Vereinbarung zur Auftragsdatenverarbeitung (AVV)

Zwischen Nutzern der Anwendung „DTAD 360“ (nachfolgend „Auftraggeberin“) und der DTAD Deutscher Auftragsdienst AG (nachfolgend „Auftragnehmerin“) wird folgende Vereinbarung zur Auftragsverarbeitung (AVV) geschlossen. Für eine gegenseitige Zeichnung dieser AVV wenden Sie sich bitte an den DTAD Kundenservice.

§ 1 Vereinbarung über die Auftragsdatenverarbeitung personenbezogener Daten

§ 1.1 Gegenstand der Vereinbarung

Die Auftragnehmerin stellt der Auftraggeberin Leistungen für elektronische Informations- und Kommunikationsdienste.

Diese Vereinbarung zum Auftrag zur Auftragsdatenverarbeitung regelt die datenschutzrechtlichen Rechte und Pflichten des zu Grunde liegenden Vertragsverhältnisses. Eine weitergehende Beschreibung zu Umfang, Art und Zweck der Dienstleistung findet sich in § 2 und (soweit vorhanden) der jeweiligen Leistungsbeschreibung.

Dazu verarbeitet die Auftragnehmerin personenbezogene Daten im Auftrag der Auftraggeberin, sogenannte „Auftragsdatenverarbeitung (AVV)“. Dieser Auftrag umfasst die im zu Grunde liegenden Auftragsverhältnis vereinbarten Verarbeitungstätigkeiten. Die Inhalte dieses Vertrags gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verarbeitungen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

§ 1.2 Definition

Die in diesem Vertrag über eine Auftragsdatenverarbeitung verwendeten Begriffe richten sich im Zweifel nach dem Gesetz. Lediglich zu Erläuterung einiger Begrifflichkeiten dieses Vertrages erfolgen die folgenden Definitionen:

„Auftraggeberin“ bezeichnet auch einen Verantwortlichen i.S.d. Art. 28 DSGVO.

„Auftragnehmerin“ bezeichnet auch einen Auftragsverarbeiter i.S.d. Art. 28 DSGVO.

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

§ 1.3 Pflichten der Auftraggeberin

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist die Auftragnehmerin verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeberin und Auftragnehmerin abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

(3) Die Auftraggeberin hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Auftraggeberin erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist der Auftraggeberin unverzüglich schriftlich eine Nachfolgerin bzw. eine Vertreterin mitzuteilen.

(4) Die Auftraggeberin informiert die Auftragnehmerin unverzüglich, wenn Fehler oder Unregelmäßigkeiten und etwaige Mängel bezüglich datenschutzrechtlicher Bestimmungen bei der Prüfung der Auftragsergebnisse festgestellt werden.

(5) Die Auftraggeberin und die Auftragnehmerin führen eigene Dokumentationen. Soweit gesetzlich zulässig, kann die Dokumentationspflicht in einer gleichwertigen Betriebsvereinbarung abgebildet werden. Die Parteien unterstützen sich, soweit erforderlich, im Rahmen ihrer Möglichkeiten, gegenseitig bei der Erstellung entsprechender Verzeichnisse und stellen der anderen Partei insbesondere ihre diesen Auftrag betreffenden Verzeichnisse zur Verfügung.

§ 1.4 Pflichten der Auftragnehmerin

(1) Die Auftragnehmerin verarbeitet personenbezogene Daten für die Auftraggeberin im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO ausschließlich auf Grundlage dieses Vertrages. Sie verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen der Auftraggeberin nicht erstellt.

(2) Die Auftragnehmerin sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Die Auftragnehmerin sichert außerdem zu, dass die verarbeiteten Daten von sonstigen Datenbeständen mindestens logisch getrennt werden.

(3) Die Auftragnehmerin erklärt sich damit einverstanden, dass die Auftraggeberin jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Die Einsichtnahme kann durch den Datenschutzbeauftragten oder eine zur Verschwiegenheit verpflichtete Person erfolgen und nimmt angemessen Rücksicht auf den Geschäftsbetrieb der Auftragnehmerin. Eine Vorortkontrolle wird mit angemessenem Vorlauf angekündigt.

