[ Auftragsdatenverarbeitung ]
Informationen gemäß DSGVO über die Verarbeitung personenbezogener Daten im Rahmen unserer Geschäftstätigkeit
Präambel
Diese Informationen konkretisieren die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Sinne des Bundesdaten-schutzgesetzes (nachfolgend: „BDSG“) und der Datenschutz-Grundverordnung (nachfolgend: „DS-GVO“) bei der Inanspruchnahme eines geschlossenen Vertrages. Im Folgenden wird die Deutsche Vergabe-Agentur GmbH "Auftragnehmerin" genannt, der jeweilige Kunde bzw. Vertragspartner wird "Auftraggeberin" genannt.
Die Auftraggeberin hat zur Erfüllung ihrer Aufgaben bei der Beschaffung von Leistungen und Mitteln das Vergaberecht zu beachten. Mit der elektronischen Beschaffung (eVergabe) können Vergabeverfahren vollständig über das Internet und spezielle Vergabeplattformen abgewickelt werden. Die Auftragnehmerin soll dabei als selbständiges Einzelunternehmen die Auftraggeberin bei der formellen, technischen Durchführung von Ausschreibungen im Bereich der eVergabe unterstützen, damit die Auftraggeberin ihre eigenen Kapazitäten besser für die Inhalte der Ausschreibungen einsetzen kann. Die Auftragnehmerin übernimmt also die elektronische Abwicklung des formellen, technischen Vergabeverfahrens einer Ausschreibung. Im Verhältnis zu der Auftraggeberin und den Bietern im Rahmen der Ausschreibungen ist sie als Auftragnehmerin mit der Erhebung, Verarbeitung und Speicherung personenbezogener Daten i.S.d. der datenschutzrechtlichen Vorschriften, insbesondere der DSGVO und des BDSG, beauftragt; Zur Wahrung der Rechte der Betroffenen gemäß den datenschutzrechtlichen Bestimmungen und zur Durchführung der Datenverarbeitung unter Beachtung der einschlägigen Datenschutzbestimmungen treffen die Parteien die vorliegende Vereinbarung.
§ 1 Vertragsgegenstand, Umfang der Datenverarbeitung
(1) Die Zusammenarbeit der Parteien nach Maßgabe des Rahmenvertrages bringt es mit sich, dass die Auftragnehmerin Zugriff auf personenbezogene Daten der Auftraggeberin (nachfolgend "Daten") erhält und diese ausschließlich im Auftrag und nach Weisung der Auftraggeberin im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.
(2) Die Verarbeitung der Daten durch die Auftragnehmerin erfolgt ausschließlich durch das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung oder das Löschen. Der ihr zugrundeliegende Zweck ist dem Rahmenvertrag zu entnehmen.
(3) Von der Verarbeitung betroffen sind die Mitarbeiter der Auftraggeberin, die Mitarbeiter von Erfüllungsgehilfen der Auftraggeberin sowie die Mitarbeiter von den Unternehmen bzw. die Person, die zur Angebotsabgabe bzw. Teilnahme aufgefordert werden.
(4) Es werden die für das Vergabeprojekt erforderlichen Stammdaten verarbeitet, die die Pflichtangaben zu den von der webbasierten Vergabeplattform zu erstellenden Formularen darstellen. Dazu gehören die Kontaktdaten der Auftraggeberin, ihrer Erfüllungsgehilfen sowie der Bieter, die zur Angebotsabgabe aufgefordert werden soll. Unter Kontaktdaten sind der Name der Institution, Anrede, Vor- und Zuname der Ansprechpartner, Abteilung bzw. Funktion, Adresse, Telefon, E-Mailadresse sowie Webadresse zu verstehen. Außerdem werden die von den Bietern übermittelten Daten an die Auftraggeberin weitergegeben.
(5) Der Auftragnehmerin ist eine abweichende oder über die Festlegungen in den vorstehenden Absätzen hinausgehende Verarbeitung von Daten der Auftraggeberin untersagt. Dies gilt auch für die Verwendung anonymisierter Daten.
