Ver­ein­ba­rung

über die Auf­trags­ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in der eitieCloud

Version: AVEC202205031 (Datum: 02.05.2022)

Die aktu­ellste Version: Dies ist die aktu­ellste Version

Vor­he­rige Versionen:

 

1          Ein­lei­tung, Gel­tungs­be­reich, Definitionen

1)      Dieser Vertrag regelt die Rechte und Pflich­ten von Auf­trag­ge­ber und ‑nehmer (im Fol­gen­den „Par­teien“ genannt) im Rahmen einer Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Auftrag.

2)      Dieser Vertrag findet auf alle Tätig­kei­ten Anwen­dung, bei denen Mit­ar­bei­ter des Auf­trag­neh­mers oder durch ihn beauf­tragte Unter­auf­trag­neh­mer (Sub­un­ter­neh­mer) per­so­nen­be­zo­gene Daten des Auf­trag­ge­bers verarbeiten.

3)      In diesem Vertrag ver­wen­dete Begriffe sind ent­spre­chend ihrer Defi­ni­tion in der EU Daten­schutz-Grund­ver­ord­nung zu ver­ste­hen. Soweit Erklä­run­gen im Fol­gen­den „schrift­lich“ zu erfol­gen haben, ist die Schrift­form nach § 126 BGB gemeint. Im Übrigen können Erklä­run­gen auch in anderer Form erfol­gen, soweit eine ange­mes­sene Nach­weis­bar­keit gewähr­leis­tet ist.

 

2          Gegen­stand und Dauer der Verarbeitung

2.1        Gegen­stand

Der Auf­trag­neh­mer über­nimmt Daten­ver­ar­bei­tung für den Auf­trag­ge­ber im Rahmen der eitie­Cloud, einem Voll-Hosting inkl. EDV-Betreuung.

Sollten dieser Leis­tungs­ver­trag durch Neben­leis­tun­gen wie z.B. den Betrieb einer Website ergänzt werden, behält der Auf­trag­neh­mer sich vor, diese im Rahmen anderer/gesonderter Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung zu leisten.

2.2        Dauer

Die Dauer dieser Ver­ein­ba­rung gilt auto­ma­tisch für die Dauer des Hauptvertrages.

 

3          Kon­kre­ti­sie­rung des Auftragsinhalts:

3.1        Kate­go­rien der betrof­fe­nen Personen

Die Kate­go­rien der durch die Ver­ar­bei­tung betrof­fe­nen Per­so­nen umfassen:

  • Kunden, Kli­en­ten, Pati­en­ten, Bewoh­ner, Auf­trag­ge­ber (nach­fol­gend zur ein­fa­che­ren Dar­stel­lung als „Kunden“ bezeichnet“)
  • Ange­hö­rige
  • Gesetz­li­che Betreuer, The­ra­peu­ten oder Ärzte
  • Inter­es­sen­ten
  • Abon­nen­ten
  • Beschäf­tigte
  • Lie­fe­ran­ten
  • Han­dels­ver­tre­ter
  • Ansprech­part­ner

3.2        Daten­ar­ten

Es werden fol­gende Daten verarbeitet:

  • Per­so­nen­stamm­da­ten
  • Kom­mu­ni­ka­ti­ons­da­ten (z.B. Telefon, E‑Mail)
  • Ver­trags­stamm­da­ten (Ver­trags­be­zie­hung, Produkt- bzw. Vertragsinteresse)
  • His­to­rie von Kunden
  • Ver­trags­ab­rech­nungs- und Zahlungsdaten
  • Pla­nungs- und Steuerungsdaten
  • Aus­kunfts­an­ga­ben (von Dritten, Aus­kunfteien oder aus öffent­li­chen Verzeichnissen)
  • Gesund­heits­da­ten
  • Sozi­al­da­ten

4          Pflich­ten des Auftragnehmers

1)    Der Auf­trag­neh­mer ver­ar­bei­tet per­so­nen­be­zo­gene Daten aus­schließ­lich wie ver­trag­lich ver­ein­bart oder wie vom Auf­trag­ge­ber ange­wie­sen, es sei denn, der Auf­trag­neh­mer ist gesetz­lich zu einer bestimm­ten Ver­ar­bei­tung ver­pflich­tet. Sofern solche Ver­pflich­tun­gen für ihn bestehen, teilt der Auf­trag­neh­mer diese dem Auf­trag­ge­ber vor der Ver­ar­bei­tung mit, es sei denn, die Mit­tei­lung ist ihm gesetz­lich ver­bo­ten. Der Auf­trag­neh­mer ver­wen­det darüber hinaus die zur Ver­ar­bei­tung über­las­se­nen Daten für keine anderen, ins­be­son­dere nicht für eigene Zwecke.

2)      Der Auf­trag­neh­mer bestä­tigt, dass ihm die ein­schlä­gi­gen, all­ge­mei­nen daten­schutz­recht­li­chen Vor­schrif­ten bekannt sind. Er beach­tet die Grund­sätze ord­nungs­ge­mä­ßer Datenverarbeitung.

