Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) zwischen der CSL-Beratung UG haftungsbeschränkt und - nachstehend Auftragnehmer genannt - dem Benutzer des Beratungsassistenten - nachstehend Auftraggeber genannt - Diese Vereinbarung regelt die datenschutzrechtlichen Verpflichtungen beider Vertragsparteien, die sich aufgrund des Umgangs mit personenbezogenen Daten ergeben. 1. Anwendungsbereich Der Benutzer des Beratungsassistenten hat die Möglichkeit der Nutzung ohne Speicherung von personenbezogenen Daten oder aber dessen Speicherung über den Auftragnehmer (Erläuterung). Letztere Fälle erfasst die Vereinbarung. 2. Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). -1-
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern; das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern; das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln; das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren; das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen; das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. -2-
3. Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag gem. 11 BDSG Bei der Datenverarbeitung im Auftrag erfolgt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch andere Stellen im Auftrag des Auftraggebers. Der Auftragnehmer erhebt, verarbeitet, nutzt personenbezogene Daten im Auftrag des Auftraggebers. 4. Gegenstand des Auftrages und Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung Der Auftraggeber zeigt in den Bereichen Arbeitskraft und Altersvorsorge Versorgungslücken auf. Grundlage dieser Berechnung sind die Angaben des Auftraggebers, der diese eingibt. Im Bereich der Sachversicherung wird dem Auftraggeber ein Beratungstool zur Verfügung gestellt, um anhand der Eingaben des Auftraggebers, die Versicherungssituation seines Kunden einfach darzustellen. Folgenden Daten können zur Berechnung eingegeben werden: Allgemeine Daten: Vorname, Nachname, Geburtsdatum, Anschrift, Bruttoeinkommen, Nettoeinkommen, Monatliche Kosten Vertragsdaten von den bestehenden Versicherungsverträgen: Versicherungsart, Versicherungsgesellschaft, Versicherungsnummer, Versicherungsbeginn, Versicherungsablauf, Monatsbeitrag, Versicherungsleistungen. Das Programm kann für folgende Personengruppen genutzt werden: Arbeitnehmer, Selbständiger / Freiberufler, Gesellschafter Geschäftsführer, Beamter (ab Mitte 2015), Schüler und Studenten. -3-
Zur Berechnung ist nicht die Eingabe aller Daten notwendig. Die Berechnung kann auch mit sehr wenigen Daten durchgeführt werden. Bei der Berechnung der Versorgungslücken handelt es sich um eine Schätzung. Sozialversicherungsabzüge werden nach den aktuellen Rechengrößen berechnet. Hinsichtlich steuerlichen Abzügen sind die Steuerklassen I und IV zu Grunde gelegt. Individuelle Freibeträge oder Sonderregelungen können nicht berücksichtigt werden. Sollten exakte Daten benötigt werden, können diese bei der Eingabe in allen Bereichen des Beratungsassistenten individuell auf dieser Grundlage dargestellt werden. Für die Richtigkeit der Eingaben sind Sie verantwortlich. 5. Vertragsdauer Die Vertragsdauer ergibt sich aus den vertraglichen Vereinbarungen auf Grundlage der Geschäftsbedingungen. Der Auftraggeber ist zu einer außerordentlichen Kündigung des Vertrags berechtigt, wenn der Auftragnehmer trotz schriftlicher Aufforderung die vereinbarten Leistungen nicht ordnungsgemäß erbringt oder seine Pflichten nach Ziff. 9 verletzt. 6. Verantwortlichkeit Der Auftraggeber ist bei der Datenverarbeitung im Auftrag für die Einhaltung der Vorschriften des Bundesdatenschutzgesetzes und anderer Vorschriften des Datenschutzes gem. 3 Abs. 7 BDSG verantwortlich. 7. Kreis der Betroffenen Der Auftragnehmer stellt dem Auftraggeber ein Beratungstool zur Verfügung, mit dem die Versicherungssituationen von Versicherungskunden darstellbar sind. Werden personenbezogene Daten eingegeben, so werden diese seitens des -4-
