eRecht24 – ADV-Vertrag (kürzer)

eRecht24 – ADV-Vertrag (kürzer)

ADV-Vertrag
Vereinbarung zur Auftragsdatenverarbeitung
gemäß § 11 BDSG 

Die Vertragsparteien

Unternehmensbezeichnung, Firma

Straße, Hausnummer

PLZ, Stadt

– im Folgenden: Auftraggeber –

und

Unternehmensbezeichnung, Firma

Straße, Hausnummer

PLZ, Stadt

– im Folgenden: Auftragnehmer –

schließen folgenden Vertrag über die Verarbeitung personenbezogener Daten im Auftrag:  

1.     Gegenstand des Vertrags, Allgemeines

  • Gegenstand des vorliegenden ADV-Vertrags (im Folgenden: „Vertrag“) ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (im Folgenden: „Daten“) durch den

(Zutreffendes ankreuzen/ausfüllen)

( ) Die Daten werden dem Auftragnehmer durch den Auftraggeber zum Zwecke der Durchführung des Vertrags vom ______________ (im Folgenden: „Hauptvertrag“) überlassen. (Hinweis: Hauptvertrag ist der Vertrag, der die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer erforderlich macht)

( ) Ein Hauptvertrag zu der vorliegenden Vereinbarung besteht nicht. (Hinweis: Hauptvertrag ist der Vertrag, der die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer erforderlich macht)

  • Art, Zweck und Umfang der vorgesehenen Datenverarbeitung:

 

(Zutreffendes ankreuzen bzw. ausfüllen)

Die Erhebung, Nutzung und/oder Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Durchführung des Hauptvertrags. Art, Zweck und Umfang der Datenverarbeitung im Sinne des vorliegenden Vertrages sind im Hauptvertrag konkret beschrieben und richten sich nach diesem.

Der Leistungsumfang dieses Vertrags umfasst folgende Leistungen/Tätigkeiten:

(möglichst genaue Beschreibung des Aufgabenspektrums, insb. Art, Zweck und Umfang der Aufgaben; umfangreiche Vereinbarungen können im Anhang geregelt werden, auf den an dieser Stelle dann zu verweisen ist)

_________________________________________________________

_________________________________________________________

_________________________________________________________

  • Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten verarbeitet

(bitte Zutreffendes ankreuzen/ausfüllen):

die verarbeiteten Datenarten ergeben sich aus dem Hauptvertrag, dort unter:

_____________________________________________

(Fundstelle im Hauptvertrag angeben, z.B. Ziffer oder Paragraph)

oder

  • Mitarbeiterdaten
  • Personenstammdaten
  • Gesundheitsdaten
  • Kundendaten
  • Kundenhistorie
  • Kommunikationsdaten (z.B. Telefon, Telefax, E-Mail)
  • Daten aus empirischen Untersuchungen (z.B. Befragungen)
  • Vertragsdaten
  • Bestelldaten
  • Abrechnungs- und Zahlungsdaten
  • Auskunftsangaben von Dritten (z.B. aus öffentlichen Verzeichnissen)
  • _______________________________________
  • (sonstige Datenarten)
  • Bei dem Kreis der von der Datenverarbeitung Betroffenen Personen handelt es sich um:

(bitte Zutreffendes ankreuzen/ausfüllen; Mehrfach-Ankreuzen mgl.):

  • die betroffenen Personenkreise ergeben sich aus dem Hauptvertrag, dort unter:

_____________________________________________

(Fundstelle im Hauptvertrag angeben, z.B. Ziffer oder Paragraph)

oder

  • Auftraggeber
  • Interessenten
  • Kunden
  • Lieferanten
  • Handelsvertreter
  • Systemnutzer
  • Abonnenten
  • Mitarbeiter, Personal
  • Stellenbewerber
  • _______________________________________
  • (sonstige Betroffene)

 

