Dieser Zusatz zur Datenverarbeitung („DPA“) wird zwischen dem Unternehmen, das dieses Dokument unterzeichnet oder ihm zustimmt („Kunde“ oder„Verantwortlicher“), und Manatal ( „Unternehmen“ oder„Auftragsverarbeiter“) geschlossen. Dieser DPA ergänzt den Abonnementvertrag oder die Allgemeinen Geschäftsbedingungen unter https://www.manatal.com/terms-and-conditions („Vertrag“) zwischen den Parteien.
1. Begriffsbestimmungen
● „Anwendbares Datenschutzrecht“ bezeichnet alle weltweit geltenden Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gelten, einschließlich der EU/UK-DSGVO und des California Consumer Privacy Act (CCPA/CPRA) in ihrer jeweils gültigen Fassung.
● „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von Manatal im Auftrag des Kunden im Zusammenhang mit den Dienstleistungen verarbeitet werden.
● „Betroffene Person“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen (z. B. Bewerber, Kandidaten, Mitarbeiter).
● „Sicherheitsvorfall“ bezeichnet jede tatsächliche, bestätigte rechtswidrige Vernichtung, jeden Verlust, jede Veränderung, jede unbefugte Offenlegung oder jeden böswilligen Zugriff auf die personenbezogenen Daten des Kunden.
2. Geltungsbereich und Rolle der Parteien
● 2.1 Rechtsverhältnis: Die Parteien erkennen an und vereinbaren, dass im Hinblick auf die Verarbeitung personenbezogener Daten der Kunde der Verantwortliche und Manatal der Auftragsverarbeiter ist.
● 2.2 Weisungen des Kunden: Manatal verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden und gemäß dessen dokumentierten Weisungen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten, sofern nicht durch geltendes Recht anders vorgeschrieben. Der Vertrag und diese DPA stellen die vollständigen Weisungen des Kunden dar.
3. Technische und organisatorische Maßnahmen (Sicherheit)
● 3.1 Sicherheitsprogramm: Manatal ergreift und unterhält geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung, Beschädigung, Veränderung oder Offenlegung zu schützen.
● 3.2 Vertraulichkeit: Manatal stellt sicher, dass sich alle zur Verarbeitung personenbezogener Daten befugten Mitarbeiter zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen.
4. Unterauftragsverarbeiter
● 4.1 Vorherige Genehmigung: Der Kunde erteilt Manatal eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Bereitstellung von Infrastruktur-, Hosting- und Kernsoftwarediensten zu beauftragen. Eine aktuelle Liste der Unterauftragsverarbeiter ist hier verfügbar:
● 4.2 Benachrichtigung über Änderungen: Der Kunde kann Benachrichtigungen aktivieren und Informationen über Änderungen oder Ersetzungen bezüglich der Unterauftragsverarbeiter von Manatal erhalten, wodurch ihm die Möglichkeit gegeben wird, aus berechtigten datenschutzrechtlichen Gründen Widerspruch einzulegen.
● 4.3 Weitergabe an nachgelagerte Stellen: Manatal wird jedem von ihr beauftragten Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegen, die nicht weniger streng sind als die vertraglichen Verpflichtungen, die Manatal im Rahmen dieser DPA auferlegt wurden.
5. Rechte der betroffenen Personen und Zusammenarbeit
● 5.1 Unterstützung: Unter Berücksichtigung der Art der Verarbeitung leistet Manatal dem Kunden, soweit dies möglich ist, angemessene Unterstützung, damit dieser auf Anfragen von betroffenen Personen reagieren kann, die ihre Rechte ausüben (z. B. Auskunfts-, Löschungs- oder Übertragbarkeitsanträge).
● 5.2 Direkte Anfragen: Wenn eine betroffene Person Manatal direkt bezüglich personenbezogener Daten des Kunden kontaktiert, leitet Manatal die Anfrage unverzüglich an den Kunden weiter und antwortet nicht direkt, es sei denn, dies ist gesetzlich vorgeschrieben.
6. Vorfallmanagement und Benachrichtigung
● 6.1 Benachrichtigung: Manatal benachrichtigt den Kunden unverzüglich, spätestens jedoch innerhalb von zweiundsiebzig (72) Stunden, nachdem es von einem bestätigten Sicherheitsvorfall Kenntnis erlangt hat.
● 6.2 Einzelheiten: Die Benachrichtigung enthält ausreichende Informationen, damit der Kunde seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen kann, einschließlich der Art des Verstoßes, der betroffenen Datenkategorien sowie der ergriffenen oder geplanten Maßnahmen zur Schadensminderung.
7. Prüfungsrechte
● 7.1 Dokumentation: Manatal stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in dieser DPA festgelegten Verpflichtungen angemessen erforderlich sind.
● 7.2 Formelle Prüfungen: Soweit der Kunde eine Prüfung zur Überprüfung der Einhaltung der Verpflichtungen verlangt, kann er eine von Manatal vorliegende Sicherheitszertifizierung oder einen Prüfbericht eines unabhängigen Dritten (SOC 2 Typ 2) anfordern. Ist eine weitere Prüfung gesetzlich vorgeschrieben, so erfolgt diese während der regulären Geschäftszeiten, höchstens einmal pro Jahr, auf Kosten des Kunden und unter Einhaltung strenger Vertraulichkeitsvereinbarungen.
8. Internationale Datenübermittlungen
● 8.1 Übermittlungsmechanismen: Soweit die Erbringung der Dienstleistungen eine Übermittlung personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Land beinhaltet, das nicht als Land mit angemessenem Schutzniveau anerkannt ist, vereinbaren die Parteien, dass die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCCs) gelten und durch Verweis in diesen Vertrag aufgenommen werden.
