungsoperationen im Auftrag eines Verantwortlichen oder eines Verantwortlichen für die Verarbeitung oder eines Sub-Verantwortlichen für die Verarbeitung durchführt, garantiert der KUNDE, dass der vorliegende Vertrag mit den erhaltenen Anweisungen und den übertragenen Befugnissen übereinstimmt, nachdem er die Regelmäßigkeit seiner Position vor der Unterzeichnung der CORETECH-Lieferbedingungen und des vorliegenden Vertrags überprüft hat.
4.03 Im im vorherigen Absatz vorgesehenen Fall übernimmt CORETECH die Rolle des Verantwortlichen für die Verarbeitung oder des Sub-Verantwortlichen, je nach der Rolle, die der KUNDE einnimmt
4.04 Bei der Unterzeichnung des Vertrags über die von CORETECH angebotenen Dienstleistungen muss der KUNDE im Bestellformular seine Rolle in Bezug auf die personenbezogenen Daten angeben, die mit den bestellten Dienstleistungen verarbeitet werden, und bei Fehlen einer Angabe wird angenommen, dass er die Rolle des Verantwortlichen für die Verarbeitung annimmt.
4.05 Falls sich im Laufe des Liefervertrags die Rolle des KUNDEN ändert, ist dieser verpflichtet, dies dem Verantwortlichen für die Verarbeitung mit den dort vorgesehenen Modalitäten mitzuteilen.
4.06 CORETECH wird das Register des Verantwortlichen für die Verarbeitung gemäß Art. 30 Abs. 2 DSGVO führen, wobei die Rolle des KUNDEN in Bezug auf die personenbezogenen Daten, die Gegenstand des Liefervertrags sind, gemäß dem vom letzteren wie oben angegeben Erklärten angegeben wird.

Art. 5 - Anweisungen des KUNDEN und Grenzen
5.01 Im Rahmen der Ausführung des vorliegenden Vertrags wird sich CORETECH als Verantwortlicher für die Verarbeitung an die Anweisungen des KUNDEN anpassen, in Bezug auf die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, es sei denn, die mit den Anweisungen angeforderten Operationen sind nicht im vorliegenden Vertrag vorgesehen oder beinhalten Änderungen an IT- und organisatorischen Ressourcen, die nicht im Dienstleistungsvertrag enthalten sind.
5.02 In letzterer Hypothese wird CORETECH die Durchführbarkeit der Anweisungen bewerten und, falls durchführbar, die genannten Änderungen und entsprechenden Kosten mit dem KUNDEN vereinbaren. Bei Fehlen einer Vereinbarung werden die Anweisungen nicht ausgeführt, wobei das im vorliegenden Vertrag Geregelte gilt.
5.03Es bleibt verstanden, dass die Anweisungen des KUNDEN, auch wenn sie in den vorliegenden Vertrag fallen, und jedenfalls die als Verantwortlicher für die Verarbeitung durchgeführten Verarbeitungen ausgeführt werden, sofern sie nach Ermessen von CORETECH keine Verletzung der Datenschutzgesetzgebung oder einer von einer öffentlichen Behörde auferlegten Anordnung beinhalten.
5.04 In letzterem Fall wird CORETECH dem KUNDEN ohne Verzug eine begründete schriftliche Mitteilung senden, vorbehaltlich der gesetzlichen Verbote.

