Auftragsverarbeitungsvertrag

Stand: September 2017

 

§ 1. Anwendungsbereich

(1) Die Vereinbarung findet Anwendung auf alle Tätigkeiten, die Gegenstand der Leistungsvereinbarung sind und bei deren Verrichtung Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer nach Maßgabe dieser Vereinbarung beauftragte Dritte mit personenbezogenen Daten in Berührung kommen, für die der Auftragge-ber die gemäß § 3 Abs. 7 BDSG verantwortliche Stelle bzw. der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist.
(2) Im Falle von Regelungswidersprüchen zwischen der Leistungsvereinbarung und der ADV-Vereinbarung ge-hen die Bestimmungen der ADV-Vereinbarung vor.

 

§ 2. Begriffsbestimmung

Diese Vereinbarung bezieht sich nur auf die Durchführung der technischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG bzw. Verarbeitung nach Art. 4 Nr. 2 DSGVO (nachfolgend „Daten“ genannt) durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Erfüllung der Leistungs-vereinbarung (Auftrags(daten)verarbeitung). Eine weitergehende inhaltliche Aufgabenübertragung wird mit dieser Vereinbarung nicht getroffen.

 

§ 3 Konkretisierung des Auftragsinhalts / Art, Umfang und Zweck der Auftragsdatenverarbeitung

(1) Der Gegenstand und die Dauer der Auftragsdatenverarbeitung sowie Umfang, Art und Zweck der vorgesehe-nen Erhebung, Verarbeitung oder Nutzung von Daten sind in der Leistungsvereinbarung geregelt.
(2) Folgenden Datenarten oder -kategorien sind Gegenstand der Erhebung, Verarbeitung und/oder Nutzung durch den Auftragnehmer:

Personenstammdaten, z.B.: Name, Adresse, Login Daten, Position
Kommunikationsdaten, z. B. : Telefon, E-Mail
Unternehmens- und Produktstammdaten, z.B.: Mitarbeiter, Adressen, Bankverbindungen, Mitarbeiter, Materialgruppen, Geschäftsbereiche, Steuerdaten, (nur Freelancer) Kompetenzen, Leistungsbeurteilung, Vergütung, Verfügbarkeit.
Lieferantenstammdaten, z.B.: Adressen, Ansprechpartner, Bewertungen.
Prozessdaten, z.B.: Anfragen, Aufträge, Auktionen, Ausschreibungen, Bedarfe, Bestellungen, Bewertungen, Fristen, Gutschriften, Informationsanfragen, Kataloge, Leistungsnachweise, Lieferabrufe, Lieferpläne, Maßnahmen, Projekte, Rechnungen, Registrierungen, Registrierungsfragen, Reklamationen, Verfügbarkeiten, Verträge, Wareneingänge, Workflows.
Vertragsstammdaten (Vertragsbeziehungen etc.).
Vertragsbezogene Dokumente, z.B.: AGB, Verträge, Bestellungen, Rechnungen, Kunden- bzw. Bestellhistorie
Logdaten, z.B.: Änderungshistorie, Login Historie
Kommunikationsdaten.: Chats, Notizen,Technische Einstellungen und Konfigurationen.

(3) Der Kreis, der durch den Umgang mit ihren personenbezogenen Daten Betroffenen umfasst Angestellte und freie Mitarbeiter

• des Auftraggebers,
• von Lieferanten des Auftraggebers,
• von Kunden des Auftraggebers,
• von anbietenden bzw. anfragenden Unternehmen.

 

§ 4 Verantwortlichkeit und Weisungen des Auftraggebers

(1) Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbei-tung verantwortlich. Er kann jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten ver-langen. Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auf-tragnehmer wendet, wird der Auftragnehmer dieses Ersuchen schnellstmöglich an den Auftraggeber weiterlei-ten.
(2) Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftraggebers erheben, ver-arbeiten oder nutzen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personen-bezogenen Daten gerichtete schriftliche gesetzeskonforme Anordnung des Auftraggebers. Die Weisungen werden zunächst durch die Leistungsvereinbarung definiert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden.
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schrift-lich bestätigt oder geändert wird.
(4) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist nicht berechtigt, sie an Dritte weiterzugeben. Kopien werden ohne Wissen des Auf-traggebers nicht erstellt.
(5) Der Auftraggeber führt das Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 2 BDSG bzw. Art. 30 DSGVO. Der Auftragnehmer stellt dem Auftraggeber auf dessen Aufforderung die notwendigen Informationen zur Aufnah-me in das Verfahrensverzeichnis zur Verfügung.
(6) Die Personen des Auftraggebers, welche berechtigt sind, Weisungen gemäß dieser Regelung zu erteilen, werden durch den Auftraggeber bestimmt. Ist eine der genannten Personen auf längere Zeit verhindert, schei-det aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig ei-ne Ersatzperson zu bestellen und der anderen Vertragspartei unverzüglich in Textform mitzuteilen.
(7) Die Meldung von Weisungen gemäß dieser Regelung erfolgt an datenschutz@onventis.de.