3)      Der Auf­trag­neh­mer ver­pflich­tet sich, bei der Ver­ar­bei­tung die Ver­trau­lich­keit streng zu wahren.

4)      Per­so­nen, die Kennt­nis von den im Auftrag ver­ar­bei­te­ten Daten erhal­ten können, haben sich schrift­lich zur Ver­trau­lich­keit zu ver­pflich­ten, soweit sie nicht bereits gesetz­lich einer ein­schlä­gi­gen Geheim­hal­tungs­pflicht unterliegen.

5)      Der Auf­trag­neh­mer sichert zu, dass die bei ihm zur Ver­ar­bei­tung ein­ge­setz­ten Per­so­nen vor Beginn der Ver­ar­bei­tung mit den rele­van­ten Bestim­mun­gen des Daten­schut­zes und dieses Ver­trags ver­traut gemacht wurden. Ent­spre­chende Schu­lungs- und Sen­si­bi­li­sie­rungs­maß­nah­men sind ange­mes­sen regel­mä­ßig zu wie­der­ho­len. Der Auf­trag­neh­mer trägt dafür Sorge, dass zur Auf­trags­ver­ar­bei­tung ein­ge­setzte Per­so­nen hin­sicht­lich der Erfül­lung der Daten­schutz­an­for­de­run­gen laufend ange­mes­sen ange­lei­tet und über­wacht werden.

6)      Im Zusam­men­hang mit der beauf­trag­ten Ver­ar­bei­tung hat der Auf­trag­neh­mer den Auf­trag­ge­ber bei Erstel­lung und Fort­schrei­bung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten sowie bei Durch­füh­rung der Daten­schutz­fol­ge­ab­schät­zung zu unter­stüt­zen. Alle erfor­der­li­chen Angaben und Doku­men­ta­tio­nen sind vor­zu­hal­ten und dem Auf­trag­ge­ber auf Anfor­de­rung unver­züg­lich zuzuleiten.

7)      Wird der Auf­trag­ge­ber durch Auf­sichts­be­hör­den oder andere Stellen einer Kon­trolle unter­zo­gen oder machen betrof­fene Per­so­nen ihm gegen­über Rechte geltend, ver­pflich­tet sich der Auf­trag­neh­mer den Auf­trag­ge­ber im erfor­der­li­chen Umfang zu unter­stüt­zen, soweit die Ver­ar­bei­tung im Auftrag betrof­fen ist.

8)      Aus­künfte an Dritte oder den Betrof­fe­nen darf der Auf­trag­neh­mer nur nach vor­he­ri­ger Zustim­mung durch den Auf­trag­ge­ber ertei­len. Direkt an ihn gerich­tete Anfra­gen wird er unver­züg­lich an den Auf­trag­ge­ber weiterleiten.

9)      Soweit gesetz­lich ver­pflich­tet, bestellt der Auf­trag­neh­mer eine fach­kun­dige und zuver­läs­sige Person als Beauf­trag­ten für den Daten­schutz. Es ist sicher­zu­stel­len, dass für den Beauf­trag­ten keine Inter­es­sens­kon­flikte bestehen. In Zwei­fels­fäl­len kann sich der Auf­trag­ge­ber direkt an den Daten­schutz­be­auf­trag­ten wenden. Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber unver­züg­lich die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten mit oder begrün­det, weshalb kein Beauf­trag­ter bestellt wurde. Ände­run­gen in der Person oder den inner­be­trieb­li­chen Auf­ga­ben des Beauf­trag­ten teilt der Auf­trag­neh­mer dem Auf­trag­ge­ber unver­züg­lich mit.

10)   Die Auf­trags­ver­ar­bei­tung erfolgt grund­sätz­lich inner­halb der EU oder des EWR. Jeg­li­che Ver­la­ge­rung in ein Dritt­land darf nur mit Zustim­mung des Auf­trag­ge­bers und unter den in Kapitel V der Daten­schutz-Grund­ver­ord­nung ent­hal­te­nen Bedin­gun­gen sowie bei Ein­hal­tung der Bestim­mun­gen dieses Ver­trags erfolgen.

11)   Ist der Auf­trag­neh­mer nicht in der Euro­päi­schen Union nie­der­ge­las­sen, bestellt er einen ver­ant­wort­li­chen Ansprech­part­ner in der Euro­päi­schen Union gem. Art. 27 Daten­schutz-Grund­ver­ord­nung. Die Kon­takt­da­ten des Ansprech­part­ners sowie sämt­li­che Ände­run­gen in der Person des Ansprech­part­ners sind dem Auf­trag­ge­ber unver­züg­lich mitzuteilen.

