DER AUFTRAGSVERARBEITUNGS-VERTRAG (AVV) KONKRETISIERT DIE VERPFLICHTUNGEN ZUM DATENSCHUTZ DIE SICH AUS DEM GESCHLOSSENEN VERTRAG ZWISCHEN DEM KUNDEN UND SIMPLECLUB ERGEBEN. DER AVV FINDET ANWENDUNG AUF ALLE TÄTIGKEITEN, DIE MIT DEM VERTRAG IN ZUSAMMENHANG STEHEN UND BEI DENEN BESCHÄFTIGTE VON SIMPLECLUB ODER DURCH IHR BEAUFTRAGTE UNTERAUFTRAGNEHMER PERSONENBEZOGENE DATEN DES AUFTRAGGEBERS VERARBEITEN.

Aktualisiert am: 23.03.2023

I. Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO 
‍

1. Definitionen

“App” Die mobile App von simpleclub, in der Lerninhalte zur Verfügung gestellt werden.

“EWR” Staaten innerhalb des Europäischen Wirtschaftsraums.

“Lerninhalte” Die Lerninhalte sind verschiedene Lernmodule und -inhalte für Ausbildungsberufe und sonstige Bildungsmaßnahmen, die über die Plattform von simpleclub bereitgestellt werden.

“Nutzer” Die Person, die vom Kunden autorisiert ist, simpleclub zu nutzen. Zu den Benutzern gehören beispielsweise Mitarbeiter des Kunden.

“Plattform” Die Plattform umfasst die Website und die App gemeinsam.

“Vereinbarung” Die Vereinbarung umfasst den Vertrag zwischen dem Kunden und simpleclub sowie die Vertragsbedingungen.

“Vertrag” Das gezeichnete Dokument (bspw. Bestellformular) für den Kauf von Dienstleistungen durch den Kunden bei simpleclub, einschließlich aller Zeitpläne oder Ergänzungen dazu.

“Website” Die Website von simpleclub, auf der Lerninhalte zur Verfügung gestellt werden.

‍

2. Vertragsgegenstand

2.1 simpleclub wird personenbezogene Daten des Kunden nur nach seinen dokumentierten Weisungen ausführen. Mündliche Weisungen hat der Kunde unverzüglich in Textform zu bestätigen. simpleclub wird den Kunden informieren, wenn simpleclub meint, eine Weisung verstößt gegen Datenschutzvorschriften. simpleclub ist berechtigt, die Weisung nicht auszuführen, bis der Kunde sie bestätigt oder ändert.

2.2 Die Datenverarbeitung erfolgt zum Zweck der Erfüllung des Vertrages, um dem Kunden die bestimmungsgemäße Nutzung der Software zu ermöglichen. Es werden folgende Daten der Auszubildenden und Ausbilder des Kunden und gegebenenfalls weiterer Personen, denen der Kunde Berechtigungen erteilt verarbeitet: Name, E-Mail-Adresse, Art der Ausbildung, Ausbildungsjahr, abgerufene Lerninhalte, Zeitpunkt des Abrufs, Ergebnisse von Lernaufgaben (richtig/falsch). 

2.3 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet nur dann außerhalb des EWR statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. 

‍

3. Schutzmaßnahmen durch simpleclub

3.1 simpleclub ist verpflichtet, die Bestimmungen über den Datenschutz zu beachten und die von dem Kunden erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

3.2 simpleclub gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 simpleclub wird entsprechend Art. 32 DSGVO die unter II. genannten technischen und organisatorischen Maßnahmen ergreifen und aufrechterhalten. simpleclub ist gestattet, die Maßnahmen dem technischen Fortschritt anzupassen, solange das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.
‍

4. Informations- und Unterstützungspflichten von simpleclub

4.1 Wird simpleclub eine Verletzung des Datenschutzes bekannt, informiert simpleclub den Kunden unverzüglich, spätestens innerhalb von 24 Stunden. 

4.2 simpleclub unterstützt den Kunden bei der Einhaltung der Pflichten nach Art. 12 bis 22 DSGVO sowie Art. 32 bis 36 der DSGVO.  
‍

5. Unterauftragsverhältnisse

5.1 Der Kunde stimmt der Hinzuziehung von Unterauftragnehmern zu. Die Einschaltung oder Ersetzung eines Unterauftragnehmers sind zulässig, wenn simpleclub sie dem Kunden vorab in Textform anzeigt und der Kunde nicht innerhalb einer Frist von zwei Wochen in Textform Widerspruch erhebt. Simpleclub hat vertraglich sicherzustellen, dass die Regelungen auch für Unterauftragnehmer gelten. Zudem stimmt der Kunde zu, dass Unterauftragnehmer ihrerseits Unterauftragnehmer beauftragen dürfen, sofern die Anforderungen des Art. 28 DSGVO und erfüllt sind.

5.2 Ist simpleclub im Falle eines Widerspruchs die Fortsetzung des Vertrages nicht mehr zumutbar, steht simpleclub ein außerordentliches Kündigungsrecht mit angemessener Auslauffrist zu, ohne dass simpleclub zum Ersatz des durch die Vertragsbeendigung entstandenen Schadens verpflichtet ist. 

