Skip to main content
Letztes Update: 12. Mai 2025

Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO

Dieser Vertrag wird geschlossen zwischen dem Kunden/der Kundin mit den bei der Registrierung für die Wire-Dienste angegebenen Namen und Kontaktdaten (nachfolgend „Auftraggeber“ genannt) und der Wire Swiss GmbH, Untermüli 9, 6300 Zug, Schweiz (nachfolgend „Wire“ genannt, gemeinsam nachstehend „Parteien“ oder einzeln auch „Partei“ genannt).

§ 1 – Gegenstand und Dauer des Auftrags

  1. Dieser Vertrag über eine Auftragsverarbeitung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsverarbeitung ergeben, welche zum Zwecke der Bereitstellung der in den Nutzungsbedingungen beschriebenen Software-Lösung für Messaging-Dienste und der damit verbundenen Leistungen (gemeinsam „Dienst“) durch Wire für den Auftraggeber durchzuführen ist. Der Gegenstand des Auftrags ergibt sich aus dem Vertrag über die Bereitstellung des Dienstes einschließlich der darin einbezogenen Nutzungsbedingungen (gemeinsam „Leistungsvereinbarung“), auf den hier verwiesen wird.
  2. Darüber hinaus findet dieser Vertrag Anwendung auf alle Tätigkeiten, die im Zusammenhang mit den in den Nutzungsbedingungen genannten Leistungen stehen und bei denen Mitarbeiter von Wire oder von Wire beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
  3. Dieser Vertrag tritt mit Unterzeichnung durch beide Parteien in Kraft. Die Laufzeit dieses Vertrages entspricht der Laufzeit der Leistungsvereinbarung. Die Verpflichtungen aus diesem Vertrag gelten auch nach Beendigung der Leistungsvereinbarung, solange Wire nicht sämtliche personenbezogenen Daten des Auftraggebers gemäß diesem Vertrag herausgegeben, gelöscht oder anderweitig vernichtet hat.

§ 2 – Konkretisierung des Auftragsinhalts

  1. Art und Zweck der Verarbeitung personenbezogener Daten durch Wire für den Auftraggeber sind in der Leistungsvereinbarung konkret beschrieben. Änderungen der Verarbeitungsgegenstände und Verfahrensänderungen sind zwischen den Parteien abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
  2. Wire stellt in seinem Verantwortungsbereich die Einhaltung sämtlicher gesetzlicher Bestimmungen zum Datenschutz sicher.
  3. Wire führt die vertraglich vereinbarte Verarbeitung personenbezogener Daten grundsätzlich auf Servern in den Mitgliedstaaten der Europäischen Union (EU) und den anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR), etwa in der Schweiz, durch. Werden die vereinbarten Leistungen auf Weisung des Auftraggebers außerhalb der EU bzw. des EWR erbracht, stellt Wire sicher, dass die Übermittlung der personenbezogenen Daten gemäß Art. 44 ff. DSGVO zulässig ist, indem mindestens eine der folgenden Bedingungen erfüllt ist:
    1. Für das Drittland liegt ein Angemessenheitsbeschluss der Europäischen Kommission vor;
    2. Es werden geeignete Schutzvorkehrungen getroffen (z.B. verbindliche interne Datenschutzvorschriften (BCR), Abschluss von Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder Zertifizierungsmechanismen);
    3. Die Datenübermittlung ist durch Ausnahmeregelungen für bestimmte Situationen gemäß Art. 49 DSGVO gedeckt.
  4. Gegenstand der vorliegenden Auftragsverarbeitung sind folgende Arten personenbezogener Daten:
    1. Name des Nutzers;
    2. E-Mail-Adresse des Nutzers;
    3. Daten, die der Nutzer gesondert bereitstellt (z.B. Profilbild);
    4. Metadaten des Dienstes (z.B. Informationen über den Ersteller eines Teams, den Namen der Unterhaltung, die pseudonymisierte Teilnehmerliste sowie die Team-Zuordnung der Teilnehmer);
    5. Geräte des Nutzers (z.B. Modell, Datum/Uhrzeit der Registrierung des Geräts);
    6. Ende-zu-Ende verschlüsselte Kommunikationsdaten (z.B. Nachrichten und Dateien).
  5. Wire speichert verschlüsselte Nachrichten nur vorübergehend auf seinen Servern, um diese bei Bedarf an Offline-Clients zuzustellen, sobald die Nutzer wieder online sind. Wire besitzt die Entschlüsselungsschlüssel nicht und kann daher nicht auf den Inhalt zugreifen.
  6. Die Kategorien der betroffenen Personen umfassen:
    1. Nutzer des Dienstes (einschließlich sämtlicher Personen, die vom Auftraggeber für den Dienst angemeldet wurden);
    2. Personen, deren personenbezogene Daten Inhalt der Kommunikation zwischen den Nutzern sind.

