Vereinbarung zur Auftragsdatenverarbeitung

(gemäß Art. 28 DSGVO)

-Zwischen-

Internetdienstleistungen Orange

Oliver Range

Türltorstraße 12-14

DE – 85276 Pfaffenhofen

– im folgenden Auftraggeber (AG) genannt –

Und der

webgo GmbH

Wandsbeker Zollstr. 95

22041 Hamburg

– im folgenden Auftragnehmer (AN) genannt –

Präambel

Der AN führt im Auftrag des AG Tätigkeiten aus, welche weisungsgebundene Verarbeitungen von personenbezogenen Daten beinhalten. Dies stellt eine Auftragsverarbeitung im Sinne des Art. 28 EU Datenschutz-Grundverordnung (DSGVO) dar. Dieser liegen die Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zugrunde. Der vorliegende Vertrag zur Auftragsverarbeitung stellt die vertragliche Regelung der ordnungsgemäßen Verarbeitung personenbezogener Daten durch den AN im Auftrag des AG dar. Der Verantwortliche für die Verarbeitung im Sinne des Art. 4 Nr. 7 sowie Art. 28 DSGVO ist der AG. Die Anlage 1 „Weitere Auftragsverarbeiter“ und Anlage 2 „Technische und organisatorische Maßnahmen“ sind Bestandteil dieses Vertrags zur Auftragsverarbeitung.

§1 Grundlage, Gegenstand, Dauer und Kündigung des Vertrags

1. Die Grundlage dieses Auftrags ist die Online-Bestellung

vom 28.06.2017 in Verbindung mit den AGB des AN.

2. Der Gegenstand der Datenverarbeitung ergibt sich aus der oben genannten Grundlage.

3. Die Dauer dieses Auftrags entspricht der Laufzeit der oben genannten Grundlage.

4. Die Möglichkeit zur ordentlichen und fristlosen Kündigung ergibt sich aus dem Vertrag oder, falls nicht vereinbart, aus den einschlägigen gesetzlichen Regelungen. Der AG kann diesen Vertrag zur Auftragsverarbeitung fristlos kündigen, sobald der AN oder dessen rechtmäßig hinzugezogene Auftragsverarbeiter wiederholt gegen die Bestimmungen dieses Vertrags zur Auftragsverarbeitung oder einschlägige datenschutzrechtliche Vorschriften verstoßen.

§2 Art und Zweck Der Verarbeitung der Daten

1. Die Art und der Zweck der Verarbeitung der personenbezogenen Daten sind weisungsgebunden und umfassen den Vertrag #64487 der Produktkategorie Webhosting mit der Tarifbezeichnung CMS Power

2. Zu dem genannten Zweck dürfen die Daten auf den Systemen des AG und des AN gespeichert werden.

§3 Art der personenbezogenen Daten und die Kategorien betroffener Personen

1. Die Arten der von der Verarbeitung erfassten Daten sind:

Namen, Adressen, Telefonnummern, E-Mail-Adressen, Fotos / Videos

2. Die Kategorien betroffener Personen der Datenverarbeitung sind:

Besucher Ihrer Website, Dienstleister, Geschäftspartner, Interessenten, Kunden, Mitglieder, Nutzer

§4 Zweckbindung und Weisungsbefugnis des AG

1. Die Daten des AG sind von den Daten anderer AG und denen des AN getrennt zu verarbeiten. Ferner ist es dem AN untersagt, die Daten des AG für andere als für die vertragsgemäß festgelegte Aufgabenstellung zu verarbeiten oder zu nutzen. Die Übermittlung von Daten an Dritte darf nur im Rahmen der festgelegten Vertragszwecke erfolgen. Hierzu ist vorab weiterhin die Genehmigung des AG erforderlich.

2. Sollte der AN eine Übermittlung der personenbezogenen Daten an ein Drittland oder eine internationale Organisation vornehmen wollen, die nicht dem Recht der Europäischen Union oder der Mitgliedstaaten unterliegt, so muss dies der AG vorab genehmigen. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen dies und eventuelle rechtliche Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der AN darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des AG berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den AN wendet, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Der AG hat das Recht, dem AN jederzeit, insbesondere hinsichtlich der Art und des Zwecks der Datenverarbeitung, Weisungen zu erteilen. Der AN kann fordern, dass diese in Textform auf elektronischem Weg erteilt werden oder dass mündliche Weisungen durch den AG auf selbigem Wege bestätigt werden.

