Vereinbarung zur Auftragsverarbeitung


nach DS-GVO Art. 28

1. Gegenstand der Vereinbarung

Diese Vereinbarung ist Teil des Vertrags zur Nutzung der Intao Lernplattform und den dazugehörigen Services.

Diese Vereinbarung gilt für die Dauer jedweder Zusammenarbeit.

Die Auftragnehmerin verarbeitet personenbezogene Daten der Auftraggeberin. Bei dem Vertragsgegenstand handelt es sich deshalb um eine Auftragsverarbeitung. Die Parteien sind sich darin einig, dass auf diesen Vertrag die Vorschriften der EU-Datenschutzgrundverordnung (DS-GVO), insbesondere die Vorschriften über die Datenverarbeitung im Auftrag, anzuwenden sind. Die Auftragnehmerin erklärt, dass sie in der Lage ist, die aufgetragenen Leistungen nach Maßgabe des Art. 28 DS-GVO ordnungsgemäß durchzuführen.

Der Vertrag regelt die datenschutzrechtlichen Maßnahmen im Sinne von Art. 28 DS-GVO und die Rechte und Pflichten der Auftraggeberin und der Auftragnehmerin zur Erfüllung der datenschutzrechtlichen Anforderungen.

2. Kreis der Betroffenen, Zweck der Verarbeitung und Art der zu verarbeitenden Daten

Die Auftragnehmerin wird im Rahmen der Erfüllung der im Projektvertrag übernommenen Leistungspflichten im Auftrag der Auftraggeberin personenbezogene Daten (Auftrags-Daten) der Mitarbeiter verarbeiten (Art. 4 Nr. 8, 28 DSGVO). Die Verarbeitung erfolgt ausschließlich zum Zweck der Erfüllung der Leistungspflichten der Auftragnehmerin nach dem Projektvertrag.

Die Art und der Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und der Kreis der betroffenen Personen sind nachfolgend aufgelistet:

Zweck der Datenerhebung

  • Betreiben der Software
  • Wartung und Support

Art der Daten

  • Registrierungsdaten (Vorname, Nachname, Email-Adresse, Passwort)
  • Technische Daten, die notwendig sind, um die Software nutzbar zu machen (z.B. ob wir Push-Mitteilungen schicken dürfen, Spracheinstellungen)

Kreis der Betroffenen

  • Nutzer des Adminbereichs
  • Nutzer der mobilen App

3. Ort der Verarbeitung

Die Datenspeicherung findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland statt. Die Datenverarbeitung durch Mitarbeiter oder Beauftragte der Auftragnehmerin ausschließlich auf dem Gebiet der Europäischen Union. Eine Verarbeitung in anderen Staaten ist nur mit vorheriger Zustimmung der Auftraggeberin zulässig und nur soweit ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DS-GVO vorliegt oder durch andere geeignete Garantien i. S. v. Art. 46 Abs. 2 DS-GVO ein angemessenes Datenschutzniveau sichergestellt ist. Die Auftragnehmerin führt den Nachweis für das Bestehen der Garantien und eines angemessenen Schutzniveaus. Der Nachweis kann durch Vorlage eines entsprechenden Zertifikates einer akkreditierten Zertifizierungsstelle nach Art. 43 DS-GVO geführt werden. Die Auftragnehmerin verpflichtet sich, die Einhaltung der Garantien und eines angemessenen Schutzniveaus sicherzustellen. Die Auftraggeberin behält sich vor, das Vorliegen der Garantien und die Einhaltung eines angemessenen Schutzniveaus im Rahmen seiner Audit- und Kontrollrechte jederzeit zu überprüfen.

4. Kontroll- und Auditrechte der Auftraggeberin

Für die Beurteilung der Zulässigkeit der Verarbeitung der personenbezogenen Daten sowie für die Ausführung der Rechte der Betroffenen ist allein die Auftraggeberin verantwortlich. Bei einer Datenverarbeitung im Auftrag arbeitet die Auftraggeberin gem. Art. 28 Abs. 1 Satz 1 DS-GVO nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen zur Erfüllung der Anforderungen der DS-GVO eingerichtet sind.

Die Auftraggeberin ist danach verpflichtet und befugt, vor Beginn der Datenverarbeitung und nach seinem Ermessen auch wiederholt nach vorheriger Abstimmung während der üblichen Geschäftszeiten im erforderlichen Umfang die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen, insbesondere der von der Auftragnehmerin getroffenen technischen und organisatorischen Maßnahmen, zu kontrollieren.

