eRecht24 Muster-Vereinbarung zur Auftragsdatenverarbeitung

eRecht24 Muster-Vereinbarung zur Auftragsdatenverarbeitung

ADV-Vertrag

Muster-Vereinbarung zur Auftragsdatenverarbeitung gemäߧ 11 BDSG

3 wichtige Hinweise zur Benutzung dieses Vertragsmusters

  1. Das vorliegende Dokument ist als Muster-Text für Verträge über die Auftragsdatenverarbeitung gedacht und muss im Einzelfall ggf. angepasst werden. Da die Materie sehr komplex ist und die Aus- gangslage in fast jedem Fall eine andere ist können wir ohne indivi- duelle Beratung und Prüfung keine Haftung übernehmen.
  2. Der ADV-Vertrag gilt nur für Verträge, die zwischen mit einem Auftragnehmer (Auftragsdatenverarbeiter) mit Sitz in einem Mit- gliedstaat der Europäischen Union (EU) oder in einem Mitglied- staat des Europäischen Wirtschaftsraums (EWR umfasst Island, Lichtenstein und Norwegen). ADV-Verträge mit Unternehmen die nicht in der EU/ EWR sitzen bzw. Daten dorthin übertragen und speichern erfordern eine individuelle Rechtsberatung.
  3. ADV-Verträge müssen zwingend schriftlich abgeschlossen wer- den. Beide Parteien müssen unterschreiben, jede Partei benötigt ein Original mit den Original-Unterschriften.

Muster-Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG

Die Vertragsparteien

Unternehmensbezeichnung, Firma

Straße, Hausnummer

PLZ, Stadt

– im Folgenden: Auftraggeber –

und

Unternehmensbezeichnung, Firma

Straße, Hausnummer

PLZ, Stadt

– im Folgenden: Auftragnehmer –

schließen folgenden Vertrag über die Verarbeitung personenbezogener Daten im Auftrag:

  1. Gegenstand des Vertrags, Allgemeines
    1. Gegenstand des vorliegenden ADV-Vertrags (im Folgenden: „Vertrag“) ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (im Folgen- den: „Daten“) durch den Auftragnehmer.
      (Zutreffendes ankreuzen/ausfüllen)
  • ( ) Die Daten werden dem Auftragnehmer durch den Auftraggeber zum Zwecke der Durchführung des Vertrags vom ______________ (im Fol- genden: „Hauptvertrag“) überlassen. (Hinweis: Hauptvertrag ist der Vertrag, der die Erhebung, Verarbeitung oder Nutzung personenbezo- gener Daten durch den Auftragnehmer erforderlich macht)
  • ( ) Ein Hauptvertrag zu der vorliegenden Vereinbarung besteht nicht. (Hinweis: Hauptvertrag ist der Vertrag, der die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer er- forderlich macht)
  • Art, Zweck und Umfang der vorgesehenen Datenverarbeitung:(Zutreffendes ankreuzen bzw. ausfüllen)
    • Die Erhebung, Nutzung und/oder Verarbeitung personenbezogener Da- ten erfolgt ausschließlich zur Durchführung des Hauptvertrags. Art, Zweck und Umfang der Datenverarbeitung im Sinne des vorliegenden Vertrages sind im Hauptvertrag konkret beschrieben und richten sich nach diesem.
    • Der Leistungsumfang dieses Vertrags umfasst folgende Leistun- gen/Tätigkeiten:
      (möglichst genaue Beschreibung des Aufgabenspektrums, insb. Art, Zweck und Umfang der Aufgaben; umfangreiche Vereinbarungen können im An- hang geregelt werden, auf den an dieser Stelle dann zu verweisen ist)__________________________________________________________________________________________________________________
  • Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten verarbeitet
    (bitte Zutreffendes ankreuzen/ausfüllen):

