reonic logo
Demo buchen

Auftragsdatenverarbeitung

Auftragsdatenverarbeitungsvertrag & Technisch-organisatorische Maßnahmen

Vereinbarung zur Auftragsverarbeitung

zwischen der

(„Auftraggeber")

und der

Reonic GmbH, Ladehofstraße 13, 86150 Augsburg

(„Auftragnehmer")

Präambel

Die Parteien haben einen Vertrag über die temporäre Überlassung der Software „Reonic" („Software") des Auftragnehmers als Cloud-Lösung geschlossen („Hauptvertrag"). Der Auftragnehmer verarbeitet in der Software personenbezogene Daten im Auftrag des Auftraggebers.

Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO („Vertrag").

1. Gegenstand und Dauer dieses Vertrags

1.1 Der Gegenstand des Auftrags ergibt sich aus dem zwischen den Parteien geschlossenen Hauptvertrag.

1.2 Der Auftraggeber ist im Hinblick auf diese Daten „Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO. Der Auftragnehmer wird als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO für den Auftraggeber tätig.

1.3 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrages.

2. Konkretisierung des Auftragsinhalts

2.1 Zweck der vorgesehenen Verarbeitung ergibt sich aus dem zwischen den Parteien geschlossenen Hauptvertrag und umfasst insbesondere die Bereitstellung und Wartung der Software, die es ermöglicht, die Leadgenerierung, Vertrieb und Operations im Bereich erneuerbarer Technologien wie Photovoltaik, Batteriespeicher, Wärmepumpen, und Wallboxen zu vereinfachen und verschlanken.

2.2 Der Auftragnehmer darf die im Rahmen der Auftragsverarbeitung erlangten Daten zu keinen anderen als zu den von diesem Vertrag genannten Zwecken nutzen.

2.3 Verarbeitet werden die in der Anhang AV 1 genannten Kategorien personenbezogener Daten der dort genannten Kategorien von Betroffenen.

2.4 Der Auftraggeber ist berechtigt, die in 2.1 genannten Datenverarbeitungsvorgänge zu konkretisieren und hierauf bezogene Weisungen entsprechend den Regelungen unter 3. zu erteilen.

2.5 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet entweder in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt oder in einem Drittland, soweit die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3. Weisungsbefugnis des Auftraggebers

3.1 Der Auftragnehmer wird die Verarbeitung der Daten stets nur aufgrund der Weisungen des Auftraggebers vornehmen, es sei denn, er ist zu einer Verarbeitung nach dem EU-Recht oder dem Recht eines EU-Mitgliedsstaates verpflichtet. Die Weisungen des Auftraggebers ergeben sich aus dem Hauptvertrag und können vom Auftraggeber durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

3.2 Weisungen sind vom Auftragnehmer zu dokumentieren. Dies gilt auch für mündliche Weisungen des Auftraggebers.

3.3 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

4. Technisch-organisatorische Maßnahmen

4.1 Auftragnehmer und Auftraggeber ergreifen die für die Auftragsdurchführung erforderlichen technischen und organisatorischen Maßnahmen zur Gewährung der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, Art, Umfang und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

4.2 Die im Einzelnen vom Auftragnehmer umzusetzenden Maßnahmen sind im Anhang AV 2 geregelt.

4.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist der Auftragnehmer berechtigt, auf eigene Kosten die Maßnahmen dem Stand der Technik anzupassen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Änderungen sind zu dokumentieren.

4.4 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung im Auftrag im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Das Ergebnis der Kontrollen dokumentiert der Auftragnehmer und stellt diese dem Auftraggeber auf Anforderung zur Verfügung.

5. Anfragen und Rechte von Betroffenen

5.1 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Kapitel 3 der DSGVO (Rechte der Betroffenen).

5.2 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich insoweit unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten.

6. Sonstige Pflichten des Auftragnehmers

6.1 Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, sie sind zu einer Verarbeitung nach dem EU-Recht oder dem Recht eines EU-Mitgliedsstaates verpflichtet.

6.2 Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Die Parteien informieren sich gegenseitig über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen.