3. Der AN hat den AG unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Vorschriften der DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten. Der AN ist dann berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis diese durch den AG bestätigt oder geändert wird.

§5 Datenübermittlung in Drittstaaten

Jede Verlagerung der vereinbarten Datenverarbeitung in ein Drittland bedarf der vorherigen Genehmigung des AG. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet bis dahin ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, es sei denn, der AG gestattet die Datenverarbeitung in einem Drittland vorab und der AN hat sich davon überzeugt, dass bei der datenverarbeitenden Stelle im Drittland ein erforderliches Schutzniveau für die Datenverarbeitung im Sinne des Art. 44 Satz 2 DSGVO vorliegt oder hergestellt wurde. Der AN garantiert für Verlagerungen der vereinbarten Datenverarbeitung in ein Drittland oder Hinzuziehung dort befindlicher Auftragsverarbeiter, dass die Einhaltung der besonderen Voraussetzungen der Art. 44 – 50 DSGVO erfüllt sind. Für die Zulässigkeit der Verlagerung in ein Drittland oder die Einbeziehung von Auftragsverarbeitern in einem Drittland trägt der AN die Verantwortung. Er hat die Zulässigkeit und die Einhaltung der DSGVO auf Verlangen des AG nachzuweisen.

§6 Rückgabe und Löschung der Daten

1. Kopien der Daten dürfen ohne Genehmigung des AG nicht erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der AN erwirbt keinerlei Rechte an den ihm zur Verfügung gestellten Daten, verwendet die Daten für keine anderen Zwecke als die ordnungsgemäße Durchführung des Vertrags und dieser Vereinbarung und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.

2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den AG – spätestens nach Kündigung oder Erfüllung des Auftrags – hat der AN sämtliche in seinen Besitz gelangten digitalen Daten und Informationen sowie selbige in Papierform, die erstellten Verarbeitungs- und Nutzungsergebnisse sowie Daten und Informationen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG auszuhändigen oder nach vorheriger Genehmigung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist dem AG anschließend vorzulegen oder alternativ die Löschung in Textform zu bestätigen.

3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem AG übergeben.

§7 Datenschutzbeauftragter des AN

Der AN gewährleistet, dass er einen Datenschutzbeauftragten benannt hat, insofern dieser gemäß § 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO dazu verpflichtet ist, und dass der Datenschutzbeauftragte seine Tätigkeit gemäß § 38 Abs. 2 BDSG und Art. 38 und 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem AG oder dessen Datenschutzbeauftragten zum Zweck der direkten Kontaktaufnahme auf Anfrage unverzüglich mitgeteilt. Ein Wechsel des Datenschutzbeauftragten bzw. dessen Abberufung ist dem AG unverzüglich mitzuteilen.

§8 Technische und organisatorische Maßnahmen zum Schutz der Daten

1. Der AN gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 und Art. 5 Abs. 1 und 2 DSGVO. Diese hat der AN in der Anlage 2 zu diesem Vertrag zur Auftragsverarbeitung ausführlich darzulegen. Bei Akzeptanz durch den AG werden die dokumentierten Maßnahmen Grundlage des Auftrags.

2. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um solche der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der involvierten Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO zu berücksichtigen. Hierzu hat der AN insbesondere die Räume, in denen sich die Daten des AG befinden, so zu sichern, dass Unbefugten der Zutritt verwehrt wird, und sicherzustellen, dass der Zugriff auf die personenbezogenen Daten Unbefugten verwehrt wird. Er muss auch verhindern, dass die Unterlagen des AG von Unbefugten gelesen, verändert, kopiert oder entfernt werden können, und seine innerbetriebliche Organisation so gestalten, dass diese den besonderen Ansprüchen des Datenschutzes gerecht wird und die Daten nur im Rahmen der Weisungen des AG verarbeitet werden und während einer Übertragung ausreichend geschützt sind. Den für die Auftragsverarbeitung zuständigen Mitarbeitern des AN müssen diese Weisungen bekannt gemacht werden.

