Unser Angebot
Themen
Über RSM Ebner Stolz
Karriere
Kontakt
Mediathek
News
Newsletter
Presse
Veranstaltungen
RSM Ebner Stolz / Themen / Digitalisierung / RSM invoice Testkit Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO

RSM invoice Testkit Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO 

06.06.2025 | 23 Minuten Lesezeit

Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO

zwischen

(1) dem Kunden als Nutzer des RSM Invoice Testkit,

– „Verantwortlicher“ –

und

(2) der RSM Ebner Stolz Digital Solutions GmbH mit dem Sitz in Stuttgart, eingetragen im Handelsregister des Amtsgerichts Stuttgart unter HRB 773788,

– „Auftragsverarbeiter“ –

Verantwortlicher und Auftragsverarbeiter nachfolgend jeweils einzeln auch „Vertragspartei“ und zusammen auch „Vertragsparteien“ genannt –.

1. Zweck und Anwendungsbereich

1.1 Mit dieser Auftragsverarbeitungsvereinbarung (im Folgenden „Vereinbarung“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden „DSGVO“) sichergestellt werden.

1.2 Die Verantwortlichen und Auftragsverarbeiter haben dieser Vereinbarung zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 zu gewährleisten.

1.3 Diese Vereinbarung gilt für die Verarbeitung personenbezogener Daten gemäß Anhang I.

1.4 Die Anhänge I und II sind Bestandteil der Vereinbarung.

1.5 Diese Vereinbarung gilt unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der DSGVO unterliegt.

1.6 Diese Vereinbarung stellt für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der DSGVO erfüllt werden.

2. Auslegung

2.1 Werden in dieser Vereinbarung die in der DSGVO definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

2.2 Diese Vereinbarung ist im Lichte der Bestimmungen der DSGVO auszulegen.

2.3 Diese Vereinbarung darf nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

3. Vorrang

Im Falle eines Widerspruchs zwischen dieser Vereinbarung und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Vertragsparteien bestehen oder später eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.

4. Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang I aufgeführt.

5. Pflichten der Parteien

5.1 Weisungen

5.1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

5.1.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

5.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang I genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

5.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang I angegebene Dauer verarbeitet.

5.4 Sicherheit der Verarbeitung

5.4.1 Der Auftragsverarbeiter ergreift mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Vertragsparteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

5.4.2 Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

5.6 Dokumentation und Einhaltung der Vereinbarung

5.6.1 Die Parteien müssen die Einhaltung der Regelungen dieser Vereinbarung nachweisen können.

5.6.2 Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß dieser Vereinbarung umgehend und in angemessener Weise.

5.6.3 Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dieser Vereinbarung festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Vereinbarung fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

5.6.4 Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

5.6.5 Die Vertragsparteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Ziffer genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

5.7 Einsatz von Unterauftragsverarbeitern

5.7.1 Der Auftragsverarbeiter darf im Rahmen der Auftragsverarbeitung geeignete Unterauftragsverarbeiter mit der Verarbeitung betrauen. Der Verantwortliche erteilt dazu seine allgemeine Einwilligung. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern informieren. Der Verantwortliche kann der Hinzuziehung oder dem Austausch von Unterauftragsverarbeitern in Textform innerhalb von 14 Tagen nach Information aus wichtigem Grund widersprechen. Der Verantwortliche willigt darüber hinaus in den Einsatz folgender Unterauftragsverarbeiter ein:

RSM Ebner Stolz RSM Ebner Stolz Wirtschaftsprüfer Steuerberater Rechtsanwälte Partnerschaft mbB, Kronenstraße 30, 70174 Stuttgart

RSM Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Kronenstraße 30, 70174 Stuttgart

RSM Ebner Stolz Management Consultants GmbH, Kronenstraße 30, 70174 Stuttgart

greenfield Steuerberatungsgesellschaft mbH, Kurt-Schumacher-Straße 22, 53113 Bonn (Anpassung/ zur Verfügungstellung der Testrechnungen)

DATEV e.G., Paumgartnerstr. 6-14, 90429 Nürnberg (Lohnbuchhaltungssoftware)

Vodafone GmbH, Ferdinand-Braun-Platz 1, 40549 Düsseldorf (Vermieterin Serverschränke, Datensicherung)

REISSWOLF GmbH & Co. KG, Wendenstr. 403, 20537 Hamburg (Aktenvernichtung)

Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland (Einsatz von Microsoft 365 insb. für E-Mails und Dokumentenbearbeitung)

5.7.2 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß dieser Vereinbarung gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend dieser Vereinbarung und gemäß der DSGVO unterliegt.

