Vertrag zur Auftragsverarbeitung i.S.d. Art. 28 Datenschutz-Grundverordnung (DS-GVO)
Zwischen dem Kunden, im Folgenden auch „Auftraggeber“ genannt,
und der Auftragnehmerin:
Maximilian Merg Media
Inh.: Maximilian Louis Merg
Käthe-Kollwitz-Straße 28
65428 Rüsselsheim am Main
info@merg-media.de
Tel.: +49 6142 4810380
im Folgenden auch "Auftragnehmer" genannt.
§ 1 Gegenstand und Dauer des Auftrags
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Gegenstand des Auftrags ist
- die Bereitstellung von Speicherplatz zum Betrieb einer Website einschließlich der Wartung derselben (Webhosting)
- die Bereitstellung von Speicherplatz und eines E-Mail-Programms zum Zweck des E-Mail-Hostings (Mail-Hosting)
Auf diese Leistungen wird hier verwiesen (im Folgenden: Leistungsvereinbarung). Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung. Die Regelungen zur Kündigung der Leistungsvereinbarung gelten auch für diesen Vertrag. Eine Beendigung der Leistungsvereinbarung berechtigt beide Parteien zur Kündigung dieses Vertrages. Darüber hinaus sind sich die Parteien darüber einig, dass frühere Verträge zur Auftragsdatenverarbeitung oder Auftragsverarbeitung mit Abschluss dieses Vertrages einvernehmlich beendet werden.
§ 2 Konkretisierung des Auftragsinhalts (Umfang, Art und Zweck der Datenverarbeitung, Art der Daten, Kreis der Betroffenen)
Umfang, Art und Zweck der Datenverarbeitung beschränken sich auf die für die Bereitstellung erforderlichen Maßnahmen. Regelmäßig ist dies die Speicherung von Daten und die Erstellung von Backups. Die sonstige Verarbeitung und insbesondere die Kenntnisnahme personenbezogener Daten durch den Auftragnehmer oder die ihm unterstellten Personen ist nicht vorgesehen, die zufällige Kenntnisnahme auf den Systemen gespeicherter Daten im Rahmen von Update-, Wartungs- und/oder Support-Handlungen kann jedoch nicht ausgeschlossen werden. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen des Art. 7 DSGVO erfüllt sind.
Gegenstand der Verarbeitung personenbezogener Daten sind die auf den vom Auftragnehmer gestellten Systemen verarbeiteten Daten. Soweit Nachrichten gespeichert werden, sind dies regelmäßig Name, E-Mail-Adresse und Nachrichtentext des Absenders. Webcontent und Nachrichteninhalt können jedoch jeden möglichen vom Sender oder Auftraggeber festgelegten Inhalt haben und damit auch jede Datenkategorie, jede Betroffenenkategorie und jeden vom Auftraggeber festgelegten Zweck betreffen.
§ 3 Technische und organisatorische Maßnahmen, Folgenabschätzung
Der Auftragnehmer dokumentiert die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten unter besonderer Berücksichtigung der konkreten Auftragsdurchführung und stellt die Dokumentation dem Auftraggeber auf Anfrage zur Verfügung. Die technischen und organisatorischen Maßnahmen sind zu diesem Zweck in dem als Anlage 1 beigefügten Datensicherheitskonzept aufgeführt und Teil dieser Vereinbarung. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist die Umsetzung alternativer adäquater Maßnahmen gestattet, sofern dabei mindestens das Sicherheitsniveau der festgelegten Maßnahmen beibehalten wird. Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt; dieser trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
§ 4 Berichtigung, Löschung und Sperrung von Daten
Die personenbezogenen Daten, auf deren Verarbeitung sich diese Vereinbarung bezieht, werden vom Auftragnehmer nur auf Weisung des Auftraggebers verarbeitet, insbesondere erhoben, berichtigt gelöscht, gesperrt oder genutzt. Verlangt ein Betroffener unmittelbar vom Auftragnehmer die Berichtigung oder Löschung seiner personenbezogenen Daten oder die Einschränkung der Verarbeitung, leitet der Auftragnehmer das Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiter, sofern eine Zuordnung zum Auftraggeber möglich ist. Die hierfür ggf. anfallenden Kosten trägt der Auftraggeber. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 5 Datenschutzkontrolle und Informationspflicht
Der Auftragnehmer hat nach Artt. 28 ff. DSGVO folgende Pflichten:
- Soweit gesetzlich vorgeschrieben die schriftliche Bestellung eines Datenschutzbeauftragten. Dessen Kontaktdaten werden dem Auftraggeber auf Anforderung mitgeteilt.
