Vereinbarung zur Auftragsverarbeitung
Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Auftragsverhältnis im Sinne des Art. 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“).
Dieser Auftragsverarbeitungsvertrag einschließlich aller Anlagen (nachfolgend gemeinsam als „Vereinbarung“ bezeichnet) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Vertrag, der Leistungsvereinbarung und/oder Auftragsbeschreibung einschließlich aller Anlagen (nachfolgend gemeinsam als „Hauptvertrag“ bezeichnet). Sofern Bezug auf die Regelungen des Bundesdatenschutzgesetzes (nachfolgend „BDSG“) genommen wird, so ist damit das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 in der zum Zeitpunkt ab dem 25. Mai 2018 geltenden Fassung gemeint.
Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgenden Bestimmungen:
§ 1 Anwendungsbereich und Begriffsbestimmungen
1.1 Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt sowie alle Tätigkeiten, bei denen es zu einer Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter für den Verantwortlichen kommen kann.
1.2 Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.
§2 Gegenstand und Dauer der Datenverarbeitung
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.
2.2 Gegenstand des Auftrags ist die Datenanalyseplattform Innkeepr im Rahmen des mit dem Auftragsverarbeiter vereinbarten Umfangs, gemäß dem Hauptvertrag.
Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.
Der Verantwortliche kann diese Vereinbarung sowie den Hauptvertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die Bestimmungen dieser Vereinbarung vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht oder nur teilweise ausführt oder der Auftragsverarbeiter den Zutritt zu seinen Geschäftsräumen vertragswidrig verweigert. Ein schwerwiegender Verstoß liegt dann vor, wenn der Auftragsverarbeiter die Daten des Verantwortlichen für andere als die nach dieser Vereinbarung bestimmten Zwecke (§ 3) verwendet oder gegen eine wesentliche Pflicht aus dieser Vereinbarung verstößt (bspw. bei einem Datenverlust oder bei einer verschuldeten Möglichkeit der unberechtigten Kenntnisnahme durch Dritte).
Weiter ist der Verantwortliche auch bei Nichtvorliegen der Voraussetzungen gem. Absatz 4 berechtigt, diese Vereinbarung und den Hauptvertrag fristlos zu kündigen, wenn der Auftragsverarbeiter wiederholt gegen diese Vereinbarung verstößt. Voraussetzung hierfür ist, dass der Verantwortliche den Auftragsverarbeiter zuvor auf den Verstoß schriftlich oder in Textform (Fax/E-Mail) hingewiesen hat.
§ 3 Art und Zweck der Datenverarbeitung
3.1 Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeit(en) und Zweck(e):
der Speicherung personenbezogener Daten von Webseitenbesuchern
der Wertschöpfungsermittlung von Onlinewerbung
der personalisierte Ausspielung von Onlinewerbung
§ 4 Kategorien betroffener Personen
4.1 Die Kategorien der durch den Umgang mit den personenbezogenen Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst insbesondere:
Bestandskunden
Interessenten / potenzielle Kunden
Newsletterabonnenten
Websitenutzer /-besucher
Bewerber
Mitarbeiter (Stammbelegschaft, Auszubildende, Leiharbeiter, freie Mitarbeiter)
Lieferanten / Subunternehmer / Ansprechpartner
§ 5 Art der personenbezogenen Daten
5.1 Von der Auftragsverarbeitung sind insbesondere folgende Datenarten betroffen:
Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)
Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)
Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)
Kundenhistorie
Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung, Kreditkarteninformationen)
Angaben zur Bonität, Scoring-Werte, Einträge in Schuldnerverzeichnisse
Elektronische Kommunikationsdaten (IP-Adresse, aufgerufene Internetseiten, Angaben zum verwendeten Endgerät, Betriebssystem und Browser)
§ 6 Rechte und Pflichten des Verantwortlichen
6.1 DFür die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.
6.2 Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Verantwortlichen unverzüglich vom Auftragsverarbeiter schriftlich oder in Textform (z.B. per E-Mail) zu bestätigen.
6.3 Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies dem Auftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.
6.4 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.
6.5 Der Verantwortliche ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Verantwortliche kann diese Kontrolle auch durch einen Dritten durchführen lassen.
