Vertrag über auftragsbezogene Datenverarbeitung gemäß 11 BDSG zwischen Firma Strasse, PLZ Ort im Folgenden Auftraggeber und d.vinci HR-Systems GmbH Nagelsweg 37-39, 20097 Hamburg im Folgenden Auftragnehmer
1. Gegenstand der Vereinbarung 1.1 Der Provider wurde vom Kunden beauftragt, ihm über das Internet die Software d.vinci easy zur Nutzung zu überlassen und in diesem Rahmen für ihn Daten zu speichern. Für die Einzelheiten wird auf die entsprechende Beauftragung und die für sie geltenden Regeln verwiesen. 1.2 Die Parteien stimmen überein, dass die vom Kunden im Rahmen der Zusammenarbeit überlassenen personenbezogenen Daten sämtlich gem. 11 BDSG nach den Vorgaben des Kunden verarbeitet werden sollen. Zu diesem Zweck wird dieser Vertrag geschlossen, der ergänzend neben die weiteren Abreden der Parteien zum Vertragsgegenstand tritt. 1.3 Der Auftrag umfasst folgende Arbeiten: Betrieb der Software d.vinci easy in einem vom Provider beauftragten Rechenzentrum; Wartung und Pflege der Software entsprechend den vertraglichen Vereinbarungen; 1.4 Von der Datenverarbeitung im Auftrag betroffen sind Adressdaten Lebensläufe Arbeitszeugnisse Profile von Bewerbern, ggf. unter Einbeziehung von Daten aus Eignungstests von Personen, welche sich beim Auftrag Kunde auf ausgeschriebene Stellen bewerben. Nicht Gegenstand der Vereinbarung sind besondere Arten personenbezogener Daten im Sinne von 3 Abs. 9 BDSG. 2. Pflichten des Kunden 2.1 Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Kunde verantwortlich. Soweit er für Auskünfte Betroffener auf die Mitwirkung des Providers angewiesen ist, wird dieser die erforderlichen Mitwirkungshandlungen kostenfrei und unverzüglich erbringen. 2.2 Der Kunde erteilt alle Aufträge oder Teilaufträge in Textform. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen. 2.3 Der Kunde hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. 2.4 Der Kunde verpflichtet sich, dem Provider unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen in Textform mitzuteilen, die gegenüber dem Provider weisungsberechtigt sind oder als Ansprechpartner fungieren. Änderungen werden dem Provider unverzüglich in Textform mitgeteilt. 2.5 Der Kunde stellt die zu verarbeitenden Daten in einem zu definierenden Übermittlungsbzw. Fernnutzungsverfahren zur Verfügung bzw. diese werden von Bewerbern unmittelbar über das Internet in die Datenverarbeitung eingegeben. Die Ergebnisse der Verarbeitung dieser Daten werden ebenfalls in einem noch definierten Verfahren an den Kunden übermittelt. Die Art der Übermittlung sowie die Maßnahmen zur Sicherheit der Übermittlung (Übermittlungskontrolle) sind anforderungsgerecht festzulegen. d.vinci HR-Systems GmbH 2 / 8
2.6 Der Kunde ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Providers vertraulich zu behandeln. 3. Pflichten des Providers 3.1 Der Provider bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Provider sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht hat. Er überwacht laufend und zumindest stichprobenartig die Einhaltung der datenschutzrechtlichen Vorschriften. 3.3 Der Provider verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder andere Duplikate der Daten werden ohne Zustimmung und Wissen des Kunden nicht erstellt. 3.4 Der Provider verpflichtet sich, dem Kunde unter Angabe von Name, Organisationseinheit, Funktion und Telefonnummer die Personen in Textform mitzuteilen, die zur Entgegennahme von Weisungen des Kunden befugt sind oder als Ansprechpartner fungieren. Änderungen sind dem Kunden unverzüglich in Textform mitzuteilen. 3.5 Bewegliche Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, werden besonders gekennzeichnet und vor unberechtigten Zugriff geschützt. Ihr Eingang und Ausgang werden dokumentiert. 