Vertrag über Auftragsdatenverarbeitung

Transkript

1 Vertrag über Auftragsdatenverarbeitung Informationen zur Verwendung dieses Dokuments Die Datenschutzgesetze sehen für einige Bestandteile einer Auftragsdatenverarbeitung ein unterschriebenes Papierdokument vor. Web Arts stellt daher den Unternehmen, die Iridion nutzen, diesen Vertrag über Auftragsdatenverarbeitung zur Ausfertigung auf Papier Verfügung. Damit der Unterschriftsprozess möglichst reibungslos und schnell abläuft, bitten wir Sie, wie folgt vorzugehen: Der Vertrag über Auftragsdatenverarbeitung richtet sich ausschließlich an Unternehmen, die Iridion nutzen und gilt nur für den Teil von Iridion, zu nur nach Anmeldung bei Iridion Zugang gewährt wird. Wenn Sie noch kein Nutzer von Iridion sind, melden Sie sich bitte bei Iridion an, bevor Sie diesen Vertrag unterzeichnen. Für die öffentlich zugänglichen anderen Angebote von Web Arts, einschließlich Webseiten zu Iridion, die ohne Anmeldung zugänglich sind, gelten die jeweils dort angegebenen Datenschutzerklärungen. Füllen Sie die untenstehenden Angaben auf dem Deckblatt aus und unterschreiben Sie das Deckblatt. Senden Sie zwei unterschriebene Ausfertigungen an Web Arts AG, Seifgrundstraße 2, Bad Homburg. Wir werden Ihnen dann ein Exemplar nach Gegenzeichnung zukommen lassen. Vielen Dank für Ihre Unterstützung! Ihre Web Arts AG

2 Vertragsdeckblatt zum Vertrag über Auftragsdatenverarbeitung Zwischen Web Arts AG Seifgrundstraße 2, Bad Homburg vertreten durch die Vorstände André Morys und Thorsten Barth ( Web Arts ) und (Unternehmensbezeichnung) (Straße, Hausnummer) (PLZ, Ort) ( -Adresse des Ansprechpartners) wird ein Vertrag über Auftragsdatenverarbeitung abgeschlossen. Die Bedingungen ergeben sich im Einzelnen aus den Folgeseiten und den dort referenzierten Unterlagen. Ich bestätige mit meiner Unterschrift, dass ich dieses Vertragsdeckblatt sowie den auf den Folgeseiten beigefügten Vertrag über Auftragsdatenverarbeitung samt seiner Anlage, so wie von Web Arts bereitgestellt und ohne Änderungen, zu Kenntnis genommen und unterschrieben habe. Ich nehme zur Kenntnis, dass ein wirksamer Vertrag über Auftragsdatenverarbeitung zwischen mir bzw. meinem Unternehmen und Web Arts nicht zu Stande kommt, sofern durch mich oder durch mich veranlasst inhaltliche Änderungen an dem Vertrag über Auftragsdatenverarbeitung samt seiner Anlage vorgenommen wurden. Mir ist bewusst, dass ich in diesem Fall für das Fehlen einer Auftragsdatenverarbeitung verantwortlich bin. (Unternehmensbezeichnung) Web Arts AG (Ort, Datum) Bad Homburg, den (Unterschrift, Titel) (Unterschrift, Titel)

3 Vertrag über Auftragsdatenverarbeitung Version 1.0, Stand: 6. März 2016 Hintergrund "Iridion" unterstützt Unternehmen, Agenturen, Dienstleister und im Prinzip alle, die an der Optimierung von Websites arbeiten, über mehrere Kanäle wie , Chat und durch das Teilen von Dokumenten, miteinander zu kommunizieren und Websites zu optimieren. Iridion wird als Software-as-a-Service (SaaS) - Anwendung angeboten und fortlaufend verbessert und weiterentwickelt. Iridion hat Funktionen, die es dem Kunden und dessen Nutzern ermöglichen, Informationen in Iridion zu speichern und zu importieren. Soweit diese Informationen personenbezogene Daten enthalten, vereinbaren die Parteien, dass dies im Wege der Auftragsdatenverarbeitung erfolgt, wobei Web Arts als Auftragnehmer personenbezogene Daten für den Kunden als Verantwortliche Stelle erhebt, speichert und verarbeitet. Diese Vereinbarung über die Auftragsdatenverarbeitung (nachfolgend: ADV ) gilt für die personenbezogenen Daten, die vom Auftragnehmer im Zuge der Nutzung von Iridion durch den Auftraggeber und dessen Nutzer erzeugt werden. Die ADV legt die Pflichten der Parteien bei der Auftragsdatenverarbeitung fest. Sie gilt für alle vom Auftragnehmer im Rahmen der ADV durchgeführten Aktivitäten, bei denen die Mitarbeiter des Auftragnehmers oder vom Auftragnehmer beauftragte Dritte personenbezogene Daten des Auftraggebers verarbeiten. Diese ADV gilt nicht für andere Produkte, Webseiten oder Dienste von Web Arts. In Bezug auf Iridion hat diese ADV Vorrang vor etwaigen sonstigen Datenverarbeitungsvereinbarungen oder ähnlichen Vereinbarungen der Parteien, die etwa vorher in Bezug auf solche anderen Produkte, Webseiten oder Dienste abgeschlossen wurden.. 1. Definitionen Zusätzlich zu den andernorts im Hauptvertrag definierten Begriffen gelten die folgenden Definitionen: 1.1 Personenbezogene Daten bezieht sich auf Einzelangaben zu den persönlichen oder wirtschaftlichen Verhältnissen einer bestimmten oder bestimmbaren natürlichen Person. 1.2 Auftragsdatenverarbeitung bezeichnet die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer für Zwecke und gemäß Weisungen des Auftraggebers. 