Art. 6 - Ernennung anderer Sub-Verantwortlicher durch CORETECH
6.01 Der KUNDE autorisiert allgemein CORETECH als Verantwortlicher für die Verarbeitung, Sub-Verantwortliche für die Verarbeitung zur Ausübung eines Teils seiner Aufgaben zu ernennen, vorausgesetzt, dass dies im Einklang mit dem Liefervertrag und dem vorliegenden Vertrag steht.
6.02 Die genannte Autorisierung beinhaltet die Befugnis, neue Sub-Verantwortliche hinzuzufügen oder sie zu ersetzen, und die entsprechenden Vertragsvereinbarungen zu ändern.
6.03Die erteilte allgemeine Autorisierung ist wie folgt geregelt:
(a)Das ernannte Subjekt muss angemessene Garantien für Angemessenheit vorlegen, sowohl in Bezug auf die Sicherheit der Verarbeitungen als auch in Bezug auf den Schutz der Rechte und Freiheiten der Betroffenen und jedenfalls respektierend der Branchenmarktstandards;
(b)Die von dem Sub-Verantwortlichen durchgeführten Verarbeitungen personenbezogener Daten werden auf das beschränkt, was für die Bereitstellung von Subunternehmerdienstleistungen notwendig ist und insoweit relevant und nützlich für die Ausübung eines Teils der Dienstleistungen, die Gegenstand des CORETECH-Liefervertrags sind;
(c)Die Ernennung des Sub-Verantwortlichen wird schriftlich erfolgen, wobei Schutzpflichten auferlegt werden, die nicht geringer sind als die im vorliegenden Vertrag und in Art. 28 DSGVO vorgesehenen;
(d)Il CLIENTE sarà preventivamente avvisato per iscritto della nomina entro un termine di 30 (trenta) giorni, il quale entro il termine suddetto potrà opporsi per iscritto. Nel caso di opposizione del CLIENTE, CORETECH potrà recedere dal contratto di fornitura con preavviso di 30 giorni, senza dar corso alla nomina del sub-responsabile in relazione ai servizi oggetto di fornitura con il CLIENTE;
(e)L’elenco dei sub-responsabili nominati da CORETECH si trova nell’area riservata del CLIENTE, nell’area “comunicazioni contrattuali”.

Art. 7 - Beschränkungen bei der Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR)
7.01 Immer im Einklang mit der Datenschutzgesetzgebung kann der Verantwortliche die personenbezogenen Daten des KUNDEN, falls technisch möglich über Verschlüsselungssysteme gemäß international anerkannten technischen Standards, auch außerhalb des Europäischen Wirtschaftsraums (EWR) oder eines Landes, das nicht von einer Angemessenheitsentscheidung der Europäischen Kommission gemäß Art. 45 DSGVO profitiert, übertragen, ausschließlich falls er einen Sub-Verantwortlichen gemäß dem vorherigen Art. 6 ernennt und eine der folgenden Bedingungen einhält:
(a)die Standardvertragsklauseln stipuliert werden, die in der Entscheidung der Europäischen Kommission 2010/87/UE vom 5. Februar 2010 vorgesehen sind, mit dem von CORETECH ernannten Sub-Verantwortlichen für die Verarbeitung, die hiermit vom KUNDEN autorisiert wird, sie zu unterzeichnen;
(b)oppure nel caso il sub-responsabile sia situato negli Stati Uniti, anche tramite applicazione del “Privacy Shield”, www.privacyshield.gov, gemäß der Entscheidung der Europäischen Kommission 2016/1250/UE vom 12. Juli 2016;
(c)oder, falls der Sub-Verantwortliche für die Verarbeitung Teil einer Unternehmensgruppe in Bezug auf konzerninterne Übertragungen ist, letzterer die Genehmigung der BCR (verbindliche Unternehmensregeln) erhalten hat.
7.02 Der Verantwortliche für die Verarbeitung stellt dem KUNDEN die geeigneten Informationen und Dokumentation in Bezug auf das oben Vorgesehene zur Verfügung.
7.03 Im Bestellformular kann der KUNDE wählen, die vorliegende Klausel nicht anzuwenden, indem er die entsprechende Option ankreuzt, und in diesem Fall werden die personenbezogenen Daten von CORETECH ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet.
7.04 Es bleibt eine andere Vereinbarung zwischen den Parteien gewahrt.

