Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Auftraggeber (Verantwortlicher):

[Kunde, Kundennummer, Straße, PLZ, Ort, Telefon,]

Auftragnehmer (Auftragsverarbeiter):

EASI Control GmbH

 

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:

Nutzung der Software EASI Control bestehend aus Smartphone-App, Webportal, zugehöriger Server-Infrastruktur und Hardwarekomponenten zum Verwalten von Arbeitsschutz in einem Unternehmen sowie zur Betriebsmittelverwaltung.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

 

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln gemäß Anhang I, genehmigte Verhaltensregeln).

Dauer des Auftrags

Der Vertrag beginnt am Tag der Unterzeichnung der Nutzungsvereinbarung und wird auf unbestimmte Zeit geschlossen. Kündigungsfrist ist 4 Wochen zum Ablauf eines jeden Kalendermonats. Mit der Kündigung wird auch automatisch die Nutzungsvereinbarung von EASI Control gekündigt.

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

 

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:

 

Zweck der Erhebung, Verarbeitung und/oder Nutzung der personenbezogenen Daten ist die Verwaltung von Arbeitsschutzmaßnahmen im Rahmen der Plattform EASI Control im Auftrag des Auftraggebers. Der genaue Umfang der Verarbeitung wird durch die konkrete Nutzung des Auftraggebers bestimmt.

 

Inhalt des Auftrags ist zudem die freiwillige Inanspruchnahme von Support-Leistungen (insbesondere in Form von Fernwartungs-Leistungen) durch den Auftraggeber.

 

Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende Datenarten bzw. -kategorien:

 

• Personen-Stammdaten (z.B. Name, Adresse, Geburtsdatum) und weitere Kommunikationsdaten (z.B. Telefonnummer, Telefaxnummer, E-Mail-Adresse, IP-Adresse),

• Zertifikats- und Unterweisungsdaten (z. B. Ersthelfer Scheine, allgemeine Sicherheitsunterweisungen, durchgeführte Toolbox Meetings etc.)

• Baustellendaten (z.B. Baustellenmanager, eingesetzte Mitarbeiter, Maschinenführer etc.)

 

Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst alle Personen, die der Auftraggeber mit EASI Control verwalten möchte. Das kann je nach Nutzung von EASI Control die eigenen Mitarbeiter, aber auch Personen von anderen Unternehmen beinhalten.

 

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

 

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

 

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

 

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

 

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

 

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

 

4. Pflichten des Auftragnehmers

 

Der Auftragnehmer hat darüber hinaus folgende Pflichten:

 

• Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Aufgaben gemäß Art. 39 DSGVO erfüllen kann, und Bekanntgabe der Person des Datenschutzbeauftragten auf Anforderung des Auftraggebers.

• Die Gewährleistung der Vertraulichkeit gemäß Art. 28 Abs. 3 b) DSGVO. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.

• Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. - erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.

• Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) vorlegen.

 

Der Auftragnehmer unterstützt den Auftraggeber angemessen mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Artikeln 12 bis 23 DSGVO genannten Rechte der betroffenen Person nachzukommen.

 

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen dabei, die in den Artikeln 32 bis 36 genannten Pflichten zu erfüllen.

 

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.

 

An der Erstellung der Verfahrensverzeichnisse bzw. des Verarbeitungsverzeichnisses des Auftraggebers im Sinne des Art. 30 Abs. 1 DSGVO hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. Der Auftragnehmer führt sein Verarbeitungsverzeichnis gem. Art. 30 Abs. 2 DSGVO. Der Auftraggeber hat ein Einsichtsrecht.

 

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

 

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

 

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

 

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit schriftlicher Genehmigung des Auftraggebers gestattet ist (Art. 28 Abs. 2 DS-GVO). Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

 

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

 

Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

 

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

 

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

 

Zurzeit sind für den Auftragnehmer folgende mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

 

Name, Anschrift                                                                                        Auftragsinhalt                                                                        T-Systems International GmbH, Hahnstraße 43 d,                   Anbieter der Cloud

60528 Frankfurt am Main                         

 

Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

 

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

 

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird (Anhang II).

 

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen.

 

Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

 

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

 

Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

 

Die Anhang I beschreibt die technisch und organisatorisch getroffenen Maßnahmen.

 

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

 

Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

 

10. Haftung

 

Die Haftung von Auftragnehmer und Auftraggeber richtet sich nach Art. 82 DSGVO. Im Übrigen stellt der Auftragnehmer den Auftraggeber von sämtlichen Ansprüchen Dritter vollumfänglich frei, die aufgrund einer schuldhaften Pflichtverletzung des Auftragnehmers entstehen, es sei denn, dass der Auftragnehmer darlegen kann, dass er die Pflichtverletzung nicht zu vertreten hat.

 

11. Rechtswahl und Gerichtsstand

 

Dieser Auftragsverarbeitungsvertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts sowie der Verweisungsnormen des internationalen Privatrechts.

 

Gerichtsstand ist soweit gesetzlich zulässig Sitz des Auftragnehmers.

 

12. Sonstiges

 

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

 

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

 

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

 

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

Änderungen oder Ergänzungen zu diesem Auftragsverarbeitungsvertrag bedürfen der Schriftform. Dies gilt ebenso für die Abbedingung des Schriftformerfordernisses.

 

Datum:

 

Auftraggeber                                                                  Auftragnehmer

 

 

 

Anhang I – Technische und organisatorische Maßnahmen

 

Die technischen und organisatorischen Datenschutzmaßnahmen entsprechen den Anforderungen gemäß Art. 32 DSGVO bzw. § 64 Abs. 3 BDSG (neu). Die innerbetriebliche Organisation der EASI Control GmbH und der durch sie beauftragten Dritten, ist durch Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

 

Die Datensicherung (Backup) wird bei der EASI Control GmbH betrieben und gewartet. Die Server für die Anwendung und Datenbanken sind bei T-Systems International GmbH als Cloud Service gehostet.

