Auftragsverarbeitungsvertrag

Inhaltsverzeichnis

1. Präambel
2. Dauer der Verarbeitung 
3. Gegenstand der Verarbeitung 
4. Art und Zweck der Verarbeitung
5. Allgemeine Pflichten des Auftragnehmers und Weisungsgebundenheit
6. Mitteilungspflichten des Auftragnehmers
7. Subunternehmer und Unterauftragsverhältnisse
8. Technische und organisatorische Maßnahmen
9. Pflichten bei Beendigung des Vertrages
10. Rechte und Pflichten des Auftraggebers
11. Sonderkündigungsrecht
12. Sonstige Bestimmungen
13. Schlussbestimmungen
14. Bestätigungen
15. Anlage 1: Subunternehmer / Unterauftragsverarbeiter
16. Anlage 2: Technische und organisatorische Maßnahmen gemäß Art 32 DSGVO 
17. Anlage 3: Betroffene Personen und Datenkategorien

Präambel

Dieser Vertrag

• basiert auf dem zwischen den Parteien bestehenden Hauptvertrag;
• findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Subunternehmer/Unterauftragnehmer gemäß Anlage 1 dieses Vertrages personenbezogene Daten des Auftraggebers verarbeiten bzw. auf diese Zugriff haben;
• regelt die Rechte und Pflichten von Auftraggeber und -nehmer, nachfolgend als Parteien bezeichnet, im Rahmen der Verarbeitung von personenbezogenen Daten im Auftrag;
• ersetzt, falls vorhanden, alle vorherigen Auftragsverarbeitungsverträge zwischen den Parteien; vorherige Verträge verlieren mit der Unterzeichnung dieses Vertrages ihre Gültigkeit.

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz- Grundverordnung, nachfolgend als DSGVO bezeichnet, zu verstehen.

In diesem Sinn ist der Auftraggeber der Verantwortliche, der Auftragnehmer der Auftragsverarbeiter.

Soweit Erklärungen nachfolgend schriftlich zu erfolgen haben, vereinbaren die Parteien die Textform gemäß § 126 b BGB, soweit dies gesetzlich zulässig ist und keine Partei ein berechtigtes Interesse an der Beweissicherung mittels Schriftform gemäß §§ 126, 126 a BGB der jeweils anderen Partei angezeigt hat.

Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

Dieser Vertrag regelt ausschließlich die ausdrücklich aufgeführten Punkte.
Für alle in diesem Vertrag nicht geregelten Punkte gelten die Bestimmungen des Hauptvertrages. Erst soweit im Hauptvertrag auch keine Regelung getroffen ist, gilt das Gesetz.

§ 1 Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag beginnt unmittelbar mit Abschluss und gilt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder des Hauptvertrages durch eine der beiden Parteien.

§ 2 Gegenstand der Verarbeitung

Der exakte Gegenstand der Verarbeitung ergibt sich aus dem Hauptvertrag, auf welchen hier explizit verwiesen wird.

§ 3 Art und Zweck der Verarbeitung

1. Die Art und der Zweck der Verarbeitung ergibt sich aus dem Hauptvertrag, auf welchen hier explizit verwiesen wird.
2. Die Kategorien der möglichen betroffenen Personen sowie der möglichen verarbeiteten Daten sind in Anlage 3 zu diesem Vertrag näher spezifiziert.

§ 4 Allgemeine Pflichten des Auftragnehmers und Weisungsgebundenheit

1. Der Auftraggeber hat hinsichtlich der Verarbeitung im Auftrag gegenüber dem Auftragnehmer ein Weisungsrecht.
2. Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen, sperren oder weiterleiten.
3. Den entsprechenden schriftlichen Weisungen des Auftraggebers gemäß § 9 Abs. 3 dieses Vertrages wird der Auftragnehmer jederzeit Folge leisten.
4. Der Auftragnehmer
   1. wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Bestimmungen verstößt.
   2. ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
   3. hat ihm erteilte Weisungen und deren Umsetzung schriftlich zu dokumentieren.
   4. verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet.
   5. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.
   6. verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen - insbesondere nicht für eigene - Zwecke.
   7. bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind.
   8. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung und wird die Daten, die er im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten.
   9. Eine physische Trennung ist nicht zwingend erforderlich.
   10. verpflichtet sich, die Vertraulichkeit bei der Verarbeitung streng zu wahren.  Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
   11. In diesem Zusammenhang sichert der Auftragnehmer zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrages vertraut gemacht wurden.
   12. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen.
   13. trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
   14. leitet alle an ihn gerichteten Anfragen unverzüglich an den Auftraggeber weiter.
        
5. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen, oder machen betroffene Personen gegen ihn Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
7. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.
8. Der Auftragnehmer hat nachfolgend benannte, fachkundige und zuverlässige Person als externen Beauftragten für den Datenschutz bestellt:
9. Dipl.-Kfm. Guido Babinsky c/o basucon GmbH Detmolder Straße 204 D-33100 Paderborn
10. Fon: +49 5251 20 27 3 - 0
    Mail: datenschutz@cyberdirekt.de
11. Änderungen in der Person oder den Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
12. In Zweifelsfällen kann sich der Auftraggeber direkt an den externen Datenschutzbeauftragten wenden.
13. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR.
14. Jegliche Verlagerung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in Kapitel 5 der DSGVO enthaltenen Bedingungen sowie unter Einhaltung der Bestimmungen dieses Vertrages erfolgen.

§ 5 Mitteilungspflichten des Auftragnehmers

1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit.
2. Auch begründete Verdachtsfälle sind mitzuteilen.
3. Die Mitteilung hat spätestens innerhalb von 48 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen.
4. Sie muss mindestens folgende Angaben enthalten:
   1. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
   2. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien, der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
   3. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
   4. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
5. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragsdurchführung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
6. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese einen Bezug zur Auftragsverarbeitung aufweisen.
7. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO im erforderlichen Umfang.

§ 6 Subunternehmer und Unterauftragsverhältnisse

1. Der Auftragnehmer ist berechtigt, zum Zweck der Erfüllung dieses Vertrages, Subunternehmer bzw. Unterauftragsverarbeiter zu beauftragen.
2. Die Beauftragung von Subunternehmern ist nur zulässig, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die mit den in diesem Vertrag vereinbarten Pflichten vergleichbar sind.
3. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.
4. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchführen zu können oder durch Dritte durchführen zu lassen.
5. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.
6. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfäl- tig aus.
7. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer schriftlich dokumentiert davon überzeugt hat, dass der Subunter- nehmer seine Verpflichtungen vollständig erfüllt hat.
8. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich auf dem Gebiet der EU oder des EWR erbringen, ist nur zulässig, wenn die Subunternehmer geeignete Garantien gemäß Art. 46 Abs. 2 DSGVO bieten.
9. Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätes- tens alle 12 Monate, angemessen zu überprüfen.
10. Die Prüfung und ihr Ergebnis sind so aussagekräftig schriftlich zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind.
11. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.
12. Unterauftragsverhältnisse im Sinne dieses Vertrages sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservices sind nicht erfasst.
13. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt hiervon unberührt.
14. Zurzeit sind die in der Anlage 1 zu diesem Vertrag mit Namen, Anschrift, Verarbeitungsregion und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt.
15. Der Auftragnehmer wird den Auftraggeber während der Vertragslaufzeit über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern bzw. Unterauftragsverarbeitern informieren. 
    Diese Information wird dem Auftraggeber gemäß Art. 28 Abs. 9 DSGVO schriftlich zur Verfügung gestellt; die Information kann auch in einem elektronischen Format übermittelt werden.
16. Der Auftraggeber hat gemäß Art. 28 Abs. 2 Satz 2 nach Erhalt der vorstehenden Information die Möglichkeit, gegen die beabsichtigte Änderung mit einer Frist von 4 Wochen ab Erhalt der Information Einspruch zu erheben. 
    Nach dem Einspruch des Auftraggebers haben beide Vertragsparteien das Recht, das Vertragsverhältnis ab Zugang des Einspruchs mit einer Frist von 4 Wochen zu kündigen.
17. Erfolgt innerhalb der im vorherigen Absatz genannten Frist von 4 Wochen kein Einspruch des Auftraggebers, gilt die Zustimmung des Auftraggebers zur Beauftragung des weiteren Subunternehmers bzw. Unterauftragsverarbeiters als erteilt.