 

§ 5 Pflichten des Auftragnehmers

(1) Neben den vertraglichen Regelungen dieser Vereinbarung und der Leistungsvereinbarung wird der Auftrag-nehmer im Rahmen der Auftrags(daten)verarbeitung alle einschlägigen gesetzlichen Pflichten einhalten.
(2) Der Auftragnehmer ist verpflichtet, das Datengeheimnis zu wahren. Er stellt ferner sicher, dass seine mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter entsprechend zur Vertraulichkeit, insbeson-dere auf das Datengeheimnis sowie die Einhaltung der Rechte und Pflichten dieser ADV-Vereinbarung ver-pflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und in die Schutzbestimmungen des BDSG bzw. BDSG neu eingewiesen worden sind. Dies umfasst auch die Beleh-rung über die in diesem Auftragsdatenverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung. Auf Anforderung des Auftraggebers wird der Auftragnehmer die Erklärungen nach § 5 BDSG bzw. Art. 28 Abs. 3 S. 2 lit. b) DSGVO vorlegen.
(3) Der Auftragnehmer hat nach Maßgabe des § 4f BDSG bzw. Art. 37 DSGVO einen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß §§ 4f und 4g BDSG bzw. Art. 39 DSGVO ausübt, sofern eine gesetzli-che Verpflichtung besteht. Sofern der Auftragnehmer keinen Datenschutzbeauftragten bestellt hat, benennt er einen für den Datenschutz zuständigen Mitarbeiter. Die Kontaktdaten eines bestellten Datenschutzbeauftrag-ten bzw. des für den Datenschutz zuständigen Mitarbeiters werden dem Auftraggeber auf Nachfrage mitge-teilt.
(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen, Ermittlungen und Maßnahmen durch die Aufsichtsbehörden. Der Auftragnehmer ist verpflichtet, Anfragen von den Datenschutzaufsichtsbe-hörden unverzüglich an den Datenschutzbeauftragten des Auftraggebers oder an den Auftraggeber weiterzu-leiten. Der Auftragnehmer wird den Auftraggeber bei der Erstellung erforderlicher Datenschutzdokumentatio-nen sowie bei der Beantwortung von Anfragen von Datenschutzaufsichtsbehörden nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auftraggeber unterstützen.
(5) Der Auftragnehmer ist vorbehaltlich einer gesetzlichen oder behördlichen Verpflichtung ohne entsprechende Weisung des Auftraggebers nicht befugt, Dritten oder dem Betroffenen Auskunft über die verarbeiteten Daten zu geben. Auskunftsersuchen wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten. Für die Wahrung der Betroffenenrechte ist der Auftraggeber verantwortlich. Der Auftragnehmer wird jedoch ange-sichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisa-torischen Maßnahmen dabei unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte in Kapitel III der DSGVO nachzukommen.
(6) Der Auftragnehmer wird den Auftraggeber nach dem Anwendungszeitpunkt der DSGVO bzw. des BDSG neu unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auftragge-ber unterstützen.

 