3.6 Der Provider sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 3.7 Der Provider wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Provider ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden bestätigt oder geändert wird. 3.8 Der Provider erklärt sich damit einverstanden, dass der Kunde jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Er ist hierfür berechtigt, die Geschäftsräume des Providers zu den üblichen Geschäftszeiten nach einer Vorankündigung von einem Werktag zu betreten. Der Provider wird Fehler oder Unregelmäßigkeiten bei der Erfüllung der ihm obliegenden Pflichten, die ihm der Kunde angezeigt hat, unverzüglich beheben. Der Provider wird solche Maßnahmen des Kunden stets dulden und soweit seine Mitwirkung erforderlich oder zweckdienlich ist den Kunde hierbei sachdienlich unterstützen. 3.9 Nach Abschluss der jeweiligen vertraglichen Arbeiten hat der Provider dem Kunde sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, auszuhändigen, sofern der Kunde hierauf nicht verzichtet. 3.10 Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien sind mit Auftragsbeendigung nach vorheriger Zustimmung durch den Kunde datenschutzgerecht zu vernichten. Die Vernichtung von Datenträgern mit personenbezogenen Daten erfolgt nach DIN 66399. Vorbehaltlich abweichender Vereinbarung erfolgt die Vernichtung nach Sicherheitsstufe 2. Dateien sind durch mehrfaches Überschreiben mit zufälligen Daten zu löschen. d.vinci HR-Systems GmbH 3 / 8
3.11 Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Kunden zugelassen. Der Provider hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen dem Kunden unmittelbar auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach 11 BDSG erfüllt hat. Für folgende Subunternehmer wird die Erlaubnis hiermit erteilt: pop-interactive GmbH, Wendenstrasse 408, 20537 Hamburg 3.12 Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Kunde abzustimmen. 3.13 Der Provider sichert zu, dass er gemäß 4 f. BDSG einen fachkundigen und zuverlässigen Datenschutzbeauftragten bestellt hat. 3.14 Soweit die beim Provider getroffenen Sicherheitsmaßnahmen den Anforderungen des Kunden nicht genügen, benachrichtigt der Provider den Kunden unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. 3.15 Der Provider wird den Kunden unverzüglich informieren, wenn ihm ein Verstoß gegen die Bestimmungen dieses Vertrages oder der Datenschutzgesetze durch ihn, die bei ihm beschäftigten Mitarbeiter oder einen etwaigen Subauftragnehmer bekannt wird. Er wird dem Kunden alle Informationen überlassen, welche diesem eine Prüfung des Vorganges und der zu ergreifenden Maßnahmen ermöglichen. 4. Pflichten des Providers gem. 9 BDSG Der Provider hat die nach 9 BDSG erforderlichen Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Er hat durch geeignete Maßnahmen insb. Sorge dafür zu tragen, dass seine Mitarbeiter soweit sie mit den Daten in Berührung kommen sämtlich gem. 5 BDSG verpflichtet sind, Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird (Zutrittskontrolle), dass seine Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können (Zugangskontrolle), dass die zur Benutzung des Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Weitergabekontrolle), Bankdaten werden nach Möglichkeit verschlüsselt. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle), d.vinci HR-Systems GmbH 4 / 8
zu gewährleisten, dass die für den Kunde erhobenen Daten getrennt von anderen Daten verarbeitet werden und ihre Eingabe allein in die vom Kunde vorgegebene Software erfolgt Die Vorgaben werden durch die Anlage 1 zu diesem Vertrag konkretisiert. 5. Vertragsdauer Der Vertrag beginnt am Tag seiner Unterzeichnung und wird auf unbestimmte Dauer geschlossen. Er endet mit der Laufzeit des in Ziffer 1 erwähnten Vertrages. 6. Schlussbestimmungen 6.1 Dieser Vertrag enthält alle Vereinbarungen der Parteien zum Vertragsgegenstand. Etwaig abweichende Nebenabreden werden hiermit unwirksam. 6.2 Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für jeden Verzicht auf das Schriftformerfordernis. 6.3 Allgemeine Geschäftsbedingungen der Parteien finden auf diesen Vertrag keine Anwendung. 6.4 Erweist sich eine Bestimmung dieses Vertrages als unwirksam, berührt dies die Wirksamkeit der übrigen Bestimmungen dieses Vertrages nicht. Beide Vertragsparteien sind verpflichtet, unverzüglich in eine Nachtragsvereinbarung zu diesem Vertrag einzuwilligen, welche die unwirksame Klausel durch eine wirksame Klausel ersetzt, die Sinn und Zweck der unwirksamen Klausel am nächsten kommt. 6.5 Alleiniger Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung ist Hamburg Mitte. Der Kunde ist berechtigt, den Provider an dessen gesetzlichen Gerichtsständen zu verklagen oder dort sonstige gerichtliche Schritte gegen ihn einzuleiten. Ort Datum Auftraggeber Ort Datum Auftragnehmer d.vinci HR-Systems GmbH 5 / 8
Anlage 1 1. Zutrittskontrolle Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten. Zugang für Personen nur nach im Rahmen der betrieblichen Erforderlichkeit (abgestufte Zutrittsregelung) Zugangskontrolle mit PIN Tastaturen Telefonische Anmeldung vor Zutritt in der Leitwarte notwendig Bewegungsmelder und Riegelkontakte in allen Türen Einbruchmeldeanlagen mit Videoüberwachung, Alarmüberwachung und Meldung an eine rund um die Uhr besetzte Leitwarte 2. Zugangskontrolle Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung. Admin- Kennwörter werden regelmäßig gewechselt Passwortlänge ist min. 8 Zeichen und enthält 4 unterschiedliche Zeichenkategorien Automatische Sperrung angemeldeter Benutzer nach 5 Minuten fehlender Aktivität Protokollierung von (fehlgeschlagenen) An- und Abmeldungen 3. Zugriffskontrolle Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung. Systemprotokolle Datenschutzkonforme Speicherung der Protokolle und Auswertung der Web Server und der Firewall im Bedarfsfall Der Zugriff der berechtigten Benutzer wird reglementiert durch differenzierte Zugriffsberechtigungen sowie, soweit angemessen, differenzierte Schreib- und Leserechte auf Datei- bzw. Datenbankebene. d.vinci HR-Systems GmbH 6 / 8
4. Weitergabekontrolle Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, Übermittlungskontrolle Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung. Wartungszugriff per VPN - Verbindung Zugriff durch Kunden verschlüsselt über VPN oder HTTPS (SSL) Protokollierung der Zugriff über Webserver Log Transport und Standort von Kundendaten auf Medien wird protokolliert 5. Eingabekontrolle Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. Anwendungsprotokolle in der Datenbank für Beweber- und Ausschreibungsdaten Datenschutzkonforme Speicherung der Protokolle und Auswertung im Bedarfsfall für den Web Server und die Firewall 6. Auftragskontrolle Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Kunde und Provider. Abschluss eines Vertrages nach 11 BDSG mit dem Kunde Kontrolle, ob Weisungen des Kunden im Rahmen des 11 BDSG im erforderlichen Umfang vorliegen. Ggf. einholen entsprechender Anweisungen Hinweis an den Kunde bei Vorliegen von datenschutzrelevanten Störungen Die Verarbeitung personenbezogener Daten im Auftrag nur entsprechend den Weisungen des Kunden wird durch schriftliche Weisungen gewährleistet. d.vinci HR-Systems GmbH 7 / 8
7. Verfügbarkeitskontrolle Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch / logisch). Backupstrategie: o Datenbanken: täglich komplett o Transaktionsprotokolle: alle 4 Stunden zwischen 2:00 Uhr und 19:00 Uhr o Fileserver/ Webserver: wöchentlich komplett, täglich inkrementell Gespiegelte/ Redundante Festplatten (RAID 1/ RAID 5) Redundante Netzteile getrennt abgesichert Unterbrechungsfreie Stromversorgung (USV) Backup System in getrennten Brandschutzbereich 8. Trennungskontrolle Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken. Eigene Datenbanken und Benutzer pro Kunde d.vinci HR-Systems GmbH 8 / 8