Zusatzvereinbarung zur Auftragsdatenverarbeitung

Transkript

1 Zusatzvereinbarung zur Auftragsdatenverarbeitung Name: Straße: PLZ/Ort: Land: - Auftraggeber - und OpenProject GmbH Rosenthaler Str Berlin Deutschland - Auftragnehmer - schließen nachfolgenden Vertrag über die Verarbeitung von Daten des Auftraggebers durch den Auftragnehmer: Präambel Diese Vereinbarung mit Ihren Anlagen konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in den Leistungs- oder Rahmenverträgen in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit den Leistungs- oder Rahmenverträgen im unmittelbaren oder mittelbaren Zusammenhang stehen 1. Anwendungsbereich und Verantwortlichkeit (1) Der Gegenstand des Auftrags sind Tätigkeiten, deren Konkretisierung sich aus dem Leistungsvertrag und den Produktbeschreibungen ergeben. (2) Im Rahmen des Hostings der Software OpenProject besteht die Möglichkeit, dass der Auftraggeber im Rahmen von Wartungs- oder anderen Tätigkeiten Daten des Auftraggebers einsehen kann. Bei diesen Daten OpenProject GmbH Seite 1 von 10

2 kann es sich auch um sogenannte personenbezogene Daten handeln, die aufgrund gesetzlicher Vorschriften eine besondere Geheimhaltung und besondere vertrauliche Behandlung durch den Auftragnehmer erfordern. (3) Betroffen von der Datenverarbeitung sind Kunden und Mitarbeiter, Ansprechpartner, Lieferanten etc. des Auftraggebers, je nach dem, in welchem Umfang der Auftraggeber Daten mit der Software OpenProject verarbeitet. (4) Der Auftraggeber ist alleine verantwortlich für die Beurteilung der rechtlichen Zulässigkeit der im Rahmen des Auftragsverhältnisses durchgeführten Erhebungen, Verarbeitungen und Nutzungen personenbezogener Daten durch den Auftragnehmer im Hinblick auf die Regelungen des Bundesdatenschutzgesetzes und anderer einschlägiger Vorschriften über den Datenschutz. 2. Art der Daten und Kreis der Betroffenen (1) Da im Rahmen der vereinbarten Leistungen der Zugriff auf personenbezogene Daten sowie Daten über Betriebs- und Geschäftsabläufe (im Folgenden als Daten bezeichnet) u. U. erforderlich ist bzw. nicht ausgeschlossen werden kann, wird zwischen dem Auftraggeber und dem Auftragnehmer diese Datenschutzvereinbarung geschlossen. (2) Diese Vereinbarung regelt den Schutz der Daten bei der Auftragsausführung unter besonderer Berücksichtigung der Anforderungen des Bundesdatenschutzgesetzes (BDSG). Die Art der Daten und der Kreis der Betroffenen ergeben sich aus den geschlossenen Leistungsverträgen. 3. Pflichten des Auftraggebers (1) Der Auftraggeber ist für alle Daten, automatisierte Verfahren und Datenverarbeitungsanlagen in seinem Zuständigkeitsbereich sowie für die Wahrung der Rechte der Betroffenen verantwortlich. (2) Der Auftraggeber hat die technischen und organisatorischen Maßnahmen zu veranlassen, die erforderlich sind, um den Datenschutz und die Datensicherheit bei der Auftragsabwicklung zu gewährleisten. Art und Umfang der Arbeiten sowie die Befugnisse des eingesetzten Personals des Auftragnehmers sind hinreichend festzulegen. (3) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Ablauf der Arbeiten zu erteilen; sie sind schriftlich zu fassen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. (4) Der Auftraggeber kontrolliert die Umsetzung dieser Vereinbarung und informiert den Auftragnehmer unverzüglich über dabei festgestellte Fehler oder Unregelmäßigkeiten. (5) Die weisungs-, empfangs- und kontrollberechtigten Personen sind dem Auftragnehmer durch den Auftraggeber schriftlich zu benennen. Sie haben sich bei der Ausübung ihrer Befugnisse zu legitimieren. OpenProject GmbH Seite 2 von 10