  • Der Auftraggeber hat den unterzeichnenden Auftragnehmer sorgfältig und gewissenhaft und im Einklang mit den bestehenden gesetzlichen Vorschriften – insbesondere unter Beachtung seiner Pflichten nach § 11 BDSG – ausgewählt.
  • Die Überlassung von Daten und die Auftragsdatenverarbeitung dürfen nicht vor Abschluss der schriftlichen Auftragserteilung des Auftraggebers ggü. dem Auftragnehmer beginnen, welche durch den vorliegenden Vertrag
  • Die vom Auftraggeber überlassenen Daten dürfen vom Auftragnehmer ausschließlich zur Erfüllung des vereinbarten Vertragszwecks verarbeitet, erhoben oder genutzt werden.
  • Die Erhebung, Nutzung und Verarbeitung der Daten durch den Auftragnehmer findet in Deutschland oder in den Mitgliedstaaten der Europäischen Union (EU) im Gemeinsamen Europäischen Wirtschaftsraum (EWR) statt. Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (d.h. Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen darf dies nicht ohne schrift-

liche Einwilligung des Auftraggebers erfolgen. Darüber hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen (insb. §§ 4b, 4c BDSG) und vertraglichen Pflichten eingehalten werden. Verlegt der Auftragnehmer seinen Sitz in ein Drittland gilt das zuvor Gesagte entsprechend.

2.     Dauer des Auftrags (Laufzeit) und Kündigung

  • Die Parteien vereinbaren folgende Laufzeit für den vorliegenden Vertrag:

(Zutreffendes ankreuzen/ausfüllen; kein Mehrfachankreuzen)

  • Die Laufzeit des vorliegenden Vertrags richtet sich nach der Laufzeit des Hauptvertrags.
  • Der Vertrag wird zur einmaligen Ausführung der oben definierten Leistung(en) erteilt und endet nach der Ausführung dieser Leistung(en).
  • Die Laufzeit dieses ADV-Vertrags beginnt am ____________ und entet am
    • ____________.
  • Der Vertrag wird auf unbestimmte Zeit geschlossen und endet mit Kündigung.
  • ____________________________________________________________
    • (Anderweitige Vereinbarung)

Die Parteien sind sich darüber im Klaren, dass die Auftragsdatenverarbeitung nicht ohne einen gültigen schriftlich geschlossenen ADV erfolgen darf, sodass die Auftragsdatenverarbeitung im Falle der Beendigung des vorliegenden Vertrags bis zum Abschluss eines neuen ADV-Vertrags nicht erfolgen darf.

  • Der ist Vertrag mit einer Frist von ________ Wochen zum Monatsende kündbar.
  • Das Recht zur fristlosen Kündigung bleibt von den vorliegenden Ziffern unberührt. Ein Recht zur fristlosen Kündigung ist insbesondere im Falle von schweren, vorsätzlichen und/oder wiederholten Verstößen gegen vertragliche oder gesetzliche Datenschutzbestimmungen gegeben. Ein schwerer Verstoß liegt insbesondere vor, wenn der Auftragnehmer den Weisungen des Auftraggebers

– gleich aus welchem Grund – nicht nachkommt oder Kontrollen durch den Auftraggeber oder die zuständigen Aufsichtsbehörden nicht unterstützt, behindert oder erschwert.

3.     Pflichten des Auftragnehmers

  • Der Auftragnehmer hat seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten in erforderlichem Umfang gesichert und vor dem Zugriff unbefugter Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird der Auftragnehmer mit dem Auftraggeber im Vorfeld abstimmen.
  • Der Auftragnehmer verpflichtet sich die Daten ausschließlich im Rahmen dieses Vertrags und (sofern vorhanden) des Hauptvertrages und/oder zur Umsetzung der Weisungen des Auftraggebers zu erheben/zu verarbeiten/zu nutzen. Eine darüberhinausgehende Erhebung, Verarbeitung oder Nutzung ist dem Auftragnehmer untersagt.
  • Der Auftragnehmer stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen des Bundesdatenschutzgesetzes (insb. das Datengeheimnis im Sinne des § 5 BDSG) und mit den weiteren Datenschutzbestimmungen vertraut gemacht wurden. Der Auftraggeber hat den Auftragnehmer in diesem Zusammenhang ggf. über besondere Geheimhaltungspflichten zu informieren.
  • Der Auftragnehmer versichert, dass er einen betrieblichen Datenschutzbeauftragten im Sinne von 4f BDSG bestellt hat und wird diesen unter Angabe seiner Kontaktdaten zu benennen. Im Falle der Bestellung eines neuen Datenschutzbeauftragten sind dem Auftraggeber dessen Kontaktdaten unverzüglich mitzuteilen. Besteht aufseiten des Auftragnehmers keine Pflicht zur Bestellung eines Datenschutzbeauftragen, ist dies vom Auftragnehmer nachzuweisen; in diesem Fall muss er jedoch ggf. belegen, dass betriebliche Regelungen bestehen, die die vertragsgemäße Verarbeitung der Daten gewährleisten.
  • Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an den Auftraggeber verweisen. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
  • Der Auftraggeber wird allen landes- und bundesrechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Er wird insbesondere die nach
  • 9 BDSG notwendigen technischen und organisatorischen Maßnahmen verwirklichen.
  • Der Auftragnehmer hat den Mitteilungspflichten dieses Vertrags Folge zu leisten.
  • Der Auftragnehmer wird die Erfüllung seiner Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise

4.     Technische und organisatorische Maßnahmen gemäß § 9 BDSG

  • Der Auftragnehmer verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten im Sinne des § 9 BDSG zu treffen. Die einzelnen zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen ergeben sich aus Anlage 2 zu diesem
  • Der Auftragnehmer wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf.
  • Die Parteien sind sich darüber einig, dass die technischen und organisatorischen Maßnahmen aufgrund rechtlicher, technischer oder tatsächlicher Änderungen ggf. modifiziert werden müssen. Hierbei sind wesentliche Änderungen, durch die datenschutzrechtliche Belange beeinträchtigt werden können, mit dem Auftraggeber abzustimmen. Andere Maßnahmen, durch die keine Einschränkung datenschutzrechtlicher Belange zu befürchten ist, können vom Auftragnehmer auch ohne Abstimmung vorgenommen werden. In jedem Fall ist dem Auftragnehmer auf Anfrage jederzeit eine aktuelle Auflistung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen vorzulegen.

5.     Datengeheimnis im Sinne des § 5 BDSG

  • Auf die Bestimmungen zum Datengeheimnis in § 5 BDSG und § 88 TKG wird hiermit hingewiesen. Der Auftragnehmer versichert, dass ihm diese bekannt sind. Der Auftragnehmer muss darüber hinaus dafür sorgen, dass alle Personen, die von ihm zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, auf das Datenschutzgeheimnis verpflichtet und über die besonderen Weisungs- und Zweckbindungen und ggf. besondere Datenschutzpflichten oder Geheimhaltungspflichten belehrt werden. Der Auftragnehmer wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 1UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Personen müssen ferner darauf hingewiesen werden, dass die sich aus dem Datengeheimnis ergebenden Pflichten auch nach der Beendigung der Tätigkeit fortbestehen. Bestehen besondere Geheimhaltungsregeln hinsichtlich der vertragsgegenständlichen Daten, hat der Auftraggeber den Auftragnehmer hierüber in Kenntnis zu
  • Der Auftragnehmer versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt
  • Gesetzliche Offenbarungspflichten des Auftragnehmers bleiben von dieser Norm unberührt.

6.     Mitteilungspflichten des Auftragnehmers

  • Der Auftragnehmer verpflichtet sich, jeden Verstoß gegen datenschutzrechtliche Bestimmungen, gegen diesen Vertrag und/oder die Weisungen des Auftraggebers unverzüglich mitzuteilen. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragnehmer selbst, einer bei ihm angestellten Person, einem Unterauftragnehmer oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten ggü. dem Auftragnehmer eingesetzt hat, begangen wurde. Der Auftragnehmer ist insbesondere verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informationspflichten (insb. 42a BDSG) zu unterstützen.
  • Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Kontrollhandlungen oder sonstige Maßnahmen einer Aufsichtsbehörde im Sinne des § 38 BDSG bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten Daten betroffen sein