3. Der AN kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

4. Der AN gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Rahmen seiner Kontrollbefugnisse dieses Vertrags und wird dem AG diese, bei längerer Beauftragung, nach jährlicher Aufforderung erneut darlegen bzw. zusichern, dass sich keine Änderungen ergeben haben.

5. Soweit die Prüfung oder ein Audit des AG oder dessen Datenschutzbeauftragter oder ein Kontrollverfahren der zuständigen Aufsichtsbehörde einen Anpassungsbedarf der getroffenen Maßnahmen aufzeigt, ist dieser einvernehmlich umzusetzen.

6. Die getroffenen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem AN gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das vorherige Sicherheitsniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§9 Einbeziehung weiterer Auftragsverarbeiter

1. Der AN setzt den AG darüber in Kenntnis, sofern er beabsichtigt, weitere als die in Anlage 1 ausgewiesenen Auftragsverarbeiter hinzuzuziehen, welche direkt mit der Verarbeitung von personenbezogenen Daten des AG beauftragt sind. Erfolgt innerhalb von 4 Wochen kein Widerspruch des AG, gilt die Beauftragung der weiteren Auftragsverarbeiter als genehmigt.

2. Als hinzugezogene Auftragsverarbeiter im Sinne dieser Regelung sind solche Dienstleister zu verstehen, die sich unmittelbar ganz oder teilweise auf die Erbringung der beauftragten Datenverarbeitung beziehen. Nicht hierzu gehören Nebenleistungen, die der AN z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder zur Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der AN ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des AG auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

3. Zieht es der Auftragsverarbeiter in Erwägung, die Dienste eines weiteren Auftragsverarbeiters hinzuzuziehen, um bestimmte Verarbeitungstätigkeiten im Namen des AG auszuführen, so wird der AN diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Europäischen Union oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegen, die in diesem vorliegendem Vertrag zwischen AG und dem AN vereinbart sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so umgesetzt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sämtliche Änderungen dieses Vertrags zur Auftragsverarbeitung hat der AN auch hinzugezogenen Auftragsverarbeitern fortwährend aufzuerlegen. Kommt der hinzugezogene Auftragsverarbeiter seinen Pflichten nicht nach oder verstößt dieser gegen die DSGVO, so haftet der AN gegenüber dem AG oder den betroffenen Personen für die Schäden, die dadurch entstanden sind.

4. Die Weitergabe von personenbezogenen Daten des AG an durch den AN hinzugezogene Auftragsverarbeiter ist erst mit Vorliegen der Genehmigung des AG über die Hinzuziehung und die Erfüllung aller Voraussetzungen aus § 9 des vorliegenden Vertrags erlaubt. Der AG erhält vom AN auf Aufforderung Einblick in die relevanten Vertragsunterlagen mit dem hinzugezogenen Auftragsverarbeiter, wobei der AN berechtigt ist, Preise und Vergütungen o. Ä. unkenntlich zu machen.

5. Soll der hinzugezogene Auftragsverarbeiter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums tätig werden, stellt der AN die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Diese weist der AN dem AG unaufgefordert nach.

6. Der AN hat die Auftragsverarbeiter, welche er hinzuzuziehen gedenkt, in Anlage 1 aufzulisten und die dort abgefragten Angaben zu beantworten. Durch Unterschrift dieses Vertrags zur Auftragsverarbeitung durch den AG wird deren Hinzuziehung genehmigt.

§10 Kontrollbefugnisse des AG

1. Der AG ist gesetzlich verpflichtet, sich von der Einhaltung der Weisungen und der technischen und organisatorischen Maßnahmen im Sinne des § 7 beim AN zu überzeugen. Der AG hat das Recht, im Benehmen mit dem AN Überprüfungen durchzuführen oder durch die im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses Vertrags zur Auftragsverarbeitung durch den AN in dessen Geschäftsbetrieb zu überzeugen. Zu diesem Zweck darf das Betriebsgelände des AN im Beisein eines Beauftragten des AN zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch den AG oder dessen Datenschutzbeauftragten betreten werden, damit sich von der Einhaltung der Weisungen und Umsetzung der Maßnahmen überzeugt werden kann.

