Vertrag über die Verarbeitung von Daten im Auftrag
zwischen
dem sich registrierenden Unternehmen
- Auftraggeber -
und
planbar GbR
In der Ziegelheide 107
46397 Bocholt
- Auftragnehmer –
1. Allgemeines
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftrag-gebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Par-teien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der per-sonenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbei-tung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. 6 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber infor-mieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer gel-tend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Um-fang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergän-zende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unbe-rührt.
(5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern wei-sungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftragge-ber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen.
(6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Melde-pflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-men der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftrag-geber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Re-gelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflich-ten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtli-chen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine sol-che Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abwei-chende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mit-gliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maß-nahmen zu.
(4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Daten-verarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betref-fenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbei-tung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Be-triebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig.
(7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verar-beitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
(8) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsemp-fangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Auftraggeber in Textform mitteilen.
5. Datenschutzbeauftragter des Auftragnehmers
(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat, insofern ein interner oder externer Datenschutzbeauftragter gefordert ist. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Da-tenschutzbeauftragten gesondert in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.
6. Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen daten-schutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarun-gen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbei-tung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers ver-arbeitet.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informie-ren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragneh-mer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragneh-mers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-ten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der be-troffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der be-troffenen personenbezogenen Datensätze;
– eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachtei-ligen Auswirkungen.
7. Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwor-tung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSG-VO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
(2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungs-tätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhal-tung der in Art. 32-36 DSGVO genannten Pflichten.
8. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertragli-chen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung ver-pflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auf-traggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
9. Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist jederzeit möglich, solange sich der Unterauftragnehmer zur Einhaltung der DSGVO verpflichtet und ein gültiger Auftragsverarbeitungsvertrag vorliegt.
(2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragneh-mer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unter-auftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatori-schen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergeb-nis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auf-traggeber zu übermitteln.
(3) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftragge-ber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbe-auftragte zu benennen.
(4) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(5) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungs-vertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Dar-über hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auf-tragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsver-trag auf Anfrage in Kopie zu übermitteln.
(6) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftragge-bers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden verein-bart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reini-gungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leis-tungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflich-tet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tra-gen, dass angemessene Vorkehrungen und technische und organisatorische Maß-nahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleis-ten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustim-mungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
10. Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnis-schutzregeln mitzuteilen.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtli-chen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeb-lichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit ver-pflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf An-frage nachzuweisen.
11. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftrag-nehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderli-chen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrech-ten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maß-nahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auf-traggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maß-nahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahr-nehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwir-kungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
12. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu be-handeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist be-rechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genann-ten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13. Vergütung
Die Vergütung des Auftragnehmers wird gesondert vereinbart.
14. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzu-wendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Par-teien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Ge-gebenheiten Änderungen der technischen und organisatorischen Maßnahmen erfor-derlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht ne-gativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftrag-geber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen an-fordern.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatori-schen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kon-trollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren.
15. Dauer des Auftrags
(1) Der Vertrag beginnt mit der Onlinebestätigung und wird auf unbestimmte Zeit ge-schlossen.
(2) Er endet drei Monate nach Kündigung des Online abgeschlossenen Abos bei planbar365.com
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auf-tragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
16. Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftragge-bers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Wei-se zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
17. Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
18. Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auf-traggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unver-züglich informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirk-samkeit der übrigen Regelungen des Vertrages nicht.
Anlage 1 - Gegenstand des Auftrags
1. Gegenstand und Zweck der Verarbeitung
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Es wird eine Cloudanwendung zur Onlinedisposition von Mitarbeiter sowie Equipment bereitgestellt.
2. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
• Mandatendaten
o Vor- und Zuname des Mandanten
o E-Mail Adresse
o Anschrift
o Firmenname
• Kundendaten des Mandanten
o Vor- und Zuname / Firmenname
o Anschrift
o E-Mail Adresse
o Telefonnummer
• Mitarbeiterdaten
o Vor- und Zuname
o E-Mail Adresse
o Urlaubstage
3. Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
Auftraggeber, Kunden des Auftraggebers, Mitarbeiter des Auftraggebers
Anlage 2 - Unterauftragnehmer
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftragge-bers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).
