Auftragsverarbeitungs-Vertrag „AVV“ (Vereinbarung zur Auftragsdatenverarbeitung)
zwischen Auftraggeber – nachstehend „Auftraggeber“ genannt –
und HERO Software GmbH, Göttinger Hof 9, 30453 Hannover
– nachfolgend „Auftragnehmer“ genannt - – beide zusammen „Parteien“ genannt –
Präambel
Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten des Auftraggebers im Rahmen der Nutzung der Software „HERO“ durch den Auftraggeber.
§ 1 Gegenstand und Dauer des AVV
(1) Gegenstand des AVV
(a) Inhaltlicher Geltungsbereich
Dieser AVV gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Mitarbeiter und/oder – soweit gem. nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten von und für den Auftraggeber erheben, verarbeiten oder nutzen.
(b) Räumlicher Geltungsbereich
Nach diesem AVV ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer nur im Gebiet der Bundesrepublik Deutschland zulässig. Dem Auftragnehmer ist es ohne vorherige Abstimmung mit dem Auftraggeber nicht gestattet, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von und für den Auftraggeber ins Ausland, insb. außerhalb des Gebietes der Europäischen Union und des Europäischen Wirtschaftsraumes, zu verlagern. Wenn und soweit der Auftragnehmer künftig beabsichtigt, seine Leistungserbringung und damit einhergehend die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von dem Auftraggeber ins Ausland, insb. ins außereuropäische Ausland zu verlagern, hat er den Auftraggeber umgehend zu unterrichten. Eine solche Verlagerung darf nur und erst erfolgen, wenn der Auftraggeber dem zuvor schriftlich zugestimmt hat und die besonderen Voraussetzungen der DSGVO bzw. des BDSG (neu) vorliegen.
(2) Dauer des AVV
Die Laufzeit des AVV wird entsprechend der Laufzeit des entsprechenden Software- oder Kooperationsvertragsverhältnisses der Parteien vereinbart; dieser AVV bleibt während der gesamten Laufzeit des entsprechenden Vertragsverhältnisses in Kraft, soweit sie nicht durch eine Nachfolgeregelung ersetzt wird. Eine Kündigung des Vertragsverhältnisses führt automatisch zur Beendigung dieses AVVs. Eine Kündigung dieses AVVs aus wichtigem Grund führt automatisch zur Beendigung des entsprechenden Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer.
(3) Kündigung
Beide Parteien sind berechtigt, diesen AVV jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt insb. vor, wenn
der Auftragnehmer gegen wesentliche Bestimmungen dieses AVV verstößt, namentlich,
die bei ihm beschäftigten Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, keine Verpflichtung auf das Datengeheimnis unterzeichnet haben;
die bei ihm beschäftigten Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, keine Verpflichtung auf das Datengeheimnis unterzeichnet haben;
der Auftragnehmer den Auftraggeber entgegen der gesetzlichen Verpflichtungen nicht oder nicht unverzüglich informiert;
der Auftragnehmer den Auftraggeber im Rahmen seiner Benachrichtigungspflicht gegenüber der Aufsichtsbehörde und den Betroffenen nicht oder nicht unverzüglich oder nicht vollständig über die Umstände der unrechtmäßigen Kenntniserlangung durch Dritte und etwaige Folgen für die Betroffenen informiert;
der Auftragnehmer den Auftraggeber oder einem von ihm bevollmächtigten Dritten den Zutritt zu seinen Räumlichkeiten und den Zugang zu den IT-Anlagen zwecks Durchführung der Vorabkontrolle und der regelmäßigen Kontrollen nicht gewährt, ohne dass hierfür ein wichtiger Grund vorliegt;
der Auftragnehmer technisch-organisatorische Maßnahmen ohne Abstimmung mit dem Auftraggeber entgegen § 4 Abs. 3 ändert und hierbei das erforderliche Datenschutz- und Datensicherheitsniveau nicht eingehalten wird;
der Auftragnehmer das Weisungsrecht des Auftraggebers (§ 10) trotz Nachfristsetzung von mindestens einer Woche nicht beachtet; es sei denn, es liegt ein Fall des § 10 (2) vor
der Auftragnehmer den Auftraggeber nicht oder nicht rechtzeitig über Änderungen in den Datenverarbeitungsvorgängen informiert, die personenbezogene Daten von dem Auftraggeber betreffen;
der Auftragnehmer den Auftraggeber trotz nochmaliger Aufforderung des Auftragnehmers nicht anweist, personenbezogene Daten eines Betroffenen zu löschen, zu sperren oder zu berichtigen oder hiervon abzusehen, obwohl die gesetzlichen Voraussetzungen hierzu vorliegen.