Art. 8 - Geteilte Verantwortung und Pflicht zur gegenseitigen Zusammenarbeit im Einklang mit dem Datenschutz
8.01 Die Parteien bestätigen sich gegenseitig, dass die Effizienz, Sicherheit und Konformität mit der Datenschutzgesetzgebung der von CORETECH bereitgestellten Cloud-Dienstleistungen Gegenstand einer geteilten Verantwortung zwischen letzterer und dem KUNDEN sind, die beide Parteien verpflichtet, sich mit der gebotenen Sorgfalt für die Verwaltung des IT-Bereichs ihrer Zuständigkeit und unter ihrer eigenen Verantwortung zu engagieren.
8.02 Beispielhaft, um das Konzept der geteilten Verantwortung zu verstehen, ist es auf der Webseite zusammengefasst gdpr.php, wovon der entsprechende PDF-Datei extrahiert wurde, die den Parteien übermittelt wurde
sha256:5c548cea59adc7229b8b3e9d7
c85a63b13ae7fc998562dbcb84ce58c7199bbf6) la ripartizione di compiti con il CLIENTE, relativi ai servizi offerti da CORETECH. I contenuti della suddetta pagina potranno essere aggiornati nel tempo in relazione allo sviluppo tecnologico dei servizi offerti.
8.03 Jede der Parteien verpflichtet sich darüber hinaus, ihre eigenen Pflichten einzuhalten, die aus der Datenschutzdisziplin resultieren, und nach Treu und Glauben im Rahmen der Anwendung des vorliegenden Vertrags zusammenzuarbeiten, um die Rechte und Freiheiten der Betroffenen zu gewährleisten.

Art. 9 - Kommunikationsmodalitäten zwischen den Parteien
9.01 Die Kommunikationsmodalität erfolgt mit den gleichen Formen, die in den allgemeinen Lieferbedingungen vorgesehen sind.

Art. 10 - Anwendbares Recht, anwendbare Sprache, Streitigkeiten und ausschließlicher Gerichtsstand
10.01 In Bezug auf das anwendbare Recht, die anwendbare Sprache und den anwendbaren Gerichtsstand wird auf die allgemeinen Lieferbedingungen verwiesen.

Sicherheitsmaßnahmen

Art. 11 - Angemessene Sicherheitsmaßnahmen des Verantwortlichen für die Verarbeitung
11.01 CORETECH als Verantwortlicher für die Verarbeitung verpflichtet sich im Rahmen der im vorliegenden Vertrag vorgesehenen Verarbeitungen, bezüglich der Bereitstellung der oben beschriebenen IT-Dienstleistungen, angemessene technische und organisatorische Maßnahmen einzuführen, gemäß Marktstandards, um den Schutz der Rechtmäßigkeit der Verarbeitungen personenbezogener Daten, ihrer Vertraulichkeit, Integrität, Verfügbarkeit und der Resilienz der bereitgestellten Dienstleistungen zu ermöglichen.
11.02CORETECH erklärt, einen Informationssicherheits- und Datenschutzkonformitätsmanagementplan vorbereitet zu haben, in dem die Schutzmaßnahmen zusammengefasst sind, um eine Verwaltung ihrer Dienstleistungen im Einklang mit dem vorherigen Absatz zu realisieren.
11.03 Eine Zusammenfassung der eingeführten Schutzmaßnahmen ist in dem technischen Datenblatt A) enthalten, das dem vorliegenden Vertrag beigefügt ist.
11.04 CORETECH kann die Schutzmaßnahmen aktualisieren, um die Sicherheitslevels der Dienstleistungen aufrechtzuerhalten oder zu erhöhen, und hierfür findet der Dienstleistungsvertrag über die operativen Modalitäten Anwendung.
11.05 In jedem Fall bleibt verstanden, dass CORETECH, um die ihr mit dem vorliegenden Vertrag anvertrauten personenbezogenen Daten zu schützen, alle Maßnahmen, auch außergewöhnliche, ergreifen kann, die im Liefervertrag vorgesehen sind, einschließlich der Suspension der Dienstleistungen.
11.06 Falls der KUNDE die Einführung zusätzlicher technischer und organisatorischer Maßnahmen anfordert, behält sich CORETECH vor, die Durchführbarkeit der Anfrage zu überprüfen und gegebenenfalls die Modalitäten und entsprechenden Kosten zu vereinbaren.
11.07 Der KUNDE hat vor der Annahme des vorliegenden Vertrags die oben genannten Sicherheitsmaßnahmen überprüft und sie für geeignet für den Bereich der von ihm durchgeführten Datenverarbeitung befunden.

