DSGVO/Datensicherheit

Vereinbarung zur Auftragsverarbeitung

Gemäß der EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679, “DSGVO”)

Diese Datenverarbeitungsvereinbarung wurde zwischen den unten genannten Parteien im Zusammenhang mit der Lemin GmbH geschlossen und tritt mit Unterzeichnung in Kraft.

1. Vertragsparteien

1.1. Verantwortlicher gem. Art. 4 Abs. 7 Datenschutzgrundverordnung („DSGVO“) ist die auftraggebende Partei (nachfolgend “Auftraggeberin”)

1.2. Auftragsverarbeiter gem. Art. 4 Abs. 8 Datenschutzgrundverordnung(„DSGVO“) ist: Lemin GmbH, Rochusplatz 1, 50827 Köln, Deutschland. (nachfolgend “Auftragsverarbeiter” „Verarbeiter“ oder “Lemin”)

2. Definitionen

2.1. Sofern in dieser Vereinbarung nicht ausdrücklich anders angegeben, gelten die Definitionen des Art. 4 DSGVO.

2.2. “Anwendbares Datenschutzrecht" bedeutet die DSGVO und andere Rechtsvorschriften, die auf die Verarbeitung für die Zwecke dieser Vereinbarung anzuwenden sind. Neben der DSGVO ist auch das nationale Datenschutzrecht des Landes anzuwenden, in dem der für die Verarbeitung Verantwortliche seinen Geschäftssitz hat.

3. Vertragsverhältnis

3.1. Jede Partei kommt ihren jeweiligen Verpflichtungen aus den anwendbaren Gesetzen und Verordnungen zum Datenschutz und/oder zur Privatsphäre in den Ländern der Europäischen Union und dem Vereinigten Königreich oder in Bezug darauf, einschließlich der Datenschutzgrundverordnung (2016/679) („DSGVO“) und der lokalen Durchführungsgesetze oder Verordnungen („Datenschutzgesetze“), nach. Die Begriffe „Verarbeitung“, „Verantwortlicher“, „Verarbeiter“, „personenbezogene Daten“ und „betroffene Person“ haben die gleiche Bedeutung wie in der geltenden Datenschutzgesetzgebung.

3.2. Die Auftraggeberin ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch Lemin. Lemin steht das Recht zu, den Kunden darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.

3.3. Gegenstand und Zweck der Beauftragung

Diese Vereinbarung wird zwischen den Parteien als Folge der Verarbeitung personenbezogener Daten im Rahmen des oben genannten Vertrags [wie oben] (im Folgenden "Dienstleistungsvertrag") geschlossen.

3.4. Die Verarbeitung erfolgt in erster Linie zu folgenden Zwecken:

Lemin ist eine Software, die darauf abzielt, Handlungsfelder für die Weiterentwicklung von Teams zu identifizieren und Verhaltensänderungen in der Belegschaft zu fördern. Lemin fokussiert sich dabei auf Kommunikation, Zusammenarbeit und Führungsverhalten.

Lemin wird Mitarbeiterdaten und Umfrageantworten für folgende Zwecke verarbeiten:

Erstellung von Berichten und Analysen, u.a. zu Persönlichkeit, Handlungsfeldern und Unternehmenskultur, auf Basis der aggregierten Antworten;
Übermittlung von Benachrichtigungen und Feedback, Zuweisung von Nudges und Inhalten an Nutzer;
Überwachung der Interaktionen mit der Lemin-Software;
Erstellung von Dashboard-Tools für Manager und Recruiter zum Zugriff auf die

gesammelten Daten, die auf den aggregierten Antworten basieren;
Bewertung der Verhaltensänderung durch Lemin.

3.5. Art der personenbezogenen Daten

Lemin verwendet IP-Adresse, Geburtstag (freiwillige Angabe), Name, E-Mail-Adressen, Position, Abteilung, Geschlecht, Dauer der Teamzugehörigkeit und die Dauer der Unternehmenszugehörigkeit. Bei der Nutzung unserer Software erhebt Lemin die Daten, die Mitarbeiter im Rahmen der Persönlichkeits- und Teamanalyse angeben, darunter persönliche Stärken, Persönlichkeitsmerkmale und eine Befragung zur Arbeitssituation. Diese Daten werden dann zu einem individuellen Kulturprofil zusammengeführt.

