Zusatz zur Auftragsverarbeitung

Die Regelungen zur Auftragsverarbeitung ergänzen die allgemeinen Geschäftsbedingungen der AppConfector UG (nachfolgend Auftragsverarbeiter). Als festes Bindungsglied zu diesen, stimmen Sie als Kunde (nachfolgend Auftraggeber) dem Zusatz im Rahmen einer Geschäftsbeziehung automatisch zu. Im Falle eines Widerspruchs zwischen diesen Regelungen und den allgemeinen Geschäftsbedingungen gehen diese Regelungen zur Auftragsverarbeitung vor.

Der Auftragsverarbeiter und der Auftragsgeber werden im folgenden unter dem gemeinsamen Begriff "Die Parteien" aufgeführt.

Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung ersetzt werden.

1. Allgemeines

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggeber i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.

(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

(3) Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO (Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)) gelten für die DSGVO in ihrer jeweils aktuellen Fassung.

2. Gegenstand des Auftrags

Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.

3. Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch Auftragsverarbeiter. Dieser steht nach Ziff. 4 Abs. 5 dieser Vereinbarung das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.

(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragsverarbeiter geltend machen.

(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragsverarbeiter zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.

(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggeber bei dem Auftragsverarbeiter entstehen, bleiben unberührt.

(5) Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter feststellt.

(6) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.

4. Allgemeine Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, der Auftragsverarbeiter ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragsverarbeiter untersagt, es sei denn, dass der Auftragnehmer dieser schriftlich zugestimmt hat.

(2) Der Auftragsverarbeiter verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.

(3) Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.

(4) Der Auftragsverarbeiter ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, der Auftragsverarbeiters im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Dieser wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.

(5) Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragsverarbeiter darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragsverarbeiters nach Art. 82 DSGVO führen kann, steht der Auftragsverarbeiter das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Betriebsstätten des Auftragsverarbeiters oder Unterauftragnehmers ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggebers in Privatwohnungen ist nur mit Zustimmung dessen in Schriftform oder Textform im Einzelfall zulässig.

(7) Der Auftragsverarbeiter wird die Daten, die sie im Auftrag für den Auftraggebers verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.

5. Datenschutzbeauftragter des Auftragsverarbeiter

(1) Der Auftragsverarbeiter bestätigt, dass dieser einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragsverarbeiter trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragsverarbeiters wird dem Auftraggeber den Namen und die Kontaktdaten seines Datenschutzbeauftragten gesondert in Textform mitteilen.

(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggeber entfallen, wenn Auftragsverarbeiter nachweisen kann, dass sie gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragsverarbeiter nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.

6. Meldepflichten des Auftragsverarbeiter

(1) Der Auftragsverarbeiter ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Auftraggebers verarbeitet.

(2) Ferner wird der Auftragsverarbeiter den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragsverarbeiter tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragsverarbeiter im Auftrag des Auftraggeber erbringt, betreffen kann.

(3) Dem Auftragsverarbeiter ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragsverarbeiter wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragsverarbeiter wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung der Auftragsverarbeiter an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • eine Beschreibung der von dem Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

7. Mitwirkungspflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.

(2) Der Auftragsverarbeiter wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Der Auftragsverarbeiter hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

(3) Der Auftragsverarbeiter unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.

(4) Der Auftragsverarbeiter ist berechtigt, für diese Leistungen vom Auftraggeber eine angemessene aufwandsbezogene Vergütung zu verlangen.

8. Kontrollbefugnisse

(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch dem Auftragsverarbeiter jederzeit im erforderlichen Umfang zu kontrollieren.

Der Nachweis der Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO soll primär durch unabhängige Prüfberichte und Zertifizierung erbracht werden.

Sofern der Auftraggeber auf Grundlage tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass die Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Auftraggebers dies rechtfertigen, kann der Auftraggeber Kontrollen nach Ziffer 8. (2) durchführen.

(2) Um dem Auftraggeber eine Auftragskontrolle und insbesondere eine Überprüfung der bei dem Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen vor Beginn und regelmäßig während der Datenverarbeitung zu ermöglichen, wird der Auftragsverarbeiter. die Kontrolle durch einen vom Auftraggeber beauftragten neutralen Dritten (vereidigter Wirtschaftsprüfer) zulassen. Der Auftragsverarbeiter ist berechtigt, Termine für eine Prüfung nach den betrieblichen Möglichkeiten zu vergeben. Die Prüfung soll innerhalb eines angemessenen Zeitraums nach der Anfrage ermöglicht werden. Alternativ kann der Auftragsverarbeiter dem Kontrollrecht des Auftraggebers auch dadurch entsprechen, dass der Auftragsverarbeiter einen von einem unabhängigen, vereidigten Wirtschaftsprüfer im Auftrag des Auftragsverarbeiters erstellten Prüfbericht zur Verfügung stellt. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb der Auftragsverarbeiter nicht über Gebühr stören oder missbräuchlich sein.

