Skip to main content
Auftragsverarbeitungsvertrag — Leto

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Leto GmbH · Kramerstraße 7 · 87700 Memmingen

Parteien und Vertragsgegenstand

Die Parteien haben einen Vertrag über die Nutzung der SaaS-Plattform „Leto“ zur automatisierten Suche, Analyse und Verwaltung öffentlicher Ausschreibungen (nachfolgend „Hauptvertrag“) geschlossen. Der Auftragnehmer verarbeitet dabei im Auftrag des Auftraggebers personenbezogene Daten. Der Auftragnehmer ist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO, und der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Mit dem vorliegenden Auftragsverarbeitungsvertrag legen die Parteien ihre Pflichten und Rechte nach Art. 28 DSGVO fest.

Geltung der EU-Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO

Die Parteien vereinbaren hiermit die Geltung der Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeitern gemäß Art. 28 Abs. 7 der Europäischen Datenschutz-Grundverordnung („DSGVO“) ((EU) 2021/915 vom 4. Juni 2021) („Standardvertragsklauseln“). Die Standardvertragsklauseln sind im Amtsblatt der Europäischen Union L 199/18 veröffentlicht und können unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0915 abgerufen werden. Sie sind Bestandteil dieses Auftragsverarbeitungsvertrags.

In den Klauseln 1 lit. a, 8 lit. c Nr. 4, 9.1 lit. b und lit. c sowie 9.2 Abs. 3 der Standardvertragsklauseln wählen die Parteien hiermit Option 1.

Die fakultative Klausel 5 der Standardvertragsklauseln (Kopplungsklausel) gilt nicht.

Folgende Klauseln der Standardvertragsklauseln gelten nicht: Klausel 2 (Unabänderbarkeit) und Klausel 7.7 lit. e (Drittbegünstigtenklausel in Verträgen mit Unterauftragsverarbeitern).

Die Informationen zur Vervollständigung der Anhänge I-IV der Standardvertragsklauseln sind in den Anhängen I-IV dieses Auftragsverarbeitungsvertrags enthalten.

Unterauftragsverarbeiter

In Klausel 7.7 lit. a der Standardvertragsklauseln (Einsatz von Unterauftragsverarbeitern) vereinbaren die Parteien Option 2 (allgemeine schriftliche Genehmigung). Die Frist für die Benachrichtigung über neue oder geänderte Unterauftragsverarbeiter beträgt 30 Tage. Widerspricht der Auftraggeber einem neuen Unterauftragsverarbeiter, werden die Parteien nach Treu und Glauben verhandeln, um eine gütliche Einigung zu finden. Kommt eine solche binnen 14 Tagen nicht zustande, so ist der Auftragnehmer zur (Teil-)Kündigung des Vertrags berechtigt, soweit der neue Unterauftragsverarbeiter für die Erbringung der Vertragsleistungen benötigt wird. Etwaig im Voraus bezahlte Vergütungen für die gekündigten Leistungen werden vom Auftraggeber in diesem Fall anteilig erstattet.

Aktuelle Liste der Unterauftragsverarbeiter →

Ort der Datenverarbeitung

Sämtliche Verarbeitungen personenbezogener Daten im Rahmen dieses Auftrags erfolgen ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR). Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt. Sollte eine Verarbeitung in einem Drittland im Einzelfall erforderlich werden, erfolgt diese nur mit vorheriger schriftlicher Zustimmung des Auftraggebers und unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (insbesondere Standardvertragsklauseln und Transfer Impact Assessment).

Sicherheitsvorkehrungen bei Unterauftragsverarbeitern

Der Auftragnehmer stellt sicher, dass mit sämtlichen Unterauftragsverarbeitern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden, die den Anforderungen dieses Vertrags entsprechen. Sofern ein Unterauftragsverarbeiter seinen Sitz außerhalb des EU/EWR hat, stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 46 DSGVO vorliegen, insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCCs) sowie die Durchführung eines Transfer Impact Assessments (TIA). Der Auftragnehmer überwacht die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen durch seine Unterauftragsverarbeiter und haftet dem Auftraggeber für deren datenschutzkonformes Handeln.