3.6. Kategorien oder Gruppen von betroffenen Personen

Die folgenden Gruppen oder Kategorien von betroffenen Personen sind die betroffenen Personen in diesem Zusammenhang: MitarbeiterInnen der Auftraggeberin

3.7. Laufzeit

Diese Vereinbarung ist integraler Bestandteil des Dienstleistungsvertrags. Die Vereinbarung gilt so lange, wie der Auftragsverarbeiter im Rahmen des Dienstleistungsvertrags personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Die Verjährungsfrist für Ansprüche aus dieser Vereinbarung beginnt mit dem Schluss des Jahres, in dem der jeweilige Anspruch entstanden ist. Die Dauer der Verjährung richtet sich nach dem allgemeinen Datenschutzrecht oder den allgemeinen Bestimmungen des Rechts des Landes, in dem der für die Verarbeitung Verantwortliche seinen Geschäftssitz hat, je nachdem, welche Verjährungsfrist länger ist.

3.8. Beendigung

Sofern in der Dienstleistungsvereinbarung nicht näher vereinbart, kann der für die Verarbeitung Verantwortliche die Dienstleistungsvereinbarung aus wichtigem Grund mit sofortiger Wirkung kündigen, wenn der Auftragsverarbeiter gegen wesentliche Bestimmungen dieser Vereinbarung oder gegen geltendes Datenschutzrecht verstößt und es für den für die Verarbeitung Verantwortlichen - vernünftigerweise - unzumutbar wäre, die Dienstleistungsvereinbarung weiter aufrechtzuerhalten, wenn der Auftragsverarbeiter den Verstoß nicht innerhalb von 14 Tagen nach Entdeckung des Verstoßes oder nach Mitteilung durch den für die Verarbeitung Verantwortlichen behebt. Insbesondere ist es dem für die Verarbeitung Verantwortlichen nicht zumutbar, die Dienstleistungsvereinbarung weiter aufrechtzuerhalten, wenn der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen nicht umsetzt, nachdem der Auftragsverarbeiter versucht hat, den Verstoß innerhalb von 14 Tagen zu beheben, oder wenn der Auftragsverarbeiter bei Anfragen von betroffenen Personen oder Behörden nur unzureichende oder gar keine Unterstützung leistet, d. h. die Bedingungen der Dienstleistungsvereinbarung nicht einhält, obwohl dies verlangt wurde, oder wenn der Auftragsverarbeiter sich weigert, dem für die Verarbeitung Verantwortlichen die Durchführung von Audits zu ermöglichen.

4. Verantwortlicher und Auftragsverarbeiter

4.1. Verantwortlicher und der Auftragsverarbeiter erfüllen ihre jeweiligen Verpflichtungen, die sich aus dieser Vereinbarung und dem geltenden Datenschutzrecht ergeben.

4.2. Verarbeitet der Auftragsverarbeiter personenbezogene Daten außerhalb des Auftrags im Sinne von Abschnitt 3.1, so führt er die Verarbeitung gemäß Art. 28(10) DSGVO auf eigene Verantwortung als Verantwortlicher durch; dies gilt auch fr die Übermittlung an Dritte (im Sinne von Art. 4(10) DSGVO). In den Fällen des Art. 28(3), Unterabsatz 2(a) DSGVO vorliegen, muss der Auftragsverarbeiter den Verantwortlichen darüber informieren.

5. Pflichten für den Verantwortlichen

5.1. Im Rahmen der Beauftragung ist der Verantwortliche verpflichtet, seinen Verpflichtungen aus der DSGVO und dem geltenden Datenschutzrecht nachzukommen, insbesondere im Hinblick auf die Rechte der betroffenen Personen im Sinne der Art. 12 - 22 DSGVO.

5.2. Zahlungsverpflichtungen der verantwortlichen Stelle im Zusammenhang mit der Beauftragung im Sinne von Ziffer 3.1 sowie der Durchführung dieser Beauftragung entstehen nur, soweit der Dienstleistungsvertrag eine solche Zahlungsverpflichtung ausdrücklich begründet.

6. Rechte des Verantwortlichen, Anweisungen zu erteilen

6.1. Der Auftragsverarbeiter erkennt an, dass die Auftragsverarbeitung im Einklang mit der DSGVO und den geltenden Datenschutzgesetzen sowie behördlichen Anordnungen erfordert, dass der Auftragsverarbeiter strikt an alle Erklärungen des für die Verarbeitung Verantwortlichen gebunden ist, die den Umfang und den Zweck der Verarbeitung personenbezogener Daten bestimmen, und dass er diese Erklärungen so umsetzen muss,

dass die Entscheidungsbefugnis des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung gewährleistet ist ("Weisungen").

