Vereinbarung
zur Auftragsverarbeitung Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung
(DSGVO)
zwischen
Claudia Seifert
Akazienweg 22
67122 Altrip
06236/39100
als Auftraggeber
und
Sitz der Aktiengesellschaft:
Strato AG
Pascalstraße 10
10587 Berlin Telefon:
030-300 146 0
als Auftragnehmer
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten
der Parteien im Rahmen der Leistungserbringung gemäß
Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag),
soweit eine Verarbeitung von personenbezogenen Daten durch den
Auftragnehmer als Auftragsverarbeiter für den Auftraggeber
gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten,
die der Auftragnehmer zur Erfüllung des Auftrags erbringt
und die eine Auftragsverarbeitung darstellen. Dies gilt auch,
sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung
zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten
Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen
im Sinne der DSGVO zur Erfüllung des Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich
vereinbarten Leistung im Bereich Cloud-Dienstleistungen, Hosting,
Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber
durch die Produktwahl, die Konfiguration, die Nutzung der Dienste
und die Übermittlung von Daten.
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber
durch die Produktwahl, die Konfiguration, die Nutzung der Dienste
und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für
die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze,
insbesondere für die Rechtmäßigkeit der Datenweitergabe
an den Auftragnehmer sowie für die Rechtmäßigkeit
der Datenverarbeitung allein verantwortlich (»Verantwortlicher«
im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick
auf die in dieser Vereinbarung geregelten Zwecke und Mittel
der Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag
festgelegt und können vom Auftraggeber danach in schriftlicher
Form oder in einem elektronischen Format (Textform) durch einzelne
Weisungen geändert werden (Einzelweisung).
Mündliche Weisungen sind unverzüglich schriftlich
oder in Textform zu bestätigen. Weisungen, die im Vertrag
nicht vorgesehen sind, werden als Antrag auf Leistungsänderung
behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer
dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten
Leistungen, insbesondere die Möglichkeit der Leistungserbringung,
Termine und Vergütung ergeben. Ist dem Auftragnehmer die
Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer
berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit
liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur
erbracht werden, die von mehreren Auftraggebern / Kunden des
Auftragnehmers genutzt wird (Shared Services), und eine Änderung
der Verarbeitung für einzelne Auftraggeber nicht möglich
oder nicht zumutbar ist.
Vereinbarung zur Auftragsverarbeitung
4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich
in einem Mitgliedsstaat der Europäischen Union,
in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum oder einem Land außerhalb der EU („Drittland“),
wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt
sind, statt, soweit nicht etwas anderes vereinbart ist, z.B.
über die Produktbeschreibung der beauftragten Leistung.
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei
Registrierungsstellen, die ihren Sitz in einem Drittland haben
(außerhalb der Europäischen Union und des Europäischen
Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer
personenbezogene Daten - unter Beachtung der zwingend anwendbaren
Vorschriften – an diese Registrierungsstellen übermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer
berechtigt ist, personenbezogene Daten - unter Beachtung der
zwingend anwendbaren Vorschriften zur Leistungserbringung in
einem Drittland zu übermitteln. Dies ist insbesondere der
Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters
ist, der diesen Dienst ganz oder teilweise in einem Drittland
erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur
im Rahmen des Auftrages und der dokumentierten Weisungen des
Auftraggebers verarbeiten außer es liegt ein Ausnahmefall
im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung
nach dem Recht der Europäischen Union oder eines Mitgliedstaates).
Der Auftragnehmer informiert den Auftraggeber unverzüglich,
wenn er der Auffassung ist, dass eine Weisung gegen anwendbare
Gesetze verstößt. Der Auftragnehmer darf die Umsetzung
der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt
oder abgeändert wurde.
5.2. Der Auftragnehmer unterstützt angesichts der Art der
Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten
technischen und organisatorischen Maßnahmen bei der Erfüllung
der Ansprüche der betroffenen Personen nach Kapitel III
der
DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen
eine angemessene Vergütung vom Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter
Berücksichtigung der Art der Verarbeitung und der ihm zur
Verfügung stehenden Informationen bei der Einhaltung der
in den Artikeln 32 bis 36 DS-GVO genannten Pflichten. Der Auftragnehmer
ist berechtigt, für diese Leistungen eine angemessene Vergütung
vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der
Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter
und anderen für den Auftragnehmer tätigen Personen
untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
Ferner
gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung
der personenbezogenen Daten befugten Personen zur Vertraulichkeit
verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen. Gleiches gilt für das Fernmeldegeheimnis nach
§ 88 TKG und – in Kenntnis der Strafbarkeit –
für die Wahrung von Geheimnissen der Berufsgeheimnisträger
nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht
besteht auch nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich,
wenn ihm Verletzungen des Schutzes personenbezogener Daten des
Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen
Maßnahmen zur Sicherung der Daten und zur Minderung möglicher
nachteiliger Folgen für die betroffenen Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung
eines Datenschutzbeauftragten, der seine Tätigkeit gemäß
Art. 38 und 39 DS-GVO ausübt. Eine Kontaktmöglichkeit
wird auf der Webseite des Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen
löscht der Auftragnehmer nach Wahl des Auftraggebers entweder
alle personenbezogenen Daten oder gibt sie dem Kunden zurück,
sofern nicht nach dem Unionsrecht oder nach dem anwendbaren
Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung
der personenbezogenen Daten besteht oder sich aus jeweiligen
vertraglichen Vereinbarungen etwas anderes ergibt. Macht der
Auftraggeber von diesem Wahlrecht keinen Ge-
brauch, gilt die Löschung als vereinbart. Wählt der
Auftraggeber die Rückgabe, kann der Auftragnehmer eine
angemessene Vergütung verlangen.