(6) Die Verarbeitung der Daten der Auftraggeberin findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung der Auftraggeberin und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DS-GVO erfüllt sind.
(7) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Rahmenvertrag in Zusammenhang stehen und bei denen die Auftragnehmerin und ihre Beschäftigten oder durch die Auftragnehmerin Beauftragte mit personenbezogenen Daten in Berührung kommen, die von der Auftraggeberin stammen oder für die Auftraggeberin erhoben wurden.
§ 2 Weisungen der Auftraggeberin
(1) Die Auftragnehmerin verarbeitet die von der Auftraggeberin bereitgestellten Daten einzig in Übereinstimmung mit den Weisungen der Auftraggeberin in Anlehnung an die vertraglichen Leistungen und der in dieser Vereinbarung enthaltenen Regelungen und Bestimmungen.
(2) Die Weisungen der Auftraggeberin werden in der Regel schriftlichen oder in einem dokumentierten elektronischen Format erteilt. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Weisungsberechtigt ist die von der Auftraggeberin jeweils als weisungsberechtigt bestimmte Person. Empfangsberechtigt ist Friedeman Kühn.
Bei einem Wechsel oder einer längerfristigen Verhinderung der weisungs- oder empfangsberechtigten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Die Auftragnehmerin wird der Auftraggeberin einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung bei der Auftraggeberin gelten die benannten Personen weiter als empfangsberechtigt.
(3) die Auftragnehmerin wird die Auftraggeberin unverzüglich darauf aufmerksam machen, wenn eine von der Auftraggeberin erteilte Weisung nach ihrer Meinung gegen datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Die Auftragnehmerin ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den zuständigen Ansprechpartner nach § 16 dieser Vereinbarung nach Überprüfung bestätigt oder geändert wird.
§ 3 Rechte und Pflichten der Auftraggeberin
(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gem. Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein die Auftraggeberin verantwortlich. Gleichwohl ist die Auftragnehmerin verpflichtet, alle solche Anfragen, sofern sie sich erkennbar ausschließlich an die Auftraggeberin richten, unverzüglich an diese weiterzuleiten.
(2) Die Auftragnehmerin stellt die Daten der Auftraggeberin bereit.
(3) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen den Parteien abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
(4) Die Auftragnehmerin hat die Auftraggeberin unverzüglich zu unterrichten, falls bei der Prüfung der Datenverarbeitung oder deren Ergebnissen Störungen, Probleme, Fehler oder Unregelmäßigkeiten oder Verstöße gegen datenschutzrechtliche Bestimmungen festgestellt werden.
§ 4 Allgemeine Pflichten der Auftragnehmerin
(1) Die Auftragnehmerin stellt sicher, dass die Datenverarbeitung in Übereinstimmung mit den datenschutzrechtlichen Vorgaben, insbesondere den Vorgaben des BDSG und der DS-GVO erfolgt.
(2) Die Auftragnehmerin hat sicherzustellen, dass die Verarbeitung der Daten ausschließlich im Namen der Auftraggeberin, in Übereinstimmung mit deren Weisungen und den Bestimmungen dieses Vertrages erfolgt, sofern sie nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem die Auftragnehmerin unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt die Auftragnehmerin der Auftraggeberin diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a) DS-GVO).
(3) Die Auftragnehmerin führt die Verarbeitung und Nutzung der Daten ausschließlich zu den Zwecken durch, zu denen ihr die Daten durch die Auftraggeberin bereitgestellt wurden, insbesondere zu den in dieser Vereinbarung beschriebenen Zwecken. Die Nutzung der Daten für andere als die oben beschriebenen Zwecke ist nicht vorgesehen.
