Neu beim DTAD? Jetzt registrieren
Unverbindlich testen
Neu beim DTAD? Jetzt registrieren

Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 Abs. 3 der Datenschutz-Grundverordnung (DSGVO)

zwischen Nutzer:innen der Anwendung des DTAD (nachfolgend „Auftraggeber“ bzw. „AG") und der DTAD GmbH (nachfolgend „Auftragnehmer“ bzw. „AN").

Für eine gegenseitige Zeichnung dieser AVV wenden Sie sich bitte an den DTAD Kundenservice.

Präambel

Diese Vereinbarung über Auftragsverarbeitung (nachfolgend als „Auftrag“ bezeichnet) konkretisiert die Rechte des AG und die Pflichten des AN in Bezug auf die Auftragsverarbeitung, wie sie dem Hauptvertrag (siehe Bezeichnung des Vertrages / Datum des Vertrags) zwischen den Vertragsparteien (nachfolgend: „Vertrag“) zugrunde liegt.

1. Inhalt des Auftrags

Gegenstand des Auftrags ist die Regelung der Datenverarbeitung im Auftrag im Rahmen der Erbringung der Leistungen durch den AN nach dem Vertrag für den AG als „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO, bei denen es erforderlich ist, dass der AN personenbezogene Daten verarbeitet (nachfolgend „AG-Daten“). Die Begriffe „Datenverarbeitung“ oder „Verarbeitung“ im Sinne dieses Auftrags umfassen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

2. Umfang der Beauftragung

Die Art der Verarbeitung, der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen, die Gegenstand des Auftrags sind, ergeben sich aus dem Vertrag.

3. Verarbeitung außerhalb der EU

Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland oder in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des AG und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

4. Weisungsbefugnis des AG

4.1 Der AN darf personenbezogene Daten nur im Rahmen des Auftrages und der Weisungen des AG als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO verarbeiten, sofern der AN nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

4.2 Die Weisungen des AG bezüglich Art, Umfang, Zweck und Verfahren der Verarbeitung von AG-Daten werden anfänglich durch diesen Auftrag und den Vertrag festgelegt und können vom AG danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

4.3 Ist der AN der Ansicht, eine Weisung des AG verstoße gegen datenschutzrechtliche Vorschriften, ist der AN verpflichtet, den AG hierüber in Textform zu informieren. Nach entsprechender Mitteilung an den AG ist der AN berechtigt, die Ausführung der Weisung bis zur Bestätigung durch den AG auszusetzen. Die Vertragsparteien sind sich darüber einig, dass die Verantwortung für die weisungsgemäße Verarbeitung beim AG liegt.

5. Sicherheit der Verarbeitung

5.1 Der AN verpflichtet sich, die Sicherheit der Verarbeitung der AG-Daten zu gewährleisten. Dafür ergreift der AN in seinem Verantwortungsbereich die in Anlage 1 spezifizierten technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO und hat seine innerbetriebliche Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet.

5.2 Der AN stellt sicher, dass sich die mit der Verarbeitung der Daten des AG befassten Mitarbeiter gemäß Art. 28 Abs. 3 S. 2 lit. b, 32 Abs. 4 DSGVO auf die Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6. Datenlöschung und Datengefährdung

6.1 Der AN wird die AG-Daten nach Beendigung dieses Auftrags löschen, sofern er nicht gesetzlich zur weiteren Speicherung der AG-Daten verpflichtet ist. Dokumentationen, mittels derer der AN die auftrags- und ordnungsgemäße Datenverarbeitung nachweist, können vom AN auch nach Auftragsende aufbewahrt werden.

6.2 Sollten die Daten des AG beim AN durch Pfändung oder Beschlagnahme, durch ein Insolvenz - oder Vergleichsverfahren oder sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren.

7. Erteilung von Unteraufträgen zur Datenverarbeitung

7.1 Der AG erteilt seine Zustimmung für die in Anlage 2 genannten Unterauftragnehmer, die der AN zum Zeitpunkt des Vertragsschlusses bereits mit der Verarbeitung personenbezogener Daten beauftragt hat.

7.2 Der AG erteilt dem AN hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter für die Verarbeitung der AG-Daten hinzuzuziehen. Der AN wird den AG mit einer Frist von mindestens zwei Wochen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung weiterer oder die Ersetzung bestehender Unterauftragnehmer informieren. Der AG ist berechtigt, der beabsichtigten Änderung bis zum Wirksamwerden der Änderung zu widersprechen. Widerspricht der AG der Änderung nicht, gilt die Zustimmung des AG als erteilt. Auftragsverhältnisse, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf AG-Daten nicht ausgeschlossen werden kann, sind generell nicht genehmigungspflichtig, solange der AN angemessene Regelungen zum Schutz der Vertraulichkeit der AG-Daten trifft.