    • die verarbeiteten Datenarten ergeben sich aus dem Hauptvertrag, dort unter:_____________________________________________
      (Fundstelle im Hauptvertrag angeben, z.B. Ziffer oder Paragraph)oder
    • Mitarbeiterdaten
    • Personenstammdaten
    • Gesundheitsdaten
    • Kundendaten
    • Kundenhistorie
    • Kommunikationsdaten (z.B. Telefon, Telefax, E-Mail)
    • Daten aus empirischen Untersuchungen (z.B. Befragungen)
    • Vertragsdaten
    • Bestelldaten
    • Abrechnungs- und Zahlungsdaten
    • Auskunftsangaben von Dritten (z.B. aus öffentlichen Verzeichnissen)
    • _______________________________________(sonstige Datenarten)
  • Bei dem Kreis der von der Datenverarbeitung Betroffenen Personen handelt es sich um:
    (bitte Zutreffendes ankreuzen/ausfüllen; Mehrfach-Ankreuzen mgl.):

    • die betroffenen Personenkreise ergeben sich aus dem Hauptvertrag, dort unter:_____________________________________________
      (Fundstelle im Hauptvertrag angeben, z.B. Ziffer oder Paragraph)oder
    • Auftraggeber
    • Interessenten
    • Kunden
    • Lieferanten
    • Handelsvertreter
    • Systemnutzer
    • Abonnenten
    • Mitarbeiter, Personal
    • Stellenbewerber
    • _______________________________________
      (sonstige Betroffene)
  • Der Auftraggeber hat den unterzeichnenden Auftragnehmer sorgfältig und ge- wissenhaft und im Einklang mit den bestehenden gesetzlichen Vorschriften – insbesondere unter Beachtung seiner Pflichten nach § 11 BDSG – ausgewählt.
  • Die Überlassung von Daten und die Auftragsdatenverarbeitung dürfen nicht vor Abschluss der schriftlichen Auftragserteilung des Auftraggebers ggü. dem Auf- tragnehmer beginnen, welche durch den vorliegenden Vertrag erfolgt.
  • Die vom Auftraggeber überlassenen Daten dürfen vom Auftragnehmer aus- schließlich zur Erfüllung des vereinbarten Vertragszwecks verarbeitet, erhoben oder genutzt werden.
  • Die Erhebung, Nutzung und Verarbeitung der Daten durch den Auftragnehmer findet in Deutschland oder in den Mitgliedstaaten der Europäischen Union (EU) bzw. im Gemeinsamen Europäischen Wirtschaftsraum (EWR) statt. Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (d.h. Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen darf dies nicht ohne schrift-liche Einwilligung des Auftraggebers erfolgen. Darüber hinaus hat er für ein an- gemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle ge- setzlichen (insb. §§ 4b, 4c BDSG) und vertraglichen Pflichten eingehalten wer- den. Verlegt der Auftragnehmer seinen Sitz in ein Drittland gilt das zuvor Gesagte entsprechend.
  • Dauer des Auftrags (Laufzeit) und Kündigung
    1. Die Parteien vereinbaren folgende Laufzeit für den vorliegenden Vertrag:
      (Zutreffendes ankreuzen/ausfüllen; kein Mehrfachankreuzen)