7.     Pflichten des Auftraggebers

  • Der Auftraggeber ist die für die Datenverarbeitung durch den Auftragnehmer verantwortliche Stelle im Sinne des 3 Abs. BDSG. In dieser Rolle ist er insbesondere für die Rechtmäßigkeit und Zulässigkeit der Datenverarbeitung und die Wahrung der Betroffenenrechte verantwortlich. In diesem Zusammenhang ist der Auftraggeber insbesondere für die Schaffung der Voraussetzungen verantwortlich, die den Auftragnehmer zur rechtsverletzungsfreien Erbringung seiner Leistungen befähigen (insb. Einholung von Einwilligungserklärungen bei den Betroffenen).
  • Der Auftraggeber hat vor Beginn der Datenverarbeitung und regelmäßig während der Vertragslaufzeit die Einhaltung vertraglichen und gesetzlichen Datenschutzvorschriften zu kontrollieren. Dies betrifft insbesondere die Einhaltung der technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG. Die Ergebnisse dieser Kontrollen sind vom Auftraggeber zu
  • Der Auftraggeber kann darüber hinaus vor während und nach der Datenverarbeitung bzw. vor, während oder nach der Vertragslaufzeit die Löschung, Berichtigung, Sperrung oder Herausgabe der betreffenden Daten verlangen. Der Auftragnehmer hat einer dahingehenden Weisung unverzüglich Folge zu leisten.

8.     Kontrollrechte des Auftraggebers

  • Der Auftraggeber ist berechtigt und verpflichtet, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Schutz personenbezogener Daten vor Beginn der Datenverarbeitung und sodann während der Vertragslaufzeit regelmäßig und jederzeit im erforderlichen Umfang zu kontrollieren. Von dieser Kontrollbefugnis sind insbesondere die Einhaltung der Weisungen des Auftraggebers und die Verwirklichung der erforderlichen technischen und organisatorischen Maßnahmen im Sinne des 9 BDSG umfasst. Auf Verlangen des Auftraggebers hat der Auftragnehmer zudem Einsicht in die vom Auftragnehmer zur Durchführung des Auftrags verwendeten Datenverarbeitungsprogramme bzw. -systeme zu ermöglichen.
  • Der Auftragnehmer hat die Kontrollmaßnahmen zu unterstützen und zu dulden (§ 11 2 Ziff. BDSG). Er ist ggü. dem Auftraggeber insbesondere zur vollständigen und wahrheitsgemäßen Auskunftserteilung verpflichtet, soweit dies für die Durchführung der in dieser Ziffer genannten Kontrollen erforderlich ist.
  • Im Rahmen der Kontrollen im Sinne dieser Ziffer sind Störungen des Betriebsablaufs des Auftragnehmers so weit wie möglich zu vermeiden. Insbesondere sollen Besichtigungen der Betriebsstätte des Auftragnehmers in der Regel mit einer angemessenen Vorlauffrist angekündigt werden und zu den jeweils üblichen Geschäftszeiten vorgenommen werden, sofern dies dem Erfolg der Kontrollmaßnahme nicht entgegensteht. Steht der Verdacht eines Verstoßes gegen gesetzliche oder vertragliche Datenschutzbestimmungen im Raum, kann die Kontrolle – inklusive der Betriebsbesichtigung – ohne Voranmeldung erfolgen, wobei auf die Verhältnismäßigkeit der Kontrollmaßnahme zu achten ist.
  • Im Falle von Unregelmäßigkeiten oder Verstößen bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich hierüber in Kenntnis setzen und geeignete Maßnahmen ergreifen Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
  • Der Auftraggeber dokumentiert die Ergebnisse der

9.     Weisungsbefugnis des Auftraggebers

  • Der Auftragnehmer ist verpflichtet, die Daten ausschließlich im Rahmen dieses Vertrags sowie im Rahmen der Weisungen des Auftraggebers zu erheben, zu nutzen oder zu verarbeiten. Wird eine Weisung erteilt ist diese unverzüglich umzusetzen. Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen diesen Vertrag oder sonstige datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber hierauf unverzüglich hinzuweisen (§ 11 3 BDSG). Wird eine solche Weisung erteilt, ist der Auftragnehmer berechtigt, deren Ausführung auszusetzen, bis der Auftraggeber diese bestätigt oder ändert.
  • Der Auftraggeber ist jederzeit berechtigt, den Auftragsgegenstand nach Art, Umfang und Verfahren durch Weisungen (mündlich, schriftlich oder in Textform) zu konkretisieren/modifizieren sowie sonstige im Zusammenhang mit der Verarbeitung personenbezogener Daten stehende Weisungen zu erteilen. Im Falle einer mündlichen Weisung ist diese unverzüglich schriftlich oder in Textform durch den Auftraggeber zu bestätigen. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung zu notieren und den Grund zu benennen, warum keine schriftliche Weisung erfolgen
  • Der Auftraggeber benennt folgende weisungsberechtigte(n) Person(en) (optional):

_______________________________________________________________

Änderungen oder Abbestellungen der benannten weisungsberechtigten Person(en) sind dem Auftragnehmer schriftlich oder in Textform mitzuteilen.