5.7.3 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unterauftragsvereinbarung und etwaiger späterer Änderungen - nur im datenschutzrechtlich relevanten Umfang - zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

5.7.4 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

5.7.5 Der Auftragsverarbeiter darf auch Unterauftragsverarbeiter in Drittstaaten einsetzen. In diesem Fall gelten Ziffer 5.7.1 bis 5.7.4 entsprechend und es müssen die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sein.

5.8 Internationale Datenübermittlungen

Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation muss mit Kapitel V der DSGVO im Einklang stehen.

6. Unterstützung des Verantwortlichen

6.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

6.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

6.3 Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Ziffer 6.2 zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

(i) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

(ii) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

(iii) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(iv) Verpflichtungen gemäß Artikel 32 DSGVO.

6.4 Die Parteien legen in Anhang II die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Regelung sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

7. Meldung von Verletzungen des Schutzes personenbezogener Daten

7.1 Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der DSGVO nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

7.2 Verletzungen des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

7.2.1 bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

7.2.2 bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 DSGVO in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

(i) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

(ii) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(iii) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

7.2.3 bei der Einhaltung der Pflicht gemäß Artikel 34 DSGVO, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

7.3 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

(i) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

(ii) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(iii) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang II alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 DSGVO zu unterstützen.

8. Verstöße gegen die Vereinbarung und Beendigung der Vereinbarung

8.1 Falls der Auftragsverarbeiter seinen Pflichten gemäß dieser Vereinbarung nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen DSGVO – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Vereinbarung einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, die Regelungen dieser Vereinbarung einzuhalten.

8.2 Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn

(i) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Ziffer 8.1 ausgesetzt hat und die Einhaltung dieser Vereinbarung nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

(ii) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Vereinbarung verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt;

(iii) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß dieser Vereinbarung und/oder der DSGVO zum Gegenstand hat, nicht

8.3 Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Ziffer 5.1.1 verstoßen.

8.4 Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Vereinbarung.

 

Anhänge

Anhang I: Beschreibung der Verarbeitung

Anhang II: Technische und organisatorische Maßnahmen

 

Anhang I: Beschreibung der Verarbeitung

1. Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

  • Arbeitnehmer der Verantwortlichen
  • Lieferanten und sonstige Dienstleister der Verantwortlichen

2. Kategorien personenbezogener Daten, die verarbeitet werden

  • Name, Vorname
  • Positionsbezeichnung / Funktion im Unternehmen
  • Organisations- und Abteilungszugehörigkeit
  • Dienstliche Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Weitere dienstliche Angaben, sofern für die Test-E-Rechnungen erforderlich (z.B. Kostenstelle, Projektnummer)

3. Gegenstand der Verarbeitung

Die Verarbeitung umfasst personenbezogene Daten von Arbeitnehmern des Verantwortlichen, die erforderlich sind zur Erstellung umsatzsteuerrechtlicher Test-E-Rechnungen im Rahmen der Nutzung des RSMinvoice Testkit. Dieses stellt der Auftragsverarbeiter dem Verantwortlichen nach Maßgabe der vom Verantwortlichen an den Auftragsverarbeiter übermittelten Auftragsvereinbarung (nachfolgend „Auftragsvereinbarung“) sowie den Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters mit Stand Juni 2025 (nachfolgend „AGB“) entgeltlich bereit. Gegenstand der Verarbeitung ist demnach insbesondere die Übernahme und Nutzung übermittelter Personaldaten zur Generierung realistischer Testfälle. Weitere Angaben zum Gegenstand der Verarbeitung ergeben sich aus der Auftragsvereinbarung und den AGB.

4. Zweck(e), für den/die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden und Art der Verarbeitung

Zweck der Verarbeitung ist die Erstellung individualisierter, praxisnaher Test-E-Rechnungen zur Validierung der E-Rechnungs-Funktionalität des Verantwortlichen im Hinblick auf technische und umsatzsteuerliche Korrektheit. Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglichen vereinbarten Leistungen zur Nutzung des RSMinvoice Testkit.

Die Art der Verarbeitung umfasst insbesondere die Erhebung (durch Übermittlung seitens des Verantwortlichen), Speicherung, Organisation, Strukturierung, Anpassung und Verwendung der personenbezogenen Daten zur Erstellung und digitalen Bereitstellung von Testdokumenten.

5. Dauer der Verarbeitung

Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung des RSMinvoice Testkit durch den Auftragsverarbeiter.