§ 7 Pflichten des Auftragsverarbeiters
Datenverarbeitung
Der Auftragsverarbeiter ist verpflichtet, personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen zu verarbeiten. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragsverarbeiter untersagt. Der Auftragsverarbeiter ist verpflichtet, die zur Datenverarbeitung überlassenen Daten nicht für andere, insbesondere nicht für eigene Zwecke zu verarbeiten. Kopien oder Duplikate dürfen nicht erstellt werden, es sei denn, dies ist Gegenstand des Auftrags oder der Verantwortliche hierzu seine vorherige ausdrückliche schriftliche Einwilligung erteilt.
Betroffenenrechte
Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Der Auftragsverarbeiter wird hierfür geeignete technische und organisatorische Maßnahmen treffen. Sollte der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen erheben und sind diese Daten Gegenstand eines Verlangens auf Datenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter dem Verantwortlichen den betreffenden Datensatz unverzüglich auf Anforderung innerhalb der gesetzten Frist, im Übrigen innerhalb von 5 Werktagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen
Der Auftragsverarbeiter hat auf Weisung des Verantwortlichen die personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.
Soweit sich ein Betroffener unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wendet, ist der Auftragsverarbeiter verpflichtet, dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterzuleiten.
Kontrollpflichten
Der Auftragsverarbeiter verpflichtet sich, durch geeignete Kontrollen sicherzustellen, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden.
Der Auftragsverarbeiter ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragsverarbeiter wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Verantwortlichen abstimmen.
Der Auftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragsverarbeiters ist:
Herr Willi Linke; Senefelderstraße 35; 09126 Chemnitz; [email protected]
Bei einem Wechsel der Person des Datenschutzbeauftragten wird der Auftragsverarbeiter dies dem Verantwortlichen unter Benennung des neuen Datenschutzbeauftragten schriftlich oder in Textform mitteilen. Sofern der Auftragsverarbeiter nicht den Regelungen der Art. 37 DSGVO und § 38 BDSG unterliegt oder nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, wird er eine zuverlässige Person benennen, die die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit überwacht und als Ansprechpartner für Fragen zur Datenverarbeitung fungiert. Der Auftragsverarbeiter wird die Person gegenüber dem Verantwortlichen schriftlich benennen und eventuelle Änderungen unverzüglich mitteilen.
Informationspflichten
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO durch den Verantwortlichen wird der Auftragsverarbeiter den Verantwortlichen unterstützen und die jeweils erforderlichen Angaben in geeigneter Weise zur Verfügung stellen. Der Auftragsverarbeiter führt zudem entsprechend den Vorgaben gem. Art. 30 Abs. 2 DSGVO ein eigenes Verzeichnis zu allen im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Regelungen im Hauptvertrag und der Vereinbarung und/oder die erteilten Weisungen des Verantwortlichen, der im Zuge der Verarbeitung von Daten durch ihn, bei ihm beschäftigte Personen oder andere mit der Verarbeitung betraute Dritte erfolgt ist, unverzüglich mitzuteilen.
Für den Fall, dass der Auftragsverarbeiter feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Verantwortlichen verarbeitete personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind bzw. der Schutz personenbezogener Daten auf andere Weise verletzt wurde, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden ab Kenntnis, und vollständig, in Schrift- oder Textform über
Zeitpunkt, Art und Umfang des Vorfalls, einschließlich der Zahl voraussichtlich betroffenen Datensätze und der betroffenen Datenkategorien,
möglicher nachteiliger Folgen und
Maßnahmen, die durch ihn getroffen wurden, um die Verletzung des Schutzes personenbezogener Daten akut und zukünftig zu verhindern
zu informieren.
Der Auftragsverarbeiter wird den Vorgang einschließlich der Auswirkungen und Abhilfemaßnahmen dokumentieren und dem Verantwortlichen diese Dokumentation auf Nachfrage jederzeit zur Verfügung stellen. Sollte der Verantwortliche aufgrund von verspäteter, unvollständiger, falscher oder anderweitig unsachgemäßer Information durch den Auftragsverarbeiter nicht in der Lage sein, einer gesetzlichen Meldepflicht innerhalb von 72 Stunden nach Kenntnis des Auftragsverarbeiters von dem Vorfall nachzukommen, wird der Auftragsverarbeiter dem Verantwortlichen alle aus dieser Verzögerung resultierenden Schäden im Rahmen des ihm zu vertretenden Verschuldens ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen bei der umfassenden und rechtzeitigen Erfüllung etwaiger Meldepflichten unterstützen.