3 4. Pflichten des Auftragnehmers (1) Der Auftragnehmer verpflichtet sich zur ordnungsgemäßen und datenschutzgerechten Ausführung der vertraglich vereinbarten Leistungen. Dem Auftragnehmer ist die Datenverwendung nur im Rahmen des unter 1 Abs. 1 genannten Vertrages, der schriftlichen Weisungen des Auftraggebers und nach den datenschutzrechtlichen Vorschriften gestattet. Der Auftragnehmer berichtigt, löscht oder sperrt personenbezogene Daten entsprechend dieser Vereinbarung oder nach Weisung des Auftraggebers. (2) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Anfragen von Aufsichtsbehörden, Betroffenen und sonstigen Dritten soweit diese den Auftraggeber betreffen. Der Auftragnehmer leitet alle Anfragen an den Auftraggeber weiter und unterstützt diesen bei der Bearbeitung dieser Anfragen. (3) Der Auftragnehmer hat gem. 4f BDSG einen betrieblichen Datenschutzbeauftragten zu bestellen und die Kontaktdaten dem Auftraggeber unverzüglich als Anlage 2 (Anhang 2: Kontaktdaten des Datenschutzbeauftragten) mitzuteilen. Ein Wechsel des Datenschutzbeauftragten ist unverzüglich schriftlich anzuzeigen. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat der Datenschutzbeauftragte sich in regelmäßigen Abständen in einem angemessenen Umfang fortzubilden. (4) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber und dessen zuständige Aufsichtsbehörde berechtigt sind, mit den in 38 Abs. 3 bis 5 BDSG genannten Mitteln die Einhaltung der Vorschriften über den Datenschutz sowie der ergänzenden Weisungen nach zu kontrollieren oder durch beauftragte Dritte kontrollieren zu lassen, soweit es im Rahmen des Auftrages für die Überwachung des Datenschutzes erforderlich ist. Kontrollen dürfen mit einer Vorankündigungsfrist von zehn (10) Werktagen zu den üblichen Geschäftszeiten des Auftragnehmers durchgeführt werden. Die Termine werden in einvernehmlicher Absprache zwischen den Parteien festgelegt. Die Kosten für beauftragte Dritte trägt der Auftraggeber. In gegenseitiger Abstimmung kann eine Vor-Ort-Prüfung des Auftraggebers durch Vorlage eines Prüfberichtes ersetzt werden. (5) Der Auftragnehmer ist verpflichtet, für die auftragsgemäße Ausführung und für die Erfüllung der sich aus dem in 1 genannten Vertrag ergebenden Aufgaben ausschließlich Personen einzusetzen, die auf das Datengeheimnis nach 5 BDSG schriftlich verpflichtet worden sind; auf strafrechtliche Folgen bei Verletzung des Datengeheimnisses ist dabei hinzuweisen. Die Verpflichtungserklärung ist auf Verlangen des Auftraggebers vorzulegen. Ferner stellt der Auftragnehmer sicher, dass das von ihm eingesetzte Personal sorgfältig ausgewählt sowie im Sinne der Datenschutzvorschriften ausreichend informiert und angewiesen ist. Der Auftragnehmer hat insbesondere zu gewährleisten, dass alle Personen, denen Informationen aus dem Bereich des Auftraggebers zur Kenntnis gelangen, diese nicht an Dritte weitergeben oder sonst verwerten. (6) Entsprechend der Anlage zu 9 BDSG werden technische und organisatorische Maßnahmen festgelegt, die in Anhang 1 (Anhang 1: Technische und organisatorische Maßnahmen) zu diesem Dokument beschrie- OpenProject GmbH Seite 3 von 10