      • Die Laufzeit des vorliegenden Vertrags richtet sich nach der Laufzeit des Hauptvertrags.
      • Der Vertrag wird zur einmaligen Ausführung der oben definierten Leis- tung(en) erteilt und endet nach der Ausführung dieser Leistung(en).
      • Die Laufzeit dieses ADV-Vertrags beginnt am ____________ und entet am____________.
      • Der Vertrag wird auf unbestimmte Zeit geschlossen und endet mit Kündigung.
      •  ____________________________________________________________(Anderweitige Vereinbarung)Die Parteien sind sich darüber im Klaren, dass die Auftragsdatenverarbeitung nicht ohne einen gültigen schriftlich geschlossenen ADV erfolgen darf, sodass die Auftragsdatenverarbeitung im Falle der Beendigung des vorliegenden Ver- trags bis zum Abschluss eines neuen ADV-Vertrags nicht erfolgen darf.
    2. Der ist Vertrag mit einer Frist von ________ Wochen zum Monatsende kündbar.
    3. Das Recht zur fristlosen Kündigung bleibt von den vorliegenden Ziffern unbe- rührt. Ein Recht zur fristlosen Kündigung ist insbesondere im Falle von schwe- ren, vorsätzlichen und/oder wiederholten Verstößen gegen vertragliche oder gesetzliche Datenschutzbestimmungen gegeben. Ein schwerer Verstoß liegt insbesondere vor, wenn der Auftragnehmer den Weisungen des Auftraggebers– gleich aus welchem Grund – nicht nachkommt oder Kontrollen durch den Auf- traggeber oder die zuständigen Aufsichtsbehörden nicht unterstützt, behindert oder erschwert.
  • Pflichten des Auftragnehmers
    1. Der Auftragnehmer hat seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten in erforderlichem Umfang gesichert und vor dem Zugriff unbefugter Dritter gesichert sind. Sicherheitserhebliche Änderun- gen der Betriebsabläufe wird der Auftragnehmer mit dem Auftraggeber im Vor- feld abstimmen.
    2. Der Auftragnehmer verpflichtet sich die Daten ausschließlich im Rahmen dieses Vertrags und (sofern vorhanden) des Hauptvertrages und/oder zur Umsetzung der Weisungen des Auftraggebers zu erheben/zu verarbeiten/zu nutzen. Eine darüberhinausgehende Erhebung, Verarbeitung oder Nutzung ist dem Auftrag- nehmer untersagt.
    3. Der Auftragnehmer stellt sicher, dass die im Einzelfall mit der Datenverarbei- tung befassten Personen mit den Schutzbestimmungen des Bundesdaten- schutzgesetzes (insb. das Datengeheimnis im Sinne des § 5 BDSG) und mit den weiteren Datenschutzbestimmungen vertraut gemacht wurden. Der Auf- traggeber hat den Auftragnehmer in diesem Zusammenhang ggf. über beson- dere Geheimhaltungspflichten zu informieren.
    4. Der Auftragnehmer versichert, dass er einen betrieblichen Datenschutzbeauf- tragten im Sinne von § 4f BDSG bestellt hat und wird diesen unter Angabe sei- ner Kontaktdaten zu benennen. Im Falle der Bestellung eines neuen Daten- schutzbeauftragten sind dem Auftraggeber dessen Kontaktdaten unverzüglich mitzuteilen. Besteht aufseiten des Auftragnehmers keine Pflicht zur Bestellung eines Datenschutzbeauftragen, ist dies vom Auftragnehmer nachzuweisen; in diesem Fall muss er jedoch ggf. belegen, dass betriebliche Regelungen beste- hen, die die vertragsgemäße Verarbeitung der Daten gewährleisten.
    5. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Be- troffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Be- troffenen an den Auftraggeber verweisen. Darüber hinaus hat der Auftragneh- mer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
    6. Der Auftraggeber wird allen landes- und bundesrechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Er wird insbesondere die nach§ 9 BDSG notwendigen technischen und organisatorischen Maßnahmen ver- wirklichen.
    7. Der Auftragnehmer hat den Mitteilungspflichten dieses Vertrags Folge zu leis- ten.
    8. Der Auftragnehmer wird die Erfüllung seiner Pflichten regelmäßig und selbst- ständig kontrollieren und in geeigneter Weise dokumentieren.
  • Technische und organisatorische Maßnahmen gemäß § 9 BDSG
    1. Der Auftragnehmer verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten im Sinne des § 9 BDSG zu treffen. Die einzelnen zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen ergeben sich aus Anlage 2 zu diesem Vertrag.
    2. Der Auftragnehmer wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.
