AGB - Insiders Marketplace

Nutzungsbestimmungen für Nutzung der Insiders Cloud zu Testzwecken

(nachfolgend „Vertrag“ genannt); Stand 01.02.2024

Die Insiders Technologies GmbH (nachfolgend „Insiders“ genannt) ermöglicht die Nutzung aller vertragsgegenständlichen cloudbasierten Services zu Testzwecken ausschließlich auf Grundlage dieses Vertrages. Die nachfolgenden Bedingungen gelten ausschließlich für den Geschäftsverkehr mit Unternehmern, juristischen Personen des öffentlichen Rechts oder öffentlich-rechtlichem Sondervermögen; Insiders bietet die vertragsgegenständlichen Leistungen gegenüber Verbrauchern nicht an. Abweichende Geschäftsbedingungen des Auftraggebers werden nicht Vertragsbestandteil, auch wenn Insiders ihrer Geltung nicht widerspricht, es sei denn, sie werden von Insiders ausdrücklich schriftlich anerkannt. Die Ausführung von Leistungen durch Insiders bedeutet keine Anerkennung von Vertragsbedingungen des Auftraggebers.

Die gegebenenfalls bestehende Leistungsbeschreibung des / der zu Testzwecken zugänglich gemachten Services sowie die Vereinbarung über Auftragsverarbeitung werden gemeinsam mit dem vorliegenden Vertrag abgeschlossen. Sie bilden einen wesentlichen Bestandteil des Vertrages und gelten im Fall von Widersprüchen oder Unklarheiten vorrangig.

