Zuletzt aktualisiert: Juni 2022
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
Der Auftraggeber (insbesondere Hausverwaltungen, Vermieter, Handwerker und andere) und der Auftragnehmer, Plentific GmbH, Lobeckstr. 36-40, 10969 Berlin, Deutschland, schließen den folgenden Vertrag zur Auftragsverarbeitung gemäß Art. 28 der europäischen Datenschutz-Grundverordnung (DSGVO) (nachfolgend auch „Vertrag“ genannt). Der Auftragnehmer verarbeitet auf Grundlage eines zwischen den Parteien bestehenden Vertragsverhältnisses (nachfolgend auch „Vertragsverhältnis“ genannt) verarbeitet der Auftragnehmer als„ Auftragsverarbeiter i. S. d. DSGVO“ personenbezogene Daten im Rahmen der Erbringung ihres Services für den Auftraggeber. Das Vertragsverhältnis wird zum einen durch Abschluss des Dienstleistungsvertrags (insbesondere unter Einbeziehung der Kunden AGB, nachfolgend zusammen auch „Hauptvertrag“ genannt) begründet. Zum anderen entsteht das Vertragsverhältnis zwischen dem Auftragnehmer und dem Auftraggeber mit der Registrierung des Auftraggebers zum Service des Auftragnehmers auf der Webseite des Auftragnehmers (insbesondere bestehend aus den Handwerksunternehmen-AGB). Die sich jeweils daraus ergebenden datenschutzrechtlichen Rechte und Verpflichtungen der Parteien werden durch diesen Auftragsverarbeitungsvertrag konkretisiert. Die Anlagen zu diesem Vertrag sind Bestandteil des Vertrags. Die Bestimmungen dieses Vertrags finden Anwendung auf alle Tätigkeiten, die mit den zwischen den Parteien bestehenden Vertragsverhältnisses in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
§ 1 Begriffsbestimmungen
Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung ist gemäß Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
„Verletzung des Schutzes personenbezogener Daten“ ist gemäß Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Subunternehmer ist, wer vom Auftragnehmer zur Erfüllung dieser vertraglichen Verpflichtungen unter Begründung eines Unterauftragsverhältnisses beauftragt wurde.
Endkunden sind die Mieter und andere Nutzer der Immobilien des Auftraggebers sowie deren Rechtsnachfolger.
§ 2 Gegenstand und Dauer der Verarbeitung
Zwischen dem Auftraggeber und Auftragnehmer (siehe Vorbemerkung) ist durch Abschluss einer Vereinbarung (Hauptvertrag) bzw. durch die Registrierung des Auftraggebers zum Service des Auftragnehmers ein Vertragsverhältnis begründet worden. Danach erbringt der Auftragnehmer für den Auftraggeber in dessen Verantwortungsbereich bestimmte Leistungen in Gestalt der Vermittlung von Handwerkerleistungen für Endkunden des Auftraggebers. Die Einzelheiten ergeben sich aus dem Hauptvertrag bzw. den Handwerksunternehmen-AGB. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten (nachstehend „Daten“ genannt) und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
Die Dauer dieses Vertrags entspricht der Laufzeit des Vertragsverhältnisses. Den Parteien steht das Recht zur außerordentlichen Kündigung dieses Vertrags gemäß § 314 BGB zu.
§ 3 Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten in dem Maße, wie es für die Erbringung des Services gemäß dem jeweiligen Vertragsverhältnis erforderlich ist, und wie es der Auftraggeber bei der Nutzung des Dienstes anweist.
§ 4 Art der personenbezogenen Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
Vor- und Nachname
Kontaktdaten (Adresse, Postleitzahl, Telefonnummer, E-Mail-Adresse)
IP-Adresse
Bilder/ Fotos
Gerätekennung und Browser
§ 5 Kreis der betroffenen Personen
Bei den durch die Verarbeitung betroffenen Personen handelt es sich um:
Auftraggeber, soweit diese natürliche Personen sind,
Endkunden nach § 1 g) dieses Vertrags
Mitarbeiter des Auftraggebers
§ 6 Rechte und Pflichten des Auftraggebers
Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich und somit Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO.