Art. 12 - Überprüfungen und Kontrollen
12.01 Der Verantwortliche für die Verarbeitung unterzieht sein Informationsmanagementsystem und Datenschutzkonformitätsplan periodischen Audits, von denen er einen schriftlichen Bericht erstellt. Falls als opportun erachtet, wird derselbe auch Audits von Dritten gemäß internationalen Standards und Best Practices durchführen.
12.02 Um die Erfüllungen des vorliegenden Vertrags nachzuweisen, kann der Verantwortliche für die Verarbeitung dem KUNDEN auch die Dokumentation des vorherigen Absatzes bei seiner Niederlassung vorlegen, ohne Kopieextraktion, und die Überprüfung und Ergebnisse werden protokolliert.
12.03 Es bleibt die Befugnis des KUNDEN gewahrt, auf eigene Kosten Audits von Dritten durchzuführen, um die Erfüllungen des vorliegenden Vertrags zu überprüfen, durch eigenes spezialisiertes Personal oder Fachleute von nachgewiesener Erfahrung, in jedem Fall schriftlich an Vertraulichkeitsverpflichtungen gebunden. CORETECH kann der Ernennung von Fachleuten widersprechen, die in Interessenkonflikt stehen, nicht ausreichend qualifiziert oder nicht unabhängig sind, und in diesem Fall muss der KUNDE einen anderen Nominativen vorschlagen oder das Audit direkt durchführen. Der Audit-Bericht wird dem Verantwortlichen für das Verfahren kostenlos zur Verfügung gestellt.
12.04 Die Modalitäten der Durchführung des Audits des vorherigen Punkts werden von den Parteien vereinbart, und CORETECH wird die Stundenkosten seines Personals mitteilen, das für die Assistenz zuständig ist, jedenfalls nicht geringer als die Stundengebühr für technische Unterstützung.
12.05 Die Überprüfungsaktivitäten, die eventuelle von CORETECH ernannte Sub-Verantwortliche betreffen, werden gemäß den mit diesen vereinbarten Modalitäten durchgeführt, im Einklang mit ihren Datenschutzkonformitätspolitiken.

Art. 13 - Sicherheitsmaßnahmen des KUNDEN

13.01 Der KUNDE ist sich bewusst, dass die Nutzung und Sicherheit der von CORETECH erworbenen Dienstleistungen eine geeignete Konfiguration der Dienstleistungen erfordert, die autonom vom KUNDEN gemäß den allgemeinen Lieferbedingungen entschieden wird.
13.02 Der KUNDE verpflichtet sich, soweit in seiner Zuständigkeit, die genannten Dienstleistungen so zu konfigurieren, dass ein angemessenes Schutzniveau in Bezug auf seinen Bereich der Verarbeitung personenbezogener Daten im Einklang mit der Datenschutzgesetzgebung gewährleistet wird.
13.03 In jedem Fall wird der KUNDE CORETECH umgehend informieren, falls er Sicherheitsverletzungen der erworbenen Dienstleistungen vermutet oder feststellt, wobei er geeignete Dokumentation dazu liefert.

Art. 14 - Produkte von Dritten
4.01 Es bleibt zwischen den Parteien verstanden, dass falls der KUNDE auf den Dienstleistungen von CORETECH Komponenten oder Dienstleistungen von Dritten verwendet, letztere nicht für deren Verwaltung verantwortlich ist, auch in Bezug auf die Schutzmaßnahmen für die Konformität mit der Datenschutzgesetzgebung.

Art. 15 - Verletzungen personenbezogener Daten (Data Breach)
15.01 Falls CORETECH Kenntnis von einem Ereignis erlangt, das zu einer Verletzung personenbezogener Daten gemäß dem vorliegenden Vertrag führt oder führen kann, wird sie den KUNDEN so schnell wie möglich informieren, mit den im Unterstützungsvertrag vorgesehenen Modalitäten, wobei sie die ihr zur Verfügung stehenden Informationen überträgt.
In jedem Fall wird CORETECH dem KUNDEN ohne Verzug und soweit vernünftigerweise möglich einen schriftlichen Bericht senden, der die möglichen verursachten Schäden und die Ursachen beschreibt, falls bekannt, die ergriffenen Schutzmaßnahmen, um potenzielle Risiken zu vermeiden oder zu mildern, und dem KUNDEN geeignete Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten vorschlägt. Letzterer wird jedenfalls immer konstant auf dem Laufenden gehalten.
15.02 Es bleibt verstanden, dass die oben genannte Kommunikation keine Anerkennung eines Verstoßes oder einer Verantwortung seitens des Verantwortlichen für die Verarbeitung darstellt, in Bezug auf die dort berichtete Verletzung.
15.03 Die Parteien vereinbaren, dass es im Einklang mit Art. 33 und 34 DSGVO dem KUNDEN obliegt, die dort vorgesehenen Mitteilungen an die Datenschutzbehörde unter seiner ausschließlichen Verantwortung durchzuführen.