6.3 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 der DSGVO genannten Pflichten. Hierzu gehören:

  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
  2. die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber zu melden, sobald diese dem Auftragnehmer bekannt wird;
  3. die Unterstützung des Auftraggebers bei der Benachrichtigung der betroffenen Person von einer Verletzung;
  4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;
  5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

6.4 Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung (Art. 30 Abs. 2 DSGVO).

7. Unterauftragnehmer/Dritte

7.1 Der Auftragnehmer stimmt der Hinzuziehung von Unterauftragnehmern zu.

7.2 Der Einschaltung des/der im Anhang AV 3 genannten Unterauftragnehmer(s) stimmt der Auftraggeber bereits jetzt zu.

7.3 Der Auftragnehmer ist verpflichtet, mit eingesetzten Unterauftragnehmern vertragliche Regelungen zu vereinbaren, die den Anforderungen des Art. 28 Abs. 2 bis Abs. 4 DSGVO entsprechen. Der Auftraggeber hat das Recht, sich die Einhaltung dieser Verpflichtung nachweisen zu lassen, gegebenenfalls durch Vorlage der entsprechenden Vertragsdokumente.

7.4 Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

  1. der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab in Textform anzeigt,
  2. der Auftraggeber nicht binnen zwei Wochen in Textform widerspricht und
  3. die Vorgaben nach 7.3 gewahrt sind.

7.5 Im Falle eines Widerspruchs nach 7.4.2 hat der Auftraggeber die Folgen (z.B. subjektive Unmöglichkeit der Leistungserbringung) und die ggfls. resultierenden Mehrkosten zu tragen, die sich daraus ergeben, dass der Unterauftragnehmer nicht hinzugezogen werden kann. Wenn der Auftragnehmer die im Hauptvertrag geschuldete Leistung aufgrund des Einspruchs nicht oder nur noch mit wirtschaftlich unzumutbarem Aufwand erbringen kann, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.

7.6 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

7.7 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

7.8 Eine weitere Auslagerung durch den Unterauftragnehmer ist nur im Rahmen der gesetzlichen Bestimmungen zulässig.

8. Kontrollrechte des Auftraggebers

8.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder von im Einzelfall zu benennenden Prüfern durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die mindestens vier Wochen zuvor anzumelden sind, von der Einhaltung dieses Vertrags im Geschäftsbetrieb zu überzeugen.

8.2 Der Auftragnehmer stellt auf Anforderung die erforderlichen Informationen zum Nachweis der in Art. 28 DSGVO niedergelegten Pflichten dem Auftraggeber zur Verfügung und weist die Umsetzung der technischen und organisatorischen Maßnahmen nach. Zum Nachweis können unter anderem dienen, ohne dass die Vorlage der im Folgenden genannten Dokumente für den Auftragnehmer verpflichtend ist:

  1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
  2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
  3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

8.3 Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer eine angemessene Vergütung verlangen, soweit ein nicht nur unerheblicher Aufwand beim Auftragnehmer entsteht.

9. Mitteilungspflichten

9.1 Der Auftragnehmer ist verpflichtet, Verletzungen personenbezogener Daten und Verstöße gegen diesen Vertrag unverzüglich an den Auftraggeber zu melden. Die Meldung sollte, soweit bekannt, folgende Punkte enthalten:

  1. Den Gegenstand des Verstoßes, sofern möglich über die Kategorien und die Zahl der betroffenen Daten,
  2. die möglichen Folgen des Verstoßes,
  3. die ergriffenen Maßnahmen, mit denen der Verstoß abgestellt werden soll, einschließlich der Maßnahmen zur Schadensminderung und möglichen Maßnahmen.

9.2 Der Auftraggeber verpflichtet sich, den Auftragnehmer unverzüglich über etwaige von ihm erkannte Verstöße gegen die in diesem Vertrag geregelte Auftragsbearbeitung oder gegen sonstige datenschutzrechtliche Vorschriften in Kenntnis setzen.

9.3 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.