Dabei handelt es sich um nachfolgende(s) Unternehmen:
KRANKIKOM – Alexander Kranki Kommunikation GmbH
Schifferstraße 200
47059 Duisburg
Telefon 0203/30597-0
Telefax 0203/30597-99
Interoute Germany GmbH
Weismüllerstraße 26
D-60314 Frankfurt am Main
Deutschland
Tel: +49 69 48007 0
Fax: +49 69 4800 7249
info@interoute.de
myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Microsft Ireland
1, One Microsoft Place
South County Business Park
Leopardstown
Dublin 18, D18 P521
Irland
MailChimp
The Rocket Science Group, LLC
675 Ponce de Leon Ave NE
Suite 5000
Atlanta, GA 30308 USA
ZENDESK
1019 Market St
San Francisco, CA 94103
USA
Google Germany GmbH
ABC-Strasse 19
20354 Hamburg
Telefon: +49 40-80-81-79-000
Fax: +49 40-4921-9194
Anlage 3
Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
A. Krankikom Büro- und Serverräume
Die Räume der Krankikom GmbH befinden sich in der 4. und 5. Etage des Gebäudes Schifferstr. 200.
Besucher müssen sich am Empfang anmelden, werden erfasst und mit einem Besucherbatch zwecks
Identifikation ausgestatte und werden am Empfang abgeholt oder gebeten im Konferenzraum zu
warten.
Die Mitarbeiter der Krankikom sind sensibilisiert, Personen, die Ihnen nicht bekannt sind
anzusprechen und ihre Hilfe anzubieten.
Der Umgang mit Besuchern ist in einer verbindlichen Richtlinie festgehalten.
In sensiblen Sicherheitsbereichen, wie den Serverräumen, wird Fremdpersonal nur nach terminlicher
Vereinbarung eingelassen.
Die Mitarbeiter sind mit einem Transponder ausgestattet. Das Gebäude ist in verschiedene
Sicherheitsbereiche aufgeteilt.
Es liegt ein Schließplan zugrunde, indem die Zutrittsberechtigungen dokumentiert sind.
Die Serverräume sind ständig verschlossen. Der Kreis der Zutrittsberechtigten ist auf die notwendi-ge
Anzahl beschränkt. Der Serverraum ist mit einem Codeschloss versehen.
Es ist eine Einbruchmeldeanlage installiert. Die Mitarbeiter sind schriftlich über den Umgang
(Aktivierung und Deaktivierung) mit der Einbruchmeldeanlage informiert.
B. Rechenzentrum InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal, von dem aus sich die
Mitarbeiter mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30
Uhr ist zusätzlich Sicherheitspersonal anwesend.
C. Rechenzentrum myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal von dem aus sich die Mitarbei-ter
mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30 Uhr ist zusätzlich Sicherheitspersonal anwesend.
Zugangskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
Für den Zugang zu den Datenverarbeitungssystemen werden Passwörter vergeben. Jeder Anwen-der
erhält einen eigenen Benutzernamen und ein eigenes, nur ihm bekanntes Passwort. Die
Anforderungen an das Passwort sind in einer Passwort-Richtlinie hinterlegt und werden
systemtechnisch überprüft.
Das Passwort muss mindestens 8-stellig sein und aus einer Kombination von Groß- und
Kleinbuchstaben und Ziffern oder Sonderzeichen bestehen. Der Passwortwechsel wird vom
Anmeldeserver automatisch alle 90 Tage initiiert.
Über die aktivierte Einstellung der Passwort-Historie am Anmeldeserver ist die Nutzung der letzten 5
verwendeten Passworte ausgeschlossen.
Die Administrator-Passworte sind in einem Passwort-Safe softwaremäßig sicher hinterlegt.
Die Nutzung der Zugangsberechtigungen wird vom Server protokolliert und bei Bedarf ausgewertet.
Die Zugangsberechtigungen werden über den Active Directory Service am Anmeldeserver vergeben
und dokumentiert.
Über alle Aktivitäten der Datenverarbeitungsanlage werden Protokolle erstellt und bei Bedarf
ausgewertet.
Zugriffskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung,
Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können.
Über das Berechtigungskonzept wird sichergestellt, das nur Berechtigte auf Daten zugreifen kön-nen,
die ihrer Berechtigung unterliegen.
Die Zugriffe sind differenziert erteilt. So liegt ein Konzept vor, das die Zugriffe auf Betriebssysteme,
Anwendungsprogramme, Dateien, Datensätze und Datenfelder regelt. Die Verarbeitungsmöglichkei-ten sind für die Rechte Lesen, Schreiben und Löschen definiert.