Definitionen
1. „Autorisierte Nutzer“ sind die Nutzer, die die Cloud-Lösung für den Auftraggeber zu Testzwecken nutzen. Als autorisierte Nutzer kommen ausschließlich Arbeitnehmer, Leiharbeitnehmer sowie zur Berufsbildung Beschäftigte des Auftraggebers in Betracht. Andere Dritte gelten nicht als autorisierte Nutzer.
2. „Cloud-Lösung“ bezeichnet die von Insiders bereitgestellte Cloud-Computing-Plattform Insiders Cloud, über die Insiders die in der jeweiligen Leistungsbeschreibung näher definierten cloudbasierten Services erbringt. Die Cloud-Lösung wird dem Auftraggeber mittels SaaS zur Verfügung gestellt. Die Cloud-Lösung umfasst nicht die Applikationen (Apps), über die der Auftraggeber bzw. die von ihm autorisierten Nutzer über mobile oder stationäre Endgeräte auf die Cloud-Lösung zugreifen.
3. „Insiders“ meint die Insiders Technologies GmbH, Brüsseler Straße 1, 67657 Kaiserslautern, Deutschland.
4. “Kundendaten” sind alle Daten und Informationen, gleich welcher Art, die durch den Auftraggeber bzw. die von ihm autorisierten Nutzer bei der Nutzung der Services der Cloud-Lösung zu Testzwecken in die Cloud-Lösung eingespielt und dort verarbeitet und genutzt werden. Die Kundendaten können auch personenbezogene Daten im Klartext oder pseudonymisiert enthalten.
5. „SaaS“ ist die Abkürzung für Software-as-a-Service und bedeutet, dass dem Auftraggeber die Funktionen der Cloud-Lösung mit der ihr zugrunde liegenden Software als reiner Service über das Internet zur Nutzung zur Verfügung gestellt werden, ohne dass die Software dem Auftraggeber oder Nutzern überlassen wird. Weder der Auftraggeber noch die von ihm autorisierten Nutzer erhalten also eine Kopie der Software und können sie daher auch nicht auf eigenen Systemen installieren und betreiben.
6. „Verarbeitungsergebnis“ ist das durch die Nutzung der Services der Cloud-Lösung erzeugte Ergebnis, das die Cloud-Lösung dem Auftraggeber bzw. den von ihm autorisierten Nutzern zu Testzwecken anzeigt. Der Inhalt des Verarbeitungsergebnisses (z.B. Darstellung eines Datenextraktes) ergibt sich aus der jeweiligen Leistungsbeschreibung.
Vertragsgegenstand und Nutzungsrechte
1. Insiders gewährt dem Auftraggeber während der Laufzeit dieses Vertrages und nach Maßgabe der darin getroffenen Vereinbarungen das beschränkte, nicht-ausschließliche und kostenfreie Recht, die Services der Cloud-Lösung mit dem in der einschlägigen Leistungsbeschreibung vereinbarten Funktionsumfang ausschließlich zu Testzwecken zu nutzen bzw. durch seine autorisierten Nutzer nutzen zu lassen. Eine Nutzung für den produktiven Einsatz und insbesondere die Verarbeitung von Kundendaten für den re- gulären Geschäftsbetrieb ist ausdrücklich nicht gestattet.
2. Der Auftraggeber ist nicht berechtigt, die Cloud-Lösung oder einzelne Services der Cloud-Lösung an Dritte weiter zu verleihen, zu vermieten oder sie anderen Nutzern als den zulässigen autorisierten Nutzern zugänglich zu machen.
3. Der Zugriff des Auftraggebers bzw. seiner autorisierten Nutzer erfolgt über eine Inter- netverbindung. Diese Netzanbindung sowie die für den Zugriff notwendigen Geräte und Applikationen sind nicht Bestandteil der Cloud-Lösung und obliegen der Verantwortung des Auftraggebers.
4. Die technische Umgebung des Testsystems für die vereinbarten Services wird als virtu- alisierte Infrastruktur von Insiders betrieben und in einem in der EU, dem EWR oder der Schweiz gelegenen Rechenzentrum gehostet.
Änderungen der Cloud-Lösung
Insiders betreibt die Cloud-Lösung und ist berechtigt, ihre Funktionen und ihre Schnitt- stellen jederzeit nach eigenem Ermessen zu aktualisieren, um die Cloud-Lösung zu ver- bessern, weiter zu entwickeln oder an neue oder geänderte Anforderungen anzupas- sen.
Umgang mit Kundendaten
1. Insiders ist befugt, im Rahmen der Vertragsdurchführung und ‑erfüllung mittels der Cloud-Lösung die durch den Auftraggeber bzw. die von ihm autorisierten Nutzer in die Cloud-Lösung eingespielten Kundendaten dort zu verarbeiten und zu nutzen. Der Auf- traggeber übernimmt die volle Verantwortung dafür, dass alle betroffenen Kundenda- ten von Insiders im Rahmen der Vertragsdurchführung und ‑erfüllung verarbeitet und genutzt werden dürfen. Insiders erkennt an, dass die Kundendaten im Verhältnis zum Auftraggeber jederzeit dem Auftraggeber zustehen. Soweit Kundendaten personenbe- zogene Daten enthalten und Insiders diese als Auftragsverarbeiter verarbeitet, ist der Auftraggeber gegenüber Insiders Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
2. Die Cloud-Lösung von Insiders basiert auf maschinellen Lernverfahren. Eine Weiterentwicklung und Verbesserung der Cloud-Lösung erfordert ein Training der zugrundeliegenden Software mit Echtdaten. Sogenannte Dummy-Daten sind für solche Trainingszwecke ungeeignet. Deshalb verarbeitet Insiders die vom Auftraggeber in die Cloud-Lösung eingespielten Kundendaten auch für die rechtmäßige Geschäftstätigkeit von Insiders und damit für die nachfolgend eingeschränkten eigenen Zwecke. Diese rechtmäßige Geschäftstätigkeit von Insiders umfasst (i) die Verbesserung der Funktionalität der Cloud-Lösung, (ii) das Training und die Optimierung der Cloud-Lösung
  sowie (iii) die Nutzung von während der Verarbeitung der Kundendaten generierten Statistikdaten. Insiders nutzt die im Rahmen ihrer rechtmäßigen Geschäftstätigkeit verarbeiteten Kundendaten ausschließlich zu den vorstehend unter (i) bis (iii) genannten Zwecken und in keiner Weise, um die Kundendaten für vertriebliche oder andere kommerzielle Zwecke zu verarbeiten oder zu verwerten, Personen zu kontaktieren oder deren Daten an Dritte weiterzugeben. Insbesondere findet keinerlei Profiling im Sinne von Art. 4 Nr. 4 DSGVO statt. Personenbezogene Daten besonderer Kategorien werden von Insiders im Rahmen der rechtmäßigen Geschäftstätigkeit nicht verarbeitet. Bei den unter (iii) aufgeführten Statistikdaten handelt es sich um anonymisierte Daten, die keinen Rückschluss auf Personen zulassen. Soweit Kundendaten personenbezogene Daten enthalten und Insiders diese für ihre rechtmäßige Geschäftstätigkeit verarbeitet, ist Insiders gegenüber den betroffenen Personen Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
3. Insiders ist verpflichtet, mit wirtschaftlich angemessenem Aufwand dafür zu sorgen, dass die Integrität der Kundendaten und Verarbeitungsergebnisse geschützt und diese sorgfältig verarbeitet werden. Dabei wird Insiders mindestens branchenübliche Sicherheitsstandards verwenden. Die Kundendaten und Verarbeitungsergebnisse müssen logisch von den Kundendaten aller anderen Kunden getrennt werden.
4. Insiders ist verpflichtet, alle Kundendaten und Verarbeitungsergebnisse auf den Syste- men der Cloud-Lösung unwiederbringlich und vollständig innerhalb von vierzehn (14) Tagen zu löschen. Der Auftraggeber hat keinen Anspruch auf eine darüber hinausge- hende Speicherung der Kundendaten und Verarbeitungsergebnisse durch Insiders. Insiders wird die Kundendaten und Verarbeitungsergebnisse jedoch über das Vertragsende hinaus speichern, soweit und solange sie dazu verpflichtet ist (z. B. im Rahmen gesetzlicher Aufbewahrungspflichten); die Kundendaten und Verarbeitungsergebnisse werden in solchen Fällen für die Verarbeitung zu anderen Zwecken jedoch gesperrt.
5. Der Auftraggeber darf keine Informationen, Programme oder andere datenschutzrechtlich, urheberrechtlich oder anderweitig durch gewerbliche, persönlichkeitsrechtliche oder sonstige Schutzrechte geschützten Materialien oder Daten in die Cloud-Lösung einspielen oder seinen autorisierten Nutzern gestatten, solche einzuspielen, ohne hierzu über die erforderlichen Rechte zu verfügen. Gleichermaßen ist es dem Auftraggeber untersagt, verbotene Informationen, Programme, Materialien oder Daten (z.B. terroristische, kinderpornographische oder rassistische Inhalte) in die Cloud-Lösung einzuspielen oder den von ihm autorisierten Nutzern dies zu gestatten.
Sperrung
Wenn der Auftraggeber oder irgendein Dritter (insbesondere ein autorisierter Nutzer), der die Infrastruktur oder Zugangsdaten (Credentials) des Auftraggebers nutzt, die Cloud-Lösung für (Distributed) Denial-of-Service-Angriffe, Spamming oder sonstige rechts- oder vertragswidrige Aktivitäten (nachfolgend zusammenfassend „schädigende Aktivitäten“ genannt) verwendet oder sie darüber veranlasst, darf Insiders den Zugang des Auftraggebers oder von ihm autorisierter Nutzer zur Cloud-Lösung sperren, bis der
Auftraggeber Maßnahmen zur Unterbindung der fortgesetzten schädigenden Aktivitä- ten ergriffen und damit für die Beendigung der schädigenden Aktivitäten gesorgt hat. Der Auftraggeber verpflichtet sich gegenüber Insiders in Bezug auf von ihm und seinen autorisierten Nutzern zu vertretende schädigende Aktivitäten zum Schadensersatz und zur Schadloshaltung.
Sach- und Rechtsmängelhaftung
1. Insiders haftet im Rahmen der kostenfreien Zugänglichmachung der Cloud-Lösung für Testzwecke nur auf Ersatz des Schadens, der dem Auftraggeber aus Mängeln entsteht, wenn Insiders den jeweiligen Mangel der zugänglich gemachten Cloud-Lösung arglistig verschwiegen hat.
2. Alle anderen Ansprüche auf Sach- und Rechtsmängelhaftung sind ausdrücklich ausgeschlossen.
Haftung
1. Insiders haftet im Rahmen der kostenfreien Zugänglichmachung der Cloud-Lösung für Testzwecke nur für Vorsatz und grobe Fahrlässigkeit.
2. UNTER KEINEN UMSTÄNDEN HAFTET INSIDERS GEGENÜBER DEM AUFTRAGGEBER FÜR SCHÄDEN, DIE ÜBER DIE IN ZIFFER 7.1 VEREINBARTE HAFTUNG HINAUSGEHEN.
3. Die in dieser Ziffer 7 vereinbarten Haftungsbeschränkungen gelten auch zu Gunsten der gesetzlichen Vertreter und Erfüllungsgehilfen von Insiders.
4. Die vorstehenden Regelungen dieser Ziffer 7 finden entsprechend Anwendung, wenn Insiders an Stelle von Schadensersatz Aufwendungsersatz zu leisten hat.
Vertragslaufzeit und Kündigung
1. Der Vertrag wird für einen bestimmten Zeitraum, welcher in der Leistungsbeschreibung definiert wird, abgeschlossen und endet danach automatisch.
2. Das Recht auf außerordentliche fristlose Kündigung aus wichtigem Grund bleibt unberührt.
Geheimhaltung
1. Mit der Cloud-Lösung verarbeitete Kundendaten und Verarbeitungsergebnisse gelten als vertrauliche Informationen, mit Ausnahme von Informationen, (i) die ohne Geheimhaltungspflicht und ohne Verschulden von Insiders, ihrer Erfüllungs- oder Verrichtungs- gehilfen oder Vertreter allgemein für die Öffentlichkeit zugänglich sind, (ii) die unabhängig von Insiders, ihren Erfüllungs- oder Verrichtungsgehilfen oder Vertretern ohne Nut- zung der Kundendaten entwickelt wurden, (iii) die ohne Geheimhaltungspflicht recht- mäßig aus anderen Quellen stammen, (iv) die aufgrund einer gesetzlichen Regelung oder gerichtlichen bzw. behördlichen Anordnung bekannt gegeben werden müssen o- der (v) deren Bekanntgabe vom Auftraggeber gestattet wurde. Insiders wird vertrauli- che Informationen nicht an Dritte weitergeben, angemessene Sicherheitsmaßnahmen zum Schutz vertraulicher Informationen ergreifen und deren unberechtigte Bekannt- gabe verhindern.
2. Der Auftraggeber verpflichtet sich, alle vertraulichen Informationen, die ihm Insiders im Zusammenhang mit dem Vertrag zugänglich macht (z.B. Zugangsdaten, Dokumentati- onen, Reports, Beschreibungen technisch-organisatorischer Maßnahmen, Sicherheitskonzepte), vertraulich zu behandeln und ausschließlich zur Erfüllung des Vertrages zu verwenden. Für den Missbrauch der dem Auftraggeber überlassenen Zugangsdaten trägt der Auftraggeber gegenüber Insiders die Verantwortung.
3. Die Geheimhaltungspflichten gelten auch über das Ende dieses Vertrages hinaus.
Sonstige Bestimmungen
1. Dieser Vertrag, einschließlich seiner Leistungsbeschreibungen für die zu Testzwecken bereitgestellten Services und der Vereinbarung über Auftragsverarbeitung, die zusammen einen integralen Bestandteil des Vertrages bilden, decken in Bezug auf den Vertragsgegenstand sämtliche vertraglichen Vereinbarungen zwischen den Vertragspartnern vollständig ab.
2. Sollten einzelne Bestimmungen dieses Vertrages, der Leistungsbeschreibungen oder der Vereinbarung über Auftragsverarbeitung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die den mit der unwirksamen Bestimmung verfolgten Zweck am ehesten erreicht. Wenn bei Vertragsdurchführung eine regelungsbedürftige bzw. ergänzungsbedürftige Lücke offenbar wird, ist diese durch Vereinbarung einer Bestimmung zu schließen, die den verfolgten Zweck am ehesten erreicht.
3. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (Convention on Contracts for the International Sale of Goods vom 11.4.1980, UNCITRAL-Kaufrecht).
4. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Kaiserslautern.
  Leistungsbeschreibung
  1. Funktionsumfang
    Der autorisierte Nutzer erhält nach dem Login-Prozess auf dem Insiders Marketplace [https://insiders-marketplace.com/de/] die Möglichkeit verschiedenste Services zu testen. Der Funktionsumfang beinhaltet das Hochladen eines Dokumentes innerhalb eines bestimmten Services und die Anzeige/visuelle Darstellung der Verarbeitungsergebnisse zur einmaligen Ansicht.
  2. Verarbeitungsergebnis
    Die angezeigten Verarbeitungsergebnisse unterscheiden sich je nach gewähltem Service. Sie sind mit allen auszulesenden Feldern auf der jeweiligen Seite auf dem Insiders Marketplace beschrieben, auf der der Service dargestellt wird.
  3. Leistungszeitraum

Der Leistungszeitraum richtet sich nach der jeweiligen offenen und aktiven Login-Session des Benutzers im Insiders Marketplace. Es erfolgt eine automatische Abmeldung aus dem Marketplace eine Stunde nach Login, somit endet nach diesem Zeitraum die Geltung der zugrundeliegenden Nutzungsbestimmungen.

