Diese Vereinbarung ergänzt die gegenseitig bestehenden Verpflichtungen um die gesetzlichen Vorgaben und deren gültigen Richtlinien zur EU-DSGVO (EU - Datenschutzgrundverordnung) im Kontext zum neuen BDSG (Bundesdatenschutzgesetz - neu) ab dem 25.05.2018.
Die bisher vereinbarten gegenseitigen Verpflichtungen bleiben vollumfänglich bestehen, sofern sie nicht durch diese Vereinbarung betroffen, im Sinne von ersetzt und/oder ergänzt, werden.
- Vereinbarung zum Gegenstand der beauftragten Auftragsverarbeitung (Art. 28 Abs.1 DSGVO)
- Der vereinbarte Gegenstand dieses Vertrages bezieht sich auf die Bereitstellung technischer Infrastruktursysteme zur ausgelagerten personenbezogenen Datenverarbeitung durch den Auftraggeber unter räumlichen und technischen Aspekten im Rahmen von IT-Dienstleistungen; ohne dass ein inhaltlicher Datenzugriff des Auftragnehmers in seiner Funktion als IT-Dienstleister (IT-Hoster) grundsätzlich erforderlich ist.
- Diese Dienstleistung umfasst die Bereitstellung von Hosting- und Infrastrukturdienstleistungen, wie z.B. Colocation, Dedizierte-, Virtuelle- und Physische-Server, Web-Hosting sowie den damit im Zusammenhang stehenden Leistungen, wie z.B. Bereitstellung von Diensten für den Empfang Versand und Speicherung E-Mails, Domainregistrierungen, Support- und administrative Leistungen etc. , welche dem Auftraggeber eine eigenverantwortliche Verarbeitung von personenbezogene Daten (pb-Daten entsprechend Art. 4 Abs. 1), wie zum Beispiel zu speichern, zu verändern, offenzulegen, zu übermitteln, zu löschen etc. (Art. 4 Abs. 2 – DSGVO), voll umfänglich ermöglicht.
- Der Auftragnehmer ist in die Verarbeitung von pb-Daten gemäß den Vorgaben zum Art. 28 – DSGVO und den Ausführungen im Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung als Auftragsverarbeiter einbezogen. Hierzu unterliegen alle Dienstleistungen des Auftragnehmers den gesetzlichen Datenschutz- und Datensicherheitsbestimmungen im Sinne der DSGVO und des BDSGneu.
- Der Vertrag schließt ausdrücklich die ursprüngliche Nutzung und/oder Verarbeitung von jeglichen personenbezogenen Daten durch den Auftragnehmer, die durch den Auftraggeber im Rahmen der Nutzung von bereitgestellten Infrastrukturen einbezogenen und/oder offengelegt werden, aus.
- Im Zuge der vereinbarten Leistungen des IT-Hostings (siehe o.g. Ausführungen) und diesbezüglich notwendige Tätigkeiten zum Support und/oder der Administration von Server-Systemen des Auftraggebers, kann jedoch ein faktisch situativer Zugriff auf personenbezogene Daten durch den Auftragnehmer letztendlich nicht ausgeschlossen werden.
- Die zur Kenntnis gelangten personenbezogenen Daten des Auftraggebers, wie zum Beispiel Kontakt- und Adressdaten etc., im Rahmen der Rechtsgeschäfte zur Ausführung von getroffenen Vereinbarungen werden durch den Auftragnehmer getrennt von dieser Vereinbarung nach datenschutzrechtlichen Aspekten behandelt und sind somit nicht Gegenstand dieser Vereinbarung.
- Vereinbarung zur Dauer der personenbezogenen Datenverarbeitung
- Die Laufzeit des Vertrages endet durch die rechtswirksame Kündigung aller übergeordneten Verträge zwischen den Vertragsparteien, die für Leistungen gemäß Abs 1. vom Auftragnehmers zur Erfüllung des Auftrags erforderlich sind.