10.  Berichtigung, Löschung und Sperrung der Daten

  • Die Vernichtung nicht mehr benötigter personenbezogener Daten darf nur nach vorheriger Zustimmung des Auftraggebers Im Übrigen kann der Auftraggeber vor während oder nach Beendigung der Vertragslaufzeit die Berichtigung, Löschung, Sperrung oder Herausgabe der Daten verlangen. Der Auftragnehmer hat einer entsprechenden Weisung unverzüglich Folge zu leisten.
  • Ersucht ein Betroffener den Auftragnehmer um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber
  • Der Auftragnehmer wird den Auftraggeber bei der Erfüllung von dessen Pflichten ggü. den Betroffenen unterstützen und dessen Weisungen Folge

11.  Einsatz von Unterauftragnehmern (Subunternehmer)

  • Der Auftragnehmer ist grundsätzlich nur mit schriftlicher Zustimmung des Auftraggebers zum Einsatz von Unterauftragnehmern (Subunternehmer) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse des Auftragnehmers sind diesem Vertrag in Anlage 1 beigefügt. Für die in Anlage 1 aufgezählten Subunternehmer gilt die schriftliche Einwilligung mit Unterzeichnung dieses Vertrags als
  • Die Handlungen des Unterauftragnehmers, die mit der Vertragsdurchführung in Zusammenhang stehen, werden dem Auftragnehmer wie eigene Handlungen zugerechnet.
  • Der Auftragnehmer wird seine Unterauftragnehmer sorgfältig und gewissenhaft auswählen, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zum Auftraggeber nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen sicher, dass der Subunternehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Sinne des § 9 BDSG getroffen hat. Der Auftragnehmer hat zudem sicherzustellen, dass die vom Auftraggeber erteilten Weisungen und die vertraglichen Vereinbarungen zwischen Auftraggeber und Auftragnehmer auch von den Subunternehmern befolgt werden. Die Einhaltung dieser Pflichten wird vom Auftragnehmer regelmäßig kontrolliert und dokumentiert.
  • Der Auftragnehmer hat sich von seinen Unterauftragnehmern bestätigen zu lassen, dass diese einen betrieblichen Datenschutzbeauftragten im Sinne von 4f BDSG bestellt haben. Wenn kein Datenschutzbeauftragter bestellt wurde oder ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist der Auftraggeber vom Auftragnehmer über diesen Umstand zu unterrichten.
  • Sämtliche Verträge zwischen Auftragnehmer und Unterauftragnehmer (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen des § 11 BDSG genügen. Die Subunternehmerverträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontrollbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Umfang auch ggü. den Unterauftragnehmern ausgeübt werden können.
  • Der Auftragnehmer ist im Falle einer entsprechenden Aufforderung des Auftragnehmers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen oder Kontrollergebnisse des Auftragnehmers einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
  • Dienstleistungen, die der Auftragnehmer als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reinigungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Kurierdienste, sonstige Transportleistungen und Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss der Auftragnehmer jedoch die erforderlichen organisatorischen und technischen Vorkehrungen zum

Schutz personenbezogener Daten treffen. Wartungs- und Prüfungsdienstleistungen im Sinne des § 11 Abs. 5 gelten als zustimmungsbedürftige Unteraufträge, sofern hiervon diejenigen IT-Systeme umfasst sind, die auch zur Erbringung der vertragsgegenständlichen Leistung genutzt werden.

  • Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen darf dies nicht ohne schriftliche Einwilligung des Auftraggebers erfolgen. Über die in den vorangegangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen (insb. § 4b, 4c BDSG) und vertraglichen Pflichten eingehalten werden.