Trennung
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Personenbezogenen Daten werden mandantenbezogen verarbeitet. Die personenbezogenen Daten werden nach Mandanten getrennt gespeichert.
Pseudonymisierung & Verschlüsselung
Die vom Auftragnehmer bereitgestellten Dienste sind SSL Verschlüsselt.
Die folgenden Daten des Auftraggebers werden verschlüsselt in der Datenbank gespeichert:
• Passwort
• Bankdaten
2. Integrität
Eingabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind.
Über die Log-Files der Server, lässt sich nachvollziehen, wer sich an den Systemen an und abge-meldet
hat. Über Log-Files der Anwendungen ist es möglich nachzuverfolgen, von welchem Anwender Daten
eingegeben, verändert oder gelöscht worden sind. Die Protokolle können bei Bedarf ausgewertet werden.
Weitergabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Des Weiteren nutzt die PlanBar GbR Mail-, Speicher- und andere IT Dienste aus der Microsoft Office365 Cloud für die Bürokommunikation.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist.
Die Weitergabe von personenbezogenen Daten im Rahmen der Auftragsdatenverarbeitung erfolgt
nach den Vorgaben der Auftraggeber.
Es bestehen folgende Verfahren:
• Datenverschlüsselung durch Archiv-Dateien mit Passwort
• E-Mail Verschlüsselung mit öffentlichem Schlüssel (PKI)
• Botentransport durch Auftragnehmer oder Auftraggeber
• Post- oder Kurierversand
• Hochladen auf einen ftp/sftp-Server
Datenträger werden über definierte Verfahren vernichtet. Magnetische Datenträger wie Festplatten
oder Sicherungsbänder, die nicht mehr verwendet werden, werden überschrieben und physisch
vernichtet. Ein Zugriff auf gespeicherte Information ist somit ausgeschlossen. Optische Datenträ-ger,
wie CDs oder DVDs werden mit einem Shredder zerstört.
Papier, das vertrauliche oder personenbezogene Daten enthält wird im firmeneigenen Shredder
entsprechend DIN 32757 Stufe 3 vernichtet.
Elektronisch gespeicherte personenbezogene Daten werden nach den Vorgaben des Auftraggebers
gelöscht, überlassene Datenträger nach den definierten Verfahren vernichtet.
Zum Ausschluss der Weitergabe von personenbezogenen Daten im Rahmen von Wartungen sind vor-Ort-Services für die Datenverarbeitungssysteme abgeschlossen worden.
3. Verfügbarkeit und Belastbarkeit
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auf-trag
verarbeitet werden, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind.
Die Daten der Krankikom GmbH werden regelmäßig gesichert. Es liegt ein Datensicherungskonzept
vor. Einmal wöchentlich wird eine komplette Sicherung erstellt. Täglich werden veränderte Daten
gesichert.
Die Wiederherstellbarkeit der Daten wird sporadisch überprüft. Im Datensicherungskonzept werden
die Art der zu sichernden Daten, die Intervalle und die Art der Speicherung festgelegt. Die
Verantwortlichkeit für die Datensicherung ist festgelegt. Die Durchführung der Datensicherung wird
protokolliert und die Protokolle werden ausgewertet. Die Datensicherungen werden räumlich
getrennt aufbewahrt.
Die Verfügbarkeit der Serversysteme und der darauf befindlichen Daten ist durch die
Systemkonfiguration und den Einsatz einer unterbrechungsfreien Stromversorgung gesichert.
In den Serverräumen sind Rauchmelder installiert, die im Brandfall einen Alarm auslösen. Für den
Brandfall sind ausreichende geeignete Feuerlöscher vorhanden; der Serverraum ist mit einem
Kohlendioxid-Feuerlöscher ausgestattet.
Durch die vorhandenen Klimageräte kann eine Temperatur zwischen 20° - 22° Celsius eingehalten
werden. Die Klimageräte sind redundant ausgelegt.
Mit den Herstellern der Systeme und IT-Dienstleistern sind Wartungs- und Serviceverträge
abgeschlossen worden, um die Verfügbarkeit der Systeme sicherzustellen.
Es werden regelmäßig Sicherheitsupdates und Sicherheitspatches der eingesetzten Produkte
durchgeführt. Die durchgeführten Patches und Updates werden dokumentiert.
Zum Schutz gegen Schadsoftware sind die Server und die Client-Systeme soweit erforderlich mit einer Virenschutzsoftware ausgestattet.