1.3 Weisung bezeichnet die vom Auftraggeber erteilte schriftliche Anordnung einer datenschutzrelevanten Maßnahme in Bezug auf personenbezogene Daten (z.b. Anonymisierung, Sperrung, Löschung oder Übermittlung). Allgemeine Weisungen sind im Vertrag festgelegt und können vom Auftraggeber durch individuelle Einzelweisungen geändert werden. Weisungen sind grundsätzlich schriftlich zu erteilen oder sind vom Auftraggeber unverzüglich schriftlich (durch Brief oder ) zu bestätigen, sofern sie mündlich erteilt werden. 2. Umfang Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, Verhältnis zum Hauptvertrag Art, Umfang und Zweck der Verarbeitung von personenbezogenen Daten durch den Auftragnehmer sind im Einzelnen in dem Vertrag beschrieben, unter dem der Auftragnehmer dem Auftraggeber Iridion bereitstellt, einschließlich der zugehörigen Anhänge (der Hauptvertrag ). Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 1

4 Zusammengefasst bestehen danach Zugriffsmöglichkeiten des Auftragnehmers auf personenbezogene Daten: beim Betrieb der IT-Infrastruktur, die Iridion bereitstellt, insbesondere der Server-Systeme und der darauf betrieben Anwendungen (Datenbank-, Backup-, Web-Server, SAN-Umgebung); bei der technischen Administration der Iridion-Systeme; bei sonstigen Support-Tätigkeiten für die Iridion-System, z.b. bei der Überwachung der Systemzustände; Bei der Bereitstellung und laufenden Betreuung von Sicherheitseinrichtungen und deren Protokolle, z.b. Management einer Firewall samt Prüfung der Log-Files; Bei der Nutzung von Iridion Funktionen gemeinsam mit dem Auftraggeber, falls von diesem beauftragt. 3. Anwendungsbereich und Verantwortlichkeit 3.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers. 3.2 Die Laufzeit dieser ADV beginnt, je nachdem was früher eintritt und gegebenenfalls mit Rückwirkung, zu dem Zeitpunkt, zu dem beide Parteien diese ADV unterschrieben haben oder zu dem der Hauptvertrag beginnt. Die Laufzeit dieser ADV richtet sich nach dem Hauptvertrag. Mit dem Ende des Hauptvertrags endet automatisch auch diese ADV, ohne dass es einer Kündigung bedarf. 3.3 Folgende Arten personenbezogener Daten werden i.d.r. vom Auftragnehmer erhoben, verarbeitet und genutzt: Stammdaten und Kontaktdaten der Mitarbeiter des Auftraggebers, die den Zugang zu Iridion einrichten Stammdaten und Kontaktdaten der Nutzer, die der Auftraggeber in Iridion einrichtet, insbesondere deren Benutzername, Passwort, -Adresse, Zugriffsrechte; Personenbezogene Daten, die aus der Nutzung von Iridion durch die Nutzer des Auftraggebers erzeugt oder abgeleitet werden, insbesondere die verwendete IP-Adresse, die Aktivitäten des Iridion Nutzers, das genutzte Breitband, den Speicherplatz oder die CPU-Kapazität, Login/Logoff- Zeiten, jeweils nur, soweit diese Daten nicht anonymisiert wurden, um aggregierte Nutzungsdaten zu erzeugen; Personenbezogene Daten, die von den Iridion Nutzern durch die Nutzung von Iridion erzeugt werden oder von diesen bei Iridion eingestellt werden, z.b. solche personenbezogenen Daten, die notwendigerweise im Inhalt von Nachrichten oder Chats enthalten sind, oder in Dokumenten, Bildern, URLs und anderen Inhalten. Soweit der Auftragnehmer personenbezogene Daten erhebt, verarbeitet und nutzt, die für den Abschluss und die Erfüllung des Vertrags notwendig sind, wie beispielsweise Name, Post- und - Adresse, Telefonnummer, Name der Firmen/Organisationen und deren Anschrift, ggf. besondere Rechnungsadresse, IP-Adresse, Zahlungsdaten, liegen diese personenbezogenen Daten außerhalb des Geltungsbereichs dieser ADV. 3.4 Folgende Personenkreise sind von der Verarbeitung personenbezogener Daten nach dieser ADV betroffen (die Betroffenen ): Natürliche Personen, die für den Auftraggeber tätig sind, wie z.b. Angestellte, Organmitglieder wie Geschäftsführer oder Vorstände, freie Mitarbeiter, Berater, insbesondere solche, die als Kontaktpersonen zum Auftragnehmer fungieren; Unternehmen und bei diesen Unternehmen tätige natürliche Personen, die vergleichbare Tätigkeiten bei mit dem Auftraggeber verbundene Unternehmen ausüben, oder die Partner, Handelsvertreter, Subunternehmer, Dienstleister, Lieferanten und andere Geschäftspartner des Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 2

