Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO

§ 1 Geltung und Definitionen

  1. Dieser Vertrag über eine Auftragsverarbeitung ("AVV") ergänzt die AGB von Oxolo über die Nutzung der Software himala. Dieser AVV findet keine Anwendung auf natürliche Per- sonen, die himala ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten im Sinne von Art. 2 Abs. 2 lit. c DSGVO verwenden.

  2. Im Falle eines Widerspruchs dieses AVV mit den AGB von Oxolo gilt dieser AVV vorran- gig.

  3. In diesem AVV verwendete Begriffe und deren Abwandlungen entsprechen denen, die in den AGB von Oxolo verwendet werden, sofern nachstehend nicht abweichend oder er- gänzend geregelt. Abweichend oder ergänzend kommen die folgenden Begriffe zur An- wendung:

  • "Auftraggeber": Bezeichnet den Nutzer im Sinne des Nutzungsvertrags. Dies ist die natürliche oder juristische Person, die die Softwarelösung himala und etwaige weitere von Oxolo angebotenen Leistungen auf Grundlage des Nutzungsvertrags nutzt bzw. nutzen möchte.

  • "Auftragnehmer": Bezeichnet Oxolo im Sinne des Nutzungsvertrags, d.h. die Oxolo GmbH, Bohnenstrasse 2, 20457 Hamburg.

  • "Nutzungsvertrag": Bezeichnet den zwischen dem Nutzer (bzw. Auftraggeber) und Oxolo (bzw. Auftragnehmer) geschlossenen Vertrag über die Nutzung der Software himala. Der Inhalt des Nutzungsvertrags ergibt sich aus den AGB von Oxolo.

  • "Parteien": Gemeinsame Bezeichnung für den Auftraggeber und den Auftragnehmer.

  • "AVV": Bezeichnet diesen Vertrag über eine Auftragsverarbeitung gemäß Art. 28 DSGVO nebst seinen Anlagen.

§ 2 Gegenstand und Dauer des Auftrags

  1. Dieser AVV konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsverarbeitung ergeben, die der Auftragnehmer gemäß dem Nutzungsver- trag für den Auftraggeber durchführt. Gegenstand des Auftrags ist die Bereitstellung der Softwarelösung himala und deren Funktionen. Für eine genaue Beschreibung der durch den Auftragnehmer zu erbringenden Leistungen wird auf den Nutzungsvertrag und die Anlage 1 verwiesen.

  2. Darüber hinaus findet dieser AVV Anwendung auf alle Tätigkeiten, die mit den Tätigkeiten gemäß Anlage 1 im Zusammenhang stehen und bei denen Mitarbeiter des Auftragneh- mers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

  3. Dieser AVV wird zwischen den Parteien gemeinsam mit dem Nutzungsvertrag abge- schlossen. Die Dauer dieses AVV entspricht der Laufzeit des Nutzungsvertrags. Die Ver- pflichtungen aus diesem AVV gelten aber auch nach Beendigung des Nutzungsvertrags weiter, solange der Auftragnehmer nicht sämtliche personenbezogenen Daten des Auf- traggebers nach Maßgabe dieses AVV herausgegeben, gelöscht oder sonst vernichtet hat.

§ 3 Konkretisierung des Auftragsinhalts

  1. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in Anlage 1.

  2. Der Auftragnehmer stellt in seinem Verantwortungsbereich die Einhaltung sämtlicher ge- setzlicher Bestimmungen zum Datenschutz sicher.

  3. Der Auftragnehmer verarbeitet die personenbezogenen Daten des Auftraggebers grund- sätzlich in einem Mitgliedstaat der Europäischen Union oder einem dem Europäischen Wirtschaftsraum angehörigen Staat. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. In diesem Fall wird der Auftragnehmer dafür Sorge tragen, dass in dem Drittland durch die dafür erfor- derlichen Maßnahmen ein angemessenes Datenschutzniveau sichergestellt ist.

  4. Der Auftraggeber stimmt bereits jetzt einer Verlagerung einzelner Verarbeitungsprozesse in die in Anlage 2 aufgeführten Drittländer zu. Für eine Übersicht, auf welche Weise in dem jeweiligen Drittland ein angemessenes Datenschutzniveau sichergestellt wird, wird auf Anlage 2 verwiesen.