 

5          Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen

1)    Die im Anhang 1 beschrie­be­nen Daten­si­cher­heits­maß­nah­men werden als ver­bind­lich fest­ge­legt. Sie defi­nie­ren das vom Auf­trag­neh­mer geschul­dete Minimum. Die Beschrei­bung der Maß­nah­men muss so detail­liert erfol­gen, dass für einen sach­kun­di­gen Dritten allein auf­grund der Beschrei­bung jeder­zeit zwei­fels­frei erkenn­bar ist, was das geschul­dete Minimum sein soll. Ein Verweis auf Infor­ma­tio­nen, die dieser Ver­ein­ba­rung oder ihren Anlagen nicht unmit­tel­bar ent­nom­men werden können, ist nicht zulässig.

2)      Die Daten­si­cher­heits­maß­nah­men können der tech­ni­schen und orga­ni­sa­to­ri­schen Wei­ter­ent­wick­lung ent­spre­chend ange­passt werden, solange das hier ver­ein­barte Niveau nicht unter­schrit­ten wird. Zur Auf­recht­erhal­tung der Infor­ma­ti­ons­si­cher­heit erfor­der­li­che Ände­run­gen hat der Auf­trag­neh­mer unver­züg­lich umzu­set­zen. Ände­run­gen sind dem Auf­trag­ge­ber unver­züg­lich mit­zu­tei­len. Wesent­li­che Ände­run­gen sind zwi­schen den Par­teien zu vereinbaren.

3)      Soweit die getrof­fe­nen Sicher­heits­maß­nah­men den Anfor­de­run­gen des Auf­trag­ge­bers nicht oder nicht mehr genügen, benach­rich­tigt der Auf­trag­neh­mer den Auf­trag­ge­ber unverzüglich.

4)      Der Auf­trag­neh­mer sichert zu, dass die im Auftrag ver­ar­bei­te­ten Daten von sons­ti­gen Daten­be­stän­den strikt getrennt werden.

5)      Kopien oder Dupli­kate werden ohne Wissen des Auf­trag­ge­bers nicht erstellt. Aus­ge­nom­men sind tech­nisch not­wen­dige, tem­po­räre Ver­viel­fäl­ti­gun­gen, soweit eine Beein­träch­ti­gung des hier ver­ein­bar­ten Daten­schutz­ni­veaus aus­ge­schlos­sen ist.

6)      Die Ver­ar­bei­tung von Daten in Pri­vat­woh­nun­gen ist nur mit vor­he­ri­ger schrift­li­cher Zustim­mung des Auf­trag­ge­bers im Ein­zel­fall gestat­tet. Soweit eine solche Ver­ar­bei­tung erfolgt, ist vom Auf­trag­neh­mer sicher­zu­stel­len, dass dabei ein diesem Vertrag ent­spre­chen­des Niveau an Daten­schutz und Daten­si­cher­heit auf­recht­erhal­ten wird und die in diesem Vertrag bestimm­ten Kon­troll­rechte des Auf­trag­ge­bers unein­ge­schränkt auch in den betrof­fe­nen Pri­vat­woh­nun­gen aus­ge­übt werden können. Die Ver­ar­bei­tung von Daten im Auftrag mit Pri­vat­ge­rä­ten ist unter keinen Umstän­den gestattet.

Ersetzt am 02.05.2022 durch eine “Rege­lung zum mobilen Arbeiten”

7)      Dedi­zierte Daten­trä­ger, die vom Auf­trag­ge­ber stammen bzw. für den Auf­trag­ge­ber genutzt werden, werden beson­ders gekenn­zeich­net und unter­lie­gen der lau­fen­den Ver­wal­tung. Sie sind jeder­zeit ange­mes­sen auf­zu­be­wah­ren und dürfen unbe­fug­ten Per­so­nen nicht zugäng­lich sein. Ein- und Aus­gänge werden dokumentiert.

8)      Der Auf­trag­neh­mer führt den regel­mä­ßi­gen Nach­weis der Erfül­lung seiner Pflich­ten, ins­be­son­dere der voll­stän­di­gen Umset­zung der ver­ein­bar­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie ihrer Wirk­sam­keit. Der Nach­weis ist dem Auf­trag­ge­ber spä­tes­tens alle 12 Monate unauf­ge­for­dert und sonst jeder­zeit auf Anfor­de­rung zu über­las­sen. Der Nach­weis kann durch geneh­migte Ver­hal­tens­re­geln oder ein geneh­mig­tes Zer­ti­fi­zie­rungs­ver­fah­ren erbracht werden.

 

5.1 Rege­lun­gen zum mobilen Arbeiten

(1) Der Auf­trag­neh­mer darf seinen Beschäf­tig­ten die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von mobilen Arbeits­plät­zen ein­schließ­lich aus Pri­vat­woh­nun­gen erlauben.

(2) Der Auf­trag­neh­mer hat sicher­zu­stel­len, dass auch an mobilen Arbeits­plät­zen die Ein­hal­tung von ver­hält­nis­mä­ßi­gen und dem Risiko ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gewähr­leis­tet ist.