Art. 16 - Unterstützung für den KUNDEN bei der Konformität mit der Datenschutzgesetzgebung
16.01 Der Verantwortliche für die Verarbeitung verpflichtet sich, den KUNDEN bei der Gewährleistung der Einhaltung der von der Datenschutzgesetzgebung vorgesehenen Pflichten zu unterstützen, soweit es die bereitgestellten Dienstleistungen betrifft, insbesondere auch in Bezug auf die Erfüllungen bezüglich der Prinzipien der Minimierung der Verarbeitung personenbezogener Daten (Privacy by Design & Privacy by Default), sowie in Bezug auf die Datenschutz-Folgenabschätzung (DPIA) und die vorherige Konsultation.

16.02 In Bezug auf den vorherigen Punkt wird der Verantwortliche für die Verarbeitung nur zur Bereitstellung der Informationen über die bereitgestellten Dienstleistungen gehalten, die für den KUNDEN nützlich sein können und die die Standardmodalitäten darstellen, mit denen sie konfiguriert und erbracht werden.

16.03 Falls der KUNDE eine personalisierte Unterstützung in Bezug auf die Art des Dienstes anfordert, den er im Rahmen seiner Autonomie konfigurieren möchte, hat CORETECH Anspruch auf eine Vergütung, die mit dem KUNDEN zusammen mit den entsprechenden Modalitäten der Durchführung der angeforderten Unterstützung vereinbart wird.

Schutz der Rechte der Betroffenen

Art. 17 - Anfragen von Betroffenen an den Verantwortlichen für die Verarbeitung und Pflichten der Parteien
17.01 Falls der Verantwortliche für die Verarbeitung Anfragen zum Ausüben von Rechten von Betroffenen in Bezug auf personenbezogene Daten erhält, die er im Auftrag des KUNDEN auf der Grundlage des vorliegenden Vertrags verarbeitet, wird er gehalten, sie ohne Verzug an den KUNDEN zu senden, der sich um die Verwaltung der genannten Anfragen kümmern wird, direkt oder auch über den Verantwortlichen für die Verarbeitung, falls dieser vom KUNDEN selbst verschieden ist.
17.02 Der Verantwortliche für die Verarbeitung wird den KUNDEN unterstützen, indem er ihm alle Informationen in Bezug auf die von CORETECH verwalteten Dienstleistungen auf der Grundlage dessen bereitstellt, was im vorliegenden Vertrag vorgesehen ist, und den Betroffenen einlädt, sich an den KUNDEN zu wenden, um seine Rechte auszuüben, wobei er seine Position als Verantwortlicher für die Verarbeitung hervorhebt.
17.03 Der KUNDE übernimmt daher jede Erfüllung bezüglich der Verwaltung der Rechte der Betroffenen, vorbehaltlich dessen, was in den beiden vorherigen Absätzen bezüglich des Verantwortlichen für die Verarbeitung angegeben ist.

art. 18 - Richieste di interessati rivolte al CLIENTE per dati personali trattati per suo conto dal responsabile del trattamento
18.01 Falls der KUNDE Anfragen von Betroffenen bezüglich der Ausübung ihrer Rechte in Bezug auf personenbezogene Daten erfüllen muss, die Gegenstand des vorliegenden Vertrags sind, wird der Verantwortliche für die Verarbeitung die vom KUNDEN angeforderten Informationen bereitstellen, soweit sie den vorliegenden Vertrag betreffen, in Bezug auf die vom KUNDEN erworbenen Dienstleistungen.
18.02 In jedem Fall wird der KUNDE die genannte Anfrage direkt behandeln, wobei sich der Verantwortliche für die Verarbeitung darauf beschränkt, das oben Genannte zu erfüllen.