5 Auftraggebers sind; Unternehmen und natürliche Personen, die Kunden des Auftraggebers sind; Natürliche Personen, die für solche Kunden des Auftraggebers tätig sind, wie z.b. Angestellte, Organmitglieder wie Geschäftsführer oder Vorstände, freie Mitarbeiter, Berater, insbesondere solche, die als Kontaktpersonen zum Auftraggeber fungieren; Unternehmen und bei diesen Unternehmen tätige natürliche Personen, die vergleichbare Tätigkeiten bei mit dem Kunden des Auftraggebers verbundenen Unternehmen ausüben, oder die Partner, Handelsvertreter, Subunternehmer, Dienstleister, Lieferanten und andere Geschäftspartner des Kunden des Auftraggebers sind; Unternehmen oder natürliche Personen, die Interesse geäußert haben, Kunden des Auftraggebers zu werden; Andere Unternehmen oder natürliche Personen, denen der Auftraggeber unter Beachtung der Regelungen des Hauptvertrags einen Zugang zu Iridion eingerichtet hat. 3.5 Der Auftraggeber ist allein verantwortlich (verantwortliche Stelle) für die Einhaltung der Datenschutzvorschriften, die für die gemäß Hauptvertrag vertragsgegenständlichen Produkte und Dienste gelten. Dies umfasst insbesondere die Rechtmäßigkeit der Weitergabe und Verarbeitung personenbezogener Daten an und durch den Auftragnehmer. 3.6 Im Rahmen dieser Verantwortlichkeit kann der Auftraggeber Berichtigung, Löschung, Sperrung und Übermittlung personenbezogener Daten während der Laufzeit und nach Beendigung des Vertrags anweisen. Ziff. 5.4 Satz 2 dieser ADV bleibt unberührt. Die Anweisung zur Sperrung oder Löschung personenbezogener Daten kann dazu führen, dass die Bereitstellung von Produkten oder Dienstleistungen bzw. die Anmeldung dazu unmöglich wird. Der Auftragnehmer benachrichtigt den Auftraggeber über diese Auswirkungen, bevor er entsprechenden Weisungen Folge leistet. 3.7 Diese ADV gilt auch für die Überprüfung oder Wartung von automatisierten Prozessen oder für Datenverarbeitungssysteme, die über Fernzugriff funktionieren, wenn nicht ausgeschlossen werden kann, dass bei der Ausführung dieser Aufgaben ein Zugriff auf personenbezogene Daten möglich ist. 3.8 Sofern der Auftragnehmer aggregierte, anonymisierte Daten verwendet, die nicht als personenbezogene Daten einzustufen sind, darf der Auftragnehmer diese für (i) die Überwachung und Verbesserung seiner Leistungen verwenden; (ii) die Einrichtung und Erstellung von Analysen und anderer interner und externer Berichte (die nicht die Identität des Auftraggebers oder eines der Betroffenen offenlegen, falls nicht abweichend vereinbart) oder (iii) die Bereitstellung von anderen Produkten oder Dienstleistungen gegenüber dem Auftraggeber, einschließlich für Datenanalysen, sofern diese in Übereinstimmung mit den geltenden Datenschutzgesetzen durchgeführt werden. 4. Pflichten des Auftragnehmers 4.1 Der Auftragnehmer darf personenbezogene Daten ausschließlich im Rahmen dieser ADV nach Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Wesentliche Änderungen des Gegenstands der ADV oder wesentliche Änderungen der Verfahren sind gemeinsam zu vereinbaren und zu dokumentieren. Der Auftragnehmer wird rechtskonformen Weisungen des Auftraggebers nachkommen. Die Umsetzung von bestimmten Weisungen kann jedoch eine zusätzliche Vergütung des Auftragnehmers erfordern. Der Auftragnehmer informiert den Auftraggeber hierüber, bevor er der Weisung folgt. Der Auftraggeber kann jedoch jederzeit (z.b. in dringenden Fällen) auf die vorherige Information verzichten, unbeschadet des Anspruchs des Auftragnehmers auf zusätzliche Vergütung. 4.2 Der Auftragnehmer gestaltet die interne Organisation so, dass sie den besonderen Anforderungen der von der EU erlassenen Richtlinien und Vorgaben zum Schutz personenbezogener Daten ( EU Datenschutzvorgaben ) und deren Implementierung in nationales Recht entspricht, insbesondere dem Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 3

6 BDSG. Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Daten des Auftraggebers entsprechend den einschlägigen anwendbaren Gesetzen und im Einklang mit den EU Datenschutzvorgaben (in Deutschland: 9 BDSG und der entsprechende Anhang) vor Missbrauch und Verlust zu schützen. 4.3 Der Auftragnehmer stellt dem Auftraggeber eine Übersicht aller technischen und organisatorischen Maßnahmen zur Verfügung, die als Anlage 1 beigefügt ist. Der Auftraggeber nimmt zur Kenntnis, dass diese technischen und organisatorischen Maßnahmen sich abhängig vom technischen Fortschritt und der weiteren Entwicklung weiterentwickeln. Der Auftragnehmer kann auch ohne Rücksprache mit dem Auftraggeber geeignete alternative Maßnahmen einsetzen. 4.4 Auf Anforderung übermittelt der Auftragnehmer dem Auftraggeber die notwendigen Informationen zur Erstellung eines Verfahrensverzeichnisses. 4.5 Der Auftragnehmer gewährleistet, dass das Personal, welches er für die Verarbeitung der Daten des Auftraggebers einsetzt, über das Datengeheimnis, sonstige anwendbare Vorschriften zum Schutz personenbezogener Daten und, falls erforderlich, das Fernmeldegeheimnis belehrt und verpflichtet wurde, diese Vorschriften einzuhalten. Die Pflicht zur Einhaltung des Datengeheimnisses muss auch nach Beendigung der Arbeitsverträge fortbestehen. 