- Wahrung des Datengeheimnisses entsprechend Art. 29 DSGVO. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, werden zur Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt.
- Unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 57 DSGVO. Dies gilt auch, soweit eine zuständige Behörde nach Art. 83 DSGVO beim Auftragnehmer ermittelt.
- Erstattung von Meldungen an den Auftraggeber in allen Fällen, in denen durch ihn oder die bei ihm beschäftigten Personen oder Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Dies gilt auch im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten und bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers.
- Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.
§ 6 Unterauftragsverhältnisse
Der Auftragnehmer ist berechtigt, sich für die Erfüllung der Leistungsvereinbarung und/oder dieses Vertrages Unterauftragnehmer zu bedienen. Voraussetzung ist die Zustimmung des Auftraggebers. Die Zustimmung gilt als erteilt, wenn
- dem Auftraggeber die Identität des Unterauftragnehmers in Textform mitgeteilt wird,
- die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so gestaltet sind, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen,
- der Auftraggeber nicht binnen einer Woche ab Mitteilung in Textform Einspruch eingelegt hat, und
- bei der Unterbeauftragung dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung eingeräumt werden. Dies umfasst insbesondere das Recht des Auftraggebers, vom Auftragnehmer auf Anforderung in Textform Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
Der Auftraggeber darf einen Einspruch gegen die Einschaltung eines Unterauftragnehmers nur aus wichtigem Grund erheben. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
Der Auftraggeber stimmt bereits zum jetzigen Zeitpunkt den folgenden Unterauftragsverhältnissen zu:
- bunnyway d.o.o, Cesta Komandanta Staneta, 1215 Medvode, Slowenien (Gegenstand des Unterauftragsverhältnisses: Bereitstellung von DSGVO-konformen Webfonts, Bereitstellung eines CDN [Global Content Delivery Networks] zur optimierten Darstellung von Websites und schnellen globalen Erreichbarkeit dieser)
- Campaign.Plus GmbH, Wollmarkstraße 115b, 33098 Paderborn (Gegenstand des Unterauftragsverhältnisses: Verwendung von Adressdaten zum Versand von Newslettern und [transaktionalen] E-Mails)
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen zu (Gegenstand des Unterauftragsverhältnisses: Bereitstellung von Speicherplatz im Rechenzentrum, Anbindung des Servers an das Internet).
- Plausible Insights OÜ, Västriku tn 2, 50403, Tartu, Estonia (Gegenstand des Unterauftragsverhältnisses: Datenschutzkonforme Analyse von Websitedaten und Besucherinformationen [insbesondere Dokumentation von Websitebesuchen], keine Verwendung von Cookies)
- QualityHosting AG, Uferweg 40-42, 63571 Gelnhausen (Gegenstand des Unterauftragsverhältnisses: Bereitstellung von Speicherplatz im Rechenzentrum, Anbindung des Servers an das Internet, Hosting von Microsoft Cloud Solutions [bspw. Hosted Exchange], Vertrieb von Lizenzen [Microsoft Software])
- SpamExperts B.V, Rokin 113-115, 1012 KP Amsterdam, Netherlands (Gegenstand des Unterauftragsverhältnisses: Bereitstellung eines Spam-Filters zur Überprüfung von ein- und ausgehenden E-Mails - damit einhergehend die maschinelle Verarbeitung und Kontrolle von E-Mails, E-Mail-Backups, Antivirenschutz, Technischer Support und damit einhergehende Verarbeitung von personenbezogenen Daten zur Lösung technischer Probleme)
§ 7 Pflichten des Auftraggebers
Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragnehmer allein verantwortlich und somit „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO. Die Verantwortlichkeit betrifft auch und insbesondere eine etwaige Pflicht zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO und die Informationspflichten nach Artt. 12 - 14 DSGVO. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt § 8 Abs. 8 entsprechend. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Der Auftraggeber ist zur Erteilung ausreichender Weisungen verpflichtet.