 

Anhang II - Technische und organisatorische Maßnahmen

Nachstehend erfolgt eine Aufstellung der wesentlichen technischen und organisatorischen Maßnahmen der RSM Ebner Stolz Digital Solutions GmbH (nachfolgend: RSM Ebner Stolz). Soweit Daten bei unseren Subunternehmern verarbeitet werden, gelten insofern ausschließlich die technischen und organisatorischen Maßnahmen des jeweiligen Subunternehmers. Diese Maßnahmen senden wir Ihnen auf Anfrage per E-Mail zu.

II. Allgemeine Maßnahmen zum Schutz personenbezogener Daten

1. Verschlüsselung

Die Inhalte von Festplatten lokaler Desktop- und Laptop-Computer sind mit Bitlocker (AES 256bit) oderDriveLock (RIPEMD 160bit) verschlüsselt. Mobile Datenträger werden in der Regel automatisch durch DriveLock verschlüsselt. Mobile Datenträger werden im Einzelfall auf dokumentierten Antrag einzelner Berufsträger nicht verschlüsselt; in diesem Fall wird protokolliert, welche Dateien gespeichert werden. Datensicherungsbänder werden verschlüsselt. Nutzt der Kunde die DATEV-Module „Unternehmen Online“, „Arbeitnehmer Online“ oder die „Digitale Personalakte“ (nachfolgend: Cloud-Lösung), so erfolgt die Übermittlung der Daten verschlüsselt. Die Übermittlung von Daten zwischen RSM Ebner Stolz und DATEV erfolgt verschlüsselt über VPN- oder TLS-Verbindung mit Zwei-Faktor-Authentisierung. Sämtliche RSM Ebner Stolz Standorte sind über eine MPLS-Standortvernetzung verbunden. Diese geschlossene Standortvernetzung wird zusätzlich noch verschlüsselt betrieben (sogenannte „Bankenlösung“). RSM Ebner Stolz bietet seinen Kunden einen verschlüsselten Datenaustausch über die „RSM Ebner Stolz Client Cloud“ an.

2. Sicherstellung der Vertraulichkeit

2.1 Zutrittskontrolle

Sämtliche Räumlichkeiten von RSM Ebner Stolz sind durch Schließanlagen mit Sicherheitsschlössern vor unbefugtem Zutritt gesichert; teilweise werden Schlüssel mit elektronischer Kodierung eingesetzt. Die Schlüsselvergabe erfolgt pro Standort entsprechend einem definierten Prozess, bei dem die Zutrittsberechtigungen an die Mitarbeiter entsprechend ihrer jeweiligen beruflichen Position bzw. Aufgaben vergeben werden. An Dienstleister erfolgt eine Ausgabe von Schlüsseln nur in Ausnahmefällen, die einer besonderen Genehmigung bedürfen, sofern diese die Schlüssel außerhalb der Geschäftszeiten von RSM Ebner Stolz zwingend benötigen. Bei Schlüsselverlust besteht die organisatorische Anweisung, dass die Mitarbeiter sich umgehend melden müssen. Die entsprechenden Schlüssel werden dann gesperrt bzw. in Fällen ohne elektronische Kodierung erfolgt ein Wechsel des Schlosses.

Der Zutritt zu den Büroräumen wird teilweise, der Zutritt zu den Serverräumen jederzeit protokolliert. Die öffentlichen Verkehrsflächen der Gebäude der größeren Standorte von RSM Ebner Stolz werden durch das Gebäudemanagement des Vermieters videoüberwacht. Der Zutritt für Gäste ist nur über Anmeldung beim Empfang möglich. Gäste haben grundsätzlich nur Zutritt im Gäste- und Besprechungsbereich. Außerhalb dieser Bereiche dürfen sich Gäste nur ausnahmsweise und nur in Begleitung eines Mitarbeiters aufhalten. Die Serverräume von RSM Ebner Stolz sind mit separaten Schließanlagen ausgerüstet, die nicht mit den Schlüsseln für die Büroräume von RSM Ebner Stolz geöffnet werden können. Schlüssel zu den Serverräumen sind ausschließlich an Mitarbeiter der IT-Abteilung sowie an den für die IT zuständigen Partner ausgegeben.

An manchen Standorten erfolgt außerhalb der gewöhnlichen Bürozeiten eine Überwachung der Räumlichkeiten durch einen privaten Sicherheitsdienst.

Organisatorisch ist geregelt, dass bei allen IT-Arbeitsplätzen eine automatische Bildschirmsperrung nach 15 Minuten erfolgen soll. Mitarbeiter, die ihren Laptop im Außendienst an öffentlich zugänglichen Orten nutzen, sollen einen Sichtschutz für ihren Laptop benutzen und sind angehalten, ihren Laptop nicht unbeaufsichtigt zu lassen.