8. Meldepflichtige Datenschutzverletzungen

Soweit den AG eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von AG-Daten trifft, informiert der AN den AG zeitnah über meldepflichtige Verstöße in seinem Verantwortungsbereich. Gegen Erstattung der ihm hierfür nachweislich entstandenen Kosten wird der AN den AG bei der Erfüllung seiner Melde- und Benachrichtigungspflichten unterstützen.

9. Betroffenenrechte

9.1 Der AN wird den AG mit technischen und organisatorischen Maßnahmen im zumutbaren Rahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen nach Art. 12 bis 22 DSGVO zustehenden Rechte nachzukommen.

9.2 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den AN, wird der AN die betroffene Person bzw. deren Antrag zeitnah an den AG verweisen, sofern eine Zuordnung an den AG nach Angaben der betroffenen Person möglich ist.

9.3 Der AN wird dem AG unverzüglich Informationen über die gespeicherten AG-Daten, die Empfänger, an die der AN sie auftragsgemäß weitergibt und den Zweck der Speicherung mitteilen, sofern dem AG diese Informationen nicht selbst vorliegen.

9.4 Der AN wird gegen Erstattung der dem AN hierdurch nachweislich entstandenen Aufwände und Kosten durch den AG die AG-Daten berichtigen, löschen oder ihre Verarbeitung einschränken oder die Durchführung dieser Maßnahmen dem AG ermöglichen.

10. Haftung

Für Schäden des AG durch schuldhafte Verstöße des AN gegen diesen Auftrag sowie gegen die ihn unmittelbar treffenden gesetzlichen Datenschutzverpflichtungen haftet der AN gemäß den gesetzlichen Haftungsregelungen.

11. Schlussbestimmungen

11.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Vertragsparteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DSGVO am besten gerecht wird.

11.2 Es gilt die DSGVO sowie das Recht der Bundesrepublik Deutschland unter Ausschluss der Bestimmungen des Übereinkommens der Vereinigten Nationen über Verträge über den internationalen Warenkauf (CISG) sowie des Internationalen Privatrechts.

11.3 Es gilt nachfolgende Gerichtsstandvereinbarung: Berlin.

11.4 Der Auftrag endet gemeinsam mit dem Vertrag.

Anlage 1: Technische und organisatorische Maßnahmen

1. Zutrittskontrolle

Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren:

Der unbefugte Zutritt zu den Räumen, in denen die personenbezogenen Daten verarbeitet und aufbewahrt werden, wird verhindert. Die Zutrittskontrolle zu den Geschäftsräumen des AN wird durch den Empfang als Eingangskontrolle sichergestellt. Außerdem werden die folgenden technischen Maßnahmen insbesondere auch zur Legitimation der Berechtigten getroffen:

  • Zutrittskontrollsystem unter Einsatz von Schlüsseln sowie Ausweisen (Magnet-/Chipkarte) und Ausweislesern), insbes. für Serverräume.
  • Regelung und Kontrolle der Vergabe von Schlüsseln, Ausweisen und Codes (einschließlich Dokumentation der Ausgabe von Schlüsseln zu den Geschäftsräumen und Registrierung sämtlicher Schlüsselinhaber in einem Verzeichnis).
  • Türsicherung (insbesondere Schutz von Schlüsseln gegen unbefugte Vervielfältigung und elektronische Türöffner).
  • Gebäudesicherung und Überwachungseinrichtungen (insbesondere Alarmanlage und optisch-elektronische Überwachung (z.B. Video-/Fernsehmonitor)).

2. Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  • Zugang zu den DV-Anlagen erhalten ausschließlich berechtigte Personen.
  • Das Eindringen Unbefugter in die DV-Systeme wird verhindert durch technische Maßnahmen (z.B. Kennwort-/Passwortschutz) und organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung.
  • Mobile Datenträger (wie z.B. Laptops, mobile Festplatten oder USB-Sticks) sind verschlüsselt und kennwort-/passwortgesichert.
  • Die Sicherheit der Wahl, Aufbewahrung und Änderungen von Kenn- und Passwörtern ist in einer Passwort-Richtlinie dokumentiert.
  • Zugriffsberechtigungen und zentrale Zugangscodes werden in einer besonders gesicherten Umgebung von einem hiermit beauftragten Administrator verwahrt und verwaltet.
  • Der Zugang von mobilen Endgeräten (z.B. Laptops) zu den DV-Systemen erfolgt über verschlüsselte VPN-Verbindungen.
  • Die DV-Systeme sind durch Software vor Viren und sonstiger Schadsoftware (z.B. Trojaner) sowie durch Firewalls geschützt.

