Auftragsdatenverarbeitungsvertrag Gemäß 11 Bundesdatenschutzgesetz

Transkript

1 Anhang zu den Allgemeinen Geschäftsbedingungen für Sftware-as-a-Service 1. Präambel Die hyperspace GmbH, Plaggestr. 24, Schrtens ("hyperspace") stellt _ (Vllständige Firma und Adresse des Kunden) ("Kunde") gemäß den "Allgemeine Geschäftsbedingungen für Sftware-as-a-Service (SaaS) - Stand Juni 2013 ("AGB SaaS") swie der zugehörigen Service-Bedingungen (gemeinsam "Hauptvertrag") ihre Sftwareprdukte ("Sftware") zur Nutzung über das Internet zur Verfügung. Die Sftware wird vn hyperspace in einem Rechenzentrum betrieben und dem Kunden zur Nutzung über das Internet zur Verfügung gestellt (auch als "Sftware as a Service" Mdell bezeichnet). 2. Gegenstand (1) Verarbeitung persnenbezgener Daten: Diese Vereinbarung ("Vertrag") regelt die Erhebung, Verarbeitung und Nutzung der persnenbezgenen Daten, die (i ) der Kunde bzw. deren Benutzer im Rahmen der Verwendung der Sftware in diese eingibt, (ii) die mit der Nutzung der Sftware entstehen der snst erhben werden, und (iii) die der Kunde im Zusammenhang mit der Durchführung des Hauptvertrages hyperspace in snstiger Weise überlässt ("Daten"). Persnenbezgene Daten sind alle Einzelangaben über persönliche der sachliche Verhältnisse einer bestimmten der bestimmbaren natürlichen Persn. (2) Inhalt der Auftragsdatenverarbeitung: Gegenstand der Auftragsdatenverarbeitung ist die Bereitstellung der Sftware zur Nutzung durch den Kunden im Wege des Zugriffs über das Internet. Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der Daten ergeben sich aus der Leistungsbeschreibung des Hauptvertrages. Die betrffenen Persnenkreise und Datenkategrien sind in den jeweiligen Service- Bedingungen genannt. 3. Pflichten des Kunden (1) Verantwrtliche Stelle: Der Kunde bleibt alleinige verantwrtliche Stelle der Daten im Sinne des Datenschutzrechts ( 3 Abs. 7 BDSG) und ist für die Rechtmäßigkeit der Datenverarbeitung, -erhebung und -nutzung swie für die Wahrung der Rechte der Betrffenen alleine verantwrtlich. Dies gilt auch im Hinblick auf die Einhaltung etwaiger besnderer gesetzlicher Schweigepflichten des Kunden (z.b. für Ärzte, Rechtsanwälte und bestimmte Versicherungen, 203 StGB). Falls erfrderlich, hat der Kunde die Betrffenen (z.b. seine Beschäftigten der Kunden) über Datenverarbeitungen zu infrmieren der entsprechende Einwilligungen einzuhlen. (2) Weisungen: Die Datenerhebung, -verarbeitung und -nutzung durch hyperspace erflgt im Rahmen der zur Verfügungstellung einer standardisierten, aber knfigurierbaren Sftware über das Internet. Der Kunde übt sein Weisungsrecht (siehe Ziffer 4.2) in Bezug auf die Daten entsprechend durch Einrichtung und Benutzung der Sftware aus. Im Übrigen sind Weisungen schriftlich zu erteilen der mündliche Weisungen unverzüglich schriftlich zu bestätigen. Dem Kunden bleiben Weisungen im Wesentlichen bei gesndert zu vereinbarenden und zu vergütenden Anpassungen der Sftware der Datenmigratin vrbehalten. Geht der Inhalt vn Weisungen des Kunden über dasjenige hinaus, was hyperspace dem Kunden gemäß dem Hauptvertrag schuldet, hat der Kunde die entsprechenden Leistungen hyperspace gesndert zu vergüten. Ist eine Weisung nur mit unverhältnismäßig hhem Aufwand umsetzbar, steht hyperspace ein Recht zur außerrdentlichen Kündigung des Hauptvertrages und dieses Vertrages zu. (3) Pflicht zur Freistellung: Machen Dritte (einschließlich öffentliche Stellen) gegenüber hyperspace Ansprüche bzw. Rechtsverletzungen geltend, die auf der Behauptung beruhen, dass der Kunde gegen seine vertraglichen Pflichten verstßen hat, insbesndere wenn Betrffene gegen hyperspace mit der Behauptung vrgehen, die Verarbeitung der Daten verstße gegen ihre Rechte, s gilt Flgendes: Der Kunde wird hyperspace vn diesen Ansprüchen unverzüglich freistellen, hyperspace bei der Rechtsverteidigung angemessene Unterstützung bieten und hyperspace vn den Ksten der Rechtsverteidigung freistellen. Vraussetzung für diese Freistellungspflicht ist, dass hyperspace den Seite 1 vn 5 Juni 2013