(3) Der Auftragsverarbeiter ist berechtigt, für Kontrollen im Sinne der Ziffer 8. (2) eine angemessene Vergütung vom Auftraggeber zu verlangen.

9. Unterauftragsverhältnisse

(1) Die Beauftragung von Unterauftragnehmern durch den Auftragsverarbeiter ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Der Auftragsverarbeiter wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag angeben.

(2) Der Auftragsverarbeiter hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen dem Auftraggeber und dem Auftragsverarbeiter getroffenen Vereinbarungen einhalten kann. Der Auftragsverarbeiter hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist von dem Auftragsverarbeiter zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln.

(3) Der Auftragsverarbeiter ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragsverarbeiter den Auftraggeber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragte zu benennen.

(4) Der Auftragsverarbeiter hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggeber auch gegenüber dem Unterauftragnehmer gelten.

(5) Der Auftragsverarbeiter hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragsverarbeiter dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auftragsverarbeiter festgelegt sind.

(6) Der Auftragsverarbeiter ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 8 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von dem Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.

(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.

10. Vertraulichkeitsverpflichtung

(1) Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die sie im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragsverarbeiter verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragsverarbeiter etwaige besondere Geheimnisschutzregeln mitzuteilen.

(2) Der Auftragsverarbeiter sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und sie mit der Anwendung dieser vertraut ist. Der Auftragsverarbeiter sichert ferner zu, dass sie seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat. Der Auftragsverarbeiter sichert ferner zu, dass sie insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.

(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggebers auf Anfrage nachzuweisen.

11. Wahrung von Betroffenenrechten

(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragsverarbeiter ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragsverarbeiter hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.

(2) Soweit eine Mitwirkung des Auftragsverarbeiters für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragsverarbeiter die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggeber treffen. Der Auftragsverarbeiter wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen. Der Auftragsverarbeiter ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.

(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber bei dem Auftragsverarbeiter entstehen, bleiben unberührt.

12. Geheimhaltungspflichten

(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

13. Vergütung

Für diesen Vertrag erhält der Auftragsverarbeiter keine gesonderte Vergütung.

14. Technische und organisatorische Maßnahmen zur Datensicherheit

(1) Der Auftragsverarbeiter verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragsverarbeiter im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können von dem Auftragsverarbeiter ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der von dem Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen anfordern.

(3) Der Auftragsverarbeiter wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird dem Auftragsverarbeiter den Auftraggeber informieren.

15. Dauer des Auftrags

(1) Der Vertrag beginnt mit der Beauftragung und wird auf unbestimmte Zeit geschlossen.

(2) Der Vertrag endet bei Kündigung des Hauptvertrages (ein App Paket oder etwaige Dienstleistung) ohne dass es einer gesonderten Kündigung bedarf.

Etwaige Lösch- und Rückgabepflichten nach Beendigung dieses Vertrages sind in Ziffer 16. geregelt.

(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der dem Auftragsverarbeiter gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragsverarbeiter eine Weisung des Auftraggeber nicht ausführen kann oder will oder der Auftragsverarbeiter den Zutritt des Auftraggeber oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

16. Beendigung

(1) Nach Beendigung des Vertrages hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt. Für Datenträger gilt, dass diese im Falle einer vom Auftraggeber gewünschten Löschung zu vernichten sind, wobei mindestens die Sicherheitsstufe 3 der DIN 66399 einzuhalten ist; die Vernichtung ist dem Auftraggeber unter Hinweis auf die Sicherheitsstufe gemäß DIN 66399 nachzuweisen.

(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten bei dem Auftragsverarbeiter zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte der des Auftragsverarbeiters erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.

17. Zurückbehaltungsrecht

Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiters i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.

18. Schlussbestimmungen

(1) Sollte das Eigentum des Auftraggeber bei den Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu informieren. Der Auftragsverarbeiter wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

(2) Für Nebenabreden ist die Schriftform erforderlich.

(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Anlage 1 - Gegenstand des Auftrags

1. Gegenstand und Zweck der Verarbeitung

Der Auftrag des Auftraggebers an den Auftragsverarbeiter umfasst folgende Arbeiten und/oder Leistungen: Bereitstellung von (in der jeweils geltenden Leistungsbeschreibung näher beschriebenen) mobile Applikationen, sowie Webseiten ähnlichen Inhalten. Darin sind die Erfassung, Verarbeitung und Weitervermittlung von aufgenommen Daten eingeschlossen.