Das Recht zur außerordentlichen Kündigung dieser Vereinbarung sowie zu deren konkreter Einzelvereinbarungen bleibt unberührt
- Vereinbarung zum Zweck der personenbezogenen Datenverarbeitung
- Der Zweck einer situativ möglichen Verarbeitung von personenbezogenen Daten durch den Auftragnehmer während des Auftragsverhältnisses beruht ausschließlich in der Pflicht zur Erfüllung der vertraglichen geschuldeten Dienstleistung dem Auftraggeber gegenüber. Des Weiteren zur Gewährleistung der gesetzlichen Anforderungen an die Sicherheit der Datenverarbeitung nach Art. 32 -DSGVO und hier in erster Linie zur Dienstleistung des IT-Hosting, im Sinne einer Bereitstellung und Nutzungsüberlassung von technischer Infrastruktur sowie auch der einbezogenen Support- und Administrationsleistungen.
- Die Art und Weise einer situativ möglichen Verarbeitung von personenbezogenen Daten durch den Auftragnehmer geschieht ausschließlich durch Tätigkeiten im Rahmen der vertraglich und/oder gesetzlich notwendigen Maßnahmen zum Support- und/oder der Administration. Dem Auftragnehmer ist es dazu gestattet, entsprechend den notwendigen verfahrens- und sicherheitstechnischen Anforderungen, Zwischen- und/oder Temporärdateien (Kopien) zu erstellen, soweit dies zu einer inhaltlichen Umgestaltung führt. Dem Auftragnehmer ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
- Vereinbarung zur Art der verarbeitenden personenbezogenen Daten
- Die Daten, welche mittels Infrastrukturnutzung durch den Auftragnehmer einbezogen verarbeitet werden und welche situativ möglicherweise auch durch den Auftragnehmer verarbeitet werden könnten, umfassen die in Anlage 1 zu diesem Vertrag genannten personenbezogenen Daten.
- Vereinbarung zu den Kategorien betroffener Personen
- Die Einzelpersonen und/oder -gruppen, die durch eine Verarbeitung von Daten, welche mittels Infrastrukturnutzung durch den Auftragnehmer einbezogen verarbeitet werden und welche situativ möglicherweise auch durch den Auftragnehmer verarbeitet werden könnten, umfassen die in Anlage 2 zu diesem Vertrag genannten Personenkategorien.
- Vereinbarung zu inhaltlichen Details mit Bezug zum Art. 28 Abs. 3 der DSGVO
- Der Auftraggeber beauftragt den Auftragnehmer mit Bezug zu dem in Abs. 1 festgelegten Gegenstand dieses Vertrages und unter Beachtung der Vorgaben zum Art. 28 Satz 1.
- Als somit Verantwortlicher der Verarbeitung beachtet und befolgt er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen wie nachfolgend beschrieben:
- … die Vorgaben zur Anwendung und der erforderlichenfalls Überprüfung und/oder Aktualisierung von geeigneten technischen und organisatorischen Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Vereinbarung, mit Blick auf die Vertraulichkeit, Integrität und Verfügbarkeit von verarbeiteten Daten als auch auf die Belastbarkeit der einbezogenen Systeme und Dienste, erfolgt.
- … die Vorgaben zur Einhaltung der gesamtrechtlichen Bestimmungen zum nationalen und europäischen Datenschutz, wie zu:
- … erteilenden Informationen, im Rahmen der eigenverantwortlichen und/oder ggf. beauftragten Datenerhebung, gemäß Art. 13 und Art. 14 der DSGVO;
- … zur Information und/oder Gewährung zu (von) Betroffenenrechten, gemäß den Art. 15 – 22. - DSGVO;
- … den Dokumentations- und Nachweispflichten gemäß Art. 5 Abs. 2 – DSGVO und
- … zur Gewährleistung der sicheren Datenverarbeitung, zur Meldung an Aufsichtsbehörden und/oder Benachrichtigung von Betroffenen im Fall von Verletzungen des Schutzes von personenbezogener Daten sowie zu möglichen Datenschutz-Folgeabschätzungen, gemäß den Art. 32. – 36. Der DSGVO.