(3) Der Auf­trag­neh­mer sichert ins­be­son­dere zu, dass bei einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten an mobilen Arbeits­plät­zen keine Daten des Auf­trag­ge­bers lokal auf IT-Sys­te­men gespei­chert werden. Sollte dies nicht möglich sein, hat der Auf­trag­neh­mer Sorge dafür zu tragen, dass die lokale Spei­che­rung aus­schließ­lich ver­schlüs­selt erfolgt und Dritte keinen Zugriff auf diese Daten erhalten.

(4) Der Auf­trag­neh­mer ist ver­pflich­tet, Sorge dafür zu tragen, dass eine wirk­same Kon­trolle der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auftrag an Arbeits­plät­zen in Pri­vat­woh­nun­gen durch den Auf­trag­ge­ber möglich ist. Dabei sind die Per­sön­lich­keits­rechte der Beschäf­tig­ten sowie der wei­te­ren im jewei­li­gen Haus­halt leben­den Per­so­nen ange­mes­sen zu berücksichtigen.

(5) Der Auf­trag­ge­ber kann die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Mit­ar­bei­ter des Auf­trag­neh­mers an mobilen Arbeits­plät­zen unter­sa­gen. Es genügt dazu die Text­form. Der Auf­trag­neh­mer setzt den Auf­trag­ge­ber darüber in Kennt­nis, falls sich dadurch Ver­zö­ge­run­gen in der Erfül­lung der Dienst­leis­tung ergeben.

(6) Sofern auch bei Unter­auf­trag­neh­mern Beschäf­tigte im „Home-Office“ ein­ge­setzt werden sollen, gelten die Rege­lun­gen zum mobilen Arbei­ten entsprechend.

 

6          Rege­lun­gen zur Berich­ti­gung, Löschung und Sper­rung von Daten

1)    Im Rahmen des Auf­trags ver­ar­bei­tete Daten wird der Auf­trag­neh­mer nur ent­spre­chend der getrof­fe­nen ver­trag­li­chen Ver­ein­ba­rung oder nach Weisung des Auf­trag­ge­bers berich­ti­gen, löschen oder sperren.

2)      Den ent­spre­chen­den Wei­sun­gen des Auf­trag­ge­bers wird der Auf­trag­neh­mer jeder­zeit und auch über die Been­di­gung dieses Ver­tra­ges hinaus Folge leisten.

 

7          Unter­auf­trags­ver­hält­nisse

1)      Die Beauf­tra­gung von Sub­un­ter­neh­mern ist nur mit schrift­li­cher Zustim­mung des Auf­trag­ge­bers im Ein­zel­fall zuge­las­sen. Aus­ge­nom­men von diesem Punkt sind sämt­li­che auf­trag­neh­mer­sei­tig ver­pflich­ten­den Audits. Diese können und müssen ohne Ein­ver­ständ­nis des Auf­trag­ge­bers durch­ge­führt werden. Ein Bei­spiel hierfür sind Lizen­zau­dits (Micro­soft, VMware, Oracle, SAP,…) welche ver­trag­lich seitens des Auf­trag­neh­mers geschul­det sind.

2)      Der Auf­trag­neh­mer beauf­tragt sei­ner­seits ledig­lich Sub­un­ter­neh­mer, welchen ver­trag­lich min­des­tens Daten­schutz­pflich­ten auf­er­legt wurden, die den in diesem Vertrag ver­ein­bar­ten ver­gleich­bar sind. Der Auf­trag­ge­ber erhält auf Ver­lan­gen Ein­sicht in die rele­van­ten Ver­träge zwi­schen Auf­trag­neh­mer und Sub­un­ter­neh­mer. Der Auf­trag­ge­ber wird vor Beauf­tra­gung eines Sub­un­ter­neh­mers infor­miert. Wenn letz­te­rer wie­derum einen Sub­un­ter­neh­mer beauf­tragt, muss dies bis zum Auf­trag­ge­ber kom­mu­ni­ziert werden.

3)      Die Rechte des Auf­trag­ge­bers müssen auch gegen­über dem Sub­un­ter­neh­mer wirksam aus­ge­übt werden können. Ins­be­son­dere muss der Auf­trag­ge­ber berech­tigt sein, jeder­zeit in dem hier fest­ge­leg­ten Umfang Kon­trol­len auch bei Sub­un­ter­neh­mern durch­zu­füh­ren oder durch Dritte durch­füh­ren zu lassen.

4)      Die Ver­ant­wort­lich­kei­ten des Auf­trag­neh­mers und des Sub­un­ter­neh­mers sind ein­deu­tig von­ein­an­der abzugrenzen.

5)      Eine weitere Sub­be­auf­tra­gung durch den Sub­un­ter­neh­mer ist nur dann zuläs­sig, wenn der vom Auf­trag­neh­mer ein­ge­brachte Sub­un­ter­neh­mer die hier getrof­fe­nen Ver­ein­ba­run­gen auch für seine Sub­un­ter­neh­mer sicherstellt.