der Auftragnehmer erforderlichen Anpassungen dieser Vereinbarung zur Umsetzung der Verpflichtungen aus der DS GVO und des BDSG (neu) nicht zustimmt.
§ 2 Verantwortungsbereiche
Die Parteien gehen davon aus, dass der Auftragnehmer als Auftragsdatenverarbeiter i.S. der jeweils aktuellen Fassung des BDSG und der DSGVO für den Auftraggeber tätig wird. Wenn und soweit der Auftragnehmer jetzt oder künftig Leistungen erbringen soll, die nicht nach diesem AVV privilegiert sind, werden die Parteien sich hierüber abstimmen. Im Rahmen der Durchführung dieses AVV gelten nachfolgende Verantwortungsbereiche:
(1) Verantwortung des Auftraggebers
(a) Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung des Auftragnehmers zu erhebenden, zu verarbeitenden und zu nutzenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften, insb. des Bundesdatenschutzgesetzes (BDSG) sowie der DSGVO, verantwortlich. Der Auftraggeber ist insb. dafür verantwortlich, dass etwaige Einwilligungserklärungen, die für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erforderlich sind, eingeholt wurden.
(b) Der Auftraggeber ist „Herr der Daten“. Der Auftraggeber behält die volle Kontrolle über die des Auftragnehmers zu erhebenden, zu verarbeitenden und zu nutzenden Daten. Sämtliche erhobenen, verarbeiteten und genutzten Daten stehen ausschließlich dem Auftraggeber zu.
(2) Verantwortung des Auftragnehmers
Der Auftragnehmer wird personenbezogene Daten, die im Rahmen dieses AVVs im Auftrag für den Auftraggeber erhoben, verarbeitet oder genutzt werden, ausschließlich zur Erfüllung des im Vertrag und seinen Leistungsscheinen beschriebenen Zwecken erheben, verarbeiten und nutzen.
§ 3 Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
(1) Umfang und Zweck der Datenerhebung, -verarbeitung oder -nutzung
(a) Personenbezogene Daten werden vom Auftraggeber und dessen Mitarbeitern sowie Kunden im Rahmen der Software-Nutzung erhoben bzw. verarbeitet. Der Zweck der Datenerhebung ist die Verwaltung der Handwerksbetriebe als SaaS (Software-as-a-Service) Nutzer, sowie die Verwaltung der einzelnen Nutzer der Software durch den Auftraggeber und das Verwalten von Kunden-Projekten des Auftraggebers.
(2) Art der Daten der Datenerhebung, -verarbeitung oder -nutzung
Im Rahmen des Vertragsverhältnisses erhebt, verarbeitet und nutzt der Auftragnehmer folgende Arten von Daten von i) des Auftraggebers, ii) Endkunden (Hausbesitzer: Kunden des Auftraggebers) und iii) Mitarbeitern des Auftraggebers:
Personenstammdaten (Adressdaten, Name, etc.)