(4) Nach Abschluss der vertraglich vereinbarten Arbeiten, spätestens mit Ende der dieser Vereinbarung zu Grunde liegenden Datenverarbeitung hat die Auftragnehmerin sämtliche in ihrem Besitz gelangten Unterlagen und erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Auftraggeberin auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Test- und Ausschussmaterial ist ebenfalls unverzüglich zu vernichten oder der Auftraggeberin auszuhändigen. Aufgrund ihrer Verantwortlichkeit für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze kann die Auftraggeberin auch während der Laufzeit und nach Beendigung des Vertrages die Herausgabe oder Löschung der Daten verlangen. Hiervon ausgenommen sind Daten und Informationen welche die Auftragnehmerin aufgrund gesetzlicher Archivierungsfristen nicht löschen kann oder darf.

(5) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch die Auftragnehmerin entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren, sofern die Auftraggeberin dazu keine anderen Weisungen getroffen hat.

(6) Die Auftragnehmerin bestätigt, dass sie – soweit sie gesetzlich dazu verpflichtet ist (Art. 37 DSGVO) - einen Datenschutzbeauftragten bestellt hat. Auf Anfrage teilt die Auftragnehmerin die Kontaktdaten des Datenschutzbeauftragten – oder soweit ein solcher nicht zu bestellen ist, einer für den Datenschutz bei der Auftragnehmerin verantwortlichen Person - mit.

(7) Die Auftragnehmerin verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Auftraggeberin das Datengeheimnis nach Art. 5 DSGVO und § 53 BDSG zu wahren und Daten nur im Rahmen des vertraglich festgesetzten und gesetzlich erlaubten Zweckes zu verarbeiten.

(8) Auskünfte gegenüber Betroffenen oder Dritten darf die Auftragnehmerin nur nach vorheriger schriftlicher Zustimmung durch die Auftraggeberin erteilen, es sei denn sie ist gesetzlich dazu verpflichtet (worüber sie die Auftraggeberin unverzüglich informieren wird, sofern dies nicht untersagt ist).

(9) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Die Auftragnehmerin überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in ihrem Betrieb.

(10) Die Auftragnehmerin unterstützt die Auftraggeberin, insbesondere durch Bereitstellung entsprechender Informationen bei den gesetzlichen Pflichten der Risikoabschätzung sowie der Vorabkontrolle bzw. Datenschutzfolgenabschätzung.

(11) Die Auftragnehmerin sichert in ihrem Verantwortungsbereich zu, die von der Auftraggeberin vorgegebenen und für die Umsetzung und Einhaltung der für die Verarbeitung von personenbezogenen Daten unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen im Sinne Art. 28, 32 DSVGO zu verarbeiten, um sicherzustellen und den Nachweis dafür erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen verarbeitet werden. Die Auftragnehmerin führt - soweit anwendbar - gemäß Artikel 30 DSGVO/ § 70 Abs. 2 BDSG ein Verzeichnis aller Kategorien von Verarbeitungen, die er im Auftrag des Auftraggebers durchführt. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Artikel 32 bis 36 DSGVO (u.a. Meldepflichten, Datenschutz-Folgeabschätzung und vorherige Konsultationen). Diese Maßnahmen werden überprüft und erforderlichenfalls aktualisiert. Um die Synchronisierung und Überprüfbarkeit der technischen und organisatorischen Maßnahmen zu vereinfachen, richten diese sich insbesondere nach § 3 dieser Vereinbarung die als verbindlich vereinbarter Mindeststandard anzusehen und regelmäßig zu aktualisieren ist.

(12) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung der Auftraggeberin unmittelbar durch die Auftragnehmerin sicherzustellen.

(13) Ist die Auftraggeberin aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskunft zur Verarbeitung von Daten dieser Person zu geben, wird die Auftragnehmerin die Auftraggeberin dabei unterstützen, diese Informationen bereit zu stellen, auch durch geeignete technisch-organisatorische Maßnahmen.