2. Der AN stellt sicher, dass sich der AG oder dessen Datenschutzbeauftragter von der Erfüllung der datenschutzrechtlichen Pflichten des AN überzeugen kann. Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO erfolgen. Wenn dem AG ausreichend, können hierzu auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. von Wirtschaftsprüfern, Revision, Datenschutzbeauftragten, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits verwendet werden.

4. Der AG kann bei Verstößen gegen den Datenschutz zusätzliche technische und organisatorische Maßnahmen fordern.

§11 Unterstützungspflichten des AN

1. Der AG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Soweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der AN nach besten Kräften zu unterstützen.

2. Der AN unterstützt den AG angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der AN wird entsprechende Anträge nicht selbst bearbeiten bzw. beantworten, sondern diese unverzüglich an den AG weiterleiten.

3. Der AN stellt dem AG auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

4. Der AN unterstützt den AG bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu gehören insbesondere:

die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,

die Verpflichtung, Verletzung des Schutzes personenbezogener Daten unverzüglich an den AG zu melden,

die Verpflichtung, den AG im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen,

die Unterstützung des AG bei der Erstellung von dessen Verzeichnis der Verarbeitungstätigkeiten, insofern sich dies auf die beauftragte Datenverarbeitung bezieht,

die Unterstützung des AG für dessen Datenschutz-Folgenabschätzung und

die Unterstützung des AG im Rahmen vorheriger Konsultationen der Aufsichtsbehörde. Hierzu wird der AN dem AG auf Anforderung den Auszug seines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zur Verfügung stellen, das sich auf die beauftragte Datenverarbeitung bezieht.

§12 Informationspflichten des AN

1. Der AN gewährleistet die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt.

2. Sollten die Daten des AG bei dem AN durch Pfändung oder Beschlagnahmung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die „Hoheit und das Eigentum“ an den Daten ausschließlich beim AG als Verantwortlichem im Sinne der DSGVO liegen.

3. Der AN hat dem AG unverzüglich – auch bei bloßem Verdacht – alle Verletzungen der Sicherheit in seinem Haus, soweit diese Auswirkungen auf die Verarbeitung von personenbezogenen Daten des AG gehabt haben bzw. haben könnten, zu melden. Gemeldet werden müssen ferner alle Vorkommnisse, die Einfluss auf den Datenbestand des AG haben können (z. B. Einbrüche, Diebstähle, Feuerschäden usw.).

4. Der AN meldet dem AG unverzüglich alle Verstöße gegen diesen Vertrag zur Auftragsverarbeitung und gegen datenschutzrechtliche Vorschriften.

§13 Verschwiegenheit und Wahrung von Betriebs- und Geschäftsgeheimnissen

1. Der AN hat sich mit der Geheimhaltung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) vertraut gemacht und sichert deren Einhaltung für sich und das durch ihn eingesetzte Personal sowie hinzugezogene Auftragsverarbeiter zu. Dies gilt auch für die sich aus dem vorliegenden Vertragsverhältnis ergebenden Folgeaufträge oder Auftragserweiterungen sowie andere künftige Geschäftsbeziehungen und bezieht sich auf alle Leistungen des AN gegenüber dem AG und ggf. dessen verbundene Unternehmen wie Mutter-, Tochter- und Schwestergesellschaften unabhängig davon, an welchem Ort diese erbracht werden. Sie erstrecken sich auf sämtliche personenbezogene Daten, Unternehmensdaten und -informationen, gleich in welcher Form diese vorliegen und gleich ob sie ausdrücklich als vertraulich bezeichnet sind oder nicht.

2. Der AN sichert zu, dass das von ihm eingesetzte Personal sämtliche während der Erfüllung des Auftrags auch zufällig zugänglich gewordenen Daten geheim hält, sich weder Aufzeichnungen darüber macht noch Kopien anfertigt, entsprechende Daten nicht an Dritte weitergibt oder für eigene Zwecke nutzt.