12.  Rückgabe und Löschung der Daten und Datenträger nach Vertragsbeendigung

  • Nach Vertragsbeendigung ist der Auftraggeber verpflichtet, sämtliche im Zusammenhang mit dem Auftrag erlangten Datenbestände, Nutzungs- und Verarbeitungsergebnisse sowie Datenträger an den Auftraggeber auszuhändigen und/oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial sowie ggf. beim Auftraggeber verbliebene Datensicherungen. Der Auftragnehmer hat die Vernichtung der Daten in geeigneter Weise zu
  • Der Auftraggeber ist berechtigt, die Maßnahmen des Auftragnehmers nach Absatz 1 in geeigneter Weise zu kontrollieren. Hierzu ist er insbesondere berechtigt, die Protokolle über die Vernichtung der Daten einzusehen, sowie die betreffenden Datenverarbeitungsanlagen und die Betriebstätte des Auftragnehmers in Augenschein zu Die Besichtigung der Betriebsstätte soll zu den regulären Geschäftszeiten erfolgen und ist ggü. dem Auftragnehmer rechtzeitig anzukündigen, sofern dies den Erfolg der Kontrollmaßnahme nicht gefährdet.
  • Von der Löschungspflicht werden der Schriftwechsel und die nach den gesetzlichen Vorschriften aufzubewahrenden Dokumente oder Vertragsunterlagen oder sonstige für den Auftragnehmer bestimmte Unterlagen nicht erfasst. Für diese Dokumente gelten die ggf. einschlägigen Aufbewahrungsfristen. Weitergehende Löschungsansprüche bleiben von der vorliegenden Ziffer unberührt.

13.  Schlussbestimmungen

  • Der Auftragnehmer verzichtet hinsichtlich der ihm zum Zwecke der Vertragsdurchführung überlassenen Daten und Datenträger auf sein Zurückbehaltungsrecht im Sinne von § 273
  • Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen Vereinbarung, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.
  • Sollten einzelne Regelungen dieses Vertrags unwirksam sein, bleibt der Rest dieser Vereinbarung hiervon unberührt.
  • Sämtliche Anlagen zu diesem Vertrag sind

 

_______________, den ___________                _______________, den ___________

Ort                                                Datum               Ort                                               Datum

_____________________________                ____________________________

Unterschrift (Auftraggeber)                                        Unterschrift (Auftragnehmer)

 

Anlage 1 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses

(Unternehmens-) Name und Anschrift Beschreibung der LeistungOrt der Leistungserbringung

 

Anlage 2 – Technische und organisatorische Maßnahmen im Sinne von § 9 BDSG 

  1. Maßnahmen die geeignet sind, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)

Es existieren folgende Maßnahmen zur Zutrittskontrolle:

  • Sicherung des Geländes (Umzäunung, Wachschutz etc.)
  • Beschränkter Zugang zum Gebäude durch Personenkontrolle am Einlass
  • Beschränkter Zugang zum Gebäude nur mit Berechtigungsausweis
  • Protokollierung der Besucher
  • Sicherung von Gebäudeschächten
  • Manuelles Schließsystem
  • Sicherheitsschlösser
  • Türsicherung (z.B. elektrische Türöffner)
  • Fenstersicherung (z.B. Sicherheitsverglasung)
  • Automatische Schließsysteme (Transponder, Chip- oder Magnetkarten; Code-Sperre)
  • Bewegungsmelder
  • Alarmanlage(n)
  • Videoüberwachung an den Zugängen
  • Biometrische Zugangssperren
  • Pförtner, Wachpersonal
  • Schlüsselabgabe beim Pförtner/am Einlass
  • Personenkontrolle am Einlass
  • Sorgfältige Personalauswahl (insb. Reinigungskräfte, Sicherheitspersonal)
  • Ausstellung Mitarbeiter- und Besucherausweis
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)

Es existieren folgende Maßnahmen zur Zugangskontrolle:

  • Passwortgesicherte Benutzerprofile
  • Individuelle Benutzerprofile mit definierten/beschränkten Nutzerrechten
  • Passwortsystem (Mindestlänge, Sonderzeichen, regelmäßiger Kennwortwechsel)
  • Biometrische Benutzeridentifikation
  • Einsatz von Anti-Viren-Software
  • Einsatz von Firewalls
  • Einsatz von Virtual Private Networks (VPN-Systeme)
  • Einsatz von Mobile-Device-Management
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Laptops
  • Verschlüsselung von Smartphones und sonstiger mobile Datenträger
  • Gehäuseverriegelung
  • Sperrung externer Schnittstellen (USB, Bluetooth usw.)
  • Protokollierung der Besucher
  • Sorgfältige Personalauswahl (insb. Reinigungskräfte, Sicherheitspersonal)
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)

