Allgemeine Geschäftsbedingungen
Allgemeine Verkaufsbedingungen der AJency GmbH
Allgemeines
Diese Geschäftsbedingungen gelten nur gegenüber Unternehmern im Sinne von § 14 BGB, juristischen Person des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen. Sie gelten nicht nur für das Vertragsverhältnis, in das sie einbezogen wurden, sondern auch für alle zukünftigen Geschäftsbeziehungen, wenn wir auf keine anderen Geschäftsbedingungen verweisen. Wir lehnen den Vertragsschluss mit Verbrauchern ab.
Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen des Kunden werden, selbst bei unserer Kenntnis, nicht Vertragsbestandteil, es sei denn, ihrer Geltung wird ausdrücklich zugestimmt. Diese Geschäftsbedingungen gelten auch, wenn wir in Kenntnis entgegenstehender oder von unseren Bedingungen abweichender oder zusätzlicher Bedingungen des Kunden den Vertrag vorbehaltlos durchführen.
Vertragsschluss
Unsere Angebote sind freibleibend. Mit der Annahme eines Angebotes erklärt der Kunde verbindlich, die ausgewiesenen Leistungen bestellen zu wollen. Wir sind berechtigt, aber nicht verpflichtet, das mit der Bestellung des Kunden vorliegende Vertragsangebot anzunehmen. Die Annahme kann entweder ausdrücklich oder durch den Beginn der Bearbeitung der Bestellung erklärt werden.
Soweit Gegenstand des Angebotes Leistungen Dritter sind, stehen diese unter dem Vorbehalt der Selbstbelieferung. Sollte die Leistungen aus Gründen nicht verfügbar sein, die für uns bei Vertragsschluss nicht vorhersehbar waren, oder sollten wir unverschuldet von einem Lieferanten nicht beliefert werden, haben wir das Recht, uns insoweit von dem Vertrag zu lösen. In diesem Fall werden wir den Kunden unverzüglich darüber informieren, dass eine Lieferung nicht möglich ist und auf seinen Wunsch den gesamten Vertrag aufheben, wenn dieser aufgrund der ausbleibenden Leistung für den Kunden nicht mehr von Interesse ist und wir keinen gleichwertigen Ersatz anbieten können, der dem Kunden zumutbar ist.
Unsere Leistungen
Gegenstand unserer Leistungen sind die jeweils vom Kunden beauftragten Leistungen. Wir erbringen diese nach unserem bei Leistungserbringung aktuellen Wissensstand sowie nach dem bewährten Stand der Technik. Wir schulden keinen konkreten Erfolg unserer Leistung, sofern nicht im Einzelfall ausdrücklich anders unter Angabe des jeweiligen Ziels vereinbart.
Als Beschaffenheit der Leistung gelten nur die Angaben in unserem Angebot als vereinbart. Davon abweichende öffentliche Äußerungen, Anpreisungen oder Werbung stellen keine vertragsgemäße Beschaffenheitsangabe der Leistung dar.
Erstellen von digitalen Leistungsergebnissen
Digitale Leistungsergebnisse (z. B. Anzeigen, Texte) erstellen wir gemäß den Vereinbarungen mit dem Kunden. Wir werden diese vor Veröffentlichung dem Kunden zur Prüfung und Freigabe übermitteln. Dem Kunden obliegt mit Ausnahme der urheberrechtlichen Prüfung die rechtliche Prüfung, ob die Leistungsergebnisse wie geplant genutzt werden dürfen.
Für digitale Leistungsergebnisse, die wir im Auftrag des Kunden erstellen, ist mit dem vereinbarten Entgelt jeweils ein Korrekturlauf abgegolten. Weitere Korrekturläufe sowie Änderungen an vom Kunden abgenommene Leistungen sind gesondert zu den vereinbarten, mangels Vereinbarung zu unseren üblichen und angemessenen Sätzen zu vergüten. Fehlerbehebungen erfolgen stets ohne Berechnung.
Für die Veröffentlichung der digitalen Leistungsergebnisse gelten ergänzend die jeweiligen Regelungen der vom Kunden bestimmten Plattformen. Wir stehen nicht dafür ein, dass diese Plattformen die digitalen Leistungsergebnisse wie gewünscht veröffentlichen.