§ 3 – Technisch-organisatorische Maßnahmen

  1. Wire gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den datenschutzrechtlichen Anforderungen entspricht. Wire hat die Sicherheit der Datenverarbeitung gemäß Art. 28 Abs. 3 c) und Art. 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1 und 2 DSGVO sicherzustellen.
  2. Es handelt sich dabei um Maßnahmen der Datensicherheit sowie um Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Dabei werden der Stand der Technik, Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO berücksichtigt.
  3. Zum Nachweis der getroffenen Maßnahmen kann Wire aktuelle Testate, Berichte oder Auszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheits- oder Datenschutzaudit) vorlegen. Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO gilt als Nachweis der Erfüllung.
  4. Ergeben sich im Rahmen eines Audits seitens des Auftraggebers Änderungsbedarfe, sind diese einvernehmlich umzusetzen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Wire ist berechtigt, alternative adäquate Maßnahmen umzusetzen, solange das ursprüngliche Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren, und Wire muss dem Auftraggeber nur wesentliche Anpassungen mitteilen.
  5. Unabhängig hiervon können die Parteien die Wirksamkeit der getroffenen Maßnahmen in regelmäßigen, einvernehmlich zu vereinbarenden Abständen überprüfen und bewerten.

§ 4 – Verantwortlichkeiten, Weisungsbefugnis des Auftraggebers

  1. Der Auftraggeber ist verantwortlich für die Einhaltung der gesetzlichen Datenschutzbestimmungen, insbesondere für die Rechtmäßigkeit der Verarbeitung gegenüber den Betroffenen sowie für die Wahrung der Betroffenenrechte. Er hat die Betroffenen über die von Wire durchgeführte Datenverarbeitung zu informieren und gegebenenfalls deren Einwilligung einzuholen.
  2. Wire und jede von Wire beauftragte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten nur nach dokumentierter Weisung des Auftraggebers erheben, verarbeiten und nutzen, sofern keine gesetzliche Verpflichtung zur Verarbeitung besteht. In einem solchen Fall informiert Wire den Auftraggeber vor der Verarbeitung, soweit dies aufgrund eines wichtigen öffentlichen Interesses nicht untersagt ist.
  3. Wire verwendet die Daten ausschließlich für die im Auftrag festgelegten Zwecke und ist insbesondere nicht berechtigt, diese an Dritte weiterzugeben. Es werden keine Kopien oder Duplikate der Daten ohne Wissen des Auftraggebers erstellt, ausgenommen Sicherungskopien, sofern diese zur ordnungsgemäßen Datenverarbeitung erforderlich sind, oder Kopien zur Einhaltung gesetzlicher Aufbewahrungspflichten.
  4. Weisungen des Auftraggebers erfolgen schriftlich oder in einem dokumentierten elektronischen Format (z.B. Textform). Mündliche Weisungen sind unverzüglich in dokumentierter Form zu bestätigen. Wire verarbeitet personenbezogene Daten im Auftrag des Auftraggebers gemäß den Regelungen der Leistungsvereinbarung, sodass die Weisungen zunächst durch diese Vereinbarung und diesen Vertrag festgelegt sind. Dementsprechend erfolgt die Verarbeitung der Daten:
    1. soweit dies nach Art und Umfang zur Erbringung des Dienstes und Erfüllung der Verpflichtungen aus der Leistungsvereinbarung erforderlich ist;
    2. soweit Wire gesetzlich nach den Vorschriften der EU oder der Mitgliedstaaten, denen Wire unterliegt, hierzu verpflichtet ist (in diesem Fall informiert Wire den Auftraggeber vor der Verarbeitung, sofern dies nicht durch ein wichtiges öffentliches Interesse untersagt wird).
  5. Führt eine Weisung des Auftraggebers zu einer Änderung des Leistungsgegenstandes der Leistungsvereinbarung, bedarf es einer einvernehmlichen Vereinbarung über diese Änderung. Wire hat den Auftraggeber unverzüglich zu informieren, sollte Wire der Meinung sein, dass eine Weisung gegen Datenschutzvorschriften verstößt. Wire ist berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber sie bestätigt oder ändert. Bestätigt der Auftraggeber die fragliche Weisung und weist Wire an, diese auszuführen, so stellt der Auftraggeber Wire von allen Schäden und Kosten frei, die aufgrund der Durchführung entstehen, falls sich die Weisung als rechtswidrig erweist.