Kontrollrechte

Die Beantwortung von Anfragen nach Klausel 7.6.b und die zur Verfügungstellung von Informationen nach Klausel 7.6.c Satz 1 der Standardvertragsklauseln erfolgt, indem der Auftragnehmer dem Auftraggeber vorliegende Dokumentationen, Zertifizierungen, Berichte und Unterlagen betreffend die Datenverarbeitung und Sicherheitsmaßnahmen bereitstellt („Sicherheitsdokumentation“). Sollte die Sicherheitsdokumentation nicht ausreichen, um die Einhaltung der Standardvertragsklauseln durch den Auftragnehmer zu bewerten (z.B. beim konkreten Hinweisen der Nichteinhaltung), wird der Auftragnehmer zusätzliche schriftliche Anfragen des Auftraggebers beantworten. Wenn und soweit auch diese nicht ausreichen, gestattet der Auftragnehmer Prüfungen vor Ort, insbesondere wenn eine zuständige Aufsichtsbehörde eine solche Prüfung verlangt.

Meldung von Datenschutzvorfällen

Der Auftragnehmer wird den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten informieren. Die Meldung erfolgt an die vom Auftraggeber benannte Kontaktperson und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit diese dem Auftragnehmer vorliegen. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen gemäß Art. 33 und 34 DSGVO.

Vergütung

Aufwände des Auftragnehmers für folgende Leistungen sind vom Auftraggeber nach tatsächlich angefallenem Aufwand gesondert zu vergüten:

  • Aufwände, die im Rahmen von Kontrollen des Auftraggebers beim Auftragnehmer vor Ort entstehen, sowie Aufwände für das Erstellen von Dokumentationen, Zertifizierungen, Berichten und Unterlagen zu Sicherheitsmaßnahmen, die über das hinausgehen, was beim Auftragnehmer bereits vorliegt.
  • Unterstützung des Auftraggebers bei der Erfüllung und Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person (z. B. Auskunftsersuchen).
  • Unterstützung des Auftraggebers bei der Einhaltung der in den Artikeln 33 und 34 DSGVO genannten Pflichten (Meldungen und Benachrichtigungen von Verletzungen des Schutzes personenbezogener Daten), wenn und soweit der Auftragnehmer für die Verletzungen des Schutzes personenbezogener Daten nicht verantwortlich ist.
  • Unterstützung des Auftraggebers bei der Einhaltung der in den Artikeln 35 und 36 DSGVO genannten Pflichten (Datenschutzfolgenabschätzung).

Vor Entstehen entsprechender Kosten wird der Auftragnehmer den Auftraggeber hierauf hinweisen. Die Höhe der Vergütung für Arbeitsaufwände entspricht den zwischen den Parteien vereinbarten Sätzen, hilfsweise einer branchen- und ortsüblichen Vergütung.

Haftungsbeschränkung

Der Auftragnehmer haftet für Schäden, soweit diese

a) vorsätzlich oder grob fahrlässig vom Auftragnehmer verursacht wurden, oder

b) leicht fahrlässig vom Auftragnehmer verursacht wurden und auf wesentliche Pflichtverletzungen zurückzuführen sind, die die Erreichung des Zwecks des Vertrages gefährden oder auf die Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages erst ermöglicht und auf deren Einhaltung der Auftraggeber vertrauen darf (Kardinalspflichten).

Im Übrigen ist die Haftung des Auftragnehmers für leichte Fahrlässigkeit unabhängig von deren Rechtsgrund ausgeschlossen, außer der Auftragnehmer haftet kraft Gesetzes zwingend, insbesondere wegen Verletzung von Leben, Körper oder Gesundheit einer Person, Übernahme einer ausdrücklichen Garantie, arglistigem Verschweigen eines Mangels oder nach dem Produkthaftungsgesetz.

Im Falle von Buchstabe b) (leicht fahrlässige Verletzung von Kardinalspflichten) haftet der Auftragnehmer nur begrenzt auf den für einen Vertrag dieser Art typischerweise vorhersehbaren Schaden.

Die vorgenannten Haftungsbeschränkungen gelten auch bei Ansprüchen gegen Mitarbeiter, gesetzliche Vertreter und Beauftragte des Auftragnehmers.

Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Auftragsverarbeitungsvertrags unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Statt der unwirksamen Bestimmung gilt dasjenige, was die Parteien nach dem ursprünglich angestrebten Zweck unter wirtschaftlicher Betrachtungsweise redlicherweise vereinbart hätten. Das Gleiche gilt im Falle einer Vertragslücke.

In Bezug auf Formerfordernisse, anwendbares Recht und Gerichtsstand gelten die Bestimmungen des Hauptvertrags (AGB).

Vertragsschluss

Dieser Auftragsverarbeitungsvertrag wird mit Akzeptanz der Allgemeinen Geschäftsbedingungen (AGB) der Leto GmbH durch den Auftraggeber geschlossen. Eine gesonderte Unterzeichnung ist nicht erforderlich. Der Zeitpunkt der AGB-Akzeptanz gilt als Zeitpunkt des Vertragsschlusses.

ANHANG I: LISTE DER PARTEIEN

Verantwortlicher

Verantwortlicher ist der Kunde, der die Allgemeinen Geschäftsbedingungen (AGB) der Leto GmbH akzeptiert hat (Auftraggeber).

Ist der Auftraggeber in Bezug auf den Vertragsgegenstand seinerseits Auftragsverarbeiter für einen Dritten, so gilt der Auftraggeber im Verhältnis zum Auftragnehmer für die Zwecke dieses Auftragsverarbeitungsvertrags als Verantwortlicher.

Ansprechpartner beim Auftraggeber: Die im Kundenkonto hinterlegte Kontaktperson des Auftraggebers.

Auftragsverarbeiter

Auftragsverarbeiter ist die Leto GmbH, Kramerstraße 7, 87700 Memmingen, Deutschland (Auftragnehmer).

Ansprechpartner beim Auftragnehmer: Geschäftsführung, privacy@leto.biz

ANHANG II: BESCHREIBUNG DER VERARBEITUNG

  1. Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden:

  • Nutzer der Plattform (Beschäftigte und Beauftragte des Auftraggebers, die zur Nutzung der Plattform berechtigt sind)
  • Ansprechpartner und Kontaktpersonen des Auftraggebers (z.B. Administratoren, Rechnungsempfänger)
  • In hochgeladenen Dokumenten genannte Personen (soweit der Auftraggeber Dokumente mit personenbezogenen Daten Dritter auf die Plattform hochlädt)

  1. Kategorien der verarbeiteten personenbezogenen Daten

  • Personenbezogene Stammdaten: Identifikationsdaten (z.B. Name), Kontaktdaten (z.B. E-Mail, Telefonnummer)
  • IT-Systemdaten: Online-Identifikatoren (z.B. IP-Adresse, User-/Gerätekennungen), Nutzungsdaten (z.B. Logins, genutzte Funktionen)
  • Dokumentendaten: Hochgeladene Dokumente (z.B. PDFs, Präsentationen) und deren Inhalte
  • Zugriffsberechtigungen: Rollen- und Berechtigungen der Nutzer
  • Vertrags- und Rechnungsdaten: Vertragsnummer, Vertragslaufzeit, Rechnungsnummer, Rechnungsbetrag
  • Kommunikationsdaten: E-Mail-Verkehr im Rahmen der Leistungserbringung, Anfragen und Antworten im Rahmen der KI-gestützten Dokumenten-Chatfunktion, Support-Chat-Verläufe, plattforminterne Nachrichten zwischen Nutzern
  • Ansprechpartnerdaten: Kontaktdaten von Ansprechpartnern und Kontaktpersonen des Auftraggebers (z.B. Administratoren, Rechnungsempfänger)
  • Nutzungs- und Verhaltensdaten: Nutzungsverhalten auf der Plattform, z.B. aufgerufene Funktionen, Suchanfragen
  • Datei-Metadaten: Metadaten von hochgeladenen Dokumenten (z.B. Dateigröße, Erstellungsdatum)
  • In Dokumenten genannte Personen: Personenbezogene Daten Dritter, die in hochgeladenen Dokumenten enthalten sind
  • Unterschriftendaten: Digitalisierte Unterschriften der Nutzer zum Ausfüllen von Ausschreibungsunterlagen

  1. Sensible verarbeitete Daten (falls zutreffend)

Es werden keine sensiblen Daten verarbeitet.