4 ben werden. Der Auftragnehmer fügt die bei ihm getroffenen Maßnahmen als Anhang 1 bei. Der Auftraggeber behält sich vor, die genannten Maßnahmen zu prüfen und weitere Maßnahmen festzulegen, die der Auftragnehmer umzusetzen hat. Der Auftragnehmer trägt die Gewähr dafür, dass die vereinbarten organisatorischen und technischen Maßnahmen vertragsgemäß eingehalten werden. (7) Der Auftragnehmer verwendet die Daten, die ihm bei der Auftragsdurchführung zur Kenntnis gelangen, ausschließlich für die Erfüllung der vertraglich festgelegten Aufgaben. Er gibt sie nicht an Dritte weiter. Er bewahrt sie unter Verschluss und nur solange auf, als es für die Erfüllung des unter 1 Abs.1 genannten Vertrages erforderlich ist. Bestehen gesetzliche Aufbewahrungsfristen, die einer Löschung entgegen stehen, sind die Daten für jegliche Verwendung zu sperren und nach Ablauf der Aufbewahrungsfrist unaufgefordert zu löschen. Der Auftraggeber ist berechtigt, von Satz 1 bis 3 abweichende Bestimmungen schriftlich zu treffen. (8) Das alleinige Eigentums- und Verfügungsrecht über die Daten verbleibt beim Auftraggeber. Bei Beendigung des Auftragsverhältnisses bzw. entsprechend den jeweiligen Vereinbarungen im Einzelfall hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und überlassenen Daten sowie alle erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, in einem mit dem Auftraggeber abgestimmten Format an diesen zu übergeben. Die entsprechenden Datenträger des Auftragnehmers sind danach physisch zu löschen. (9) Der Auftragnehmer stellt durch die Verwendung geeigneter Maßnahmen sicher, dass nur Personen, die mit der vereinbarungsgemäßen Ausführung der Arbeiten betraut sind, Zugriff auf die Daten des Auftraggebers haben. (10) Der Auftragnehmer verpflichtet sich, keine Kopien oder Duplikate der ihm zugänglichen Daten ohne Wissen des Auftraggebers oder für andere Zwecke als vertraglich geregelt zu erstellen. (11) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über den Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten, die bei der Durchführung der Arbeiten aufgetreten sind. Sollten Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (beispielsweise durch Pfändung oder Beschlagnahme), durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Er unterrichtet den Auftraggeber entsprechend, wenn eine vom Auftraggeber erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen würde. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder ausdrücklich bestätigt wird. OpenProject GmbH Seite 4 von 10

5 5. Unterauftragnehmer (1) Die Beauftragung von Subunternehmen durch den Auftragnehmer ist zulässig, wenn der Unterauftragnehmer den gleichen vertraglichen Regelungen zum Datenschutz unterliegt wie der Auftragnehmer. (2) Der Auftragnehmer hat den Subunternehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Subunternehmer die nach 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. (3) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.b. Telekommunikationsleistungen, Reinigungskräfte oder Prüfer. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. 6. Geheimhaltungspflichten (1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen. (2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind. 7. Dauer des Auftrags (1) Diese Datenschutzvereinbarung gilt solange die unter 1 genannten Verträge gültig sind. Die Geheimhaltungspflicht reicht über das Vertragsende hinaus. (2) Die Verletzung von gesetzlichen oder vertraglichen Datenschutzbestimmungen durch den Auftragnehmer ist stets ein wichtiger Grund für den Auftraggeber, das in den vertraglichen Vereinbarungen des unter 1 genannten Verträge vorbehaltene Recht zur außerordentlichen Kündigung auszuüben. 8. Salvatorische Klausel (1) Sollten einzelne oder mehrere Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Regelungen dieser Vereinbarung nicht berührt. OpenProject GmbH Seite 5 von 10

6 9. Schlussbestimmungen (1) Änderungen oder Ergänzungen zu dieser Vereinbarung bedürfen der Schriftform und sind von beiden Vertragsparteien zu unterschreiben. Dies gilt auch für die Änderung dieser Schriftformklausel. wahrt die Schriftform nicht. (2) Die Einrede des Zurückbehaltungsrechts i.s.v. 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. 10. Inkrafttreten (3) Diese Vereinbarung tritt mit ihrer Unterzeichnung in Kraft., den, den Ort Datum Ort Datum - Auftraggeber - - Auftragnehmer OpenProject GmbH Seite 6 von 10