3. Sollte der AN bzw. dessen zur Vertragserfüllung eingesetztes Personal das E-Mail-System, das Internet/Intranet bzw. die IT-Systeme des AG nutzen wollen, so wird sich der AN bzw. das entsprechende Personal vorab die ausdrückliche Erlaubnis einholen und vor deren Nutzung beim AG über die internen Regelungen des AG zum Umgang mit diesen Systemen und Medien informieren und diesen entsprechen. Der AG behält sich vor, auf alle zur Verfügung gestellten Systeme sowie Daten und Informationen ohne Vorankündigung zuzugreifen. Der AN ist dann seinerseits verpflichtet, das von ihm eingesetzte Personal über die Einhaltung der genannten internen Regelungen des AG regelmäßig zu informieren und deren Einhaltung sicherzustellen.

4. Für eine Unterrichtung, Verpflichtung und Schulung des durch den AN eingesetzten Personals ist der AN verantwortlich. Der AN sichert zu, dass dieser nur Personal einsetzt, das mit den Anforderungen der DSGVO und allen nationalen sowie anderen einschlägigen Datenschutzbestimmungen, der Wahrung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 UWG, den Pflichten aus dieser Verpflichtungserklärung und zur Vertraulichkeit im Sinne des Art. 28 Abs. 3 Satz 2 lit. b) DSGVO vertraut ist.

§14 Schlussbestimmungen

1. Der AN ist sich bewusst, dass die Verletzung dieses Vertrags zur Auftragsverarbeitung einen Verstoß gegen die DSGVO, das BDSG, das UWG oder eine sonstige datenschutzrechtliche Vorschrift darstellen kann und dies eine Ordnungswidrigkeit oder Straftat darstellen kann und dass er für diese Verletzungen selbst verantwortlich sowie haftbar ist.

2. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. An die Stelle der unwirksamen Bestimmungen wird eine andere treten, die wirksam ist und die nach Inhalt und Zweck der unwirksamen Bestimmung am nächsten kommt.

Anlage 1: Weitere Auftragsverarbeiter

Folgende Auftragsverarbeiter dürfen durch den AN im Rahmen der Tätigkeit, die in dem zu dieser Anlage gehörenden Vertrag zur Auftragsverarbeitung beschrieben ist, hinzugezogen werden:

Weiterer Auftragsverarbeiter Nr.1:

Name:

First Colo GmbH

Anschrift inklusive Land:

Hanauer Landstraße 291b, 60314 Frankfurt am Main, Deutschland

Umfang, Art und Zweck der Tätigkeit:

Rechenzentrum (Standort Frankfurt), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt!

 

Weiterer Auftragsverarbeiter Nr.2:

Name:

CenturyLink Communications Europe Limited

Anschrift inklusive Land:

10 Fleet Place, London, EC4M 7RB, Großbritannien

Umfang, Art und Zweck der Tätigkeit:

Rechenzentrum (Standort Hamburg), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt. Die Daten bleiben physikalisch in Deutschland!

 

Weiterer Auftragsverarbeiter Nr.3:

Name:

Mesos, Inh. Ralf Dreibrodt

Anschrift inklusive Land:

Olpener Str. 143, 51103 Köln, Deutschland

Umfang, Art und Zweck der Tätigkeit:

Externer Linuxsystemadministrator, pflegt den webgo Webspace-Admin

 

Anlage 2: Technische und Organisatorische Maßnahmen

§1 Vertraulichkeit

§1.1 Zutrittskontrolle

Zutrittskontrollsystem, Chipkarte, Türsicherung (elektrische Türöffner, Gegensprechanlage), Videoüberwachung des Geländes, Vermeidung von Datenverarbeitungen im Erdgeschoss, Überwachung und Begleitung von Dienstleistern und Besuchern und zugehörige Stichprobenkontrollen

§1.2 Zugangskontrolle

Schriftliche Fixierung der Zugangsberechtigungen, restriktive Vergabe von Zugangsberechtigungen, Einrichtung und Pflege einer elektronischen Benutzerverwaltung, Ausgestaltung der Passwörter möglichst nach Vorgaben des BSI (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts), Erstellung einer Passwortrichtlinie in Form einer Dienstanweisung, automatische Sperrung (z. B. Kennwort, Pausenschaltung oder bei mehrfachen Fehlversuchen der Nutzung), Verwendung von Firewalls/Antivirensoftware