Das zentrale Rechenzentrum von RSM Ebner Stolz befindet sich auf dem Rechenzentrums Campus, eines gewerblichen Anbieters. Dieser Anbieter ist nach EN 50600 (building E, F/G, H), ISO 9001, ISO 50001, ISO 27001 IT-GS (BSI), ISAE 3402 Type II, PCI DSS zertifiziert. Die von RSM Ebner Stolz angemieteten Serverschränke sind auf zwei getrennte Rechenzentrumsgebäude des Campus verteilt. Ein Zutritt zu diesen Serverschränken ist nur mit einem Schlüssel möglich, der vom Eigentümer der Räumlichkeiten verwahrt wird. Der Schlüssel wird nur gegen Vorlage eines Personalausweises an Berechtigte, die vorher von der RSM Ebner Stolz IT-Abteilung namentlich angemeldet werden müssen, ausgegeben. Das Rechenzentrumsgelände wird rund um die Uhr per Video überwacht, außerdem ist ein bewaffneter Wachdienst im Einsatz. Hinzu kommen ein elektronisch überwachter Sicherheitszaun samt Übersteig- und Untergrabschutz, sowie Video-Überwachung der Zugänge.

2.2 Zugangskontrolle

Der Zugang zu den datenverarbeitenden Systemen kann nur über ein Zugangskontrollsystem erfolgen. Ein Zugang zur IT ist nur nach sicherer Authentifizierung mittels Benutzerkennung und individuellem Passwort möglich. Es existiert eine Passwortrichtlinie gemäß den aktuell gültigen Standards. Jede Benutzerkennung wird nur für einen Mitarbeiter verwendet.

Ein Zugriff auf die IT von RSM Ebner Stolz über mobile Geräte von außerhalb erfolgt nur durch Berufsträger und Mitarbeiter der IT-Abteilung und über einen gesondert zu beantragenden passwortgesicherten VPN-Zugang. Es wird zwingend eine Zweifaktor Authentifizierung eingesetzt. Handys und Tablets sind passwortgeschützt. Sämtliche betriebliche Daten werden dort in einer gekapselten Umgebung (MDM System) gehalten.

Die Absicherung nach außen erfolgt durch mehrstufig realisierte Firewall-Systeme und mittels separater VPN-Zugänge. Die Firewall-Systeme sind als fehlerredundante Cluster-Lösung ausgeführt. Sollte eines der Firewall-Systeme ausfallen, übernimmt automatisch das verbliebene System sämtliche Aufgaben. Zusätzlich wird ein sogenannter Netzwerk- und Vulnerability-Scanner eingesetzt.

Für sämtliche Sicherheitssysteme sind Wartungsverträge mit externen Dienstleistern abgeschlossen, die sich auf IT-Security Lösungen spezialisiert haben. Diese Dienstleister haben ausschließlich auf die Sicherheitssysteme, nicht aber auf Kundendaten, bzw. das gesamte interne Netzwerk von RSM Ebner Stolz, Zugriff.

Die Auswahl von Dienstleistern, z.B. Reinigungskräfte, erfolgt sorgsam. Alle Dienstleister mit potentiellem Zugang zu personenbezogenen Daten müssen entsprechende Verschwiegenheitserklärungen unterschreiben.

Im zentralen Rechenzentrum betreibt RSM Ebner Stolz eigene Server in abgeschlossenen Serverschränken; der Vermieter der Serverschränke kann auf die Daten, die auf diesen Servern gespeichert sind, nicht zugreifen.

2.3 Zugriffskontrolle

Die Berechtigungen einzelner Mitarbeiter für die einzelnen IT-Systeme werden entsprechend dem Berechtigungskonzept von RSM Ebner Stolz vergeben und hängen von beruflicher Position bzw. Aufgaben des einzelnen Mitarbeiters ab. Externe Dienstleister bekommen – entsprechend ihrer Tätigkeit – nur zeitlich und inhaltlich begrenzten Zugang bzw. Zugriff. Berechtigungen können nur von ausgewählten Administratoren entsprechend dem Berechtigungsvergabeprozess vergeben werden. Sämtliche Änderungen werden im Ticketsystem dokumentiert.