Vereinbarung über Auftragsverarbeitung

Diese Vereinbarung über Auftragsverarbeitung konkretisiert die Verpflichtungen der Vertragspartner zum Datenschutz, die sich aus der Nutzung der Cloud-Lösung durch den Auftraggeber im Hinblick auf die damit verbundene Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der testweisen Nutzung der Cloud- Lösung durch den Auftraggeber in Zusammenhang stehen und bei denen Beschäftigte von Insiders oder durch von Insiders Beauftragte mit personenbezogenen Daten aus der Sphäre des Auftraggebers und der von ihm autorisierten Nutzer in Berührung kom- men können.

Definitionen
Begriffsdefinitionen aus den Nutzungsbestimmungen Insiders Cloud und den Leis- tungsbeschreibungen des / der beauftragten Services (nachfolgend zusammenfas- send „Hauptvertrag“ genannt) gelten auch für diese Vereinbarung über Auftragsverar- beitung, soweit hierin nicht ausdrücklich etwas anderes bestimmt ist. Wenn in dieser Vereinbarung über Auftragsverarbeitung der Begriff „Daten“ verwendet wird, sind stets personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO gemeint. Im Übrigen sind die in dieser Vereinbarung über Auftragsverarbeitung verwendeten Begriffe so zu ver- stehen, wie sie in der DSGVO oder in anderen Gesetzen (z.B. § 2 BDSG, § 3 TTDSG) definiert sind.
Gegenstand und Dauer der Verarbeitung
1. Insiders stellt dem Auftraggeber zu Testzwecken die im Hauptvertrag vereinbarte Cloud- Lösung zur Nutzung zur Verfügung, mit der der Auftraggeber unter anderem personen- bezogene Daten verarbeitet bzw. verarbeiten lässt und Verarbeitungsergebnisse er- zeugt bzw. erzeugen lässt. Dabei kann nicht ausgeschlossen werden, dass Insiders Zu- griff auf personenbezogene Daten erhält, die der Auftraggeber oder der jeweilige von ihm autorisierte Nutzer in die Cloud-Lösung einspielt. Insiders verarbeitet die im Zu- sammenhang mit dem Auftrag stehenden personenbezogenen Daten ausschließlich im Rahmen der in dieser Vereinbarung über Auftragsverarbeitung getroffenen Bestimmun- gen. Insiders verarbeitet die betreffenden personenbezogenen Daten für keine ande- ren und insbesondere nicht für eigene Zwecke.
2. Die Zwecke und Mittel der Verarbeitung bestimmt alleine der Auftraggeber. Änderungen des Verarbeitungsgegenstandes und Verarbeitungsänderungen sind gemeinsam abzu- stimmen und schriftlich durch Änderung dieser Vereinbarung über Auftragsverarbei- tung festzulegen.
3. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

Konkretisierung des Auftrags

Der Inhalt des Auftrags wird in Bezug auf die Auftragsverarbeitung wie folgt konkreti- siert:

Art und Zweck der Verarbeitung

Die in der jeweiligen Leistungsbeschreibung vereinbarten Services der Cloud-Lösung ermöglichen dem Auftragge- ber bzw. den von ihm autorisierten Nutzern (z.B. Mitar- beiter) zu Testzwecken die Verarbeitung der Kundenda- ten sowie die Betrachtung der Verarbeitungsergebnisse in der Cloud-Lösung. Art und Zweck der Verarbeitung er- geben sich (i) aus dem Testfunktionsumfang der Cloud- Lösung, der in der jeweiligen Leistungsbeschreibung do- kumentiert ist, (ii) den vom Auftraggeber bzw. den autori- sierten Nutzern in die Cloud-Lösung eingespielten Kun- dendaten und (iii) deren konkrete, vom Auftraggeber bzw. den autorisierten Nutzern veranlasste Verarbeitung

durch die Cloud-Lösung.

Art der Verarbeitung

☒ Organisation

☒ Ordnen

☒ Auslesen

☒ Verbreitung oder eine andere Form der Bereitstellung

☒ Abgleich oder Verknüpfung

Art der personenbe- zogenen Daten

Erheben
Erfassen
Speicherung
Anpassung oder Veränderung
Abfragen
Verwendung
Offenlegung durch Übermittlung
Einschränkung
Löschen oder Vernichtung
Sonstige: ………………………..

Personenstammdaten (Vertragsdaten, Geburtsdatum o. ä.)
private Kontaktdaten (Name, Rufnummer, Adresse, E- Mail o. ä.)
berufliche Kontaktdaten (Name, Funktion, Rufnum- mer, Adresse, E‑Mail o. ä.)
Kontodaten / Umsatzdaten / Kontobewegungsdaten
Abrechnungs- und Zahlungsdaten
Versicherungsdaten
Rechnungseingangsdaten

☒ Sonstige: siehe Leistungsbeschreibung

Besondere Katego- rien personenbezoge- ner Daten

Kategorien der be- troffenen Personen

☒ Privatkunden

☒ Versicherungsnehmer

☒ Geschäfts- / Unternehmenskunden

☒ Beschäftigte i. S. d. § 26 BDSG

☒ Lieferanten

☒ Handelsvertreter

☒ Ansprechpartner

rassische oder ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
Verarbeitung genetischer Daten
Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person
Gesundheitsdaten
Daten zum Sexualleben
Daten zur sexuellen Orientierung einer natürlichen Person

Sonstige: ………………………..