Mitwirkungspflichten des Kunden
Sofern wir für unsere Leistungen auf die Erfüllung von Mitwirkungspflichten durch den Kunden angewiesen sind (insb. Erfüllung von Beistellleistungen), hat der Kunde uns diese unverzüglich nach Beauftragung der jeweiligen Leistung in einem geeigneten digitalen Format zu überlassen, sofern nicht anders vereinbart. Wir werden den Kunden auf seine Mitwirkungspflichten entsprechend hinweisen, sofern diese nicht aus der Natur der Sache offensichtlich durch den Kunden zu erbringen sind.
Sofern uns der Kunde Inhalte (z. B. Texte, Bilder oder Logos) zur Verfügung stellt, steht er dafür ein, dass diese für die vertraglichen Zwecke genutzt werden dürfen. Uns trifft insoweit keine eigenständige Prüfungspflicht. Der Kunde wird uns bei einem schuldhaften Verstoß gegen Satz 1 von berechtigten Ansprüchen Dritter freihalten und ist für die Abwehr erhobener Ansprüche auf seine Kosten verantwortlich. Er darf ohne unsere Zustimmung keine Vereinbarungen mit dem jeweiligen Dritten abschließen, sofern diese für uns rechtliche Auswirkungen haben. Wir werden die Zustimmung nicht unbillig verweigern.
Wir sind ohne gesonderte Erlaubnis des Kunden berechtigt, seine gewerblichen Schutzrechte (Name, Marke, Logo) in einer üblichen und angemessenen Art und Weise zu nutzen, sofern und soweit es für unsere vertragsgemäße Leistung erforderlich ist.
Während der Vertragsdauer wird der Kunde einen informierten und kompetenten Ansprechpartner benennen.
Kommt der Kunde seinen Mitwirkungspflichten nicht richtig und/oder nicht rechtzeitig nach, werden von uns ggf. zugesagte Termine hinfällig und verschieben sich mindestens in dem Umfang der Verspätung des Kunden. Wir sind gleichwohl berechtigt, für unsere Tätigkeit vereinbarte Pauschalen zu berechnen, auch wenn wir aufgrund der fehlenden Mitwirkung des Kunden nicht leisten können. Wir weisen den Kunden auf diesen Umstand im Einzelfall entsprechend hin.
Sofern uns der Kunde Materialien in digitaler Form überlässt, wird er von diesen mindestens eine Datensicherung anlegen. Für den Fall eines Datenverlustes ist der Kunde verpflichtet, uns die betreffenden Materialien erneut unentgeltlich zu übermitteln.
Der Kunde trägt den Aufwand, der dadurch entsteht, dass Arbeiten infolge seiner unrichtigen, nachträglich berichtigten oder lückenhaften Angaben von uns wiederholt werden müssen oder verzögert werden.
Entgelt
Für unsere Leistungen fallen die mit dem Kunden vereinbarten Entgelte an. Sofern für eine mit dem Kunden vereinbarte Leistungen kein Entgelt vereinbart wurde, gilt unsere aktuelle Preisliste, hilfsweise gilt eine übliche Vergütung als vereinbart.
Unsere Entgelte werden wie im Angebot ausgewiesen in Rechnung gestellt. Die Abrechnung von Pauschalen erfolgt vorab für die jeweils feste Vertragslaufzeit.
Wir sind berechtigt, trotz anderslautender Bestimmung des Kunden, Zahlungen zunächst auf dessen ältere Schulden anzurechnen. Sofern uns bereits Ansprüche auf Erstattung von Kosten oder auf Zinsen zustehen, sind wir berechtigt, die Zahlung zunächst auf die Kosten, dann auf die Zinsen und zuletzt auf die Hauptleistung anzurechnen. Wir werden den Kunden über eine von seinen Angaben abweichende Verrechnung informieren.
Wir sind im Falle des Zahlungsverzugs des Kunden berechtigt, einmalig je Rechnung eine Verzugspauschale nach § 288 Abs. 5 BGB zu berechnen. Die Möglichkeit der Geltendmachung von etwaigen weiteren Verzugsschäden bleibt unbenommen.
Wir sind berechtigt, Rechnungen in digitaler Form an den Kunden zu versenden.