4.6 Der Auftragnehmer stellt die Kontaktdaten seines Datenschutzbeauftragten (DSB) im Internet zur Verfügung. Die aktuellen Kontaktdaten des DSB finden sich auf der Webseite des Auftragnehmers unter:: Die DSB ist unter datenschutz@iridion.de per erreichbar. 4.7 Der Auftragnehmer informiert den Auftraggeber über Verstöße gegen Vorschriften, die die personenbezogenen Daten des Auftraggebers schützen, oder falls die Weisungen des Auftraggebers oder von Personen, die beim Auftraggeber beschäftigt sind, nicht ordnungsgemäß befolgt wurden. 4.8 Der Auftragnehmer hat das Recht, Sicherungskopien der personenbezogenen Daten zu erstellen, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, und kann solche personenbezogene Daten kopieren und aufbewahren, die erforderlich sind, damit der Auftraggeber seinen gesetzlichen Aufbewahrungspflichten nachkommen kann. 4.9 Der Auftragnehmer wird mit den ihm zur Verfügung gestellten Datenträgern und Kopien sorgsam umgehen, so dass sie Dritten nicht zugänglich sind. Nach Einzelweisung durch den Auftraggeber wird der Auftragnehmer für eine ordnungsgemäße Vernichtung von solchem Material sorgen, welches bestimmte personenbezogene Daten zur Löschung oder Vernichtung enthält,. Die Kosten der Vernichtung trägt der Auftraggeber Der Auftragnehmer informiert den Auftraggeber, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde Die Erfüllung der vorstehend genannten Pflichten wird vom Auftragnehmer kontrolliert und im Rahmen der standardmäßigen Auditverfahren des Auftraggebers ein geeigneter Nachweis geführt. 5. Pflichten des Auftraggebers 5.1 Der Auftraggeber wird dem Auftragnehmer nur rechtmäßige Weisungen erteilen, wobei der Auftragnehmer den Auftraggeber zur Wiederholung einer Weisung auffordern kann, wenn er der Ansicht ist, dass die betreffende Weisung gegen einschlägige Datenschutzgesetze verstößt; die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten unterrichten und gegebenenfalls deren Einwilligung einholen; den einschlägigen rechtlichen und aufsichtlichen Meldepflichten und Anforderungen von Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 4

7 Datenschutz-Aufsichtsbehörden nachkommen, einschließlich der Erteilung von Weisungen an den Auftragnehmer; den Auftragnehmer informieren, sofern einschlägige Gesetze, Verordnungen oder Richtlinien oder Änderungen derselben in bestimmten Fällen Auswirkungen auf die Handhabung der personenbezogenen Daten des Auftraggebers durch den Auftragnehmer haben; den Auftragnehmer umgehend und umfassend über etwa festgestellte Fehler oder rechtliche Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten informieren. 5.2 Soweit ein Verfahrensverzeichnis gesetzlich vorgeschrieben, obliegt die Führung desselben dem Auftraggeber. 5.3 Dem Auftraggeber obliegen die Pflichten zur Anzeige von Datenschutzverstößen. 5.4 Der Auftraggeber legt im Vertrag oder durch Einzelweisungen die nach Beendigung dieser ADV durchzuführenden Maßnahmen zur Rückgabe oder Vernichtung der dem Auftragnehmer zur Verfügung gestellten Medien und der beim Auftragnehmer gespeicherten personenbezogenen Daten fest. Der Auftraggeber kann Löschung beim Auftragnehmer gespeicherter personenbezogener Daten insoweit nicht verlangen, als der Auftragnehmer von Gesetzes wegen verpflichtet ist, Unterlagen mit personenbezogenen Daten aufzubewahren, beispielsweise handels- oder steuerrechtliche Vorschriften zur Aufbewahrung von Unterlagen. Wenn der Auftragnehmer personenbezogene Daten aufbewahren muss, werden diese solange gesperrt, bis die jeweilige Aufbewahrungsfrist abgelaufen ist. Außerdem werden personenbezogene Daten im zulässigen Umfang dann gesperrt und nicht gelöscht, wenn die Löschung aus technischen Gründen nicht sinnvoll durchführbar ist oder aufgrund der Art der Speicherung nur mit unverhältnismäßigen Kosten. 5.5 Zusätzliche Kosten, die aufgrund der Übermittlung oder Löschung personenbezogener Daten nach Beendigung der ADV entstehen, trägt der Auftraggeber. 5.6 Der Auftraggeber benachrichtigt den Auftragnehmer rechtzeitig über Änderungen der anwendbaren Gesetze im Bereich Datenschutz, die sich auf die vertraglichen Pflichten des Auftragnehmers auswirken und möglicherweise eine Änderung dieser ADV erfordern. Die Parteien werden eine für beide Seiten akzeptable Lösung finden und Auswirkungen etwaiger Maßnahmen auf die vereinbarte Vergütung berücksichtigen. Der Auftragnehmer kann dem Auftraggeber Vorschläge machen, wenn er der Auffassung ist, dass eine bestimmte Änderung notwendig ist, um weiterhin das anwendbare Recht einzuhalten. 