(4) Die Auftragnehmerin darf ohne vorherige schriftliche Zustimmung durch die Auftraggeberin keine weiteren Kopien oder Duplikate der Daten anfertigen, es sei denn, dies ist für die ordnungsgemäße Durchführung des Vertrages erforderlich. Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur Erfüllung von gesetzlichen Auskunfts- oder Aufbewahrungspflichten oder zu Beweissicherungszwecken. Solche Kopien und Duplikate werden von der Auftragnehmerin sorgfältig verwahrt.
(5) Die Auftragnehmerin setzt für die ordnungsgemäße Erfüllung der von der Auftraggeberin in diesem Vertrag niedergelegten Verpflichtungen ausschließlich interne und externe Mitarbeiter ein, die auf das Datengeheimnis schriftlich verpflichtet worden sind.
(6) Die Auftragnehmerin stellt sicher, dass vor Verarbeitung der bereitgestellten Daten die in der Anlage A1 aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DS-GVO implementiert sind. Im Falle einer Unterbeauftragung können die technischen und organisatorischen Maßnahmen der Unterauftragnehmer dem in diesem Verhältnis geschlossenen Auftragsverarbeitungsvertrag entnommen werden, der als weitere Anlage A3 beizufügen ist.
(7) Die Auftragnehmerin erledigt die Anfragen der Auftraggeberin betreffend der Verarbeitung der Daten gemäß diesem Vertrag unmittelbar und ordnungsgemäß.
(8) Die Auftragnehmerin unterstützt die Auftraggeberin bei der Einhaltung der in den Art. 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
(9) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen der Auftragnehmerin, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten der Auftraggeberin durch die Auftragnehmerin, bei ihr im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird die Auftragnehmerin die Auftraggeberin unverzüglich, spätestens aber innerhalb von 24 Stunden [RL1] in Schriftform oder elektronischer Form informieren. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten der Auftraggeberin nach Art. 33 und Art. 34 DS-GVO. Die Auftragnehmerin sichert zu, die Auftraggeberin erforderlichenfalls bei ihren Pflichten nach Art. 33 und Art. 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f) DS-GVO). Meldungen nach Art. 33 oder Art. 34 DS-GVO für die Auftraggeberin darf die Auftragnehmerin nur nach vorheriger Weisung entsprechend § 2 dieser Vereinbarung durchführen.
(10) Die Auftragnehmerin wird im Rahmen des Möglichen Störungen, Schwierigkeiten, Fehler oder Unregelmäßigkeiten unverzüglich, sofern solche bei der Kontrolle der Datenverarbeitung und / oder deren Ergebnisse festgestellt werden, beseitigen.
(11) Die Auftragnehmerin unterstützt die Auftraggeberin bei Kontrollen durch die Aufsichtsbehörde, soweit diese Kontrollen die Datenverarbeitung durch die Auftragnehmerin betreffen. Die Auftragnehmerin wird die Auftraggeberin unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde nach den Vorschriften der DS-GVO informieren. Dies gilt auch, soweit eine zuständige Behörde nach den Art. 83 und 84 DS-GVO bei der Gesellschaft ermittelt.
(12) Etwaige Testdaten müssen bis zur Löschung durch die Auftragnehmerin in Übereinstimmung mit den geltenden Datenschutzvorschriften, auf Anweisung der Auftraggeberin oder bis zur Rückgabe an die Auftraggeberin geheim gehalten werden. Dokumente, die personenbezogene Daten enthalten, dürfen nur auf Anweisung der Auftraggeberin und unter Einhaltung des Datenschutzgesetzes gelöscht werden.
(13) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch die Auftraggeberin, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabwägungen der Auftraggeberin hat die Auftragnehmerin im notwendigen Umfang mitzuwirken und die Auftraggeberin soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 DS-GVO). Die Auftragnehmerin hat die dazu erforderlichen Angaben jeweils unverzüglich an die jeweiligen Ansprechpartner nach § 16 dieser Vereinbarung zu übermitteln.