  5. Gegenstand der vorliegenden Auftragsverarbeitung sind folgende Arten personenbezo- gener Daten: Input des Auftraggebers. Der Input des Auftraggebers umfasst sämtliche Inhalte und Daten, die der Auftraggeber in himala eingibt, hochlädt, durch Freigabe von externen Datenquellen verfügbar macht oder auf sonstige Weise an Oxolo zur Verarbeitung in himala übermittelt. Die Software himala ist u.a. zur Verarbeitung von verschiedensten Dateiformaten und Medien (z.B. Vi- deo-, Bild-, Audio- oder Textdaten) geeignet. Die Art der personenbezogenen Daten (so- fern als Bestandteil des Inputs vorhanden) wird allein durch den Auftraggeber bestimmt. Oxolo hat keine Kontrolle über die Art personenbezogenen Daten, die in himala verarbei- tet werden. Je nach Auswahl des Auftraggebers können die Daten daher die folgenden Arten von personenbezogenen Daten umfassen:

    • Personenstammdaten (z.B. Name, Kontaktdaten, Wohnsitz, Telefonnummer, Staatsangehörigkeit)

    • Video-, Bild- und Audio-Material (z.B. Fotos, Videos, Audioaufzeichnungen)

    • Kommunikationsdaten (z.B. Chat, E-Mail)

    • Dokumente (z.B. Vertragsunterlagen, Belege, Rechnungen, Vermerke, Notizen)

    • Tabellen- und Registerdaten (z.B. Excel Tabellen)

    • Kalendereinträge (z.B. Termine)

    • Standortdaten (z.B. auf Karten hinterlegte Informationen)

    • Programmcode

    • Besondere Kategorien von Daten

    • Firmendaten (z.B. Personaldaten, Präsentationen, Konzepte, Strategien)

    • Finanzkennzahlen (z.B. Kontoauszüge, Depotauszüge)

    • Gesundheitsdaten (z.B. Arztberichte, GesundheitsApps, Rezepte)

    • [...]

    • Weitere Eingabedaten des Auftraggebers

  6. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Personen, die im Input des Auftraggebers identifizierbar sind. Die Auswahl der Kategorien der durch die Verarbeitung betroffenen Personen trifft der Auftraggeber, sie hängen vom jeweiligen Input ab (siehe bereits § 3 Ziff. 5 des AVV). Die Kategorien der durch die Verarbeitung betroffenen Personen können umfassen:

    • Auftraggeber (sofern es sich um eine natürliche Person handelt)

    • Geschäftspartner

    • Kunden

    • Lieferanten

    • Mitarbeiter

    • Interessenten (z.B. Website-Besucher, Bewerber, potenzielle Geschäftspartner)

    • Sonstige Kontakte des Auftraggebers

    • Weitere in den Eingabedaten des Auftraggebers identifizierbare Personen

§ 4 Technisch-organisatorische Maßnahmen

  1. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organi- sation so gestalten, dass sie den datenschutzrechtlichen Anforderungen gerecht wird. Er hat hierzu die Sicherheit der Datenverarbeitung gemäß Art. 28 Abs. 3 c), 32 DSGVO ins- besondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt han- delt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Ver- traulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkret vom Auftragnehmer getroffenen Maß- nahmen sind in Anlage 3 (Technische und Organisatorische Maßnahmen) aufgeführt.

  2. Zum Nachweis der getroffenen Maßnahmen kann der Auftragnehmer auch aktuelle Tes- tate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Re- vision, Datenschutzbeauftragter, IT-Sicherheits- oder Datenschutzaudit vorlegen. Insbe- sondere die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO ist geeignet, um die Erfül- lung der hier genannten Anforderungen nachzuweisen. Soweit ein Audit des Auftragge- bers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fort- schritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alterna- tive adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgeleg- ten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumen- tieren.

§ 5 Weisungsbefugnis des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers nach Maßgabe der Regelungen des Nutzungsvertrags und der Anlage 1. Der Auftrag- nehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezo- genen Daten hat, dürfen die Daten, die im Auftrag verarbeitet werden, nur nach dokumen- tierter Weisung des Auftraggebers erheben, verarbeiten und nutzen, einschließlich der in diesem AVV eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind (Art. 29 DSGVO).