6. Anfragen von Betroffenen 6.1 Soweit der Auftraggeber gesetzlich verpflichtet ist, einen Betroffenen über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu informieren, wird der Auftragnehmer den Auftraggeber dabei in angemessenem Umfang unterstützen, unter der Voraussetzung, dass: der Auftraggeber den Auftragnehmer schriftlich dazu aufgefordert hat, und der Auftraggeber dem Auftragnehmer die infolge der Unterstützung entstandenen Kosten erstattet. 6.2 Sofern sich ein Betroffener wegen Berichtigung bzw. Löschung personenbezogener Daten direkt an den Auftragnehmer wendet, wird der Auftragnehmer diese Anfrage an den Auftraggeber weiterleiten, der den Auftragnehmer dann umgehend anweist, wie er vorzugehen hat. 7. Überprüfungsrechte Im Hinblick auf die Pflicht zur Kontrolle des Auftragnehmers vor Beginn der Datenverarbeitung und während der Laufzeit der ADV, sorgt der Auftragnehmer dafür, dass der Auftraggeber die vom Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 5

8 Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen überprüfen kann. Hierzu legt der Auftragnehmer dem Auftraggeber zu Beginn der Auftragsdatenverarbeitung, und danach auf Aufforderung durch den Auftraggeber, einen Nachweis über die eingeführten technischen und organisatorischen Maßnahmen in Form einer Selbstauskunft vor. Nachweise über Maßnahmen, die sich nicht ausschließlich auf diese ADV oder auf den Hauptvertrag beziehen, können durch Vorlage aktueller Zertifikate, Berichte oder Auszüge aus Berichten von unabhängigen Dritten ergänzt werden, z.b. von amtlich zugelassenen Wirtschaftsprüfern, Buchprüfern, den/die internen und/oder externen Datenschutzbeauftragten des Auftragnehmers, die IT-Abteilung des Auftragnehmers, den/die internen und/oder externen Datenschutzprüfer des Auftragnehmers, Qualitätsprüfer oder durch entsprechendes Zertifikat, das nach Prüfung der IT-Sicherheit oder des Datenschutzes des Auftragnehmers durch Dritte erstellt wird, z.b. entsprechend der Norm des Bundesamts für Sicherheit in der Informationstechnik (BSI). 8. Unterauftragsdatenverarbeitung 8.1 Der Auftragnehmer kann die vertraglich vorgesehene Auftragsdatenverarbeitung ganz oder teilweise durch Dritte ( Unterauftragsdatenverarbeiter ) erbringen lassen, sofern dabei die nachfolgenden Regelungen eingehalten werden ( Unterauftragsdatenverarbeitung ). 8.2 Der Auftraggeber ist grundsätzlich damit einverstanden, dass der Auftragnehmer an sorgfältig ausgewählte Drittunternehmen Unteraufträge erteilt, wenn die ausgelagerten Funktionen lediglich unterstützender Natur sind und nur geringfügig unmittelbare Bedeutung für die Bereitstellung von Iridion haben (z.b. Hausmeister- und Reinigungsdienste in den Geschäftsräumen des Auftragnehmers, Stromversorgung, Benutzerservice, Prüfer, allgemeine Versorgung mit Internet- /Telekommunikationsanschlüssen). 8.3 Die Verlagerung von für die Datenverarbeitung wesentlichen Bestandteilen der Auftragsdatenverarbeitung auf einen Unterauftragnehmer ist grundsätzlich nur mit vorheriger schriftlich erteilter (einschließlich oder Telefax) Zustimmung des Auftraggebers zulässig. Der Auftraggeber wird seine Zustimmung unverzüglich erteilen, sofern es keine wesentlichen Gründe gibt, sie zu verweigern. Solche wesentlichen Gründe sind dann anzunehmen, wenn der Auftraggeber begründete Zweifel daran hat, dass der Unterauftragsdatenverarbeiter die Auftragsdatenverarbeitung ordnungsgemäß und auf rechtmäßige Art und Weise erledigt. Auf Aufforderung des Auftraggebers hin wird der Auftragnehmer den Auftraggeber umfassend und im Voraus über die geplante Unterauftragsdatenverarbeitung informieren. Dazu gehören u.a. Informationen über die fachliche Qualifikation und die tatsächlichen, personellen und finanziellen Ressourcen der betreffenden Dritten (z.b. Handelsregisterauszug, Jahresbericht, Referenzen). Der Auftragnehmer wird durch geeignete vertragliche Regelungen dafür sorgen, dass die Regelungen in seinen Verträgen mit den Unterauftragsdatenverarbeitern mindestens denen in dieser ADV entsprechen. Der Auftragnehmer wird auf Aufforderung dem Auftraggeber und dessen internen und externen Prüfern die Verträge mit den Unterauftragsdatenverarbeitern soweit offenlegen, wie dies erforderlich ist, um deren Übereinstimmung mit den Anforderungen dieser ADV und den einschlägigen gesetzlichen Bestimmungen zu überprüfen. Der Auftragnehmer wird in diesem Umfang auch Dokumente an eine zuständige Aufsichtsbehörde herausgeben, sofern diese es nachweislich vom Auftraggeber verlangt. 8.4 Eine Liste der bei Abschluss dieser Vereinbarung eingesetzten Unterauftragnehmer stellt der Auftragnehmer dem Auftraggeber auf Anfrage auch vor Abschluss dieser Vereinbarung bereit. Der Auftraggeber stimmt mit Abschluss dieser Vereinbarung zu, dass der Auftragnehmer die bei Abschluss dieser Vereinbarung eingesetzten Unterauftragnehmer einsetzt. Änderungen der Liste werden entsprechend den Regelungen des Hauptvertrags mitgeteilt. 8.5 Der Auftraggeber ist berechtigt, seine Zustimmung aus wichtigem Grund zu widerrufen und wird dies Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 6