Hierzu ist die Auftraggeberin befugt, schriftliche Auskünfte und die Vorlage von Nachweisen über die eingerichteten Datenschutzmaßnahmen sowie über die Art und Weise ihrer technischen und organisatorischen Umsetzung zu verlangen, das Grundstück und die Betriebsstätten der Auftragnehmerin zu betreten, nach ihrem Ermessen Prüfungen und Besichtigungen vorzunehmen und im erforderlichen Umfang in verarbeitungsrelevante Unterlagen, Verarbeitungs- und Ablaufprotokolle, Systeme und gespeicherte Daten und in Regelungen, Richtlinien und Handbücher zur Regelung der beauftragten Datenverarbeitung einzusehen. Dazu gehören auch Nachweise über die Bestellung eines Datenschutzbeauftragten, die Verpflichtung der Mitarbeiter auf die Wahrung der Vertraulichkeit und technische und organisatorische Konzepte, z. B. Datenschutzhandbuch, einschlägige Verfahrensanweisungen und auch Verträge mit Unterauftragnehmern. Die gleichen Rechte besitzen auch Beauftragte der Auftraggeberin, z. B. Gutachter oder Sachverständige, soweit sie besonders zur Verschwiegenheit verpflichtet sind oder strafbewehrten berufsständischen Schweigepflichten unterliegen.

Die Rechte der Auftraggeberin bestehen während der Laufzeit dieser Vereinbarung und darüber hinaus bis zum Eintritt der Verjährung von Ansprüchen aus diesem Vertrag, mindestens jedoch solange die Auftraggeberin personenbezogene Daten aus den beauftragten Verarbeitungen speichert.

Die Prüfung erfolgt nach vorheriger Anmeldung. In besonderen Fällen, insbesondere wenn Verarbeitungsprobleme bestehen, meldepflichtige Vorfälle aufgetreten sind oder aufsichtsrechtliche Maßnahmen anstehen oder eingeleitet worden sind, kann die Prüfung auch ohne vorherige Anmeldung erfolgen.

5. Technische und organisatorische Maßnahmen

Die Auftragnehmerin sichert ein dem Risiko für die Rechte und Freiheiten der Betroffenen adäquates Schutzniveau der personenbezogenen Daten zu. Zu diesem Zweck verpflichtet sich die Auftragnehmerin, ihre innerbetriebliche Organisation und die erforderlichen technischen und organisatorischen Maßnahmen unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten und der Art, des Umfangs sowie der Umstände und Zwecke der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen so zu gestalten und laufend zu aktualisieren, dass diese den besonderen Anforderungen des Datenschutzes nach der DS-GVO entsprechen und den Schutz der Rechte der betroffenen Personen gewährleisten.

Die technischen und organisatorischen Maßnahmen umfassen insbesondere (a) die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten, (b) die rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen im Fall eines physischen oder technischen Zwischenfalls und (c) die Einführung und das Vorhalten von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Auftragnehmerin sichert die Einhaltung der in der Selbstauskunft vom 24.08.2018 genannten Maßnahmen und Regelungen zu. Diese Maßnahmen gelten als vereinbart und die Beschreibung der Maßnahmen wird Bestandteil dieses Vertrages.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Die Auftragnehmerin kann die Eignung der nach Art. 32 DS-GVO zu treffenden technisch-organisatorischen Maßnahmen durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DS-GVO oder eines Datenschutzsiegels oder Prüfzeichen nach Art. 42 DS-GVO nachweisen, das für die vertragsgegenständlichen Verarbeitungsverfahren und Orte erteilt und für die unter diese Vereinbarung fallenden Verarbeitungsverfahren relevant ist. Die Auftragnehmerin hat Veränderungen am Zertifikat oder dessen Ablauf der Auftraggeberin unverzüglich mitzuteilen. Die Kontroll- und Auditrechte der Auftraggeberin bleiben unberührt.

Folgende technische und organisatorische Maßnahmen werden verbindlich festgelegt: Siehe Absatz 15

6. Berichtigung, Löschung und Sperrung von Daten

Die zu verarbeitenden Daten dürfen nur nach Anweisung bzw. nach vorheriger Zustimmung der Auftraggeberin berichtigt, gelöscht oder gesperrt werden. Von einem Betroffenen verlangte Berichtigungen, Löschungen oder Sperrungen von Daten wird die Auftragnehmerin unverzüglich an die Auftraggeberin weiterleiten.