Die Zugriffsberechtigungen der Mitarbeiter auf Kundendaten der IT-Systeme werden zuerst durch die Zugriffsrechte der Windows Domäne und der Active Directory Services verwaltet. Kundendaten, die sich auf Netzlaufwerken befinden, werden teils durch zusätzliche Administrationssoftware und NTFS-Rechte verwaltet. Sämtliche Veränderungen der Zugriffsrechte werden im Logbuch des Admin-Centers dokumentiert. Bei datenbankgestützten Datenbeständen (z. B. CRM und DATEV) erfolgt auf einer weiteren Ebene die Benutzerverwaltung durch das jeweilige Datenbanksystem. Sowohl CRM als auch DATEV setzen hierfür eigene Verwaltungswerkzeuge ein. DATEV verwendet hierzu die Benutzer- und Rechteverwaltung (BRV).

Mitarbeiter der IT-Abteilung können auf personenbezogene Daten von Kunden erst dann Zugriff nehmen, wenn sie von dem Kundenverantwortlichen dazu unter Nutzung eines internen Ticketsystems angewiesen worden sind. Die als Administratoren in der IT-Abteilung beschäftigten Mitarbeiter von RSM Ebner Stolz haben technisch Zugriff auf die Datenbestände. Dieser Zugriff wird sowohl durch die Administrationssoftware, als auch durch die Benutzerverwaltungen der Datenbanken beschränkt. Bei den datenbankgestützten Datenbeständen beschränkt sich der Zugriff der Administratoren auf die Datenbank selbst. Die Datenbankadministratoren von RSM Ebner Stolz haben keinen Zugriff auf die Datensätze innerhalb einer Datenbank.

2.4 Sicherstellung weisungsgebundener Verarbeitung

Mitarbeiter, die nicht bereits gesetzlich zur Verschwiegenheit verpflichtet sind, werden schriftlich zur Vertraulichkeit verpflichtet. Darüber hinaus ist jeder Mitarbeiter arbeitsvertraglich zur Verschwiegenheit aufgrund einer ausdrücklichen Regelung im Arbeitsvertrag verpflichtet. Subunternehmer von RSM Ebner Stolz müssen ihre Mitarbeiter ebenso zur Vertraulichkeit verpflichten. Sonstige Dienstleister und deren Mitarbeiter mit Zutritt zu den Büroräumen von RSM Ebner Stolz werden schriftlich zur Verschwiegenheit und zur Vertraulichkeit verpflichtet. Neue Mitarbeiter erhalten zu Beginn ihrer Beschäftigung eine IT-Grundschulung und werden dort auch mit den Grundzügen des Datenschutzes vertraut gemacht.

2.5 Trennungskontrolle

Soweit technisch möglich und wirtschaftlich vertretbar, können die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden. Daten im Zusammenhang mit der Auftragsverarbeitung für verschiedene Kunden werden in unterschiedlichen Ordnern abgelegt. Dabei erfolgt eine eindeutige Bezeichnung des Kunden im CRM, DATEV, dem Fileserver bzw. auf dem Ordnerdeckblatt. Die Zugriffsrechte auf Daten eines Kunden, die in Ordnern im Dateisystem gespeichert werden, können auf die Mitarbeiter beschränkt werden, die für diesen Kunden tätig sind. Im zentralen Rechenzentrum befinden sich in den von RSM Ebner Stolz gemieteten Serverschränken ausschließlich Server von RSM Ebner Stolz.

3. Sicherstellung der Datenintegrität

3.1 Allgemeines

Sämtliche PC-Arbeitsplätze werden durch eine Anti-Viren-Software geschützt, die zentral verwaltet und auf jeden PC, der sich an die Windows Domäne von RSM Ebner Stolz anmeldet, automatisch installiert wird. Darüber hinaus besteht ein zusätzlicher Malwareschutz auf Serverebene. Im Bereich der E-Mails wird ein Spam-Filter eingesetzt. Die Mitarbeiter werden in Schulungen über den sicheren Umgang mit unbekannten E-Mails, der Internetnutzung sowie sozialen Netzwerken informiert. Durch einen externen Dienstleister werden regelmäßig entsprechende Awareness Trainings für alle Mitarbeiter durchgeführt.

3.2 Weitergabekontrolle

Der Zugriff von Dienstleistern von RSM Ebner Stolz auf Systeme von RSM Ebner Stolz erfolgt nur über ein Privileged Access Gateway, mit einer verschlüsselten Verbindung. Wenn möglich, werden bei Durchführung von Wartungsarbeiten durch Dritte Echt-Daten durch Testdaten ersetzt, sofern dadurch die Fehleranalyse und Fehlerbehebung nicht beeinträchtigt wird.