§ 5 – Pflichten von Wire

  1. Wire hat neben der Einhaltung der Regelungen dieses Vertrages auch gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO einzuhalten und insbesondere folgende Vorgaben zu gewährleisten:
  2. Wire hat einen Datenschutzbeauftragten schriftlich bestellt, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Der Datenschutzbeauftragte ist für den Auftraggeber jederzeit unter privacy@wire.com direkt erreichbar.
  3. Wire wahrt die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 b) und Art. 32 Abs. 4 DSGVO. Hierzu setzt Wire ausschließlich Beschäftigte ein, die auf Vertraulichkeit verpflichtet und mit den relevanten Datenschutzbestimmungen vertraut sind. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.
  4. Soweit möglich, erstellt Wire ein Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO.
  5. Der Auftraggeber und Wire arbeiten im Falle einer Anfrage der zuständigen Aufsichtsbehörde zur Beantwortung dieser Anfrage zusammen.
  6. Wire informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie diesen Vertrag betreffen. Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens ermittelt.
  7. Sollte der Auftraggeber einer Kontrolle durch die Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren oder Haftungsansprüchen Dritter ausgesetzt sein, unterstützt Wire den Auftraggeber nach besten Kräften.

§ 6 – Berichtigung, Einschränkung und Löschung von Daten, Betroffenenrechte

  1. Wire darf die im Auftrag verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Änderungen der personenbezogenen Daten der betroffenen Personen sind dem Auftraggeber unverzüglich mitzuteilen, damit Wire diese umsetzen kann.
  2. Wendet sich eine betroffene Person direkt an Wire, um ihre Rechte wahrzunehmen, wird Wire dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Wire beantwortet oder bearbeitet Betroffenenanfragen nur nach dokumentierter Weisung des Auftraggebers. Für etwaige Unterstützungsleistungen im Zusammenhang mit den Betroffenenrechten kann Wire einen Vergütungsanspruch geltend machen.

§ 7 – Unterauftragsverhältnisse

  1. Unterauftragsverhältnisse im Sinne dieses Vertrages beziehen sich auf Leistungen, die unmittelbar mit der Erbringung der Hauptleistung in Zusammenhang stehen. Ausgeschlossen sind Nebenleistungen, wie z.B. Telekommunikations-, Post-/Transport-, Reinigungs- oder Bewachungsleistungen, es sei denn, sie betreffen IT-Systeme, die im Zusammenhang mit den von Wire erbrachten Leistungen stehen.
  2. Wire ist berechtigt, Unterauftragnehmer (weitere Auftragsverarbeiter) zu beauftragen und zu ersetzen, sofern:
    1. Wire dem Auftraggeber die geplante Beauftragung oder Ersetzung des Unterauftragnehmers schriftlich oder in Textform mit Angabe des geplanten Datums rechtzeitig anzeigt;
    2. Der Auftraggeber nicht innerhalb von vierzehn Tagen schriftlich oder in Textform Einspruch gegen die geplante Beauftragung bzw. den Wechsel erhebt;
    3. Eine vertragliche Vereinbarung gemäß Art. 28 Abs. 2-4 DSGVO zugrunde liegt.
  3. Der Auftraggeber stimmt bereits der Beauftragung der in Anlage 2 aufgelisteten Unterauftragnehmer zu, vorbehaltlich einer vertraglichen Vereinbarung gemäß Art. 28 Abs. 2-4 DSGVO.
  4. Die Weitergabe personenbezogener Daten an den Unterauftragnehmer und dessen erste Tätigkeit sind erst zulässig, wenn alle Voraussetzungen für eine Unterbeauftragung, insbesondere eine vertragliche Vereinbarung gemäß Art. 28 Abs. 4 DSGVO, erfüllt sind. Auf Verlangen ist dem Auftraggeber die vertragliche Vereinbarung vorzulegen, ausgenommen geschäftliche Klauseln ohne datenschutzrechtlichen Bezug.
  5. Erbringt der Unterauftragnehmer die Leistungen außerhalb der EU/des EWR, stellt Wire durch geeignete Maßnahmen die Einhaltung der Datenschutzvorschriften sicher. Gleiches gilt, wenn Dienstleister im Sinne des zweiten Satzes eingesetzt werden.
  6. Wire haftet für die Verarbeitung durch die von ihm beauftragten Unterauftragnehmer wie für eigene Leistungen im Rahmen dieses Vertrages.