§ 6 Technisch-organisatorische Maßnahmen und deren Kontrolle

(1) Die Vertragsparteien vereinbaren die in Anhang 2 „Technisch-organisatorische Maßnahmen“ zu dieser Ver-einbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang 2 ist Teil dieser Vereinbarung.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang 2 „Technisch-organisatorische Maßnahmen“ festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
(3) Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auf-tragskontrolle erforderlichen Auskünfte geben und die entsprechenden Nachweise zur Verfügung stellen. Auf-grund der Kontrollverpflichtung des Auftraggebers gemäß § 11 Abs. 2 Satz 4 BDSG bzw. Art. 28 und 29 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit der ADV-Vereinbarung stellt der Auf-tragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisa-torischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG bzw. Art. 32 DS-GVO nach. Der Nachweis der Umsetzung solcher Maßnahmenkann auch durch Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheits¬ab¬teilung, Datenschutzauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
(4) Der Auftraggeber kann sich zu Prüfzwecken in den Betriebsstätten des Auftragnehmers zu den üblichen Ge-schäftszeiten ohne Störung des Betriebsablaufs von der Einhaltung dieser Vereinbarung der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsda-tenverarbeitung einschlägigen Datenschutzgesetze überzeugen. Die Kontrollen sind dem Auftragnehmer mit einer Vorlaufzeit von nicht weniger als 10 Werktagen (Mo.-Fr. – nicht 24. und 31.12.), bei Vorliegen eines Da-tensicherheitsvorfalles von nicht weniger als 5 Werktagen anzukündigen. Der Auftraggeber hat hierbei ange-messene Rücksicht auf die Betriebsabläufe zu nehmen sowie Verschwiegenheit über Betriebs- und Ge-schäftsgeheimnisse des Auftragnehmers zu wahren. Der Auftragnehmer wird den Auftraggeber bei der Auf-tragskontrolle angemessen unterstützen und auf Anforderung hierfür erforderliche Auskünfte bereitstellen. Ei-ne Überprüfung durch Dritte für den Auftraggeber bedarf der vorherigen schriftlichen Zustimmung des Auf-tragnehmers. Beauftragt der Auftraggeber mit Zustimmung des Auftragnehmers einen Dritten mit der Durch-führung der Kontrolle, hat der Auftraggeber den Dritten schriftlich zur Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Geheimhaltungsverpflichtung unterliegt. Auf Verlangen des Auftrag-nehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzu-legen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

 

§ 7 Mitteilung bei Verstößen durch den Auftragnehmer

(1) Bei datenschutzrelevanten Störungen oder Verdacht auf Datenschutzverletzungen bei der Verarbeitung der personenbezogenen Daten ist der Auftragnehmer verpflichtet, den Auftraggeber oder den Datenschutzbeauf-tragten des Auftraggebers unverzüglich zu informieren. Der Auftraggeber wird auf entsprechenden Hinweis des Auftragnehmers erforderliche Weisungen schriftlich erteilen.
(2) Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftragge-ber im Zusammenhang mit den in dieser ADV-Vereinbarung zu verarbeitenden Daten Informations- oder Mit-teilungspflichten nach § 42a BDSG oder Art. 33, 34 DSGVO treffen, wird der Auftragnehmer den Auftragge-ber hierbei nach seinen Möglichkeiten gegen Entgelt nach separater Beauftragung unterstützen.
(3) Die Personen des Auftraggebers, welche im Falle eines solchen Verstoßes zu informieren sind, werden dem Auftragnehmer separat mitgeteilt. Ist eine der darin genannten Personen auf längere Zeit verhindert, scheidet aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig eine Ersatzperson zu bestellen und dem Auftragnehmer über eine eMail an datenschutz@onventis.de unverzüglich mitzuteilen.

 

§ 8 Löschung und Rückgabe von Daten

(1) Vertragsgegenständlich überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.
(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Auftragge-ber, jedoch spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschuss¬material. Ein Löschungsprotokoll ist dem Auftraggeber auf Anforderung vorzulegen.
(3) Der Auftragnehmer hat Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenver-arbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewah-ren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
(4) Der Auftragnehmer bleibt bis zur vollständigen Herausgabe und/oder Löschung vertragsgegenständlicher personenbezogener Daten auch nachvertraglich nach den Regeln dieser Vereinbarung verpflichtet.

 