- Der vertraglich gebundenen Auftragnehmer übernimmt die Verpflichtung, wie:
- … die Verarbeitung nur auf eine dokumentierte Anweisung durch den Auftraggeber hin umzusetzen.Die Verarbeitung findet gemäß des Art. 3 der DSGVO ihren „räumlichen Anwendungsbereich“ in der Europäischen Union. Eine Übertragung von personenbezogenen Daten in ein Drittland und/oder zu einer internationalen Organisation bedarf der vorherigen Zustimmung des Auftraggebers und erfolgt im Fall auch nur unter der Beachtung der Vorgaben zum Art. 44 ff. der DSGVO;
- … die zur Verarbeitung der personenbezogenen Daten befugten Personen einschließlich der einbezogenen Mitarbeiter sowie durch den Auftragnehmer beauftragte Dritte auf die notwendigen Vertraulichkeit zu verpflichten und den Vorgaben des Art. 32 Abs. 4 der DSGVO entsprechend, nur auf Anweisung handeln zu lassen;
- … unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen (siehe: derzeit aktuell gültige Technische und Organisatorische Maßnahmen) (Anhang 3: Technische und Organisatorische Maßnahmen) zur vereinbarten Leistungserbringung einzusetzen, um ein angemessenes Schutzniveau in der Verarbeitung gewährleisten zu können;
- … die in dem Absatz 8 (s.u.) genannten Bedingungen für die Inanspruchnahme der Dienste eines und/oder weiteren(r) Auftragsverarbeiter einzuhalten;
- … den Auftraggeber nach besten Möglichkeit mit geeigneten technischen und/oder organisatorischen Maßnahmen bei eventuellen Tätigkeiten im Rahmen der Betroffenenrechte (Kap. III DSGVO) zu unterstützen;
- … unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten zu unterstützen;
- … nach der rechtsverbindlichen Vertragsbeendigung die personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder sofern möglich, unter Berücksichtigung der der allgemeinen Grundsätze zur Datenübermittlung, gemäß dem Art. 44 der DSGVO, zurückzugeben. Diese Verpflichtung zur Rückgabe unterliegt dem Vorbehalt einer rechtlichen Verpflichtung zur Speicherung der personenbezogenen Daten;
- … dem Auftraggeber alle notwendigen Informationen, zum Nachweis der Einhaltung der in diesem Vertrag festgelegten Verpflichtungen, zur Verfügung zu stellen. Überprüfungen und/oder Inspektionen, die vom Auftraggeber und/oder einer dritten autorisierten Stelle durchgeführt werden, zu ermöglichen und zu unterstützen.
- Der Auftragnehmer verpflichtet sich zur Benennung eines sachkundigen Datenschutzbeauftragten für sein Unternehmen gemäß den Art. 37. Und 38. – DSGVO, um die vertraglichen Vereinbarungen unter Einbezug weiterer Expertise bestmöglich erfüllen zu können.
- Entsprechende Kontaktdaten werden auf Wunsch dem Auftraggeber mitgeteilt.
- Vereinbarungen zu Weisungsbefugnissen und den Anwendungs- und/oder Nutzungsrechten
- Das Weisungsrecht zur Verarbeitung der pb-Daten wird entsprechend dem Art. 29 DSGVO, mit der Regelung zum Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragnehmers, umgesetzt. Mündliche Weisungen durch den Auftraggeber an den Auftragnehmer bedürfen einer sofortigen, im Sinne von zeitnah, schriftlichen Bestätigung, um Gültigkeit zu erlangen.
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn seiner Meinung nach, eine Weisung nicht im Einklang zur DSGVO und/oder zum BDSGn sowie auch zu anderen Bestimmungen der Union oder der Mitgliedstaaten steht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung zu verweigern, bis sie durch den Verantwortlichen beim Auftraggeber rechtssicher bestätigt und/oder geändert wird.