Kommunikationsdaten (z.B. Telefon, E-Mailadresse
Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
IP Adressen Browserinformationen, Quellen
Standortdaten, (App)
Kundenhistorie
Bankdaten
(3) Kreis der Betroffenen
Der Kreis der durch den Umgang mit personenbezogenen Daten im Rahmen dieses AVVs Betroffenen umfasst:
Endkunden des Auftraggebers (insbesondere Hausbesitzer)
Beschäftigte des Auftraggebers
Lieferanten und andere Kontakte des Auftraggebers
§ 4 Technisch-organisatorische Maßnahmen
(1) Beschreibung der technisch-organisatorischen Maßnahmen
Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die folgenden technisch-organisatorischen Maßnahmen getroffen:
Zutrittskontrolle, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, verwehrt:
Absicherung der Gebäude, Fenster und Türen.
Sicherheitsdienst auf Bürogelände.
Sorgfältige Auswahl von Reinigungspersonal.
Zugangskontrolle, die es verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
Passwortgeschützter Login für Mitarbeiter mit verwaltenden Aufgaben.
Eingeschränkter Zugriff auf Datenbanken durch Mitarbeiter der IT-Entwicklung. (Berechtigungskonzept).
Zugriffskontrolle, die sicherstellt, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können:
Rechtesysteme innerhalb verschiedener Softwarelösungen, die Lese & Schreibrechte nur für bestimmte Nutzerrollen zulässt.
Weitergabekontrolle, mit der dafür gesorgt wird, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Verschlüsselung der Daten bei Austausch innerhalb verschiedener Systeme.
Eingabekontrolle, mit deren Hilfe nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
Logbuchfunktion mittels derer verschiedene prozessuale Arbeitsschritte dokumentiert werden.
Auftragskontrolle, die sicherstellt, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden:
auftragsbezogene Logindaten der Mitarbeiter
Berechtigungskonzept
Dokumentation der Weisungen, Dokumentation der Ausführungen durch Logbuchfunktion
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
regelmäßige Mitarbeiterschulungen
Verfügbarkeitskontrolle, d.h. es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Backup in regelmäßigen Abständen
Berechtigungskonzept
Trennungsgebot, welches sicherstellt, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden getrennt verarbeitet werden können:
physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
Trennung von Produktiv- und Testsystem
Festlegung von Datenbankrechten
auftragsbezogene Logindaten der Mitarbeiter
Berechtigungskonzept
Logbuchfunktion
(2) Technischer Fortschritt und Änderung der technisch-organisatorischen Maßnahmen
Die in diesem AVV beschriebenen technisch-organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Maßnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen hat der Auftragnehmer zu dokumentieren und den Auftraggeber entsprechend zu informieren. Der Auftraggeber kann widersprechen, wenn durch die Änderung der Maßnahmen ein angemessenes Datenschutzniveau nicht gesichert ist.
(3) Informationspflicht des Auftragnehmers
Der Auftragnehmer wird den Auftraggeber über die technischen und organisatorischen Maßnahmen sowie Ereignisse, die für die Sicherheit oder Vertraulichkeit der Daten von Bedeutung sind, regelmäßig unterrichten. Störungen oder sonstige Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers wird er diesem unverzüglich mitteilen und das weitere Vorgehen mit ihm abstimmen.
§ 5 Berichtigung, Löschung und Sperrung von Daten
(1) Die im Auftrag des Auftraggebers erhobenen, verarbeiteten und genutzten Daten darf der Auftragnehmer nur nach Weisung durch den Auftraggeber berichtigen, löschen oder sperren. Wenn sich ein Betroffener zu diesem Zweck direkt an den Auftragnehmer wendet, hat dieser ein solches Ersuchen unverzüglich an den Auftraggeber weiterzuleiten. Ansprechpartner für solche Anfragen beim Auftraggeber sind dem Auftragnehmer unaufgefordert mitzuteilen. Der Auftraggeber wird dem Auftragnehmer die entsprechenden Kontaktdaten und etwaige spätere Änderungen mitteilen.