  2. Der Auftraggeber erteilt bereits jetzt die Weisung, die personenbezogenen Daten des Auf- traggebers (a) zum Betrieb von himala und zur Bereitstellung der Leistungen gemäß Nut- zungsvertrag, (b) wie durch die vertragsgemäße Nutzung von himala durch den Auftrag- geber weiter spezifiziert, und (c) wie in dem Nutzungsvertrag dokumentiert zu verarbeiten. Im Rahmen des bestehenden Vertragsverhältnisses kann der Auftraggeber zudem jeder- zeit Weisungen im Einzelfall („Einzelweisungen“) zur automatisierten Verarbeitung per- sonenbezogener Daten erteilen. Erteilt der Auftraggeber Einzelweisungen, die über die gesetzlichen Anforderungen oder die produktspezifischen Parameter von himala hinaus- gehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen. Der Auftrag- nehmer wird den Auftraggeber auf diesen Umstand sowie die Höhe der voraussichtlich entstehenden Kosten hinweisen und die betreffende Einzelweisung erst nach ausdrückli- cher Bestätigung durch den Auftraggeber durchführen.

  3. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate von Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherungsko- pien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforder- lich sind, sowie Kopien von Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbe- wahrungspflichten erforderlich sind.

  4. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mindestens in Textform).

  5. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Mei- nung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftraggeber die Wei- sung bestätigt und den Auftragnehmer zur Durchführung dieser Weisung trotz dessen Bedenken im Hinblick auf eine mögliche Rechtswidrigkeit der Weisung anweist, wird der Auftraggeber den Auftragnehmer von allen Schäden und Kosten freistellen, die dem Auf- tragnehmer aufgrund der Durchführung dieser Weisung entstehen, falls die Weisung sich tatsächlich als rechtswidrig erweist und gegen den Auftragnehmer deshalb Ansprüche geltend gemacht oder ein Bußgeld verhängt werden sollten.

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Der Auftragnehmer wird die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 b), 32 Abs. 4 DSGVO wahren. Zu diesem Zweck setzt der Auftragnehmer bei der Durchführung der Dienstleistungen gemäß dem Nutzungsvertrag nur Beschäftigte ein, die auf die Vertrau- lichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Die Vertraulichkeitsverpflichtung besteht auch nach Beendi- gung der Tätigkeit fort.

  2. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage der zuständigen Aufsichts- behörde bei der Beantwortung dieser Anfrage zusammen.

  3. Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit sie sich auf diesen Auftrag bezie- hen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrig- keits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

  4. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ord- nungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsver- arbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften angemessen zu unterstützen.

§ 7 Berichtigung, Einschränkung und Löschung von Daten, Betroffenenrechte

  1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

  2. Sofern sich eine betroffene Person bezüglich der in Abs. 1 genannten Rechte oder zwecks Wahrnehmung ihrer weiteren Betroffenenrechte unmittelbar an den Auftragnehmer wen- det, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiter- leiten.

§ 8 Unterauftragsverhältnisse

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung aus diesem AVV be- ziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer selbst z.B. als Te- lekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerser- vice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstel- lung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch ver- pflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskon- forme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

  2. Der Auftragnehmer darf zur Leistungserbringung die in Anlage 2 aufgelisteten Unterauf- tragnehmer einsetzen. Überdies erteilt der Auftraggeber dem Auftragnehmer die allge- meine Genehmigung für den künftigen Einsatz neuer und/oder den künftigen Wechsel bestehender Unterauftragnehmer.

  3. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Be- zug auf die Hinzuziehung oder die Ersetzung eines Unterauftragnehmers mindestens vier (4) Wochen, bevor er diesem Unterauftragnehmer ermöglicht, die personenbezogenen Daten des Auftraggebers zu verarbeiten ("Mitteilungsfrist"). Der Auftraggeber kann der Ernennung des neuen Unterauftragnehmers durch den Auftragnehmer innerhalb der Mit- teilungsfrist schriftlich widersprechen, sofern dieser Widerspruch auf sachlichen Gründen (z.B. in Zusammenhang mit Datenschutz) beruht. In einem solchen Fall erörtern die Par- teien diese Bedenken nach Treu und Glauben, um eine Lösung zu finden. Gelingt es den Parteien nicht, innerhalb der Mitteilungsfrist eine Lösung herbeizuführen, kann der Auf- traggeber als einziges und ausschließliches Rechtsmittel den Nutzungsvertrag fristlos kündigen. Macht der Auftraggeber von seinem Einspruchsrecht keinen Gebrauch, gilt die Änderung als genehmigt.