§ 8 Weisungsbefugnis des Auftraggebers/Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall des Art. 28 Abs. 3 lit. a DSGVO vor. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Erteilt der Auftraggeber Einzelweisungen hinsichtlich des Umgangs mit personenbezogenen Daten, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen. Mündliche Weisungen wird der Auftraggeber unverzüglich in Textform bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer ist verpflichtet, die zur Verfügung gestellten personenbezogenen Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Offensichtlich datenschutzwidrige Weisungen muss der Auftragnehmer nicht ausführen. Ist der Auftragnehmer in einem Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO zur Verarbeitung ohne Weisung des Auftraggebers verpflichtet, teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftragnehmer unterstützt auf Anforderung den Auftraggeber im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DSGVO. Er unterstützt den Auftraggeber auf Anforderung im Rahmen seiner Möglichkeiten bei der Einhaltung der in Artt. 33-36 DSGVO genannten Pflichten. Für die Erbringung der in diesem Absatz aufgeführten Unterstützungsleistungen berechnet der Auftragnehmer eine Vergütung von 79,00 € je angefangener Arbeitsstunde. Soweit zum maßgeblichen Zeitpunkt der Auftragnehmer der Umsatzsteuerpflicht unterliegt, tritt die jeweils geltende gesetzliche Umsatzsteuer hinzu.
(3) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(4) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
(5) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(6) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. Für die Erbringung dieser Unterstützungsleistungen berechnet der Auftragnehmer eine Vergütung von 79,00 € je angefangener Arbeitsstunde. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Eine Vergütung sowie Schutzmaßnahmen sind hierzu gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. Für die Erbringung dieser Schutzmaßnahmen berechnet der Auftragnehmer eine Vergütung von 79,00 € je angefangener Arbeitsstunde. Die Kosten für die geschäftliche Aufbewahrung von Daten bestimmen sich nach der Größe der Daten sowie der Dauer der Aufbewahrung. Soweit die Aufbewahrung gewünscht ist, ist hierzu eine einzelvertragliche Regelung zu treffen. Soweit zum maßgeblichen Zeitpunkt der Auftragnehmer der Umsatzsteuerpflicht unterliegt, tritt zu den in diesem Absatz vorgesehenen Vergütungen die jeweils geltende gesetzliche Umsatzsteuer hinzu.
(7) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Für die Erbringung dieser Unterstützungsleistungen berechnet der Auftragnehmer eine Vergütung von 79,00 € je angefangener Arbeitsstunde. Soweit zum maßgeblichen Zeitpunkt der Auftragnehmer der Umsatzsteuerpflicht unterliegt, tritt die jeweils geltende gesetzliche Umsatzsteuer hinzu.
§ 9 Löschung der personenbezogenen Daten nach Beendigung des zugrundeliegenden Auftrags
Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. Die Löschungspflicht besteht nicht soweit und solange der Auftragnehmer nach dem Recht der Europäischen Union oder nach nationalem Recht zur Speicherung der Daten verpflichtet ist.