    3. Die Parteien sind sich darüber einig, dass die technischen und organisatori- schen Maßnahmen aufgrund rechtlicher, technischer oder tatsächlicher Ände- rungen ggf. modifiziert werden müssen. Hierbei sind wesentliche Änderungen, durch die datenschutzrechtliche Belange beeinträchtigt werden können, mit dem Auftraggeber abzustimmen. Andere Maßnahmen, durch die keine Ein- schränkung datenschutzrechtlicher Belange zu befürchten ist, können vom Auf- tragnehmer auch ohne Abstimmung vorgenommen werden. In jedem Fall ist dem Auftragnehmer auf Anfrage jederzeit eine aktuelle Auflistung der vom Auf- tragnehmer getroffenen technischen und organisatorischen Maßnahmen vorzu- legen.
  • Datengeheimnis im Sinne des § 5 BDSG
    1. Auf die Bestimmungen zum Datengeheimnis in § 5 BDSG und § 88 TKG wird hiermit hingewiesen. Der Auftragnehmer versichert, dass ihm diese bekannt sind. Der Auftragnehmer muss darüber hinaus dafür sorgen, dass alle Perso- nen, die von ihm zur Verarbeitung der vertragsgegenständlichen personenbe- zogenen Daten eingesetzt werden, auf das Datenschutzgeheimnis verpflichtet und über die besonderen Weisungs- und Zweckbindungen und ggf. besondere Datenschutzpflichten oder Geheimhaltungspflichten belehrt werden. Der Auf- tragnehmer wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Per- sonen müssen ferner darauf hingewiesen werden, dass die sich aus dem Da- tengeheimnis ergebenden Pflichten auch nach der Beendigung der Tätigkeit fortbestehen. Bestehen besondere Geheimhaltungsregeln hinsichtlich der ver- tragsgegenständlichen Daten, hat der Auftraggeber den Auftragnehmer hier- über in Kenntnis zu setzen.
    2. Der Auftragnehmer versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtli- chen Vorschriften und deren Anwendung bekannt sind.
    3. Gesetzliche Offenbarungspflichten des Auftragnehmers bleiben von dieser Norm unberührt.
  • Mitteilungspflichten des Auftragnehmers
    1. Der Auftragnehmer verpflichtet sich, jeden Verstoß gegen datenschutzrechtliche Bestimmungen, gegen diesen Vertrag und/oder die Weisungen des Auftragge- bers unverzüglich mitzuteilen. Diese Pflicht gilt unabhängig davon, ob der Ver- stoß vom Auftragnehmer selbst, einer bei ihm angestellten Person, einem Un- terauftragnehmer oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten ggü. dem Auftragnehmer eingesetzt hat, begangen wur- de. Der Auftragnehmer ist insbesondere verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informationspflichten (insb. § 42a BDSG) zu un- terstützen.
    2. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Kon- trollhandlungen oder sonstige Maßnahmen einer Aufsichtsbehörde im Sinne des § 38 BDSG bevorstehen, von der auch die Verarbeitung, Nutzung oder Er- hebung der durch den Auftraggeber zur Verfügung gestellten Daten betroffen sein kann.
  • Pflichten des Auftraggebers
    1. Der Auftraggeber ist die für die Datenverarbeitung durch den Auftragnehmer verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG. In dieser Rolle ist er ins- besondere für die Rechtmäßigkeit und Zulässigkeit der Datenverarbeitung und die Wahrung der Betroffenenrechte verantwortlich. In diesem Zusammenhang ist der Auftraggeber insbesondere für die Schaffung der Voraussetzungen ver- antwortlich, die den Auftragnehmer zur rechtsverletzungsfreien Erbringung sei- ner Leistungen befähigen (insb. Einholung von Einwilligungserklärungen bei den Betroffenen).
    2. Der Auftraggeber hat vor Beginn der Datenverarbeitung und regelmäßig wäh- rend der Vertragslaufzeit die Einhaltung vertraglichen und gesetzlichen Daten- schutzvorschriften zu kontrollieren. Dies betrifft insbesondere die Einhaltung der technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG. Die Ergebnisse dieser Kontrollen sind vom Auftraggeber zu protokollieren.
    3. Der Auftraggeber kann darüber hinaus vor während und nach der Datenverar- beitung bzw. vor, während oder nach der Vertragslaufzeit die Löschung, Be- richtigung, Sperrung oder Herausgabe der betreffenden Daten verlangen. Der Auftragnehmer hat einer dahingehenden Weisung unverzüglich Folge zu leis- ten.
  • Kontrollrechte des Auftraggebers
    1. Der Auftraggeber ist berechtigt und verpflichtet, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Schutz personenbezogener Daten vor Be- ginn der Datenverarbeitung und sodann während der Vertragslaufzeit regelmä- ßig und jederzeit im erforderlichen Umfang zu kontrollieren. Von dieser Kon- trollbefugnis sind insbesondere die Einhaltung der Weisungen des Auftraggebers und die Verwirklichung der erforderlichen technischen und orga- nisatorischen Maßnahmen im Sinne des § 9 BDSG umfasst. Auf Verlangen des Auftraggebers hat der Auftragnehmer zudem Einsicht in die vom Auftragnehmer zur Durchführung des Auftrags verwendeten Datenverarbeitungsprogramme bzw. -systeme zu ermöglichen.