Weisungsrecht:
(1) Der Auftragnehmer darf Daten nur im Rahmen des Vertragsverhältnisses und gemäß den Weisungen des Auftraggebers verarbeiten, erheben oder nutzen. Dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, - abgesehen von den weisungsbedingten - zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber dies rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen über die Art und den Umfang der Verarbeitung der personenbezogenen Daten an den Auftragnehmer schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Kontrollrecht:
(1) Vor Beginn des Auftrages und der damit verbundenen Datenverarbeitung und im Anschluss regelmäßig ist der Auftraggeber berechtigt, nach rechtzeitiger vorheriger Anmeldung (mind. 2 Wochen) zu den üblichen Geschäftszeiten, sich von der Einhaltung der bei dem Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
(2) Der Auftragnehmer erklärt sich damit einverstanden, dass sich der Auftraggeber jederzeit nach vorheriger Ankündigung von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO im erforderlichen Umfang selbst oder durch Dritte überzeugen kann, dies insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Systeme sowie sonstige Kontrollen vor Ort.
(3) Auf Verlangen des Auftraggebers weist der Auftragnehmer die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis durch die Vorlage eines aktuellen Testats oder Berichts (wie z.B. Wirtschaftsprüfer, Datenschutzbeauftragter, Revisor oder einem Datenschutzauditor) und gegebenenfalls einer geeigneten Zertifizierung (z.B. nach BSI-Grundschutz, oder nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO) oder die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO erbracht werden. Die Kontrollrechte des Auftraggebers bleiben hiervon unberührt
(4) Zu Ermöglichung der Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
§ 7 Pflichten des Auftragnehmers
Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich weisungsgemäß bzw. aus rechtlicher Verpflichtung und nach den Vorgaben dieses Vertrages zu verarbeiten. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutzfolgenabschätzung und vorherige Konsultationen.
Sofern sich eine betroffene Person unmittelbar an den Auftragnehmer mit der Wahrnehmung ihrer Betroffenenrechte wendet, hat dieser dieses Ersuchen unverzüglich an den Auftraggeber weiterzuleiten.
Bei der Gewährung der Rechte der Betroffenen gemäß Art. 15 ff. DSGVO (Berichtigung, Einschränkung der Verarbeitung, Löschung, Benachrichtigung und Auskunftserteilung) wird der Auftragnehmer den Auftraggeber auf erstes Anfordern im Rahmen seiner Möglichkeiten unterstützen. Der Auftragnehmer wird hierfür geeignete technische und organisatorische Maßnahmen treffen. Der Auftragnehmer hat auf Weisung die personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken.
Sollte die im Auftrag des Auftraggebers erhobenen Daten Gegenstand eines Verlangens auf Datenportabilität gemäß Art. 20 DSGVO sein, wird der Auftragnehmer dem Auftraggeber den betreffenden Datensatz unverzüglich auf Anforderung in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
Ist der Auftragnehmer der Ansicht, dass eine erteilte Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder abgeändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
Der Auftragnehmer ist (1) jederzeit nach Aufforderung durch den Auftraggeber, (2) nach Abschluss der vertraglich vereinbarten Arbeiten, (3) spätestens jedoch mit Beendigung des Vertragsverhältnisses, verpflichtet, nach Wahl des Auftraggebers sämtliche in seinen Besitz gelangten personenbezogenen Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, sei es in Form von Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnissen oder in Form von Datenbeständen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder diese nach vorheriger schriftlicher Zustimmung des Auftraggebers datenschutz- und datensicherheitskonform sowie gemäß den Weisungen zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Dies betrifft auch etwaige Datensicherungen und Kopien beim Auftragnehmer. Die datenschutz- und datensicherheitskonforme Löschung ist zu dokumentieren mit Datumsangabe dem Auftraggeber schriftlich zu bestätigen.
Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Sofern der Auftragnehmer im Zusammenhang mit den Leistungen für den Auftraggeber an der Erbringung geschäftsmäßiger Telekommunikationsdienste mitwirkt, ist er verpflichtet, die hieran beteiligten Beschäftigten schriftlich auf das Fernmeldegeheimnis gemäß dem Telekommunikationsgesetz zu verpflichten.