9 schriftlich (oder per oder Telefax) mitteilen. Ein wichtiger Grund ist dann anzunehmen, wenn der Auftragnehmer begründete Zweifel an der ordnungsgemäßen und rechtmäßigen Leistungserbringung durch den Unterauftragsdatenverarbeiter hat, die auch nach schriftlicher Mahnung und Ablauf einer angemessenen Nachfrist nicht ausgeräumt wurden. Im Falle eines Widerrufs wird der Auftragnehmer die Unterauftragsdatenverarbeitung für den Auftraggeber durch den Unterauftragsdatenverarbeiter unverzüglich einstellen und dies dem Auftraggeber geeignet nachweisen. Die Parteien werden anschließend gemeinsam versuchen, eine alternative Lösung für die Erbringung der ausgelagerten Aufgaben zu finden. Sollte der Grund für den Widerruf der Zustimmung nicht vom Auftragnehmer zu vertreten sein, kann der Auftragnehmer eine Anpassung der Vergütung verlangen. Im Falle eines Widerrufs kann der Auftragnehmer auch den Hauptvertrag außerordentlich kündigen, ohne dass er deshalb gegenüber dem Auftraggeber haftet, wenn eine Übernahme der auf den Unterauftragsdatenverarbeiter ausgelagerten Aufgaben durch den Auftragnehmer unverhältnismäßige Aufwände auf Seiten des Auftragnehmers erfordern würde, oder technisch oder rechtlich nicht möglich ist, oder der Auftragnehmer keinen anderen Unterauftragsdatenverarbeiter findet, dem der Auftraggeber zustimmt. 9. Informationspflichten 9.1 Falls personenbezogene Daten des Auftraggebers Gegenstand einer Durchsuchung, Beschlagnahme, Pfändungsbeschlusses, eines Insolvenzverfahrens oder ähnlicher Ereignisse oder von Maßnahmen Dritter werden, teilt der Auftragnehmer dies dem Auftraggeber, sofern rechtlich zulässig, unverzüglich mit. 9.2 Der Auftragnehmer wird unverzüglich alle an der jeweiligen Maßnahme beteiligten Parteien darüber informieren, dass die betroffenen personenbezogenen Daten alleiniges Eigentum des Auftraggebers sind, dass nur der Auftraggeber daran verfügungsberechtigt ist und dass der Auftraggeber verantwortliche Stelle für die Daten ist. 10. Ausfuhr von Daten in Staaten außerhalb der EU/des EWR 10.1 Unbeschadet der Regelungen in Ziffer 8 ist der Auftraggeber damit einverstanden, dass sich der Auftragnehmer zur Verarbeitung der personenbezogenen Daten auch Unterauftragsdatenverarbeiter bedient, die außerhalb des Gebiets der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) oder anderer Drittländern für die die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, ansässig sind. Sofern eine solche Unterauftragsdatenverarbeitung durchgeführt werden soll, wird der Auftragnehmer geeignete Maßnahmen ergreifen, damit beim Unterauftragsdatenverarbeiter ein angemessenes Datenschutzniveau im Einklang mit den einschlägigen Rechtsvorschriften besteht. Der Auftragnehmer wird die vertraglichen Vereinbarungen mit den Unterauftragsdatenverarbeitern so ausgestalten, dass diese die den Auftragnehmer betreffenden Regelungen in dieser ADV oder im Hauptvertrag einhalten müssen. Sofern es zur Einhaltung dieser Anforderungen erforderlich ist, dass der Auftraggeber in eine unmittelbare vertragliche Beziehung mit einem Unterauftragsdatenverarbeiter eintritt (z.b. EU Standardvertragsklauseln, sogenannte MCCs), ermächtigt der Auftraggeber den Auftragnehmer hiermit, in seinem Namen solche Verträge zu schließen. In diesem Fall wird der Auftragnehmer die Vereinbarung auf Grundlage der MCCs abschließen und dem Auftraggeber eine Kopie zur Verfügung stellen. Im Regelfall wird der Auftraggeber die Unterauftragsdatenverarbeiter nur in Abstimmung mit dem Auftragnehmer kontaktieren und der Auftragnehmer wird alle Anfragen des Auftraggebers oder von Betroffenen mit den Unterauftragsdatenverarbeitern koordinieren Sollten die MCCs überarbeitet oder durch ein alternatives Instrument ersetzt werden, verhandeln die Parteien nach Treu und Glauben darüber, wie die bestehenden auf Grundlage der MCCs Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 7