§ 8 – Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, in Abstimmung mit Wire Überprüfungen durchzuführen oder durch benannte Prüfer durchführen zu lassen. Er kann sich mittels Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der Datenschutzvorschriften und der vertraglichen Vereinbarungen in den Geschäftsräumen von Wire während der üblichen Betriebszeiten überzeugen.
  2. Wire stellt sicher, dass der Auftraggeber die Einhaltung der datenschutzrechtlichen Pflichten von Wire gemäß Art. 28 DSGVO überprüfen kann. Wire verpflichtet sich, dem Auftraggeber auf Anforderung alle erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technisch-organisatorischen Maßnahmen nachzuweisen.
  3. Der Nachweis kann erfolgen durch:
    1. Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
    2. Die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
    3. Aktuelle Testate, Berichte oder Auszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
    4. Eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
  4. Sollte eine Vor-Ort-Prüfung durch den Auftraggeber oder einen benannten Prüfer erforderlich sein, kann Wire die Durchführung von der vorherigen Unterzeichnung einer Verschwiegenheitserklärung bezüglich der Daten Dritter sowie sonstiger Geschäfts- und Betriebsgeheimnisse abhängig machen. Eine solche Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn die Prüfung durch eine Datenschutzaufsichtsbehörde oder eine andere hoheitliche Stelle erfolgt.
  5. Für die Ermöglichung der Prüfungen kann Wire einen Anspruch auf angemessene Vergütung geltend machen.

§ 9 – Unterstützungspflichten von Wire

  1. Wire unterstützt den Auftraggeber bei der Einhaltung seiner Pflichten hinsichtlich der Sicherheit der Verarbeitung personenbezogener Daten, bei der Meldung von Datenschutzverletzungen, der Durchführung von Datenschutz-Folgeabschätzungen und bei vorherigen Konsultationen (gemäß Art. 32 bis 36 DSGVO). Zu den Unterstützungsleistungen gehören insbesondere:
    1. Die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere möglicher Rechtsverletzungen durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung relevanter Verletzungsereignisse ermöglichen (vgl. § 3 dieses Vertrages);
    2. Die Verpflichtung, Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden ab Kenntnis, an den Auftraggeber zu melden. Der Auftraggeber informiert Wire seinerseits umgehend, falls bei der Überprüfung der Ergebnisse Fehler oder Unregelmäßigkeiten mit datenschutzrechtlicher Relevanz festgestellt werden. Zudem unterrichtet Wire den Auftraggeber unverzüglich bei schwerwiegenden Betriebsstörungen, Verdacht auf Datenschutzverletzungen oder sonstigen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers, und ergreift alle erforderlichen Maßnahmen zur Sicherung der betroffenen Daten;
    3. Die Unterstützung des Auftraggebers bei dessen Informationspflicht gegenüber der Aufsichtsbehörde und ggf. den Betroffenen, wobei Wire alle relevanten Informationen innerhalb von 48 Stunden nach Kenntnisnahme einer Datenschutzverletzung bereitstellt;
    4. Die Unterstützung des Auftraggebers im Rahmen einer etwaigen Datenschutz-Folgeabschätzung;
    5. Die Unterstützung des Auftraggebers bei vorherigen Konsultationen der Aufsichtsbehörde.
  2. Für Unterstützungsleistungen, die nicht in der Leistungsvereinbarung enthalten sind oder nicht auf ein Fehlverhalten von Wire zurückzuführen sind, kann Wire einen Vergütungsanspruch geltend machen.