Rechte
Der Kunde erwirbt an unseren Leistungen die Rechte, die für deren vertragsgemäße Nutzung erforderlich sind.
Termine
Angegebene Liefer- oder Leistungstermine sind unverbindlich, sofern sie nicht ausdrücklich von uns als verbindlich bezeichnet werden.
Laufzeit des Vertrages
Verträge werden mit der jeweils mit dem Kunden vereinbarten Laufzeit fest abgeschlossen. Falls im Angebot eine Kündigungsfrist festgelegt wurde, verlängert sich die feste Laufzeit jeweils um einen Monat, sofern der Vertrag nicht mit einer Frist von einem Monat zum Ende der jeweiligen Laufzeit gekündigt wird. Das Recht zur ordentlichen Kündigung ist im Übrigen ausgeschlossen.
Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt. Als wichtiger Grund gelten insbesondere die folgenden Gründe, wenn sie für die andere Partei vorliegen:
die Verletzung wesentlicher Vertragspflichten durch die andere Partei, wenn die Verletzung trotz Mahnung und Setzung einer angemessenen Frist nicht beseitigt wird. Mahnung und Fristsetzung sind bei Unzumutbarkeit nicht erforderlich;
die Ablehnung der Eröffnung des Insolvenzverfahrens mangels Masse;
die Eröffnung der Liquidation;
Kündigungen bedürfen der Schriftform. E-Mail ist ausreichend, wenn der Erhalt ausdrücklich unter Bezugnahme auf die erklärte Kündigung ebenfalls per E-Mail bestätigt wird.
Mängel
Soweit dem Kunden wegen unserer Leistung Mängelansprüche zustehen sollten, gelten für diese die gesetzlichen Bestimmungen, sofern nicht nachfolgend etwas Abweichendes vereinbart wird.
Mängel sind, soweit es dem Kunden möglich ist, durch eine nachvollziehbare Schilderung der Fehlersymptome und die Mängel veranschaulichende Unterlagen zu rügen. Gesetzliche Untersuchungs- und Rügepflichten des Kunden bleiben unberührt.
Die Behebung von Mängeln erfolgt nach unserer Wahl durch Nachbesserung oder Ersatzlieferung.
Wenn wir auf eine Mängelrüge des Kunden Leistungen für Mangelsuche oder -beseitigung erbringt, können wir hierfür eine Vergütung nach unseren üblichen und angemessenen Sätze verlangen, sofern kein Mangel vorliegt, für den wir einstandspflichtig sind und dies im Zeitpunkt der Mangelrüge dem Kunden erkennbar war.
Sollte sich der Kunde im Zeitpunkt der Mangelrüge mit der Entrichtung des vereinbarten Entgelts im Verzug befinden, können wir die Nacherfüllung verweigern, bis der Kunde die fällige Vergütung abzüglich eines Betrages, der der wirtschaftlichen Bedeutung des Mangels entspricht, an uns entrichtet hat.
Für Mängelansprüche ist eine Verjährungsfrist von einem Jahr vereinbart. Dies gilt nicht für die Haftung für Schäden wegen Mängeln, insoweit gelten die Regelung zur Haftung. Für Schadensersatzansprüche, die auf einer verweigerten Nacherfüllung beruhen, gelten die gesetzlichen Verjährungsfristen nur dann, wenn die Nacherfüllung innerhalb der auf ein Jahr verkürzten Frist für Mängelansprüche verlangt worden ist.
Haftung
Die Haftung für Vorsatz und grobe Fahrlässigkeit ist unbeschränkt.
Bei einfach fahrlässiger Verletzung wesentlicher Vertragspflichten ist die Haftung der Höhe nach beschränkt auf vorhersehbare und vertragstypische Schäden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung die verletzte Partei regelmäßig vertrauen darf. Die Verjährungsfrist für Ansprüche nach diesem Absatz beträgt ein Jahr.
Absatz 2 gilt nicht für Ansprüche aus der Verletzung des Lebens, des Körpers oder der Gesundheit, bei arglistigem Handeln, bei Übernahme einer Garantie, bei Haftung für anfängliches Unvermögen oder zu vertretender Unmöglichkeit sowie für Ansprüche nach dem Produkthaftungsgesetz.