9. Rückgabe und Löschung von Daten
● 9.1 Kündigung: Bei Kündigung oder Ablauf des Vertrags wird Manatal nach Wahl und auf Kosten des Kunden alle personenbezogenen Daten, die sich in seinem Besitz, seiner Verwahrung oder unter seiner Kontrolle befinden, löschen oder zurückgeben, es sei denn, geltendes Recht schreibt die fortgesetzte Speicherung der personenbezogenen Daten vor.
Anlage A: Einzelheiten zur Verarbeitung
Anlage B: Technische und organisatorische Sicherheitsmaßnahmen
Manatal verfügt über ein robustes Sicherheitskonzept auf Unternehmensniveau, das darauf ausgelegt ist, die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten zu gewährleisten. Das Unternehmen überprüft und verbessert diese Maßnahmen kontinuierlich und gewährleistet dabei die Einhaltung der SOC-2-Typ-II-Standards.
1. Datenverschlüsselung und Datenschutz
Datenübertragung: Die gesamte Kommunikation zwischen den Benutzern des Kunden und den Manatal-Produktionsservern muss zwingend über HTTPS erfolgen, wobei sichere SSL/TLS 1.2- oder höhere Verschlüsselungsprotokolle zum Einsatz kommen.
Gespeicherte Daten: Alle zentralen Kundendatenbanken und -dateien werden im Ruhezustand mithilfe von AES-256-Verschlüsselungsalgorithmen nach Industriestandard vollständig verschlüsselt.
Sicherheit der Anmeldedaten: Die Anmeldedaten zur Benutzerauthentifizierung werden mithilfe fortschrittlicher kryptografischer Einweg-Hash-Algorithmen sicher umgewandelt; Passwörter im Klartext werden nirgendwo im System gespeichert.
2. Sicherheit der Infrastruktur und des Hostings
Cloud-Infrastruktur der Spitzenklasse: Alle Dienste werden ausschließlich in einer sicheren, mehrschichtigen Netzwerkumgebung betrieben, die auf Amazon Web Services (AWS) in den Vereinigten Staaten gehostet wird.
Compliance der Rechenzentren: Die physische Infrastruktur der Rechenzentren wird von AWS verwaltet und entspricht strikt den globalen Standards; sie ist nach ISO 27001, SOC 1, SOC 2, SSAE 16 und ISAE 3402 zertifiziert.
Ausfallsicherheit und Verfügbarkeit: Die Lösung basiert auf einer modernen Infrastruktur für Notfallwiederherstellung und Ausfallsicherung, um eine vertraglich vereinbarte Verfügbarkeit von 99,9 % oder mehr zu gewährleisten.
3. Geschäftskontinuität und Backup-Lebenszyklus
Tägliche Sicherungen: Manatal führt täglich vollständige, automatisierte Sicherungen aller Systemdatenbanken durch, um sich vor katastrophalen Ereignissen zu schützen.
Integrität der Backups: Backups werden sicher verschlüsselt, getrennt von den Produktionsumgebungen gespeichert und gründlich getestet, um ihre sofortige Verfügbarkeit zu gewährleisten.
Aufbewahrungsrichtlinie: Alle täglichen automatischen Sicherungen werden nach einem strikten 7-Tage-Aufbewahrungszyklus dauerhaft überschrieben und automatisch gelöscht.
4. Identitäts- und Zugriffskontrolle
Interne personelle Beschränkungen: Der Zugriff auf zugrunde liegende Systeme und Kundenumgebungen ist streng auf einen begrenzten Kreis autorisierter, wichtiger technischer Mitarbeiter beschränkt, die nach dem „Need-to-know“-Prinzip Zugang erhalten und durch unterzeichnete Vertraulichkeitsvereinbarungen des Unternehmens gebunden sind.
Zugriff auf privilegierte Systeme: Für den internen operativen Zugriff auf AWS, GitHub und Produktions-Backends gelten strenge Vorschriften hinsichtlich komplexer Passwortrichtlinien und der obligatorischen Multi-Faktor-Authentifizierung (MFA / 2FA).
Rollenbasierte Zugriffskontrolle (RBAC) für Kunden: Die Softwareplattform bietet anpassbare, mehrstufige Berechtigungen für Benutzerrollen und stellt so sicher, dass Kundendaten intern aufgeteilt werden, sodass Benutzer nur Datensätze einsehen können, für die sie ausdrücklich autorisiert sind.
5. Schwachstellenmanagement und -behebung
Sichere Entwicklungspraktiken: Die Entwicklerteams wenden strenge Praktiken für sicheres Programmieren an, die stark auf die Abwehr der OWASP Top 10 der Sicherheitsrisiken für Webanwendungen ausgerichtet sind.
Kontinuierliche Erkennung: Einsatz von Software zur automatisierten Erkennung von Sicherheitslücken und von Sicherheitsscans in Echtzeit zur aktiven Überwachung von Änderungen in der Umgebung.
Proaktive Bedrohungsabwehr: Kontinuierliche Überwachung der Infrastruktur mit automatisierten Echtzeit-Bedrohungsalarmen, die so konfiguriert sind, dass sie Anomalien sofort an die diensthabenden Technikerteams melden.
Verantwortungsvolle Offenlegung: Betrieb eines aktiven, überwachten Programms zur Offenlegung von Sicherheitslücken, das es geprüften Sicherheitsforschern ermöglicht, Zero-Day-Fehler verantwortungsvoll über spezielle Kanäle (vulnerability-report@manatal.com) direkt an die Sicherheitsingenieure zu melden.