7. Pflichten der Auftragnehmerin

Verarbeitungspflichten

Die Auftragnehmerin führt den Auftrag ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen der Auftraggeberin durch. Die Auftragnehmerin verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.

Auszüge, Kopien oder Duplikate von Daten oder Datenträgern dürfen ohne Wissen der Auftraggeberin nur hergestellt und verwendet werden, soweit dies für die Ausführung des Auftrages oder zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich ist oder eine gesetzliche oder sonstige Aufbewahrungspflicht besteht. Eventuell hergestellte Auszüge, Kopien oder Duplikate sind nach Abschluss der Verarbeitung oder Nutzung von der Auftragnehmerin unverzüglich sicher zu löschen bzw. datenschutzgerecht zu vernichten oder der Auftraggeberin auszuhändigen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit der Auftraggeberin abzustimmen. Auskünfte an Dritte oder den Betroffenen darf die Auftragnehmerin nicht oder nur nach Weisung der Auftraggeberin erteilen. Auskünfte an Mitarbeiter der Auftraggeberin darf die Auftragnehmerin nur gegenüber den autorisierten Personen erteilen.

Die Auftragnehmerin verpflichtet sich, nur solche Software, Daten oder Datenträger einzusetzen, die zuverlässig auf Freiheit von schädlicher Software geprüft sind, um ein Einschleusen von Viren etc. zu vermeiden.

Duldungspflichten bei Kontrollen

Die Auftragnehmerin verpflichtet sich, in Prüfungen durch die Auftraggeberin die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nachzuweisen, Auskünfte zu erteilen und die entsprechenden Unterlagen vorzulegen bzw. Einsicht in die erforderlichen Unterlagen und Systeme zu gewähren und nach vorheriger Abstimmung entsprechende Prüfungen der Auftraggeberin vor Ort zu dulden und zu unterstützen. Sie verpflichtet sich, bei datenschutz- und datensicherheitsrelevanten Vorfällen alle erforderlichen Auskünfte zu erteilen und die Aufklärung derartiger Vorfälle nach Möglichkeit zu unterstützen.

Der Nachweis angemessener technischer und organisatorischer Maßnahmen kann auch durch Vorlage von Testaten oder Zertifikaten oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung bzw. eines autorisierten Sachverständigen geführt werden. Unabhängig von diesen Nachweisen ist die Auftragnehmerin verpflichtet, Kontrollen durch die Auftraggeberin gem. Absatz 6 dieser Vereinbarung zu dulden.

Informationspflichten

Die Auftragnehmerin ist verpflichtet, wesentliche Änderungen in den technischen und organisatorischen Verhältnissen, die die Sicherheit und Ordnungsmäßigkeit der Durchführung der Auftragsleistungen herabsetzen, unaufgefordert der Auftraggeberin zu melden.

Die Auftragnehmerin unterrichtet die Auftraggeberin über Kontrollen der Aufsichtsbehörde für den Datenschutz, insbesondere gem. Art. 58 DS-GVO, und über eventuelle Maßnahmen und Auflagen zum Schutz der personenbezogenen Daten.

Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf Anforderung die zur Wahrung ihrer Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Sie informiert die Auftraggeberin unverzüglich über das Erlöschen oder den Widerruf von Zertifikaten oder von Maßnahmen gem. Art. 41 Abs. 4 DS-GVO.

Die Auftragnehmerin teilt der Auftraggeberin Name und Kontaktdaten und Änderungen in der Person des betrieblichen Datenschutzbeauftragten oder, wenn keine Bestellpflicht besteht, den Namen und die Kontaktdaten der sonstigen zuständigen Stelle mit.

Mitwirkungs- und Unterstützungspflichten

Die Auftragnehmerin verpflichtet sich, im Rahmen des Art. 28 Abs. 3e und f DS-GVO, die für das Verzeichnis von Verarbeitungstätigkeiten sowie für die Risikoermittlung und eventuelle Datenschutzfolgenabschätzung erforderlichen Informationen unverzüglich zur Verfügung zu stellen und, soweit es ihren Verantwortungsbereich betrifft, im erforderlichen Umfang bei der Ermittlung der Risiken und einer eventuellen Datenschutzfolgenabschätzung mitzuwirken sowie die Auftraggeberin bei der Erfüllung der Rechte der Betroffenen zu unterstützen.