§ 7 Technische und organisatorische Maßnahmen

1. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum angemessenen Schutz der personenbezogenen Daten des Auftraggebers, insbesondere mindestens die in der Anlage 2 zu diesem Vertrag aufgeführten Maßnahmen.
2. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
3. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, soweit Änderungen an technische und rechtliche Gegebenheiten erforderlich werden.
   Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen.
4. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen.
5. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen.
6. Soweit die getroffenen Sicherheitsmaßnahmen den ursprünglichen Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
7. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
   Eine physische Trennung ist jedoch nicht zwingend erforderlich.
8. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
   Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
9. Die Verarbeitung von Daten in Privatwohnungen (Homeoffice) sowie mobiles Arbeiten sind nur gestattet, wenn vom Auftragnehmer sichergestellt ist, dass
   1. dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit gewährleistet ist;
   2. die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers – unter Beachtung der Persönlichkeitsrechte der Mitarbeiter – uneingeschränkt auch direkt bei den jeweiligen Mitarbeitern ausgeübt werden können;
   3. eine speziell auf diese Art der Verarbeitung abgestimmte Datenschutzrichtlinie existiert;
   4. die Mitarbeiter, die diese Art der Verarbeitung durchführen, nachweislich für diese Art der Verarbeitung geschult wurden.
10. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
11. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt wer- den, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung.
    Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein.
    Sämtliche Ein- und Ausgänge werden schriftlich dokumentiert.
12. Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maß- nahmen sowie ihrer Wirksamkeit.
    Der Nachweis kann auch durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

§ 8 Pflichten bei Beendigung des Vertrages 

1. Bei Beendigung des Auftragsverhältnisses, oder jederzeit auf Verlangen des Auftraggebers, hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben.
   Ebenfalls zu vernichten sind sämtliche vorhandenen Kopien der Daten.
2. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
   Eine physische Vernichtung erfolgt gemäß DIN 66399.
3. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
4. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung oder Übergabe zu führen und dem Auftraggeber unverzüglich vorzulegen.
5. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren.
   Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.
6. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne des § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen ist.
    

§ 9 Rechte und Pflichten des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen schriftlich und dokumentiert diese.
3. Der Auftraggeber ist verpflichtet, weisungs- und kontrollberechtigte Personen, welche nicht zu den vertretungsberechtigten Organen/Personen des Auftraggebers gehören, namentlich und konkret zu benennen und dem Auftragnehmer schriftlich mitzuteilen.
4. In dringenden Fällen können Weisungen durch die vom Auftraggeber konkret benannten Personen gegenüber dem Auftragnehmer auch mündlich erteilt werden.
   Solche Weisungen wird der Auftraggeber unverzüglich schriftlich bestätigen und dokumentieren.
5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
6. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst, oder durch geeignete Dritte, insbesondere durch die Einholung von Auskünften, die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme, sowie sonstige Kontrollen unter folgenden Maßgaben vor Ort zu kontrollieren:
   1. Den mit der Kontrolle betrauten Personen oder geeigneten Dritten, die der Auftraggeber namentlich und konkret benannt hat, ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen.
   2. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
   3. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebes zu erfolgen.
   4. Soweit nicht aus vom Auftraggeber schriftlich zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Ge- schäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.
   5. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Daten- schutzpflichten erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

§ 10 Sonderkündigungsrecht

1. Der Auftraggeber kann diesen Vertrag jederzeit ohne Einhaltung einer Frist außerordentlich kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen geltende Datenschutz- vorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführt oder der Auftragnehmer Kontrollrechte des Auf- traggebers vertragswidrig verweigert.
2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in diesem Vertrag bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
3. Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

§ 11 Sonstige Bestimmungen

1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch nach Beendigung des Vertrages dauerhaft und unbefristet vertraulich zu behandeln.
2. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei vertraulich zu behandeln.
3. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter, beispielsweise durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

§ 12 Schlussbestimmungen

1. Dieser Vertrag ersetzt frühere Fassungen mit Wirkung ab dem Tag des Abschlusses.
2. Erfüllungsort für alle Leistungen des Auftragnehmers ist der Sitz des Auftragnehmers.
3. Änderungen oder Ergänzungen zu diesem Vertrag bedürfen der Schriftform. Dies gilt auch für die Abbedingung des Schriftformerfordernisses.
4. Sollten Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
5. Die Parteien verpflichten sich, die unwirksame oder nichtige Bestimmung durch eine solche zu ersetzen, die dem mit der unwirksamen oder nichtigen Bestimmung wirtschaftlich Gewollten am nächsten kommt.
6. Gerichtsstand für Streitigkeiten aus diesem Vertrag ist der Sitz des Auftragnehmers.