2. Art(en) der personenbezogenen Daten

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung: Verkehrsdaten, Inhaltsdaten, Kontakt-, Personenstamm- und Kommunikationsdaten (Name, Adresse, Telefonnummer, Faxnummer, Email-Adresse).

3. Kreis betroffener Personen

Kreis der von der Datenverarbeitung betroffenen Personen: Benutzer Ihres Accounts, anrufende und angerufene Teilnehmer bzw. Sender/Empfänger von SMS/Fax, Beschäftigte, Kunden, Geschäftspartner, Interessenten und Dienstleister des Auftraggebers.

Sofern der Auftraggeber bei dem Auftragsverarbeiter Partner ist: Kontakt-, Personenstamm- und Kommunikationsdaten (Name, Adresse, Telefonnummer, Faxnummer, Email-Adresse) der durch den den Auftragsverarbeiter Partner vermittelten Unternehmer/Unternehmen.

Der Auftraggeber verpflichtet sich die Benutzer des Accounts und - soweit erforderlich - den Betriebsrat oder vergleichbare Vertretungen über die Verarbeitung der in 2. genannten Daten zu informieren.

4. Ort der Datenverarbeitung:

Alle Daten werden auf Servern in Deutschland verarbeitet.

Anlage 2 - Unterauftragnehmer

Der Auftragsverarbeiter nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).

Der Auftragsverarbeiter bedient sich bei der Erbringungen ihrer Leistungen verschiedener Unterauftragnehmer.

Diese Unterauftragnehmer sind zunächst die folgenden Gesellschaften des Auftragsverarbeiters und erbringen Vorleistungen für die Realisierung der Dienstleistungen des Auftragsverarbeiters. Es bestehen die erforderlichen vertraglichen Vereinbarungen zwischen den Gesellschaften zur Verarbeitung dieser Daten.

Dabei handelt es sich um nachfolgende Unternehmen:

Jungherz GmbH, Fürst-Leopold-Platz 1, 46284 Dorsten,

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

Google Cloud Produkte, Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

Anlage 3

Technische und organisatorische Maßnahmen des Auftragsverarbeiters

Der Auftragsverarbeiter trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

1. Vertraulichkeit

Zutrittskontrolle

Um den Zutritt Unbefugter zu den Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verhindern hat der Auftragsverarbeiter und dessen beauftragen Unterauftragnehmers, wie z.B. die Netcup sowie die Google Cloud Sparte umfangreiche formale Zutrittskontrollprozesse implementiert.

Die genutzten Standorte beherbergen Server- und einen Servertechnikräume. Für den Zutritt werden an ausgewählte Mitarbeiter des Unterauftragnehmers elektronische Schlüssel vergeben. Die Schlüssel berechtigen den jeweiligen Mitarbeiter des Subnunternehmers nur zur Öffnung/Schließung einzelner dafür zugelassener Türen. Alle Öffnungs- und Schließvorgänge eines Schlüssels werden gemeinsam mit der eindeutigen ID des Schlüssels elektronisch protokolliert. Für die Verwaltung der Schlüssel sind ausschließlich durch die Geschäftsleitung direkt autorisierte Mitarbeiter des Subnunternehmers zuständig.

Der Serverraum ist jederzeit verschlossen und kann nur von ausgewählten Mitarbeitern des Subnunternehmers betreten werden.

Innerhalb des Gebäude des jeweiligen Standorts sind die Zutrittsrechte der Mitarbeiter des Unterauftragnehmers - auch solcher die über einen Schlüssel verfügen - auf das zur konkreten Aufgabenerfüllung notwendige Maß beschränkt.

Innerhalb der Geschäftszeiten wird beim Betreten des Gebäudes am ständig besetzten Empfang des Gebäudes eine Personenkontrolle durchgeführt. Außerhalb der Geschäftszeiten sind alle Zugänge zum Gebäude verschlossen und alarmgesichert. Das Gebäude wird zusätzlich durch einen Wachdienst gesichert. Alle Alarme der Alarmanlage werden direkt an einen Wachdienst gemeldet.

In allen Rechenzentren kommen die standardmäßigen Sicherheitsmaßnahmen zur Anwendung. Diese entsprechen dem Stand der Technik und den (best practices) der IT-Branche. Es handelt sich unter anderem um elektronische Zugangskontrollsysteme mit Protokollierung, wobei nur autorisierte Personen das Gebäude betreten dürfen, Alarmsysteme, Videoüberwachung Innen/Außen, 24/7 anwesendes Sicherheitspersonal, Alarmanlagen, Sicherung des Gebäudes mit Stacheldraht, Absicherung durch externe Wachdienste, die im Alarmfall über eine dezidierte Alarmleitung automatisch informiert werden.