- Aufgrund der technischen Gegebenheiten zu den gewährten Infrastrukturleistungen durch den Auftragnehmer besteht situativ zu jeder Zeit ein vollständiger und umfassender Zugriff auf die einbezogenen pb-Daten durch den Auftraggeber ohne und unabhängig vom Auftragnehmer.
- Dieser Umstand entbindet den Auftragnehmer von einem direkten und aktiven Einbezug zur Verarbeitung der pb-Daten gemäß Art. 4 Satz 2 der DSGVO, und hier insbesondere zur Berichtigung, Sperrung, Löschung etc., durch den Auftraggeber.
- Im Fall, dass im Rahmen der vertraglich geschuldeten Support- und Administrationsleistungen durch den Auftragnehmer direkt und/oder indirekt einbezogene pb-Daten verarbeitet werden, gelten die bisher vereinbarten Bestimmungen.
- Der Auftraggeber verpflichtet sich seinerseits, im Rahmen der direkten und/oder indirekten Nutzung der Ihm zugänglichen IT- und DV-Infrastruktur, keinerlei und unter keinen Umständen Software und /oder ähnliche nutzbare technische Hilfsmittel zum Einsatz zu bringen, welche die Sicherheit der Datenverarbeitung insgesamt und der personenbezogenen Daten im Besonderen direkt und/oder indirekt gefährden könnte. Im Zweifelsfall ist eine Ab- und Zustimmung mit dem Auftragnehmer, als verantwortlicher Infrastrukturbetreiber und für die Sicherheit mitverantwortlich, vorzunehmen.
- Weiterhin verpflichtet sich der Auftraggeber die von Ihm installierte Software zu pflegen und ggf. entdecket Sicherheitslücken zeitnah zu beseitigen. Sollte der Auftraggeber Dritten einen Zugang für die Installation von Software einräumen so hat er sicherzustellen, dass die von Dritten installierte Software ebenfalls gepflegt und die Sicherheit dieser zu jederzeit gewährleistet ist.
- Vereinbarung zu weiteren dritten Verarbeitern mit Bezug zum Art. 28 Abs.2 und Abs.4 der DSGVO
- Als Unterauftragsverhältnisse zur unterstützenden Realisierung der vertraglich vereinbarten Leistungen werden die zusätzlichen Leistungen definiert, welche den Auftragnehmer, in der Erbringung seiner Leistungen dem Auftraggeber gegenüber, unterstützen. Dazu gehören situativ alle die spezifizierten Leistungen, welche den Auftragnehmer insgesamt fachspezifisch und/oder logistisch in seiner Kernkompetenz ergänzend unterstützen.
- Der Auftraggeber stimmt hiermit ausdrücklich und als genehmigt zu, dass der Auftragnehmer gegebenenfalls zur schnellstmöglichen Erfüllung seiner Dienstleistung(en) einen oder weitere Subunternehmer in Anspruch nehmen kann. Er überträgt somit die sich aus dem Art 28 Satz 1 -DSGVO ergebenden Vorabkontrollverpflichtungen zur Qualifikation von Subunternehmern auf den Auftragnehmer.
Einbezogene Subunternehmer sind durch den beauftragenden Auftragnehmer auf die Regelungen aus diesem Vertrag im Sinne der DSGVO und dem BDSGn zu verpflichten.
Dem Auftragnehmer obliegt weiter dazu die Pflicht, bei einbezogenen Subleistungen diese im angemessenen und zumutbaren Umfang auf deren Konformität zu gesetzlichen Vorgaben sowie auf die aus diesem Vertrag abzuleitende Ansprüche des Auftraggebers hin zu kontrollieren.
- Im Fall, dass im Rahmen der Vertragserfüllung, gegebenenfalls auch durch hierzu situativ in Anspruch genommene Subleistungen, Serverstandorte außerhalb Deutschlands einbezogen werden würden, ist eine solches Vorgehen zuvor durch die ausdrückliche Genehmigung des Auftraggebers sowie durch die Abklärung der rechtlichen Bedingungen abzusichern.