Weisungsgebundenheit
1. Insiders verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern Insiders nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem sie unterliegt, hierzu ver- pflichtet ist; in einem solchen Fall teilt Insiders dem Auftraggeber diese rechtlichen An- forderungen vor der Verarbeitung in Textform (z.B. per E‑Mail oder Fax) mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen In- teresses verbietet.
2. Der Auftraggeber hat das Recht, Insiders im Rahmen des Auftragsgegenstandes (siehe Ziffer 2) Weisungen hinsichtlich der Art, des Umfangs und des Verfahrens der Verarbei- tung der personenbezogenen Daten zu erteilen. Seine Weisungen kann er durch Ein- zelweisungen konkretisieren. Mündlich erteilte Weisungen sind vom Auftraggeber un- verzüglich schriftlich oder in Textform zu bestätigen. Als Weisung ist dabei die auf einen bestimmten datenschutzmäßigen Umgang (z.B. Anonymisierung, Berichtigung, Ein- schränkung der Verarbeitung, Löschung, Herausgabe) von Insiders mit personenbezo- genen Daten gerichtete Anordnung des Auftraggebers zu verstehen.
3. Der Auftraggeber hat alle Weisungen, die er Insiders erteilt, zu dokumentieren. Die Do- kumentation stellt er Insiders für jede erteilte Weisung zur Verfügung. Für die Doku- mentation der Umsetzung der vom Auftraggeber erteilten Weisungen ist dagegen Insi- ders verantwortlich.
4. Den entsprechenden Weisungen des Auftraggebers hat Insiders jederzeit Folge zu leis- ten. Solange und soweit Insiders personenbezogene Daten aus dem Auftrag über das Auftragsende hinaus verarbeitet, gilt die Weisungsgebundenheit gegenüber dem Auf- traggeber auch nach der Beendigung dieser Vereinbarung über Auftragsverarbeitung weiter; Aufwendungen und Kosten, die Insiders hierdurch entstehen, trägt der Auftrag- geber.
5. Insiders unternimmt alle erforderlichen Schritte, um sicherzustellen, dass die ihr unter- stellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Auftraggebers verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
6. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzu- teilen. Falls Weisungen die in Ziffer 3 getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn vorher eine entsprechende Änderung dieser Ver- einbarung über Auftragsverarbeitung in Text- oder Schriftform erfolgt ist.
7. Insiders wird den Auftraggeber unverzüglich informieren, wenn eine vom Auftraggeber erteilte Weisung nach Auffassung von Insiders gegen gesetzliche Vorschriften und ins- besondere gegen die DSGVO, das BDSG oder gegen andere anwendbare Datenschutz- bestimmungen der Europäischen Union oder ihrer Mitgliedstaaten verstößt. Insiders ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine weisungsberechtigte Person vom Auftraggeber bestätigt oder geändert wird.
Verpflichtung zur Vertraulichkeit
1. Insiders gewährleistet, dass sie bei der Verarbeitung personenbezogener Daten nur Mitarbeiter beschäftigt, die sie mit den für sie maßgebenden Bestimmungen des Da- tenschutzrechtes vertraut gemacht und schriftlich — auch über die Beendigung ihrer Tä- tigkeit hinaus — zur Vertraulichkeit verpflichtet hat. Einer Verpflichtung bedarf es nicht, wenn Mitarbeiter einer angemessenen gesetzlichen Verschwiegenheitspflicht unterlie- gen.
2. Insiders überwacht die Einhaltung der datenschutzrechtlichen Vorschriften durch die ihr unterstellten Personen, die Zugang zu personenbezogenen Daten haben. Ihre mit der Verarbeitung von personenbezogenen Daten betrauten Mitarbeiter wird Insiders regelmäßig in angemessenem Umfang und in angemessenen Abständen schulen und für den Datenschutz sensibilisieren.
3. Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftrags erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen sowie Daten- und andere IT-
  Sicherheitsmaßnahmen von Insiders, insbesondere die technischen und organisatori- schen Maßnahmen von Insiders, streng vertraulich zu behandeln und diese weder wei- terzugeben noch auf sonstige Art zu verwerten oder zu offenbaren. Dies gilt gegenüber jeglichen unbefugten Dritten, d.h. auch gegenüber eigenen unbefugten Mitarbeitern, sofern die Weitergabe bzw. sonstige Verwertung oder Offenbarung von solchen Infor- mationen nicht zur ordnungsgemäßen Erfüllung der vertraglichen oder gesetzlichen Verpflichtungen des Auftraggebers erforderlich ist. In Zweifelsfällen ist der Auftraggeber verpflichtet, vor einer solchen Weitergabe bzw. sonstigen Verwertung oder Offenbarung die schriftliche Zustimmung von Insiders einzuholen.
4. Ungeachtet der in Ziffer 5.3 vereinbarten Verschwiegenheitspflichten des Auftragge- bers darf dieser technische und organisatorische Maßnahmen von Insiders, die den Auftrag betreffen, im Rahmen der dem Auftraggeber gesetzlich auferlegten Rechen- schaftspflicht gegenüber berechtigten Personen und Stellen (z.B. Aufsichtsbehörden) offenbaren, soweit sie dazu gesetzlich verpflichtet ist.
Technische und organisatorische Maßnahmen
1. Insiders setzt für den Auftrag unter Berücksichtigung der Art, des Umfangs, der Um- stände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr- scheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verein- barung über Auftragsverarbeitung erfolgt.
2. Die als Anlage 1 (Technische und organisatorische Maßnahmen) beigefügten Daten- schutzvorkehrungen von Insiders, die die Festlegungen gemäß Art. 32 DSGVO enthal- ten, werden für die Durchführung des Auftrags als verbindliches Minimum festgelegt, das zu keiner Zeit unterschritten werden darf. Insiders verpflichtet sich zur Einhaltung der in Anlage 1 niedergelegten technischen und organisatorischen Maßnahmen.
3. Stellt der Auftraggeber während der Laufzeit des Auftrages fest, dass sich die Risiken für die Rechte und Freiheiten der Betroffenen verändert haben, teilt er dies Insiders unverzüglich mit, damit Insiders ihre technischen und organisatorischen Maßnahmen so anpassen kann, dass das für den Auftrag erforderliche Datenschutzniveau weiterhin gewährleistet bleibt; die Insiders durch die Anpassung entstehenden einmaligen und wiederkehrenden Aufwendungen und Kosten trägt der Auftraggeber. Sobald Insiders in Anlage 1 die aktualisierten technischen und organisatorischen Maßnahmen festgelegt hat, ersetzt diese neue Anlage 1 die bis dahin gültige Anlage 1. Sollte eine entspre- chende Anpassung der technischen und organisatorischen Maßnahmen Insiders nicht möglich, nicht zumutbar oder gar für sie unzulässig sein, stellt dies für beide Vertrags- partner einen wichtigen Grund dar, der zur außerordentlichen Kündigung des Haupt- vertrages einschließlich der vorliegenden Vereinbarung über Auftragsverarbeitung be- rechtigt.
4. Insiders stellt sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten von sonstigen Datenbeständen strikt getrennt werden. Nähere Anforderungen und Maß- nahmen zur Trennung sind in den technischen und organisatorischen Maßnahmen in Anlage 1 festgelegt.
5. Wenn und soweit Insiders gegenüber dem Auftraggeber zum Nachweis der getroffenen technischen und organisatorischen Maßnahmen verpflichtet ist, kann sie Nachweise über die Einhaltung genehmigter Verhaltensregelungen gemäß Art. 40 DSGVO oder über aktuelle Zertifizierung gemäß Art. 42 DSGVO vorlegen, um ihren Nachweis zu stüt- zen. Des Weiteren kann sie diesen Nachweis auch über aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Daten- schutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsaudito- ren) oder eine geeignete Zertifizierung durch ein Informationssicherheits- oder Daten- schutzaudit (z.B. nach BSI-Grundschutz, als Bestandteil einer ISO 27001-Zertifizierung) führen.