(2) Der Ansprechpartner bei dem Auftraggeber wird das Ersuchen prüfen und der Auftragnehmer schriftlich mitteilen, ob es berechtigt war oder nicht und den Auftragnehmer anweisen, die Berichtigung, Löschung oder Sperrung vorzunehmen.
§ 6 Pflichten des Auftragnehmers
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
Hierzu gehören insbesondere die folgenden Verpflichtungen:
(1) der Auftragnehmer wird sämtliche Personen, die bei der Datenverarbeitung beschäftigt sind, auf das Datengeheimnis verpflichten und diese über Art, Umfang und Bedeutung des Datengeheimnisses unterrichten.
(2) der Auftragnehmer wird die technisch-organisatorischen Maßnahmen umsetzen.
(3) der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde und zwar auch bei Ermittlungen unterrichten.
(4) der Auftragnehmer wird regelmäßige Kontrollen zur Durchführung der Auftragskontrolle vornehmen, insb. zur Einhaltung und etwaigen notwendigen Anpassungen von Regelungen und Maßnahmen zur Durchführung dieses AVV.
§ 7 Einschaltung von Subunternehmern
(1) Grundsätze für die Einschaltung von Subunternehmern
Der Auftragnehmer arbeitet mit folgenden Subunternehmen zusammen:
Infrastruktur
Diese Auftragsverarbeiter stellen uns eine robuste Infrastruktur zur Verfügung, die verschiedene Aspekte wie Hosting, Netzwerkdienste, Cloud-Computing und Content Delivery umfasst. Sie ermöglichen es uns, unsere Plattform effizient bereitzustellen, Skalierbarkeit zu gewährleisten und eine optimale Leistung zu erzielen
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Deutschland
Hoster/Rechenzentrum
Deutschland
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Hoster/Rechenzentrum
Deutschland
Google LLC
1600 Amphitheatre Parkway
Mountain View
California 94043
USA
Hosting, App Services, Maps, Push Notifications, data warehouse
Deutschland & USA
Apple Inc.
Infinite Loop
Cupertino
CA 95014
USA
App, Maps, Push notifications
USA
Cloudflare Inc.
101 Townsend St
San Francisco
CA 94107
USA
Content Delivery Network, Cache (Hosting)
EU
Twilio Inc.
101 Spear Street, 5th Floor
San Francisco
CA 94105
Email-Versand aus Hero
Global
Netlify Inc.
512 2nd Street
Suite 200
San Francisco
CA 94107
Nur eingesetzt bei Nutzung bestimmter Module
Deutschland
Fehlerüberwachung
Diese Unterauftragsverarbeiter ermöglichen es uns, Fehler in Echtzeit zu überwachen, Systemmetriken zu überwachen und visuell darzustellen, um eine schnelle Reaktion und eine kontinuierliche Verbesserung unserer Dienstleistungen sicherzustellen.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Sentry.io
132 Hawthorne St
San Francisco
CA 94107
USA
Error Reporting Hero/Mobile
USA
Grafana Labs
29 Broadway Penthouse
New York
NY 10006
USA
Server Logs und Monitoring
EU
Kundenservice
Diese Unterauftragsverarbeiter ermöglichen es uns, effektive Kommunikation und Unterstützung für unsere Kunden bereitzustellen.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Inline Manual Ltd
20-22 Wenlock Road
London N1 7GU
United Kingdom
Interaktive Anleitungen
Belgien
Zendesk, Inc.
1019 Market St.
San Francisco
CA 94103
USA
FAQ Datenbank, Ticket-System für Support
Deutschland
Calendly LLC
1315 Peachtree
St NE
Atlanta
GA 30309
USA
Date Picker für HERO Online-Präsentationen
USA
Productboard Inc.
612 Howard Street
4th floor
San Francisco
CA 94105
USA
Kundenfeedback quantifizieren und priorisieren
USA
Notch GmbH
Eifflerstraße 43
22769
Hamburg
Deutschland
Onboarding von Neukunden
Deutschland
Aircall.io Inc.