Art. 19 - Portabilität personenbezogener Daten
19.01 Falls es notwendig ist, dass der KUNDE Anfragen zur Portabilität personenbezogener Daten erfüllt, wird der Verantwortliche für die Verarbeitung, ausschließlich in Bezug auf die vom KUNDEN erworbenen Dienstleistungen, nur die nützlichen Informationen zur Extraktion in einem Format bereitstellen, das mit der Datenschutzgesetzgebung konform ist, und immer vorausgesetzt, dass dies vernünftigerweise möglich ist.
19.02 Falls der KUNDE stattdessen die notwendige technische Unterstützung für die Durchführung der genannten Extraktion anfordert, wird CORETECH die technische Durchführbarkeit bewerten und gegebenenfalls die entsprechenden Modalitäten und Kosten zu Lasten des KUNDEN mit dem ersten vereinbaren.

Schlussbestimmungen

Art. 20 - Befugnis zur Änderung des Vertrags durch den Verantwortlichen
20.01 CORETECH hat das Recht, die Bedingungen des vorliegenden Vertrags im Einklang mit der Datenschutzgesetzgebung zu ändern, gemäß dem in den allgemeinen Lieferbedingungen Vorgesehenen, unbeschadet des Rechts des KUNDEN zurückzutreten.

Art. 21 - Pflicht zur Freistellung zu Lasten des KUNDEN
21.01 Für alle Aktivitäten, die in Verletzung der Datenschutzgesetzgebung durchgeführt werden, fahrlässig oder vorsätzlich vom KUNDEN begangen unter Nutzung der von CORETECH bereitgestellten Dienstleistungen, aus denen gegenüber letzterer jegliche außergerichtliche oder gerichtliche Ansprüche resultieren können, auch im Zusammenhang mit der Verletzung der vorliegenden Bedingungen durch den KUNDEN, verpflichtet sich dieser, jede Verantwortung zu übernehmen und sie so schnell wie möglich freizustellen und schadlos zu halten, indem er sie von den genannten Ansprüchen befreit.
21.02 Der KUNDE muss direkt jede Art von Kosten, Schadensersatz und Lasten tragen, einschließlich eventueller Berufskosten, die aus solchen Ansprüchen resultieren könnten, zusätzlich zu jedem weiteren Schaden, den CORETECH erleidet.
21.03 Es bleibt die Möglichkeit für den KUNDEN gewahrt, die Verantwortung von CORETECH für die Verletzung des vorliegenden Vertrags nachzuweisen.
21.04 Der KUNDE wird CORETECH so schnell wie möglich über eventuelle Klagen informieren, die gegen sie eingeleitet werden könnten.

Art. 22 - Vorrang des vorliegenden Vertrags
22.01 Der vorliegende Vertrag ersetzt jede andere vorherige Vereinbarung oder Anweisung bezüglich der Verwaltung personenbezogener Daten in Bezug auf die von CORETECH bereitgestellten Dienstleistungen.