Ort der Datenverarbeitung
Die Verarbeitung von Daten im Auftrag des Verantwortlichen ist außerhalb von den Betriebsstätten des Auftragsverarbeiters nur mit schriftlicher Zustimmung des Verantwortlichen zulässig. Eine Verarbeitung von Daten in Privatwohnungen (sog. „Home-Arbeitsplätze“) ist grundsätzlich unzulässig, es sei denn, es liegt eine ausdrückliche schriftliche Zustimmung des Verantwortlichen vor. Ausgenommen von dieser Vereinbarung ist der Zugriff von Mitarbeitern der 24/7-Bereitschaft zur Sicherstellung der Serverfunktionen. Der Auftragsverarbeiter verpflichtet sich jedoch, die Zugriffe im Rahmen dieser Ausnahmen auf das notwendige Maß zu begrenzen und angemessene Sicherheitsmaßnahmen für die technischen Zugriffe zu implementieren.
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung durch den Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies gilt auch für etwaige Datensicherungen durch den Auftragsverarbeiter.
Sofern die Verarbeitung personenbezogener Daten außerhalb der EU erfolgt, garantiert der Auftragsverarbeiter, dass die nach den jeweils geltenden Datenschutzvorschriften anwendbaren Voraussetzungen für das Eingreifen eines Erlaubnistatbestandes für die Verarbeitung personenbezogener Daten außerhalb der EU erfüllt sind ("datenschutzrechtliche Rechtfertigung"). Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich schriftlich zu informieren, sofern die datenschutzrechtliche Rechtfertigung nicht mehr eingreift und/oder für ihn erkennbar ist, dass die datenschutzrechtliche Rechtfertigung vor Ende des Auftrages nicht mehr eingreifen wird.
Der Auftragsverarbeiter stellt den Verantwortlichen von sämtlichen Ansprüchen Dritter frei, die davon herrühren, dass
die datenschutzrechtliche Rechtfertigung aufgrund eines vom Auftragsverarbeiter zu vertretenen Umstandes nicht mehr eingreift, und/oder
der Auftragsverarbeiter den Verantwortlichen nicht rechtzeitig über den Wegfall der datenschutzrechtlichen Rechtfertigung informiert hat.
Diese Freistellungsverpflichtung umfasst insbesondere auch etwaige Buß- und Ordnungsgelder sowie die angemessenen Rechtsanwaltskosten des Verantwortlichen.
Sofern die jeweilige datenschutzrechtliche Rechtfertigung wegfällt, ist der Verantwortliche nach freiem Ermessen berechtigt, entweder
ertragsklauseln auffordern, die den Anforderungen der für den Verantwortlichen zuständigen Datenschutzbehörde entsprechen, wobei der Auftragsverarbeiter die im Zusammenhang mit dem Nachweis anfallenden Kosten zu tragen hat.
den Hauptvertrag unverzüglich außerordentlich zu kündigen oder
den Auftragsverarbeiter mit Fristsetzung zum Nachweis einer ausreichenden datenschutzrechtlichen Rechtfertigung oder zum Abschluss von Standardv
Kommt der Auftragsverarbeiter dieser Aufforderung nicht fristgerecht nach, ist der Verantwortliche ebenfalls berechtigt, den Hauptvertrag außerordentlich zu kündigen. Im Falle der außerordentlichen Kündigung hat der Auftragsverarbeiter auf Weisung des Verantwortlichen auf eigene Kosten dabei zu unterstützen, die personenbezogenen Daten unverzüglich an einen anderen, von dem Verantwortlichen benannten Auftragsverarbeiter zu übergeben.
Sofern die Verarbeitung personenbezogener Daten außerhalb der EU erfolgt garantiert der Auftragsverarbeiter weiterhin, dass er für die Laufzeit des Auftrages ununterbrochen einen in der EU ansässigen Vertreter benannt hat, sofern dies nach den jeweils geltenden Datenschutzvorschriften erforderlich ist. Der Vertreter ist beauftragt, zusätzlich zum Auftragsverarbeiter oder an seiner Stelle insbesondere für Aufsichtsbehörden und Betroffenen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung der datenschutzrechtlichen Vorschriften als Anlaufstelle zu dienen.
Löschung der personenbezogenen Daten nach Auftragsbeendigung
Nach Beendigung des Hauptvertrages ist der Auftragsverarbeiter verpflichtet, sämtliche in seinen Besitz gelangten personenbezogenen Daten, Unterlagen und erstellte Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäß den Weisungen des Verantwortlichen zu löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Die datenschutz- und datensicherheitskonforme Löschung ist zu dokumentieren und dem Verantwortlichen auf Anfrage mit Datumsangabe schriftlich oder in Textform zu bestätigen.