Im Übrigen ist die Haftung — gleich aus welchem Rechtsgrund — ausgeschlossen.
Datenschutz
Sofern und soweit unsere Tätigkeit für den Kunden eine Auftragsverarbeitung darstellt, gilt der anliegende Auftragsverarbeitungsvertrag, der diesen AGB vorgeht. Im Übrigen verpflichten wir uns hinsichtlich personenbezogener Daten, welche uns der Kunde zur Verarbeitung überlässt, die insoweit bestehenden gesetzlichen Vorgaben zu beachten.
Höhere Gewalt
Jede Partei wird von ihrer Leistungspflicht temporär befreit, soweit und solange sie an der Erbringung der Leistung aufgrund eines Aktes höherer Gewalt gehindert ist (die „verhinderte Leistung“). Das gilt auch für den Fall, dass die Partei sich bereits im Verzug befindet. Wenn sich eine Partei auf das Vorliegen eines Aktes höherer Gewalt beruft, wird auch die andere Partei temporär von den von ihr insoweit geschuldeten Leistungen frei, sofern und soweit diese die Gegenleistung der verhinderten Leistung sind oder diese nur aufbauend auf oder zusammen mit der verhinderten Leistung erbracht werden können.
Höhere Gewalt sind entsprechende Ereignisse im Sinne des § 206 BGB sowie ein sonst ungewöhnliches und unvorhergesehenes Ereignis, wenn diejenige Partei, die sich hierauf beruft, das Ereignis nicht verursacht hat, nicht mit dem Ereignis rechnen, dessen Eintritt nicht beeinflussen, dessen Folge trotz Anwendung der gebotenen Sorgfalt nicht verhindern konnte und aus dem Grund an der Leistungserbringung gehindert ist. Dies gilt insbesondere für Krieg, Terrorismus, Aufruhr, Pandemien, Unwettern, Umweltkatastrophen, Cyber-Angriffe oder wenn die Leistungsverhinderung sonst auf staatliche Anordnung, die eine Leistungsstörung zur Folge haben, beruht. Als höhere Gewalt gelten auch Leistungshindernisse aufgrund Rohstoffmangels und/oder staatlichen Maßnahmen aufgrund von Rohstoffmängeln und daraus folgenden allgemeinen Störungen der Leistungserbringung (auch in Lieferketten).
Die Partei, die sich auf das Vorliegen höherer Gewalt beruft, hat
die andere Partei unverzüglich in Textform über die Tatsache, die Gründe hierfür und die Auswirkungen zu informieren;
mit der Sorgfalt eines ordentlichen Kaufmanns die Maßnahmen zu ergreifen, die erforderlich sind, um die vollständige Erfüllung ihrer Verpflichtungen möglichst unverzüglich wieder aufnehmen zu können;
angemessene Anstrengungen zu unternehmen, die negativen Auswirkungen auf die Erfüllung des Vertrages möglichst zu minimieren;
Sonstiges
Eine Vertragspartei ist zur Ausübung eines Zurückbehaltungsrechts oder zur Aufrechnung nur insoweit berechtigt, als die zugrundeliegende Gegenforderung rechtskräftig festgestellt ist oder nicht bestritten wird.
Die Abtretung von Rechten und Pflichten aus diesem Vertrag oder des Vertrages insgesamt auf einen Dritten ist nur mit vorheriger Zustimmung der anderen Vertragspartei zulässig. Die Zustimmung darf nicht unbillig verweigert werden.
Öffentlichkeitsarbeit
Wir dürfen in unserer Unternehmenskommunikation auf unsere Tätigkeit für den Kunden sowie die erbrachten Leistungen in einer üblichen und angemessenen Art und Weise hinweisen und für diese Zwecke die Firma sowie das Logo des Kunden verwenden.
Schlussbestimmungen
Dieser Vertrag enthält alle Vereinbarungen der Parteien zum Vertragsgegenstand. Etwaig abweichende Nebenabreden und frühere Vereinbarungen zum Vertragsgegenstand werden hiermit unwirksam.
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist. Zur Wahrung dieses Schriftformerfordernisses genügt auch die Unterzeichnung mittels einer in DocuSign oder einer vergleichbaren Software oder einem vergleichbaren Verfahren erzeugten, einfachen elektronischen Signatur i.S.v. Art. 3 Nr. 10 eIDAS-VO (EU Nr. 910/2014). Eine Erklärung allein per E-Mail ist nicht ausreichend. Dies gilt auch für die Aufhebung der Schriftformabrede.