§ 10 – Löschung und Rückgabe von personenbezogenen Daten bzw. Vernichtung

  1. Nach Abschluss der vertraglich vereinbarten Dienstleistungen oder auf Aufforderung des Auftraggebers – spätestens mit Beendigung der Dienstleistungen gemäß der Leistungsvereinbarung – hat Wire sämtliche in seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder – nach Wahl des Auftraggebers – datenschutzgerecht zu vernichten bzw. zu löschen, sofern nicht berechtigte Gründe im Sinne von Art. 17 Abs. 3 DSGVO entgegenstehen.

§ 11 – Haftung der Parteien

  1. Die Regelung der Haftung zwischen Auftraggeber und Wire ergibt sich abschließend aus der Leistungsvereinbarung, im Rahmen derer die Pflichtverletzung erfolgt ist. Die dort getroffene Haftungsvereinbarung erstreckt sich auch auf die Haftung für die Verletzung von Pflichten aus diesem Vertrag.
  2. Im Verhältnis zu den Betroffenen gelten die Regelungen zur Haftung gemäß Art. 82 DSGVO. Die Parteien stellen sich jeweils von der Haftung gegenüber den Betroffenen frei, sofern eine Partei nachweist, dass sie nicht für den eingetretenen Schaden verantwortlich ist.

§ 12 – Sonstiges

  1. Wire steht kein Zurückbehaltungsrecht an den im Rahmen des Auftrags verarbeiteten Daten gemäß § 273 BGB zu.
  2. Sollten die Daten des Auftraggebers bei Wire durch Pfändung, Beschlagnahme, ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Maßnahmen Dritter gefährdet werden, so hat Wire den Auftraggeber unverzüglich zu informieren und alle Verantwortlichen hierüber in Kenntnis zu setzen, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber liegen.
  3. Kosten, die Wire durch die Erfüllung seiner Pflichten aus diesem Vertrag entstehen, trägt Wire selbst und diese sind – sofern nicht ausdrücklich anders geregelt – in der Vergütung der Leistungsvereinbarung abgegolten. Eine Vergütungspflicht besteht grundsätzlich nicht, wenn ein Datenschutzrechtsverstoß von Wire ursächlich für die Leistung war.
  4. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  5. Bestandteil dieses Vertrages sind folgende Anlagen:
    1. Anlage 1 – Technische und organisatorische Maßnahmen der Wire Swiss GmbH
    2. Anlage 2 – Liste der Unterauftragsverarbeiter

Anlage 1 – Technische und organisatorische Maßnahmen der Wire Swiss GmbH

Dieses Dokument beschreibt die von Wire implementierten technischen und organisatorischen Maßnahmen (TOM), um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Wire verpflichtet sich, die Privatsphäre und Sicherheit der verarbeiteten Daten zu schützen – insbesondere vor dem Hintergrund der Abhängigkeit von Drittanbietern und einer remote-first Arbeitsweise.