  1. Art der Verarbeitung

Gegenstand der Auftragsverarbeitung ist: Bereitstellung und Betrieb einer cloudbasierten Software-as-a-Service-Plattform zur automatisierten Suche, Analyse und Verwaltung öffentlicher Ausschreibungen

Der Auftragnehmer führt folgende Verarbeitungen durch: Bereitstellung und Betrieb einer cloudbasierten Software-as-a-Service-Plattform zur automatisierten Suche, Analyse und Verwaltung öffentlicher Ausschreibungen gemäß Hauptvertrag/Leistungsvereinbarung. Wartung und Betrieb der zugehörigen Server- und KI-Infrastruktur. Im Rahmen der Auftragsverarbeitung werden folgende Phasen des Datenlebenszyklus abgedeckt:

a) Erhebung / Kollektion: Erfassung von Nutzerdaten im Rahmen der Kontoerstellung und Plattformnutzung (z.B. Anmeldedaten, Nutzungsverhalten). Entgegennahme und Verarbeitung von durch den Auftraggeber hochgeladenen Dokumenten.

b) Speicherung / Bereithaltung: Sichere Speicherung der Nutzerdaten und hochgeladenen Dokumente in der Cloud-Infrastruktur, um eine performante und zuverlässige Bereitstellung der Plattformfunktionen zu gewährleisten.

c) Nutzung / Verarbeitung: KI-gestützte Analyse und Aufbereitung von Ausschreibungsunterlagen und hochgeladenen Dokumenten, einschließlich automatisierter Textextraktion, Dokumentensuche und -abgleich. Bereitstellung von Suchergebnissen und Analysefunktionen für die Nutzer des Auftraggebers.

d) Löschung / Beseitigung: Löschung personenbezogener Daten nach Vertragsende oder auf Weisung des Auftraggebers gemäß den vertraglichen Vereinbarungen und den geltenden gesetzlichen Aufbewahrungsfristen.

  1. Zweck(e), für den/die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden

  • Leistungserbringung gemäß Hauptvertrag: Bereitstellung und Betrieb einer cloudbasierten Software-as-a-Service-Plattform zur automatisierten Suche, Analyse und Verwaltung öffentlicher Ausschreibungen
  • KI-gestützte Dokumentenverarbeitung und -analyse im Auftrag des Auftraggebers
  • Bereitstellung von Support- und Kommunikationsfunktionen (Support-Chat, E-Mail-Support, plattforminterne Kommunikation)
  • Nutzerverwaltung und Zugriffssteuerung
  • Hosting und Cloud-Services
  • Erbringung von Fernwartungsleistungen
  • Einspielen von Updates und Patches
  • Datensicherung und Archivierung

Soweit der Auftragnehmer die Daten für nachfolgende eigene Zwecke nutzt, ist dies nicht Gegenstand der Auftragsverarbeitung, sondern der Auftragnehmer ist eigenständiger Verantwortlicher:

  • Produktverbesserung
  • Gewährleistung der Datensicherheit
  • Tracking der App/Website-Nutzung

Der Auftragnehmer verpflichtet sich hiermit gegenüber dem Auftraggeber, bei diesen Verarbeitungen die anwendbaren Bestimmungen zum Schutz personenbezogener Daten einzuhalten, insbesondere die DSGVO.Der Auftragnehmer wird für diese eigenen Zwecke die Daten nur in anonymisierter oder pseudonymisierter Form verarbeiten.

  1. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses, einschließlich kostenfreier Nutzungszeiträume und bestehender Nutzerkonten ohne aktives Abonnement..

ANHANG III: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

1. Vertraulichkeit

Unter dem nachfolgenden Kapitel „Vertraulichkeit“, sind Maßnahmen darzustellen, die dem Schutz personenbezogener Daten vor unbefugter oder unbeabsichtigter Preisgabe dienen. Dies umfasst Schutz vor externen wie internen Angreifern (z.B. Hacker, frustrierte oder neugierige Mitarbeiter) sowie Schutz vor strukturellen Gefährdungen (z.B. ungeschulte Mitarbeiter, mangelhafte Rollen-/Rechtekonzepte, Mängel in der Datenschutzorganisation).