6.2. Der Auftragsverarbeiter hat die Weisungen des für die Verarbeitung Verantwortlichen unverzüglich und wirksam auszuführen.

6.3. Weisungen müssen immer schriftlich oder in Textform (z. B. per E-Mail oder Fax) erteilt werden. Mündliche Weisungen sind nur in dringenden Ausnahmefällen zulässig; sie müssen vom Auftragsverarbeiter schriftlich oder in Textform dokumentiert werden.

6.4. Im Übrigen gelten die Art. 28 und 29 DSGVO, insbesondere Art. 28(3), Unterabsatz 3 DSGVO, Anwendung (betreffend: Beanstandung/Information über rechtswidrige Weisungen).

7. Verpflichtungen des Auftragsverarbeiters

7.1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen im Rahmen des Auftrags im Sinne von Ziffer 3.1 und in Übereinstimmung mit dem geltenden Datenschutzrecht.

7.2. Der Auftragsverarbeiter stellt gemäß Art. 28(3), Unterabsatz 2(b), 29, 32(4) DSGVO sicher, dass die seiner Verantwortung unterstehenden natürlichen Personen, die an der Verarbeitung im Rahmen des Auftrags beteiligt sind, gemäß den Weisungen des Verantwortlichen handeln, zur Verschwiegenheit verpflichtet sind und Diskretion bezüglich der Verarbeitung wahren. Der Auftragsverarbeiter stellt außerdem sicher, dass seine Mittel (insbesondere Programme, Datenbanken, technische Infrastruktur) für die Verarbeitung personenbezogener Daten (Artikel 4 Absatz 1, 4 Absatz 2 DSGVO, insbesondere zum Erheben, Aufzeichnen, Organisieren, getrennten Speichern, Ändern, Auffinden, Lesen, Abfragen, Abgleichen und Vergleichen und Löschen) verwendet werden, für die Verarbeitung personenbezogener Daten konzipiert wurden, dafür geeignet sind und dass dieser Zustand während der gesamten Laufzeit dieser Vereinbarung beibehalten wird.

7.3. Der Auftragsverarbeiter ist verpflichtet, die erforderlichen Maßnahmen in seinem geografischen und funktionalen Zuständigkeitsbereich im Sinne von Art. 32 DSGVO zu treffen. Insbesondere verpflichtet sich der Auftragsverarbeiter, unter Berücksichtigung des jeweiligen Stands der Technik, der Kosten der Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten der betroffenen Personen, seine innerbetriebliche Organisation so zu gestalten und zu aktualisieren, dass sie den Anforderungen des geltenden Datenschutzrechts, insbesondere der DSGVO, entspricht und damit die Rechte der betroffenen Personen schützt. Generell müssen die getroffenen technischen und organisatorischen Maßnahmen darauf ausgerichtet sein, die folgenden Schutzziele zu erreichen:

7.3.2. Zugangskontrolle (Schutz der Verarbeitungsprozesse vor unbefugter Nutzung)

7.3.3. Zugriffskontrolle (Zuweisungskonforme Berechtigungskonzepte)

7.3.4. Trennungskontrolle (Trennung der Verarbeitung nach Verarbeitungszwecken)

7.3.5. Offenlegungskontrolle (Sicherstellung der Integrität, z.B. bei Transferprozessen, Verschlüsselung)

7.3.6. Eingangskontrolle (Nachvollziehbarkeit des Datenzugriffs, soweit möglich und zulässig)

7.3.7. Verfügbarkeitskontrolle (Absicherung gegen Verlust/Zerstörung sowie Ausfallsicherheit des Systems)

7.3.8. Zuordnungskontrolle (Überprüfung, ob die Verarbeitung tatsächlich in Übereinstimmung mit der Zuordnung und den Anweisungen durchgeführt wird)

7.3.9. Regelmäßige Überprüfung der Wirksamkeit der vorgenannten Maßnahmen und Verfahren

7.4. Haben die Parteien ergänzende oder detaillierte Regelungen zu technischen und organisatorischen Maßnahmen gemäß Ziffer 7.3 schriftlich vereinbart (insbesondere, wenn ein Schutzbedarf festgestellt und vereinbart wurde, wie z.B. "Hoch"), gehen diese Regelungen vor.