§ 9 Unterauftragnehmer

(1) Der Auftragnehmer ist nur nach vorheriger schriftlicher Zustimmung des Auftraggebers berechtigt, Dritte mit der (vollständigen oder teilweisen) Erbringung der von ihm geschuldeten Leistungen zu beauftragen (Unterauf-tragsverhältnisse). Der Auftraggeber wird die Zustimmung aus unbilligen Gründen nicht verweigern. Die Zu-stimmung gilt als erteilt, sofern der Auftraggeber nicht binnen einer Frist von 5 Werktagen auf die Mitteilung des Auftragnehmers über die vorgesehene Beauftragung eines Unterauftragnehmers die begründete Ableh-nung der Zustimmung zumindest in Textform erklärt.
(2) Wenn Unterauftragnehmer durch den Auftragnehmer eingeschaltet werden, hat der Auftragnehmer den Auf-traggeber zeitnah hierüber zu informieren und sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragnehmer so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwi-schen dem Auftraggeber und dem Auftragnehmer entspricht und alle gesetzlichen sowie vertraglichen Pflich-ten beachtet werden. Ab dem Anwendungszeitpunkt der DSGVO wird der Auftragnehmer die in Art. 28 Abs. 2 und 4 DSGVO beschriebenen Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auf-tragsverarbeiters einhalten. Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers wie für eigenes Handeln.
(3) Dem Auftraggeber sind in der vertraglichen Vereinbarung mit dem Unterauftragnehmer Kontroll- und Überprü-fungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umset-zung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten.
(4) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Leistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Anmietung von Übertragungswegen bei Telekom-munikationsanbietern (Carrier), Anmietung von Kollokationsflächen, Wartung und Benutzerservice im Re-chenzentrum, Zugriffsmöglichkeit auf Projektmanagementsoftware und Ticketingsoftware, Supportleistungen durch Dritte z.B. Softwarehersteller und externe Dienstleister betreffend Drittprodukte, Reinigungskräfte, Wachpersonal, Prüfer, Transport von Datenträgern oder die Entsorgung von Datenträgern. Der Auftragneh-mer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarun-gen zu treffen.
(5) Die Regelungen in diesem § 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird – ungeachtet des Umstands, dass Datenweitergaben an einen solchen Unterauftragnehmer insbesondere nicht den Privilegierungen des § 11 BDSG unterliegen. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der Auftraggeber-Daten außerhalb des EWR oder der Schweiz verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittlän-dern vom 5.2.2010 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach § 4c BDSG im erforderlichen Maße mitzuwirken.
(6) Ab dem Anwendungszeitpunkt der DSGVO gilt zusätzlich Folgendes:
Sofern der Unterauftragnehmer eine internationale Organisation ist oder seinen Sitz in einem Drittland hat, sind in Bezug auf die Datenübermittlung an den jeweiligen Unterauftragnehmer zum Zweck der Auftragsver-arbeitung im Unterauftrag zusätzlich die Vorschriften der Art. 44 ff. DSGVO einzuhalten. Der Auftragnehmer ist sich insbesondere bewusst, dass mangels Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO oder ordnungsgemäßer Verwendung der EU-Standardvertragsklauseln eine solche Übermittlung grundsätzlich nur zulässig ist, sofern der Unterauftragnehmer geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, vgl. Art. 46 DSGVO. Der Auftragnehmer ist im Verhältnis zum Auftraggeber für die erforderlichen Garantiemaßnahmen verant-wortlich. Der Auftragnehmer ist verpflichtet, die Vorschriften der Art. 44 ff. DSGVO und auch die sonstigen Bestimmungen der DSGVO einzuhalten.

 

§ 10 Laufzeit der ADV-Vereinbarung / Kündigung

(1) Die Laufzeit und Kündigung dieser ADV-Vereinbarung richtet sich nach den Bestimmungen zur Laufzeit und Kündigung der Liefervereinbarung. Eine Kündigung der Liefervereinbarung bewirkt automatisch auch eine Kündigung dieser ADV-Vereinbarung. Eine isolierte Kündigung dieser ADV-Vereinbarung ist ausgeschlossen. Eine Kündigung aus wichtigem Grund bleibt unberührt.
(2) Eine Kündigung bedarf zu ihrer Wirksamkeit der Textform.

 

§ 11 Nebenleistungen

Die §§ 1 bis 8 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverar-beitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

§ 12 Datenschutzkontrolle

(1) Der Auftragnehmer verpflichtet sich, dem betrieblichen Datenschutzbeauftragten dem für den Datenschutz zuständigen Mitarbeiters des Auftraggebers zur Erfüllung seiner jeweiligen gesetzlichen Aufgaben im Zusam-menhang mit diesem Auftrag Zugang gemäß § 6 Abs. 4 dieser ADV-Vereinbarung zu gewähren.
(2) Der Auftragnehmer ist verpflichtet, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 Abs. 3 DSGVO niedergelegten Pflichten auf entsprechende Aufforderung zur Verfü-gung zu stellen und Überprüfungen zu ermöglichen, die vom Auftraggeber oder einem anderen von diesem zur Verschwiegenheit verpflichteten beauftragten Prüfer nach Maßgabe von § 6 Abs. 4 dieser ADV-Vereinbarung durchgeführt werden. Die Verpflichtung zur Verschwiegenheit ist dem Auftragnehmer auf ent-sprechende Aufforderung nachzuweisen.

 

§ 13 Gerichtsstand / Anwendbares Recht

(1) Gerichtsstand für alle Streitigkeiten aus dieser ADV-Vereinbarung ist Stuttgart.
(2) Auf diese Vereinbarung findet das deutsche Recht unter Ausschluss des internationalen Privatrechts Anwen-dung.