Organisatorische Maßnahmen

  1. Datenschutzrichtlinie: Wire hat eine spezielle Datenschutzrichtlinie erstellt, die relevante Datenschutzgesetze, Grundsätze der Datenverarbeitung, Rechte der Betroffenen und die Rechtmäßigkeit der Verarbeitung umfasst. Sie enthält zudem Vorgaben zu Privacy by Design, Datenschutz-Folgenabschätzungen, internationalen Datenübertragungen und klar definierte Verantwortlichkeiten.
  2. Informationssicherheitsteam: Ein Team für Informationssicherheit und Datenschutz wurde eingerichtet, um Maßnahmen zu planen, umzusetzen und zu bewerten.
  3. Datenschutzvorfall-Richtlinie: Es existiert eine Richtlinie mit Prozessen zum Umgang mit Datenschutzvorfällen.
  4. Lieferantenbewertung: Bereits im Auswahlprozess erfolgt eine erste Bewertung von Drittanbietern hinsichtlich deren Datenschutzpraktiken, Sicherheitsmaßnahmen, Zertifizierungen und allgemeiner Compliance. Nach Vertragsabschluss wird die Einhaltung von Wire’s Anforderungen regelmäßig überprüft.
  5. Auftragsverarbeitungsverträge (AVV): Mit allen Drittanbietern, die personenbezogene Daten im Auftrag verarbeiten, wird ein AVV abgeschlossen.
  6. Risikobewertung: Regelmäßige Risikoanalysen zur Bewertung der Bedrohungslage und zur Ableitung notwendiger Maßnahmen.
  7. Rollenbasierte Zugriffskontrolle: Der Zugriff auf Systeme und Daten erfolgt auf Basis eines rollenbasierten Modells, das den Prinzipien der minimalen Rechtevergabe folgt.
  8. Zugangsverwaltung: Vor der Gewährung von Zugriffsrechten wird deren Notwendigkeit geprüft; regelmäßige Überprüfungen stellen die Aktualität sicher.
  9. Zugriffsautorisierungsverfahren: Der Zugang zu bestimmten Softwarelösungen erfolgt nach dem Vier-Augen-Prinzip.
  10. Sicherheitsvorfallmanagement: Es existiert eine Richtlinie zum Sicherheitsvorfallmanagement, die im Ernstfall strikt einzuhalten ist.
  11. Schulungen: Regelmäßige Schulungen für alle Mitarbeiter zu Datenschutzgrundsätzen, DSGVO-Anforderungen und bewährten Verfahren der Informationssicherheit.
  12. Vertraulichkeitsvereinbarungen: Alle Mitarbeiter unterzeichnen Vertraulichkeitsvereinbarungen als Bestandteil ihrer Arbeitsverträge.
  13. Richtlinienbestätigung: Neue Mitarbeiter verpflichten sich bei der Einstellung zur Einhaltung der festgelegten Datenschutz- und Sicherheitsrichtlinien.
  14. Strenger Offboarding-Prozess: Bei Beendigung des Arbeitsverhältnisses erfolgt ein dokumentierter Offboarding-Prozess, inklusive der Sperrung von Zugriffsrechten und Rückgabe von Geräten sowie Schlüsseln.
  15. Einschränkung der privaten Nutzung von Firmen-Geräten: Mitarbeiter dürfen die Systeme ausschließlich zur dienstlichen Nutzung verwenden.
  16. Regelmäßige Audits: Sicherheits- und Datenschutzmaßnahmen werden regelmäßig intern sowie jährlich von unabhängigen externen Zertifizierungsstellen (z.B. ISO 27001, ISO 27701) überprüft.

Technische Maßnahmen

  1. Gerätemanagement: Alle Unternehmensgeräte werden über Mobile Device Management (MDM) verwaltet, wobei Sicherheitsrichtlinien wie Verschlüsselung, Passwortschutz und Fernlöschung durchgesetzt werden.
  2. Festplattenverschlüsselung: Alle von Wire ausgegebenen Geräte verfügen über eine vollständige Festplattenverschlüsselung.
  3. Sichere Entsorgung von Geräten: Ausgemusterte Geräte werden durch ein spezialisiertes Unternehmen sicher entsorgt, inklusive Datenlöschung und, falls notwendig, physischer Zerstörung, sowie entsprechender Dokumentation.
  4. Endpunktsicherheit: Auf allen Geräten wird Antivirus- und Antimalware-Software installiert und regelmäßig aktualisiert.
  5. Backup und Wiederherstellung: Regelmäßige Backups kritischer Daten werden verschlüsselt und sicher gespeichert; ein Notfallplan zur Geschäftskontinuität ist vorhanden.
  6. Zugangskontrollen: Umsetzung von rollenbasierten Zugriffskontrollen, individuellen Benutzerkennungen und Multi-Faktor-Authentifizierung für den Zugriff auf sensible Systeme.
  7. Sichere Remote-Arbeitsrichtlinien: Es gelten Vorgaben zur sicheren Nutzung von Remote-Work-Praktiken.
  8. Datenverschlüsselung während der Übertragung: Personenbezogene Daten werden ausschließlich über verschlüsselte Netzwerke (z.B. HTTPS) übertragen.
  9. Penetrationstests: Regelmäßige Penetrationstests durch externe Anbieter identifizieren Sicherheitslücken, die anschließend behoben werden.