Organisationspflichten

Die Auftragnehmerin verpflichtet sich zur Einrichtung von Maßnahmen und Dokumentationen, die eine Kontrolle und Nachvollziehbarkeit aller mit der Auftragsverarbeitung zusammenhängenden Tätigkeiten und Verarbeitungsprozesse im Sinne einer Auftragskontrolle und der Ordnungsmäßigkeit der Datenverarbeitung ermöglichen. Datenschutzvorfälle und sonstige sicherheitsrelevante Störungen der Verarbeitung sind einschließlich ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren und der Auftraggeberin zu melden. Die Dokumentation ist der Auftraggeberin unverzüglich zur Verfügung zu stellen.

Die Verarbeitung der Daten geschieht am jeweiligen Arbeitsort des Mitarbeiters der Auftragnehmerin. Dies kann ein Büro, eine Privatwohnung oder ein dritter Ort sein. Die Auftragnehmerin verpflichtet sich, durch geeignete Regelungen und Sicherheitsvorkehrungen die Wahrung der Vertraulichkeit der Daten sowie die Sicherheit und Kontrollierbarkeit der Verarbeitung im gleichen Maße zu gewährleisten, wie dies bei einer Durchführung der Serviceleistung vom Ort der Auftragnehmerin aus der Fall ist. Soll davon abgewichen werden, bedarf dies einer gesonderten schriftlichen Zustimmung der Auftraggeberin.

8. Unterauftragnehmer

Die Einschaltung von Unterauftragnehmern ist nur zulässig, wenn die Auftraggeberin vor der Vergabe der Auftragsleistung schriftlich zugestimmt hat. Die Auftraggeberin kann bei Vorliegen eines wichtigen Grundes, insbesondere bei einer Gesetzes- oder Vertragsverletzung, seine Zustimmung zur Unterbeauftragung widerrufen. Die Unterbeauftragung ist dann unverzüglich einzustellen. Die Auftragnehmerin hat die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so zu gestalten, dass sie den Datenschutzbestimmungen dieses Vertrages entsprechen. Sie hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn ein Vertrag nach diesen Auflagen abgeschlossen worden ist und der Unterauftragnehmer alle Anforderungen dieses Vertrages erfüllt hat.

Bei der Unterbeauftragung sind dem Unterauftragnehmer die gleichen vertraglichen Regelungen aufzuerlegen, wie sie für die Auftragnehmerin gelten. Der Auftraggeberin sind gegenüber dem Unterauftragnehmer die gleichen Weisungs-, Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und dem Art. 28 DS-GVO einzuräumen, wie sie gegenüber der Auftragnehmerin gelten. Dies umfasst auch das Recht der Auftraggeberin, von der Auftragnehmerin auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Auftraggeberin auch bei fremdvergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Eine Beauftragung von Unterauftragnehmern außerhalb des Gebiets der Bundesrepublik Deutschland oder der Europäischen Union bzw. der Staaten des Europäischen Wirtschaftsraumes ist nur mit vorheriger Zustimmung der Auftraggeberin zulässig und nur soweit ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DS-GVO vorliegt oder durch andere geeignete Garantien i. S. v. Art. 46 Abs. 2 DS-GVO ein angemessenes Datenschutzniveau sichergestellt ist. Im Übrigen gelten die Regelungen zu Absatz 5 dieses Vertrages auch für die Beauftragung von Unterauftragnehmern.

Die personenbezogenen Daten der Nutzer werden nur von der Auftragnehmerin erhoben und genutzt. Wir geben keinerlei personalisierte Nutzerdaten an Dritte weiter. Mit den externen Partnern, deren Dienste wir nutzen, haben wir Verträge zur Auftragsdatenverarbeitung abgeschlossen und sichergestellt, dass alle unsere Partner DS-GVO-konform arbeiten.

Die für die App relevanten Systeme und Anbieter sind:

  • Amazon AWS
  • Firebase
  • Big Query
  • Google Analytics

9. Rechte der Betroffenen

Für die Wahrung der Rechte der Betroffenen ist allein die Auftraggeberin verantwortlich und zuständig. Die Auftragnehmerin darf Rechte der Betroffenen nur nach Weisung der Auftraggeberin umsetzen. Die Auftragnehmerin unterstützt jedoch der Auftraggeberin bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen.