381 Park Avenue South
6th Floor
New York
NY 10016
USA
Cloud Telefonanlage
USA
CircleCo, Inc.
228 Park Ave S,
PMB 52933
New York
NY 10003, USA
Kommunikationsdienste, HERO Community
USA
Kundenadministration
Diese Unterauftragsverarbeiter verarbeiten personenbezogene Daten, die zur Administration der Kunden verwendet werden unter anderem im Rahmen der Vertragserstellung und der Abrechnung. Betroffen sind ausschließlich die personenbezogenen Daten der direkten HERO Kunden und nicht der individuellen Kundenstämme der Kunden.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
JustOn GmbH
Mälzerstraße 3
07745 Jena
Deutschland
Subscription Management - Abrechnung
Deutschland
SALESFORCE.COM GERMANY GMBH
Erika-Mann-Str. 31
80636 München
Deutschland
Sales & Supportprozesse
Deutschland
PandaDoc Inc.
3739 Balboa,
#1083 San Francisco
California 94121
USA
elektronische Dokumentenunterzeichnung
USA
Odoo DE GmbH
Mühlenstraße 15
10243 Berlin
Buchhaltungsystem, mit Mahnlaufprozess
EU
Datenanalyse
Diese Unterauftragsverarbeiter ermöglichen es uns, das Nutzerverhalten zu analysieren und wertvolle Erkenntnisse zur Weiterentwicklung von HERO Software zu gewinnen.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Mixpanel Inc.
405 Howard Street
Floor 2
San Francisco
CA 94105
USA
Analyse Nutzer-Verhalten
EU
Refiner SASU
10 Rue de Penthiévre
75008 Paris
Frankreich
Automatisierte Nutzerbefragungen
EU
Dovetail Research Pty. Ltd.
Level 1, 276 Devonshire Street
Surry Hills
New South Wales 2010
Australia
Qualitative Interviews dokumentieren und auswerten
EU
Langdock GmbH
Fehrbelliner Strasse 4
10119 Berlin
Deutschland
Auswertung von Daten
EU
Datenintegration und Workflow-Automatisierung
Diese Unterauftragsverarbeiter ermöglichen es uns, Daten aus verschiedenen Quellen zu extrahieren, zu integrieren und zu übertragen. Sie unterstützen auch die Datenvisualisierung, -analyse und die Automatisierung von Workflows.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Hightouch - Carry Technologies Inc.
2211 Mission Street, Unit B
San Francisco
CA 94110
USA
Verknüpfung unterschiedlicher Tools
USA
Fivetran Inc.
Oakland
1221 Broadway
Floor 20
Oakland
CA 94612
USA
Verknüpfung unterschiedlicher Tools
USA
Make.com - Celonis Inc.
One World Trade Center
87th Floor
New York
NY 10007
USA
Verknüpfung unterschiedlicher Tools
EU
Zapier Inc.
548 Market St. #62411
San Francisco
CA 94104-5401
USA
Verknüpfung unterschiedlicher Tools
USA
dbt Labs, Inc.
915 Spring Garden St
Suite 500
Philadelphia, PA 19123
United States
Datenintegration, Datentransformation und Workflow-Automatisierung
USA
n8n GmbH
Novalisstraße 10
10115 Berlin
Deutschland
Datentransformation und bestimmte Module
Deutschland
Interne Kommunikation
Diese Unterauftragsverarbeiter verarbeiten personenbezogene Daten nur, wenn im Rahmen der internen Kommunikation personenbezogene Daten in z.B. Chatverläufen, Mailverläufen, etc. enthalten sind. Die betroffenen personenbezogenen Daten werden dabei jeweils unstrukturiert und werden in minimierter Form (Prinzip der Datenminimierung) verwendet.
Unternehmen, Sitz
Zweck der Zusammenarbeit
Standort der Datenverarbeitung
Slack Technologies, Inc.
500 Howard St
San Francisco
CA 94105
USA
Error Reporting, Kommunikation
USA
Atlassian Inc.