Es existieren folgende Maßnahmen zur Zugriffskontrolle:

  • Berechtigungskonzept
  • Passwortbasierte Benutzererkennung
  • Passwortsystem (Mindestlänge, Sonderzeichen, regelmäßiger Kennwortwechsel)
  • Kontrolle durch Systemadministratoren
  • Beschränkung der Anzahl an Systemadministratoren auf das notwendige Minimum
  • Verschlüsselung der Datenträger
  • Ordnungsgemäße Vernichtung der Datenträger
  • Ordnungsgemäße Löschung von Daten vor Wiederverwendung von Datenträgern
  • Protokollierung der Datenvernichtung
  • Protokollierung der Zugriffe auf die Daten
  • Physische Sicherung der Datenträger (z.B. Verschlossener Raum)
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)

Es existieren folgende Maßnahmen zur Weitergabekontrolle

  • Fax-Protokolle
  • Verschlüsselung der Daten
  • E-Mail-Verschlüsselung
  • Einrichtung von VPN-Tunnel
  • Einrichtung von Standleitungen
  • Sicherung beim physischen Transport (z.B. sichere Behälter/Verpackungen, geeignetes Transportpersonal und Transportmittel)
  • Protokollierung der Datenübermittlung / des Datenabrufs
  • Erstellung von Übersichten mit regelmäßigen Abruf- und Übermittlungsvorgängen
  • Anonymisierung / Pseudonymisierung der Daten vor Weitergabe
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)

Es existieren folgende Maßnahmen zur Eingabekontrolle:

  • Benutzeridentifikation (z.B. Benutzerprofile, Passwörter etc.)
  • Definition / Beschränkung der Eingabe-, Änderungs- und Löschungsrechte für Daten
  • Berechtigungskonzept für Eingabe, Änderung und Löschung von Daten
  • Protokollierung/Dokumentation von Eingabe, Änderung, Löschung von Daten
  • Identifizierbarkeit derjenigen Personen, die Daten eingeben, ändern oder bearbeiten (z.B. durch individuelle und kontrollierbare Benutzerprofile)
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)

Es existieren folgende Maßnahmen zur Auftragskontrolle:

  • ADV-Vertrag unter Einhaltung des § 11 BDSG
  • Sorgfältige Auswahl des Auftragnehmers (insb. bzgl. Datensicherheit)
  • Überprüfung und Dokumentation der beim Auftragnehmer vorhandenen Sicherheitsmaßnahmen vor Vertragsschluss
  • Vertragliche Festlegung effektiver Kontrollrechte des Auftraggebers während der Vertragslaufzeit
  • Regelmäßige Kontrollen des Auftraggebers im Hinblick auf die Auftragsdatenverarbeitung
  • Umfassende Weisungsbefugnis des Auftraggebers hinsichtlich der im Auftrag verarbeiteten Daten ggü. dem Auftragnehmer und dessen Unterauftragnehmern
  • Vorhandensein eines Datenschutzbeauftragten beim Auftragnehmer
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis nach § 5 BDSG
  • Vertragsstrafen
  • __________________________________________________________
  • (sonstige Maßnahmen)
  1. Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)

Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:

  • Brandschutzmaßnahmen (Feuer- und Rauchmelder, Feuerlöscher etc.)
  • Unterbrechungsfreie Stromversorgung
  • Überspannungsschutz
  • Klimaanlage in den Serverräumen
  • Physische Sicherung der Datenträger (Schutz vor Diebstahl)
  • Backup-Konzept
  • Regelmäßige Datensicherung
  • Separate und sichere Aufbewahrung der Datensicherung
  • Virenschutz
  • __________________________________________________________

(sonstige Maßnahmen)

  1. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle)

Es existieren folgende Maßnahmen zur Trennungskontrolle:

  • Berechtigungskonzept
  • Speicherung der Daten auf separaten Systemen oder Datenträgern
  • Beschränkung des Datenzugriffs durch die Mitarbeitet
  • Getrennte Datenbanken
  • Trennung von Produktiv- und Testsystemen
  • __________________________________________________________

(sonstige Maßnahmen)

0 Comments

Leave a reply

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*