Scheda tecnica

Vom Verantwortlichen für die Verarbeitung eingeführte Schutzmaßnahmen

A) Organisatorische Maßnahmen
A-1) Einführung einer Informationssicherheitsmanagement-Politik und einer Politik zum Schutz personenbezogener Daten in Übereinstimmung mit der Datenschutzgesetzgebung, basierend auf Risikoanalyse, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zum Schutz der Rechte und Freiheiten der Betroffenen zu gewährleisten; A-2) Zugangsverfahren zu physischen Strukturen, ordnungsgemäß geschützt, nur für autorisierte Subjekte nach angemessener Identifizierung; A-3) Policy und Nutzer-Disziplinarverfahren: Detaillierte Policies und Disziplinarverfahren werden angewendet, an die sich alle Nutzer mit Zugang zu IT-Dienstleistungen halten müssen, zur Gewährleistung der Systemsicherheit; A-4) Autorisierung logischer Zugänge – Alle IT-Systeme sind nur mit Zugangsprofilen zugänglich, soweit für die ausgeübte Tätigkeit notwendig. Die Autorisierungsprofile werden vor dem Zugang identifiziert und konfiguriert; A-5) Es gibt ein Incident-Management-Verfahren, verbunden mit technischen Monitoring-Tools der Systeme, denen spezialisiertes Personal zugewiesen ist, mit Identifizierung, im Falle eines Incidents, der vorzubereitenden Interventionen nach logisch bestimmter Reihenfolge, mit dem Ziel, die Wiederherstellung der Dienstleistungen in kürzestmöglicher Zeit zu gewährleisten, sowie deren Konsequenzen zu überprüfen, einen Bericht zu erstellen, von dessen Ergebnis weitere Schutzmaßnahmen abhängen, unbeschadet in jedem Fall der Überprüfung der Angemessenheit der vorbereiteten Schutzsysteme; A-6) Unterstützungsmanagement-Verfahren – Die Unterstützungsinterventionen werden durch ein Verfahren verwaltet, das die Authentizität der Anfrage überprüft und die Unterstützung leistet, wobei die Verarbeitung personenbezogener Daten auf ein Minimum beschränkt wird, durch ordnungsgemäß geschultes Personal und technische Tools, die Sicherheitsstandards respektieren. Auch über einen dem KUNDEN zur Verfügung gestellten Ticket-System-Dienst wird es immer möglich sein, das Detail der Intervention zu kennen, Dauer, Datum und den Operator (über einen ihm zugewiesenen eindeutigen Code), sowie die Authentizität der Unterstützungsanfrage von Seiten des Verantwortlichen für die Verarbeitung zu überprüfen; A-7) In jedem Fall werden die Zugangslevels zu den Systemen des KUNDEN zur Bereitstellung technischer Unterstützung nur einigen spezifisch autorisierten Mitarbeitern mit Authentifizierungsdaten zugewiesen, die internationalen Standards entsprechen; A-8) Schriftliche Vertraulichkeitsverpflichtung aller Mitarbeiter vor dem Zugang zu den Systemen; A-9) Jeder Mitarbeiter kann nur die Informationen verarbeiten, für die er in Bezug auf die ausgeübten Tätigkeiten autorisiert wurde, sowie ordnungsgemäß geschult, durch periodische Aktualisierungen, um die Daten mit maximaler Vertraulichkeit und Sicherheit zu verarbeiten, im Einklang mit der Datenschutzgesetzgebung; A-10) Interne Regelung für Mitarbeiter, bezüglich der Nutzung der IT-Tools und potenzieller Kontrollen durch den Arbeitgeber; A-11) Schutzverfahren gegen Angriffe über Social Engineering mit verbundener spezifischer Schulung des Personals; A-12) Verfahren für die Auswahl angemessener Lieferanten, zentriert auf die Überprüfung von Qualität, Sicherheit und Konformität mit der geltenden Gesetzgebung der angebotenen Waren oder Dienstleistungen; A-13) Verfahren zur Überprüfung der Notwendigkeit einer DPIA, Datenschutz-Folgenabschätzung in Bezug auf die gemäß der Datenschutzgesetzgebung verwendeten IT-Systeme; A-14) Data Breach – Es gibt ein Verfahren zur Verwaltung von Incidents, die sich auf personenbezogene Daten auswirken können, basierend auf der Verteilung der Rollen nach Kompetenz, Überprüfung des potenziellen Schadens (vermutet oder festgestellt), Verwaltung der Gegenmaßnahmen sowie die Modalitäten der Weitergabe an den KUNDEN der Informationen bezüglich der Verletzungen personenbezogener Daten und zur Annahme der damit verbundenen Pflichten, vorgesehen von der Datenschutzgesetzgebung; A-15) Verfahren für die Entsorgung analoger Dokumentation und IT-Systeme, die potenziell Informationen enthalten, über geeignete Tools (wie Dokumentenvernichter und zertifizierte Entsorgungsfirmen); A-16) Aktualisierung der organisatorischen Maßnahmen, die alle sechs Monate überprüft werden;
B) Technische Maßnahmen
B-1) Authentifizierungsdaten – Der Zugang zu den Systemen basiert ausschließlich auf eindeutigen Authentifizierungsdaten, basierend auf einem PIN oder reservierten Zugangsschlüssel und mit Sicherheitsmaßnahmen, die internationalen Standards entsprechen; B-2) Passwortverwaltung gemäß Best Practices, basierend auf Länge, Komplexität, Ablauf, Robustheit, anvertraut an ordnungsgemäß geschulte Subjekte bezüglich ihrer Nutzung und Aufbewahrung; B-3) Systemadministratoren – Für Nutzer mit der Rolle von Systemadministratoren, deren Tätigkeiten mit spezifischen Ernennungsakten und in schriftlicher Form zugewiesen werden, ist ein nicht veränderbares Log-Management-System implementiert, ordnungsgemäß konfiguriert, um die durchgeführten Aktivitäten zu verfolgen und die anschließende Überwachung zur Überprüfung der Regelmäßigkeit der Operationen zu ermöglichen. Es ist dann ein Verfahren aktiv zur Überprüfung des Handelns der Systemadministratoren im Rahmen des intern ausgearbeiteten Informationssicherheitsplans und für die Konformität bezüglich der Datenschutzgesetzgebung und auch zum Zweck der Verbesserung der Schutzmaßnahmen; B-4) Verwendung von Verschlüsselungssystemen, basierend auf Algorithmen und IT-Protokollen, die internationalen Standards entsprechen; B-5) IDS/IPS Intrusion Detection System und Intrusion Prevention System als Intrusion-Erkennungssysteme, um Cyberangriffe im Voraus zu identifizieren; B-6) Einführung von Firewall-Systemen als perimetrale Verteidigungskomponenten der IT-Netze und zum Schutz der Kommunikationsleitungen; B-7) Periodisch aktualisierte Antivirus- und Malware-Programme gegen das Risiko von Intrusion und illegaler Programmaktionen; B-8) Logging-Systeme zum Zweck der Systemüberwachung, Konservierung der eingetretenen Ereignisse und Identifizierung der Zugänge; B-9) Backup- und Restore-Systeme, mit entsprechendem Management-Verfahren; B-10) Business Continuity für die Resilienz der Systeme im Falle eines Incidents; B-11) Vulnerability Assessment & Penetration Test – Periodisch werden Aktivitäten zur Analyse der Systemvulnerabilitäten durchgeführt, sowohl in Bezug auf Infrastruktur- als auch Anwendungsbereiche, sowie periodische Penetration Tests, wobei verschiedene Angriffsszenarien angenommen werden, mit dem Ziel, das Sicherheitslevel von Anwendungen/Systemen/Netzen zu überprüfen und daher basierend auf den entsprechenden Berichten die Sicherheitsmaßnahmen zu verbessern; B-12) Auswahl von DATA CENTER mit TIER 4-Standards; B-13) Konstante Aktualisierung der IT-Systeme, der technischen Maßnahmen, bei Änderung der Technologie und mit konstanter Überprüfung gemäß vorgegebenen Zeitplänen sowie konstante Überprüfung, bei vertrauenswürdigen Quellen, der Sicherheitsprobleme der verwendeten IT-Produkte und -Dienstleistungen für das entsprechende Update.