10. Löschung und Rückgabe von personenbezogenen Daten

10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien und notwendige Vervielfältigungen, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

10.2 Nach Beendigung der vertraglich vereinbarten Auftragsverarbeitung hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Personenbezogene Daten, die in Backups gespeichert sind und deren Löschung nur mit nicht unerheblichem Aufwand möglich ist, werden im Rahmen der allgemeinen Löschroutine für Backups gelöscht.

10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben oder nach Ankündigung und Ablauf einer angemessenen Frist löschen.

11. Haftung

11.1 Werden im Zusammenhang mit den unter diesen Vertrag fallenden Verarbeitungsvorgängen gegenüber einer Partei Schadenersatzansprüche i.S.v. Art. 82 DSGVO, Geldbußen i.S.v. Art. 83 DSGVO und/oder andere Sanktionen i.S.v. Art. 84 DSGVO angedroht oder geltend gemacht, so informiert diese Partei die andere Partei hierüber unverzüglich in Textform. Auftraggeber verpflichtet sich bei der Abwehr solcher Ansprüche den Auftragnehmer zu unterstützen und ihm die Kosten einer angemessenen Rechtsverteidigung zu erstatten.

11.2 Sollten Bußgelder verhängt werden sind die Parteien, sofern nicht abweichend im Einzelfall vereinbart, zur Ausschöpfung sämtlicher Rechtsbehelfe verpflichtet. Entspricht die gegen den Auftragnehmer verhängte Geldbuße nicht dem internen Anteil an der Verantwortung für den Verstoß, stellt der Auftraggeber den Auftragnehmer hinsichtlich des übersteigenden Anteils von der Geldbuße frei.

11.3 Die im Hauptvertrag geregelten Haftungsbeschränkungen gelten hinsichtlich der Haftung im Innenverhältnis entsprechend.

12. Kosten

Der Auftragnehmer kann eine angemessene Vergütung für solche Tätigkeiten unter diesen Vertrag verlangen, die über die üblichen Leistungen zur Gewährleistung der technischen und organisatorischen Maßnahmen hinausgehen, einen unverhältnismäßigen Aufwand erfordern und nicht durch den Auftragnehmer verschuldet wurden (etwa Kosten durch Gesetzesänderungen, Behördenanfragen beim Auftragnehmer oder Unterstützungsleistungen nach 6.4.4 oder 6.4.5).

13. Schlussbestimmungen

13.1 Änderungen und Ergänzungen bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

13.2 Bei etwaigen Widersprüchen gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrages vor.

13.3 Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Die unwirksame oder undurchführbare Bestimmung gilt als durch eine angemessene und billige Regelung ersetzt, die, soweit gesetzlich zulässig, dem wirtschaftlichen Sinn und Zweck der unwirksamen oder undurchführbaren Bestimmung möglichst nahe kommt. Gleiches gilt für den Fall einer ungewollten Lücke.

13.4 Der Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist Stuttgart.

Unterschriften

Auftraggeber

Datum: _______________

Name:

Position:

Datum: _______________

Name:

Position:

Auftragnehmer

Datum: _______________

Name:

Position:

Datum: _______________

Name:

Position:

Anhang AV 1

Datenkategorien und betroffene Personen:

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenkategorien der folgenden Betroffenen:

Beschäftigte des Auftraggebers:

  • Name, Vorname
  • E-Mail-Adresse

Kunden des Auftraggebers:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer und/oder Mobilnummer
  • Bankverbindung
  • Daten zum Energieverbrauch des Kunden, insbesondere Verbrauchskosten
  • Daten zu Energieanlagen des Kunden

ANHANG AV2: TECHNISCH-ORGANISATORISCHE MASSNAHMEN & SICHERHEITSKONZEPT

Nach Art. 32 DSGVO sind Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu bestimmen. Reonic kommt dieser Verpflichtung durch die im folgenden beschriebenen Maßnahmen nach.

1 Vertraulichkeit

Nach Art. 5 Abs. 1 f) DSGVO sieht der Grundsatz der Vertraulichkeit vor, dass (personenbezogene) Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Dazu gehört auch, dass personenbezogenen Daten vor unbefugter und unrechtmäßiger Verarbeitung bewahrt werden. Zu diesem Zweck hat Reonic weitreichende Maßnahmen ergriffen.