3. Zugriffskontrolle

Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Der Zugriff wird administrativ mittels Benutzerauthentifizierung geregelt. Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen werden durch bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung verhindert durch die Vergabe von Berechtigungen (insbesondere Profile, Rollen, Transaktionen und Objekte) sowie die Auswertung von Zugriffen.
  • Die Verarbeitung der Daten erfolgt ausschließlich auf den hierfür bestimmten DV-Systemen. Die Verwendung sonstiger, insbesondere privater DV-Systeme (insbesondere auch Laptops oder Datenträgern) ist nicht gestattet.
  • Die Verarbeitung der Daten erfolgt ausschließlich mittels der hierfür bestimmten Software. Die Installation von Software auf den DV-Systemen bedarf einer vorherigen Kontrolle und Freigabe durch den zuständigen Administrator. Die Installation von nicht frei gegebener Software auf den DV-Systemen ist nicht gestattet.

Maßnahmen, um personenbezogene Daten in einer Weise zu verarbeiten, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Pseudonymisierung, Art. 32 Abs. 1 a), Art. 25 Abs. 1 DS-GVO)

 

4. Weitergabekontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Die Aspekte der Weitergabe personenbezogener Daten werden durch Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung geregelt:

  • Transportsicherung
  • Protokollierung
  • Einsatz elektronischer Signaturen
  • Verschlüsselung/Tunnelverbindung

5. Eingabekontrolle

Maßnahmen, um zu gewährleisten, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege wird durch Maßnahmen zur nachträglichen Überprüfung gewährleistet, ob und von wem Daten eingegeben, verändert oder entfernt bzw. gelöscht worden sind.

 

6. Auftragskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des AG verarbeitet werden können:

  • Der AN wählt den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus und schließt Verträge, deren Inhalt den Anforderungen des Art. 28 DSGVO genügt
  • Der AN überzeugt sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen.
  • Die weisungsgemäße Auftragsdatenverarbeitung wird durch technische und organisatorische Maßnahmen zur Abgrenzung der Kompetenzen des AG, des AN und des Unterauftragnehmers gewährleistet.

7. Verfügbarkeitskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und im Falle eines physischen oder technischen Zwischenfalls rasch wiederhergestellt werden können:

Die Daten werden gegen zufällige Zerstörung oder Verlust durch regelmäßige Sicherung geschützt. Insbesondere werden folgende Maßnahmen zur Datensicherung ergriffen:

  • Backup-Verfahren
  • Spiegeln von Festplatten (z.B. RAID-Verfahren)
  • Unterbrechungsfreie Stromversorgung (USV)
  • Schutz gegen Schadsoftware (u.a. Viren); Firewall
  • Klimatisierung insbesondere der Serverräume zur Temperaturkontrolle
  • Branderkennungs-, Brandmelde- und Löschanlage
  • Notfallplan

8. Trennungskontrolle

Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Daten, die zu unterschiedlichen Zwecken erhoben werden, werden auch getrennt verarbeitet. Folgende Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken werden ergriffen:

  • Zweckbindung und Funktionstrennung
  • Physische und logische Trennung von Daten

9. Bewertung und Evaluierung

Maßnahmen zur Gewährleitung der Sicherheit der Verarbeitung durch Bereitstellung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 d) DSGVO, Art. 25 Abs. 1 DSGVO

  • Datenschutz-Management
  • Durch datenschutzfreundliche Voreinstellungen wird sichergestellt, dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Dabei wird insbesondere sichergestellt, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden (data protection by default; Art. 25 Abs. 2 DSGVO).

Anlage 2: Zum Zeitpunkt des Vertragsschlusses vom AN beauftragte Unterauftragnehmer

Firma und Anschrift des Unterauftragnehmers Beschreibung der Tätigkeit Maßnahmen nach Art. 44 DSGVO (nur erforderlich, wenn Verarbeitung außerhalb der EU oder des EWR erfolgt)
     
     

Stand: Dezember 2022