Sollte eine Bestimmung dieses Vertrages ganz oder teilweise nichtig, unwirksam oder nicht durchsetzbar sein oder werden, oder sollte eine an sich notwendige Regelung nicht enthalten sein, bleibt die Wirksamkeit und die Durchsetzbarkeit aller übrigen Bestimmungen dieses Vertrages unberührt. Es ist der ausdrückliche Wille der Parteien, dass diese salvatorische Klausel keine bloße Beweislastumkehr zur Folge hat, sondern § 139 BGB insgesamt abbedungen ist.
Der Vertrag unterliegt allein dem Recht der Bundesrepublik Deutschland. Das internationale Privatrecht findet keine Anwendung, soweit es abdingbar ist.
Alleiniger Gerichtsstand für alle Streitigkeiten im Zusammenhang mit diesem Vertrag ist an unserem Sitz.
Anlage Auftragsverarbeitungsvertrag
1. Gegenstand der Beauftragung
Der Kunde (im folgenden „Auftraggeber“) lässt durch uns (im folgenden „Auftragnehmer“) auf Grundlage des Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist (der „Hauptvertrag“) personenbezogenen Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.
Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen. Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben.
2. Ort der Auftragsverarbeitung
Jede Verlagerung der Auftragsverarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
3. Verantwortlichkeit und Weisungsrecht des Auftraggebers
Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.
Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen.
Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen.
Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.
4. Pflichten des Auftragnehmers
Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.
Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Umfang der Verpflichtung hat in einem angemessenen Verhältnis zu den verarbeiteten Daten und den Folgen einer etwaigen Verletzung des Schutzes der personenbezogenen Daten zu stehen. Sie hat sich ferner auf alle personenbezogenen Daten zu beziehen, die der Auftragnehmer für den Auftraggeber verarbeitet. Der Inhalt und die Tatsache der Verpflichtung ist dem Auftraggeber auf Wunsch nachzuweisen. Etwaige weitergehende Verpflichtungen, die aus einer gesondert zwischen den Parteien abgeschlossenen Geheimhaltungsvereinbarung folgen, bleiben hiervon unberührt.
Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.
Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird.
5. Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.
6. Sicherheit der Verarbeitung
Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.
Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.
7. Betroffenenrechte
Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.
Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.
Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
8. Kontrollrechte des Auftraggebers
Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z. B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.
Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einen von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.
Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.
Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.
9. Maßnahmen von Aufsichtsbehörden
Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
10. Unterauftragsverarbeiter
Der Auftragnehmer setzt keine Unterauftragsverarbeiter ein.
Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren. Zu diesem Zweck wird der Auftragnehmer dem Auftraggeber in Textform folgende Informationen übersenden:
a. Beschreibung der geplanten Änderung;
b. Name und Adresse des Unterauftragsverarbeiters;
c. welche Leistungen der Unterauftragsverarbeiter erbringen soll und welche personenbezogenen Daten und welche Kategorie von Betroffenen hiervon betroffen sind;
Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen die selbe, standardisierte Softwareplattform).
Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen.
11. Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen
Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, spätestens 24 Stunden nach erster Kenntnis, in Textform mitzuteilen. Die entsprechende Meldung soll zumindest folgende Informationen enthalten:
a. Eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Art und Menge der betroffenen Daten sowie Kategorien der betroffenen Personen;
b. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d. Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.
Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.
12. Vergütung des Auftragnehmers
Sofern im Einzelfall keine abweichende Vereinbarung getroffen wurde, ist der Auftragnehmer berechtigt, eine gesonderte Provision. Die Vergütung des Auftragnehmers richtet sich nach den in den Allgemeinen Geschäftsbedingungen (AGB) definierten Provisionsregelungen.
Die Vergütung des Auftragnehmers ist netto zuzüglich der gesetzlichen Mehrwertsteuer zu zahlen.
13. Haftung
Die Haftung der Parteien richtet sich nach den Vereinbarungen des Hauptvertrages. Die unmittelbare Haftung der Parteien gegenüber einem Betroffenen aus gesetzlichen Bestimmungen des Datenschutzes bleibt unberührt.