§ 1.5 Kontrollrechte

(1) Die Auftraggeberin oder ein im Einzelfall von der Auftraggeberin nachweislich legitimierter zu benennender Prüfer können sich nach angemessen rechtzeitiger Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze überzeugen. Während der Laufzeit des Auftrags stellt die Auftragnehmerin sicher, dass sich die Auftraggeberin von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann.

(2) Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind.

§ 1.6 Subunternehmer

(1) Die Auftraggeberin ist damit einverstanden, dass die Auftragnehmerin zur Erfüllung ihrer vertraglich vereinbarten Leistungen kooperierende Unternehmen mit vorheriger Zustimmung (Textform) der Auftraggeberin zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt. 

(2) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten der Auftraggeberin ist der Auftragnehmerin nur mit Genehmigung der Auftraggeberin gestattet, Art. 28 Abs. 2 DSGVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer der Auftraggeberin Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

(3) Die AVV mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Textformat erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO). Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

(4) Eine Beauftragung von Subunternehmern in Drittstaaten ist ebenso genehmigungspflichtig und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, siehe § 7 der Vereinbarung.

(5) Wenn Subunternehmer durch die Auftragnehmerin eingeschaltet werden, so werden die vertraglichen Vereinbarungen so gestaltet, dass sie den Anforderungen zur Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Der Auftraggeberin sind Kontroll- und Überprüfungsrechte entsprechend der Auftragnehmerin dieser Vereinbarung einzuräumen. Ebenso ist die Auftraggeberin berechtigt, auf Anforderung von der Auftragnehmerin Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen von der Auftragnehmerin zu erhalten, erforderlichenfalls auch durch Einsicht in die dazu relevanten Vertragsunterlagen oder Teile daraus.

(6) Die Auftragnehmerin setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede der Auftragnehmerin unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung der Auftraggeberin verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

(7) Die Auftragsnehmerin informiert Auftragsgeberin immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch die Auftraggeberin die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO).

§ 1.7 Übertragung in Drittländer oder internationale Organisationen

Eine Übermittlung personenbezogener Daten in Drittländer oder internationale Organisationen außerhalb der EU und des Geltungsbereiches von deren Verordnungen und sonstigen Regelungen, ist nicht gestattet und kann soweit gesetzlich zulässig nur auf Weisung der Auftraggeberin erfolgen. Sofern Verpflichtungen zu einer solchen Übermittlung durch die Auftragnehmerin – ausgenommen rechtskräftige, vollstreckbare Urteile - gegenüber Drittländer oder internationale Organisationen außerhalb der EU bestehen, ist die Auftraggeberin unverzüglich zu informieren (sofern dies nicht untersagt ist) und der Rechtsrahmen gegen eine solche Entscheidung ist auszuschöpfen. Das Vorliegen geeigneter Garantien, Angemessenheitsbeschlüsse oder unternehmensinterner Datenschutzvorschriften bedarf der vorherigen Feststellung der Auftraggeberin.

§ 1.8 Anweisung zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte – Datenpannen und Störungen

 

(Informationspflicht bei Verletzung des Schutzes personenbezogener Daten (insbesondere unrechtmäßiger Kenntniserlangung von Daten durch Dritte, Datenpannen und Störungen))

(1) Die Auftragnehmerin teilt der Auftraggeberin unverzüglich sämtliche Verletzungen des Schutzes personenbezogener Daten, Störungen, Verstöße der Auftragnehmerin oder der bei ihr beschäftigten oder von ihr beauftragten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen, sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle gesetzliche Informationspflichten der Auftraggeberin gegenüber Betroffenen oder Aufsichtsbehörden. Die Auftragnehmerin sichert zu, die Auftraggeberin bei ihren gesetzlichen Pflichten zu unterstützen.

(2) Dies gilt nicht nur, aber im Besonderen, wenn besondere Arten personenbezogener Daten betroffen sind. Dies sind insbesondere Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, siehe dazu auch Anlage 1 Nr. 3 a.

Die Meldung muss enthalten:

• eine Beschreibung der Art der Verletzung,

• Namen und die Kontaktdaten aller betroffenen oder möglicherweise betroffenen Personen,

• Maßnahmen, die ergriffen wurden, um weitere Verletzungen zu unterbinden und die bisherigen abzumildern,

• soweit möglich eine Abschätzung der möglichen Folgen.