350 Bush St. Floor 13
San Francisco
CA 94104
USA
Tickets, Incident Response Kommunikation
EU
§ 8 Kontrollrechte des Auftraggebers, Mitwirkungspflichten des Auftragnehmers
Der Auftraggeber ist berechtigt, zunächst vor Beginn der Datenverarbeitung und sodann regelmäßig bei dem Auftragnehmer zu kontrollieren, ob die technisch organisatorischen Maßnahmen eingehalten werden.
(1) Kontroll- und Zutrittsrechte
Zu diesem Zweck räumt der Auftragnehmer dem Auftraggeber das Recht ein, die Vorabkontrolle sowie die Auftragskontrolle in Abstimmung mit dem Auftragnehmer zu den üblichen Geschäftszeiten des Auftragnehmers oder nach vorheriger Terminvereinbarung durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Er wird dem Auftraggeber auf dessen Verlangen die in diesem Zusammenhang relevanten Informationen geben. Das Ergebnis dieser Prüfungen ist zu dokumentieren. Der Auftraggeber ist berechtigt, Kontrollen vor Ort bei einem Subunternehmer gemeinsam mit dem Auftragnehmer durchzuführen oder durch Dritte durchführen zu lassen, soweit dies erforderlich ist, damit sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen kann.
(2) Nachweispflichten
Der Auftragnehmer weist den Auftraggeber auf Nachfrage die Umsetzung der technisch-organisatorischen Maßnahmen nach. Dieser Nachweis kann auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
§ 8a Datenschutzbeauftragter
Der Auftragnehmer hat Frau Marion Albrecht, Rechtsanwältin, Fachanwältin für IT- Recht (Informationstechnologierecht), activeLAW Rechtsanwälte, Hans-Böckler-Allee 26, 30173 Hannover als externe Datenschutzbeauftragte bestellt.
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
§ 9 Mitzuteilende Verstöße
Der Auftragnehmer ist verpflichtet, dem Auftraggeber Verstöße gegen Datenschutzbestimmungen oder diesen AVV, die er oder die bei ihm beschäftigten Personen begangen haben, mitzuteilen. Im Hinblick darauf vereinbaren die Parteien Folgendes:
(1) Mitteilung von allgemeinen Verstößen
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn und soweit er oder die bei ihm beschäftigten Personen gegen Datenschutz- oder gegen Bestimmungen dieses AVV verstoßen haben.
(2) Benachrichtigungspflicht
Der Auftraggeber hat bei einer unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte gegenüber der Aufsichtsbehörde und den Betroffenen bestimmte Informationspflichten. Der Auftragnehmer wird dem Auftraggeber dahingehende Vorfälle unverzüglich ohne Ansehen der Verursachung mitteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer wird in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Wenn und soweit der Auftraggeber zur Benachrichtigung der Aufsichtsbehörden verpflichtet ist, wird der Auftragnehmer ihn hierbei vollumfänglich unterstützen und ihm unverzüglich sämtliche erforderlichen Informationen über die Ursache, das Ausmaß und die Folgen für die Betroffenen, die durch die unrechtmäßige Kenntniserlangung eintreten können, geben, damit der Auftraggeber seinen Benachrichtigungspflichten sowohl gegenüber der Aufsichtsbehörde als auch ggf. gegenüber den Betroffenen nachkommen kann.
Der Auftraggeber ist „Herr der Daten“ und entscheidet deswegen alleine, ob aufgrund der ihm seitens des Auftragnehmers über einen Vorfall zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss.
Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen, es sei denn der Auftragnehmer ist behördlich oder gesetzlich zur Auskunft verpflichtet; der Auftragnehmer wird – soweit möglich in den letztgenannten Fällen zunächst Rücksprache mit dem Auftraggeber halten; im Übrigen wird der Auftraggeber in diesen Fällen unverzüglich über die Art und den Inhalt der Auskunft informiert.