Rechtliche Hinweise

Servizi SLA
100% DSGVO-konforme Lösungen

Contratto
Contratto

DPA | Data Processing Agreement
DPA | Data Processing Agreement

Informazioni documento

Dokumententitel:	DPA
Dokumentenversion:	V.1.2
Datum der letzten Änderung:	19/11/2024

DPA - Datenverarbeitungsvereinbarung

Allgemeine Bestimmungen

Sicherheitsmaßnahmen

Schutz der Rechte der Betroffenen

Schlussbestimmungen

Scheda tecnica

Vom Verantwortlichen für die Verarbeitung eingeführte Schutzmaßnahmen

Rechtliche Hinweise

Informazioni documento

Evento

Überfällige Zahlungen

Überprüfe den Status deiner Rechnungen

konsultieren l'Area Clienti

Segui CoreTech

Bleib über Produkte, Events und Webinare auf dem Laufenden.

DPA - Datenverarbeitungsvereinbarung

Allgemeine Bestimmungen

Sicherheitsmaßnahmen

Schutz der Rechte der Betroffenen

Schlussbestimmungen

Scheda tecnica

Vom Verantwortlichen für die Verarbeitung eingeführte Schutzmaßnahmen

Rechtliche Hinweise

Informazioni documento

Evento

Überfällige Zahlungen

Überprüfe den Status deiner Rechnungen konsultieren l'Area Clienti

Segui CoreTech

Bleib über Produkte, Events und Webinare auf dem Laufenden.

Anmelden oder registrieren

Überprüfe den Status deiner Rechnungen

konsultieren l'Area Clienti