Anfragen von Betroffenen zu ihren Rechten oder von einem Betroffenen verlangte Auskünfte, Berichtigungen, Löschungen von Daten werden von der Auftragnehmerin unverzüglich an die Auftraggeberin zur Erledigung weitergeleitet. Auskünfte an Dritte dürfen nur nach Weisung der Auftraggeberin erteilt werden oder sind an die Auftraggeberin zur Erledigung weiterzuleiten. Ebenso dürfen Auskünfte an Beschäftigte der Auftraggeberin nicht unmittelbar an diese, sondern nur über die vereinbarten Kontaktpersonen erteilt werden.

10. Mitteilungspflichten bei Störungen und Datenschutzverletzungen

Bei einer Störung der Verarbeitung oder einer Datenschutzverletzung leitet die Auftragnehmerin umgehend alle geeigneten und erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung eines eventuellen Schadens für die Betroffenen und für die Auftraggeberin ein.

Die Auftragnehmerin verpflichtet sich, die Auftraggeberin unverzüglich über Verstöße gegen Vorschriften zum Schutz der personenbezogenen Daten oder gegen die in dieser Vereinbarung getroffenen Festlegungen zu unterrichten. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen von Vorschriften zum Schutz personenbezogener Daten oder andere Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten der Auftraggeberin, die Auswirkungen auf die betroffenen Personen oder der Auftraggeberin nach sich ziehen oder Schaden verursachen können. Zu den Datenschutzverstößen gehören insbesondere der Verlust der Vertraulichkeit und der Verlust oder die Zerstörung oder Verfälschung von Daten der Auftraggeberin oder sonstiger vertraulicher Informationen im Sinne dieses Vertrages.

Die Meldung an die Auftraggeberin umfasst alle Informationen, die für die Auftraggeberin erforderlich sind, um den Vorfall und seine Meldepflicht an die Aufsichtsbehörde und die Informationspflicht der Betroffenen gem. Art. 33 und 34 DS-GVO beurteilen und ggf. fristgerecht die Meldung an die Aufsichtsbehörde und ggf. die Information der Betroffenen vornehmen zu können. Die Meldung an die Auftraggeberin umfasst insbesondere Angaben zur Art des Vorfalls und der Verletzung des Schutzes von personenbezogenen Daten, eine Beschreibung der wahrscheinlichen Risiken für die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen und eine Beschreibung der bereits eingeleiteten Maßnahmen zur Behebung bzw. Reduzierung eines möglichen Schadens oder sonstiger Risiken für die Betroffenen und die Auftraggeberin.

Die Auftragnehmerin dokumentiert den Vorfall und unterstützt die Auftraggeberin bei der Erfüllung ihrer Melde- und Informationspflicht gem. Art. 33 und 34 DS-GVO und unternimmt alle in ihrem Verantwortungsbereich fallenden Maßnahmen zur Minderung nachteiliger Folgen für die Betroffenen sowie zur Aufklärung des Vorfalls und dessen Folgen. Dies gilt auch nach Beendigung des Vertragsverhältnisses.

11. Weisungsbefugnisse der Auftraggeberin

Die Verarbeitung der Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung der Auftraggeberin. Die Auftraggeberin behält sich im Rahmen der getroffenen Auftragsbeschreibung ein Weisungsrecht in Form von Einzelanweisungen über Art, Umfang und Verfahren der Datenverarbeitung sowie über Änderungen der Verarbeitung vor. Die Weisungen betreffen insbesondere aber nicht ausschließlich die datenschutzkonforme Auftragsabwicklung und sonstige Handlungen zur Sicherstellung einer gesetzmäßigen Auftragsabwicklung. Die Weisungen werden schriftlich, in Schriftform oder in einem anderen geeigneten elektronischen Format erteilt. Mündliche Weisungen werden unverzüglich in Schriftform, schriftlich oder in einem elektronischen Format bestätigt. Die Weisungen werden über die Dauer des Auftragsverhältnisses, mindestens jedoch für die Dauer ihrer Gültigkeit aufbewahrt.

Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DS-GVO oder gegen andere Datenschutzvorschriften verstößt. Die Auftragnehmerin kann die Ausführung der Anweisung bis zu einer Bestätigung durch die Auftraggeberin aussetzen. Die Auftraggeberin haftet für rechtswidrige Weisungen und stellt der Auftragnehmerin insoweit von Schadensersatzansprüchen und sonstigen Forderungen frei.