    2. Der Auftragnehmer hat die Kontrollmaßnahmen zu unterstützen und zu dulden (§ 11 Abs. 2 Ziff. 7 BDSG). Er ist ggü. dem Auftraggeber insbesondere zur voll- ständigen und wahrheitsgemäßen Auskunftserteilung verpflichtet, soweit dies für die Durchführung der in dieser Ziffer genannten Kontrollen erforderlich ist.
    3. Im Rahmen der Kontrollen im Sinne dieser Ziffer sind Störungen des Be- triebsablaufs des Auftragnehmers so weit wie möglich zu vermeiden. Insbe- sondere sollen Besichtigungen der Betriebsstätte des Auftragnehmers in der Regel mit einer angemessenen Vorlauffrist angekündigt werden und zu den je- weils üblichen Geschäftszeiten vorgenommen werden, sofern dies dem Erfolg der Kontrollmaßnahme nicht entgegensteht. Steht der Verdacht eines Versto- ßes gegen gesetzliche oder vertragliche Datenschutzbestimmungen im Raum, kann die Kontrolle – inklusive der Betriebsbesichtigung – ohne Voranmeldung erfolgen, wobei auf die Verhältnismäßigkeit der Kontrollmaßnahme zu achten ist.
    4. Im Falle von Unregelmäßigkeiten oder Verstößen bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich hierüber in Kenntnis setzen und geeignete Maßnahmen ergreifen bzw. Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
    5. Der Auftraggeber dokumentiert die Ergebnisse der Kontrollen.
  • Weisungsbefugnis des Auftraggebers
    1. Der Auftragnehmer ist verpflichtet, die Daten ausschließlich im Rahmen dieses Vertrags sowie im Rahmen der Weisungen des Auftraggebers zu erheben, zu nutzen oder zu verarbeiten. Wird eine Weisung erteilt ist diese unverzüglich umzusetzen. Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die- sen Vertrag oder sonstige datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber hierauf unverzüglich hinzuweisen (§ 11 Abs. 3 BDSG). Wirdeine solche Weisung erteilt, ist der Auftragnehmer berechtigt, deren Ausführung auszusetzen, bis der Auftraggeber diese bestätigt oder ändert.
    2. Der Auftraggeber ist jederzeit berechtigt, den Auftragsgegenstand nach Art, Umfang und Verfahren durch Weisungen (mündlich, schriftlich oder in Textform) zu konkretisieren/modifizieren sowie sonstige im Zusammenhang mit der Ver- arbeitung personenbezogener Daten stehende Weisungen zu erteilen. Im Falle einer mündlichen Weisung ist diese unverzüglich schriftlich oder in Textform durch den Auftraggeber zu bestätigen. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung zu notieren und den Grund zu benennen, warum keine schriftliche Weisung erfolgen konnte.
    3. Der Auftraggeber benennt folgende weisungsberechtigte(n) Person(en) (optio- nal):_______________________________________________________________Änderungen oder Abbestellungen der benannten weisungsberechtigten Per- son(en) sind dem Auftragnehmer schriftlich oder in Textform mitzuteilen.
  • Berichtigung, Löschung und Sperrung der Daten
    1. Die Vernichtung nicht mehr benötigter personenbezogener Daten darf nur nach vorheriger Zustimmung des Auftraggebers erfolgen. Im Übrigen kann der Auftraggeber vor während oder nach Beendigung der Vertragslaufzeit die Be- richtigung, Löschung, Sperrung oder Herausgabe der Daten verlangen. Der Auftragnehmer hat einer entsprechenden Weisung unverzüglich Folge zu leis- ten.
    2. Ersucht ein Betroffener den Auftragnehmer um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Auftragnehmer die Anfrage unver- züglich an den Auftraggeber weiterleiten.
    3. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung von dessen Pflich- ten ggü. den Betroffenen unterstützen und dessen Weisungen Folge leisten.
  • Einsatz von Unterauftragnehmern (Subunternehmer)
    1. Der Auftragnehmer ist grundsätzlich nur mit schriftlicher Zustimmung des Auf- traggebers zum Einsatz von Unterauftragnehmern (Subunternehmer) berech- tigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunter- nehmerverhältnisse des Auftragnehmers sind diesem Vertrag in Anlage 1 beigefügt. Für die in Anlage 1 aufgezählten Subunternehmer gilt die schriftliche Einwilligung mit Unterzeichnung dieses Vertrags als erteilt.
    2. Die Handlungen des Unterauftragnehmers, die mit der Vertragsdurchführung in Zusammenhang stehen, werden dem Auftragnehmer wie eigene Handlungen zugerechnet.