6)      Der Auf­trag­neh­mer wählt den Sub­un­ter­neh­mer unter beson­de­rer Berück­sich­ti­gung der Eignung der vom Sub­un­ter­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sorg­fäl­tig aus.

7)      Die Wei­ter­lei­tung von im Auftrag ver­ar­bei­te­ten Daten an den Sub­un­ter­neh­mer ist erst zuläs­sig, wenn sich der Auf­trag­neh­mer doku­men­tiert davon über­zeugt hat, dass der Sub­un­ter­neh­mer seine Ver­pflich­tun­gen voll­stän­dig erfüllt hat. Der Auf­trag­neh­mer hat dem Auf­trag­ge­ber die Doku­men­ta­tion unauf­ge­for­dert vorzulegen.

8)      Die Beauf­tra­gung von Sub­un­ter­neh­mern, die Ver­ar­bei­tun­gen im Auftrag nicht aus­schließ­lich aus dem Gebiet der EU oder des EWR erbrin­gen, ist nur bei Beach­tung der in Kapitel 4 (10) und (11) dieses Ver­tra­ges genann­ten Bedin­gun­gen möglich. Sie ist ins­be­son­dere nur zuläs­sig, soweit und solange der Sub­un­ter­neh­mer ange­mes­sene Daten­schutz­ga­ran­tien bietet. Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber mit, welche kon­kre­ten Daten­schutz­ga­ran­tien der Sub­un­ter­neh­mer bietet und wie ein Nach­weis hier­über zu erlan­gen ist.

9)      Der Auf­trag­neh­mer hat die Ein­hal­tung der Pflich­ten des Sub­un­ter­neh­mers regel­mä­ßig, spä­tes­tens alle 12 Monate, ange­mes­sen zu über­prü­fen. Die Prüfung und ihr Ergeb­nis sind so aus­sa­ge­kräf­tig zu doku­men­tie­ren, dass sie für einen fach­kun­di­gen Dritten nach­voll­zieh­bar sind. Die Doku­men­ta­tion ist dem Auf­trag­ge­ber unauf­ge­for­dert vorzulegen.

10)   Kommt der Sub­un­ter­neh­mer seinen Daten­schutz­pflich­ten nicht nach, so haftet hierfür der Auf­trag­neh­mer gegen­über dem Auftraggeber.

11)   Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auf­trags­in­halt bezeich­ne­ten Sub­un­ter­neh­mer mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in dem dort genann­ten Umfang beschäf­tigt und durch den Auf­trag­ge­ber geneh­migt. Die hier nie­der­ge­leg­ten sons­ti­gen Pflich­ten des Auf­trag­neh­mers gegen­über Sub­un­ter­neh­mern bleiben unberührt.

12)   Unter­auf­trags­ver­hält­nisse im Sinne dieses Ver­trags sind nur solche Leis­tun­gen, die einen direk­ten Zusam­men­hang mit der Erbrin­gung der Haupt­leis­tung auf­wei­sen. Neben­leis­tun­gen, wie bei­spiels­weise Trans­port, Wartung und Rei­ni­gung sowie die Inan­spruch­nahme von Tele­kom­mu­ni­ka­ti­ons­dienst­leis­tun­gen oder Benut­zer­ser­vice sind nicht erfasst. Die Pflicht des Auf­trag­neh­mers, auch in diesen Fällen die Beach­tung von Daten­schutz und Daten­si­cher­heit sicher­zu­stel­len, bleibt unberührt.

 

8          Rechte und Pflich­ten des Auftraggebers

1)      Der Auf­trag­ge­ber infor­miert den Auf­trag­neh­mer unver­züg­lich, wenn er Fehler oder Unre­gel­mä­ßig­kei­ten bei der Prüfung der Auf­trags­er­geb­nisse feststellt.

2)      Der Auf­trag­ge­ber ist berech­tigt, die Ein­hal­tung der Vor­schrif­ten über den Daten­schutz und der ver­trag­li­chen Ver­ein­ba­run­gen beim Auf­trag­neh­mer in ange­mes­se­nem Umfang selbst oder durch Dritte, ins­be­son­dere durch die Ein­ho­lung von Aus­künf­ten und die Ein­sicht­nahme in die gespei­cher­ten Daten und die Daten­ver­ar­bei­tungs­pro­gramme sowie sons­tige Kon­trol­len vor Ort zu kon­trol­lie­ren. Den mit der Kon­trolle betrau­ten Per­so­nen ist vom Auf­trag­neh­mer soweit erfor­der­lich Zutritt und Ein­blick zu ermög­li­chen. Der Auf­trag­neh­mer ist ver­pflich­tet, erfor­der­li­che Aus­künfte zu ertei­len, Abläufe zu demons­trie­ren und Nach­weise zu führen, die zur Durch­füh­rung einer Kon­trolle erfor­der­lich sind.