§ 10 Nachweismöglichkeiten
(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Aufragnehmer stehen, hat der Auftragnehmer gegen dieses ein Einspruchsrecht. Im Fall eines berechtigten Einspruchs beauftragt der Auftraggeber einen anderen Prüfer. Für die Unterstützung bei der Durchführung einer Inspektion kann der Auftragnehmer eine Vergütung in Höhe von 79,00 € pro Arbeitstag verlangen. Soweit zum maßgeblichen Zeitpunkt der Auftragnehmer der Umsatzsteuerpflicht unterliegt, tritt die jeweils geltende gesetzliche Umsatzsteuer hinzu. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
(3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Die Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist, und von der nur der Auftragnehmer diese entbinden kann.
§ 11 Hinweis auf rechtskonformes Verhalten
Der Auftragnehmer weist den Auftraggeber darauf hin, dass dieser durch den Auftragnehmer keine Datenverarbeitungen vornehmen lassen darf, die im Widerspruch zur Rechtsordnung stehen. Die Verpflichtung zum rechtkonformen Verhalten ist nicht auf das Datenschutzrecht beschränkt, sondern erstreckt sich auf alle Rechtsvorschriften, insbesondere wettbewerbsrechtlicher, persönlichkeitsrechtlicher und urheberrechtlicher Vorschriften sowie der Vorschriften zum gewerblichen Rechtsschutz. Verstößt der Auftraggeber gegen diese Verpflichtung ist er dem Auftragnehmer zum Ersatz sämtlicher Schäden verpflichtet, die diesem infolge der Inanspruchnahme durch den Geschädigten entstehen.
§ 12 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Auftragnehmer den Auftraggeber unverzüglich hierüber. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.
(2) Änderungen und Ergänzungen dieser standardisierten Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer separaten Vereinbarung in Textform und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht. Anstelle der unwirksamen Teile finde die entsprechende gesetzliche Regelung Anwendung.
(4) Es gilt deutsches Recht.
§ 13 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der Regelung des Art. 82 Abs. 2 DSGVO.
Anlage 1: Datensicherheitskonzept (siehe unten)
Anlage 2: Hetzner TOM (Link)
Anlage 1 - Datensicherheitskonzept
I. Datensicherheitskonzept im Rechenzentrumsbetrieb
Es gilt das Datensicherheitskonzept der Hetzner Online GmbH (https://www.hetzner.com/AV/TOM.pdf).
II. Datensicherheitskonzept im Bürobetrieb des Auftragnehmers
Zutrittskontrolle
- Partielle Videoüberwachung des Gebäudes von außen
- Abgeschlossene Haus- beziehungsweise Eingangstür bei Nichtanwesenheit
Zugangskontrolle
- für Server beziehungsweise Speicherplatz in externen Rechenzentren
- Serverpasswörter, welche dem jeweiligen Unterauftragnehmer nicht bekannt sind
- Zugriff besteht ausschließlich für berechtigte und ausgewählte Mitarbeiter. - für Administrationsoberflächen (Verwaltung von Servern, Speicherplatz und Domains)
- Passwörter, welche dem jeweiligen Unterauftragnehmer nicht bekannt sind. Zur Sicherung des Accounts wird auf die vom Unterauftragnehmer bereitgestellte Zwei-Faktor-Authentifizierung zurückgegriffen.
- Zugriff besteht ausschließlich für berechtigte und ausgewählte Mitarbeiter.
Zugriffskontrolle
- bei Verwaltungssystemen des Auftragnehmers
- Passwörter, welche ausschließlich berechtigten und ausgewählten Mitarbeitern bekannt sind.
- Regelmäßige Software- und Sicherheitsupdates (nach dem jeweiligen Stand der Technik), um dem unbefugten Zugriff auf die Systeme präventiv entgegenzuwirken.
Datenträgerkontrolle
- Es werden nur verschlüsselte Datenträger eingesetzt.
- Nach Kündigung werden Daten, auf die der Auftragnehmer, in Form von externen Datenträgern, direkten Zugriff hat, gelöscht.
