Anlage 15.2 – AUFTRAGSDATENVERARBEITUNGSVERTRAG
Diese Vereinbarung wird zwischen den Parteien als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen Regelungen gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) getroffen und konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem mit dem Provider geschlossenen Vertrag ergeben.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO zugrunde gelegt. Der Provider wird nachfolgend als „Auftragnehmer“ bezeichnet, der Kunde nachfolgend „Auftraggeber“.
Vertragsgegenstand
Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Bereitstellung, Weiterentwicklung und Pflege der cloudbasierten SaaS-Anwendung „BIMcosmos“ auf Grundlage der Nutzungsbedingungen (nachfolgend: „Hauptvertrag“). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag sowie den dazugehörigen Anlagen. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien den vorliegenden Vertrag (nachfolgend: „diese Vereinbarung“). Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
Art der verarbeiteten Daten, Kreis der Betroffenen
Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf personenbezogenen Daten. Diese Daten umfassen:
Anrede, Vorname, Nachname, E-Mail, Telefon, Mobile, Unternehmensdaten, Straße, Hausnummer, Postfach, Land, Server-Domain, Sprache, Berufsbezeichnung, Bank- und Kontaktdaten von Mandanten des Auftraggebers;
Name und Kontaktdaten der Beschäftigten des Auftraggebers;
weitere Daten von Dritten, die vom Auftraggeber in der Software verarbeitet werden;
ggf. Daten besonderer Kategorien gem. Art. 9 DSGVO, aus denen die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Gesundheitsdaten oder Daten zum Sexualleben oder der
sexuellen Orientierung eines Betroffenen
Kreis der von der Datenverarbeitung Betroffenen:
der Auftraggeber und seine Mitarbeiter und Beschäftigten;
Projektparteien und deren Mitarbeiter;
Dritte, die Zugang zu der Software erhalten.
Laufzeit
Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
Weisungsrecht
Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.
Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden.
Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
Allgemeine Pflichten und Schutzmaßnahmen des Auftragnehmers, Vertraulichkeit
Der Auftragnehmer gestaltet sein Unternehmen und seine Betriebsabläufe so, dass die Daten, die er im Zusammenhang mit dem Hauptvertrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Dies gilt nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einer spürbaren Beeinträchtigung für die Rechte und Freiheiten natürlicher Personen führt.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
Der Auftragnehmer wird seinen Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 33-36 DSGVO genannten Pflichten, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO. Dem Auftraggeber sind diese in der im Anhang 15.1 zu dieser Vereinbarung dargestellten, technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
Der Auftragnehmer hat einen betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG benannt.
Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.
Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird seine Beschäftigten und durch ihn Beauftragte, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrags betraut werden, entsprechend verpflichten und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der getroffenen Vereinbarungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle im Sinne des Absatz 1 erforderlich sind.
Für die Ermöglichung der Kontrollrechte durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.
Unterauftragsverhältnisse
Der Auftraggeber stimmt zu, dass der Auftragnehmer die in Anhang 15.2 genannten Subunternehmer zur Erfüllung der vertraglich vereinbarten Leistungen hinzuzieht. Vor Hinzuziehung weiterer oder Ersetzung der bisherigen Subunternehmer informiert der Auftragnehmer den Auftraggeber. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten.
Der Auftraggeber kann der Änderung innerhalb einer angemessenen Frist und aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben.
Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln und ggf. Schaffung weiterer Garantien).
Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
Anfragen und Rechte Betroffener
Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen darin, der Pflicht des Auftraggebers zur Beantwortung und Erfüllung von Anfragen von Betroffenen nach den Art. 12 – 23 DSGVO nachzukommen, soweit der Auftraggeber insoweit auf Unterstützung angewiesen ist.
Haftung
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer allein der Auftraggeber gegenüber dem Betroffenen verantwortlich.
Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Die Freistellung setzt voraus, dass ein Vergleich oder ein Anerkenntnis über Ansprüche Dritter nur mit vorheriger schriftlicher Zustimmung der jeweils anderen Vertragspartei erfolgt.
Beendigung des Hauptvertrages
Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger, sowie erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, zurückgeben, soweit der Auftraggeber darauf nicht selbst Zugriff hat oder nehmen kann, oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung bei Vertragsbeendigung noch vorhandener Daten zu führen.
Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
Diverse Einzelklauseln
Änderungen und Ergänzungen dieses Vertrages sowie ein Verzicht auf ein Recht aus diesem Vertrag bedürfen zu ihrer Wirksamkeit der Schriftform, soweit nicht eine strengere Form gesetzlich vorgeschrieben ist. Die vorstehenden Regelungen gelten auch für den Verzicht auf das Schriftformerfordernis gemäß diesem Absatz.
Dieser Vertrag (samt Anlagen) gibt die Vereinbarungen zwischen den Parteien hinsichtlich des Vertragsgegenstands vollständig wieder; Nebenabreden sind nicht getroffen. Alle bisherigen Abreden der Parteien im Zusammenhang mit dem Vertragsgegenstand werden durch diesen Vertrag ersetzt.