7.5. Der für die Verarbeitung Verantwortliche ist berechtigt, die Einhaltung der gemäß Abschnitt 11 eingegangenen Verpflichtungen zu überprüfen. Festgestellte Pflichtverletzungen müssen behoben werden. Der für die Verarbeitung Verantwortliche ist berechtigt, das vorgenannte Kontrollrecht gegenüber dem Auftragsverarbeiter und etwaigen Unterauftragnehmern auszuüben.

7.6. Der Auftragsverarbeiter ist verpflichtet, im Rahmen seines Verantwortungsbereichs die erforderlichen Unterlagen über die Verarbeitung aufzubewahren und diese dem Verantwortlichen auf dessen Anfrage (gemäß Art. 28 Abs. 3 Unterabs. 2 h DSGVO) zur Verfügung zu stellen. Der Inhalt der Dokumentation muss es dem Verantwortlichen ermöglichen, die Korrektheit der Datenverarbeitung (gemäß Art. 24(1) DSGVO) nachzuweisen. Dies gilt entsprechend für die aufzubewahrenden Verarbeitungsprotokolle sowie die durchzuführenden und zu dokumentierenden Datenschutz-Folgenabschätzungen.

7.7. Der Auftragsverarbeiter ist verpflichtet, den für die Verarbeitung Verantwortlichen bei der Beantwortung von Anträgen und Forderungen der betroffenen Personen (gemäß Kapitel 3 DSGVO) zu unterstützen. Werden die Rechte direkt gegenüber dem Auftragsverarbeiter geltend gemacht, muss der Auftragsverarbeiter diese unverzüglich an den für die Verarbeitung Verantwortlichen weiterleiten. Dies schließt nicht aus, dass der Auftragsverarbeiter das Recht der betroffenen Person nach Erhalt der entsprechenden Anweisungen des für die Verarbeitung Verantwortlichen erfüllt.

7.8. Hat der für die Verarbeitung Verantwortliche behördliche Anordnungen oder Ersuchen zu bearbeiten, die sich auf die Tätigkeit des Auftragsverarbeiters im Zusammenhang mit dem Auftrag beziehen, so unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen in dem Umfang, der zur Erfüllung der behördlichen Anordnung oder des Ersuchens erforderlich ist.

7.9. Der Auftragsverarbeiter stellt sicher, dass die von ihm im Rahmen des Auftrags angewandten Verfahren und die für die Dauer des Auftrags eingesetzten Ressourcen so

gestaltet sind und bleiben, dass sie eine wirksame Umsetzung der Anweisungen des für die Verarbeitung Verantwortlichen oder der Anforderungen aus dem geltenden Datenschutzrecht ermöglichen.

7.10. Der Auftragsverarbeiter muss durch technische und organisatorische Maßnahmen sicherstellen, dass personenbezogene Daten nach Beendigung des Auftrags an den für die Verarbeitung Verantwortlichen freigegeben und/oder gelöscht werden können; der Auftragsverarbeiter bestätigt die Löschung auf Verlangen des für die Verarbeitung Verantwortlichen schriftlich. Das Recht des Auftragsverarbeiters, personenbezogene Daten nach Beendigung des Auftrags für eigene Zwecke und auf eigene Verantwortung weiter zu verarbeiten, bleibt davon unberührt.

8. Subunternehmer

8.1. Der Auftragsverarbeiter kann die gesamte oder einen Teil der Auftragsverarbeitung an Subunternehmer vergeben, wenn der für die Verarbeitung Verantwortliche im Einzelfall seine schriftliche Einwilligung erteilt hat. Für die folgenden anderen Auftragsverarbeiter liegt die Zustimmung zu den unten definierten Verarbeitungstätigkeiten bereits jetzt vor:

Die vollständige und detaillierte Liste der Unterauftragsverarbeiter von Lemin finden Sie hier: https://www.lemin.ai/datenschutzrichtlinie

Subunternehmer (lemin.ai/app.lemin.ai):

Google LLC (Google Analytics, Google Tag Manager, Google Fonts, Google reCaptcha, Youtube)
Zendesk Inc. (Support-Center)
Vimeo Inc. (Video-Hosting)
Microsoft Corporation (Office)