Es erfolgt eine Protokollierung der An- und Abmeldezeiten von Mitarbeitern, von Anmelde- und Zugriffsversuchen auf IT-Systeme und der Installation von Anwendungen. Eine Kontrolle der Log-Daten erfolgt bei Verdacht auf einen Datenschutz- bzw. Informationssicherheitsvorfall. Es erfolgt eine Protokollierung von Netzwerkaktivitäten in der Firewall und zwar hinsichtlich Zeit, Source-IP, Empfänger-IP-Adresse und Port-Nutzung. Protokolldateien des File-Servers und auf Applikationsebene können nicht abgeändert werden. Es erfolgt eine Protokollierung der Dritten, an die Daten übermittelt werden dürfen und können.

Entsorgungsgut mit schutzwürdigem Inhalt wird in verschlossenen Behältern gesammelt und durch Spezialunternehmen entsorgt. Es werden nur zertifizierte Dienstleister zur Entsorgung von Datenträgern eingesetzt (z.B. DIN 66399). Die Rückgabe von Akten, die Daten aus dem Bereich der Auftragsverarbeitung enthalten, erfolgt regelmäßig persönlich durch den auftragsverantwortlichen Mitarbeiter, als nachverfolgbares Paket oder als Einschreiben.

3.3 Eingabekontrolle

Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. Ein Lese-/Schreibschutz erfolgt über das Berechtigungskonzept.

4. Verfügbarkeit und Belastbarkeit von Systemen

Die Serverlandschaften sind an den meisten Standorten auf mehrere Serverräume aufgeteilt. Die Serverräume verfügen über Klimatisierung und an manchen Standorten über Gasdrucklöschanlagen. Es sind eine unterbrechungsfreie Stromversorgung (USV) für einen kurzen Zeitraum und ein Überspannungsschutz gewährleistet. Server werden nicht unter Sanitäreinrichtungen aufgestellt. In den Räumlichkeiten sind Rauchmelder mit automatischer Brandmeldung verbaut. Netzwerk-Anschlüsse sind galvanisch getrennt.

Die Infrastruktur im zentralen Rechenzentrum ist völlig redundant und ausfallsicher aufgebaut. Es werden Rechenzentren mit Redundanzen im Hinblick auf Datenträger, Standort, Stromversorgung und Zugang zum RSM Ebner Stolz Netzwerk eingesetzt. Das zentrale Rechenzentrum verfügt über Notstromaggregate für 72 Stunden, sowie Anbindungen an zwei unabhängige Stromnetze. Das Rechenzentrum ist direkt redundant an den Internet-Knoten DE-CIX in Frankfurt angebunden. Das Rechenzentrum verfügt über ein Entrauchungs- und Gasfeuerlöschsystem.

Die gesamte Serverlandschaft ist über VMware vSPHERE virtualisiert. Das Mailsystem sowie die separaten Microsoft SQL-Datenbankserver (z.B. für CRM, WMS und DATEV) sind als Hochverfügbarkeitslösungen, über vSPHERE High Availability (HA), realisiert. Als Plattensysteme kommen an den unterschiedlichen Standorten Systeme diverser Hersteller zum Einsatz. Im zentralen Rechenzentrum werden Komplettsysteme von Nutanix (hyperkonvergente Infrastruktur) eingesetzt. Es erfolgt ein Monitoring der Verfügbarkeit und Auslastung der Server sowie der Temperatur im Serverraum und Rechenzentrum. Es werden zusätzliche Ressourcen vorgehalten, die RSM Ebner Stolz bei Belastungsspitzen einsetzen kann. Eine Anmietung weiterer Rechenkapazitäten ist kurzfristig möglich. Ein Schutz vor DoS-Angriffen erfolgt durch die Firewall Systeme des zentralen Rechenzentrums von RSM Ebner Stolz. Zur Sicherstellung der schnellen Fehlerbehebung und Aufrechterhaltung einer hohen Verfügbarkeit existieren zahlreiche Wartungsverträge mit den Herstellern, bzw. entsprechenden Serviceunternehmen.

RSM Ebner Stolz prüft angebotene Updates auf Auswirkungen auf die Systemintegrität und führt Updates nach positiver Prüfung durch. Updates werden in der Regel erst nach entsprechender Systemsicherung durchgeführt. Es existieren zahlreiche Pflegeverträge mit Softwareunternehmen zur Sicherstellung der Aktualität der Software, der schnellen Fehlerbehebung und einer hohen Verfügbarkeit.