  4. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftrag- nehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzun- gen für eine Unterbeauftragung, insbesondere einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 4 DSGVO gestattet.

  5. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 einge- setzt werden sollen.

  6. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Datenverarbeitung durch die von ihm beauftragten Unterauftragnehmer wie für seine eigenen Leistungen unter die- sem AVV.

§ 9 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, so- weit diese Prüfer keine Wettbewerber des Auftragnehmers sind. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, bei anlassbe- zogenen Prüfungen aber jederzeit auch ohne vorherige Anmeldung, von der Einhaltung dieses AVV durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Betriebs- und Geschäftszeiten ohne Störung des Betriebsablaufes zu überzeugen.

  2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflich- ten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer ver- pflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen, die zur Durchführung einer Kontrolle erforderlich sind, und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

  3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;

  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;

  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

§ 10 Unterstützungspflichten des Auftragnehmers

  1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der ihm obliegenden Pflichten bzgl. der Sicherheit der Verarbeitung personenbezogener Daten, Meldepflichten bei Datenschutzverletzungen, Durchführung von Datenschutz-Folgeabschätzungen und vorherigen Konsultationen (Art. 32 bis 36 DSGVO). Zu den Unterstützungsleistungen des Auftragnehmers gehören insbesondere

a)  die Sicherstellung eines angemessenen Schutzniveaus durch technische und or- ganisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung so- wie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechts- verletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststel- lung von relevanten Verletzungsereignissen ermöglichen (vgl. § 3 dieses AVV);

b)  die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten unver- züglich an den Auftraggeber zu melden. Der Auftraggeber wird den Auftragnehmer daher unverzüglich und vollständig informieren, wenn er bei der Prüfung der Auf- tragsergebnisse Fehler oder Unregelmäßigkeiten mit datenschutzrechtlicher Rele- vanz feststellt. Darüber hinaus unterrichtet der Auftragnehmer den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen die Daten des Auftraggebers betref- fenden Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. Der Auftragnehmer wird alle erforderlichen und ihm zumutbaren Maßnahmen zur Sicherung der betroffenen Daten und zur Minderung möglicher Nachteile des Auf- traggebers ergreifen;

c)  die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegen- über der Aufsichtsbehörde und ggf. gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüg- lich zur Verfügung zu stellen;

d)  die Unterstützung des Auftraggebers im Rahmen einer etwaigen Datenschutz-Fol- genabschätzung;

e)  die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen der Aufsichtsbehörde;

f)  die Verpflichtung, auf Anfrage der zuständigen Aufsichtsbehörde bei der Beant- wortung dieser Anfrage mit dem Auftraggeber zusammenzuarbeiten und den Auf- traggeber hierbei angemessen zu unterstützen. 2. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung himala (vgl. Anlage 1) enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

§ 11 Löschung und Rückgabe von personenbezogenen Daten bzw. Vernichtung

  1. Nach Abschluss der vertraglich vereinbarten Dienstleistungen oder früher nach Aufforde- rung durch den Auftraggeber – spätestens jedoch mit Beendigung der Dienstleistungen aus dem Nutzungsvertrag – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten bzw. die Daten zu löschen, soweit nicht berechtigte Gründe im Sinne von Art. 17 Abs. 3 DSGVO der Lö- schung entgegenstehen. Gleiches gilt für Test- und Ausschussmaterial. Der Auftragneh- mer ist verpflichtet, über die Herausgabe, Löschung von personenbezogenen Daten oder Vernichtung von Datenträgern einen Nachweis zu führen und diesen dem Auftraggeber auf dessen Verlangen vorzulegen.

  2. Der Auftraggeber legt die erforderlichen Maßnahmen zur Löschung gespeicherter Daten nach Beendigung des Auftrages fest. Soweit nach Vertragsbeendigung zusätzliche Kos- ten durch Herausgabe oder Löschung der Daten des Auftraggebers entstehen, trägt diese der Auftraggeber.

  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverar- beitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewah- rungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlas- tung bei Vertragsende dem Auftraggeber übergeben.