(3) Die Auftragnehmerin stellt die Auftraggeberin von sämtlichen Ansprüchen Dritter auf erstes Anfordern frei, welche gegenüber der Auftraggeberin aufgrund eines Verstoßes gegen die Meldepflicht bei unrechtmäßiger Kenntniserlangung von Daten Meldung geltend gemacht werden, wenn die Auftragnehmerin die Geschäftsführung nicht unverzüglich nach Kenntnis oder unzureichend informiert hat. Dies umfasst insbesondere gegen die Auftraggeberin verhängte Bußgelder. Auf Art. 82 DSGVO wird verwiesen.

§ 1.9 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Die in Anlage 2 beschriebene Dokumentation stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

§ 1.10 Dauer der Vereinbarung

(1) Der Vertrag beginnt mit letzter Unterschrift durch die Auftragnehmerin und der Auftraggeberin und richtet sich nach der Dauer der Datenverarbeitung.

(2) Die Auftraggeberin kann den Auftrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der Auftragnehmerin gegen die anzuwendenden Datenschutzvorschriften vorliegt, die Auftragnehmerin eine Weisung der Auftraggeberin nicht ausführen kann oder will. Ausgenommen davon sind Weisungen, die gegen geltendes Recht verstoßen.

(3) Gleiches gilt wenn die Auftragnehmerin den Zutritt der Auftraggeberin oder der zuständigen Aufsichtsbehörde ohne Begründung verweigert.

§ 1.11 Sonstiges

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen einer Vereinbarung in gleicher Form und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf diese Formerfordernis.

(2) Auf den Vertrag ist das Recht der Bundesrepublik Deutschland anzuwenden. Die Sprache des Verfahrens ist Deutsch. Der Gerichtsstand ist, soweit es gesetzlich zulässig ist, dies durch diese Vereinbarung zu regeln, Köln.

(3) Vertraulichkeit und Integrität gegenüber den Kunden gilt als oberstes Geschäftsprinzip. Die Mitarbeiter der Auftragnehmerin und der Auftraggeberin werden über sämtliche unternehmensexternen und –internen Angelegenheiten, vor allem über Informationen, Daten und Kundengeschäfte, von denen sie in ihrer Eigenschaft als Mitarbeiter der Auftragnehmer Kenntnis erhalten, absolutes Stillschweigen bewahren.

(4) Sollte eine Bestimmung dieses Vertrages unwirksam oder undurchführbar sein oder werden, so berührt dies, unter Ausschluss von § 139 BGB, nicht die Wirksamkeit des Vertrages im Übrigen. Dies soll keine Beweislastumkehr bewirken, sondern § 139 BGB wird ausdrücklich abbedungen. Anstelle der unwirksamen oder undurchführbaren Bestimmung oder zur Ausfüllung eventueller Lücken soll eine angemessene Regelung gelten, die – soweit rechtlich möglich – dem am nächsten kommt, was die Vertragspartner nach dem Sinn des Vertrages gewollt haben.

§ 2 Umfang, Art und Zweck der Auftragsdatenverarbeitung

§ 2.1 Gegenstand und Dauer

Der Gegenstand der Auftragsdatenverarbeitung ergibt sich aus dieser Vereinbarung zur Auftragsverarbeitung und dem zu Grunde liegenden Auftragsverhältnisses.

Der Umgang mit den Daten der Betroffenen durch die Auftragnehmerin erfolgt technisch in Systemen der Auftragnehmerin.

§ 2.2 Art der personenbezogenen Daten

Folgende personenbezogene Daten werden entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO erfasst:

• Vor- und Zuname,

• Funktion in Firma,

• Firmenzugehörigkeit,

• Telefonnummer dienstlich,

• E-Mail-Adresse dienstlich,

• Kunden-/ Mitarbeiter-/ Identifikations-Nummer,

• Passwörter (verschlüsselt),

• IP-Adresse,

• Angaben zu Beginn, Dauer und Ende eines Vertragsverhältnisses,

• Art und Umfang der in Anspruch genommenen Leistungen,

• Bankverbindung (IBAN, BIC, Bank),

• Buchhaltungsdaten,

• Technische Daten zur Vertragserfüllung (z. B. Betriebssystem, individuelle Anforderungen, Anschlüsse vor Ort),

• Informationen zur Kundenzufriedenheit.