7 Anhang 1: Technische und organisatorische Maßnahmen zur Datensicherheit Die in diesem Anhang durch den Auftragnehmer definierten Datensicherheitsmaßnahmen werden als verbindlich festgelegt. a) Zutrittskontrolle Die Datenverarbeitung durch den Auftragnehmer findet in einem gesicherten Rechenzentrum statt. Das Rechenzentrum ist nach Standard ISO für das Informationssicherheits-Managementsystem zertifiziert. Der Zutritt zu dem Rechenzentrum wird durch modernste Kontrollsysteme gesichert. Hierzu gehören folgende Sicherheitsmaßnahmen und -infrastrukturen:» Untergliederung der Einrichtung in einzelne Sicherheitsbereiche,» physikalischer Zutrittsschutz beispielsweise durch Stahltüren, fensterlose Räume oder gesicherte Fenster,» Schutz der Sicherheitsbereiche durch ein elektronisches Zugangskontrollsystem,» Überwachung der Einrichtung durch Sicherheitsdienst und Protokollierung der Zutritte,» Videoüberwachung aller sicherheitsrelevanten Sicherheitsbereiche, wie Eingänge, Notausgänge und Serverräume,» zentrale Vergabe und Entzug der Zugangsberechtigungen,» Identifikation aller Besucher mittels Personalausweis,» Ausweispflicht innerhalb der Sicherheitsbereiche für alle Mitarbeiter und Besucher,» kontinuierliche Begleitung von Besuchern durch Mitarbeiter. b) Zugangskontrolle Der Auftragnehmer hat das Eindringen Unbefugter in Systeme und Anwendungen, die zur Verarbeitung von personenbezogenen Daten eingesetzt werden, zu verhindern. Der Auftragnehmer gewährleistet dies, indem ausschließlich explizit autorisierte Administratoren Zugang zu den datenverarbeitenden Systemen des IaaS-Anbieters erhalten. Die Anmeldung erfolgt ausschließlich per Multi-Faktor-Authentifizierung anhand der im jeweiligen persönlichen Benutzerkonto hinterlegten Anmelde-Informationen. Darüber hinaus kommt ein differenziertes Rechtesystem anhand von Sicherheitsgruppen und Zugriffskontrolllisten zum Einsatz. Die Anmeldung ist ausschließlich über Verbindungen möglich, welche über den aktuellen Stand der Technik verschlüsselt werden. Zu weiteren Absicherung des Zugangs sind die einzelnen Dienste und Komponenten in mehrere Netzwerksegmente aufgeteilt. Die Isolation erfolgt durch hardwarebasierte Firewall-Systeme und Virtual Private Clouds (VPC). Sämtliche Zugänge auf Systeme und Anwendungen werden zentral dokumentiert, überwacht und protokolliert. Das bürointerne Netzwerk wird durch eine hardwarebasierte Firewall gegen den unbefugten Zugang von außen geschützt. Der Zugang zu Rechnern in den Büroräumen des Auftragnehmers wird über Benutzerkonten kontrolliert. Auf das bürointerne Netzwerk kann von außerhalb der Büroräume ausschließlich über eine verschlüsselte VPN-Verbindung (Virtual Private Network) zugriffen werden. OpenProject GmbH Seite 7 von 10

8 Der Auftraggeber kann auf seine OpenProject-Instanz ausschließlich über eine verschlüsselte Verbindungen (SSL/HTTPS) zugreifen. c) Zugriffskontrolle Der Auftragnehmer hat unerlaubte Tätigkeiten in den datenverarbeitenden Systemen zu verhindern. Demzufolge hat ausschließlich der betreffende Auftraggeber sowie eine kleine Gruppe einzeln benannter Administratoren Zugriff auf die Daten. Es wird technisch sichergestellt, dass ein Auftraggeber keine Daten anderer Auftraggeber einsehen, verändern oder löschen kann. Innerhalb einer OpenProject-Instanz wird der Zugriff über ein umfangreiches Rollen- und Berechtigungskonzept gesteuert. Innerhalb der OpenProject Instanz erfolgt die Rechtevergabe durch den Auftraggeber durch Rollen- und Rechtezuweisungen. Der Auftraggeber hat zusätzlich die Möglichkeit, für seine Organisation über eine Administrationsoberfläche die vorkonfigurierten Rollen und Rechte auf seine Bedürfnisse hin anzupassen. Der Zugriff auf Daten des Auftraggebers für Kundendienst-Mitarbeiter des Auftragnehmers ist auf Stammdaten und Abrechnungsdaten beschränkt, welche für die Wahrnehmung ihrer Kundendienst-Aufgabe und der Abrechnung der Hosting-Dienstleistung erforderlich sind. Kundendienst-Mitarbeiter haben keinen Zugriff auf die Kundendaten innerhalb einer OpenProject-Instanz. Kreditkarten-Daten ihrer Auftraggeber werden ausschließlich durch den Bezahldienstleister gespeichert; der Auftragnehmer hat keinen Zugriff auf diese Daten. Administratoren ist der Zugriff auf Kundendaten nur gestattet, wenn eine Störung vorliegt, die nicht durch den Auftraggeber und oder den Kundendienst des Auftragnehmers alleine gelöst werden kann. d) Weitergabekontrolle Die Kontrolle der Weitergabe von Daten des Auftraggebers wird durch verschiedene technische und organisatorische Sicherheitsmaßnahmen gewährleistet. Hierbei verarbeitet oder speichert der Auftragnehmer Daten des Auftragnehmers grundsätzlich nicht außerhalb des Rechenzentrums. Mitarbeiter des Rechenzentrumbetreibers haben keinen Zugriff oder Zugang zu den Kundendaten, können diese also weder einsehen, löschen oder verändern. Datensicherungen werden ausschließlich verschlüsselt abgelegt. Ein Transport von Daten des Auftraggebers auf physischen Datenträgern erfolgt nicht. Zum Zwecke der Abrechnung der Dienstleistung werden Abrechnungsdaten über eine verschlüsselte Verbindung in die Buchhaltungssysteme des Auftragnehmers überführt. e) Eingabekontrolle Der Auftragnehmer hat die Nachvollziehbarkeit bzw. Dokumentation der Datenverarbeitung zu gewährleisten. Hierzu werden alle Eingaben in die Systeme und Anwendungen durch den Auftragnehmer protokolliert. Die Protokolle werden archiviert und nach Zweckerreichung oder gesetzlichen Vorgaben gelöscht. Die OpenProject-Appli- OpenProject GmbH Seite 8 von 10