 

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherun-gen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises da-rauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Ver-zicht auf dieses Formerfordernis.
(2) Der Auftraggeber sowie jeder Nutzer erklärt sich damit einverstanden, dass der Auftragnehmer system-oder produktrelevante Informationen per E-Mail versendet. Diese Einwilligung kann jederzeit widerrufen werden.
(3) Sollten einzelne Bestimmungen dieser ADV-Vereinbarung ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Vertragsparteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirt-schaftlichen Zweck der ungültigen Bestimmung möglichst nahe kommt. Entsprechendes gilt für etwaige Lü-cken der ADV-Vereinbarungen.
(4) Der Anhang „Technisch-organisatorische Maßnahmen“ ist Bestandteil dieser Vereinbarung.

Anhang „Technisch-organisatorische Maßnahmen”

nach § 9 BDSG bzw. Art. 32 DSGVO

§ 6 der Vereinbarung zur Auftragsdatenvereinbarung verweist zur Konkretisierung der technisch-organisatorischen Datenschutzmaßnahmen auf diesen Anhang.

 

§ 1 Technische und organisatorische Sicherheitsmaßnahmen

Gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG in Verbindung mit § 9 BDSG bzw. Art. 32 DSGVO sind die Vertragspartner verpflichtet, die technischen und organisatorischen Sicherheitsmaßnahmen festzulegen.

 

§ 2 Innerbetriebliche Organisation des Auftragnehmers

Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

 

§ 3 Konkretisierung der Einzelmaßnahmen

Im Einzelnen werden folgende Maßnahmen bestimmt:

Nr.

Maßnahme

Umsetzung der Maßnahme

1.

Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  • Berechtigungskonzept für den Zutritt zu Räumen und Servern
  • Protokollierung der Besucher
  • Schlüsselregelung (Schlüsselübergabe etc.)
  • Personenkontrolle beim Pförtner / Empfang
  • Überwachung/Aufzeichnung des Zutritts durch Kameras
  • Chipkarten- / Transponder-Schließsystem

2.

Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Zuordnung von Benutzerrechten
  • Passwortvergabe
  • Authentifikation mit Benutzername / Passwort
  • Gehäuseverriegelungen
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Protokollierung der Besucher
  • Personenkontrolle beim Pförtner / Empfang
  • Einsatz einer Hardware-Firewall

3.

Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Logisches Berechtigungskonzept mit Rollen und Rechten
  • Verwaltung der Rechte durch Systemadministrator
  • Passwortrichtlinie inklusive Passwortlänge und Passwortwechsel
  • Sichere Aufbewahrung von Datenträgern

4.

Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Dem Industriestandard entsprechende verschlüsselte Datenübertragung (SSL)
  • Einrichtung von Standleitungen bzw. VPN-Tunneln
  • Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen
  • Beim physischen Transport: sichere Transportbehälter / -verpackungen

5.

Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelles Loggen mit Benutzernamen
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

6.

Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Gemäß den Regelungen der vorliegenden Vereinbarung zur Auftragsdatenverarbeitung
  • Entsprechende Unterweisung des Personals des Auftragnehmers und vertragliche Gestaltungen mit Subunternehmern
  • Regelmäßige Prüfungen durch den Auftragnehmer im Hinblick auf die Ausführung dieser Vereinbarung

7.

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Unterbrechungsfreie Stromversorgung (USV)
  • Feuer und Rauchmeldeanlagen
  • Regelmäßige Datensicherungen (Backup- und Recoverykonzept)
  • Notfallprozeduren zur Datenwiderherstellung
  • Alarmmeldungen bei unberechtigten Zutritten zu Serverräumen
  • Klimaanlage in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Feuerlöschgeräte in Serverräumen
  • Serverräume nicht unter sanitären Anlagen
  • Einsatz von Anti-Viren-Software

8.

Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Logische Mandantentrennung (softwareseitig)
  • Rollen- und Berechtigungskonzept
  • Trennung von Produktiv- und Testsystem

Vereinbarung zur Auftragsdatenverarbeitung

Stand: Mai 2018

Anbei finden Sie unsere Vereinbarung zur Auftragsdatenverarbeitung als ausfüllbare PDF-Vorlage. Auf diese Weise bieten wir all unseren Vertragspartnern die Möglichkeit, die Vereinbarung zur Auftragsdatenverarbeitung einfach abzuschließen.

 

Gehen Sie hierzu wie folgt vor:

1. Vorlage zur Auftragsdatenverarbeitung herunterladen

2. Vorlage ausfüllen, ausdrucken und unterzeichnen

3. Unterzeichnete Vereinbarung in 2-facher Ausfertigung per Post an:

4. Wir senden die von uns gegengezeichnete Version an Sie zurück.

Onventis GmbH
Gropiusplatz 10
70563 Stuttgart