2 Kunden über geltend gemachte Ansprüche unverzüglich schriftlich infrmiert, keine Anerkenntnisse der gleichkmmende Erklärungen abgibt und es dem Kunden ermöglicht, auf Ksten des Kunden - sweit möglich - alle gerichtlichen und außergerichtlichen Verhandlungen über die Ansprüche zu führen. 4. Pflichten vn hyperspace (1) Weisungsgebundenheit: hyperspace verarbeitet die Daten ausschließlich im Rahmen und zum Zwecke der Bereitstellung der Sftware für den Kunden und nach den Weisungen des Kunden. hyperspace verwendet die persnenbezgenen Daten für keine anderen Zwecke, gibt die Daten insbesndere nicht unbefugt an Dritte weiter. (2) Hinweispflicht: hyperspace wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vm Kunden erteilte schriftliche Weisung nach Meinung vn hyperspace gegen das BDSG der gegen andere Vrschriften über den Datenschutz verstößt. hyperspace ist berechtigt, die Durchführung der entsprechenden Weisung slange auszusetzen, bis sie durch den Verantwrtlichen beim Kunden bestätigt der geändert wird. Eine Pflicht zur rechtlichen Prüfung vn Weisungen besteht für hyperspace nicht. (3) Berichtigung, Löschung und Sperrung: Sind persnenbezgene Daten zu berichtigen, löschen der zu sperren, nimmt dies der Kunde durch Nutzung der entsprechenden Funktinen der Sftware selbst vr. Ist dies nicht möglich, übernimmt hyperspace die Berichtigung, Löschung der Sperrung nach den Weisungen des Kunden. Für die Herausgabe und Löschung der Daten bei Vertragsende gilt Ziffer 9(4) der AGB SaaS. (4) Ort der Datenverarbeitung: Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Eurpäischen Unin (EU) der in einem anderen Vertragsstaat des Abkmmens über den Eurpäischen Wirtschaftsraum (EWR) statt, sfern der Kunde hyperspace nicht in diesem Vertrag der in snstiger Weise eine Verarbeitung in einem Land außerhalb der EU und des EWR gestattet. (5) Datenschutzbeauftragter: hyperspace wird - sfern laut Gesetz erfrderlich - einen Datenschutzbeauftragten bestellen und auf Anfrage dem Kunden die Kntaktdaten mitteilen. (6) Datengeheimnis: hyperspace wird seine Beschäftigten, die mit der Verarbeitung persnenbezgenen Daten betraut sind, mit den maßgebenden Bestimmungen des Datenschutzes vertraut machen und sie schriftlich gemäß 5 BDSG auf das Datengeheimnis verpflichten. (7) Meldepflicht: Gelangen Daten, die unter 42a Ziffer 1 bis 4 BDSG fallen, unrechtmäßig, d.h. unter Verstß gegen anwendbares Datenschutzrecht, diesen Vertrag der Weisungen des Kunden, zur Kenntnis eines unbefugten Dritten und drhen dadurch schwerwiegende Beeinträchtigungen für die Rechte der schutzwürdigen Interessen der Betrffenen, infrmiert hyperspace den Kunden hierüber unverzüglich. (8) Unterstützungspflicht: Sfern der Kunde seine Pflicht, einem Betrffenen Auskunft über die Verarbeitung seiner persnenbezgenen Daten zu geben, nur mit Hilfe vn hyperspace erfüllen kann, wird hyperspace den Kunden hierbei angemessen unterstützen. Den entstehenden Aufwand hat der Kunde hyperspace zu erstatten. (9) Technische und rganisatrische Maßnahmen: hyperspace trifft in seinem Verantwrtungsbereich angemessene technische und rganisatrische Maßnahmen zum Schutz der Daten ( 9 BDSG und Anlage zu 9 BDSG) und dkumentiert diese. Die bei Vertragsbeginn getrffenen Maßnahmen sind im Anhang zu diesem Vertrag beschrieben. 5. Kntrllrechte des Kunden (1) Kntrllen: Der Kunde ist in Bezug auf seine Daten berechtigt, die Einhaltung (i ) der gesetzlichen Vrschriften über den Datenschutz, (ii) der vertraglichen Vereinbarungen der Parteien und (iii) der Weisungen des Kunden im erfrderlichen Umfang bei hyperspace zu kntrllieren. Kntrllen in den Betriebsstätten vn hyperspace muss der Kunde rechtzeitig vrher schriftlich ankündigen. Kntrllen sind zu den üblichen Geschäftszeiten und hne wesentliche Beeinträchtigung des Geschäftsbetriebs bei hyperspace durchzuführen. (2) Ksten: Durch Kntrllen entstehende Ksten trägt der Kunde, dies umfasst auch eine branchenübliche Aufwandsentschädigung für die Arbeitszeit des vn hyperspace beanspruchten Persnals. Seite 2 vn 5 Juni 2013