§ 13 Bestätigungen

Die Vertragsparteien bestätigen, über den Inhalt des heutigen Vertrages einig zu sein und jeweils eine Ausfertigung des Vertrages nebst der Anlage 1 Subunternehmer/Unterauftragnehmer, der Anlage 2 Technische und organisatorische Maßnahmen sowie der Anlage 3 Betroffene Personen und Datenkategorien erhalten und zum dauerhaften Verbleib auf Ihren IT-Systemen gespeichert zu haben.

Anlage 1: Subunternehmer / Unterauftragsverarbeiter

Anlage 2: Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

1. Maßnahmen zur Vertraulichkeit
   1. Beschreibung der Zutrittskontrolle
      • Außenfenster - gemäß aktuellem Stand für Einbruchsicherheit
      • Außentüren - gemäß aktuellem Stand für Einbruchsicherheit
      • Außentüren - mit Türknauf an der Außenseite
      • Besucherbegleitung - innerhalb der Geschäftsräume
      • Klingelanlage - mit Gegensprechanlage
      • Schließsystem - mit Sicherheitsschlössern, Profilzylindern und Schlüsseln
      • Schlüsselregistrierung - bei Ausgabe und Rückgabe
      • Schlüsselverwaltung - durch Führung einer Bestandsliste
      • Sorgfältige Auswahl - des Reinigungs- und Wartungspersonals
      • Zugangskontrollsystem - mit Chipkarten oder Transpondersystemen
         
   2. Beschreibung der Zugangskontrolle
      • Anti-Viren-Software - für Clients
      • Anti-Viren-Software - für Cloud-Server im Rechenzentrum
      • Anti-Viren-Software - für mobile Geräte
      • Aufstellung von IT-Systemen - mit Zugriffsmöglichkeit nur für berechtigte Benutzer
      • Aufstellung von Multifunktionsgeräten - mit Zugriffsmöglichkeit nur für berechtigte Benutzer
      • Authentifikation - mit Benutzername + Passwort
      • Authentifikation - mit biometrischen Daten
      • Authentifikation - mit PIN
      • Authentifikation - mit Zwei-Faktor-Lösung
      • Benutzerberechtigungen - mit zentraler Verwaltung durch Administratoren
      • Benutzerprofile - nach dem „need-to-know-Prinzip“
      • Firewall - für Clients
      • Firewall - für mobile Geräte
      • Intrusion Detection Systeme - für Cloud-Server im Rechenzentrum
      • Mobile Device Management - für alle mobilen Geräte
      • Passwortmanagement - mit Passwortrichtlinie zu den Mindestanforderungen
      • Passwortmanagement - mit zentraler Verwaltung
      • Sicherheitsupdates - auf allen Geräten zum Schutz vor Sicherheitslücken
      • Sperrung - aller Geräte durch Desktopsperren nach Zeitablauf
      • Verschlüsselung- aller mobilen Geräte nach dem aktuellen Stand der Technik, z.B. mittels AES-256- / RAS-Verfahren
      • Verschlüsselung - der Cloud-Server im Rechenzentrum nach dem aktuellen Stand der Technik, z. B. mittels AES-256- / RAS-Verfahren
      • VPN-Technologie - für alle Remote-Zugriffe
         
   3. Beschreibung der Zugriffskontrolle
      • Administratorenanzahl - auf das absolute Minimum reduziert
      • Aktenschränke - mit Schlössern zur Aufbewahrung von analogen Akten
      • Benutzerrechtekonzept - mit Verwaltung durch Administratoren
      • Berechtigungskonzept - mit abgestufter Regelung der Zugriffsrechte
      • Clean-Desk-Prinzip - zur Verhinderung von unberechtigten Zugriffen auf sensible Informationen an unbeaufsichtigten Arbeitsplätzen
      • Datenträgervernichtungs- unternehmen - mit Zertifizierung gemäß DIN 66399
      • Passwortmanagement - mit Passwortrichtlinie zu den Mindestanforderungen
      • Protokollierung - der Akten- und Datenträgervernichtung
      • Protokollierung - von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
         