Der Auftragnehmer bestätigt, dass er, sofern die Voraussetzungen dafür vorliegen, gemäß Art. 37 DSGVO einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragnehmers ist:
RA Philipp Heindorff
Fresh Compliance GmbH
Schlesische Str. 26, 10997 Berlin
E-mail: dsb@freshcompliance.de
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich schriftlich informieren. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
Der Auftragnehmer wird den Auftraggeber unverzüglich nach Ankündigung oder Kenntniserlangung über die Durchführung der Kontrollmaßnahme sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehörde, insbesondere auch, wenn diese im Rahmen einer vorherigen Konsultation gem. Art. 36 DSGVO erfolgen, informieren, soweit die Maßnahmen oder Anfragen Datenverarbeitungen betreffen können, die der Auftragnehmer für den Auftraggeber erbringt. Der Auftragnehmer und der Auftraggeber arbeiten auf Anfrage mit der Datenschutzaufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen.
§ 8 Leistungsort
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf insbesondere dann vorgenommen werden, wenn die Kommission nach Art. 45 DSGVO dort ein angemessene Schutzniveau durch Angemessenheitsbeschluss festgestellt hat. Falls kein derartiger Beschluss nach Art. 45 Abs. 3 DSGVO vorliegt, darf der Auftraggeber oder der Auftragnehmer personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Auftragnehmer oder der Auftraggeber geeignete Garantien gemäß § 46 DSGVO vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
§ 9 Unterauftragsverhältnisse
Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer hat der Auftragnehmer den Auftraggeber hierüber schriftlich oder in Textform zu informieren.
Der Auftraggeber kann der beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der vom Auftraggeber bezeichneten Stelle Einspruch zu erheben. Erfolgt kein Einspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftraggeber ein Sonderkündigungsrecht eingeräumt.
Der Auftragnehmer haftet für Subunternehmer wie für eigene Erfüllungsgehilfen.
Der Auftragnehmer hat bei der Einschaltung von Subunternehmern entsprechend den Regelungen dieser Vereinbarung (insbesondere Geheimhaltungspflicht) zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau i. S. d. Art. 44 ff. DSGVO gewährleistet ist.
Der Auftraggeber stimmt der Beauftragung der unter https://4781632.fs1.hubspotusercontent-na1.net/hubfs/4781632/Plentific%20-%20List%20of%20sub-processors.pdf aufgelisteten Subunternehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO zu.
Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen und Telekommunikationsdienstleistungen ohne konkreten Bezug zur Leistung, die der Auftragnehmer für den Auftraggeber erbringt.
§ 10 Technische und organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Eine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers ist ausgeschlossen.
Der Auftragnehmer ist verpflichtet, die Grundsätze ordnungsgemäßer Datenverarbeitung gem. Art 32 i.V.m Art. 5 Abs. 1 DSGVO einzuhalten. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen, mit denen eine angemessene Pseudonymisierung und Verschlüsselung gewährleistet werden kann, sowie Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sind ausführlich in der Anlage zu diesem Vertrag dargestellt und sind Vertragsbestandteil.
§ 11 Haftung
Der Auftragnehmer haftet gegenüber dem Auftraggeber gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diesen Vertrag oder die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen.
Für den Ersatz von Schäden, die ein Betroffener aufgrund einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Aufraggeber gegenüber dem Betroffenen verantwortlich. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei den Betroffenen eingetreten ist, verantwortlich ist.
§ 12 Schlussbestimmungen
Die Regelungen in dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags bzw. der Handwerksunternehmen-AGB vor.
Sollte eine Bestimmung dieses Vertrags unwirksam oder nicht durchsetzbar sein oder werden, oder im Falle des Auftretens einer Regelungslücke, so wird hierdurch die Gültigkeit der übrigen Bestimmungen dieses Vertrags nicht berührt. Die fehlende, unwirksame oder nicht durchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ergänzen bzw. zu ersetzen, welche dem ursprünglichen wirtschaftlichen Zweck der zu ersetzenden Bestimmung am nächsten kommt. Es ist der explizite Wille der Parteien, dass diese salvatorische Klausel nicht nur die Beweislast umkehren soll, sondern § 139 BGB vollständig abbedungen wird, dieser Vertrag also trotz der unwirksamen Bestimmung oder Regelungslücke aufrechterhalten wird.
Dieser Vertrag unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Berlin.
Sofern der Zugriff auf die Daten durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragnehmer den Auftraggeber unverzüglich hierüber zu benachrichtigen.
ANLAGE - Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau im Rahmen des Datenschutzes und der Datensicherheit des vorliegenden Auftragsverhältnisses zu gewährleisten. Der Auftragnehmer sichert insbesondere die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Systeme bzw. Anwendungen zu und setzt hierzu u.a. die nachfolgenden Maßnahmen um.