§ 2.3 Kreis der Betroffenen

Zum Kreis der Betroffenen gehören entsprechend der Definition von Art. 4 Nr. 1 DSGVO:

• Kunden der Auftragnehmerin,

• Interessenten der Auftragnehmerin,

• User eines Accounts,

• Angerufene (Outbound),

• Besucher der Website,

• Kommunikationsteilnehmer.

§ 2.4 Löschung, Sperrung und Berichtigung von Daten

Die erhaltenen Daten gem. § 2.2 sind beim Auftragnehmer nicht zu löschen.

§ 3 Technische und organisatorische Maßnahmen („TOM“) zur Auftragsdatenverarbeitung

Der Auftragnehmer verpflichtet sich ein Datenschutz- und Datensicherheitskonzept vorzuhalten. Dieses umfasst die nachfolgend dargestellten technischen und organisatorischen Maßnahmen, als Mindeststandard, die vom Auftragnehmer auf seine Kosten durchzuführen und zu erhalten sind, vgl Art. 32 Abs. 1 DSGVO.

§ 3.1 Anforderungen an die Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO, § 64 BDSG

§ 3.1.1 Risikoanalyse nach Art. 32 DSGVO

Schutzbedarf der personenbezogenen Daten: Der Schutzbedarf wird im Hinblick auf die betroffenen Datenkategorien und betroffenen Personengruppen ermittelt. Bei der Festlegung der Schutzmaßnahmen gehen wir davon aus, dass im System des Auftragnehmers maximal solche personenbezogenen Daten vorgehalten werden, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte („Ansehen”). Mögliche und berücksichtigte Risiken für die personenbezogenen Daten

• Verlust von Daten zum Beispiel durch Löschung,

• Zugriff durch unbefugte Dritte,

• Veränderung von Daten durch den Auftragnehmer.

§ 3.1.2 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

§ 3.1.2 Absatz 1 Zugangskontrolle

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), § 64 Abs. 3 Nr. 1 BDSG.

Technische Maßnahmen:

• manuelles Schließsystem.

Organisatorische Maßnahmen:

• Protokollierung der Besucher / Besucherbuch,

• Schlüsselregelung/Schlüsselbuch,

• abgegrenzte Serverräume mit Zutrittsbeschränkungen in Berlin.

§ 3.1.2 Absatz 2 Datenträger-Benutzerkontrolle

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle), § 64 Abs. 3 Nr. 2 BDSG und Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle) § 64 Abs. 3 Nr. 4 BDSG.

Technische Maßnahmen:

• Authentifikation mit Benutzer und Passwort,

• Einsatz von Anti-Viren-Software,

• Einsatz von Firewalls,

• Berechtigungskonzept,

• Verschlüsselung von Datenträgern.

Organisatorische Maßnahmen:

• Erstellen von Benutzerprofilen,

• Passwortvergabe / Passwortregeln,

• regelmäßige Passwortwechsel,

• sorgfältige Auswahl von Reinigungspersonal,

• Systemadministration durch

- Administrationsrichtlinie,

- getrennte Benutzerkonten für Systemadministration, Sachbearbeitung, persönlichen Nutzungen,

- Anwendung des 4-Augen-Prinzips,

- Protokollierung der Administrationsarbeit.

§ 3.1.2 Absatz 3 Zugriffs- und Eingabekontrolle

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben, § 64 Abs. 3 Nr. 5 BDSG. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle) § 64 Abs. 3 Nr. 7 BDSG.

Technische Maßnahmen:

• Verschlüsselung von Datenträgern,

• regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik).

Organisatorische Maßnahmen:

• Anzahl der Administratoren auf das „Notwendigste“ reduziert,

• Erstellen eines Berechtigungskonzepts und Ausgestaltung der Zugriffsrechte,

• Passwortrichtlinie inkl. Länge und Wechsel,

• Verwaltung der Benutzerrechte durch System-Administratoren.