- Sollte der Auftragnehmer nachweislich seinen Verpflichtungen im Rahmen der festgelegten Leistungen aus diesem Vertrag nicht entsprechen, so hat der Auftraggeber im Rahmen seiner Geltendmachung von Rechtsansprüchen auch das Recht zur Auskunft über den einen oder mehrere eventuell in den Vorgang einbezogene Subunternehmer.
Unbenommen von einer Entscheidung zur Frage der nicht- oder mindererbrachten Leistung durch den Auftragnehmer kann der Auftraggeber Einspruch gegen den weiteren Einbezug von den zur strittigen Leistung einbezogenen Subleistungsverantwortlichen einlegen.
- Vereinbarung zu den Kontrollrechten des Auftraggebers
- Im Rahmen seiner Kontrollverpflichtungen nach Art. 28 Abs. 1 DSGVO vor Beginn der personenbezogenen Datenverarbeitung und zur Umsetzung der beiderseitigen Vertragspflichten besteht für den Auftraggeber das Recht, sich von der Einhaltung der Vereinbarungen sowie auch von den dazu einbezogenen technischen und/oder organisatorischen Maßnahmen zu überzeugen.
Der Datenschutzbeauftragten des Auftragnehmers stellt dazu dann die aktuelle Dokumentation über die jeweils technischen und organisatorischen Maßnahmen zur Verfügung.
- Der Auftraggeber hat das Recht eigenverantwortlich, durch einen nachgewiesen autorisierten Vertreter und/oder oder durch im Einzelfall zu benennende externen Prüfer eine Überwachung durchführen zu lassen; gleichzeitig besteht für ihn die Verpflichtung diese Überwachung im Be- und Einvernehmen mit dem Auftragnehmer durchzuführen.
Tätigkeiten zur Überwachung sind in diesem Sinne immer rechtzeitig (mindestens 3 Wochen) anzumelden und während der Umsetzung zu üblichen Geschäftszeiten ohne Störung des Betriebsablaufs abzuwickeln.
- Dem autorisierten Prüfer sind auf Anforderung jeweils die zur Umsetzung der Prüfung notwendigen Informationen und Gegebenheiten offen- und /oder darzulegen. Dies gilt auch für Nachweise zu eventuellen Kontrollen, die der Auftragnehmer für den Auftraggeber bei den einbezogenen dritten Auftragsverarbeitern durchführt.
- Sollten dem Auftragnehmer durch seine Unterstützungshandlung zu Kontrollen Kosten entstehen, sind diese durch ihn nachzuweisen und ihm in einem angemessenen Umfang zu erstatten.
- Vereinbarung zur Salvatorische Klausel und dem Gerichtsstand
- Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsabschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des gesamten Vertrages im Übrigen unberührt.
- An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der gemeinsam vereinbarten und angestrebten Zielsetzung am nächsten kommen, die beide Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben.
- Die vorstehenden Bestimmungen gelten entsprechend auch für den Fall, dass sich der Vertrag als lückenhaft erweist.
- Als Durchführungsort einer eventuellen gerichtlichen Auseinandersetzung der Vertragsparteien gilt der Firmensitz des Auftragnehmers als vereinbart.
Der Auftragnehmer bestätigt nachfolgend aufgeführte technische und organisatorische Maßnahmen, welche in seinem Unternehmen zur Gewährleistung, der nach Art. 32 – DSGVO geforderten Sicherheit in der personenbezogenen Datenverarbeitung umgesetzt werden und somit Bestandteil dieses Vertrages sind.
Damit unterstützt er die Kontrollverpflichtung des Auftraggebers nach Art. 28 Abs. 1 DSGVO sich vor Beginn der personenbezogenen Datenverarbeitung und während der Umsetzung von der geforderten Qualifizierung des Auftragnehmers zu überzeugen.
Anlagen:
Anhang 1: Art der verarbeitenden personenbezogenen Daten
Anhang 2: Kategorien betroffener Personen
Anhang 3: Technische und Organisatorische Maßnahmen