    3. Der Auftragnehmer wird seine Unterauftragnehmer sorgfältig und gewissen- haft auswählen, sodass deren Einsatz die ordnungsgemäße Vertragsdurchfüh- rung im Verhältnis zum Auftraggeber nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen sicher, dass der Subunternehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Sinne des § 9 BDSG getroffen hat. Der Auftrag- nehmer hat zudem sicherzustellen, dass die vom Auftraggeber erteilten Wei- sungen und die vertraglichen Vereinbarungen zwischen Auftraggeber und Auf- tragnehmer auch von den Subunternehmern befolgt werden. Die Einhaltung dieser Pflichten wird vom Auftragnehmer regelmäßig kontrolliert und dokumen- tiert.
    4. Der Auftragnehmer hat sich von seinen Unterauftragnehmern bestätigen zu lassen, dass diese einen betrieblichen Datenschutzbeauftragten im Sinne von § 4f BDSG bestellt haben. Wenn kein Datenschutzbeauftragter bestellt wurde o- der ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist der Auf- traggeber vom Auftragnehmer über diesen Umstand zu unterrichten.
    5. Sämtliche Verträge zwischen Auftragnehmer und Unterauftragnehmer (Subun- ternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anfor- derungen des § 11 BDSG genügen. Die Subunternehmerverträge haben dar- über hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontrollbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Um- fang auch ggü. den Unterauftragnehmern ausgeübt werden können.
    6. Der Auftragnehmer ist im Falle einer entsprechenden Aufforderung des Auf- tragnehmers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen oder Kontrollergebnisse des Auftragneh- mers einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlan- gen.
    7. Dienstleistungen, die der Auftragnehmer als reine Nebenleistungen zur Aus- übung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unter- aufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reini- gungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Ku- rierdienste, sonstige Transportleistungen und Bewachungsdienste. Auch im Fal- le nicht zustimmungsbedürftiger Nebenleistungen muss der Auftragnehmer je- doch die erforderlichen organisatorischen und technischen Vorkehrungen zumSchutz personenbezogener Daten treffen. Wartungs- und Prüfungsdienstleis- tungen im Sinne des § 11 Abs. 5 gelten als zustimmungsbedürftige Unteraufträ- ge, sofern hiervon diejenigen IT-Systeme umfasst sind, die auch zur Erbringung der vertragsgegenständlichen Leistung genutzt werden.
    8. Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen darf dies nicht ohne schriftliche Einwilligung des Auftraggebers erfolgen. Über die in den vorange- gangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Da- tenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen (insb. §§ 4b, 4c BDSG) und vertraglichen Pflichten eingehalten werden.
  • Rückgabe und Löschung der Daten und Datenträger nach Vertragsbeendigung
    1. Nach Vertragsbeendigung ist der Auftraggeber verpflichtet, sämtliche im Zu- sammenhang mit dem Auftrag erlangten Datenbestände, Nutzungs- und Verar- beitungsergebnisse sowie Datenträger an den Auftraggeber auszuhändigen und/oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial sowie ggf. beim Auftraggeber verbliebene Datensicherungen. Der Auftragnehmer hat die Ver- nichtung der Daten in geeigneter Weise zu protokollieren.
    2. Der Auftraggeber ist berechtigt, die Maßnahmen des Auftragnehmers nach Absatz 1 in geeigneter Weise zu kontrollieren. Hierzu ist er insbesondere be- rechtigt, die Protokolle über die Vernichtung der Daten einzusehen, sowie die betreffenden Datenverarbeitungsanlagen und die Betriebstätte des Auftrag- nehmers in Augenschein zu nehmen. Die Besichtigung der Betriebsstätte soll zu den regulären Geschäftszeiten erfolgen und ist ggü. dem Auftragnehmer rechtzeitig anzukündigen, sofern dies den Erfolg der Kontrollmaßnahme nicht gefährdet.
    3. Von der Löschungspflicht werden der Schriftwechsel und die nach den gesetz- lichen Vorschriften aufzubewahrenden Dokumente oder Vertragsunterlagen o- der sonstige für den Auftragnehmer bestimmte Unterlagen nicht erfasst. Für diese Dokumente gelten die ggf. einschlägigen Aufbewahrungsfristen. Weiter- gehende Löschungsansprüche bleiben von der vorliegenden Ziffer unberührt.
  • Schlussbestimmungen
    1. Der Auftragnehmer verzichtet hinsichtlich der ihm zum Zwecke der Vertrags- durchführung überlassenen Daten und Datenträger auf sein Zurückbehaltungs- recht im Sinne von § 273 BGB.
    2. Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen Vereinbarung, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.
    3. Sollten einzelne Regelungen dieses Vertrags unwirksam sein, bleibt der Rest dieser Vereinbarung hiervon unberührt.
    4. Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.