§ 3.1.2 Absatz 4 Trennbarkeit

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit), § 64 Abs. 3 Nr.14 BDSG.

Technische Maßnahmen:

• physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern,

• Trennung von Produktiv- und Testsystem,

• logische Mandantentrennung (softwareseitig),

• Zugriffe auf Systeme per Fernwartung laufen technisch in getrennten SSH-Verbindungen ab,

• neben der Produktivumgebung steht für Test- und Entwicklungsarbeiten eine vollständig getrennte Testumgebung zur Verfügung.

Organisatorische Maßnahmen:

• Trennung zwischen der Verarbeitung von Produktions- und Testdaten,

• alle Daten werden für jede Anwendungsumgebung getrennt in einer abgeschotteten und größtenteils virtualisierten Umgebung gespeichert und verarbeitet. Die Virtualisierung umfasst die Betriebsumgebung der Anwendung und der Datenbank und das gesamte Netzwerk.

§ 3.1.3 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

§ 3.1.3 Absatz 1 Übertragungs- und Transportkontrolle

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle) § 64 Abs. 3 Nr. 6 BDSG. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle), § 64 Abs. 3 Nr. 8 BDSG.

Technische Maßnahmen:

• verschlüsselte Datenübertragung,

• datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.

Organisatorische Maßnahmen:

• Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarten Löschfristen,

• Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen,

• Verpflichtung der Mitarbeiter auf das Datengeheimnis.

§ 3.1.3 Absatz 2 Speicherkontrolle

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle), § 64 Abs. 3 Nr. 1 BDSG.

Technische Maßnahmen:

• Protokollierung der Eingabe, Änderung und Löschung von Daten,

• Dokumentation der Eingabe- und Speicherverfahren.

Organisatorische Maßnahmen:

• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen),

• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts,

• Löschkonzept und Löschfristen.

§ 3.1.4 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

§ 3.1.4 Absatz 1 Verfügbarkeits- und Zuverlässigkeitskontrolle

Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), § 64 Abs. 3 Nr. 13 BDSG. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) Abs. 3 Nr. 10 BDSG.

Technische Maßnahmen:

• Feuerlöschgeräte in Serverräumen,

• Feuer- und Rauchmeldeanlagen in Serverräumen,

• Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen,

• Klimaanlage in Serverräumen,

• Schutzsteckdosenleisten in Serverräumen,

• Unterbrechungsfreie Stromversorgung (USV) oder Generator,

• Datensicherungsverfahren | Spiegeln der Festplatten (z. B. RAID),

• Spam-Filter.

Organisatorische Maßnahmen:

• Alarmmeldung bei unberechtigten Zutritten zu Serverräumen,

• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort,

• Backup- und Recoverykonzepts mit täglicher Sicherung der relevanten Daten,

• Notfallplan vorhanden,

• Testen von Datenwiderherstellung,

• Serverräume nicht unter sanitären Anlagen,

• Protokolle zu Daten zur Eingabekontrolle.

§ 3.1.4 Absatz 2 Belastbarkeit

Technische Maßnahmen:

• Alle Systeme sind durch redundante Firewall-Systeme vor Angriffen geschützt.

§ 3.1.5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

§ 3.1.5 Absatz 1 Datenschutzmanagement und Integrität bei der Datenverarbeitung

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität), § 64 Abs. 3 Nr. 11 BDSG.

• Alle Systeme sind durch redundante Firewall-Systeme vor Angriffen geschützt.

• Integritäts- und Authentizitätsprüfung vor Verwendung einer Software.

§ 3.1.5 Absatz 2 Auftragskontrolle

Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können, § 64 Abs. 3 Nr. 12 BDSG.

• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrages,

• Verpflichtung der Mitarbeiter der Auftragnehmerin auf das Datengeheimnis,

• regelmäßige Unterweisung der Mitarbeiter im Datenschutzrecht,

• wirksame Kontrollrechte gegenüber der Auftragnehmerin vereinbaren.

§ 4 Datenschutzbeauftragter beim DTAD

 

Rechtsanwalt Norman Höhling
Max-Planck-Straße 3, 12489 Berlin


Telefon +49 30 6392 10 44
E-Mail info@kanzlei-hoehling.de