§1.3 Zugriffskontrolle

Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Protokollierung und Auswertung der Zugriffe und Zugriffsversuche, technische Einschränkung der Abfrage- und Zugriffsmöglichkeiten, Regelung der Datenlöschung bzw. Datenträgervernichtung, Verwendung von Magnet- oder Chipkarten/biometrischen Verfahren zur Authentifikation

§1.4 Trennungskontrolle

„Interne Mandantenfähigkeit“ (Kunden- bzw. Mandantentrennung), Dokumentation von Zwecken, zu denen die Daten erhoben wurden, Vergabe unterschiedlicher Rollen in Systemen, Trennung von Test- und Produktivdaten

§1.5 Pseudonymisierung

Erstellung und Aktualisierung einer Übersicht über die ergriffenen technischen und organisatorischen Maßnahmen, Abschluss eines schriftlichen Vertrags zur Auftragsverarbeitung mit den gesetzlichen Mindestinhalten sowie darüber hinausgehenden Informationen zur genauen Auftragsgestaltung, Zugänglichmachung des Vertrags zur Auftragsverarbeitung und der Weisungen für die involvierten Beschäftigten, Schulung der Mitarbeiter auf die Anforderungen an den Datenschutz in Auftragsverarbeitungsverhältnissen, Verpflichtung der Beschäftigten auf Einhaltung des Datenschutzes, Verschlüsselung von Daten während der Übermittlung, Trennung der Daten

§1.6 Datenschutzfreundliche Voreinstellungen

Alle personenbezogenen Daten werden nur für den vorgegebenen Zweck verarbeitet.

§2 Integrität

§2.1 Weitergabekontrolle

Aufzeichnung und Dokumentation aller durchgeführten und geplanten Übermittlungen mit Nennung des Empfängers, der Datenkategorien, des Übermittlungszwecks, des Absenders und des Datums sowie der Uhrzeit der Übermittlung, Erlass von Arbeitsanweisungen bzw. Richtlinien zur Datenträgernutzung und Datenübermittlung, Führen einer Übersicht der wiederkehrenden bzw. regelmäßigen Übermittlungen und deren Ablauf, Nutzung eines VPN, Nutzung eines Content-Filters/einer Firewall, Verbot der Mitnahme oder des Mitbringens von privaten Datenträgern, datensichere Entsorgung von Daten und Datenträgern, Nutzung sicherer Transportfahrzeuge, Nutzung von Übertragungsprotokollen wie TLS/SSL oder SSH

§2.2 Eingabekontrolle

Protokollierungs- und Protokollauswertungssysteme, Erlass von Dienstanweisungen und Schulung zur Eingabe/Veränderung/Entfernung von personenbezogenen Daten sowie deren Zulässigkeit, Protokollierung der Benutzeranmeldungen an Datenverarbeitungsanlagen, Protokollierung von erfolgreichen und gescheiterten Software-Log-ins, Protokollierung der Aktivitäten auf Servern und der Systemverwalter sowie Benutzer

§2.3 Verfügbarkeit und Belastbarkeit

Back-up-Verfahren, Spiegeln von Festplatten (RAID), unterbrechungsfreie Stromversorgung (USV), Installierung von Schutzsteckdosenleisten, Brandschutztüren, Alarmanlagen, Blitzableiter, Bereitstellung von Feuerlöschern, Installierung von Brandmeldern, Durchführung von Brandschutzbegehungen, Installierung von Brandfrüherkennungsanlagen

§2.4 Organisatorische Maßnahmen

Regelmäßige Mitarbeiterschulungen mit Nachweis, schriftlich unterschriebene Verpflichtung auf das Datengeheimnis, schriftliche Arbeitsanweisungen, Dokumentation von Auskunftsersuchen, Anliegen, Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten, Verpflichtung aller Dienstleister auf den Datenschutz, IT-Sicherheitsbeauftragten, etablierte Meldeprozesse für Datenschutzverstöße und Incident-Response-Management für IT-Sicherheitsvorfälle

§2.5 Kontrollen der technischen und organisatorischen Maßnahmen

Anlassbezogene Kontrollen, Sichtung und Auswertung von Protokoll- und Logdateien, Sichtung von manuellen Protokollen und Listen, Prüfungen durch den Datenschutzbeauftragten