(14) Die Auftragnehmerin hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn die Auftraggeberin dies mittels einer Weisung verlangt und berechtigte Interessen der Auftragnehmerin dem nicht entgegenstehen.
(15) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den betroffenen darf die Auftragnehmerin nur nach vorheriger Weisung oder Zustimmung der Auftraggeberin erteilen.
(16) Nach Abschluss der vertraglichen Arbeiten bzw. Dienstleistungen hat die Auftragnehmerin sämtliche in ihrem Besitz befindliche sowie an Subunternehmern gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, der Auftraggeberin auf deren Wunsch entweder auszuhändigen oder datenschutzgerecht nach separater Absprache zu löschen bzw. zu vernichten bzw. vernichten zu lassen (Art. 28 Abs. 3 Satz 2 lit. g) DS-GVO). Die Löschung bzw. Vernichtung ist der Auftraggeberin mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
§ 5 Pflichten betreffend das Datengeheimnis, Vertraulichkeitsverpflichtung
(1) Die Auftragnehmerin ist verpflichtet, das Datengeheimnis nach den gesetzlichen Bestimmungen zu wahren.
(2) Die Auftragnehmerin ist verpflichtet, ihre Mitarbeiter, die mit der Verarbeitung von personenbezogenen Daten betraut sind, auf das Datengeheimnis zu verpflichten (Art. 28 Abs. 3 Satz 2 lit.) b und Art. 29 DS-GVO). Die Vertragsparteien verpflichten sich zur strikten Geheimhaltung von Betriebs- und Geschäftsgeheimnissen oder anderen geheimhaltungsbedürftigen Informationen der jeweils anderen Partei. Diese Verpflichtungen behalten über die Laufzeit dieses Vertrages hinaus Gültigkeit.
§ 6 Pflichten betreffend die Datensicherheit
(1) Die Auftragnehmerin verpflichtet sich, die Prinzipien der Datensicherheit zu beachten und deren Einhaltung zu kontrollieren.
(2) Die Auftragnehmerin verpflichtet sich vor Verarbeitung der personenbezogenen Daten zur Implementierung der in der Anlage A1 aufgelisteten technischen und organisatorischen Maßnahmen gem. Art. 32 DS-GVO. Die aufgelisteten Maßnahmen können auf Grund des technischen Fortschritts und der Weiterentwicklung einer Anpassung bedürfen. Die Auftragnehmerin ist berechtigt, adäquate alternative Maßnahmen umzusetzen, sofern sie das in der Anlage A1 festgelegte Sicherheitsniveau nicht unterschreiten. Die durchgeführten Änderungen sind von der Auftragnehmerin zu dokumentieren und der Auftraggeberin auf Anforderung zur Verfügung zu stellen.
§ 7 Berichtigung, Einschränkung, Sperrung und Löschung von Daten, Recht der Betroffenen
(1) Die Auftragnehmerin hat nach Weisung der Auftraggeberin die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren.
(2) Soweit ein Betroffener sich unmittelbar an die Auftragnehmerin zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird sie diesen Antrag unverzüglich an die Auftraggeberin weitergeben.
(3) Für den Fall, dass eine betroffene Person ihre Rechte auf Korrektur, Löschung oder Sperrung von Daten sowie auf Auskunft über die gespeicherten Daten, den Zweck der Speicherung und die Personen und Orte, an die solche Daten regelmäßig übermittelt werden, geltend macht, ist die Auftragnehmerin verpflichtet, die Auftraggeberin als Verantwortliche i.S.d. BDSG sowie der DS-GVO bei der Erfüllung dieser Anforderungen zu unterstützen.
§ 8 Unterauftragsverhältnisse (Art. 28 Abs. 3 Satz 2 lit. d) DS-GVO)
(1) Die Auftragnehmerin ist berechtigt, für die Abwicklung der Dienstleistung nach dieser Vereinbarung Dritte als Unterauftragnehmer einzusetzen. Dem Unterauftragnehmer steht das gleiche Recht der Auftragsweitervergabe zu.