5.8. Machen betroffene Person Schadensersatzansprüche nach
Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den
Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner
Möglichkeiten. Der Auftragnehmer kann hierfür eine
angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich
und vollständig zu informieren, wenn er bei der Durchführung
des Auftrags Fehler oder Unregelmäßigkeiten bzgl.
datenschutzrechtlicher Bestimmungen feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber,
diejenigen personenbezogenen Daten vor Vertragsbeendigung zu
löschen, die er in den Diensten gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber
einen Ansprechpartner in Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß
Art. 32 DSGVO
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich
geeignete technische und organisatorische Maßnahmen, um
sicher zu stellen, dass die Verarbeitung gemäß den
Anforderungen der DSGVO erfolgt und den Schutz für die
Rechte und Frei-
heiten der betroffenen Person gewährleistet. Der Auftragnehmer
ergreift in seinem Verantwortungsbereich gemäß Art.
32
DSGVO geeignete technische und organisatorische Maßnahmen,
um die Vertraulichkeit, Integrität, Verfügbarkeit
und Belastbarkeit der Systeme und Dienste im Zusammenhang mit
der Verarbeitung auf Dauer sicherzustellen.
Diese Maßnahmen schließen unter anderem Folgendes
ein:
Vereinbarung zur Auftragsverarbeitung
?.2. die Pseudonymisierung und Verschlüsselung personenbezogener
Daten?
?.3. die Fähigkeit, die Vertraulichkeit, Integrität,
Verfügbarkeit und Belastbarkeit der Systeme und Dienste
im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen?
?.4. die Fähigkeit, die Verfügbarkeit der personenbezogenen
Daten und den Zugang zu ihnen bei einem physischen oder technischen
Zwischenfall rasch wiederherzustellen?
?.5. ein Verfahren zur regelmäßigen Überprüfung,
Bewertung und Evaluierung der Wirksamkeit der technischen und
orga-
nisatorischen Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung?
?.6. Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu
verwehren (Zutrittskontrolle)?
?.7. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können (Zugangskontrolle)?
?.8. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können,
und dass personenbezogene Daten bei der Verarbei-
tung, Nutzung und nach der Speicherung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können (Zu-
griffskontrolle)?
zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer
Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können, und dass überprüft
und festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung
vorgesehen ist (Weitergabekontrolle)?
zu gewährleisten, dass nachträglich überprüft
und festgestellt werden kann, ob und von wem personenbezogene
Daten in Datenverarbeitungssysteme eingegeben, verändert
oder entfernt worden sind (Eingabekontrolle)?
zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können (Auftragskontrolle)?
zu gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)?
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können (Trennungskontrolle).
7.9. Der Auftragnehmer passt die getroffenen Maßnahmen
im Laufe der Zeit an die Entwicklungen beim Stand der Technik
und die Risikolage an. Eine Änderung der getroffenen technischen
und organisatorischen Maßnahmen bleibt dem Auftrag-
nehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO
nicht unterschritten wird.
8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen
Informationen zum Nachweis der Einhaltung der in Art. 28
DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht
Überprüfungen - einschließlich Inspektionen
-, die vom Auftrag-
geber oder einem anderen von diesem beauftragten Prüfer
durchgeführt werden, und trägt dazu bei. Der Auftragnehmer
ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber
und von dessen beauftragten Prüfer zu verlangen. Der Auftrag-
nehmer stimmt der Benennung eines unabhängigen externen
Prüfers durch den Auftraggeber zu, sofern der Auftraggeber
dem Auftragnehmer eine Kopie des Auditberichts zur Verfügung
stellt. Wettbewerber des Auftraggebers oder Personen, die für
Wett-
bewerber des Auftraggebers tätig sind, kann der Auftragnehmer
als Prüfer ablehnen.
8.2. Das Inspektionsrecht des Auftraggebers hat das Ziel, die
Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten
gemäß der DSGVO und dieses Vertrages zu überprüfen.