Subunternehmer (lemin.ai):

Hubspot Inc. (CRM-Tool)
Wix Ltd. (Website)

Subunternehmer (app.lemin.ai):

Amazon Web Services Inc. (Server)
MongoDB Inc. (Datenbank)
Sendinblue Gmbh (E-Mail-Automation)
Datadog Inc. (Anwendungsüberwachung, Fehlerprotokollierung)
Intuition Machines – hCaptcha, Intuition Machines Inc. (Spam/Bot-Abwehr)
ConfigCat Szolgáltató és Fejlesztő Korlátolt Felelősségű Társaság (Feature-Toggling)

8.2. Der Auftragsverarbeiter ist dafür verantwortlich, dass Subunternehmer hinsichtlich ihrer Verarbeitung im Rahmen der Beauftragung mindestens in gleichem Maße verpflichtet werden, wie dies in diesem Vertrag und im geltenden Datenschutzrecht vorgesehen ist; dies gilt insbesondere für § 10.

8.3. Im Übrigen gelten die Bestimmungen der DSGVO über die Unterauftragsvergabe, insbesondere Art. 28(4) DSGVO.

Grenzüberschreitende Auftragsverarbeitung

8.4. Die Auftragsverarbeitung kann in allen Mitgliedstaaten der Europäischen Union sowie in Island, Liechtenstein, Norwegen und der Schweiz durchgeführt werden, ohne dass es einer zusätzlichen Regelung bedarf.

8.5. Eine Auftragsverarbeitung in anderen als den in Abschnitt 8.4 genannten Ländern (nachfolgend "Drittland") ist zulässig, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss der EU-Kommission für das jeweilige Drittland) für die Auftragsverarbeitung in einem Drittland erfüllt sind.

8.6. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über die Auftragsverarbeitung in einem Drittland, die von ihm selbst oder einem seiner Unterauftragnehmer durchgeführt wird.

8.7. Sofern nichts anderes schriftlich vereinbart wurde, muss der Auftragsverarbeiter die Zulässigkeitsvoraussetzungen im Sinne von Abschnitt 9.2 erfüllen.

8.8. Das Erfordernis der Einwilligung im Sinne des Abschnitts 8.1 bleibt unberührt.

9. Benachrichtigung über eine Datenschutzverletzung

9.1. Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen innerhalb von 24 Stunden nach Entdeckung einer tatsächlichen oder wahrscheinlichen Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4(12) DSGVO.

9.2. Die Meldung muss Informationen enthalten, die es dem für die Verarbeitung Verantwortlichen ermöglichen, die Anforderungen gemäß Art. 33, 34 DSGVO zu erfüllen; im Falle von Mängeln müssen auf Anfrage des für die Verarbeitung Verantwortlichen zusätzliche Informationen bereitgestellt werden. Die Meldung muss textlich erfolgen.

9.3. Nach Bekanntwerden eines Datenschutzvorfalls ergreift der Auftragsverarbeiter unverzüglich die erforderlichen Maßnahmen zum Schutz der Daten und zur Minderung der nachteiligen Auswirkungen für die betroffenen Personen.

10. Überwachungs- und Prüfungsrechte des für die Verarbeitung Verantwortlichen

10.1. Der für die Verarbeitung Verantwortliche ist während der Dauer der Beauftragung und danach bis zum Ablauf der Verjährungsfrist berechtigt, gegenüber dem Auftragsverarbeiter Kontrollen (Monitoring, Audits) durchzuführen oder durchführen zu lassen, um zu überprüfen, ob und inwieweit die tatsächlich durchgeführte Verarbeitung im Einklang mit diesem Vertrag und dem geltenden Datenschutzrecht steht. Dies kann einmal alle 12 Monate geschehen.

10.2. Solche Kontrollen sind rechtzeitig anzukündigen. Im Falle von Datenverstößen (Verarbeitungen, die gegen diese Vereinbarung oder das geltende Datenschutzrecht verstoßen) oder bei begründetem Verdacht auf solche Datenverstöße ist der Auftragsverarbeiter verpflichtet, kurzfristige Kontrollen zu ermöglichen, zu dulden und zu unterstützen.