§ 12 Haftung der Parteien

  1. Der Auftragnehmer haftet für die Erfüllung seiner Pflichten aus diesem AVV nach den Bestimmungen des Nutzungsvertrags.

  2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach der DSGVO oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung durch den Auftragnehmer nach diesem AVV erleidet, bleibt der Auf- traggeber gegenüber dem Betroffenen als Verantwortlicher im Sinne der DSGVO verantwortlich (Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO). Soweit der Auftraggeber zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragnehmer nach Maßgabe des Art. 82 Abs. 2 S. 2 DSGVO vorbehalten; im Übri- gen gelten Art. 82 Abs. 3 bis 6 DSGVO.

§ 13 Sonstiges

  1. Ein Zurückbehaltungsrecht an den im Rahmen des Auftrags verarbeiteten Daten gemäß § 273 BGB steht dem Auftragnehmer nicht zu.

  2. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlag- nahme durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammen- hang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.

  3. Bestandteil dieses AVV wird folgende Anlage:

    • Anlage 1 – Leistungsbeschreibung himala

    • Anlage 2 – Unterauftragnehmer

    • Anlage 3 – Technische und organisatorische Maßnahmen

Anlage 1 – Leistungsbeschreibung himala

Der Auftragnehmer stellt dem Auftraggeber die Software himala mit den nachfolgenden Funktio- nen bereit:

  • [...]

  • [...]

Die Software himala dient [...].

Zu diesem Zweck werden personenbezogene Daten durch den Auftragnehmer auf Weisung des Auftraggebers insbesondere erhoben, kategorisiert, umgewandelt, abgefragt, organisiert und ge- ordnet, gespeichert, analysiert (z.B. Mustererkennung), zusammengefasst und an den Auftrag- geber übermittelt, aktualisiert, bearbeitet und gelöscht bzw. vernichtet.

Anlage 2 – Unterauftragnehmer

  • Firma Unterauftrag- nehmer

  • Anschrift/Land

  • Datenübermittlung an Drittland

  • Sicherstellung des angemessenen Datenschutzniveaus

  • Leistung

Anlage 3 – Technische und organisatorische Maßnahmen

  1. Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)

    Zutrittskontrolle

    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen: Türsicherungen zur Zutrittssiwaltung und Vergabe der individuellen Zutrittsmöglichkeiten mit PIN-Chips, Schlüsselverzeichnis zur Verwaltung und Vergabe der individuellen Zutrittsberechtigungen, elektrische Türöffner Videoanlagen;

    Zugangskontrolle

    Keine unbefugte Systembenutzung: sichere Kennwörter, automatische Sperrmechanismen, Bildschirmschoner mit Passwortschutz, Einsatz von Spamfilter, Verschlüsselung von Datenträgern; Protokollierung der Zutritte in der elektronischen Zutrittssicherung; schnellstmögliche Sperrung der Mitarbeiter-PIN-Chips bei etwaigem Verlust; Videoüberwachung auf dem Betriebsgelände.

    Zugriffskontrolle

    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; Kennwortschutz, Richtlinie zur Entsorgung und Vernichtung von Ausstattung und Datenträgern.

    Trennungskontrolle

    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden: Bestehen eines Berechtigungskonzeptes, Festlegung von Datenbankrechten, Sandboxing; Trennung zwischen Test- und Produktivsystemen.

  2. Integrität (Art. 32 Abs. 1 b) DSGVO)

    Weitergabekontrolle

    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport: Verschlüsselung, elektronische Signatur, SPAM-Schutz;

    Eingabekontrolle

    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: Protokollierung, Dokumentenmanagement;

  3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 b) DSGVO)

    Verfügbarkeitskontrolle

    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust: Backup-Strategie (offsite Backupserver), kontinuierliches Backup mit zyklischer Sicherung der postgres-Datenbank Firewall, Risikomanagement, Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 c) DSGVO);

  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 d) DSGVO, Art. 25 Abs. 1 DSGVO)

    Datenschutz- und Informationssicherheits-Management;

    Verfahren für regelmäßige Kontrollen/Audits; Schulung von Mitarbeitern; Berichterstattung

    Regelmäßige Security- und PEN-Tests

    Auftragskontrolle

    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers: (z.B.) Eindeutige Vertragsgestaltung, Formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters