Zusatzvereinbarung zur Auftragsdatenverarbeitung zur Kundenanmeldung vom DATUM mit der Kundennummer NUMMER Zwischen - nachfolgend Auftragnehmer genannt - und FIRMA/NAME - nachfolgend Auftraggeber genannt - wird folgender Vertrag geschlossen: Präambel Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem Hauptvertrag (vom DATUM, Angebot / Leistungsbeschreibung, AGB) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieser Zusatzvereinbarung richtet sich nach der Laufzeit des Hauptvertrags. 1 Definitionen 1. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. 2. Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. 3. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des
2 Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). 2 Anwendungsbereich und Verantwortlichkeit 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragnehmer erbringt Hosting-Leistungen für dedizierte und virtuelle Server. Die Leistungen umfassen die Bereitstellung von Speicherplatz, elektronischen Postfächern, Datenbanken und Skripten. Der Auftrag umfasst alle notwendigen Arbeiten zur Erbringung dieser Dienstleistungen. Dies umfasst Tätigkeiten, die in den Angeboten / Leistungsbeschreibung konkretisiert sind. Der Auftraggeber oder die Kunden des Auftraggebers ist/sind im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG). Die Art der personenbezogenen Daten und der Verarbeitungszweck werden in Anlage 1 näher beschrieben. 2. Diese Zusatzvereinbarung enthält den schriftlichen Auftrag zur Auftragsdatenverarbeitung im Sinne des 11 Bundesdatenschutzgesetz (im Folgenden BDSG) und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung. 3. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe seiner Daten verlangen, soweit der Auftraggeber dies mit seinen Zugriffen nicht selbst durchführen kann. 4. Die Inhalte dieser Zusatzvereinbarung gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 3 Pflichten des Auftragnehmers 1. Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Weisungsberechtigte Person des Auftraggebers ist: VORNAME NACHNAME sowie mit entsprechenden Autorisierungsdaten vertraute Mitarbeiter. 2. Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust, die den Forderungen des Bundesdatenschutzgesetzes ( 9 BDSG) entsprechen. Eine Auflistung dieser technischen und organisatorischen Maßnahmen wird als Anlage 2 beigefügt. 3. Der Auftragnehmer stellt dem Auftraggeber auf Anforderung die für die
3 Übersicht nach 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung. 4. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß 5 Bundesdatenschutzgesetz (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. 5. Sofern der Auftragnehmer im Zusammenhang mit den Leistungen für den Auftraggeber an der Erbringung geschäftsmäßiger Telekommunikationsdienste mitwirkt, ist er verpflichtet, die hieran beteiligten Beschäftigten schriftlich auf das Fernmeldegeheimnis i.s.d. 88 TKG zu verpflichten. 6. Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit, soweit die Bestellung eines Datenschutzbeauftragten für den Auftragnehmer gesetzlich vorgeschrieben ist 7. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. 8. Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren und in geeigneter Weise nachzuweisen. 9. Der Auftragnehmer verpflichtet sich, alle ihm im Zusammenhang mit dem Vertrag und dessen Abwicklung zugänglich gewordenen Informationen, die als vertraulich bezeichnet werden oder eindeutig als Geschäftsoder Betriebsgeheimnisse erkennbar sind, unbefristet geheim zu halten. Dies gilt nicht für Daten, die ohnehin allgemein zugänglich sind oder zugänglich werden oder soweit der Auftragnehmer zur Bekanntgabe gesetzlich verbindlich verpflichtet ist. 10. Zugangsdaten, die dem geschützten Datenzugriff durch den Auftraggeber dienen, wird der Auftragnehmer unbefugten Dritten nicht zugänglich machen. Mitarbeiter des Auftragnehmers dürfen nur dann Kenntnis von Zugangsdaten oder Zugriff auf die diesem Vertragsverhältnis zugeordneten Daten erhalten, wenn dies zur Durchführung dieses Vertrages zwingend notwendig ist. 4 Pflichten des Auftraggebers 1. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich. 2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 3. Der Auftraggeber ist zur Führung des öffentlichen Verfahrensverzeichnisses gem. 4g Abs. 2 S. 2 BDSG verpflichtet.
4 4. Dem Auftraggeber obliegen die aus 42a BDSG resultierenden Informationspflichten. 5. Alle Daten eines dedizierten oder virtuellen Servers werden nach dem Ende des entsprechenden Vertrages vom Auftragnehmer gelöscht. Der Auftraggeber wird die Daten seiner Kunden nach dem Ende des jeweiligen Vertrages löschen. Es obliegt dem Auftraggeber oder den Kunden des Auftraggebers, Sicherungskopien von ihren Daten anzufertigen. Der Auftraggeber hat selbst Zugriff auf seine Daten. 5 Anfragen Betroffener an den Auftraggeber 1. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben und ist er hierzu auf die Mitwirkung des Auftragnehmers angewiesen, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereitzustellen. Voraussetzung ist, dass der Auftraggeber den Auftragnehmer hierzu schriftlich auffordert. 6 Kontrollpflichten 1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragnehmers einholen oder sich ein Testat eines Sachverständigen vorlegen lassen. 2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind. 7 Subunternehmer 1. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt. 2. Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. 8 Informationspflichten, Schriftformklausel, Rechtswahl 1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim
5 Auftraggeber als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes liegen. 2. Änderungen und Ergänzungen dieser Zusatzvereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 3. Diese Zusatzvereinbarung unterliegt deutschem Recht. Auftragnehmer: Ort, Datum Unterschrift, Firmenstempel Auftraggeber: Ort, Datum Unterschrift, Firmenstempel Anlage 1: Anlage 2: Auflistung der personenbezogenen Daten und Zweck ihrer Verarbeitung Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß 11, 9 BDSG und Anlage
6 Anlage 1 - Auflistung der personenbezogenen Daten und Zweck ihrer Verarbeitung 1. Umfang, Art und Zweck Datenverarbeitungszweck ist die Erbringung der technischen Leistungen für die Bereitstellung der Dienstleistungen des Auftragnehmers wie sie in den Angeboten / Leistungsbeschreibungen und den AGB des Auftragnehmers beschrieben werden: Produkt: BEZEICHNUNG SERVER inkl. detaillierter Beschreibung 2. Art der Daten Daten, die der Auftraggeber oder von ihm autorisierte Nutzer (die Kunden des Auftraggebers) auf den bereitgestellten Servern speichern (Inhalt der Webseiten, des Online-Speichers, der E-Mail-Postfächer, der Datenbanken etc.) Abrechnungsdaten Adressdaten Authentifizierungsdaten Befragungsdaten Bestandsdaten E-Mail- / Chatdaten Interessen / Profile Kontaktdaten Leistungsdaten Nutzungsdaten Video- / Bilddateien 3. Kreis der Betroffenen Der Kreis der Betroffenen wird durch den Auftraggeber, aber auch direkt durch die Kunden des Auftraggebers ( verantwortliche Stelle im Sinne des 3 Abs. 7 BDSG) bestimmt. Interessenten / Besucher der Websites Empfänger und Absender der E-Mails Geschäftspartner, Kunden Kontaktpersonen
7 Anlage 2 - Beschreibung der technischen und organisatorischen Maßnahmen gemäß 11, 9 BDSG und Anlage Im Folgenden werden die technischen und organisatorischen Maßnahmen gemäß 11, 9 BDSG und Anlage festgelegt, die bei der Datenverarbeitung vom Auftragnehmer umzusetzen sind. Dies beinhaltet insbesondere 1. Zutrittskontrolle Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten: Rechenzentrumsgebäude sind durch Sicherheitsschlösser, vergitterte Fenster oder Rollos gesichert der Zutritt ist nur autorisierten Personen mit Magnetkarte und Schlüssel möglich die Zutrittswege sind durch Wachschutz, Video- und Alarmanlagen gesichert zutrittsberechtigte Mitarbeiter sind organisatorisch festgelegt Magnetkarten und Schlüssel werden nur entsprechend der Organisationsanweisung vergeben über den Zutritt werden Anwesenheitslisten geführt, Regelungen für Fremdpersonal und Richtlinien zu Begleitung von Gästen sind vorhanden 2. Zugangskontrolle zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: der Zugang zu Systemen erfolgt mit Authentifizierung durch individuelle Benutzerkennung und sicherem Passwort Berechtigungen werden nach einem Zugangsberechtigungskonzept vergeben die Systeme sind gegen unberechtigten Zugang z.b. durch eine Firewall gesichert
8 3. Zugriffskontrolle dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung: Berechtigungen sind in den IT-Systemen festgelegt differenzierte Zugriffe und differenzierte Berechtigungen werden festgelegt Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (technisch) sind getrennt der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt Test- und Produktionsumgebung wird getrennt Fernwartungen werden mit eindeutiger Benutzerkennung vorgenommen und protokolliert 4. Weitergabekontrolle dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung: Mitarbeiter werden auf das Datengeheimnis nach 5 BSDG verpflichtet soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt, Daten verschlüsselt und Schnittstellen gegen unbefugten Datenexport gesichert 5. Eingabekontrolle dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Die Daten werden vom Auftraggeber selbst eingegeben Mitarbeiter dürfen nur nach schriftlicher Weisung durch den
9 Auftraggeber auf die Daten des Auftraggebers zugreifen bzw. Daten eingeben, verändern oder löschen 6. Auftragskontrolle dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Weisungsrechte des Auftraggebers ergeben sich aus dieser Zusatzvereinbarung Mitarbeiter erhalten eine schriftliche Weisung zum Umgang mit den personenbezogenen Daten Unterauftragsverhältnisse werden schriftlich beauftragt 7. Verfügbarkeitskontrolle dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind Maßnahmen zur Datensicherung (physikalisch / logisch): die Rechenzentren verfügen über eine unterbrechungsfreie Stromversorgung durch Batterien und Dieselaggregate die Primärtechnik und die wesentliche Sekundärtechnik sind redundant aufgebaut alle Daten werden in einem zweifachen Backup-System täglich für 2 Tage gesichert Wiederherstellungsmöglichkeiten bei Datenverlust sind vorhanden Brandmeldeanlagen, Löschanlagen und ein Notfallplan sind vorhanden 8. Trennungskontrolle dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken: die Daten werden je nach Nutzung physikalisch oder logisch von anderen Daten getrennt die Datensicherung erfolgt auf virtuell getrennten Einheiten