5.3 Der Einschaltung der in II. genannten Unterauftragnehmer stimmt der Kunde bereits jetzt zu. 

5.4 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb des EWR, hält simpleclub die Vorgaben der Art. 44 ff. DSGVO ein. 

5.5 Hilfstätigkeiten, die nur bei Gelegenheit Zugang zu personenbezogenen Daten ermöglichen, ohne dass dies für die Hilfstätigkeit nötig oder sinnvoll ist, darf simpleclub ohne Benachrichtigung des Kunden ausführen lassen, sofern diese Tätigkeiten nicht Gegenstand des Vertrages sind. 

6. Kontrollrechte des Auftraggebers

6.1 Der Kunde kann die Einhaltung des Datenschutzrechts sowie der vertraglichen Vereinbarungen im angemessenen Umfang selbst oder durch vom Kunden beauftragte Dritte kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten sowie durch Überprüfungen vor Ort. Kontrollen bei simpleclub haben ohne vermeidbare Störungen des Geschäftsbetriebs zu erfolgen. Soweit nicht aus dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten von simpleclub sowie nicht häufiger als alle zwölf Monate statt.

6.2 simpleclub verpflichtet sich, dem Kunden auf Anforderung Auskünfte zu erteilen und die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 
‍

7. Löschung und Rückgabe von personenbezogenen Daten

Nach Aufforderung durch den Kunden – spätestens mit Beendigung des Vertrags – hat simpleclub sämtliche personenbezogenen Daten datenschutzgerecht zu vernichten oder ihm auszuhändigen. Dies gilt nicht für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen und über das Vertragsende aufzubewahren sind oder sonstige Daten, die aufgrund gesetzlicher Verpflichtung zu speichern sind.

‍

8. Schlussbestimmungen

8.1 Änderungen bedürfen der Schriftform. Dies gilt auch für die Abänderung dieser Schriftformklausel.

8.2 Sollten einzelne Bestimmungen ungültig sein oder werden, berührt dies die Wirksamkeit der übrigen Regelungen nicht. Anstelle einer unwirksamen Bestimmung gilt dasjenige als vereinbart, was dem angestrebten Zweck möglichst nahe kommt. Dies gilt auch für den Fall von Vertragslücken. 
‍
‍

II. Technische und organisatorische Maßnahmen

Die folgenden technischen und organisatorischen Maßnahmen gelten für die Verarbeitung personenbezogener Daten durch simpleclub. 

Für das Hosting gelten die technischen und organisatorischen Maßnahmen unseres Unterauftragnehmers („Unterauftragnehmer-TOMs“): https://cloud.google.com/terms/data-processing-terms

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle
  Nicht einschlägig, da kein Betriebsgelände

• Zugangskontrolle
  Keine unbefugte Systembenutzung: sichere Kennwörter, automatische Sperrmechanismen, insbesondere bei mehrmaliger Falscheingabe des Passworts. Arbeitsgeräte werden standardmäßig mit einer automatisch eingestellten Bildschirmsperre ausgeliefert. Werkstudenten sichern ihren Account über 2-Faktor-Authentifizierung (ausgenommen SMS). Feste Mitarbeiter und alle Mitarbeiter mit Zugängen zu kritischen Systemen haben zusätzlich einen FIDO 2 2-Faktor-Security-Key. Ein Passwort muss 10-100 Zeichen haben. Das System akzeptiert nur starke Passwörter. Vielreisende Mitarbeiter haben einen Sichtschutz / Privacy Filter fürs Arbeiten an öffentlichen Plätzen.

• Zugriffskontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen für sechs Monate. Die kritischen Tools können alle nur genutzt werden, wenn eine entsprechende Berechtigung vorliegt. Die verschiedenen Ebenen des Berechtigungssystem sind in dem internen Knowledge-Management  “Guru” dokumentiert. Dort ist auch festgehalten, welche Tools durch wen genutzt werden können. Administratorenrechte haben nur die Geschäftsführer, der Head of Education und der Lead Software Entwickler. Die verwendeten Geräte verwenden Virenschutzprogramme und Firewalls. Der Datenzugriff auf die Cloud, wo die verwendete Software liegt, wird über HTTPS gesichert. 

• Trennungskontrolle
  Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden. Mitarbeiter erhalten einen Laptop, Führungskräfte zusätzlich ein Smartphone für die dienstliche Nutzung 
  ‍

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport: Verschlüsselung über HTTPS
• Eingabekontrolle
  Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Protokollierung für sechs Monate
  ‍

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeitskontrolle und rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): s. Unterauftragnehmer-TOMs
• Regelmäßige Backups‍
  ‍

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
• Benachrichtigungen bei Datenschutzvorfällen 
• Auftragskontrolle
  Abschluss, Dokumentation und Überwachung von Verträgen über die Auftragsverarbeitung 
• Verpflichtung der Mitarbeiter auf die Vertraulichkeit