3)      Kon­trol­len beim Auf­trag­neh­mer haben ohne ver­meid­bare Stö­run­gen seines Geschäfts­be­triebs zu erfol­gen. Soweit nicht aus vom Auf­trag­ge­ber zu doku­men­tie­ren­den, dring­li­chen Gründen anders ange­zeigt, finden Kon­trol­len nach ange­mes­se­ner Vor­ankün­di­gung und zu Geschäfts­zei­ten des Auf­trag­neh­mers, sowie nicht häu­fi­ger als alle 12 Monate statt. Soweit der Auf­trag­neh­mer den Nach­weis der kor­rek­ten Umset­zung der ver­ein­bar­ten Daten­schutz­pflich­ten wie unter Kapitel 5 (8) dieses Ver­tra­ges vor­ge­se­hen erbringt, soll sich eine Kon­trolle auf Stich­pro­ben beschränken.

9          Mit­tei­lungs­pflich­ten

1)      Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten unver­züg­lich mit. Auch begrün­dete Ver­dachts­fälle hierauf sind mit­zu­tei­len. Die Mit­tei­lung hat spä­tes­tens inner­halb von 24 Stunden ab Kennt­nis des Auf­trag­neh­mers vom rele­van­ten Ereig­nis an eine vom Auf­trag­ge­ber benannte Adresse zu erfol­gen. Sie muss min­des­tens fol­gende Angaben enthalten:

2)      eine Beschrei­bung der Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten, soweit möglich mit Angabe der Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen Per­so­nen, der betrof­fe­nen Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen per­so­nen­be­zo­ge­nen Datensätze;

3)      den Namen und die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten oder einer sons­ti­gen Anlauf­stelle für weitere Informationen;

4)      eine Beschrei­bung der wahr­schein­li­chen Folgen der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten;

5)      eine Beschrei­bung der vom Auf­trag­neh­mer ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten und gege­be­nen­falls Maß­nah­men zur Abmil­de­rung ihrer mög­li­chen nach­tei­li­gen Auswirkungen

6)      Eben­falls unver­züg­lich mit­zu­tei­len sind erheb­li­che Stö­run­gen bei der Auf­trags­er­le­di­gung sowie Ver­stöße des Auf­trag­neh­mers oder der bei ihm beschäf­tig­ten Per­so­nen gegen daten­schutz­recht­li­che Bestim­mun­gen oder die in diesem Vertrag getrof­fe­nen Festlegungen.

7)      Der Auf­trag­neh­mer infor­miert den Auf­trag­ge­ber unver­züg­lich von Kon­trol­len oder Maß­nah­men von Auf­sichts­be­hör­den oder anderen Dritten, soweit diese Bezüge zur Auf­trags­ver­ar­bei­tung aufweisen.

8)      Der Auf­trag­neh­mer sichert zu, den Auf­trag­ge­ber bei dessen Pflich­ten nach Art. 33 und 34 Daten­schutz-Grund­ver­ord­nung im erfor­der­li­chen Umfang zu unterstützen.

 

10     Wei­sun­gen

1)      Der Auf­trag­ge­ber behält sich hin­sicht­lich der Ver­ar­bei­tung im Auftrag ein umfas­sen­des Wei­sungs­recht vor.

2)      Auf­trag­ge­ber und Auf­trag­neh­mer benen­nen die zur Ertei­lung und Annahme von Wei­sun­gen aus­schließ­lich befug­ten Per­so­nen in Anlage 3.

3)      Bei einem Wechsel oder einer län­ger­fris­ti­gen Ver­hin­de­rung der benann­ten Per­so­nen sind der anderen Partei Nach­fol­ger bzw. Ver­tre­ter unver­züg­lich mitzuteilen.

4)      Der Auf­trag­neh­mer wird den Auf­trag­ge­ber unver­züg­lich darauf auf­merk­sam machen, wenn eine vom Auf­trag­ge­ber erteilte Weisung seiner Meinung nach gegen gesetz­li­che Vor­schrif­ten ver­stößt. Der Auf­trag­neh­mer ist berech­tigt, die Durch­füh­rung der ent­spre­chen­den Weisung solange aus­zu­set­zen, bis sie durch den Ver­ant­wort­li­chen beim Auf­trag­ge­ber bestä­tigt oder geän­dert wird.

5)      Der Auf­trag­neh­mer hat ihm erteilte Wei­sun­gen und deren Umset­zung zu dokumentieren.

 

11     Been­di­gung des Auftrags

1)    Bei Been­di­gung des Auf­trags­ver­hält­nis­ses oder jeder­zeit auf Ver­lan­gen des Auf­trag­ge­bers hat der Auf­trag­neh­mer die im Auftrag ver­ar­bei­te­ten Daten nach Wahl des Auf­trag­ge­bers ent­we­der zu ver­nich­ten oder an den Auf­trag­ge­ber zu über­ge­ben. Eben­falls zu ver­nich­ten sind sämt­li­che vor­han­dene Kopien der Daten. Die Ver­nich­tung hat so zu erfol­gen, dass eine Wie­der­her­stel­lung auch von Rest­in­for­ma­tio­nen mit ver­tret­ba­rem Aufwand nicht mehr möglich ist. Eine phy­si­sche Ver­nich­tung erfolgt gemäß DIN 66399.