   4. Beschreibung der Weitergabekontrolle
      • Protokollierung - aller Abrufe und Zugriffe
      • Sorgfältige Auswahl - des Transportunternehmens, -personals bzw. der Fahrzeuge
      • Verschlüsselung - von E-Mails beim Transport mittels SSL- / TLS-Verfahren
      • Verschlüsselung - von E-Mails mittels erzwungenem TLS-Verfahren
      • Verschlüsselung - von Verbindungen ins Internet über Verbindungen wie HTTPS oder SFTP 
      • VPN-Technologie - für alle Remote-Zugriffe
         
   5. Beschreibung des Trennungsgebotes
      • Berechtigungskonzept - mit abgestufter Regelung der Datenbankrechte
      • Berechtigungskonzept - mit abgestufter Regelung der Zugriffsrechte
      • Mandantenfähigkeit - aller relevanten Anwendungen
      • Physikalische Trennung - von Betriebssystem, Datenbanken und Datenträgern 
      • Trennung - von Entwicklungs-, Produktiv- und Testumgebung
         
   6. Beschreibung der Pseudonymisierung
      • Kennziffern - zur Pseudonymisierung von Personen bei klar definierten Verarbeitungstätig- keiten
      • Trennung - von Datensätzen und Zuordnungsdateien bei pseudonymisierten Daten
         
   7.  Beschreibung der Verschlüsselung
      • Richtlinie - zur Verwendung von Datenträgern und Geräten
      • Verschlüsselung - aller Cloud-Server im Rechenzentrum nach dem aktuellen Stand der Technik, z. B. mittels AES-256- / RAS-Verfahren
      • Verschlüsselung-aller mobilen Geräte nach dem aktuellen Stand der Technik, z.B. mittels
        AES-256- / RAS-Verfahren
      • Verschlüsselung - aller unternehmenseigenen Websites mittels HTTPS
      • Verschlüsselung - von E-Mails beim Transport mittels erzwungenem TLS-Verfahren
      • Verschlüsselung - von Verbindungen ins Internet über Verbindungen wie HTTPS oder SFTP
         
   8. Beschreibung der Datenträgerkontrolle
      • Datenträgervernichtungs- unternehmen - mit Zertifizierung gemäß DIN 66399
      • Dokumentation-aller Datenträger- und Gerätenutzer mit Ausgabe- und Rücknahmeprotokoll
      • Installationsverbot - für nicht freigegebene Software
      • Inventarisierung - aller Datenträger und Geräte
      • Physische Löschung - von Datenträgern vor Wiederverwendung
      • Vernichtung - Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
      • Verschlüsselung - aller Cloud-Server im Rechenzentrum nach dem aktuellen Stand der
        Technik, z. B. mittels AES-256- / RAS-Verfahren
      • Verschlüsselung-aller mobilen Geräte nach dem aktuellen Stand der Technik, z.B. mittels AES-256- / RAS-Verfahren
         
   9. Beschreibung der Benutzerkontrolle
      • Authentifikation - mit Benutzername + Passwort
      • Authentifikation - mit biometrischen Daten
      • Authentifikation - mit PIN
      • Authentifikation - mit Zwei-Faktor-Lösung
      • Benutzerrechtekonzept - mit zentraler Verwaltung durch Administratoren
      • Dokumentation - aller Datenträger-und Gerätenutzer mit Ausgabe-und Rücknahmeprotokoll
      • Sperrung - aller Benutzeraccounts ausgeschiedener Mitarbeiter
      • Sperrung von Ex-Mitarbeiter - Sperren von Benutzeraccounts ausgeschiedener Mitarbeiter
         
   10. Beschreibung der Übertragungskontrolle
       • Protokollierung - aller Abrufe und Zugriffe
          
2. Maßnahmen zur Integrität
   1. Beschreibung der Eingabekontrolle
      • Benutzernamenkonzept - mit individuellen Benutzernamen zur Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten
      • Benutzerrechtekonzept - mit individuellen Berechtigungen zur Eingabe, Änderung und Löschung von Daten sowie Verwaltung durch Administratoren
      • Nutzungsverbot - für nicht freigegebene Hard- und Software
      • Programmübersicht - mit welchen Apps / welcher Software Daten eingegeben, geändert oder gelöscht werden können
      • Protokollierung - von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
         
