ADV V Bitte füllen Sie die Felder auf Seite 2, (optional 4, 5) und 9 aus. Seite 1 von 12

Transkript

1 ADV V Der Vertrag ist bereits digital unterzeichnet und in dieser Form gültig. Bitte drucken Sie diesen aus, unterzeichnen als Auftraggeber und senden uns einen Scan / ein hochauflösendes Foto per an datenschutz@appointman.net zurück. Erst dann gilt der Vertrag als abgeschlossen. Bitte füllen Sie die Felder auf Seite 2, (optional 4, 5) und 9 aus. Seite 1 von 12

2 Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO Zwischen der Firma APPOINTMAN UG (haftungsbeschränkt) Kaysers Kamp Edewecht nachfolgend Auftragnehmer genannt und der Firma Firmenname Straße, Hausnummer Postleitzahl, Ort nachfolgend Auftraggeber genannt Seite 2 von 12

3 1. Einleitung, Geltungsbereich, Definitionen 1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden Parteien genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. 2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten. 3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden schriftlich zu erfolgen haben, ist die Schriftform nach 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist. 2. Gegenstand und Dauer der Verarbeitung 2.1. Gegenstand 1. Der Auftragnehmer erhebt, verarbeitet und/oder nutzt personenbezogene Daten im Auftrag des Auftraggebers. 2. Gegenstand des Auftrages ist die Erhebung, Übertragung, Verarbeitung, Speicherung und Darstellung der Daten des Auftraggebers im Rahmen der Software des Auftragnehmers. 3. In Ergänzung zu dem/den zwischen den Parteien geschlossenen Vertrag/Verträgen konkretisieren die Vertragsparteien mit vorliegendem Auftragsverarbeitungsvertrag die gegenseitigen Pflichten im generellen Umgang mit den Daten des Auftraggebers Dauer 1. Die Laufzeit des Vertrages richtet sich nach der Dauer der Erbringung von Software-as-a-Service (SaaS) -Leistungen des Auftragnehmers an den Auftraggeber. Der Auftrag endet, wenn der Auftraggeber keine SaaS-Leistungen des Auftragnehmers, entsprechend den Leistungsvereinbarungen/Angeboten im Hauptvertrag für SaaS-Leistungen des Auftragnehmers, mehr in Anspruch nimmt. Seite 3 von 12

4 3. Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung 3.1. Art und Zweck der Verarbeitung 1. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung der Daten ergeben sich aus dem zwischen den Vertragsparteien bestehenden Vertrag. 2. Der Auftragnehmer ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden. Dem Auftragnehmer ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Erhebung, Verarbeitung und / oder Nutzung der personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Dem Auftragnehmer ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen. 3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 4. Daten aus Adressbüchern und Verzeichnissen dürfen nur zur Kommunikation im Rahmen der Auftragserfüllung mit dem Auftraggeber verwendet werden. Eine anderweitige Nutzung und Übermittlung für eigene oder fremde Zwecke, einschl. Marketingzwecke, ist nicht gestattet Art der Daten 1. Gegenstand der Erhebung, Verarbeitung und / oder Nutzung der Daten des Auftraggebers sind folgende Datenarten: Personenstammdaten Kommunikationsdaten (z.b. Telefon, ) Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse) Kundenhistorie (z.b. Terminbuchungen) Vertragsabrechnungs- und Zahlungsdaten Sonstige Daten: Seite 4 von 12

5 3.3. Kategorien der betroffenen Personen 1. Der Kreis der durch den Umgang mit den Daten Betroffenen umfasst: Kunden Interessenten Abonnenten Beschäftigte Sonstige Betroffene: 4. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. 3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. 4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. 5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. 6. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. 7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Seite 5 von 12

6 8. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. 9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. 10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. 11. Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. 5. Technische und organisatorische Maßnahmen 1. Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen. 2. Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Er muss den Auftraggeber hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Wesentliche Änderungen sind zu dokumentieren. 6. Unterauftragsverhältnisse 1. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen, insbesondere, aber nicht ausschließlich, für die Bereiche des Softwareentwicklungprozesses (Planung, Entwicklung, Test und Seite 6 von 12