2)    Der Auf­trag­neh­mer ist ver­pflich­tet, die unver­züg­li­che Rück­gabe bzw. Löschung der Pro­duk­ti­ven Daten auch bei Sub­un­ter­neh­mern herbeizuführen.

3)    Der Auf­trag­neh­mer ist nicht ver­pflich­tet, die Siche­rungs­da­ten unver­züg­lich zu löschen. Auf­grund des Siche­rungs­kon­zep­tes, welches eine Siche­rung auf gemein­sam (antei­lig) genutz­ten Geräten vor­sieht, ist eine rück­wir­kende Löschung der Siche­rungs­da­ten tech­nisch nicht mit ver­tret­ba­rem Aufwand rea­li­sier­bar. Die Vor­hal­tung geschieht bis maximal 2 Jahren zurück. Nach Ablauf von zwei Jahren sind auto­ma­tisch auch alle Siche­rungs­da­ten über­schrie­ben und somit nach­hal­tig gelöscht.

4)    Der Auf­trag­neh­mer hat den Nach­weis der ord­nungs­ge­mä­ßen Ver­nich­tung zu führen und dem Auf­trag­ge­ber unver­züg­lich vorzulegen.

 

12     Haftung

1)      Für den Ersatz von Schäden, die eine Person wegen einer unzu­läs­si­gen oder unrich­ti­gen Daten­ver­ar­bei­tung im Rahmen des Auf­trags­ver­hält­nis­ses erlei­det, haften Auf­trag­ge­ber und Auf­trag­neh­mer als Gesamtschuldner.

2)      Der Auf­trag­neh­mer trägt die Beweis­last dafür, dass ein Schaden nicht Folge eines von ihm zu ver­tre­ten­den Umstan­des ist, soweit die rele­van­ten Daten von ihm unter dieser Ver­ein­ba­rung ver­ar­bei­tet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auf­trag­neh­mer den Auf­trag­ge­ber auf erste Anfor­de­rung von allen Ansprü­chen frei, die im Zusam­men­hang mit der Auf­trags­ver­ar­bei­tung gegen den Auf­trag­ge­ber erhoben werden. Unter diesen Vor­aus­set­zun­gen ersetzt der Auf­trag­neh­mer dem Auf­trag­ge­ber eben­falls sämt­li­che ent­stan­de­nen Kosten der Rechtsverteidigung.

3)      Der Auf­trag­neh­mer haftet dem Auf­trag­ge­ber für Schäden, die der Auf­trag­neh­mer, seine Mit­ar­bei­ter bzw. die von ihm mit der Ver­trags­durch­füh­rung Beauf­trag­ten oder die von ihm ein­ge­setz­ten Sub­dienst­leis­ter im Zusam­men­hang mit der Erbrin­gung der beauf­trag­ten ver­trag­li­chen Leis­tung schuld­haft verursachen.

4)      Nummern (2) und (3) gelten nicht, soweit der Schaden durch die kor­rekte Umset­zung der beauf­trag­ten Dienst­leis­tung oder einer vom Auf­trag­ge­ber erteil­ten Weisung ent­stan­den ist.

 

13     Son­der­kün­di­gungs­recht

1)      Der Auf­trag­ge­ber kann den Haupt­ver­trag und diese Ver­ein­ba­rung jeder­zeit ohne Ein­hal­tung einer Frist kün­di­gen („außer­or­dent­li­che Kün­di­gung“), wenn ein schwer­wie­gen­der Verstoß des Auf­trag­neh­mers gegen Daten­schutz­vor­schrif­ten oder die Bestim­mun­gen dieser Ver­ein­ba­rung vor­liegt, der Auf­trag­neh­mer eine recht­mä­ßige Weisung des Auf­trag­ge­bers nicht aus­füh­ren kann oder will oder der Auf­trag­neh­mer Kon­troll­rechte des Auf­trag­ge­bers ver­trags­wid­rig verweigert.

2)      Ein schwer­wie­gen­der Verstoß liegt ins­be­son­dere vor, wenn der Auf­trag­neh­mer die in dieser Ver­ein­ba­rung bestimm­ten Pflich­ten, ins­be­son­dere die ver­ein­bar­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men in erheb­li­chem Maße nicht erfüllt oder nicht erfüllt hat.

3)      Bei uner­heb­li­chen Ver­stö­ßen setzt der Auf­trag­ge­ber dem Auf­trag­neh­mer eine ange­mes­sene Frist zur Abhilfe. Erfolgt die Abhilfe nicht recht­zei­tig, so ist der Auf­trag­ge­ber zur außer­or­dent­li­chen Kün­di­gung wie in diesem Abschnitt beschrie­ben berechtigt.