   2. Beschreibung der Datenintegrität
      
      • Archivierungsverfahren - für E-Mails
      • Backup- und Recovery-Konzept - mit permanenter Datensicherung und regelmäßiger Datenrücksicherung
      • Physikalische Trennung - von Betriebssystem, Datenbanken, Datensicherungen und Datenträgern
      • Trennung - von Produktiv- und Testumgebung
         
   3. Beschreibung der Speicherkontrolle
      • Benutzerprofile - nach dem „need-to-know-Prinzip“
      • Benutzerrechtekonzept - mit individuellen Berechtigungen zur Eingabe, Änderung und
        Löschung von Daten sowie Verwaltung durch Administratoren
      • Protokollierung - von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
         
3. Maßnahmen zur Verfügbarkeit und Belastbarkeit
   1. Beschreibung der Verfügbarkeitskontrolle
      
      • Backup- und Recovery-Konzept - mit permanenter Datensicherung und regelmäßiger Datenrücksicherung
      • Feuchtigkeits- und Temperaturüberwachung - der Cloud-Server im Rechenzentrum
      • Feuer- und Rauchmeldeanlagen- zur Überwachung der Cloud-Server im Rechenzentrum
      • Klimatisierung - der Serverräume im Rechenzentrum der Cloud-Server
      • Monitoring - aller kritischen und sensiblen Prozesse der Cloud-Server im Rechenzentrum
      • Physikalische Trennung - von Betriebssystem, Datenbanken, Datensicherungen und Datenträgern
      • Redundante Datenspeicherung - der Cloud-Server im Rechenzentrum mit RAID-Systemen für alle Server
      • Videoüberwachung - der Serverräume im Rechenzentrum der Cloud-Server
         
   2. Beschreibung der raschen Wiederherstellbarkeit
      • Backup- und Recovery-Konzept - mit permanenter Datensicherung und regelmäßiger Datenrücksicherung
      • IT-Administrator - mit ausreichender fachlicher Eignung
      • Weitere Maßnahmen zum Datenschutz
      • Beschreibung der Auftragskontrolle
      • Abschluss- von Verträgen zur Auftragsverarbeitung gem. Art. 28 DSGVO oder mit EU Standard-Vertragsklauseln
      • Auswahl - der Auftragnehmer unter Sorgfaltsgesichtspunkten, insbesondere im Hinblick auf Datenschutz und Datensicherheit
      • Regelmäßige Überprüfung - der technischen- und organisatorischen Maßnahmen des Auftragnehmers
      • Verbindliche Regelungen - zum Einsatz weiterer Subunternehmer
      • Verbindliche Regelungen - zum Ort der Datenverarbeitung
      • Verbindliche Regelungen - zur Löschung, Rückgabe, Vernichtung der verarbeiteten Daten nach Beendigung des Auftrages
      • Verbindliche Regelungen - zur Schulung der Mitarbeiter des Auftragnehmers
      • Verbindliche Regelungen - zur Weisungsgebundenheit des Auftragnehmers
      • Vereinbarung - wirksamer Kontrollrechte gegenüber dem Auftragnehmer
      • Verpflichtung - der Mitarbeiter des Auftragnehmers auf Vertraulichkeit gem. Art 28 Abs. 3 S. 2 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO
      • Verpflichtung - zur Bestellung und Benennung eines Datenschutzbeauftragten beim Auftragnehmer bei Vorliegen einer Bestellpflicht
      • Vorabprüfung - der Auftragnehmer im Hinblick auf Datenschutz und Datensicherheit
         
   3. Beschreibung des Managementsystems zum Datenschutz
      • Datenschutzbeauftragter - zur Umsetzung und Überwachung des Datenschutzes im Unternehmen
      • Datenschutz-Folgenabschätzungen - bei Einführung neuer Prozesse und Überschreitung von bestimmten Schwellenwerten gem. Art. 35 DGSVO
      • Schnittstelle-für Betroffene zur Geltendmachung und Ausübung von Betroffenenrechten gem. Art. 15 ff. DGSVO
      • Schwachstellenanalysen - mit regelmäßigen Penetrations- oder Phishing-Tests zur Überprüfung der IT-Sicherheit
      • Single Point of Contact (SPoC) - für Datenschutzbehörden und Betroffene
      • Software - mit datenschutzfreundlichen Voreinstellungen gem. Art. 25 DSGVO
      • Software - zur Dokumentation der Einhaltung datenschutzrechtlicher Anforderungen
      • Versionierung - von Dateien
      • Verzeichnis der technischen- und organisatorischen Maßnahmen - gem. Art. 32 DSGVO
        mit laufender Überprüfung oder anlassbezogener Anpassung
      • Verzeichnis der Verarbeitungstätigkeiten - gem. Art. 30 DSGVO mit laufender Überprüfung oder anlassbezogener Anpassung
         