Im Vorfeld wird bei der Auftraggeberin ein Ansprechpartner definiert.

Weisungsempfänger der Auftragnehmerin ist Kathrin Krönig.

Änderungen der weisungsberechtigten Person oder Weisungsempfänger sind unverzüglich mitzuteilen.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.

12. Verfahren nach Beendigung des Auftrages

Nach Abschluss der Verarbeitung, spätestens nach Beendigung dieses Vertrages, hat die Auftragnehmerin sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse oder zur Leistungserfüllung hergestellten oder kopierten personenbezogenen oder sonstige vertrauliche Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Auftraggeberin auszuhändigen oder in Abstimmung mit der Auftraggeberin datenschutzgerecht zu vernichten oder sicher zu löschen. Test- und Ausschussmaterial ist unverzüglich datenschutzgerecht zu vernichten oder der Auftraggeberin auszuhändigen. Diese Verpflichtung gilt in gleichem Maße auch für eventuell beauftragte Unterauftragnehmer. Unberührt bleiben Daten, deren Löschung aus technischen Gründen nicht möglich ist oder einen unverhältnismäßig hohen Aufwand verursachen würde, sowie Kopien, die zum Nachweis der Ordnungsmäßigkeit der Datenverarbeitung oder zur Erfüllung von Haftungs- und Gewährleistungsansprüchen erforderlich sind.

Für diese Daten ist die Verarbeitung gem. Art. 18 DS-GVO einzuschränken. Die Daten dürfen durch die Auftragnehmerin entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden und sind nach Ablauf der Aufbewahrungsfrist unverzüglich sicher zu löschen. Die Auftraggeberin ist über Art und Umfang dieser gespeicherten Daten zu unterrichten. Die Auftragnehmerin kann diese Daten zu ihrer Entlastung bei Vertragsende der Auftraggeberin übergeben.

Die Auftragnehmerin hat der Auftraggeberin nach Beendigung dieses Vertrages die sichere Löschung bzw. die sichere Vernichtung aller in ihrem Besitz befindlichen Unterlagen schriftlich zu bestätigen.

13. Wahrung der Vertraulichkeit und sonstiger Geheimnisse

Personenbezogene und sonstige Daten oder Informationen, die die Auftragnehmerin im Rahmen der Erfüllung dieses Vertrags bekannt werden, darf die Auftragnehmerin nur für Zwecke der beauftragten Leistung verwenden. Die Auftragnehmerin verpflichtet sich, die Vertraulichkeit und Integrität der personenbezogenen Daten zu wahren und alle ihr im Zusammenhang mit der Übernahme und Abwicklung des Auftrages bekannt werdenden personenbezogenen Daten und sonstige unternehmensinterne Umstände, Daten und Informationen (Betriebsgeheimnisse) vertraulich zu behandeln sowie die im Rahmen dieses Vertrages tätig werdenden Mitarbeiter auch über die Beendigung des Beschäftigungsverhältnisses hinaus auf die Wahrung der Vertraulichkeit schriftlich zu verpflichten und über die Datenschutzpflichten aus diesem Vertrag, die Weisungsgebundenheit der Verarbeitung der Daten und deren Zweckbindung zu belehren. Diese Geheimhaltungspflicht gilt auch über die Beendigung des Vertragsverhältnisses hinaus.

Die Auftragnehmerin bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Die Auftragnehmerin sichert zu, dass sie für die Durchführung der Arbeiten nur eigenes Personal und unter Vertrag stehende Externe einsetzt und all die mit der Auftragsdurchführung Beschäftigten mit den für sie maßgebenden Bestimmungen des Datenschutz vertraut macht und einer regelmäßigen Schulung unterzieht.

Die Auftragnehmerin verpflichtet sich zur Beachtung aller sonstigen Geheimnisse, soweit diese für die Verarbeitung einschlägig sind, wie des Sozialgeheimnisses, des Fernmeldegeheimnisses und sonstiger Berufsgeheimnisse gem. § 203 StGB sowie zur Verpflichtung und Belehrung der Beschäftigten zur Sicherstellung der Wahrung dieser Geheimnisse.