5. Wiederherstellung der Verfügbarkeit bei einem Zwischenfall (Notfallkonzept)

Entsprechende Notfall- und Wiederanlaufpläne liegen vor. Es wurden entsprechende SLA (service level agreement) mit den Lieferanten von RSM Ebner Stolz vereinbart.

IT-Mitarbeiter und andere Mitarbeiter in wichtigen Positionen müssen bei der Beantragung von Urlaub eine Vertretung angeben. Bei sonstiger Abwesenheit dieser Mitarbeiter ist durch Vertretungspläne und mehr als 70 Mitarbeiter im Bereich IT sichergestellt, dass schnell auf Zwischenfälle reagiert werden kann.

Es wurde ein Datensicherungskonzept mit Datensicherungsroutinen und Zeiträumen für Datensicherung ausgearbeitet. Es werden Backup-Server eingesetzt. An den einzelnen Standorten erfolgt eine tägliche Sicherung. Das File-System wird stündlich gesichert. Zusätzlich erfolgen Datensicherungen auf magnetischen Datenträgern. Es kommen nur zuverlässige und langlebige Datenträger aufgrund langjähriger Erfahrungswerte zum Einsatz. Datensicherungen erfolgen nach dem Generationenprinzip, werden in abgeschlossenen Räumen getrennt von Servern aufbewahrt und entweder in einem separaten Brandabschnitt und/oder in einem Datensafe aufbewahrt. Datensicherungsläufe werden dokumentiert.

6. Überprüfung, Bewertung und Evaluierung von Maßnahmen

6.1 Auftragskontrolle und Sicherstellung der Authentizität

Vor Anlage des Kunden im CRM wird die Identität des Kunden geprüft. Eingehende Weisungen des Kunden in Bezug auf die von der Auftragsverarbeitung erfassten personenbezogenen Daten erfolgen i.d.R. schriftlich per Post oder E-Mail. Alle ein- und ausgehenden E-Mails werden zentral auf Serverebene gespeichert, soweit und solange dies erforderlich ist. In Ausnahmefällen können auch mündliche Weisungen erfolgen, die vom Kunden oder von RSM Ebner Stolz per E-Mail bestätigt werden. Ansprechpartner des Kunden und deren E-Mail-Adressen werden im CRM von RSM Ebner Stolz hinterlegt. Der Kunde kann weisungsberechtigte Mitarbeiter und deren Vertreter angeben und festlegen, über welche Kommunikationswege Weisungen erteilt werden dürfen. Weichen die Identifikationsmerkmale des Anweisenden von den hinterlegten Kontaktdaten ab, wird vor Ausführung der Weisung zunächst Rücksprache mit dem Kunden gehalten.

Die Einhaltung von Einzelweisungen wird dem Kunden in Textform bestätigt, sofern dies nicht bereits aus der allgemeinen Auftragsdurchführung ersichtlich ist. Die Bearbeitung der Aufträge unterliegt der strengen Qualitätssicherung entsprechend dem Standesrecht der Steuerberater, Wirtschaftsprüfer und Rechtsanwälte.

RSM Ebner Stolz hat entsprechende Prozesse zur Umsetzung der Betroffenenrechte definiert, auf die zum Teil analog zurückgegriffen werden kann, wenn der Kunde von RSM Ebner Stolz Unterstützung benötigt, weil Betroffene gegenüber ihm ihre Rechte nach Art. 15 ff. DSGVO geltend machen. Insbesondere sind Datenfelder vorhanden, in denen z.B. eine vom Kunden angewiesene Sperrung der Daten vermerkt werden kann. Einzelne Datensätze einzelner Mitarbeiter der Kunden können ohne Beeinträchtigung der anderen Datensätze gesperrt oder, sofern wir nicht zu einer Aufbewahrung verpflichtet sind, gelöscht werden. Es besteht die Möglichkeit für den Kunden, sich Daten von Mitarbeitern zusammenstellen zu lassen, sofern diese von ihren Auskunftsrechten Gebrauch machen.

6.2 Kontrollverfahren

Es erfolgt eine Kontrolle der Umsetzung von neuen Maßnahmen durch den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten von RSM Ebner Stolz. Außerdem werden die Maßnahmen durch den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten regelmäßig geprüft. In diesem Zusammenhang erfolgen auch simulierte Angriffe auf die IT von RSM Ebner Stolz und Tests zur Prüfung der Wirksamkeit der Maßnahmen von RSM Ebner Stolz. Die Ergebnisse dieser Tests und Kontrollen werden dokumentiert. Datenschutz- und Informationssicherheitsvorfälle werden nach einem definierten Prozess dokumentiert, internen und ggf. auch externen Stellen bzw. im Bereich der Auftragsverarbeitung dem Auftraggeber gemeldet. Nach einem möglichen Datenschutz- bzw. Informationssicherheitsvorfall erfolgt eine Überprüfung der Maßnahmen zum Datenschutz und zur Informationssicherheit.