3 (3) Schutzwürdige Interessen vn hyperspace: Sweit durch Kntrllen Betriebs- und Geschäftsgeheimnisse vn hyperspace ffenbart der geistiges Eigentum vn hyperspace gefährdet werden kann, hat der Kunde die Kntrllen durch einen fachkundigen und unabhängigen Dritten vrnehmen zu lassen, der sich gegenüber hyperspace vrab schriftlich zur Verschwiegenheit verpflichtet. 6. Unterauftragsverhältnisse (1) Gestattung vn Unterauftragnehmern: hyperspace ist berechtigt, Unterauftragnehmer mit Sitz innerhalb der EU der des EWR einzuschalten. Derzeit nutzt hyperspace als Hster die Firma Hstway Deutschland GmbH mit Sitz in Hannver, Deutschland. (2) Subunternehmerverträge: hyperspace wird mit den Unterauftragnehmern einen Vertrag schließen, der den Anfrderungen des 11 Bundesdatenschutzgesetz genügt. (3) Auskunftsrecht: Auf Verlangen teilt hyperspace dem Kunden mit, welche Unterauftragnehmer hyperspace zur Datenerhebung, -verarbeitung und/der -nutzung eingeschaltet hat und welche Dienstleistungen diese für hyperspace übernehmen. 7. Laufzeit (1) Laufzeit: Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt. (2) Daten bei Vertragsende: Für die Herausgabe und Löschung der Daten bei Vertragsende gilt Ziffer 9(4) der AGB SaaS. 8. Schlussbestimmungen (1) Anwendbares Recht: Auf diesen Vertrag findet ausschließlich deutsches Recht unter Ausschluss des UN Kaufrechts Anwendung. (2) Gerichtsstand: Ist der Kunde Kaufmann, eine juristische Persn des öffentlichen Rechts der ein öffentlich-rechtliches Sndervermögen, s ist ausschließlicher Gerichtsstand Schrtens. Für den Kunden: Name (in Blckbuchstaben) Psitin / Funktin Ort, Datum Unterschrift Für hyperspace GmbH: Name (in Blckbuchstaben) Psitin / Funktin Ort, Datum Unterschrift Seite 3 vn 5 Juni 2013

4 ANHANG: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN A1. Zutrittskntrlle Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen persnenbezgene Daten verarbeitet der genutzt werden, zu verwehren: Sicherheitsschlösser Elektrnische Zutrittskntrllsysteme Alarmanlage A2. Zugangskntrlle Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme vn Unbefugten genutzt werden können (einschließlich Verschlüsselungsverfahren): Benutzerkennung mit Passwrt Firewall A3. Zugriffskntrlle Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass persnenbezgene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kpiert, verändert der entfernt werden können (einschließlich Verschlüsselungsverfahren): Berechtigungsknzept Benutzerkennung mit Passwrt Gesicherte Schnittstellen wie Netzwerk Datenträgerverwaltung Zertifikatsbasierte Zugriffsberechtigung A4. Weitergabekntrlle Maßnahmen, um zu gewährleisten, dass persnenbezgene Daten bei der elektrnischen Übertragung der während ihres Transprts der ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kpiert, verändert der entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung persnenbezgener Daten durch Einrichtungen zur Datenübertragung vrgesehen ist (einschließlich Verschlüsselungsverfahren): Sicherung bei der elektrnischen Übertragung: Verschlüsselung VPN Firewall A5. Eingabekntrlle Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, b und Seite 4 vn 5 Juni 2013

5 vn wem persnenbezgene Daten in Datenverarbeitungssysteme eingegeben, verändert der entfernt wrden sind (Eingabekntrlle): Prtkllierung Benutzeridentifikatin A6. Auftragskntrlle Maßnahmen, um zu gewährleisten, dass persnenbezgene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskntrlle): Weisungsbefugnisse vergeben Stichprbenprüfung Kntrllrecht Datenschutzvertrag nach Vrgaben 11 BDSG A7. Verfügbarkeitskntrlle Maßnahmen, um zu gewährleisten, dass persnenbezgene Daten gegen zufällige Zerstörung der Verlust geschützt sind (Verfügbarkeitskntrlle): Brandschutzmaßnahmen Überspannungsschutz Unterbrechungsfreie Strmversrgung Klimaanlage Festplattenspiegelung Backupknzept Virenschutzknzept A8. Zweckbindung Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhbene Daten getrennt verarbeitet werden können: Trennung vn Prduktiv- und Testsystemen Getrennte Datenbanken Seite 5 vn 5 Juni 2013