- Ist eine Löschung der Daten nicht ordnungsgemäß möglich, werden die Datenträger durch ein externes Unternehmen fachgerecht entsorgt.
Trennungskontrolle
- bei Verwaltungssystemen des Auftragnehmers
- Daten werden generell physisch und logisch getrennt voneinander gespeichert. - für Server beziehungsweise Speicherplatz in externen Rechenzentren
- Sofern dem Auftraggeber im Zuge des Hostings Speicherplatz zur Verfügung gestellt wurde, obliegt ihm die Trennungskontrolle.
- Daten, die der Auftragnehmer eigenständig in externen Rechenzentren speichert, werden physisch und logisch getrennt voneinander gespeichert.
Weitergabekontrolle
- Alle Mitarbeiter sind i.S.d. Art. 32 Abs. 4 DS-GVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
- Nach Kündigung findet eine datenschutzgerechte Löschung der Daten statt.
- Eine verschlüsselte Datenübertragung kann erfolgen, soweit sie Bestandteil der Leistungsvereinbarung ist.
Eingabekontrolle
- bei Verwaltungssystemen des Auftragnehmers
- Die Daten werden von berechtigten und ausgewählten Mitarbeiten eingegeben. - für Server beziehungsweise Speicherplatz in externen Rechenzentren
- Der Auftraggeber ist für die Eingabekontrolle verantwortlich. Der Auftragnehmer übernimmt Eingaben nur nach schriftlicher Bestätigung des Auftraggebers, soweit es seinen Speicherplatz beziehungsweise seinen Server betrifft.
- Die Daten werden von berechtigten und ausgewählten Mitarbeiten eingegeben. - für Plesk als Verwaltungssystem für die Services des Auftraggebers
- Der Auftraggeber ist für die Eingabekontrolle verantwortlich. Der Auftragnehmer übernimmt Eingaben nur nach schriftlicher Bestätigung des Auftraggebers, soweit es seinen Speicherplatz beziehungsweise seinen Server betrifft.
- Die Daten werden von berechtigten und ausgewählten Mitarbeiten eingegeben.
Verfügbarkeitskontrolle
- Mailserver (in einem externen Rechenzentrum)
- Einsatz von Warden Anti-Spam zur Abwehr von Viren und zum Schutz von personenbezogenen Daten - alle anderen Systeme
- Tägliches Backup aller relevanten Daten durch den Auftragnehmer
- Der Auftraggeber ist zur regelmäßigen Datensicherung verpflichtet
- auerhaft aktiver DDoS-Schutz und unterbrechungsfreie Stromversorgung mit Bezug auf externe Server (gewährleistet durch Unterauftragnehmer Hetzner Online GmbH)
Wiederherstellbarkeit
- Für alle internen Systemen wurde ein Mitarbeiter bestimmt, welcher im Ernstfall damit beauftragt ist, die Systeme möglichst schnell wiederherzustellen. Auf die Wiederherstellung von externen Systemen hat der Auftragnehmer keinen direkten Einfluss.
Sicherheit bei der Übertragung von Daten
Sämtliche Daten werden nur an Berechtigte und ausschließlich verschlüsselt übertragen. Beim E-Mail-Versand kann es eine unverschlüsselte Übertragung geben, wenn die Systeme des Empfängers keine Verschlüsselung unterstützen. Die Zertifikate und Zertifikatsschlüssel werden durch die Administratoren des Auftragnehmers verwaltet.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Neben unterjährigen Aktualisierungen von IT-Technik und Organisationsmaßnahmen erfolgt jährlich zu einem Stichtag eine Gap-Analyse, ob die eingesetzte Technologie noch dem Stand der Technik entspricht, und die Prüfung, ob die organisatorischen Maßnahmen den rechtlichen Anforderungen und der Betriebsorganisation entsprechen.