Untenstehend finden Sie die Updates, welche in unserer Vereinbarung zur Auftragsverarbeitung vorgenommen wurden.
Akzeptieren Sie diese neue Version unserer Vereinbarung zur Auftragsverarbeitung im Menüpunkt „Accountverwaltung“ in Ihrem TimeTac Account.
Bitte beachten Sie, dass die Version 1.1 nicht veröffentlicht wurde. Diese Updates basieren auf den Anpassungen der Version 1.0.
| Absatz | alter Text | neuer Text |
| § 1. (1) Gegenstand und Dauer der Vereinbarung | Gegenstand der Vereinbarung ist der Austausch von Daten für die Bereitstellung von Leistungen und ergibt sich aus den Allgemeinen Geschäftsbedingungen vom 25.05.2018, Version 2.0, auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung). | Gegenstand der Vereinbarung ist der Austausch von Daten für die Bereitstellung von Leistungen. Diese Leistungen ergeben sich aus den Allgemeinen Geschäftsbedingungen, die zum Zeitpunkt der Bestätigung dieser Vereinbarung gelten, aus der Produktbeschreibung auf der Website www.timetac.com und – sofern vorhanden – einem unterzeichnetem Angebot (im Folgenden zusammenfassend als „Leistungsvereinbarung“ bezeichnet). |
| § 7. (2) Unterauftragsverhältnisse | Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland | Zahlungsabwicklung | |
| § 7. (2) Unterauftragsverhältnisse | GoCardless Ltd. | Sutton Yard, Goswell Rd, London EC1V 7EN, United Kingdom | Zahlungsabwicklung | |
| § 8. (1) Kontrollrechte des Auftraggebers | Der Kunde hat das Recht, im Vernehmen mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Anbieter in dessen Geschäftsbetrieb zu überzeugen. | Der Kunde hat das Recht, im Vernehmen mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die beim Anbieter rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Anbieter in dessen Geschäftsbetrieb zu überzeugen. |
| § 8. (3) Kontrollrechte des Auftraggebers | Für die Ermöglichung von Kontrollen durch den Kunden kann der Anbieter einen Vergütungsanspruch geltend machen. | Bei Ausübung der Rechte gemäß diesem Punkt hat der Kunde möglichst schonend vorzugehen und darf insbesondere den Geschäftsbetrieb des Anbieters nicht beeinträchtigen, andernfalls dem Kunden angemessene Verwaltungskosten in Rechnung gestellt werden können. |
| § 13. Gültigkeit dieser Vereinbarung | Diese Vereinbarung ist ab elektronischer Bestätigung gültig. Diese Vereinbarung orientiert sich an der DS-GVO und ist deshalb ab 25. Mai 2018 gültig. | Diese Vereinbarung ist ab elektronischer oder schriftlicher Bestätigung gültig. Diese Vereinbarung orientiert sich an der DS-GVO und ist deshalb ab 25. Mai 2018 gültig. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Zutrittskontrollsysteme. Aufzeichnungen zu Ankunft und Verlassen der Räumlichkeiten seitens der Mitarbeiter werden geführt. | Zutrittskontrollsysteme. Aufzeichnungen zu Ankunft und Verlassen der Räumlichkeiten seitens der Mitarbeiter werden geführt. Der Zutritt wird ausschließlich Mitarbeitern gewährt. Bei Austritt des Mitarbeiters wird der Zutritt aberkannt. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Besucherlog, Begleitung von Besuchern in den Räumlichkeiten | Besucherlog; Nicht registrierte Besucher dürfen den Empfangsbereich nicht verlassen und müssen betreut bzw. überwacht werden., Begleitung von Besuchern in den Räumlichkeiten; Besucher dürfen in den Räumlichkeiten nicht unbeaufsichtigt gelassen werden. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Branddetektoren | Branddetektoren in jedem Raum; diese sind direkt mit dem Kontrollzentrum des Gebäudes und mit der Feuerwehr verbunden. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Keine unbefugte Systembenutzung | Keine unbefugte Systembenutzung; der Zugang wird durch Authentifizierungsmechanismen eingeschränkt. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Passwortrichtlinien | Passwortrichtlinien; minimale Länge, minimale Komplexität. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Zwei-Faktor-Authentifizierung | Zwei-Faktor-Authentifizierung wird wo verfügbar eingesetzt |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Absperrmechanismen für Arbeitsplätze | Absperrmechanismen für Arbeitsplätze; “Clean desk policy” und automatische Sperrung nach einer durchgängigen Inaktivität von bestimmter Dauer |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Verschlüsselung von Datenträgern | Verschlüsselung von Datenträgern; Verschlüsselung als Voraussetzung bei Neuanschaffung. Unverschlüsselte Datenträger dürfen die Räumlichkeiten nicht verlassen. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Private/Public Keys | Private/Public Keys für alle Serverzugänge |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Kein unbefugtes Lesen, Kopieren, Verändern oder Löschen von Daten | Kein unbefugtes Lesen, Kopieren, Verändern oder Löschen von Daten; Tätigkeiten werden aufgezeichnet und überprüft. Mitarbeiter werden zu Berechtigungen geschult. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Berechtigungskonzepte | Berechtigungskonzepte. Mitarbeiter erhalten eingeschränkten Zugriff gemäß den definierten Tätigkeiten. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Bedarfsgerechte und Rollen-basiertes Zugriffsrechte | Bedarfsgerechte und Rollen-basiertes Zugriffsrechte. Mitarbeitern wird ausschließlich Zugriff zu Ressourcen gewährt, wenn dies im Rahmer der erwarteten Tätigkeiten notwendig ist. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Protokollierung von Zugriffen und Events | Protokollierung von Zugriffen und Events; wie beispielsweise Einloggen, Ausloggen, Veränderungen, Löschungen. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Datentransfer wird nach Art. 30 DS-GVO aufgezeichnet | Datentransfer wird nach Art. 30 DS-GVO aufgezeichnet, vom Datenschutzbeauftragten kontrolliert und geprüft. |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Wechseldatenträger Bestimmungen | Wechseldatenträger Bestimmungen, mit Verwendungsprotokollierung von Mitarbeitern |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Firewall | Firewall zum Schutz des Datenverkehrs und der Endgeräte im Netzwerk |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Zugangsprotokoll | Zugangsprotokoll der Zugangsversuche inkl. IP-Adressen und Benutzernamen |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Nutzerrechte und -rollen in der Software des Anbieters | Nutzerrechte und -rollen in der Software des Anbieters um unbefugte Manipulation zu verhindern |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Rest * | Rest: Luks Volume Verschlüsselung mit AES XTS Plain64, mit der Schlüssellänge 512 und SHA512 * |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Transfer | Transfer: Schlüssel – RSA 4096 bit. Signature Algorithm SHA-256 mit RSA Verschlüsselung |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Backups * | Backups: AE256-GCM Verschlüsselung des Anwendungsservers vor dem Upload * |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) | Verpflichtungserklärung zum Datengeheimnis | Verpflichtungserklärung zum Datengeheimnis bei der Bearbeitung von Daten und den damit verbundenen Verantwortungen |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Mehrere Datenzentren * | Mehrere Datenzentren, erhöhte Redundanz * |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Externe Backup Bestimmungen * | Externe Backup Bestimmungen, Backups werden in einem anderen Datenzentrum gespeichert * |
| Anlage 2 – Technisch-organisatorische Maßnahmen, 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) | Statusseite für Transparenz * | Statusseite für Transparenz betreffend Verfügbarkeit von Services * |