9 kation unterstützt die Eingabe und Änderung der eigenen Daten ausschließlich über hierzu vorgesehene Nutzeroberflächen und Schnittstellen gemäß einem detaillierten Rollen- und Berechtigungskonzept. Bei vielen Objekten kann der Auftraggeber auch über die Weboberfläche die Änderungshistorie von Daten einsehen (z.b. Arbeitspakete, Wiki-Seiten, SCM-Repositories). f) Auftragskontrolle Der Auftragnehmer verarbeitet die eingereichten Daten gemäß dem geschlossenen Vertrag und gewährleistet hierbei die gesetzlichen Vorschriften und per Vertrag definierten Anforderungen im Rahmen der Weisungen des Auftraggebers. Die OpenProject-Plattform verfügt über eine Administrationsoberfläche, über die der Auftraggeber sein Kundenkonto verwalten kann. Der Auftraggeber legt seine Zugangsdaten bei der initialen Erstellung in seinem Nutzerkonto selbst fest. Nur wer über diese Zugangsdaten verfügt, kann im Rahmen der zugeordneten Berechtigung Kundendaten eingeben, verändern oder löschen. Für sonstige Aufträge, welche der Auftraggeber nicht selbständig über die Administrationsoberfläche durchführen kann, gilt die Schriftform. g) Verfügbarkeitskontrolle Der Auftragnehmer hat personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen. Hierzu ist die Architektur der datenverarbeitenden Systeme des Auftragnehmers einschließlich der Netzwerkinfrastruktur, der Stromversorgung und der Anbindung an das Internet redundant ausgelegt. Zur Vermeidung von Datenverlusten ist ein umfangreiches Sicherungs- und Wiederherstellungs-Konzept implementiert. Die Daten des Auftraggebers werden kontinuierlich über einen Replikationsmechanismus in separaten Verfügbarkeitszone gesichert. Zusätzlich werden täglich vollständige Sicherungen aller Systeme und Daten vorgenommen. Die Systeme und Anwendungen werden laufend hinsichtlich Verfügbarkeit, Funktionstüchtigkeit, Sicherheit und Auslastung überwacht. Es existiert ein schriftlicher Notfallplan, um die Sicherungen bei Verlust oder Zerstörung zurückzuspielen. h) Trennungsgebot Sämtliche Datensätze, die von den Systemen und Anwendungen des Auftragnehmers erhoben, verarbeitet oder genutzt werden, werden explizit und eindeutig dem jeweiligen Auftraggeber zugeordnet und technisch von anderen Daten getrennt. Die datenverarbeitenden Systeme des Auftragnehmers sind speziell auf die zweckgebundene und mandantengerechte Verarbeitung ausgerichtet. Der Zugriff auf die Daten eines anderen Auftraggebers ist damit technisch ausgeschlossen. OpenProject GmbH Seite 9 von 10

10 Anhang 2: Kontaktdaten des betrieblichen Datenschutzbeauftragten Zum betrieblichen Datenschutzbeauftragten ist bestellt: Herr Ingo Wolff Tacticx GmbH Walbecker Straße Geldern OpenProject GmbH Seite 10 von 10