(2) Die Auftragnehmerin hat die vertraglichen Vereinbarungen mit Unterauftragnehmern so zu gestalten, dass sie den in dieser Vereinbarung zwischen den Parteien getroffenen Datenschutzbestimmungen entsprechen. Sie hat ihre Unterauftragnehmer ferner zu verpflichten, die betreffenden Datenschutzbestimmungen bei einer Weitervergabe des Unterauftrages an weitere Unterauftragnehmer auch in diesem Verhältnis zu beachten. Der Vertrag mit dem Unterauftragnehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
(3) Die Auftragnehmerin trägt dafür Sorge, dass sie den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfungsunterlagen dazu sind der Auftraggeberin auf Anfrage zur Verfügung zu stellen.
(4) Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn der Unterauftragnehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
(5) Die Auftragnehmerin informiert die Auftraggeberin unverzüglich über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer, wodurch die Auftraggeberin die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).
(6) Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf – abweichend von § 11 dieser Vereinbarung – nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln) und die Auftraggeberin ausdrücklich damit einverstanden ist.
§ 9 Kontrollrechte der Auftraggeberin
(1) Die Auftraggeberin ist berechtigt, die technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO sowie die Datenverarbeitungsprozesse im Hause der Auftragnehmerin regelmäßig zu prüfen, um sicherzustellen, dass die Prozesse bei der Auftragnehmerin mit den Bedingungen dieser Vereinbarung und insbesondere mit den geltenden Datenschutzbestimmungen übereinstimmen. Die Auftraggeberin führt die Kontrollen nur im erforderlichen Umfang durch und stört die Betriebsabläufe der Auftragnehmerin dabei nicht unverhältnismäßig.
(2) Die Auftragnehmerin verpflichtet sich entsprechend Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO, dem Beauftragten der Auftraggeberin unter Berücksichtigung der betrieblichen Richtlinien des Auftragnehmers Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung aller Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zur Verarbeitung und Nutzung der von der Auftraggeberin bereitgestellten Daten zu ermöglichen, sofern dies nicht durch die Einholung von Auskünften erfolgen kann. Die Auftragnehmerin sichert zudem zu, dass sie, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Auftragnehmerin stellt dem Beauftragten der Auftraggeberin alle für die Kontrolle für notwendig erachteten Informationen zur Verfügung. Die Auftraggeberin muss die Auftragnehmerin innerhalb einer angemessenen Frist über alle zur Durchführung der Inspektion notwendigen Umstände informieren.
(3) Die Inspektion kann durch den Datenschutzbeauftragten der Auftraggeberin oder eine auf Grund berufsständischer Vorschriften zur Verschwiegenheit verpflichteten Person durchgeführt werden.
(4) Gemäß den Bestimmungen des BDSG und der DS-GVO unterliegen die Auftraggeberin und die Auftragnehmerin öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch die Auftraggeberin muss die Auftragnehmerin die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung im gleichen Umfang einräumen, wie die Aufsichtsbehörde Prüfungen bei der Auftraggeberin durchführen darf. Davon umfasst sind Inspektionen im Hause der Auftragnehmerin durch die Aufsichtsbehörde oder von ihr benannten Personen.
(5) Im Falle einer Unterbeauftragung umfasst das Kontroll- und Überprüfungsrecht auch das Recht der Auftraggeberin, von der Auftragnehmerin auf schriftliche Anforderung hin Auskunft über die vertragliche Umsetzung der datenschutzrelevanten Verpflichtungen in Unterauftragsverhältnissen, erforderlichenfalls durch Hinweis auf relevante Vertragsunterlagen, zu erhalten.
§ 10 Laufzeit
(1) Die Laufzeit der Vereinbarung richtet sich nach der Laufzeit des zu Grunde liegenden Rahmenvertrages. Einer gesonderten Kündigung des vorliegenden Vertrages bedarf es insoweit nicht.