1.1 Zutrittskontrolle

Die folgenden Maßnahmen dienen dem Zweck, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  1. Zugangssystem mit Funk-Transpondern und Sicherheitsschlössern.
  2. Dokumentation der Zutrittsberechtigungen (auch von Dienstleistern).
  3. Sorgfältige Auswahl von Dienstleistern (z.B. Reinigungspersonal).
  4. Gebäudezutritt von Gästen/Besuchern und anderen Firmenfremden Personen nur in Begleitung von Firmenpersonal.

Reonic nutzt für die Datenhaltung und -verarbeitung hauptsächlich AWS, welches ihrerseits umfassende Maßnahmen zur Zutrittskontrolle ergreifen, die hier eingesehen werden können.

1.2 Zugangskontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  1. Das Firmennetzwerk ist durch eine Hardwarefirewall geschützt (inkl. Aktualisierung durch den Anbieter).
  2. Der Fernzugriff ist nur per VPN möglich.
  3. Richtlinie zur Passwortkomplexität (12 Zeichen, Kleinbuchstaben, Großbuchstaben und mind. 1 Sonderzeichen).
  4. Die Festplatten firmeneigener Rechner werden verschlüsselt.
  5. Automatische Bildschirmverriegelung.
  6. Individuelle Passwörter für alle Mitarbeiter.
  7. Keine Sammelkennwörter oder Mehrfachnutzung von Accounts.
  8. Verpflichtende Multifaktorauthentifizierung in allen Systemen, die diese unterstützen.

Reonic nutzt für die Datenhaltung und -verarbeitung hauptsächlich AWS, welches ihrerseits umfassende Maßnahmen zur Zugangskontrolle ergreifen, die hier eingesehen werden können.

1.3 Zugriffskontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  1. Berechtigungskonzepte sind vorhanden und dokumentiert, die Organisation der Berechtigungsvergabe ist dokumentiert.
  2. Die vergebenen Berechtigungen werden stets aktualisiert und Änderungen dokumentiert. Die Rücknahme von Zugangsberechtigungen einzelner Mitarbeiter erfolgt spätestens mit der Beendigung des Arbeitsverhältnisses.
  3. Benutzerrechte werden ausschließlich durch Administratoren verwaltet.
  4. Das Firmennetzwerk selbst ist gegenüber dem Internet mit einer Firewall geschützt (siehe Zugangskontrolle, 1.).
  5. Der Fernzugriff auf Infrastruktur von Subdienstleistern von Reonic (z.B. AWS) ist nur per VPN möglich.
  6. Bei AWS nutzt Reonic eine Private-Public-Subnetz Architektur mit getrennten Sicherheitsgruppen. Das private Subnetz ist mit umfangreichen Firewalls geschützt und nicht öffentlich erreichbar. Datenzugriffe erfolgen ausschließlich über die von Reonic bereitgestellten und geschützten Schnittstellen (APIs).

Reonic nutzt für die Datenhaltung und Verarbeitung hauptsächlich AWS, welches ihrerseits umfassende Maßnahmen zur Zugriffskontrolle ergreifen, die hier eingesehen werden können.

1.4 Verschlüsselung, Pseudonymisierung & Anonymisierung

Die folgenden Maßnahmen dienen dem Zweck, Daten vor unbefugter Nutzung zu schützen.

  1. Verschlüsselung von Dateien wie z.B. Bildern oder Dokumenten (mit SSE-S3-Verschlüsselung, auf Basis von AES-256).
  2. Verschlüsselung aller Datenbankinstanzen und Datenbankbackups (mit AES-256-Verschlüsselung).
  3. Bestimmte Daten (z.B. Nutzungsdaten) werden anonymisiert/pseudonymisiert verarbeitet. Daten, die eine Zuordnung ermöglichen, werden (insofern Vorhanden) getrennt, gesichert, und verschlüsselt gespeichert.