10.3. Die in der Dienstleistungsvereinbarung getroffenen Vereinbarungen über die Vertraulichkeit gelten für die Kontrollen/Audits und deren Ergebnisse. Vertraulichkeitsverpflichtungen gelten nicht, soweit eine Offenlegung zur Erfüllung gesetzlicher oder behördlicher Anforderungen erforderlich ist. Die mit der Durchführung der Überwachung/des Audits beauftragten Personen sind zur Vertraulichkeit zu verpflichten, soweit sie nicht gesetzlich zur Geheimhaltung verpflichtet sind.

11. Haftung

11.1. Die Haftung jeder Partei gegenüber der anderen Partei unterliegt dem geltenden Datenschutzrecht.

11.2. Der Auftragsverarbeiter haftet nicht für Schäden und Verluste, die durch die Ausührung rechtswidriger Anweisungen des für die Verarbeitung Verantwortlichen entstehen; der für die Verarbeitung Verantwortliche hält den Auftragsverarbeiter für solche Schäden und Verluste schadlos. Für den Fall, dass eine betroffene Person Ansprüche gegen den für die Verarbeitung Verantwortlichen erhebt, stellt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen von diesen Ansprüchen frei, soweit der Auftragsverarbeiter für die Umstände, die zu den Ansprüchen geführt haben, verantwortlich ist.

12. Anwendbares Recht

12.1. Für die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrages gilt das anwendbare Datenschutzrecht; Gerichtsstand für Streitigkeiten in diesem Zusammenhang ist Köln, Deutschland.

12.2. Aus Gründen der Klarheit hat das Vorstehende keine Auswirkungen auf Streitigkeiten zwischen einer Partei dieser Vereinbarung und einer Aufsichtsbehörde (z.B. Art. 4(21), 55, 56, 78 DSGVO) sowie Streitigkeiten zwischen einer Partei dieses Vertrages und einer betroffenen Person (z.B. Art. 4 (1), 79 DSGVO), auf die das gesetzliche Recht Anwendung findet.

12.3. Soweit sich eine Streitigkeit zwischen den Parteien nicht auf die Verarbeitung personenbezogener Daten bezieht, unterliegt diese Vereinbarung dem in der Dienstleistungsvereinbarung festgelegten Gerichtsstand und der Rechtswahl.

12.4. Bei behördlichen und gerichtlichen Verfahren unterstützen sich die Parteien gegenseitig, soweit dies möglich und erforderlich ist, um unbegründete Ansprüche abzuwehren oder berechtigte Ansprüche zu befriedigen.

12.5. Soweit in diesem Vertrag oder im Dienstleistungsvertrag nicht ausdrücklich etwas anderes geregelt ist, haben die Regelungen in diesem Vertrag Vorrang vor den Regelungen im Dienstleistungsvertrag.

Technische und organisatorische Maßnahmen (TOM)

i.S.d. Art. 32 DSGVO

Als Cloud-Service hat die Sicherheit von Daten für uns oberste Priorität. Nachfolgend erläutern wir die wichtigsten Maßnahmen, die wir zum Schutz von Daten ergreifen.

1. Hosting

Unsere Software wird auf Servern gehostet, die von Amazon Web Services (AWS) in seinen europäischen Rechenzentren bereitgestellt werden.

AWS führt fortlaufend Audits durch und erfüllt u.a. die folgenden Standards:

ISO 27001

ISO 27017

ISO 27018

ISO 27701

ISO 22301

ISO 9001

SOC 1

SOC 2

SOC 3

CSA STAR CCM v4.0

Andere Dienstleister, die von Lemin zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.

MongoDB, Inc.

Sendinblue GmbH

Datadog, Inc.

Eine Übermittlung von Daten an einen Staat, der weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums ist, erfolgt einzig und allein im Einklang mit der Allgemeinen Datenschutzgrundverordnung (DSGVO) und nur wenn die spezifischen Anforderungen des Artikels 44 ff. der DSGVO erfüllt sind. Insbesondere erfordert eine solche Übertragung eine klar geregelte, vertragliche Vereinbarung zwischen Lemin und dem entsprechenden Dienstleister, die mindestens das gleiche Datenschutzniveau garantiert. Dies geschieht gemäß den von der Europäischen Kommission festgelegten Standardvertragsklauseln.