Bürosicherheit

  1. Elektronische Schlösser: Der Zutritt zum Büro ist ausschließlich autorisierten Personen vorbehalten.
  2. Videoüberwachung der Eingänge: Alle Eingangsbereiche werden außerhalb der Bürozeiten überwacht; bei unbefugtem Zutritt erfolgt eine automatische Alarmierung.
  3. Schlüsselmanagement: Die Vergabe und Verwaltung elektronischer Schlüssel erfolgt zentral und wird dokumentiert.
  4. Besucherregelung: Besucher müssen im Voraus angemeldet sein und werden während ihres Besuchs stets begleitet.

Datenschutzmaßnahmen

  1. Datenverfügbarkeit: Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität personenbezogener Daten.
  2. Datenzugangskontrolle: Protokollierung und Nachvollziehbarkeit aller Datenverarbeitungen.
  3. Datenminimierung und -trennung: Es werden ausschließlich für den vorgesehenen Zweck personenbezogene Daten verarbeitet; die Daten werden getrennt nach Funktion, Kunde oder Umgebung (Produktiv-/Testsystem) gespeichert.
  4. Speicherbegrenzung: Personenbezogene Daten werden nur so lange aufbewahrt, wie dies notwendig ist.
  5. Betroffenenrechte: Es existieren Verfahren zur Bearbeitung von Auskunfts-, Berichtigungs-, Lösch- und Datenübertragbarkeitsanfragen.
  6. Verschlüsselung und Pseudonymisierung: Personenbezogene Daten werden verschlüsselt und, wo möglich, pseudonymisiert.
  7. Datenlöschung: Es sind Prozesse zur Löschung personenbezogener Daten implementiert, einschließlich der Möglichkeit, dass Benutzer ihre Konten löschen, wodurch alle zugehörigen Daten entfernt werden.

Anlage 2 – Liste der Unterauftragsverarbeiter

Wire nutzt die Dienste von Unterauftragsverarbeitern, insbesondere von der Wire Germany GmbH, einer Gesellschaft mit beschränkter Haftung mit Sitz in Deutschland, und weiteren Unterauftragnehmern für die Verarbeitung von Daten von Geschäftskunden und Nutzern von Geschäftskonten:

Unterauftragsverarbeiter und Kontaktdaten Zweck Verarbeitungsort Drittlandübermittlung
Amazon Web Services EMEA SARL
38 avenue John F. Kennedy, L-1855 Luxemburg		 Hosting EU Nein
Wire Germany GmbH
Rosenthaler Str. 40, 10178 Berlin, Deutschland		 Entwicklung und Betrieb der Services n/a Nein
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland		 Hosting Deutschland Nein
Google Cloud EMEA Limited
Velasco, Clanwilliam Place, Dublin 2, Irland		 E-Mail EU Nein
Box, Inc.
64 North Row, 2nd Floor, London W1K 7LL, Vereinigtes Königreich		 Management elektronischer Unterschriften EU Nein
ContractHero GmbH
Parkstrasse 89a, 13086 Berlin, Deutschland		 Vertragsmanagement EU Nein
Countly Ltd.
1 Bow Churchyard, London EC4M 9DQ, Vereinigtes Königreich		 Produktnutzungsanalysen Deutschland Nein
Hubspot Inc.
25 First Street, Cambridge, MA 02141, USA		 Hosting der Webseite & Marketing und CRM Services EU Nein
Salesforce, Inc.
Salesforce Tower, 415 Mission Street, San Francisco, CA 94105, USA		 CRM Services Deutschland Nein
Stripe Payments Europe, Limited (SPEL)
1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02H210, Irland		 Payment Services USA USA (Standardvertragsklauseln (SCC))
Zendesk, Inc.
1019 Market Street, San Francisco, CA 94103, USA		 Customer Support EU Nein