1.1 Zutrittskontrolle

Sicherheitsschlösser

1.2 Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten benutzt werden können.

Zugangsschutz zu Systemen durch Authentifizierung (Benutzerkennung mit Passwort)

Verfahren für die Erteilung und den Entzug von Berechtigungen einschließlich Protokollierung

Passwortrichtlinie (Mindestpasswortlänge, Komplexität, Einmaligkeit, Erzwingung durch das System)

Schutz von IT-Systemen vor Viren und sonstiger Schadsoftware mit Updates

Schriftliche Anweisung zum „manuellen Sperren“ von PCs

1.3 Zugriffskontrolle

Maßnahmen zur Sicherstellung, dass die zur Benutzung von Datenverarbeitungssystemen berechtigten Nutzer nur auf solche Daten zugreifen können, für die sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt kopiert, verändert oder gelöscht werden können.

Regelmäßige Prüfung von Rollen, Berechtigungen und Zuweisung von Rollen zu Personen

Protokollierung von Änderungen bei Rollen, Berechtigungen und bei der Zuweisung von Rollen zu Personen

Schriftliche Anweisung zum Umgang mit ausscheidenden Mitarbeitern

Beschränkung des Admin-Zugriffs (z.B. Anzahl der Admins)

Protokollierung von Änderungen, Löschungen und Datenexporten

1.4 Trennung

Maßnahmen zur Sicherstellung, dass personenbezogene Daten, die für unterschiedliche Auftraggeber oder für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.

Logische Trennung von Datenbeständen unterschiedlicher Auftraggeber (Zuordnung von Datensätzen zu Auftraggebern, unterschiedliche Dateiordner/Datenbanken/Tabellen).

Trennung von Produktiv-, Test- und Entwicklungssystemen

Mandantenfähigkeit (z. B. unterschiedliche Einstellungen je Mandant möglich, etwa zur Speicherdauer)

1.5 Verschlüsselung (Art 32 Abs. 1 lit. a) DSGVO)

Maßnahmen zur Verschlüsselung von Daten.

Verschlüsselung bei der Speicherung (Festplatten-, Datenbankverschlüsselung mit AES 256Bit)

1.6 Pseudonymisierung (Art 32 Abs. 1 lit. a) DSGVO)

Maßnahmen zu Pseudonymisierung, d.h., dem Ersetzen von Identifikationsmerkmalen wie z.B. eines Namens, einer Anschrift oder einer E-Mail-Adresse durch eindeutige Kennung, dem Pseudonym. Die Identifikationsmerkmale (und die Zuordnung zum Pseudonym) werden getrennt von den Inhaltsdaten aufbewahrt und besonders gesichert. Bei der Pseudonymisierung ist eine Re-Identifikation möglich, es liegen damit personenbezogene Daten vor (keine Anonymisierung!).

Ersetzung durch Codes: Eindeutige Identifikationsmerkmale wie Namen oder E-Mail-Adressen werden durch zufällig generierte Codes ersetzt

Zugriffskontrollen:Nur ein begrenzter Personenkreis erhält Zugang zu den Zuordnungsinformationen

2. Integrität (Art 32 Abs. 1 lit. b) DSGVO)

Unter dem Kapitel „Integrität“, sind Maßnahmen darzustellen, die dazu dienen, personenbezogene Daten vollständig und richtig bereitzustellen. Die Maßnahmen zielen darauf ab, unzulässige Änderungen an den Daten zu erkennen und Verfahren zur Berichtigung vorzuhalten.

2.1 Eingabekontrolle

Maßnahmen zur Sicherstellung, dass überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

Protokollierung von Erstellung, Eingabe, Änderung und Löschung und anderen relevanten Aktionen mit Daten (z.B. Export, Reports)

Protokollierung des Benutzers, der eine Aktion durchgeführt hat

2.2 Weitergabekontrolle

Maßnahmen zur Sicherstellung, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können.