Die Auftragnehmerin ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über administrative Zugangsdaten und Datensicherheitsmaßnahmen der Auftraggeberin geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen. Von den ihr eingeräumten Zugriffsrechten darf die Auftragnehmerin nur in dem Umfang Gebrauch machen, der für die Durchführung der Datenverarbeitung erforderlich ist. Die Verpflichtung zur Wahrung der Vertraulichkeit und der sonstigen Geheimnisse gilt auch über die Beendigung dieses Vertrages hinaus.

Die für die Auftragnehmerin zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin.

14. Haftung

Für die Haftung gelten die Regelungen des Art. 82 DS-GVO. Zusätzlich wird Folgendes vereinbart:

Die Auftragnehmerin haftet gegenüber der Auftraggeberin für Schäden, die die Auftragnehmerin, seine Mitarbeiter bzw. die von ihr mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung fahrlässig oder schuldhaft verursachen. Dies gilt auch für das Einschleusen von schädlicher Software (Viren, Würmer, Trojaner etc.) sowie die Zerstörung oder Veränderung von Daten oder deren unbefugte Offenbarung.

Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem Bundesdatenschutzgesetz oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist die Auftraggeberin gegenüber den Betroffenen verantwortlich. Soweit die Auftraggeberin zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihr der Rückgriff bei der Auftragnehmerin vorbehalten. Sonstige Haftungsansprüche aus dem Projektvertrag bleiben unberührt.

15. Anlage zu den technischen und organisatorischen Maßnahmen

(Stand 24.08.2018)

Vertraulichkeit und Verschlüsselung (Art. 32 Abs. 1a und b DS-GVO)

Zutrittskontrolle

Maßnahmen damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

  • Zentrales Schließsystem mit Sicherheitsschlössern
  • Zu- und Ausgänge werden geschlossen gehalten und sind abschließbar
  • Besucher werden persönlich begleitet zum zuständigen Mitarbeiter

Zugangskontrolle

Maßnahmen die den Zugang zu den Datenverarbeitungsanlagen vor Fremden schützt:

  • Alle Computer werden mit Benutzernamen und Passwörtern versehen
  • Auf allen Computern sind aktuelle Firewall und Virenscanner installiert
  • Zugangsrechte werden durch eine Rechteverwaltung vergeben

Zugriffskontrolle

Maßnahmen die sicherstellen dass nur Zugriffsberechtigte Personen Zugriff auf die Datenverarbeitungsanlage haben:

  • Es wird unterschieden zwischen Lese- und Schreibberechtigung
  • Änderungen an den Rechten werden dokumentiert

Trennungskontrolle

Maßnahmen die sicherstellen, dass erhobene Daten getrennt verarbeitet werden (z.B. pro Auftrag/Kunde):

  • Produktiv- und Testsysteme werden in getrennten Datenbanken verwaltet
  • Kundendaten werden softwareseitig getrennt voneinander gespeichert

Integrität (Art. 32 Abs. 1 lit b. DS-GVO)

Weitergabekontrolle

Maßnahmen die sicherstellen dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung nicht unbefugt gelesen, kopiert oder entfernt werden können. Es wird überprüft und festgestellt an welche Stelle eine Übermittlung von personenbezogenen Daten vorgesehen ist:

  • Personenbezogene Daten werden immer verschlüsselt übertragen
  • Mobile Datenträger kommen nicht zum Einsatz
  • Vernichtung von Datenträgern erfolgt durch einen zertifizierten Entsorger
  • Besucher haben kein Zugriff auf betriebliches LAN/WLAN

Eingabekontrolle

Maßnahmen die sicherstellen das überprüft werden kann ob und von wem personenbezogene Daten in den Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:

  • Aktivitäten des Systemverwalters und Benutzer werden protokolliert
  • Rechtevergabe erfolgt immer nachdem Minimalprinzip

Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit (Art. 32 Abs. lit. b und c DS-GVO)

Verfügbarkeitskontrolle

Maßnahmen die sicherstellen dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind:

  • Es werden von allen Daten regelmäßig Backups erstellt
  • Bei Feststellung einer Datenpanne wird die Meldepflicht durch einen Notfallplan eingehalten

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 25 Abs.1 DS-GVO und Art. 32 Abs. 1 lit. d DS-GVO)

Auftragskontrolle

Maßnahmen die sicherstellen dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeberin verarbeitet werden:

  • Alle Auftragnehmer werden sorgfältig ausgesucht
  • Die Kontrolle der Auftragnehmerin erfolgt durch die Geschäftsleitung
  • Mitarbeiter sind zur Meldung von Datenschutzverstößen angehalten