10 abgeschlossenen Vereinbarungen ergänzt oder überarbeitet werden. 11. Schlussbestimmungen 11.1 Diese ADV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für sämtliche Rechtsstreitigkeiten aus oder im Zusammenhang mit dieser ADV sind die für Bad Homburg zuständigen Gerichte, sofern nicht gesetzlich zwingend ein anderer Gerichtsstand vorgeschrieben ist Eine Übertragung von Rechten und Pflichten aus dieser ADV auf Dritte ist nur mit schriftlicher Zustimmung (unterschriebenes Papierdokument) der anderen Partei gestattet Sollte eine Bestimmung dieser ADV rechtswidrig, ungültig, anfechtbar oder nicht durchsetzbar sein oder werden, oder sollte die Vereinbarung eine Lücke enthalten, bleiben die übrigen Bestimmungen weiterhin vollständig in Kraft. Die Parteien werden in diesem Fall eine wirksame Bestimmung vereinbaren, die, soweit rechtlich möglich, die fragliche Bestimmung in der Weise ersetzt oder die Lücke ausfüllt, wie es der Absicht der Parteien am nächsten kommt Nebenabreden zu dieser ADV sind nicht getroffen. Änderungen und Ergänzungen dieser ADV sowie die in dieser ADV vorgesehenen Erklärungen bedürfen, falls nicht abweichend vorgesehen, zu ihrer Wirksamkeit der Schriftform, die auch durch Telefax oder gewahrt wird. Dies gilt auch für eine Änderung des Schriftformerfordernisses selbst. Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 8

11 Annex 1 Allgemeine technisch-organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG und dem zugehörigen Anhang Es folgt eine kurze Beschreibung der wesentlichen Maßnahmen, die der Auftragnehmer entsprechend Anlage zu 9 BDSG, erster Satz (Kontrollziele 1 bis 8) ergriffen hat. Die Beschreibung des gegenwärtigen Zustands der grundlegenden Maßnahmen zur Datensicherheit kann nicht alle vom Auftragnehmer getroffenen Sicherheitsmaßnahmen abdecken. Insbesondere im Zusammenhang mit Datensicherheit können detaillierte Beschreibungen geheimer Maßnahmen nicht bereitgestellt werden, denn der Schutz der Sicherheitsmaßnahmen gegen unbefugte Weitergabe ist mindestens so wichtig wie die Sicherheitsmaßnahme selbst. Dem Hauptvertrag können weitere Einzelheiten über die getroffenen technischen und organisatorischen Maßnahmen entnommen werden. Der Auftraggeber kann gerne Fragen zu technischen und organisatorischen Maßnahmen mit dem ihm zugeordneten Ansprechpartner beim Auftragnehmer erörtern oder mit dessen Datenschutzbeauftragten. Die Kontaktdaten des Datenschutzbeauftragten sind unter zu finden. 1. Zutrittskontrolle Technische und organisatorische Maßnahmen, um unbefugten Personen den Zugriff auf die Datenverarbeitungssysteme in den Geschäftsräumen und sonstigen Einrichtungen zu verwehren (einschließlich Zugriffe auf Datenbanken, Applikationsserver und zugehörige Hardware), mit denen die personenbezogenen Daten des Auftraggebers verarbeitet werden: Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den Zutritt zum jeweiligen für Iridion verwendeten Data Center nur für autorisierte Personen. Es bestehen dort Sichtkontrollen und ein Besucherbuch am Empfang. Videokameras sowie Bewegungs-, Einbruch- und Kontaktmelder überwachen die Außenhaut des Gebäudes. Im Alarmfall werden die für das Gebäude verantwortlichen Mitarbeiter automatisch alarmiert. Zusätzlich ist das Hauptgebäude des Data Centers 24/7 durch Personal besetzt. Auch diesem Personal werden die Alarmmeldungen angezeigt. Es besteht eine restriktive Zutrittsregelung. 2. Zugangskontrolle Technische und organisatorische Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von dazu nicht befugten Personen verwendet werden: Es gibt ein Verfahren zur individuellen Benutzeridentifikation und -authentifizierung; Es gibt ein Verfahren, um die Sicherheit von Benutzername/Kennwort sicherzustellen (Sonderzeichen, Mindestlänge, Änderungen); Es haben nur ausgewählte, wenige Administratoren Zugang zu allen Daten und Systemen, im Übrigen werden möglichst solche Zugänge verwendet, die dem des Auftraggebers gleichen. 3. Zugriffskontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass die zur Nutzung der Datenverarbeitungssysteme berechtigten Personen nur Zugang zu solchen personenbezogenen Daten haben, für die sie die entsprechenden Zugriffsrechte haben und dass die personenbezogenen Daten nicht unberechtigt gelesen, kopiert, verändert oder gelöscht werden können:

12 Im Wesentlichen erfolgt die Datenverarbeitung durch den Kunden. Der Auftragnehmer hat keinen Einfluss auf die Auswahl der nach Iridion importierten Daten und wer vom Auftraggeber als Nutzer von Iridion eingerichtet wird. Soweit es Zugriffe seitens des Auftragnehmers gibt, besteht die Möglichkeit differenzierter Zugriffsrechte (Profile, Rollen, Transaktionen, Objekte), z.b. als Nutzer oder Administrator; Es gibt einen Prozess zur Festlegung und Verwaltung von Zugriffsrechten, Änderungsrechten, Löschungsrechtem; Es kann eine Überwachung und Protokollierung von Zugriffen erfolgen; Verstöße gegen die Zugriffsrechte sind mit disziplinarischen Maßnahmen belegt. Wo sinnvoll, wird Verschlüsselung eingesetzt. 4. Eingabekontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass protokolliert wird, ob und welche personenbezogenen Daten auf den zur Datenverarbeitung genutzten Systemen eingegeben, geändert oder gelöscht wurden und von wem: Im Wesentlichen erfolgt die Datenverarbeitung durch den Kunden. Der Auftragnehmer hat keinen Einfluss auf die Auswahl der nach Iridion importieren Daten und die Gewähr von Zugriffsrechten, so dass dies ausschließlich vom Auftraggeber vorgenommen werden kann. Administrationszugriffe werden protokolliert. 5. Weitergabekontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass personenbezogene Daten, die elektronisch oder auf Datenträger (händisch oder elektronisch) gespeichert sind, während elektronischer Übermittlung, Transportvorgängen oder der Lagerung nicht ohne entsprechende Zugriffsrechte gelesen, kopiert, verändert oder gelöscht werden können und nachvollzogen werden kann, gegenüber welchen Dritten die personenbezogenen Daten offengelegt wurden: Im Wesentlichen erfolgt die Datenverarbeitung durch den Kunden. Der Auftragnehmer hat keinen Einfluss auf die Auswahl der aus Iridion exportierten Daten, oder welchen internen oder externen Nutzern der Auftraggeber Zugriff innerhalb von Iridion gewährt. Eine technisch notwendige Zugriffsmöglichkeit auf alle übertragenen Daten besteht im Rahmen der Verwaltung der Iridion zugrunde liegenden IT-Infrastruktur (z.b. Router, Switches). Dieser Zugriff ist auf bestimmte Mitarbeiter beschränkt und dient ausschließlich zur Gewährleistung des technischen Betriebes. Eine Selektierung personenbezogener Daten ist dabei nicht möglich. Der Auftragnehmer bemüht sich, soweit technisch sinnvoll möglich, Verschlüsselung einzusetzen und so Daten nicht lesbar zu machen. Soweit administrative Zugriffe erfolgen, verfügt der Auftraggeber über organisatorische Regelungen, die den Zugriff auf die Systeme regeln, etwa für Administratoren. 6. Verfügbarkeitskontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass die personenbezogenen Daten vor irrtümlicher Vernichtung oder Untergang physisch und logisch geschützt sind: Die autonome Stromversorgung des Data Centers erfolgt über eine eigene Trafostation. Die Stromversorgung und Netzersatzanlage gewährleisten eine hohe Ausfallsicherheit. Der gesamte Energieverbrauch des Data Centers wird zudem über eine unterbrechungsfreie Stromversorgung (USV) sichergestellt. Im Falle eines Stromausfalls gewährleistet die USV-Anlage eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtert die USV Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes. Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 2

13 Eine leistungsstarke Netzersatzanlage (Dieselaggregat) versorgt bei Stromausfall das Data Center und die Kühlsysteme mit Energie. Der Kraftstoffvorrat ist für mindestens 48 Stunden bei Volllast ausreichend. Eine Auftankung ist während des laufenden Betriebs des Generators möglich. Ein flächendeckendes Wasser- und Brandfrühwarnsystem (VESDA) reagiert bereits bei geringer Überschreitung definierter Grenzwerte, um größere Schäden zu verhindern. Die Brandmeldeanlage verfügt daneben über eine direkte Aufschaltung bei der örtlichen Feuerwehr. Die Gebäudeaußenhaut ist zudem mittels Überspannungsschutz gegen Blitzschlag abgesichert. Sollte es wider Erwarten zu einer Rauchentwicklung oder gar einem Brand kommen, flutet die Feuerbekämpfungsanlage das Data Center innerhalb von nur 60 Sekunden vollständig mit dem Löschgas Argon bzw. lnergen. Hierbei bleibt das Equipment im Data Center unbeschädigt. Es sind automatisierte Backup-Verfahren eingerichtet Es sind fortlaufend aktualisierte Anti-Virus-/Firewall Systeme verfügbar Es existiert ein Notfallplan. 7. Trennungskontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben wurden, entsprechend getrennt verarbeitet werden können: Vorhalten von getrennten Datenbanken; Internes Mandantenkonzept/Beschränkungen bei der Nutzungsmöglichkeit ; Trennung von Funktionen, insbesondere Produktion und Testumgebung; Festlegung von Abläufen und Prozeduren für Speicherung, Ergänzung, Löschung und Übermittlung von Daten entsprechend der verschiedenen Zweckbestimmungen. 8. Auftragskontrolle Technische und organisatorische Maßnahmen, die sicherstellen, dass die personenbezogenen Daten ausschließlich im Einklang mit den Weisungen des Auftraggebers verarbeitet werden: Eindeutige Regelungen im Vertrag; Formale Beauftragung (z.b. Auftragsformular); Festlegung von Kriterien für die Auswahl von Unterauftragsdatenverarbeitern. Soweit eine Verlagerung von für die Datenverarbeitung wesentlichen Funktionen auf einen Unterauftragsdatenverarbeiter erfolgt, gelten für diese die gleichen Regelungen und Bestimmungen wie für den Auftragnehmer selbst. Copyright Web Arts AG, Alle Rechte vorbehalten. Seite 3