(2) Ungeachtet des vorstehenden Absatzes 1 kann die Auftraggeberin diesen Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der Auftragnehmerin gegen Datenschutzbestimmungen oder die Bestimmungen dieses Vertrages vorliegt, die Auftragnehmerin eine Weisung der Auftraggeberin nicht ausführen kann oder will oder die Auftragnehmerin Kontrollrechte die Auftraggeberin vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schwerwiegenden Verstoß dar.
(3) Die Auftragnehmerin ist verpflichtet, nach Beendigung des geschlossenen Vertrages alle im Zusammenhang mit dem Vertrag gespeicherten Daten vollständig datenschutzgerecht zu löschen. Dokumentationen und Kopien der gespeicherten Daten, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Auftragserfüllung dienen, können von der Auftragnehmerin nach den jeweils einschlägigen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.
§ 11 Räumlicher Geltungsbereich
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung der Auftraggeberin und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
§ 12 Haftung
(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zur Auftragnehmerin allein die Auftraggeberin gegenüber dem Betroffenen verantwortlich.
(2) § 12 Abs. 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend.
(3) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 13 Anwendbares Recht, Gerichtsstand, Schlichtungsstelle
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(2) Erfüllungsort und Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit der vorliegenden Vereinbarung ist 24888 Steinfeld.
§ 14 Schriftform
Änderungen dieses Vertrages bedürfen der Schriftform. Das Gleiche gilt für die Änderung des Schriftformerfordernisses.
§ 15 Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt bzw. diese Lücke ausfüllt.
Technische und organisatorische Maßnahmen gem. Art. 32 DS-GVO
Im Folgenden werden die auftragsbezogenen technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die die Auftragnehmerin mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
I. Organisation der Informationssicherheit
n Alarmgesichertes Gebäude
n Alarmgesicherte Büro- und IT-Räume
n Alle IT-Systeme im Haus gegen physische Gefahren gesichert (Wasser, Brand, etc.)
n Regelmäßige Backups aller Daten auf separaten Systemen und Datenträgern
n Inkrementelle tägliche Datenbackups zuzüglich wöchentlicher Komplettbackups
n Monatliche Tests zur Datenwiederherstellung
n Laufende automatische Überwachung lokaler IT-Systeme durch aktuelle Sicherheitstechnologien inklusive Hochsicherheits-Firewalls und aktuelle Antivirus-Software
n Gewährleistung der Datensicherheit durch Systeme für unterbrechungsfreie Stromversorgung und Internetanbindung
II. Personalsicherheit
Ausschließlich vorher über die Anwendung der DSGVO belehrten und geschulten Mitarbeiter der Auftragnehmerin werden mit Aufgaben betraut, die eine Verarbeitung von personen- und projektbezogenen Daten der Auftraggeberin beinhalten.
III. Zugangssteuerung
Ausschließlich Mitarbeiter der Auftragnehmerin haben Zugang zu den Büroräumen und IT-Arbeitsplätzen der Auftragnehmerin.
IV. Kryptographie
Alle lokalen IT-Arbeitsplätze und Systeme sind mit sicheren Passwörtern gegen Zugriff durch Unbefugte geschützt, Passwortvergabe ausschließlich an Mitarbeiter der Auftragnehmerin.
V. Kommunikationssicherheit
Übermittlung von projekt- oder personenbezogenen Daten von der Auftraggeberin per verschlüsselter E-Mail oder Downloadlink einer gesicherten Datenplattform (z.B. WeTransfer), im Einzelfall kann auch eine physische Übermittlung per Datenträger (SD-Karte, USB-Stick) vereinbart werden. Die laufende Projektabstimmung erfolgt grundsätzlich per verschlüsselter E-Mail, mündliche oder telefonische Abstimmung wird umgehend schriftlich dokumentiert und dem jeweils anderen Vertragspartner zur Verfügung gestellt (üblicherweise per verschlüsselter E-Mail).