§ 8 Kontrollrechte des Verantwortlichen
8.1 Der Verantwortliche ist jederzeit berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Systeme sowie sonstige Kontrollen vor Ort.
8.2 Der Auftragsverarbeiter wird den Verantwortlichen bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung mitwirken.
8.3 Der Auftragsverarbeiter ist dem Verantwortlichen gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
8.4 Der Auftragsverarbeiter hat eventuelle Kontrollmaßnahmen der Datenschutzaufsichtsbehörde gem. Art. 58 DSGVO und, sofern anwendbar, § 40 BDSG zu dulden. Er wird den Verantwortlichen unverzüglich nach Ankündigung oder Kenntniserlangung über die Durchführung der Kontrollmaßnahme sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehörde, insbesondere auch, wenn diese im Rahmen einer vorherigen Konsultation gem. Art. 36 DSGVO erfolgen, informieren, soweit die Maßnahmen oder Anfragen Datenverarbeitungen betreffen können, die der Auftragsverarbeiter für den Verantwortlichen erbringt.
8.5 Auf Verlangen weist der Auftragsverarbeiter dem Verantwortlichen die Einhaltung der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis durch die Vorlage eines aktuellen Testats oder Berichts einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oder einem externen Datenschutzauditor) und gegebenenfalls einer geeigneten Zertifizierung (z.B. nach BSI-Grundschutz, ISO27001 oder nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO) oder die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO erbracht werden. Die Kontrollrechte des Verantwortlichen gemäß Absatz 1 bleiben hiervon unberührt.
§ 9 Unterauftragsverhältnisse
9.1 Der Verantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO dar.
9.2 Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
9.3 Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben. Erhebt der Verantwortliche Einspruch, wird der Auftragsverarbeiter den betroffenen weiteren Auftragsverarbeiter nicht beauftragen bzw. ersetzen.
9.4 Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich. Der Verantwortlichen hat das Recht sich selbst von der Eignung der weiteren Auftragsverarbeiter zu überzeugen. Der Auftragsverarbeiter wird dem Verantwortlichen auf Anfrage eine Kopie des Unterauftragsverarbeitungsvertrages zur Verfügung stellen.
9.5 Der Auftragsverarbeiter hat im Unterauftragsverarbeitungsvertrag mit dem weiteren Auftragsverarbeiter sicherzustellen, dass die vereinbarten Bestimmungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter und ggf. ergänzende Weisungen des Verantwortlichen auch gegenüber dem weiteren Auftragsverarbeiter vollumfänglich gelten. Dies umfasst insbesondere die Verpflichtung auf die Vertraulichkeit, die Gewährleistung der technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung, Mitwirkung an der Bearbeitung von Anfragen von Betroffenen und die Erfüllung der vereinbarten Dokumentationspflichten. Zudem sind dem Verantwortlichen im Unterauftragsverarbeitungsvertrag Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. In dem Unterauftragsverarbeitungsvertrag sind die Angaben gemäß §§ 2, 3, 4 und 5 dieser Vereinbarung so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und der weiteren Auftragsverarbeiter deutlich voneinander abgegrenzt werden. Werden mehrere weiteren Auftragsverarbeiter eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen weiteren Auftragsverarbeitern.
9.6 Der Auftragsverarbeiter hat die Einhaltung der Pflichten des Weiteren Auftragsverarbeiters regelmäßig zu überprüfen. Der Auftragsverarbeiter hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der weitere Auftragsverarbeiter die zugesicherten und erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragsverarbeiter zu dokumentieren und auf Anfrage dem Verantwortlichen zu übermitteln.
Vertraulichkeit
10.1 Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.
10.2 Der Auftragsverarbeiter sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist.
10.3 Der Auftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.
10.4 Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.
§ 11 Technische und organisatorische Maßnahmen
11.1 Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
11.2 Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art. 32 i.V.m. Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen, mit denen eine angemessene Pseudonymisierung und Verschlüsselung gewährleistet werden kann sowie Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird der Auftragsverarbeiter die implementierten Maßnahmen regelmäßig evaluieren und ggf. Anpassungen vornehmen. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen wird der Auftragsverarbeiter dem Verantwortlichen vorab mitteilen.