§ 10 Weisungsbefugnisse
(1) Weisungsrecht des Auftraggebers
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten i.S. des Vertragsverhältnisses und dieses AVV erfolgt ausschließlich nach den Weisungen des Auftraggebers. Der Auftraggeber hat im Rahmen des Vertragsverhältnisses und dieses AVVs ein umfassendes Weisungsrecht hinsichtlich der Art, dem Umfang und den Verfahren der Datenverarbeitung, das er durch Einzelanweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstands und Verfahrensänderungen stimmen die Parteien ab.
Sämtliche Änderungen des Verarbeitungs- und/oder Verfahrensgegenstandes sind zu dokumentieren.
Der Auftraggeber wird seine Weisungen grundsätzlich schriftlich oder per E-Mail erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke als diejenigen, die in dem Vertragsverhältnis und dieses AVVs festgelegt sind. Er ist nicht berechtigt, die personenbezogenen Daten von dem Auftraggeber an Dritte weiterzugeben oder anderweitig zu übermitteln, insb. zum Abruf bereitzustellen. Kopien und Duplikate außerhalb der für interne Zwecke vorgenommen Maßnahmen zu Datensicherung (Backups) darf der Auftragnehmer nur dann erstellen, wenn der Auftraggeber zugestimmt hat, der Auftragnehmer sie als Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder der Auftragnehmer sie unter dem Gesichtspunkt der gesetzlichen Aufbewahrungspflichten benötigt.
(2) Hinweispflicht der Auftragnehmer
Wenn und soweit der Auftragnehmer der Auffassung ist, dass die Ausführung von Weisungen i.S. des vorstehenden Absatzes zu einer Verletzung von Datenschutzbestimmungen führen könnte, ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich hierauf hinzuweisen (§ 11 Abs. 3 Satz 2 BDSG). In diesem Fall ist er berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Ansprechpartner bestätigt oder geändert wird.
§ 11 Vertragsbeendigung
Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gem. den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.
Mit Beendigung des Auftrags oder vorher auf Verlangen des Auftraggebers ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie die in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehenden Datenbestände auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Für Test- und Ausschussmaterial gilt dies nur dann, wenn der Auftraggeber dies ausdrücklich verlangt. Das Protokoll der Löschung bzw. Vernichtung ist dem Auftraggeber vorzulegen. Entsprechendes gilt für die Versicherung der vollständigen Aushändigung sämtlicher in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehender Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse.
Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gem. den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.
§ 12 Haftung
Soweit nicht das entsprechende Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer eine weitergehende Haftung vorsieht, gilt:
(1) Im Verhältnis zum Betroffenen ist der Auftraggeber für Schäden, die aus einer schuldhaften Verletzung von Datenschutzbestimmungen im Rahmen der Durchführung des Vertragsverhältnisses oder dieses AVVs durch den Auftragnehmer, die bei ihm beschäftigten Personen oder durch von ihm nach Maßgabe von § 7 eingeschalteten Subunternehmer entstehen, verantwortlich.
(2) Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für verursachten Schäden unbeschränkt.
(3) Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
(4) Im Übrigen haftet der Auftragnehmer nur, soweit eine wesentliche Vertragspflicht verletzt wurde. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt.
Es gelten die gesetzlichen Bestimmungen.
§ 13 Sonstiges
(1) Sollte das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(2) Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Parteien sind sich bewusst, dass zum Mai 2018 die DS GVO und das BDSG (neu) in Kraft treten. Beide Parteien verpflichten sich, alle Vereinbarungen zu treffen und bestehende Vereinbarungen anzupassen, soweit dies erforderlich ist, um zukünftig eine datenschutzkonforme Gestaltung des bestehenden Auftragsverhältnisses zu gewährleisten.
(5) Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm oder der Lizenzvertrag zwingend einen anderen Gerichtsstand anordnet, das jeweilig zuständige Gericht am Sitz der beklagten Partei.