Sicherung bei elektronischer Übermittlung (Verschlüsselung, siehe oben)

Regelungen für Tele- / Heimarbeiter, Fernwartung

3. Verfügbarkeit (Art 32 Abs. 1 lit. b) DSGVO)

Unter dem Kapitel „Verfügbarkeit“, sind Maßnahmen darzustellen, die sicherstellen, dass personenbezogene Daten dann zur Verfügung stehen, wenn sie benötigt werden. Dies umfasst auch Maßnahmen zur Wiederherstellung der Daten bei Verlust oder Vernichtung.

3.1 Allgemeine Maßnahmen

Grundlegende Maßnahmen zur Sicherstellung der Verfügbarkeit.

unterbrechungsfreie Stromversorgung (USV) für Serversysteme

Feuer-, Brand-, Wasser- und Rauchschutz in Serverräumen

Klimaanlagen in Serverräumen

Festplattenspiegelung (RAID)

Schriftliches Backup-Konzept (Backup-Strategie („3-2-1), Vollbackup/differenzielles Backup, Periodizität, Umfang, Aufbewahrungsdauer, Speicherorte und -methode)

Datensicherungs- und Wiederherstellungskonzept

Virenschutz

Aufbewahrung von Backups an räumlich getrenntem Ort

3.2 Wiederherstellbarkeit nach Zwischenfall (Art 32 Abs. 1 lit. c) DSGVO)

Maßnahmen, um die Verfügbarkeit von personenbezogenen Daten nach einem physischen oder technischen Zwischenfall rasch wieder herzustellen.

Notfallplan zur Sicherstellung angemessener „Wiederanlaufzeiten“

3.3 Belastbarkeit (Art 32 Abs. 1 lit. b) DSGVO)

Maßnahmen, um datenverarbeitende Systeme widerstandsfähig zu machen, wenn nicht verhinderbare Störungen auf die Systeme einwirken.

Backupkonzepte und Notfallkonzepte

DDoS Abwehrmechanismen

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art 32 Abs. 1 lit. d) DSGVO)

Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen.

Festlegung von Verantwortlichkeiten und Prozessen, um angemessene Datensicherheitsmaßnahmen festzulegen und regelmäßig zu prüfen (Datensicherheitsrichtlinie)

5. Weitere organisatorische Maßnahmen / Auftragskontrolle

Für Mitarbeiter des Auftragnehmers verbindliche Richtlinien zur Auftragsverarbeitung mit folgenden Regelungen:

Rollen und Verantwortlichkeiten (Datenschutzbeauftragter, Datenschutz-Manager, Datensicherheits-Manager)

Verantwortlichkeiten und Prozesse zum Abschluss von Unter-Auftragsverarbeitungs-Verträgen mit Unter-Auftragnehmern, einschließlich deren Prüfung

Verantwortlichkeiten und Prozesse bei der Einschaltung von weiteren Auftragsverarbeitern (Unter-Auftragsverarbeitern), einschließlich der Kontrolle und Vertragsprüfung

Verantwortlichkeiten und Prozesse zum Umgang mit Weisungen von Auftraggebern und zur Sicherstellung der Zweckbindung bei der Auftragsverarbeitung

Rückgabe und Löschung von Daten bei Ende der Auftragsverarbeitung

Verantwortlichkeiten und Prozesse für den Umgang mit Anträgen von Betroffenen

Verantwortlichkeiten und Prozesse für die Führung eines Verzeichnisses der Verarbeitungstätigkeiten (als Auftragsverarbeiter)

Erkennung von Datenschutzvorfällen und Meldung an den Auftraggeber

Sicherstellung der Verpflichtung der Beschäftigten zur Vertraulichkeit

Verfahren zur Überprüfung und Anpassung der Richtlinie zur Auftragsverarbeitung

ANHANG IV: LISTE DER UNTERAUFTRAGSVERARBEITER

Die Liste der vom Auftragnehmer bei Vertragsschluss genehmigten Unterauftragsverarbeiter ist online abrufbar unter https://leto.biz/subprocessors. Sofern der Auftragnehmer dem Auftraggeber Änderungen an der Liste der Unterauftragsverarbeiter mitzuteilen hat, wird der Auftragnehmer die Liste auf der genannten Webseite aktualisieren.

Letzte Aktualisierung: März 2026 Leto GmbH · Kramerstraße 7, 87700 Memmingen