Sofern es Unterbeauftragte gibt, werden diese sorgfältig ausgewählt und hinsichtlich ihres Sicherheitsbewusstseins und ihrer Fachkompetenz überprüft.

 

Einige diesen Bereich betreffenden Sicherungsmaßnahmen sind an dieser Stelle nicht gesondert ausgewiesen, da sie in die Verantwortung der Unterbeauftragten fallen oder aus Gründen der Aufrechterhaltung der Sicherheit durch Vertraulichkeit nicht detailliert veröffentlicht werden.

 

1. Zugangskontrolle

 

Die Zugangskontrolle zu den Serverräumen wird durch die räumliche Struktur des Rechenzentrums und die eingesetzten Kontrollsysteme gewährleistet. Der Cloud Anbieter T-Systems International GmbH ist ISO 27001 zertifiziert und erfüllt die Sicherheitsvorgaben an Zutrittskontrolle. Der zertifizierte Bereich ist: Bereitstellung von Informationstechnologie-, Telekommunikations- und Cloud-Lösungen für eine vernetzte Geschäftswelt und Gesellschaft für interne und externe Kunden einschließlich Servicemanagement und Bereitstellung von dynamischen Applikations-Services & Infrastrukturen, Rechenzentrums-Services, Softwareentwicklung, ICT Security, Projektmanagement, Produktmanagement und Beratungsdienstleistungen.

 

Zudem ist T-Systems International GmbH als „Trusted Cloud-Datenschutzprofil für Cloud-Dienste“ zur Erfüllung der Datenschutzanforderungen für die Auftragsdatenverarbeitung gemäß dem TCDP, Version 1.0, Schutzklasse III Wiederherstellbarkeitsniveau sehr hoch zertifiziert. Prüfgegenstand ist der Dienst Open Telekom Cloud (OTC) v2.0 ein Infrastructure-as-a-Service-Angebot auf der Basis von OpenStack. Einzelne Komponenten zur Rechenleistung, Speicher, Netzwerk & Sicherheitskomponenten sind in einer einheitlichen Managementoberfläche abrufbar. Der Dienst wird ausschließlich in Rechenzentren an deutschen Standorten bereitgestellt.

 

Zutrittskontrolle durch Sicherung der Betriebsstätte der EASI Control GmbH & Co. KG durch Alarmanlage an Türen und Fenstern inklusive Bewegungsmelder. Einsatz von Codeschlössern an allen Außentüren. Sicherung aller Datenverarbeitungsgeräte mit persönlichen Benutzerkonten inklusive Passworterzwingung.

 

Zugang durch Berechtigungskonzept mit individuellen Benutzererkennungen inklusive Passwort und Absicherung durch Firewall.

 

Zugriffskontrolle durch internes Berechtigungskonzept mit individuellen Benutzerkennungen und Passwörtern für relevante Systeme.

 

2. Datenträgerkontrolle

 

Die Nutzung von externen Speichern zur Verwaltung von personenbezogenen Daten ist Mitarbeitern der EASI Control GmbH nicht gestattet.

 

Der Cloud-Anbieter T-Systems International GmbH ist ISO 27001 zertifiziert und erfüllt die Sicherheitsvorgaben an Datenträgerkontrolle. Er hat im Rahmen der Etablierung des Standards ISO 27001 gemäß Anhang „A.8.3 Umgang mit Medien“ Maßnahmen zur Verwaltung, Entsorgung und physische Weitergabe von Wechselmedien umgesetzt.

 

3. Benutzerkontrolle

 

Die Benutzerkontrolle ist durch folgende Maßnahmen umgesetzt:

 

Registrierungsprozess inkl. Prüfung der Nutzer-Identität.

 

Individuelle Nutzer-Kennung und Passwort-Vergabe. Jeder Berechtigte verfügt über ein eigenes, nur ihm bekanntes Passwort, welches nicht weitergegeben werden darf. Bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden.

 

Passwort-Sicherheit und -Komplexität.

 

Unbefugte Nutzer werden durch das System automatisch abgewiesen.

 

Berechtigungskonzept inkl. Prozess zur Vergabe der Berechtigungen administrativer Tätigkeiten.

 

4. Zugriffskontrolle

 

Die Zugriffskontrolle wird durch folgende Maßnahmen gewährleistet:

 

Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Produktivdaten wird durch den softwareseitigen Ausschluss, also Berechtigungskonzepte verhindert.

 

Die Einschränkung der Zugriffsmöglichkeit des zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die seiner Zugriffsberechtigung unterliegenden Daten wird gewährleistet durch:

• Automatische Prüfung der Zugriffsberechtigung mittels Passwort.

• Ausschließliche Menüsteuerung je nach Berechtigung.

• Differenzierte Zugriffsberechtigung auf Anwendungsprogramme.

• Differenzierte Verarbeitungsmöglichkeiten (Lesen/Ändern/Löschen).

 

5. Wiederherstellbarkeit

 

Im Rahmen der Datensicherung werden Backups von sämtlichen Daten und damit auch von personenbezogenen Daten durchgeführt.

 

6. Datenintegrität

 

Damit die Datenintegrität gewährleistet wird, durchlaufen Änderungen folgenden Abnahmeprozess:

• Jede Änderung am System wird im Vorfeld evaluiert.

• Es werden ausführliche Tests, wie funktionale Test, Last-, Performance- und Penetrationstests durchgeführt.

• Nach dem Abnahme-Prozess werden Releases gebaut und in der Produktion eingespielt