_______________, den ___________ _______________, den ___________

Ort Datum Ort Datum

_____________________________ ____________________________

Unterschrift (Auftraggeber) Unterschrift (Auftragnehmer)

Anlage 1 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses

(Unternehmens-)Name und AnschriftBeschreibung derLeistungOrt derLeistungserbringung

Anlage 2 – Technische und organisatorische Maßnahmen im Sinne von § 9 BDSG

  1. Maßnahmen die geeignet sind, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
    Es existieren folgende Maßnahmen zur Zutrittskontrolle:

    • Sicherung des Geländes (Umzäunung, Wachschutz etc.)
    • Beschränkter Zugang zum Gebäude durch Personenkontrolle am Einlass
    • Beschränkter Zugang zum Gebäude nur mit Berechtigungsausweis
    • Protokollierung der Besucher
    • Sicherung von Gebäudeschächten
    • Manuelles Schließsystem
    • Sicherheitsschlösser
    • Türsicherung (z.B. elektrische Türöffner)
    • Fenstersicherung (z.B. Sicherheitsverglasung)
    • Automatische Schließsysteme (Transponder, Chip- oder Magnetkarten; Code-Sperre)
    • Bewegungsmelder
    • Alarmanlage(n)
    • Videoüberwachung an den Zugängen
    • Biometrische Zugangssperren
    • Pförtner, Wachpersonal
    • Schlüsselabgabe beim Pförtner/am Einlass
    • Personenkontrolle am Einlass
    • Sorgfältige Personalauswahl (insb. Reinigungskräfte, Sicherheitspersonal)
    • Ausstellung Mitarbeiter- und Besucherausweis
    • __________________________________________________________(sonstige Maßnahmen)
  2. Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)Es existieren folgende Maßnahmen zur Zugangskontrolle:
    • Passwortgesicherte Benutzerprofile
    • Individuelle Benutzerprofile mit definierten/beschränkten Nutzerrechten
    • Passwortsystem (Mindestlänge, Sonderzeichen, regelmäßiger Kennwortwechsel)
    • Biometrische Benutzeridentifikation
    • Einsatz von Anti-Viren-Software
    • Einsatz von Firewalls
    • Einsatz von Virtual Private Networks (VPN-Systeme)
    • Einsatz von Mobile-Device-Management
    • Verschlüsselung von Datenträgern
    • Verschlüsselung von Laptops
    • Verschlüsselung von Smartphones und sonstiger mobile Datenträger
    • Gehäuseverriegelung
    • Sperrung externer Schnittstellen (USB, Bluetooth usw.)
    • Protokollierung der Besucher
    • Sorgfältige Personalauswahl (insb. Reinigungskräfte, Sicherheitspersonal)
    • __________________________________________________________
      (sonstige Maßnahmen)
  3. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Daten- verarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)Es existieren folgende Maßnahmen zur Zugriffskontrolle:
    • Berechtigungskonzept
    • Passwortbasierte Benutzererkennung
    • Passwortsystem (Mindestlänge, Sonderzeichen, regelmäßiger Kennwortwechsel)
    • Kontrolle durch Systemadministratoren
    • Beschränkung der Anzahl an Systemadministratoren auf das notwendige Minimum
    • Verschlüsselung der Datenträger
    • Ordnungsgemäße Vernichtung der Datenträger
    • Ordnungsgemäße Löschung von Daten vor Wiederverwendung von Datenträgern
    • Protokollierung der Datenvernichtung
    • Protokollierung der Zugriffe auf die Daten
    • Physische Sicherung der Datenträger (z.B. Verschlossener Raum)
    • __________________________________________________________
      (sonstige Maßnahmen)
  4. Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
    Es existieren folgende Maßnahmen zur Weitergabekontrolle:

    • Fax-Protokolle
    • Verschlüsselung der Daten
    • E-Mail-Verschlüsselung
    • Einrichtung von VPN-Tunnel
    • Einrichtung von Standleitungen
    • Sicherung beim physischen Transport (z.B. sichere Behälter/Verpackungen, geeignetes Transportpersonal und Transportmittel)
    • Protokollierung der Datenübermittlung / des Datenabrufs
    • Erstellung von Übersichten mit regelmäßigen Abruf- und Übermittlungsvorgängen
    • Anonymisierung / Pseudonymisierung der Daten vor Weitergabe
    • __________________________________________________________
      (sonstige Maßnahmen)
  5. Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
    Es existieren folgende Maßnahmen zur Eingabekontrolle:

    1. Benutzeridentifikation (z.B. Benutzerprofile, Passwörter etc.)
    2. Definition / Beschränkung der Eingabe-, Änderungs- und Löschungsrechte für Daten
    3. Berechtigungskonzept für Eingabe, Änderung und Löschung von Daten
    4. Protokollierung/Dokumentation von Eingabe, Änderung, Löschung von Daten
    5. Identifizierbarkeit derjenigen Personen, die Daten eingeben, ändern oder bearbeiten (z.B. durch individuelle und kontrollierbare Benutzerprofile)
    6. __________________________________________________________
      (sonstige Maßnahmen)
  6. Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)Es existieren folgende Maßnahmen zur Auftragskontrolle:
    • ADV-Vertrag unter Einhaltung des § 11 BDSG
    • Sorgfältige Auswahl des Auftragnehmers (insb. bzgl. Datensicherheit)
    • Überprüfung und Dokumentation der beim Auftragnehmer vorhandenen Sicherheitsmaßnahmen vor Vertragsschluss
    • Vertragliche Festlegung effektiver Kontrollrechte des Auftraggebers während der Vertragslaufzeit
    • Regelmäßige Kontrollen des Auftraggebers im Hinblick auf die Auftragsdatenverarbeitung
    • Umfassende Weisungsbefugnis des Auftraggebers hinsichtlich der im Auftrag verarbeiteten Daten ggü. dem Auftragnehmer und dessen Unterauftragnehmern
    • Vorhandensein eines Datenschutzbeauftragten beim Auftragnehmer
    • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis nach § 5 BDSG
    • Vertragsstrafen
    • __________________________________________________________
      (sonstige Maßnahmen)
  7. Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:
    • Brandschutzmaßnahmen (Feuer- und Rauchmelder, Feuerlöscher etc.)
    • Unterbrechungsfreie Stromversorgung
    • Überspannungsschutz
    • Klimaanlage in den Serverräumen
    • Physische Sicherung der Datenträger (Schutz vor Diebstahl)
    • Backup-Konzept
    • Regelmäßige Datensicherung
    • Separate und sichere Aufbewahrung der Datensicherung
    • Virenschutz
    • __________________________________________________________
      (sonstige Maßnahmen)
  8. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle)

Es existieren folgende Maßnahmen zur Trennungskontrolle:

  • Berechtigungskonzept
  • Speicherung der Daten auf separaten Systemen oder Datenträgern
  • Beschränkung des Datenzugriffs durch die Mitarbeitet
  • Getrennte Datenbanken
  • Trennung von Produktiv- und Testsystemen
  • __________________________________________________________
    (sonstige Maßnahmen)

0 Comments

Leave a reply

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*