2. Passwörter

Passwörter werden immer gehasht (mit Salt) und niemals im Klartext gespeichert. Wenn ein Benutzer versucht sich anzumelden, wird sein Passwort auf dieselbe Weise gehasht, und die Plattform vergleicht die gehashten Versionen, um zu überprüfen, ob sie übereinstimmen. Dies bedeutet auch, dass wir keine Passwörter wiederherstellen können (da wir nur die gehashten Versionen haben). Falls Nutzer ihr Passwort verlieren, muss es zurückgesetzt werden. Für zusätzliche Sicherheit geben wir bei der Registrierung eine Mindestlänge von 8 Zeichen für das Passwort vor. Die Authentifizierung in Lemin erfolgt über JWT mit einer sehr kurzen Gültigkeit, um weniger Angriffsvektoren zu bieten.

3. Cookies und Tokens

Unsere Plattform verwendet Cookies und JWT, um Benutzer über Sitzungen hinweg zu authentifizieren. JWTs enthalten niemals Passwörter oder andere vertrauliche Informationen. Um auf kritische Funktionen zuzugreifen -beispielsweise beim Ändern Ihres Passworts-, muss das Passwort erneut eingeben werden.

4. Datenverschlüsselung

Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Servern erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet. Lemins Produkte sind nur mit HTTPS zu erreichen.

5. Sichere Frameworks

Neben einer sicheren Hosting-Umgebung bauen wir auf etablierten Softwarebibliotheken auf, um sicherzustellen, dass Ihre Daten geschützt sind und die Benutzer der Plattform keinen Schwachstellen ausgesetzt sind.

Wir verwenden MongoDB Atlas als Managed Database Provider, der für das sichere Hosting der Datenbank zuständig ist. Die Verwendung einer etablierten Middleware und von Input Sanitization für alle Eingaben sorgen für zusätzlichen Schutz.

6. Zugriff von innen verhindern

Während die zuvor aufgeführten Software-Frameworks das System bereits vor dieser Bedrohung schützen, überprüft der Anwendungscode zusätzlich jede Anforderung und überprüft, ob die Organisations-ID des Datenbankobjekts mit der Organisations-ID des Benutzers übereinstimmt.

Außerdem wenden wir ein striktes rollenbasiertes Modell auf alle Anforderungen und Ansichten der Plattform an. Dadurch wird verhindert, dass Mitarbeitende auf Funktionen zugreifen (z.B. Ändern von Benutzerdaten, Bearbeiten von Rechnungsinformationen usw.), die nur Administratoren vorbehalten sein sollten.

7. Zugriffsbeschränkungen für Code und Datenbank

Unsere Anwendung und Datenbank werden in einem sicher bewachten Datenzentrum gehostet, in dem professionell ausgebildetes Personal für die physische Sicherheit der Server sorgt.

Auch der Fernzugriff ist streng begrenzt. Innerhalb unseres Teams muss jeder Einsatz von neuem Code genehmigt werden. Die gleiche Zugangsbeschränkung gilt für unsere Datenbanken und den internen Verwaltungsbereich. Der Zugang zu den Datenbanken, zu

unserem zentralen Code-Repository und zu unserer Hosting-Umgebung ist darüber hinaus durch eine 2-Faktor-Authentifizierung geschützt. Wir aktualisieren regelmäßig Passwörter und Sicherheits-Token. Menschliche Datenbankzugriffe werden geloggt und sind nur temporär. Der Datenbankzugriff durch das Backend erfolgt über VPC und nicht über das öffentliche Internet. Änderung an der Cloudinfrastruktur werden durch ein Auditsystem geloggt.

Generell werden Berechtigungen nur so vergeben, wie sie auch wirklich notwendig sind.

In unseren internen Administrationsdaten zeigen wir nur Nutzer nur pseudonymisiert an. Wir sehen keine Rohdaten von Kunden ein, es sei denn, wir haben die Erlaubnis dazu, um einen Fehler zu beheben. Die meisten Fehler können jedoch behoben werden, indem Serverprotokolle analysiert und das Problem mit Dummy Daten reproduziert wird.

8. Kontentrennung

Lemin trennt die Konten und Zugriffe für die verschiedenen Umgebungen (Development, Staging, Production, Sandbox). Somit ist sichergestellt, dass nur die Personen auf die Produktionsumgebung Zugriff haben, die es auch müssen.

9. Firewall und Sicherheitsgruppen

Lemin verwendet zum Schutz von Web-Exploits und Bots, welche die Verfügbarkeit und Sicherheit beeinträchtigen können, eine Web-Firewall. des Weiteren wird ein Rate-Limit verwendet, um die maximale Zugriffe pro Minute zu limitieren - somit können zum Beispiel Brute-Force-Attacken verringert werden.