Der Nachweis der Einhaltung dieser Pflichten kann durch Zertifizierungen
erbracht werden. Sofern der Auftraggeber auf Basis tatsächlicher
Anhaltspunkte berechtigte Zweifel daran geltend macht, dass
erbrachte Zertifizierungen zureichend oder zutreffend sind,
oder besondere Vorfälle im Sinne von Art. 33 Abs.
1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung
für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen
durchführen. Diese können zu den üblichen Geschäftszeiten
ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung
einer angemessenen Vorlaufzeit durchgeführt werden.
8.3. Für Informationen und Unterstützungshandlungen
kann der Auftragnehmer eine angemessene Vergütung verlangen.
Der Aufwand für den Auftragnehmer durch eine Inspektion
ist grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
8.4. Sollte eine Datenschutzaufsichtsbehörde oder eine
sonstige staatliche oder kirchliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden
Regeln entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung
ist nicht erforderlich, wenn diese Aufsichtsbehörde einer
berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt,
bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt
ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine
Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28
DSGVO zur Vertragserfüllung einzusetzen.
9.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind
im Anhang 1 aufgeführt. Der Auftraggeber erklärt sich
mit
deren Einsatz einverstanden.
9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er
eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung
weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber
kann gegen derartige Änderungen Einspruch erheben.
9.4. Der Einspruch gegen die beabsichtigte Änderung kann
nur aus einem wichtigen datenschutzrechtlichen Grund inner-
halb einer angemessenen Frist nach Zugang der Information über
die Änderung gegenüber dem Auftragnehmer erhoben wer-
den. Im Fall des Einspruchs kann der Auftragnehmer nach eigener
Wahl die Leistung ohne die beabsichtigte Änderung erbringen
oder - sofern die Erbringung der Leistung ohne die beabsichtigte
Änderung für den Auftragnehmer nicht zumutbar ist
- die
von der Änderung betroffene Leistung gegenüber dem
Auftraggeber innerhalb einer angemessenen Frist nach Zugang
des Einspruchs einstellen.
Vereinbarung zur Auftragsverarbeitung
9.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter,
so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen
Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter
zu übertragen.
9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung
sind nur solche Subunternehmer zu verstehen, die Dienstleistungen
erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung
beziehen. Nicht hierzu gehören solche Nebenleistungen,
die sich auf Telekommunikationsleistungen, Druck-/Post-/Transportdienstleistungen,
Wartung und Pflege, Benutzerservice oder die Entsorgung von
Datenträgern sowie sonstige Maßnahmen zur Sicherstellung
der Vertraulichkeit, Verfügbarkeit, Integrität und
Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen
und sonstiger IT-
Systeme, beziehen. Der Auftragnehmer ist jedoch verpflichtet,
zur Gewährleistung des Datenschutzes und der Datensicherheit
in Bezug auf die Daten des Auftraggebers auch bei solchen Nebenleistungen
angemessene und gesetzeskonforme vertragliche Vereinbarungen
sowie Kontrollmaßnahmen zu ergreifen.
10. Haftung und Schadensersatz
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches
durch eine betroffene Person nach Art. 82 DSGVO verpflichten
sich die Parteien, sich gegenseitig zu unterstützen und
zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung
vereinbarte Haftungsregelung gilt auch für Ansprüche
aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis
zwischen den Parteien für Ansprüche Dritter nach Art
82 DSGVO, außer soweit ausdrücklich etwas anderes
vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden.
Sie endet mit Ende des letzten Vertrages unter der o.g. Kundennummer.
Sollte eine Auftragsverarbeitung noch nach Beendigung dieses
Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen
bis zum tatsächlichen Ende der Verarbeitung.
11.2. Der Auftragnehmer kann die Vereinbarung nach billigem
Ermessen mit angemessener Ankündigungsfrist ändern.
Es gilt Ziffer 1.4 AGB.
11.3. Ausschließlicher Gerichtsstand für alle Streitigkeiten
aus und im Zusammenhang mit diesem Vertrag ist Berlin. Dieser
gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen
Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen
Bestimmungen der Bundesrepublik Deutschland.
11.4. Sollten die Daten des Auftraggebers beim Auftragnehmer
durch Pfändung oder Beschlagnahme, durch ein Insolvenzoder
Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen
Dritter gefährdet werden, so hat der Auftragnehmer
den Auftraggeber unverzüglich darüber zu informieren.
Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen
unverzüglich darüber informieren, dass die Hoheit
und das Eigentum an den Daten ausschließlich beim Auftraggeber
als
»Verantwortlicher « im Sinne der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte
Subunternehmer / weitere Auftragsverarbeiter
Stand: 24.05.2018
Registergericht:
Berlin Charlottenburg HRB 79450
USt-ID-Nr.:
DE 211 045 709
nach
oben |