Die Schlüssel zu den einzelnen Räumen und Cages im Rechenzentrum müssen stets beim Sicherheitspersonal abgeholt werden.

Zugangskontrolle

Um zu gewährleisten, dass Datenverarbeitungssysteme nur durch berechtigte genutzt werden können setzt der Auftragverarbeiter bzw. dessen Unterauftragnehmer zur Verwaltung der Zugangsberechtigungen ein zentrales System ein. Die Zugangsberechtigungen werden durch den technischen Leiter des Auftragsverarbeiters bzw. des Unterauftragnehmers vergeben. Die Verwaltung dieser Zugangsberechtigungen erfolgt durch autorisierte Administratoren.

Ein Fernzugriff auf Server des Auftragverarbeiters zu administrativen Zwecken, z.B. zur Wartung der Systeme, ist nur über verschlüsselte Verbindungen und nach vorheriger Authentifizierung möglich.

Zugriffskontrolle

Um zu gewährleisten, dass die zur Benutzung eines Systems zur Verarbeitung von Daten Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass gespeicherte oder in Verarbeitung befindliche Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, setzt der Auftragverarbeiter ein zentrales System zur Verwaltung der Zugriffsberechtigungen ein. Alle Zugriffe werden lokal und im zentralen Logserver gespeichert. Administrative Rechte sind nur über ein zentrales Verwaltungsprogramm ausführbar.

Der Zugriff auf alle Daten ist bei allen Berechtigten auf das zur konkreten Aufgabenerfüllung notwendige Maß beschränkt. Hierbei werden die gesetzlichen Datenschutzanforderungen, insbesondere solche der Datenschutzgrundverordnung (DSGVO) und des TKG eingehalten.

Trennung

Der Auftragsverarbeiter verarbeitet die Daten auf Serversystemen, die durch ein System logischer und physischer Zugriffskontrollen im Netzwerk logisch getrennt sind.

2. Integrität

Eingabekontrolle

Um zu gewährleisten, dass der Auftragsverarbeiter nachträglich überprüfen und feststellen kann, ob und von wem Daten in den Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind, werden alle Zugriffe auf die gespeicherten Daten des Auftraggebers lokal und im zentralen Logserver protokolliert.

Weitergabekontrolle

Um zu gewährleisten, dass Daten bei der elektronischen Übertragung, während des Transportes oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welchen Stellen die Übertragung von Daten durch Systeme zur Datenübertragung vorgesehen sind, unterliegt der Zugriff auf sämtliche Systeme, die Kundendaten verarbeiten, wirksamen Zugriffskontrollen. Diese Mechanismen zur Zugriffskontrolle sind bereits oben unter 3. näher beschrieben.

3. Verfügbarkeit und Belastbarkeit

Der Auftragsverarbeiter verwendet in allen Systemen eine Kombination aus redundanten Systemen und Backup-Lösungen, um die gespeicherten Daten zu schützen und ggf. wiederherstellen zu können. Diese Systeme werden ausschließlich in nach dem aktuellen Stand der Technik gesicherten und ausgestatteten Räumlichkeiten betrieben, die über die notwendige Klimatisierung, Feuer- und Rauchmeldeanlagen verfügen und für die detailierte Notfallpläne bestehen.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Alle eigenen Mitarbeiter sowie die des Unterauftragnehmers werden regelmäßig zu Themen des Datenschutzes geschult. Diese Schulungen werden komplett inhouse realisiert, sodass eine genaue Abstimmung auf die bei dem Auftragsverarbeiters maßgeblichen Fragen möglich ist. Es werden im Rahmen dieser Schulungen werden auch individuelle Fragen eingehend behandelt.

Alle Mitarbeiter des Auftragsverarbeiters, die im Rahmen ihrer Tätigkeit mit der Verarbeitung personenbezogener Daten in Berührung kommen sind auf den vertraulichen Umgang mit personenbezogenen Daten verpflichtet. Dies geschieht regelmäßig bereits bei der Einstellung neuer Mitarbeiter mittels einer vertraglichen Verpflichtungserklären, die jeder Mitarbeiter abzugeben hat.

Der Auftragsverarbeiter hat einen Beauftragten für den Datenschutz bestellt. Dieser trägt gemeinsam mit seinen Stellvertretern Sorge für die fristgemäße Beantwortung von Anfragen Betroffener.

Der Auftragsverarbeiter unterhält ein Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO. Dieses Verarbeitungsverzeichnis ist nicht öffentlich.

(Stand 10. Mai 2018)