   4. Beschreibung der Organisationskontrolle
      • Audits - zur laufenden und regelmäßigen Kontrolle der Einhaltung der Datenschutzrichtlinien
      • Datenschutzbeauftragter - zur Umsetzung und Überwachung des Datenschutzes im Unternehmen
      • Richtlinie - zum Umgang mit Betroffenenanfragen gem. Art. 15 ff. DSGVO
      • Richtlinie - zum Umgang mit Daten beim mobilen Arbeiten und im Homeoffice
      • Richtlinie - zum Umgang mit Daten im Unternehmen
      • Richtlinie - zum Umgang mit Datenschutzverletzungen gem. Art. 33 und 34 DSGVO
      • Richtlinie - zur Erfüllung der Informationspflichten gem. Art 13 und 14 DSGVO
      • Schulung - aller Mitarbeiter zum Datenschutz und zur Datensicherheit mindestens 1 x pro Jahr
      • Verpflichtung - aller Mitarbeiter auf das Datengeheimnis und Vertraulichkeit
      • Zentrale Dokumentation - aller Richtlinien zum Datenschutz und zur IT-Sicherheit mit Zugriffsmöglichkeiten für Mitarbeiter nach Bedarf/Berechtigung
         

Anlage 3: Betroffene Personen und Datenkategorien

• Kategorien der möglichen betroffenen Personen in Abhängigkeit vom Hauptvertrag:
  • Interessenten für den Abschluss eines Versicherungsvertrages 
  • Mitarbeiter der Interessenten
  • Mitarbeiter der Kunden
  • Mitarbeiter des Auftraggebers
  • Versicherte Personen
  • Versicherungsnehmer
  • Versicherungsvermittler
• Kategorien der möglichen Daten:
  • Von Interessenten für den Abschluss eines Versicherungsvertrages, versicherten Personen und Versicherungsnehmern:
    • Beratungsdokumentationen
    • Datum, Ort und Zeitpunkt von Beratungsgesprächen
    • Einwilligungserklärungen
    • Gesprächsprotokolle
    • Korrespondenz jeglicher Art
    • Stammdaten (im Sinne Code of Conduct der deutschen Versicherungswirtschaft / GDV vom 29.06.2018)
    • Steuerliche Daten
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Interessenten und Kunden zu Aus-, Fort und Weiterbildungszwecken nutzen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Interessenten und Kunden zu Testzwecken nutzen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Interessenten und Kunden zur Vertragsverwaltung nutzen
    • Umsatz- und Vermögensdaten
  • Von Versicherungsvermittlern:
    • AVAD-Auskunft
    • Bankdaten
    • Beruflicher Werdegang
    • Bonitätsauskünfte und -daten
    • Daten zum Forderungsmanagement
    • Einwilligungserklärungen
    • Korrespondenz jeglicher Art
    • Namen und Kontaktdaten
    • Nutzungsdaten aus bereitgestellter Software
    • Polizeiliches Führungszeugnis
    • Qualifikationsnachweise
    • Tätigkeitsnachweise und -statistiken
    • Teilnahmedaten von Seminaren, Web-Seminaren und sonstigen Schulungen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Vermittler zu Aus-, Fort- und Weiterbildungszwecken nutzen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Vermittler zu Testzwecken nutzen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Vermittler zur Vertragsverwaltung nutzen
    • Vermittlervertrags- und Provisionsdaten
    • Weiterbildungsdaten
    • Zuverlässigkeitsprüfung nach GewO und den zugehörigen Verordnungen
  • Von Mitarbeitern des Auftraggebers / Kunden:
    • Einwilligungserklärungen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Auftraggeber und Kunden zu Aus-, Fort- und Weiterbildungszwecken Ihrer Mitarbeiter nutzen
    • Teilnehmer- und Nutzungsdaten von Onlinetools, die Auftraggeber und Kunden zu Testzwecken Ihrer Mitarbeiter nutzen