Zu den angegebenen Bürozeiten der Auftragnehmerin sind die Ansprechpartner für die Auftraggeberin telefonisch, per E-Mail oder postalisch erreichbar. Zusätzlich kann nach gesonderter Vereinbarung die Einrichtung einer Notfall-Hotline erfolgen, über die die Auftraggeberin eine/n Mitarbeiter/in der Auftragnehmerin auch außerhalb der Bürozeiten erreichen kann.
VI. Handhabung von Informationssicherheitsvorfällen
Im Falle eines Sicherheitsvorfalls bezüglich der verarbeiteten Daten informiert die Auftragnehmerin unverzüglich die Auftraggeberin per E-Mail und Anruf über Art und Umfang des Vorfalls. Hierbei wird auch mitgeteilt, welche Maßnahmen im Einzelfall bereits ergriffen worden sind und welche noch folgen werden.
Bei Sicherheitsvorfällen trägt die Auftragnehmerin Sorge für die unverzügliche Sicherung aller verfügbaren Daten und für den Schutz gegen Zugriff durch Dritte. Ein zusätzliches Backup sowie geeignete Maßnahmen zur Abwehr etwaiger Schäden wie Datenverlust oder -Korruption (z.B. erweiterter Virenscan, Hinzuziehung eines externen IT-Sicherheitsexperten nach Abstimmung mit der Auftraggeberin) werden dokumentiert und der Auftraggeberin mitgeteilt.
VII. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1. Zutrittskontrolle
Der Zutritt zu sämtlichen Datenverarbeitungsanlagen der Auftragnehmerin ist mittels physischer Schließanlage und durch ausschließlichen Zugang durch die Geschäftsführung der Auftragnehmerin auf berechtigte Personen beschränkt.
2. Zugangskontrolle
Keine unbefugte Systembenutzung möglich, da alle IT-Systeme durch hochsichere Passwörter und zusätzliche biometrische Sicherungen geschützt sind.
3. Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems möglich, da die verarbeiteten Daten ausschließlich auf Passwort und Biometrie geschützten Systemen gespeichert werden.
4. Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, ist gewährleistet, da die Projektdaten mandantenweise getrennt auf der Online-Plattform gesichert werden, die administrativen Daten hingegen auf den gesicherten IT-Systemen in den Räumen des Auftragnehmers.
VIII. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
1. Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport gewährleistet durch passwortgeschützte Übertragung zu Download-Servern bzw. durch verschlüsselte e-Mailübertragung zwischen persönlichen Postfächern bei Auftraggeberin und Auftragnehmerin.
2. Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, ist gewährleistet, da der Zugriff auf diese Daten auf den Weisungsempfänger und seine ausdrücklich Bevollmächtigten begrenzt ist.
IX. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1. Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust ist gewährleistet durch regelmäßige Backups der eingesetzten Systeme.
2. Belastbarkeitskontrolle
Fähigkeit der Systeme, mit risikobedingten Veränderungen umzugehen und Aufweisen einer Toleranz und Ausgleichsfähigkeit gegenüber Störungen, ist gesichert durch technische Verfügbarkeitssicherung mittels USV-Technologie und getrennte Arbeits- und Backupsysteme.
X. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Alle lokal bei der Auftragnehmerin gespeicherten Daten werden mit üblichen Backupsystemen abgesichert und können im Falle eines Verlusts auch wieder in lesbarer Form zur weiteren Bearbeitung wiederhergestellt werden.
Die Auftragnehmerin stellt der Auftraggeberin auf Anfrage jederzeit eine Übersicht der über die Auftraggeberin lokal bei der Auftragnehmerin gespeicherten personenbezogenen Daten und über die erfolgten Datenschutzmaßnahmen in lesbarer Form zur Verfügung. Die Auftraggeberin hat zu jedem Zeitpunkt eigenen Zugriff auf die in der Online-Plattform gespeicherten personen- und projektbezogenen Daten.