Ein weiterer Sicherheitsmechanismus sind Sicherheitsgruppen, die festlegen von welchen Netzwerken und Ports die internen Dienste erreicht werden können.

10. Netzwerktrennung

Die Trennung der Netzwerke wird durch unterschiedliche Konten als auch durch unterschiedliche Virtual Private Clouds (VPCs) umgesetzt. Ein direkter Zugriff zwischen VPCs und verschiedenen Konten ist nicht möglich.

Die Systeme von Lemin werden ausschließlich in der EU/EWR gehostet. Jegliche Systeme werden redundant ausgelegt und in mehreren Verfügbarkeitszonen (üblicherweise drei) verteilt. Somit wird sichergestellt, dass selbst beim Ausfall einer Verfügbarkeitszone die Systeme von Lemin weiterhin uneingeschränkt funktionieren.

Unsere Infrastruktur wird in privaten Subnetzen gehostet und sind somit nicht direkt aus dem Internet erreichbar. Nur die öffentlich zugänglichen Teile der Infrastruktur, wie z.B. Load Balancer, befinden sich im öffentlichen Netz.

11. Vereinbarung zur Auftragsverarbeitung (AVV)

Sobald mit der Nutzung von Lemin begonnen wird, unterzeichnen beide Parteien eine AVV. Diese legt fest, wie wir Daten behandeln dürfen, welche Sicherheitsmaßnahmen vertraglich zugesichert sind und welche Rechte unser Vertragspartner hat. Der Vertrag ist erforderlich, um DSGVO-konform zu sein.

12. Interne Sicherheitsrichtlinien

Unser Team ist sicherheitsbewusst. Um nicht zum Opfer von Betrügern von außen zu werden, veranstalten wir regelmäßig interne Sicherheitsschulungen, nutzen nur aktuelle und moderne Browser, verwenden Kennwortmanager und unterschiedliche Kennwörter für sämtliche Websites und aktualisieren regelmäßig unsere Passwörter. Dabei unterschreiben unsere Mitarbeitenden eine Verpflichtungserklärung auf das Datengeheimnis.

13. Verfügbarkeit und Notfallwiederherstellung

Unsere Anwendung und Datenbanken sind auf verschiedene Server verteilt und repliziert. Falls einer dieser Server ausfällt, übernimmt eine andere Instanz die Aufgabe, die Anwendung bereitzustellen. In der Regel passiert das, ohne dass der Endbenutzer dies tatsächlich bemerkt.

Die Datenbankdaten sind verschlüsselt gesichert und können wiederhergestellt werden, falls die Software oder der Server einmal ausfallen sollten. Die Backups werden in verschiedenen europäischen Datenzentren zur zusätzlichen Sicherheit gespeichert. Einzelne Kundenkonten können nicht wiederhergestellt werden. Wenn etwas in einem Konto gelöscht wird, ist es tatsächlich gelöscht.

14. Überwachung

Wir überwachen die Leistung unserer Anwendung und Datenbanken. Interne Fehler oder potenzielle Fehler unserer verschiedenen Integrationen werden protokolliert und lösen Benachrichtigungen an unser Entwicklungsteam aus. So können wir das Problem normalerweise innerhalb weniger Minuten identifizieren und die Situation schnell beheben.

15. Nutzeranfragen und Fehlerberichte

Trotz all dieser Vorkehrungen mag es vorkommen, dass Benutzer manchmal einen Fehler bemerken. In einem solchen Fall können Nutzer sich per E-Mail an support@lemin.ai mit uns in Verbindung setzen oder nutzen sie unser Kontaktformular.

16. Transparenz-Richtlinie

Wenn jemals etwas Ernstes passieren sollte und Ihre Daten davon betroffen sind, werden wir Kunden umfassend informieren, damit sie die entsprechenden Vorsichtsmaßnahmen treffen und den Schaden minimieren können.

17. Löschen der Daten

Inaktive Benutzeraccounts werden gelöscht und Daten, die für die Verbesserung der Produkte notwendig sind, werden anonymisiert.

Bei Fragen wenden Sie sich gerne an uns.

christof.weidl@lemin.ai

Lemin GmbH

Rochusplatz 1, 50827 Köln