14. Dauer des Vertrages
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn, dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmt etwas Anderes.
15. Folgen der Vertragsbeendigung
Der Auftragnehmer wird nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragnehmer unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragnehmer hat die Durchführung der Löschung entsprechend den Vorgaben des Auftraggebers diesem zu bestätigen.
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
Jegliches Zurückbehaltungsrecht Auftragnehmers hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ist im Übrigen ausgeschlossen.
16. Schlussbestimmungen
Es gelten die Schlussbestimmungen des Hauptvertrages.
Anlage 1 - Kategorien personenbezogener Daten und Betroffener
Kategorien personenbezogener Daten
Name
Adresse
Daten zur beruflichen Entwicklung und Qualifikation
Arbeitszeugnisse
Kategorien der von der Auftragsverarbeitung Betroffenen
Bewerber für Arbeitsplätze
Anlage 2 - Technische und organisatorische Maßnahmen
Unverbindliches Muster zur Prüfung und Anpassung
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle I - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
Sicherheitstüren / -fenster
Gitter vor Fenstern/Türen
Zaunanlagen
Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
Werkschutz, Pförtner
Alarmanlage
Absicherung von Gebäudeschächten
Videoüberwachung
Mitarbeiter- und Berechtigungsausweise
Sperrbereiche
Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
sonstiges: Bitte ergänzen
Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
Autorisierungsprozess für Zugangsberechtigungen
Begrenzung der befugten Benutzer
BIOS-Passwörter
Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
Personalisierte Chipkarten, Token, PIN-/TAN, etc.
Protokollierung des Zugangs
Zusätzlicher System-Log-In für bestimmte Anwendungen
Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Firewall
sonstiges: Bitte ergänzen
Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben
Verwaltung und Dokumentation von differenzierten Berechtigungen
Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
Auswertungen/Protokollierungen von Datenverarbeitungen
Autorisierungsprozess für Berechtigungen
Genehmigungsroutinen
Profile/Rollen
Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)
Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, "Data Loss Prevention (DLP)-System"
Mobile Device Management-System
Vier-Augen-Prinzip
Funktionstrennung "Segregation of Duties"
Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
Nicht-reversible Löschung von Datenträgern
Sichtschutzfolien für mobile Datenverarbeitungssysteme
sonstiges: Bitte ergänzen
Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden
Speicherung der Datensätze in physikalisch getrennten Datenbanken
Verarbeitung auf getrennten Systemen
Zugriffsberechtigungen nach funktioneller Zuständigkeit
Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
Mandantenfähigkeit von IT-Systemen
Verwendung von Testdaten
Trennung von Entwicklungs- und Produktionsumgebung
sonstiges: Bitte ergänzen
Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
Verschlüsselung des Speichermediums von Laptops
Gesicherter File Transfer (z.B. sftp)
Gesicherter Datentransport (z.B. SSL, ftps, TLS)
Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks
Physikalische Transportsicherung
Verpackungs- und Versandvorschriften
Elektronische Signatur
Gesichertes WLAN
Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber, Challenge-Response, Rückrufautomatik, Einmal-Passwort)
"Mobile Device Management-System"
"Data Loss Prevention (DLP)-System"
Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)
Protokollierung von Datenübertragung oder Datentransport
Protokollierung von lesenden Zugriffen
Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk)
sonstiges: Bitte ergänzen
Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
Zugriffsrechte
Systemseitige Protokollierungen
Dokumenten Management System (DMS) mit Änderungshistorie
Sicherheits-/Protokollierungssoftware
Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
Mehraugenprinzip
"Data Loss Prevention (DLP)-System"
sonstiges: Bitte ergänzen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Sicherheitskonzept für Software- und IT-Anwendungen
Back-Up Verfahren
Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
Gewährleistung der Datenspeicherung im gesicherten Netzwerk
Bedarfsgerechtes Einspielen von Sicherheits-Updates
Spiegeln von Festplatten
Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
Geeignete Archivierungsräumlichkeiten für Papierdokumente
Brand- und/oder Löschwasserschutz des Serverraums
Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten
Klimatisierter Serverraum
Virenschutz
Firewall
Notfallplan
Erfolgreiche Notfallübungen
Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
sonstige: Bitte ausführen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
Interne Datenschutz-Richtlinie
Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
sonstige: Bitte ausführen
Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
sonstige: Bitte ausführen
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
Prozess zur Erteilung und/oder Befolgung von Weisungen
Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
Unabhängige Auditierung der Weisungsgebundenheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen
formalisiertes Auftragsmanagement
dokumentiertes Verfahren zur Auswahl von Dienstleitern
standardisiertes Vertragsmanagement zur Vor- und Nachkontrolle der Dienstleister
__
Anlage Auftragsverarbeitungsvertrag
1. Gegenstand der Beauftragung
Der Kunde (im folgenden „Auftraggeber“) lässt durch uns (im folgenden „Auftragnehmer“) auf Grundlage des Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist (der „Hauptvertrag“) personenbezogenen Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.