4)      Der Auf­trag­neh­mer hat dem Auf­trag­ge­ber alle Kosten zu erstat­ten, die diesem durch die ver­frühte Been­di­gung des Haupt­ver­tra­ges oder dieses Ver­tra­ges in Folge einer außer­or­dent­li­chen Kün­di­gung durch den Aufrag­ge­ber entstehen.

 

14     Son­der­re­ge­lung für Kunden in kirch­li­cher Trägerschaft

Soweit es sich beim Auf­trag­ge­ber um Ein­rich­tun­gen in der Trä­ger­schaft der katho­li­schen Kirche handelt, so gelten die Rege­lun­gen des KDG.
Wird in dieser Ver­ein­ba­rung inkl. Anhang auf die DSGVO Bezug genom­men, erfolgt die Bezug­nahme ent­spre­chend auf die anwend­bare kir­chen­recht­li­che Rege­lung, die den jewei­li­gen Vor­schrif­ten der DSGVO ent­spricht. Etwaige Rege­lun­gen in dieser Ver­ein­ba­rung und der Anlage, die zu Gunsten des Auf­trag­ge­bers über die jeweils anwend­ba­ren kir­chen­recht­li­chen Rege­lun­gen hin­aus­ge­hen, bleiben zu Gunsten des Auf­trag­ge­bers hiervon unbe­rührt. Hin­sicht­lich von Ein­rich­tun­gen in der Trä­ger­schaft der katho­li­schen Kirche finden ins­be­son­dere die kir­chen­recht­li­chen Vor­schrif­ten zur Auf­trags­da­ten­ver­ar­bei­tung nach § 29 KDG (Gesetz über den kirch­li­chen Daten­schutz) Anwendung.

Handelt es sich beim Auf­trag­ge­ber um eine Ein­rich­tung in der Trä­ger­schaft der evan­ge­li­schen Kirche, besteht gemäß § 30 Abs. 5 DSG-EKD n.F. die Mög­lich­keit, Ver­träge mit Auf­trags­ver­ar­bei­tern abzu­schlie­ßen, auf die die kirch­li­chen Daten­schutz­be­stim­mun­gen keine Anwen­dung finden, wenn sich die Inhalte des AV-Ver­tra­ges an Artikel 28 Daten­schutz-Grund­ver­ord­nung ori­en­tie­ren. Vor­aus­set­zung ist, dass sich der Auf­trags­ver­ar­bei­ter der kirch­li­chen Daten­schutz­auf­sicht unter­wirft.
Der Auf­trag­neh­mer unter­wirft sich der Kon­trolle durch den zustän­di­gen kirch­li­chen Daten­schutz­be­auf­trag­ten gemäß 30 Abs. 5 DSG-EKD. Sollten hierbei Kosten oder Aufwand ent­ste­hen, werden diese dem Auf­trag­ge­ber ent­spre­chend der ver­trag­li­chen Ver­ein­ba­run­gen als „IT-Con­sul­ting“ berechnet.

 

15     Sons­ti­ges

1)      Beide Par­teien sind ver­pflich­tet, alle im Rahmen des Ver­trags­ver­hält­nis­ses erlang­ten Kennt­nisse von Geschäfts­ge­heim­nis­sen und Daten­si­cher­heits­maß­nah­men der jeweils anderen Partei auch über die Been­di­gung des Ver­tra­ges ver­trau­lich zu behan­deln. Bestehen Zweifel, ob eine Infor­ma­tion der Geheim­hal­tungs­pflicht unter­liegt, ist sie bis zur schrift­li­chen Frei­gabe durch die andere Partei als ver­trau­lich zu behandeln.

2)      Sollte Eigen­tum des Auf­trag­ge­bers beim Auf­trag­neh­mer durch Maß­nah­men Dritter (etwa durch Pfän­dung oder Beschlag­nahme), durch ein Insol­venz- oder Ver­gleichs­ver­fah­ren oder durch sons­tige Ereig­nisse gefähr­det werden, so hat der Auf­trag­neh­mer den Auf­trag­ge­ber unver­züg­lich zu verständigen.

3)      Für Neben­ab­re­den ist die Schrift­form erforderlich.

4)      Die Einrede des Zurück­be­hal­tungs­rechts i. S. v. § 273 BGB wird hin­sicht­lich der im Auftrag ver­ar­bei­te­ten Daten und der zuge­hö­ri­gen Daten­trä­ger ausgeschlossen.

5)      Sollten ein­zelne Teile dieser Ver­ein­ba­rung unwirk­sam sein, so berührt dies die Wirk­sam­keit der Ver­ein­ba­rung im Übrigen nicht.

 

16     Anlagen zum Vertrag

  • Anlage 1 – Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen
  • Anlage 2 – Zuge­las­sene Subdienstleister
  • Anlage 3 – Wei­sungs­be­rech­tige Personen
  • Anlage 4 – Rege­lun­gen für Fernzugriff

zu den Anlagen