6. Die technischen und organisatorischen Maßnahmen müssen im Laufe des Auftragsver- hältnisses der technischen und organisatorischen Weiterentwicklung angepasst wer- den. Dazu werden die in Anlage 1 vereinbarten technischen und organisatorischen Maßnahmen vom Auftraggeber und von Insiders im Lichte der Ziffer 6.1 sowie unter Berücksichtigung des Stands der Technik mindestens einmal im Kalenderjahr über- prüft. Aus solchen Überprüfungen resultierende Änderungen sind schriftlich festzule- gen. Stellt Insiders während der Laufzeit des Auftrages von sich aus fest, dass die von ihr getroffenen Maßnahmen die Risiken für die Rechte und Freiheiten der Betroffenen nicht oder nicht mehr angemessen abdecken, benachrichtigt sie den Auftraggeber. Für die Anpassung der Anlage 1 gelten die in Ziffer 6.3 vereinbarten Bestimmungen ent- sprechend.
Einbeziehung weiterer Auftragsverarbeiter
1. Der Auftraggeber erteilt hiermit ihre allgemeine Zustimmung zur Inanspruchnahme wei- terer Auftragsverarbeiter.
2. Im Falle der Beauftragung von weiteren Auftragsverarbeitern (Kettenauftragsverarbei- tung) oder der Ersetzung von weiteren Auftragsverarbeitern wird Insiders den Auftrag- geber informieren. Will der Auftraggeber gegen derartige Änderungen Einspruch erhe- ben, hat er diesen gegenüber Insiders innerhalb von zwei (2) Wochen nach Zugang der Information bzw. unverzüglich nach Kenntniserlangung von einem sich später ergeben- den Einspruchsgrund schriftlich zu erklären. Die Bestimmungen dieser Ziffer 7 gelten entsprechend für jede Hinzuziehung bzw. Ersetzung von weiteren Auftragsverarbeitern im Rahmen einer mehrstufigen Kettenauftragsverarbeitung.
3. Insiders erlegt weiteren Auftragsverarbeitern im Wege eines Vertrags oder eines ande- ren Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mit- gliedstaats geeignete Pflichten zur Einhaltung des Datenschutzes auf. Dabei ist sicher- zustellen, dass geeignete technische und organisatorische Maßnahmen auch von dem
  weiteren Auftragsverarbeiter so durchgeführt werden, dass die Verarbeitung den ge- setzlichen Anforderungen des Datenschutzrechtes entspricht.
4. Bei Abschluss dieser Vereinbarung über Auftragsverarbeitung hat der Auftraggeber der Inanspruchnahme der in Anlage 2 (Weitere Auftragsverarbeiter) mit Namen und kon- kretisiertem Auftragsinhalt bezeichneten weiteren Auftragsverarbeitern mit der Verar- beitung von personenbezogenen Daten in dem dort genannten Umfang zugestimmt.
5. Der Auftraggeber kann gegen den Einsatz eines weiteren Auftragsverarbeiters durch Insiders nur dann Einspruch erheben, wenn er begründete Zweifel daran hat, dass der weitere Auftragsverarbeiter die datenschutzrechtlichen Bestimmungen oder die Bedin- gungen dieser Vereinbarung über Auftragsverarbeitung einhalten wird.
6. Nicht als Inanspruchnahme weiterer Auftragsverarbeiter im Sinne dieser Ziffer 7 sind solche Dienstleistungen zu verstehen, die Insiders bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Rei- nigungskräfte, Telekommunikationsleistungen und Postdienste.
Unterstützung des Auftraggebers
1. Insiders unterstützt den Auftraggeber bei dessen Pflicht, Anträge auf Wahrnehmung der in Art. 12 bis 23 DSGVO sowie in §§ 32 bis 37 BDSG genannten Rechte der be- troffenen Person zu bearbeiten und zu beantworten. Dazu wird sie dem Auftraggeber auf Anfrage alle zweckdienlichen Informationen bereitstellen, die Insiders im Einzelfall vorliegen. Wendet sich ein Betroffener mit Anträgen auf Wahrnehmung der in Art. 12 bis 23 DSGVO und in §§ 32 bis 37 BDSG genannten Rechten unmittelbar an Insiders, wird diese den Betroffenen an den Auftraggeber verweisen.
2. Auskünfte an Dritte oder den Betroffenen darf Insiders nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
3. Insiders ergreift geeignete technische und organisatorische Maßnahmen, um den Auf- traggeber gemäß Ziffer 8.1 unterstützen zu können.
4. Des Weiteren unterstützt Insiders mit den ihr zur Verfügung stehenden Informationen den Auftraggeber bei dessen Einhaltung der ihm gemäß Art. 32 bis 36 DSGVO oblie- genden Pflichten.
5. Der Auftraggeber hat Insiders alle Aufwendungen und Kosten zu erstatten, die Insiders im Rahmen der Unterstützung des Auftraggebers entstehen.
Rückgabe und Löschung von Daten
Nach Beendigung der vertraglichen Arbeiten hat Insiders sämtliche im Zusammenhang mit dem Auftrag in ihren Besitz gelangten Unterlagen und erstellten Verarbeitungsergebnisse, die personenbezogene Daten enthalten, sowie alle im Rahmen der Cloud- Lösung vom bzw. für den Auftraggeber verarbeiteten personenbezogenen Daten daten- schutzgerecht zu löschen.
Nachweis der Einhaltung der datenschutzrechtlichen Pflichten
1. Insiders stellt dem Auftraggeber auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten zur Ver- fügung.
2. Außerdem ermöglicht und unterstützt Insiders Überprüfungen einschließlich Inspektionen und Untersuchungen, die von dem Auftraggeber oder einem anderen von diesem beauftragten Prüfer oder von Aufsichtsbehörden durchgeführt werden. Insiders erklärt sich insbesondere damit einverstanden, dass der Auftraggeber oder ein von diesem beauftragten Prüfer nach angemessener Vorankündigung berechtigt ist, während der üblichen Bürozeiten von Insiders die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen dieser Vereinbarung über Auftragsverarbeitung im erforderlichen Umfang und ohne Störung des Betriebsablaufs von Insiders vor Ort zu kontrollieren.
3. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu Insiders stehen, hat Insiders gegen diesen Prüfer ein Einspruchsrecht.
4. Der Auftraggeber hat Insiders alle Aufwendungen und Kosten zu erstatten, die Insiders im Rahmen der Durchführung und Unterstützung einer Überprüfung bzw. Inspektion entstehen.
Verfahrensverzeichnisse
Insiders führt das gemäß Art. 30 Abs. 2 DSGVO von ihr zu führende Verzeichnis und stellt dieses der Aufsichtsbehörde auf Anfrage zur Verfügung.
Sonstige Pflichten von Insiders
1. Insiders arbeitet auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
2. Insiders hat einen Datenschutzbeauftragten benannt und teilt dem Auftraggeber des- sen Kontaktdaten auf Anfrage mit. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage von Insiders leicht zugänglich hinterlegt.
3. Ist für eine geplante Verarbeitung personenbezogener Daten eine Datenschutz-Folge- abschätzung erforderlich, unterstützt Insiders den Auftraggeber auf Anforderung und gegen Vergütung ihres damit verbundenen Aufwandes bei der Abschätzung und stellt ihm alle erforderlichen Dokumentationen und zweckdienlichen Informationen zur Ver- fügung.
4. Insiders wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO sowie über Ermittlungen, die eine zuständige Behörde nach Art. 83 DSGVO und §§ 42, 43 BDSG bei Insiders durchführt, informieren, soweit diese Kontrollhandlungen, Maßnahmen oder Ermittlungen Bezüge zur Auf- tragsverarbeitung aufweisen.
Mitzuteilende Verstöße
1. Insiders benachrichtigt den Auftraggeber unverzüglich, wenn ihr eine Verletzung des Schutzes von dem Auftraggeber zugewiesenen personenbezogenen Daten bekannt
  wird. Meldungen erfolgen in Textform und müssen mindestens die in Art. 33 Abs. 3 DSGVO aufgezählten Informationen umfassen.
2. Insiders ist bekannt, dass nach Art. 33 und 34 DSGVO Melde- und Benachrichtigungs- pflichten im Falle der Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und den betroffenen Personen bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzu- teilen. Insiders hat in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Be- troffene zu ergreifen.
3. Soweit den Auftraggeber Pflichten nach Art. 33 und 34 DSGVO treffen, hat Insiders ihn hierbei gegen Vergütung des für Insiders damit verbundenen Aufwandes zu unterstüt- zen. Ungeachtet dessen bleibt der Auftraggeber für die Erfüllung der ihn gemäß Art. 33 und 34 DSGVO treffenden Melde- und Benachrichtigungspflichten selbst verantwort- lich.
Anlagen