Ziel der Verarbeitung personenbezogenen Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen. Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben.
2. Ort der Auftragsverarbeitung
Jede Verlagerung der Auftragsverarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
3. Verantwortlichkeit und Weisungsrecht des Auftraggebers
Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.
Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen.
Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen.
Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.
4. Pflichten des Auftragnehmers
Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.
Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Umfang der Verpflichtung hat in einem angemessenen Verhältnis zu den verarbeiteten Daten und den Folgen einer etwaigen Verletzung des Schutzes der personenbezogenen Daten zu stehen. Sie hat sich ferner auf alle personenbezogenen Daten zu beziehen, die der Auftragnehmer für den Auftraggeber verarbeitet. Der Inhalt und die Tatsache der Verpflichtung ist dem Auftraggeber auf Wunsch nachzuweisen. Etwaige weitergehende Verpflichtungen, die aus einer gesondert zwischen den Parteien abgeschlossenen Geheimhaltungsvereinbarung folgen, bleiben hiervon unberührt.
Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.
Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird.
5. Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.
6. Sicherheit der Verarbeitung
Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.
Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbaren Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.
7. Betroffenenrechte
Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.
Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.
Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
8. Kontrollrechte des Auftraggebers
Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z. B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.
Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einen von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.
Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.
Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkannt und/oder vorab leistet.
9. Maßnahmen von Aufsichtsbehörden
Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.
10. Unterauftragsverarbeiter
Der Auftragnehmer setzt für die Verarbeitung die in der Anlage 3 benannten Unterauftragsverarbeiter ein.
Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren. Zu diesem Zweck wird der Auftragnehmer dem Auftraggeber in Textform folgende Informationen übersenden:
a. Beschreibung der geplanten Änderung;
b. Name und Adresse des Unterauftragsverarbeiters;
c. welche Leistungen der Unterauftragsverarbeiter erbringen soll und welche personenbezogenen Daten und welche Kategorie von Betroffenen hiervon betroffen sind;
Der Auftraggeber kann innerhalb einer Frist von zwei Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen die selbe, standardisierte Softwareplattform).
Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzende Weisungen des Auftraggebers auch von den Auftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen.
11. Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen
Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich, spätestens 24 Stunden nach erster Kenntnis, in Textform mitzuteilen. Die entsprechende Meldung soll zumindest folgende Informationen enthalten:
a. Eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Art und Menge der betroffenen Daten sowie Kategorien der betroffenen Personen;
b. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d. Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.
Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.
12. Vergütung des Auftragnehmers
Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht anders in diesem Vertrag vereinbart.
13. Haftung
Die Haftung der Parteien richtet sich nach den Vereinbarungen des Hauptvertrages. Die unmittelbare Haftung der Parteien gegenüber einem Betroffenen aus gesetzlichen Bestimmungen des Datenschutzes bleibt unberührt.
14. Dauer des Vertrages
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn, dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmt etwas Anderes.
15. Folgen der Vertragsbeendigung
Der Auftragnehmer wird nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragnehmer unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragnehmer hat die Durchführung der Löschung entsprechend den Vorgaben des Auftraggebers diesem zu bestätigen.
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
Jegliches Zurückbehaltungsrecht Auftragnehmers hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ist im Übrigen ausgeschlossen.
16. Schlussbestimmungen
Es gelten die Schlussbestimmungen des Hauptvertrages.