§ 12 Vergütung
12.1 Die Vergütung des Auftragsverarbeiters ergibt sich aus dem zugrundeliegenden Hauptvertrag.
§ 13 Haftung/ Freistellung / Vertragsstrafe
13.1 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Etwaige Haftungsbegrenzungen der Parteien (z.B. aus dem Hauptvertrag) finden diesbezüglich keine Anwendung.
13.2 Für den Ersatz von Schäden, die ein Betroffener aufgrund einer nach dem BDSG bzw. der DSGVO oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses geltend macht, ist der Verantwortliche bzw. der Auftragsverarbeiter gem. Art. 82 DSGVO gegenüber dem Betroffenen verantwortlich. Der Auftragsverarbeiter stellt den Verantwortlichen im Innenverhältnis von allen Schadensersatzansprüchen frei, die aufgrund einer schuldhaften Verletzung der durch datenschutzrechtliche Vorschriften dem Auftragsverarbeiter auferlegte Pflichten oder aufgrund der Nichtbeachtung rechtmäßig erteilter Weisungen des Verantwortlichen durch den Auftragsverarbeiter gegen den Verantwortlichen geltend gemacht werden. Der Auftragsverarbeiter trägt für die Einhaltung der durch datenschutzrechtliche Vorschriften dem Auftragsverarbeiter auferlegte Pflichten und die Beachtung rechtmäßig erteilter Weisungen des Verantwortlichen die Beweislast. Der Auftragsverarbeiter trägt zudem die Beweislast für den Umstand, dass der Schaden nicht auf seiner Pflichtverletzung beruht und er diese nicht zu vertreten hat.
13.3 Für den Fall, dass der Auftragsverarbeiter gegen die Bestimmungen dieser Vereinbarung und/oder die geltenden Datenschutzbestimmungen verstößt, verpflichtet sich der Auftragsverarbeiter zur Zahlung einer angemessenen Vertragsstrafe. Die Höhe bestimmt der Verantwortliche nach billigem Ermessen und unterliegt im Streitfall der Überprüfung durch das zuständige Gericht. Die Geltendmachung weitergehender Schadenersatzansprüche bleibt hiervon unberührt.
§ 14 Sonstiges
14.1 Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
14.2 Änderungen und Ergänzungen dieser Vereinbarung müssen schriftlich erfolgen und bedürfen der ausdrücklichen Angabe, dass damit die vorliegenden Bestimmungen geändert und/oder ergänzt werden. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
14.3 Diese Vereinbarung unterliegt deutschem Recht.
14.4 Sofern der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich hierüber zu benachrichtigen.
14.5 Die Einrede des Zurückbehaltungsrechts gem. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der dazugehörigen Datenträger ausgeschlossen.
Anlage 1
Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung
Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:
Maßnahmen zur Pseudonymisierung
Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.
Beschreibung der Pseudonymisierung:
Die vom Auftragnehmer erhobenen Browserdaten enthalten keine personenbezogenen Daten (Emailadresse, Telefonnummer, IP-Adresse, etc.). Technisch notwendige Maßnahmen zur Identifikation eines Browsers erfolgen über randomisierte anonyme IDs (`anonymousIDs`). Die anonyme ID wird gemeinsam mit anderen Metadaten im lokalen Speicher des Browsers (`localStorage`) abgelegt.
Maßnahmen zur Verschlüsselung
Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:
Hashing und Salting bei der Speicherung von Passwörtern
SSL-verschlüsselte Kommunikation zwischen allen technischen Komponenten (Innkeepr.js (Webseite) und Innkeepr APIs)
Maßnahmen zur Sicherung der Vertraulichkeit
1. Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:
Beschreibung des Zutrittskontrollsystems:
Arbeitsort ist der Wohnort (‘Homeoffice’) des jeweiligen Mitarbeiters. Der Zutritt zu etwaigen Kontroll- und Datenverarbeitungssystmen wird entsprechend vom Mitarbeiter vor ungültigem Zugriff gesichert.
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
2FA: Alle schützenswerten Inhalte werden auf dedizierten Datenbanken (Mongo Atlas, Dokumentation) verwaltet. Der Zugang ist ausschließlich über eine 2-Faktor-Authentifizierung seitens der Datenbankadministratoren möglich.
Technische Datenbanknutzer: der Auftragnehmer verwendet technische Datenbanknutzer, um den Zugang zu personenbezogenen Daten zu kontrollieren. Deren Zugriff wird durch ein Berechtigungskonzept auf reguliert, sodass je Kundenkonto dedizierte Lese- und Schreibrestriktionen existieren, welche einen kontoübergreifenden Datenzugriff verhindern.