7. Datenschutz durch Voreinstellungen, Datenminimierung und Speicherbegrenzung

Von Kunden werden nur die Daten angefordert, die auch tatsächlich für die Bearbeitung des entsprechenden Auftrags notwendig sind. Übermittelt der Kunde RSM Ebner Stolz Daten, die für diese Auftragsverarbeitung nicht erforderlich sind, so weist RSM Ebner Stolz den Kunden darauf hin und wird diese Daten nach Wahl des Kunden löschen, oder zurückgeben.

Die Daten werden nach Beendigung des Auftragsverhältnisses, oder auf Weisung des Kunden gelöscht, sofern RSM Ebner Stolz nicht zu einer Verarbeitung gesetzlich verpflichtet ist. Werden Daten im Rahmen gesetzlicher Verpflichtungen durch RSM Ebner Stolz verarbeitet, so stellt RSM Ebner Stolz durch ein Löschkonzept sicher, dass die Daten gelöscht oder vernichtet werden, sobald die gesetzliche Verpflichtung zur Verarbeitung entfällt.

Die physikalische Vernichtung von Datenträgern erfolgt durch Spezialunternehmen. Festplatten werden zusätzlich vorher nach VSITR-Standard und unter Beachtung der Empfehlungen des BSI gelöscht.

8. Rechtmäßigkeit, Transparenz und Zweckbindungsgrundsatz

Sollte ein Mitarbeiter von RSM Ebner Stolz der Auffassung sein, dass RSM Ebner Stolz zu einer Verarbeitung nach Art. 28 Abs. 3 S. 2 a) a.E. DSGVO verpflichtet ist, ist durch eine interne Arbeitsanweisung sichergestellt, dass diese Frage an den Kundenverantwortlichen weiterzuleiten ist, der diese Frage zusammen mit dem Datenschutzbeauftragten und einem Rechtsanwalt prüft. Es existiert eine interne Richtlinie zur Information von Kunden über Verarbeitung nach Art. 28 Abs. 3 S. 2 a) a.E. DSGVO.

Sind mit der Durchführung der Auftragsverarbeitung neue Verarbeitungsprozesse verbunden, so werden diese auf ihre Rechtmäßigkeit geprüft und in dem Verarbeitungsverzeichnis dokumentiert.

9. Rechenschaftspflicht und Revisionsfähigkeit

RSM Ebner Stolz hat u.a. für den Bereich der Auftragsverarbeitung ein Verarbeitungsverzeichnis erstellt und eine allgemeine Datenschutzfolgenabschätzung in Bezug auf die besonderen Kategorien personenbezogener Daten durchgeführt.

III. Zusätzliche Maßnahmen für besondere Kategorien personenbezogener Daten

1. Sensibilisierung der Mitarbeiter

Alle mit den Kundenaufträgen betrauten Mitarbeiter werden laufend geschult. Mitarbeiter von RSM Ebner Stolz, die mit der Verarbeitung personenbezogener Daten betraut sind, werden neben der Verpflichtung zur Vertraulichkeit auf die besondere Schutzbedürftigkeit besonderer Kategorien personenbezogener Daten durch ein Merkblatt, sowie in Schulungen hingewiesen.

2. Benennung eines Datenschutz- und eines Informationssicherheitsbeauftragten

RSM Ebner Stolz hat einen Datenschutzbeauftragten und einen Informationssicherheitsbeauftragten bestellt. Es wurden bewusst zwei voneinander unabhängige Personen mit diesen Aufgaben betraut.

3. Spezifische Verfahrensregelung für den Fall der Zweckänderung

Möchte der Kunde besondere Kategorien an Daten zu anderen Zwecken als für den ursprünglich erteilten Auftrag nutzen und erteilt er eine entsprechende Weisung an RSM Ebner Stolz, so wird RSM Ebner Stolz die Verarbeitung zunächst unter Hinweis auf Art. 6 Abs. 4 und Art. 28 Abs. 3 S. 3 DSGVO aussetzen und auf Verlangen und Kosten des Kunden die Zulässigkeit der Zweckänderung rechtlich prüfen. Die Prüfung erfolgt unter Einbeziehung des Datenschutzbeauftragten von RSM Ebner Stolz und eines Rechtsanwalts.

Stand: 4. Juni 2025