Auftragnehmers gespeichert. 8. Rechte und Pflichten des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der Datenerhebung/ -verarbeitung/ - nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Der Auftraggeber ist insbesondere verpflichtet, von seinen Versicherungskunden eine Einwilligungserklärung zum Umgang mit personenbezogenen Daten entsprechend den gesetzlichen Vorschriften sowie den code of conduct (einheitliche Verhaltensregeln für den Umgang mit personenbezogenen Daten für die deutsche Versicherungswirtschaft) einzuholen, sofern er diese über den Auftragnehmer speichert. Dies beinhaltet auch die Belehrung über den jederzeitigen Widerruf der Einwilligungserklärung. Ferner ist gesondert zu beachten, dass die Datenschutzerklärungen die Einwilligung der Versicherungskunden des Auftraggebers in die Datenverarbeitung und -nutzung alle 3 Jahre zu erneuern sind. (2) Der Auftraggeber hat das Recht, gegenüber dem Auftragnehmer Weisungen hinsichtlich der Löschung der Daten zu erteilen: Weisung Weisung ist die auf einen bestimmten datenschutzrelevanten Umgang (zum Beispiel Berichtigung, Sperrung und Löschung) des Auftragnehmers mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch die vertraglichen Vereinbarungen festgelegt und können vom Auftraggeber danach durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind umgehend schriftlich zu bestätigen. Weisungen, die sich auf Löschungen oder die Übertragung von Daten beziehen, sind schriftlich zu erteilen. 9. Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt. Das Programm ermöglicht dem Auftraggeber die -5-
personenbezogenen Daten selbst zu löschen. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. (2) Dem Auftragnehmer obliegt es, hinsichtlich nachfolgend aufgezählter Punkte Kontrollpflichten gemäß der technisch-organisatorischen Maßnahmen nach 9 BDSG anzuführen: Gewährleistung der Vertraulichkeit der Daten, Sicherstellung der Integrität der Daten, Gewährleistung der Authentizität der Daten, Gewährleistung der Authentifikation der Benutzer, Sicherstellung der Verfügbarkeit und Sicherstellung der Revisionsfähigkeit. (3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. (5) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt. -6-
(6) Die Verarbeitung von Daten erfolgt nicht in einer Privatwohnung. (7) Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche personenbezogene Daten sowie Verarbeitungs- oder Nutzungsergebnisse zu löschen, falls dies nicht schon durch den Auftraggeber erfolgt ist. Die Löschung ist dem Auftraggeber in Textform (Brief, Telefax, E-Mail) zu bestätigen. (8) Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. (9) Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland statt. (10) Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für eine Bestellung nicht vorliegen. (11) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften. Der Auftragnehmer darf Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. (12) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes ( 9 BDSG) entsprechen. (13) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf -7-
Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers oder bei Verstößen gegen die in diesem Auftrag getroffenen Festlegungen. (14) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte über seine Daten und Unterlagen zu erteilen. 10. Technische und organisatorische Maßnahmen nach 9 BDSG (a) Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen: Alfahosting GmbH, Ankerstraße 3b, 06108 Halle Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. (b) Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. (c) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach 42 a BDSG zu unterstützen. -8-
11. Haftung 1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. 2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten. 12. Nichterfüllung der Leistung Kann der Auftragnehmer die vereinbarte Leistung wegen höherer Gewalt, Krieg, Aufruhr, Streik, Aussperrung oder Stromausfall nicht rechtzeitig erfüllen, so ist er von der Leistung frei. Die Beweislast hierfür obliegt jedoch dem Auftragnehmer. Der Auftraggeber hat in diesem Falle keinen Anspruch auf Schadenersatz. Er hat jedoch das Recht, ein anderes Dienstleistungsunternehmen mit der Auftragsausführung zu beauftragen. 13. Sonstiges Für Nebenabreden ist die Textform (Brief, Telefax, E-Mail) erforderlich. 14. Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 15. Gerichtsstand -9-
Gerichtsstand ist Gera. -10-