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Beschreibung des Zugriffskontrollsystems:
Die Vermeidung eines Datenzugriff durch Unbefugte wird durch Notwendigkeit einer 2-Faktor-Authentifizierung auf dem Datenbankserver sichergestellt.
Im Fall eines unbefugten Zugriffes über technische Datenbanknutzer (welche stets vom Auftraggeber geheimzuhalten sind), können diese vom Auftragnehmer gesperrt werden.
4. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
Beschreibung des Trennungskontrollvorgangs:
Pro Kundenkonto existieren dedizierte Datenbanknutzer, welche den Zugriff auf schützenswerte Inhalte regulieren. Ein kontoübergreifender Zugriff auf schützenswerte Inhalte ist damit technisch ausgeschlossen
Maßnahmen zur Sicherung der Integrität
1. Datenintegrität
Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:
Beschreibung der Datenintegrität:
Vor Bereitstellung neuer Versionen werden umfassende Unit- und Integrationstests mit branchenüblichen Testframeworks (Mocha, Chai & Sinon) auf produktivnahen Anwendungsumgebungen durchgeführt.
Das Einspielen neuer Releases erfolgt durch automatisierte Prozesse ohne manuellen Eingriff.
Der Betrieb der Anwendung wird durch ein automatisiertes Logging aller nach Innen und Außen gerichteten Kommunikation dokumentiert.
2. Übertragungskontrolle
Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können:
Beschreibung der Übertragungskontrolle:
Der Betrieb der Anwendung, insbesondere die Kommunikation mit externen Anwendungen und APIs, die eine mögliche Übertragung personenbezogener Daten ermöglichen wird durch ein automatisiertes Logging dokumentiert.
3. Transportkontrolle
Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:
Beschreibung der Transportkontrolle:
Übermittlung von Daten geschieht über verschlüsselte Datennetze (SSL/TSL)
Dokumentierte Datenübertragung zwischen der Innkeepr-Anwendung und weiteren Anwendungen des Auftraggebers durch Logging
4. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
Beschreibung des Eingabekontrollvorgangs:
Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
1. Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Beschreibung des Verfügbarkeitskontrollsystems:
Tägliche Backups aller Datenbankbestände
Räumliche Trennung redundanter Datenbankserver
2. Rasche Widerherstellbarkeit
Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:
Bei Verlust oder Zerstörung können Backups tagesaktuell eingespielt und wiederhergestellt werden.
3. Zuverlässigkeit
Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:
Beschreibung der Maßnahmen zur Zuverlässigkeit:
Die Anwendung verfügt über ein automatisiertes Benachrichtigungssystem, welches die IT benachrichtigt, sobald kritische Funktionen der Anwendung nicht mehr erreichbar sind, oder nicht mehr funktionieren.
F. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung
1. Überprüfungsverfahren
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.
Beschreibung der Überprüfungsverfahren:
-
2. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
Beschreibung der Maßnahmen zur Auftragskontrolle:
-
Anlage 2
Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung
Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
Sofern die Datenverarbeitung außerhalb des Europäischen Wirtschaftsraumes stattfindet oder Zugriffe von außerhalb des Europäischen Wirtschaftsraumes erfolgen, sind in der folgenden Übersicht zudem die Maßnahmen und Garantien aufzuführen, die ein angemessenes Datenschutzniveau bei der Verarbeitung gem. Art. 44 DSGVO ff. sicherstellen (z.B. EU-Standardvertragsklauseln, Zertifizierung nach Privacy-Shield, BCR oder Angemessenheitsbeschluss der EU-Kommission).
Name/Firma: Amazon Web Services, Inc.
Funktion/Tätigkeit: Hosting, DNS-Verwaltung, Datenbankdienste
Mixpanel
Name/Firma: Mixpanel, Inc.
Funktion/Tätigkeit: DatenanalyseStripeName/
Firma: Stripe, Inc.
Funktion/Tätigkeit: Einhaltung der vertraglichen Pflichten / Erstellung eines Treuhandkontos
Sitz [Stadt, Land]: 510 Townsend Street San Francisco, CA 94103, USA
Microsoft
Name/Firma: Microsoft Corporation
Funktion/Tätigkeit: Hosting, DNS-Verwaltung, Datenbankdienste
Sitz [Stadt, Land]: Redmond, WA 98052-6399. USA