7 Betrieb) und Telekommunikationsdienstleistungen, sowie Benutzerservice, verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt. 2. Die Auftragnehmer trägt dafür Sorge, dass dem Auftraggeber eine aktuelle Liste der eingesetzten Unterauftragnehmer im Kundenportal stets zum Abruf zur Verfügung steht. Bei Änderung dieser Liste in Bezug auf die Hinzuziehung oder Ersetzung von weiteren Auftragnehmern ergeht hierüber eine Information an den Auftraggeber. 3. Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Auftragsverarbeitungsvertrag dem Unterauftragnehmer zu übertragen. 4. Setzt der Auftragnehmer weitere Unterauftragnehmer ein, steht dem Kunden ein Einspruchsrecht von 14 Tagen in Schrift- oder Textform zu. Nimmt der Auftraggeber diese Frist nicht wahr, gilt die Genehmigung als erteilt. Soweit der Auftraggeber Einspruch erhebt, steht diesem ein Sonderkündigungsrecht zu dem Zeitpunkt zu, in dem der Subunternehmer eingesetzt wird. 7. Rechte und Pflichten des Auftraggebers 1. Der Auftraggeber ist für die Einhaltung der für ihn einschlägigen datenschutzrechtlichen Regelungen verantwortlich. 2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Verstöße des Auftragnehmers gegen datenschutzrechtliche Bestimmungen feststellt. 3. Den Auftraggeber treffen die sich aus Art. 24 DSGVO und Art. 13 und 14 DSGVO ergebenden Informationspflichten. 8. Weisungsbefugnisse, Berichtigung, Löschung und Sperrung, Rechte Betroffener 1. Der Auftraggeber hat selbst jederzeit umfassenden Zugriff auf die Daten, so dass es einer Mitwirkung des Auftragnehmers insbesondere auch zu Berichtigung, Sperrung, Löschung etc. nicht bedarf. Soweit eine Mitwirkung des Auftragnehmers erforderlich ist, ist der Auftragnehmer hierzu gegen Erstattung der anfallenden Kosten verpflichtet. Dem Auftraggeber steht in diesem Fall ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung gemäß Art. 29 i.v.m. 28 DSGVO zu. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 2. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze verpflichtet, Auskünfte zur Erhebung, Verarbeitung und / oder Seite 7 von 12

8 Nutzung von Daten zu erteilen, wird der Auftragnehmer den Auftraggeber dabei soweit notwendig bei der Bereitstellung dieser Informationen unterstützen. Eine diesbezügliche Anfrage hat der Auftraggeber schriftlich an den Auftragnehmer zu richten und diesem die hierdurch entstandenen Kosten zu erstatten. 3. Durch den Auftraggeber gelöschte Daten werden entweder komplett gelöscht oder mindestens pseudonymisiert. Zwecks Verfügbarkeit und Wiederherstellbarkeit der Daten werden die Daten jedoch im Rahmen der technischen und organisatorischen Maßnahmen noch bis zu 30 Tage in Backups und Log-Dateien verfügbar sein. 9. Kontrollrechte des Auftraggebers 1. Der Auftraggeber hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 2. Dem Auftraggeber steht hierzu die durch den Auftragnehmer erstellte, regelmäßig überarbeitete und den gesetzlichen Anforderungen entsprechende Dokumentation über die vorhandenen technischen und organisatorischen Maßnahmen zur Verfügung. 3. Der Auftraggeber hat das Recht, die Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in seinem Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die dem Auftragnehmer durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten. 4. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 1 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass der Auftraggeber sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. 5. Der Auftragnehmer verpflichtet sich, den Auftraggeber auf Anforderung die zur Wahrung seiner bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit der Auftragnehmer die Kontrolle seiner Unterauftragnehmer für den Auftraggeber durchführt. Seite 8 von 12