Maßnahmen zur Sicherung der Vertraulichkeit
Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren:
☒ Alarmanlage
☒
Absicherung von Gebäudeschächten
☒ Automatisches Zugangskontrollsystem
☒
Chipkarten-/Transponder-Schließsystem
☒ Schließsystem mit Codesperre
☒
Manuelles Schließsystem
☐ Biometrische Zugangssperren
☒
Videoüberwachung der Zugänge
☐ Lichtschranken / Bewegungsmelder
☒
Sicherheitsschlösser
☒ Schlüsselregelung (Schlüsselausgabe etc.)
☒
Personenkontrolle beim Pförtner / Empfang
☒ Protokollierung der Besucher
☒
Sorgfältige Auswahl von Reinigungspersonal
☒ Sorgfältige Auswahl von Wachpersonal
☐
Tragepflicht von Berechtigungsausweisen
Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können:
☒
Zuordnung von Benutzerrechten
☒
Erstellen von Benutzerprofilen
☒
Passwortvergabe
☐
Authentifikation mit biometrischen Verfahren
☒
Authentifikation mit Benutzername / Passwort
☒
Zuordnung von Benutzerprofilen zu IT-Systemen
☒
Gehäuseverriegelungen
☐
Einsatz von VPN-Technologie
☒
Sperren von externen Schnittstellen (USB etc.)
☒
Sicherheitsschlösser
☒
Schlüsselregelung (Schlüsselausgabe etc.)
☒
Personenkontrolle beim Pförtner / Empfang
☒
Protokollierung der Besucher
☒
Sorgfältige Auswahl von Reinigungspersonal
☒
Sorgfältige Auswahl von Wachpersonal
☐
Tragepflicht von Berechtigungsausweisen
☒
Einsatz von Intrusion-Detection-Systemen
☒
Verschlüsselung von mobilen Datenträgern
☒
Verschlüsselung von Smartphone-Inhalten
☒
Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
☒
Einsatz von Anti-Viren-Software
☒
Verschlüsselung von Datenträgern in Laptops / Notebooks
☒
Einsatz einer Hardware-Firewall
☒
Einsatz einer Software-Firewall
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
☒
Verwaltung der Rechte durch Systemadministrator
☒
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
☒
Sichere Aufbewahrung von Datenträgern
☒
Ordnungsgemäße Vernichtung von Datenträgern (DIN 32757)
☒
Protokollierung der Vernichtung
Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist:
☒
Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
☒
Logische Mandantentrennung (softwareseitig)
☒
Erstellung eines Berechtigungskonzepts
☒
Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
☒
Versehen der Datensätze mit Zweckattributen/Datenfeldern
☒
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
☒
Festlegung von Datenbankrechten
☒
Trennung von Produktiv- und Testsystem
e) Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
2. Maßnahmen zur Sicherung der Integrität
Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist:
☒
Einrichtungen von Standleitungen bzw. VPN-Tunneln
☒
Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
☒
E-Mail-Verschlüsselung
☒
Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
☒
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
☒
Beim physischen Transport: sichere Transportbehälter/-verpackungen
☒
Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:
☒
Protokollierung der Eingabe, Änderung und Löschung von Daten
☒
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
☒
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
☒
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
☒
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
3. Maßnahmen zur Sicherung der Verfügbarkeit
Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
☒
Unterbrechungsfreie Stromversorgung (USV)
☒
Klimaanlage in Serverräumen
☒
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
☒
Schutzsteckdosenleisten in Serverräumen
☒
Feuer- und Rauchmeldeanlagen
☒
Feuerlöschgeräte in Serverräumen
☒
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
☒
Erstellen eines Backup- & Recoverykonzepts
☒
Testen von Datenwiederherstellung
☒
Erstellen eines Notfallplans
☒
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
☒
Serverräume nicht unter sanitären Anlagen
☒
In Hochwassergebieten: Serverräume über der Wassergrenze
4. Maßnahmen zur Sicherung der Belastbarkeit
Maßnahmen, die die Überprüfung einer datenschutzkonformen und sicheren Verarbeitung kontinuierlich sicherstellen:
☒
Schwachstellenanalysen
☐
Pen-Tests
☒
Informationssicherheits-/Datenschutzmanagement
☒
Meldeprozesse zu Datenschutz-/Informationssicherheitsvorfällen