Die folgenden Anlagen bilden einen wesentlichen Bestandteil dieser Vereinbarung über Auftragsverarbeitung und haben im Fall von Widersprüchen oder Unklarheiten Vorrang vor den Bestimmungen der vorliegenden Vereinbarung über Auftragsverarbeitung:

Anlage 1: Technische und organisatorische Maßnahmen — Insiders Technologies GmbH einschließlich Cloud-Betrieb

Anlage 1a: AWS Security Standards

Anlage 1b: Ergänzende Bedingungen Auftragsverarbeitung (ErgB-AV) für Open Telekom Cloud

Anlage 2: Weitere Auftragsverarbeiter

Anlage 1: Technische und organisatorische Maßnahmen –

Insiders Technologies GmbH einschließlich Cloud-Betrieb

Vorbemerkung
Insiders setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwe- cke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten der Betroffenen geeignete tech- nische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß den getroffenen Vereinbarun- gen erfolgt.
AWS unterhält ein Informationssicherheitsprogramm (einschließlich der Einführung und Durchsetzung interner Richtlinien und Verfahren), das dazu dient,
1. Insiders dabei zu unterstützen, seine Daten vor versehentlichem oder unrechtmäßi- gem Verlust, Zugriff oder Offenlegung zu schützen,
2. vernünftigerweise vorhersehbare und interne Risiken für die Sicherheit und den un- befugten Zugriff auf das AWS-Netzwerk zu ermitteln und
3. Sicherheitsrisiken zu minimieren, unter anderem durch Risikobewertung und regel- mäßige Tests.
Von AWS umgesetzte technische und organisatorische Maßnahmen werden im Doku- ment AWS Security Standards beschrieben. Von der Telekom umgesetzte technische und organisatorische Maßnahmen werden im Dokument Anlage zu Ergänzende Bedin- gungen Auftragsdatenverarbeitung personenbezogener Daten für Open Telekom Cloud beschrieben.
Spezielle Maßnahmen für Rechenzentrumsbetrieb der Cloud-Lösungen
1. Insiders nutzt für den Betrieb der Cloud-Lösungen und die Erbringung der damit ver- bundenen Services die Leistungen externer Rechenzentren (siehe auch Anlage 2). Für diese Rechenzentren hat Insiders Vereinbarungen über Auftragsverarbeitung abge- schlossen, in der auf den Rechenzentrumsbetrieb ausgerichtete technische und orga- nisatorische Maßnahmen festgelegt sind.
2. Die für Amazon Web Services bei Abschluss der vorliegenden Vereinbarung über Auf- tragsverarbeitung geltenden technischen und organisatorischen Maßnahmen sind im DPA (AWS GDPR Data Protection Addendum) von AWS unter https://d1.awssta- tic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf zu finden (siehe auch Anlage 1a). Die für die OpenTelekom Cloud geltenden technischen und organisatorischen Maßnahmen sind in Anhang III der „Ergänzenden Bedingungen Auftragsverarbeitung (ErgB-AV) für die Open Telekom Cloud“ zu finden (siehe auch Anlage 1b).Auf die übrige Verarbeitung personenbezogener Daten durch Insiders finden die in den folgenden Ziffern 3 bis 8 beschriebenen technischen und organisatorischen Maßnahmen Anwendung.
3. Die technischen und organisatorischen Maßnahmen beziehen sich auf die Maßnah- men bei Insiders, jeweils erforderlichenfalls ergänzt um umgesetzte Maßnahmen im
  externen Rechenzentrum für Colocation/Housing und/oder um umgesetzte Maßnah- men in der Cloud-Umgebung bei Insiders.
Kundendaten
1. Für den Support der Cloud-Lösung kann es erforderlich sein, dass Kunden Insiders Bei- spieldokumente (Rechnungen, Lieferscheine, Formulare etc.) und Stammdaten zur Ver- fügung stellen.
2. Alle Insiders von Kunden im Sinne von Ziffer 3.1 überlassenen Daten werden zentral im Support verwaltet. Datenträger und Dokumente in Papierform werden zugriffssicher verschlossen gelagert. Elektronische Dokumente werden zentral und logisch getrennt abgelegt. Für die Ablage von Kundendaten stehen dedizierte Fileserver und Datenbank- server in einem externen Rechenzentrum zur Verfügung.
3. Die Ablage dieser Daten erfolgt zu Sicherheitszwecken in pseudonymisierter Form. Die Zuordnung von Daten zu Kunden erfolgt hierbei über Supportmitarbeiter. Als weitere Sicherheitsmaßnahme werden die Kundendaten Fileserver-basiert auf einem hard- wareverschlüsselten Plattensystem abgelegt.
4. Zugriff auf die Kundendaten erhalten nur autorisierte Mitarbeiter und auch diese aus- schließlich für die jeweils benötigten Kundendaten. Hierzu werden für elektronische Dokumente auf Dateiebene Rechte für die entsprechenden Benutzer festgelegt. Pa- pierdokumente werden nur gegen Unterschrift herausgegeben. Für Mitarbeiter, die Zu- griff auf Kundendaten benötigen, existiert ein dezidiertes Berechtigungskonzept, das im Falle sich ändernder Anforderungen angepasst wird.
Betriebsstätten
Insiders verarbeitet Daten im Rahmen des mobilen Arbeitens auch außerhalb der Be- triebsstätten Kaiserslautern, München und Berlin. Dabei sind alle beschriebenen tech- nischen und organisatorischen Maßnahmen angemessen zu beachten. Insbesondere erfolgt der Zugriff auf die Daten der Kunden nur über eine gesicherte VPN-Verbindung, die Verarbeitung der Daten nur auf gegen Fremdzugriff gesicherten Endgeräten und die Mitarbeiter haben sicher zu stellen, dass Dokumente in Papierform, die Daten der Kun- den enthalten, wirksam vor dem Zugriff Unbefugter geschützt sind. Insiders ergreift ge- eignete Maßnahmen, um die Einhaltung dieser Vorgaben durch seine Mitarbeiter zu ermöglichen, zu fördern und zu überwachen.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1. Zutrittskontrolle
  Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanla- gen.
  Es existieren folgende Maßnahmen zur Zutrittskontrolle in den Gebäuden bei Insiders:
  - Alarmanlage
  - Bewegungsmelder
  - Schlüsselregelung (Schlüsselausgabe etc.)
  - Protokollierung der Besucher / Tragen von Besucherausweisen
  - Begleitung von Besuchern
  - Transponder-Schließsystem
  - Manuelles Schließsystem
  - Videoüberwachung der Zugänge
  - Sicherheitsschlösser
  - Personenkontrolle beim Empfang
  - Sorgfältige Auswahl von Dienstleistern, insbesondere von Reinigungspersonal
  - Zutrittsbeschränkung zu Sicherheitszonen
    Zusätzlich zu den vorstehenden Maßnahmen im externen Rechenzentrum für Coloca- tion/Housing umgesetzte Maßnahmen:
  - Mehrstufiges Zugangskontrollsystem
  - Videoüberwachung im Eingangsbereich zum und im Rechenzentrum
  - Einbruchmeldeanlage und Einsatz eines Sicherheitsdienstes
  - Überwachtes Betriebsgelände und Leitstelle
2. Zugangskontrolle
  Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrme- chanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
  Es existieren folgende Maßnahmen zur Zugangskontrolle bei Insiders:
  - Zuordnung von Benutzerrechten
  - Verwendung von Benutzerrollen
  - Passwortvergabe
  - Automatische Sperrung von Accounts nach mehrfacher Fehleingabe
  - Automatische Bildschirmsperre
  - Verwendung von Passwort-Richtlinien
  - Authentifikation mit Benutzername/Passwort
  - Einsatz von Intrusion-Prevention-Systemen
  - Einsatz von Anti-Viren-Software
  - Einsatz eines Extended Detection and Response (XDR) Systems
  - Einsatz von Hardware-/Software-Firewalls
  - Erstellen von Benutzerprofilen
  - Zuordnung von Benutzerprofilen zu IT-Systemen
  - Einsatz von VPN-Technologie mit mehrstufiger Authentifizierung
  - Protokollierung von Benutzeranmeldungen
  - Verwendung von Netzwerksicherheitszonen
    In den Cloud-Umgebungen von AWS und OTC bei Insiders existieren die folgenden Maß- nahmen:
  - Rollenbasiertes Berechtigungskonzept
  - Verwendung von Passwort-Richtlinien
  - Mehrfaktor-Authentifizierung
  - Verwendung von IP-Filtern
  - Automatisches Ausloggen von Benutzern nach Inaktivität
  - Automatisches Ausloggen von Benutzern nach Ablauf der maximalen Session- dauer
  - Multi-Account-Architektur ermöglicht Isolation von Benutzern und Systemen
  - Verschlüsselung personenbezogener Daten At-Rest (außer smart FLOW) und In-Transit
  - Aufbewahrung der Master-Keys zur Verschlüsselung der Daten in AWS in ei- nem Schlüsselverwaltungssystem der OTC
  - Verschlüsselung von Laufwerken, Fileshare und Object-Storage
  - Applikationsseitige, kundenindividuelle Verschlüsselung von datenschutzrele- vanten Daten (außer smart FLOW)
  - Einsatz von Network Access Control Lists und Security Groups
  - Einsatz von Next-Generation Anti-Viren-Software
  - Einsatz einer Next-Generation Firewall
  - Einsatz eines Extended Detection and Response Systems (XDR)
3. Zugriffskontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.
  Es existieren folgende Maßnahmen zur Zugriffskontrolle bei Insiders:
  - Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  - Einsatz eines Berechtigungskonzepts
  - Verwaltung der Rechte durch Systemadministrator
  - Anzahl der Administratoren auf das „Notwendigste“ reduziert
  - Protokollierung von An-/Abmeldungen am Active Directory
  - Einsatz eines Intrusion-Prevention-System (IPS)
  - Hardware-/softwareverschlüsselte Platten bei allen PCs und Laptops außer- halb von Sicherheitszonen
  - Sichere Aufbewahrung von Datenträgern
  - Einsatz von Aktenvernichtern bzw. Dienstleistern
  - Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399, Schutzklasse 2, Sicherheitsstufe H4)
  - Ordnungsgemäße Vernichtung von Papierunterlagen (DIN 66399, Schutz- klasse 3, Sicherheitsstufe P4)
  - Protokollierung der Vernichtung
    In den Cloud-Umgebungen von AWS und OTC bei Insiders existieren die folgenden Maß- nahmen:
  - Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  - Rollenbasiertes Berechtigungskonzept
  - Mehrfaktor-Authentifizierung
  - Einhaltung des “Least-Privilege”-Prinzips bei der Vergabe von Rechten
  - Konfiguration von Zugriffsrichtlinien
  - Protokollierung und Überwachung von An-/Abmeldungen am Active Directory
  - Multi-Account-Architektur ermöglicht Isolation von Benutzern und Systemen
  - Regelmäßige Reviews der Rollen und Berechtigungen
  - Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Ein- gabe, Änderung und Löschung von Daten
  - Regelmäßige Penetrationstests aller Insiders Cloud Anwendungen
  - Absicherung der Daten In-Use durch virtualisierte Recheninstanzen mit ge- schütztem Hypervisor. Bei AWS kommt ein Nitro Hypervisor zum Einsatz.
4. Trennungskontrolle
  Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden,
  z.B. Mandantenfähigkeit, Sandboxing.
  Es existieren folgende Maßnahmen zur Trennungskontrolle bei Insiders:
  - Einsatz eines Berechtigungskonzepts
  - Festlegung von Datenbankrechten
  - Verwendung dedizierter File- und Datenbankserver
  - Ablage bereitgestellter Supportdaten in pseudonymisierter Form
  - Logische Mandantentrennung (softwareseitig)
    In den Cloud-Umgebungen von AWS und OTC bei Insiders existieren die folgenden Maß- nahmen:
  - Rollenbasiertes Berechtigungskonzept
  - Ablage bereitgestellter Supportdaten in pseudonymisierter Form
  - Logische Mandantentrennung (softwareseitig)
  - Multi-Account Architektur zur vollständigen Trennung von Test- und Produk- tivsystemen
  - Bereitstellung eines Sandbox-Accounts zu Testzwecken
  - Kundenspezifische Verschlüsselung von Anwendungsdaten (außer smart FLOW)
  - Verwendung von Row-Level-Security auf Datenbankebene
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
1. Weitergabekontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Über- tragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektro- nische Signatur
  Es existieren folgende Maßnahmen zur Weitergabekontrolle bei Insiders:
  - Transportverschlüsselung beim E‑Mail-Versand (TLS-Verschlüsselung)
  - SMIME Signierung und Verschlüsselung von E‑Mails bei Bedarf
  - Absicherung der Online-Datentransfers durch geschützte Übertragungswege (HTTPS, VPN)
  - Regelungen (u.a. arbeitsrechtliche) für den Umgang mit Daten und IT- Strukturen
  - Weitergabe von Kundendaten ausschließlich auf Weisung des Kunden
    Zusätzlich zu den vorstehenden Maßnahmen in den Cloud-Umgebungen von AWS und OTC von Insiders umgesetzte Maßnahmen:
  - Einsatz von VPN-Tunneln
  - Verschlüsselung In-Transit aller personenbezogener Daten gemäß Empfehlun- gen des BSI
  - Clientseitige Verschlüsselung At-Rest aller personenbezogener Daten gemäß Empfehlungen des BSI (außer smart FLOW)
  - Aufbewahrung der Schlüssel in einem von AWS getrennten, externen Key Ma- nagement System
2. Eingabekontrolle
  Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumenten- management.
  Es existieren folgende Maßnahmen zur Eingabekontrolle bei Insiders:
  - Für Support- und Entwicklungszwecke für Kunden findet keine Eingabekon- trolle statt, weil hierbei nur Test- und Entwicklungssysteme eingesetzt werden.
    Zusätzlich zu den vorstehenden Maßnahmen in den Cloud-Umgebungen von AWS und OTC bei Insiders umgesetzte Maßnahmen:
  - Trennung von Produktiv‑, Entwicklungs- und Testsystemen
  - Protokollierung der Eingabe, Änderung und Löschung von Daten im Produk- tivsystem
  - Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch in- dividuelle Benutzernamen (nicht Benutzergruppen)
  - Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Ba- sis eines Berechtigungskonzepts
  - Nachvollziehbarkeit durch Schreiben und Überwachen von Audit Logs
  - Schutz der Logdateien
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1. Verfügbarkeitskontrolle
  Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Viren- schutz, Firewall, Meldewege und Notfallpläne.
  Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle bei Insiders:
  - Testen von Datenwiederherstellung
  - Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort
  - Erstellen eines Backup- & Recoverykonzepts
  - Erstellen eines Notfallplans
  - Verwendung von Hardwareredundanzen
  - Verwendung von Clustern (VMWare, Datenbanken etc.)
  - Regelmäßige Verteilung von Windows- und Software-Updates auf allen inter- nen PC, Servern und VMs über Patch Management Tool
  - Verwendung von Virenscannern
  - Einsatz eines Extended Detection and Response (XDR) Systems
  - Verwendung von Firewalls
  - Asynchron gespiegelte Storage-Systeme
  - Rauchmelder
    Zusätzlich zu den vorstehenden Maßnahmen im externen Rechenzentrum für Coloca- tion/Housing umgesetzte Maßnahmen:
  - Unterbrechungsfreie Stromversorgung (USV)
  - Notstromversorgung über Dieselgenerator
  - Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  - Feuer- und Rauchmeldeanlagen
  - Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  - Redundante Kälte- und Klimaversorgung
  - Brandmeldesysteme mit Früherkennung
  - Gaslöschanlage
  - Schutzsteckdosenleisten in Serverräumen
  - Anbindung über redundante, dedizierte Glasfaserstrecken
    In den Cloud-Umgebungen von AWS und OTC bei Insiders existieren die folgenden Maß- nahmen:
  - Regelmäßige, automatisierte Backups aller produktiven Datenspeicher
  - Ablage von Backups in einem gesicherten, hochverfügbaren Backuptresor
  - Durchführen von Wiederherstellungstests
  - Durchführen von Ausfalltests
  - Einsatz von Next-Generation Anti-Viren-Software
  - Einsatz einer Next-Generation Firewall
  - Einsatz eines Extended Detection and Response Systems (XDR)
  - Einsatz eines Security Operation Center (SOC) zur 24/7 Überwachung
  - Synchron gespiegelte Dateispeicher
  - Hochverfügbare Produktivumgebung
  - Dreifache Redundanz und Aufteilung der Produktivumgebung auf drei ge- trennte Rechenzentren bei AWS, zweifache Redundanz bei OTC
2. Rasche Wiederherstellung (Art. 32 Abs. 1 lit. c) DS-GVO)
  Es existieren folgende Maßnahmen zur raschen Wiederherstellung:
  - Tägliche automatische Snapshoterstellung
  - Bei Changes: gesonderte, manuelle Snapshoterstellung
  - Automatische Erstellung von Datenbankdumps
    Zusätzlich zu allen vorstehenden Maßnahmen in den Cloud-Umgebungen von AWS und OTC bei Insiders umgesetzte Maßnahmen:
  - Regelmäßige, automatisierte Backups aller produktiven Datenspeicher
  - Bei Changes: gesonderte, manuelle Backups
  - Automatisiertes Einrichten der Infrastruktur durch Infrastructure-As-Code
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Insiders trifft folgende Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung bei Insiders:
- Datenschutz-Management
  - Prüfung der vertraglichen Regelungen mit Mitarbeitern und ggf. Mitar- beitern externer Dienstleister
    - Vertraulichkeitsvereinbarung;
    - Belehrung und Verpflichtung auf das Datengeheimnis sowie das Sozialgeheimnis gemäß Sozialgesetzbuch (§ 35 SGB I und § 80 SGB X);
    - Vereinbarung über die Nutzung der IT- und TK-Infrastruktur;
    - Sicherung der Urheberrechte bei Insiders bzw. beim Kunden, sofern dies vereinbart ist;
    - Belehrung und Verpflichtung auf weitere datenschutzrele- vante Vorschriften und Gesetze, insbesondere das Postge- heimnis gemäß Postgesetz (§§ 39, 41 PostG), das Fernmel- degeheimnis gemäß Telekommunikation-Telemedien-Daten- schutz-Gesetz (§ 3 TTDSG) sowie § 203 StGB.
  - Regelmäßige Datenschutzschulungen
  - Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der ge- troffenen Maßnahmen
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
- Auftragskontrolle
  Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisier- tes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeu- gungspflicht, Nachkontrollen.
  - Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbe- sondere hinsichtlich Datensicherheit)
  - dokumentierte Weisungen an den Auftragnehmer (z.B. durch Auf- tragsverarbeitungsvertrag)
  - Auftragnehmer hat Datenschutzbeauftragten bestellt
  - Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
  - vorherige Prüfung und Dokumentation der beim Auftragnehmer ge- troffenen Sicherheitsmaßnahmen
  - Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datenge- heimnis
  - Sicherstellung der Vernichtung von Daten nach Beendigung des Auf- trags
  - Überprüfung des Auftragnehmers und seiner Tätigkeiten
Veränderungen der Sicherheitsstruktur
Insiders passt seine Sicherheitsstruktur regelmäßig dem technischen Fortschritt sowie den rechtlichen und vertraglichen Erfordernissen an. Das Datensicherheitskonzept mit den hier referenzierten Inhalten wird mindestens jährlich aktualisiert. Bei wesentlichen Änderungen der Systeme und/oder der angewendeten Maßnahmen erfolgt die Aktua- lisierung zum Zeitpunkt der erfolgten Änderungen.
AWS führt regelmäßige Überprüfungen der Sicherheit seines AWS-Netzwerks und der Angemessenheit seines Informationssicherheitsprogramms durch, gemessen an den Sicherheitsstandards der Branche und seinen Richtlinien und Verfahren. AWS wird die Sicherheit seines AWS-Netzes und der zugehörigen Dienste fortlaufend bewerten, um festzustellen, ob zusätzliche oder andere Sicherheitsmaßnahmen erforderlich sind, um auf neue Sicherheitsrisiken oder Erkenntnisse aus den regelmäßigen Überprüfungen zu reagieren.
Zertifizierungen

Zum Zeitpunkt der Erstellung dieses Dokumentes können die folgenden Zertifizierun- gen nachgewiesen werden:

ISO/IEC 27001:2017, Zertifikat-Registrier-Nr. 73 121 6688 (Insiders Techno- logies GmbH)
ISO/IEC 27001:2017, Zertifikat-Registrier-Nr. 2209/Z3407 (Externes Rechen- zentrum für Colocation/Housing)
ISO/IEC 27001:2013, Zertifikat-Nr. 2013-009 (Amazon Web Services, Inc.)
ISO/IEC 27017:2015, Zertifikat-Nr. 2015-015 (Amazon Web Services, Inc.)
ISO/IEC 27018:2019, Zertifikat-Nr. 2015-016 (Amazon Web Services, Inc.)
ISO/IEC 27701:2019, Zertifikat-Nr. 2021-035 (Amazon Web Services, Inc.)
ISO/IEC 27001:2017, Zertifikat-Nr. DS-1215044/2 (Deutsche Telekom AG)
ISO/IEC 22301:2020, Zertifikat-Nr. DS1215046/2 (Deutsche Telekom AG)
Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) (T‑Systems Interna- tional GmbH für den Dienst Open Telekom Cloud, Zertifikats Registrier-Nr.: DS- 0817020/1–4

Anlage 1a: AWS Security Standards

Capitalised terms not otherwise defined in this document have the meanings assigned to them in the Agreement [https://aws.amazon.com/agreement/].

Information Security Program.
AWS will maintain an information security program designed to (a) enable Customer to secure Customer Data against accidental or unlawful loss, access, or disclosure, (b) identify reasonably foreseeable risks to the security and availability of the AWS Network, and © minimize physical and logical security risks to the AWS Network, including through regular risk assessment and testing. AWS will designate one or more employees to coordinate and be accountable for the information security program. AWS’s information security program will include the following measures:
1. Logical Security.
  1. Access Controls. AWS will make the AWS Network accessible only to authorized personnel, and only as necessary to maintain and provide the Services. AWS will maintain access controls and policies to manage authorizations for access to the AWS Network from each network connection and user, including through the use of firewalls or functionally equivalent technology and authentication controls. AWS will maintain access controls designed to (i) restrict unauthorized access to data, and (ii) segregate each customer’s data from other customers’ data.
  2. Restricted User Access. AWS will (i) provision and restrict user access to the AWS Network in accordance with least privilege principles based on personnel job func- tions, (ii) require review and approval prior to provisioning access to the AWS Net- work above least privileged principles, including administrator accounts; (iii) re- quire at least quarterly review of AWS Network access privileges and, where nec- essary, revoke AWS Network access privileges in a timely manner, and (iv) require twofactor authentication for access to the AWS Network from remote locations.
  3. Vulnerability Assessments. AWS will perform regular external vulnerability assess- ments and penetration testing of the AWS Network, and will investigate identified issues and track them to resolution in a timely manner.
  4. Application Security. Before publicly launching new Services or significant new fea- tures of Services, AWS will perform application security reviews designed to iden- tify, mitigate and remediate security risks.
  5. Change Management. AWS will maintain controls designed to log, authorize, test, approve and document changes to existing AWS Network resources, and will doc- ument change details within its change management or deployment tools. AWS will test changes according to its change management standards prior to migration to production. AWS will maintain processes designed to detect unauthorized changes to the AWS Network and track identified issues to a resolution.
  6. Data Integrity. AWS will maintain controls designed to provide data integrity during transmission, storage and processing within the AWS Network. AWS will provide Customer the ability to delete Customer Data from the AWS Network.
  7. Business Continuity and Disaster Recovery. AWS will maintain a formal risk man- agement program designed to support the continuity of its critical business func- tions (“Business Continuity Program”). The Business Continuity Program includes processes and procedures for identification of, response to, and recovery from, events that could prevent or materially impair AWS’s provision of the Services (a “BCP Event”). The Business Continuity Program includes a three-phased approach that AWS will follow to manage BCP Events:
    1. Activation & Notification Phase. As AWS identifies issues likely to result in a BCP Event, AWS will escalate, validate and investigate those issues. During this phase, AWS will analyze the root cause of the BCP Event.
    2. Recovery Phase. AWS assigns responsibility to the appropriate teams to take steps to restore normal system functionality or stabilize the affected Ser- vices.
    3. Reconstitution Phase. AWS leadership reviews actions taken and confirms that the recovery effort is complete and the affected portions of the Services and AWS Network have been restored. Following such confirmation, AWS con- ducts a post-mortem analysis of the BCP Event.
  8. Incident Management. AWS will maintain corrective action plans and incident re- sponse plans to respond to potential security threats to the AWS Network. AWS incident response plans will have defined processes to detect, mitigate, investi- gate, and report security incidents. The AWS incident response plans include inci- dent verification, attack analysis, containment, data collection, and problem reme- diation. AWS will maintain an AWS Security Bulletin (as of the Effective Date, http://aws.amazon.com/security/security-bulletins/) which publishes and com- municates security related information that may affect the Services and provides guidance to mitigate the risks identified.
  9. Storage Media Decommissioning. AWS will maintain a media decommissioning process that is conducted prior to final disposal of storage media used to store Customer Data. Prior to final disposal, storage media that was used to store Cus- tomer Data will be degaussed, erased, purged, physically destroyed, or otherwise sanitized in accordance with industry standard practices designed to ensure that the Customer Data cannot be retrieved from the applicable type of storage media.
2. Physical Security.
  1. Access Controls. AWS will (i) implement and maintain physical safeguards de- signed to prevent unauthorized physical access, damage, or interference to the AWS Network, (ii) use appropriate control devices to restrict physical access to the
    AWS Network to only authorized personnel who have a legitimate business need for such access, (iii) monitor physical access to the AWS Network using intrusion detection systems designed to monitor, detect, and alert appropriate personnel of security incidents, (iv) log and regularly audit physical access to the AWS Network, and (v) perform periodic reviews to validate adherence with these standards.
  2. Availability. AWS will (i) implement redundant systems for the AWS Network de- signed to minimize the effect of a malfunction on the AWS Network, (ii) design the AWS Network to anticipate and tolerate hardware failures, and (iii) implement au- tomated processes designed to move customer data traffic away from the affected area in the case of hardware failure.
3. AWS Employees.
  1. Employee Security Training. AWS will implement and maintain employee security train- ing programs regarding AWS information security requirements. The security aware- ness training programs will be reviewed and updated at least annually.
  2. Background Checks. Where permitted by law, and to the extent available from appli- cable governmental authorities, AWS will require that each employee undergo a back- ground investigation that is reasonable and appropriate for that employee’s position and level of access to the AWS Network.
Continued Evaluation.

AWS will conduct periodic reviews of the information security program for the AWS Network. AWS will update or alter its information security program as necessary to respond to new secu- rity risks and to take advantage of new technologies.

Anlage 1b: Ergänzende Bedingungen Auftragsverarbeitung (ErgB- AV) für Open Telekom Cloud

Anhang III aus Ergänzende Bedingungen Auftragsverarbeitung OTC. Ist unter dem Link

https://www.open-telekom-cloud.com/_Resources/Persis- tent/4/e/e/8/4ee848dc4ead2a3992eeb85035677d55e1b53936/open-telekom-cloud- ergaenzende-bedingungen-auftragsverarbeitung.pdf

zugänglich.

Anlage 2: Weitere Auftragsverarbeiter

Name / Firma, Anschrift des Vertragspartners

Auftragsinhalt

Standorte der Rechenzentren

Umfang der Auftragsver- arbeitung

Amazon Web Services EMEA SARL

38 avenue John F. Kennedy, L‑1855,

Luxemburg

Rechenzentrum CLOUD-Betrieb

Local Zone eu-central‑1 mit Standorten in Frankfurt am Main

AWS-Services zum Be- trieb der Cloud-Lösung, insbesondere Cloud Computing, File Sys- tem, Backup, Storage, System Management, Load Balancing

Telekom Deutschland GmbH

Landgrabenweg 151,

53227 Bonn, Deutschland

Rechenzentrum CLOUD-Betrieb

Raum Magdeburg und Biere (D)

Envelope Encryption mit dem KMS Service der OTC

Infrastruktur zum Be- trieb der Microsoft OCR Instanz

Nutzungsbestimmungen Insiders Cloud der Insiders Technologies GmbH (Dokumentversion: 01.02.2024, Dokumentname: Nutzungsbestimmungen_Insiders_Cloud)

Ein Teil der verwendeten Namen sind geschützte Handelsnamen und/oder Marken der jeweiligen Hersteller.

Marketplace

Services

Über Insiders

Rechtliches