9 10. Salvatorische Klausel, Gerichtsstand 1. Sollte eine Bestimmung dieses Vertrages ungültig oder undurchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieses Vertrages hiervon unberührt. Die Parteien vereinbaren, die ungültige oder undurchsetzbare Bestimmung durch eine gültige und durchsetzbare Bestimmung zu ersetzen, welche wirtschaftlich der Zielsetzung der Parteien am nächsten kommt. Das Gleiche gilt im Falle einer Regelungslücke. 2. Als Gerichtsstand wird Oldenburg (Oldenburg), vereinbart., den Auftraggeber Auftragnehmer: Marc Petersen (Geschäftsführer) ANLAGE: 1) Technische und organisatorische Maßnahmen Seite 9 von 12

10 Anlage 1: Technische und organisatorische Maßnahmen Der Auftragnehmer sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben: 1. Maßnahmen zur Sicherung der Vertraulichkeit 1.1. Zutrittskontrolle Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren. Beschreibung des Zutrittskontrollsystems: Zutritte bzgl. Hosting-Systemen sind entsprechend durch die hohe AWS Sicherheitsstandards über diverse Arten gewährleistet. Zutritt zu den Geschäftsräumen von appointman erhalten Personen nur in direkter Begleitung durch einen appointman Mitarbeiter. Die Geschäftsräume können nur durch den Geschäftsführer aufgeschlossen werden keine weiteren Schlüssel vergeben Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können. Beschreibung des Zugangskontrollsystems: Zugänge zu appointman Systemen erfolgen nur über individuelle VPN Verbindungen. Zugänge zur Serververwaltung sind mittels Zwei-Faktor-Authentifizierung sichergestellt. Passwörter werden über lokale Passwort-Manager mit einer Mindestlänge von 12 Zeichen und 2 Special Characters generiert und (je nach System) mit einem Ablauf-Datum für den regelmäßigen Wechsel (6 Monate) versehen. Einsatz von Firewalls 1.3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Beschreibung des Zugriffskontrollsystems: Festplatten sind verschlüsselt (FileVault2) Rechner werden beim Verlassen gesperrt 1.4. Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist. Seite 10 von 12

11 Beschreibung des Trennungskontrollvorgangs: Zugriffe auf Daten erfolgt über eine Schnittstelle, welche immer die Berechtigungen des anfragenden Nutzers prüft bevor Daten geladen oder verändert werden. Sicherheitsrelevante Daten werden verschlüsselt gespeichert. Sofern Migrationen getestet oder Tests vorgenommen werden, die Echtdaten erfordern, so erfolgt dies auf getrennten/lokalen Systemen, welche keine Zugriffskonfiguration auf Produktivsysteme haben Pseudonymisierung Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren. Beschreibung des Pseudonymisierungsverfahrens: Sicherheitsrelevante Informationen wie Zugangsdaten und Bankdaten werden verschlüsselt. Stammdaten von Personen werden nicht verschlüsselt in der Datenbank gespeichert. HmacSHA256 and a Salt 2. Maßnahmen zur Sicherung der Integrität 2.1. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. Beschreibung der Weitergabekontrolle: Ausschließlich SSL und VPN Verbindungen 2.2. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Beschreibung des Eingabekontrollvorgangs: Datenbank-Protokollierung aller Änderungen Protokollierung der System-Zugriffe durch Log-Files inkl. Auswertungsmöglichkeiten durch AWS CloudWatch 3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit 3.1. Verfügbarkeitskontrolle Seite 11 von 12

12 Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Beschreibung des Verfügbarkeitskontrollsystems: Datenbanken sind mehrfach gespiegelt (MongoDB replica set mit 3 members), inkl. regelmäßiger Backups Sicherung der Hardware erfolgt durch AWS direkt Rasche Wiederherstellbarkeit Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Beschreibung der Maßnahmen: Bei Ausfall/Überlastung einer Datenbank übernimmt automatisch eine andere Instanz Im Worst-Case können Backups eingespielt werden. Dies erfolgt regelmäßig auf Test-Datenbanken. 4. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen. Beschreibung der Überprüfungsverfahren: Überwiegend durch AWS sichergestellt im Hosting Bereich. Im eigenen Unternehmen erfolgt dies bisher über internes Datenschutzmanagement Seite 12 von 12