2 Integrität

Nach Art. 5 Abs. 1 f) DSGVO sieht der Grundsatz der Integrität vor, dass (personenbezogene) Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Dazu gehört auch, dass personenbezogenen Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bewahrt werden. Zu diesem Zweck hat Reonic folgende Maßnahmen ergriffen:

2.1 Weitergabekontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  1. Der Datenaustausch zwischen Auftraggeber und Reonic erfolgt per verschlüsseltem Download (HTTPS).
  2. Schutz aller Daten des Auftraggebers auf Rechnern von Reonic durch Festplattenverschlüsselung und Passwortschutz.
  3. Mobile Datenträger werden nicht genutzt.

2.2 Eingabekontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  1. Die Löschung von personenbezogenen Daten wird technisch protokolliert.
  2. Die Erfassung/Veränderung personenbezogener Daten wird, wo notwendig und technisch möglich, protokolliert und Datensätze versioniert gespeichert.

2.3 Auftragskontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

  1. Alle Mitarbeiter von Reonic sind dem Datengeheimnis (§ 53 BDSG) verpflichtet.
  2. Reonic schließt mit allen Subauftragnehmern, die Daten des Auftraggebers verarbeiten, Verträge zur Auftragsverarbeitung.

2.4 Trennungskontrolle

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

  1. Alle Daten, die durch den Kunden während der Nutzung der von Reonic angebotenen Tools anfallen, werden ausschließlich technisch getrennt und geordnet bei AWS verwahrt.
  2. Die Speicherung von Daten ist nach ihrem Zweck getrennt. Alle Kundendaten sind physisch und technisch separat von anderen Daten, also z.B. solche der internen Kommunikation, getrennt.
  3. Die Berechtigungsvergabe für Daten aller Art ist (siehe auch Unterpunkt Zugriffskontrolle) dokumentiert.
  4. Vollständig getrennte Entwicklungs-, Test- und Produktivsysteme.
  5. Mitarbeiter werden schriftlich dazu verpflichtet, Informationen aus Datenbeständen des Auftraggebers nicht in andere Projekte/Zwecke mit einzubringen.

2.5 Löschen von Daten

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass erhobene Daten datenschutzkonform gelöscht bzw. vernichtet werden.

  1. Personenbezogene Daten werden nur so lange gespeichert, wie es der Zwecke/die Zwecke, für die sie erhoben/verarbeitet werden, erforderlich machen. Das standardmäßige Löschkonzept orientiert sich an Artikel 28 der DSGVO.
  2. Individuelle Löschkonzepte, insbesondere was die Verwahrungsdauer angeht, können zwischen dem Auftraggeber und Reonic einzeln vereinbart werden.

2.6 Mandantentrennung

Die folgenden Maßnahmen dienen dem Zweck, zu gewährleisten, dass von unterschiedlichen Kunden und zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

  1. Daten, die zu unterschiedlichen Zwecken erhoben werden, werden stets getrennt verarbeitet.
  2. Daten von unterschiedlichen Auftraggebern werden im Rahmen der Auftragsverarbeitung getrennt verarbeitet, verwaltet und logisch getrennt.

3 Verfügbarkeit

Nach Art. 32 Abs. 1 b) und c) DSGVO verpflichtet sich Reonic, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherzustellen und bei einem physischen oder technischen Zwischenfall die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen. Zu diesem Zweck hat Reonic folgende Maßnahmen ergriffen:

3.1 Belastbarkeit

Die folgenden Maßnahmen dienen dem Zweck, die Verarbeitung von Daten auf Dauer sicherzustellen.

  1. Durch die Nutzung eines Content Delivery Networks (CDN) wird Denial-of-Service-Attacks (DDOS) vorgebeugt und ein reibungsloser Betrieb gewährleistet.
  2. Das Backend aller von Reonic bereitgestellten Applikationen basiert auf einer vollständig (und automatisch) skalierbaren IT-Architektur.

Reonic nutzt für die Datenhaltung und -verarbeitung AWS und für die Bereitstellung und den Schutz von APIs Cloudflare. Beide Dienstleister ergreifen ihrerseits umfassende Maßnahmen zur Gewährleistung hoher Verfügbarkeit und Belastbarkeit.

3.2 Wiederherstellbarkeit

Die folgenden Maßnahmen dienen dem Zweck, eingesetzte Systeme im Störungsfall wiederherzustellen.

  1. Tägliche, automatisierte Backups aller Systeme.
  2. Redundanz bei Datenbanken und Dateispeichersystemen.
  3. Monitoring.
  4. Pläne für Ausfall, Notfall und Wiederherstellung.

4 Überprüfung, Bewertung und Evaluierung

Die folgenden Maßnahmen dienen dem Zweck, dem nach Art. 32 Abs. 1 d) DSGVO geforderten Verfahren „zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung" nachzukommen.

  1. Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. halbjährlich durchgeführt.
  2. Die technischen und organisatorischen Maßnahmen sowie das Sicherheits- und Rechtekonzept werden mindestens jährlich überprüft.
  3. Die Überarbeitung der Risikoanalyse und -bewertung erfolgt kontinuierlich.

Anhang AV 3

Liste der Unterauftragsverarbeiter

Hetzner Online GmbH

Zur Allgemeinen Datenverarbeitung nutzt Reonic Dienste der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland („Hetzner").

  • Datentyp: Vorverarbeitung von Daten (z.B. Wetterdaten), Datenanalysen. Es werden keine für die DSGVO relevanten Daten auf Servern von Hetzner verarbeitet.
  • Datenspeicherung: Nürnberg, Deutschland, EU.
  • Personenbezogene Daten: Keine.
  • Zertifizierungen: ISO 27001.

Amazon Web Services EMEA SARL

Zur Allgemeinen Datenverarbeitung nutzt Reonic Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855, Luxembourg („AWS"). Ein Großteil der für das Angebot von Reonic relevanten Systeme werden bei AWS gehostet. Dazu zählen unter anderem die verschlüsselte Datenbank, verschlüsselte Dateiablage, Authentifizierung, Autorisierung, sowie das allgemeine Backend.

  • Datentyp: Divers (Nutzerdaten, Anwenderdaten, Kundendaten, Metadaten).
  • Personenbezogene Daten: Ja (siehe Datentyp).
  • Datenspeicherung: Frankfurt, Deutschland, EU.
  • Referenzunternehmen: Capgemini, Toyota, Salesforce, RWE.
  • Zertifizierungen: ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 9001:2015, CSA STAR CCM v3.0.1.

Google Cloud EMEA Limited

Für Kartendienste, Geoservices und AI-Modelle, nutzt Reonic Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin, Irland („Google").

  • Datentyp: AI, Kartendienste, Geoservices (Nutzerdaten, Anwenderdaten, Kundendaten, Metadaten).
  • Personenbezogene Daten: Nein (Adressdaten / Koordinaten ohne Namensbezug).
  • Referenzunternehmen: Commerzbank, E.ON, ENGIE.
  • Zertifizierungen: C5:2020, ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019.

Mixpanel, Inc.

Zur Auswertung anonymisierter Nutzerdaten nutzt Reonic Dienste von Mixpanel, Inc., One Front Street, 28th Floor, San Francisco, CA 94111 („Mixpanel").

  • Datentyp: Anonymisierte Nutzungsdaten.
  • Datenspeicherung: Eemshaven, Niederlande, EU.
  • Personenbezogene Daten: Keine.
  • Referenzunternehmen: DocuSign, Uber, Yelp, Expedia.
  • Zertifizierungen: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP.
company logo

Standort Augsburg
Ladehofstraße 13
86150 Augsburg
Deutschland
Standort Berlin
Rosenstraße 17
10178 Berlin
Deutschland
Standort São Paulo
400 Purpurina Street – Vila Madalena
São Paulo, SP, 05433-000
Brasilien

Reonic GmbH
Amtsgericht Augsburg
HRB 36147
DE342755511

+49 1573 5987101
Produkte
360° Haushalt360° Gewerbekunden
Lösungen
Für SolarteureFür StadtwerkeFür Heizungsbauer
Ressourcen
Login
Weiteres
LinkedInInstagramFacebookTikTokYoutubeÜber unsTeamJobs
Rechtliches
ImpressumDatenschutzCookiesGeschäftsbedingungenAuftragsdatenverarbeitung
Copyright © 2026 / Reonic GmbH / All rights reserved.