Anlage 1 - Kategorien personenbezogener Daten und Betroffener
Kategorien personenbezogener Daten
Name
Adresse
Daten zur beruflichen Entwicklung und Qualifikation
Arbeitszeugnisse
Kategorien der von der Auftragsverarbeitung Betroffenen
Bewerber für Arbeitsplätze
Anlage 2 - Technische und organisatorische Maßnahmen
Unverbindliches Muster zur Prüfung und Anpassung
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle I - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
Sicherheitstüren / -fenster
Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
Werkschutz, Pförtner
Alarmanlage
Absicherung von Gebäudeschächten
Mitarbeiter- und Berechtigungsausweise
Sperrbereiche
Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
Autorisierungsprozess für Zugangsberechtigungen
Begrenzung der befugten Benutzer
BIOS-Passwörter
Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
Personalisierte Chipkarten, Token, PIN-/TAN, etc.
Protokollierung des Zugangs
Zusätzlicher System-Log-In für bestimmte Anwendungen
Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Firewall
Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben
Verwaltung und Dokumentation von differenzierten Berechtigungen
Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
Auswertungen/Protokollierungen von Datenverarbeitungen
Autorisierungsprozess für Berechtigungen
Genehmigungsroutinen
Profile/Rollen
Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)
Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, "Data Loss Prevention (DLP)-System"
Mobile Device Management-System
Vier-Augen-Prinzip
Funktionstrennung "Segregation of Duties"
Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
Nicht-reversible Löschung von Datenträgern
Sichtschutzfolien für mobile Datenverarbeitungssysteme
sonstiges: Bitte ergänzen
Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden
Speicherung der Datensätze in physikalisch getrennten Datenbanken
Verarbeitung auf getrennten Systemen
Zugriffsberechtigungen nach funktioneller Zuständigkeit
Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
Mandantenfähigkeit von IT-Systemen
Verwendung von Testdaten
Trennung von Entwicklungs- und Produktionsumgebung
sonstiges: Bitte ergänzen
Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
Verschlüsselung des Speichermediums von Laptops
Gesicherter File Transfer (z.B. sftp)
Gesicherter Datentransport (z.B. SSL, ftps, TLS)
Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks
Physikalische Transportsicherung
Verpackungs- und Versandvorschriften
Elektronische Signatur
Gesichertes WLAN
Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber, Challenge-Response, Rückrufautomatik, Einmal-Passwort)
"Mobile Device Management-System"
"Data Loss Prevention (DLP)-System"
Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)
Protokollierung von Datenübertragung oder Datentransport
Protokollierung von lesenden Zugriffen
Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk)
sonstiges: Bitte ergänzen
Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
Zugriffsrechte
Systemseitige Protokollierungen
Dokumenten Management System (DMS) mit Änderungshistorie
Sicherheits-/Protokollierungssoftware
Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
Mehraugenprinzip
"Data Loss Prevention (DLP)-System"
sonstiges: Bitte ergänzen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Sicherheitskonzept für Software- und IT-Anwendungen
Back-Up Verfahren
Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
Gewährleistung der Datenspeicherung im gesicherten Netzwerk
Bedarfsgerechtes Einspielen von Sicherheits-Updates
Spiegeln von Festplatten
Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
Geeignete Archivierungsräumlichkeiten für Papierdokumente
Brand- und/oder Löschwasserschutz des Serverraums
Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten
Klimatisierter Serverraum
Virenschutz
Firewall
Notfallplan
Erfolgreiche Notfallübungen
Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
sonstige: Bitte ausführen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
Interne Datenschutz-Richtlinie
Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
sonstige: Bitte ausführen
Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
sonstige: Bitte ausführen
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
Prozess zur Erteilung und/oder Befolgung von Weisungen
Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
Unabhängige Auditierung der Weisungsgebundenheit
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen
formalisiertes Auftragsmanagement
dokumentiertes Verfahren zur Auswahl von Dienstleitern
standardisiertes Vertragsmanagement zur Vor- und Nachkontrolle der Dienstleister
sonstiges: Bitte ergänzen
Anlage 3 - Unterauftragsverarbeiter
Perspective Software GmbH, Müggelstraße 22 D-10247 Berlin
Hosting der für die Aufragsverarbeitung verwendeten Server:
Perspective Software GmbH
Auftragsverarbeitungsvertrag abrufbar unter www.ajency.de/av
Technische und organisatorische Maßnahmen abrufbar unter www.ajency.de/av