Sollten sich einzelne Bestimmungen dieses Vertrags als ungültig erweisen, so wird dadurch die Gültigkeit des Vertrages im Übrigen nicht berührt. In einem solchen Fall sind die Parteien verpflichtet, die ungültige Bestimmung durch diejenige gesetzlich zulässige zu ersetzen, die den Zweck der ungültigen Bestimmung, insbesondere das, was die Parteien gewollt haben, in der weitestgehend möglichen Annäherung erreicht. Entsprechendes gilt, wenn sich bei Durchführung des Vertrags eine ergänzungsbedürftige Lücke ergeben sollte.
Für jede Mitteilung, Erklärung, Unterrichtung und andere Kommunikation, die nach diesem Vertrag schriftlich erfolgen muss, genügt für deren wirksame Abgabe, soweit nicht ausdrücklich anderweitig bestimmt, die Übermittlung einer unterzeichneten Erklärung als PDF-Kopie oder sonstige elektronische Kopie per E-Mail.
Soweit nicht in diesem Vertrag oder in zwingenden gesetzlichen Bestimmungen etwas anderes vorgesehen ist, ist keine Partei berechtigt, ohne vorherige schriftliche Zustimmung des anderen Vertragspartners seine Rechte aus diesem Vertrag an einen Dritten ganz oder teilweise abzutreten oder sonst zu übertragen.
Dieser Vertrag begründet keine Rechte Dritter. Dieser Vertrag begründet keine Art von Gesellschaft zwischen den Parteien oder gesellschaftsgleicher Pflichten.
Auf diesen Vertrag ist ausschließlich deutsches Recht unter Ausschluss des internationalen Privatrechts sowie des Kollisionsrechts anwendbar.
Gerichtsstand für sämtliche Streitigkeiten aus diesem Vertrag ist Hamburg, soweit dies zulässig vereinbart werden kann.
Anhang 15.1 – Technische und organisatorische Maßnahmen des Auftragnehmers zum Datenschutz gemäß Art. 32 DSGVO
Der Auftragnehmer ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO einzuhalten:
Einleitung
Gegenstand des Dokuments
Dieses Dokument fasst die vom Auftragnehmer getroffenen technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO zusammen. Das sind Maßnahmen, mit denen der Auftragnehmer personenbezogene Daten schützt. Das Dokument hat den Zweck, den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu unterstützen.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
Arbeit im Home Office: Unbefugte haben kein Zutritt zur Wohnstätte der Mitarbeiter
Arbeit im Home Office: Anweisung an Mitarbeiter, wenn möglich, in von Wohnräumen abgetrennten Arbeitszimmer zu arbeiten
Zugangskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:
Authentifikation mit Benutzer und Passwort
Einsatz von Anti-Viren-Software
Einsatz von Firewalls
Automatische Desktopsperre
Erstellen von Benutzerprofilen
Nutzung von 2-Faktor-Authentifizierung
Allgemeine Unternehmens-Richtlinie zum Datenschutz oder zur Sicherheit
Zugriffskontrolle
Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:
Anzahl der Administratoren ist so klein wie möglich gehalten
Verwaltung der Benutzerrechte durch Systemadministratoren
Trennungskontrolle
Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:
Trennung von Produktiv- und Testsystem
Logische Mandantentrennung (softwareseitig)
Festlegung von Datenbankrechten
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
E-Mail-Verschlüsselung
WLAN-Verschlüsselung (WPA2 mit starkem Passwort)
Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
Protokollierung der Eingabe, Änderung und Löschung von Daten
Klare Zuständigkeiten für Löschungen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
Regelmäßige Backups
Erstellung eines Backup- & Recoverykonzepts
Hosting (jedenfalls der wichtigsten Daten) mit einem professionellen Hoster
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
Verwendung der heyData-Plattform zum Datenschutz-Management
Bestellung des Datenschutzbeauftragten heyData
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Regelmäßige Schulungen der Mitarbeiter im Datenschutz
Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
Einsatz von Anti-Viren-Software
Einsatz von Firewalls
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien “Privacy by design” und “Privacy by default” Rechnung:
Schulung der Mitarbeiter im “Privacy by design” und “Privacy by default”
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:
Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)
Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)
Laufende Überprüfung von Auftragnehmern und ihren Tätigkeiten
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
Anhang 15.2: Genehmigte Unterauftragnehmer
Die nachfolgenden Unternehmen sind genehmigte Unterauftragnehmer im Sinne der Ziff. 7:
Name | Betreibergesellschaft, Anschrift | Ort der Datenverarbeitung | Einsatzbereich i. R. d. Vertrags | Betroffene |
---|---|---|---|---|
Microsoft Cloud | Microsoft Ireland Operations Ltd.*, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland | Server in der Europäischen Union |
Hosting | Kunden, Projektparteien und Mitarbeiter des Kunden oder der Projektparteien |