schließen folgenden Vertrag:
1. Gegenstand des Auftrags, Begriffsbestimmungen
1.1 Gegenstand des vorliegenden Vertrags ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (im Folgenden: „Daten“) durch den Auftragnehmer, die diesem durch den Auftraggeber zum Zwecke der Durchführung von Dienstleistungen nach erfolgreicher Angebotsannahme (im Folgenden: „Hauptvertrag“) überlassen werden.
1.2 Der Auftraggeber hat den unterzeichnenden Auftragnehmer sorgfältig und gewissenhaft und im Einklang mit den bestehenden gesetzlichen Vorschriften – insbesondere unter Beachtung seiner gesetzlichen Pflichten – ausgewählt.
1.3 Die Auftragsdatenverarbeitung darf nicht vor Abschluss der schriftlichen Auftragserteilung des Auftraggebers gegenüber dem Auftragnehmer beginnen, die durch den vorliegenden Vertrag erfolgt.
1.4 Die vom Auftraggeber überlassenen Daten dürfen vom Auftragnehmer ausschließlich zur Erfüllung des vereinbarten Vertragszwecks verarbeitet, erhoben oder genutzt werden.
1.5 Die Erhebung, Nutzung und Verarbeitung der Daten durch den Auftragnehmer findet ausschließlich in Deutschland statt. Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen darf dies nicht ohne schriftliche Einwilligung des Auftraggebers erfolgen. Darüber hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen (insbesondere nach dem BDSG, der EU-DSGVO und den Landesdatenschutzgesetzen) und vertraglichen Pflichten eingehalten werden.
2. Dauer des Auftrags und Kündigung
2.1 Der Vertrag beginnt mit der Unterzeichnung der vorliegenden Vereinbarung – nicht jedoch vor Unterzeichnung und Wirksamkeit des Hauptvertrages – und endet mit Kündigung.
Die Parteien sind sich darüber im Klaren, dass die Auftragsdatenverarbeitung nicht ohne einen gül- tigen Vertrag über die Verarbeitung personenbezogener Daten im Auftrag erfolgen darf, sodass die Auftragsdatenverarbeitung im Falle der Beendigung des vorliegenden Vertrags bis zum Abschluss eines neuen Vertrages über die Verarbeitung personenbezogener Daten im Auftrag nicht erfolgen darf.
2.2 Eine ordentliche Kündigung dieses Vertrages ist ausgeschlossen. Das Vertragsverhältnis über die Verarbeitung personenbezogener Daten im Auftrag endet automatisch mit der Beendigung des ent- sprechenden Hauptvertrages.
2.3 Das Recht zur fristlosen Kündigung bleibt von den vorliegenden Ziffern unberührt. Ein Recht zur fristlosen Kündigung ist insbesondere im Falle von schweren, vorsätzlichen und/oder wiederholten Verstößen gegen vertragliche oder gesetzliche Datenschutzbestimmungen gegeben. Ein schwerer Verstoß liegt insbesondere vor, wenn der Auftragnehmer den Weisungen des Auftraggebers – gleich aus welchem Grund – nicht nachkommt oder Kontrollen durch den Auftraggeber oder die zuständi- gen Aufsichtsbehörden nicht unterstützt, behindert oder erschwert.
3. Allgemeine Pflichten des Auftragnehmers
3.1 Der Auftragnehmer verpflichtet sich, seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten im erforderlichen Umfang gesichert und vor der unbefugten Erlangung oder Kenntnisnahme Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird der Auftragnehmer vorab mit dem Auftraggeber abstimmen.
3.2 Der Auftragnehmer verpflichtet sich, die Daten ausschließlich im Rahmen dieses Vertrags und/oder des Hauptvertrages und/oder zur Umsetzung der Weisungen des Auftraggebers zu erheben/zu verarbeiten/zu nutzen. Eine darüber hinaus gehende Erhebung, Verarbeitung oder Nutzung ist dem Auftragnehmer untersagt.
3.3 Der Auftragnehmer stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen der Datenschutzgesetze und -verordnungen (insb. das Datengeheimnis) vertraut gemacht wurden. Die befassten Personen sind außerdem zur Einhaltung besonderer Verschwiegenheitspflichten im Sinne des § 203 StGB zu verpflichten.
3.4 Soweit gesetzlich vorgeschrieben, bestätigt der Auftragnehmer, dass er einen betrieblichen Daten- schutzbeauftragten bestellt hat und sichert dem Auftraggeber zu, diesen unter Angabe seiner Kontaktdaten zu benennen (z.B. per E-Mail). Im Falle der Bestellung eines neuen Datenschutzbeauftragten sind dem Auftraggeber dessen Kontaktdaten unverzüglich mitzuteilen. Besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragen, ist dies vom Auftragnehmer nachzuweisen; in diesem Fall muss er jedoch ggf. nachweisen, dass betriebliche Regelungen bestehen, die vertragsgemäße Verarbeitung der Daten gewährleisten.
3.5 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an den Auftraggeber verweisen. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
3.6 Der Auftraggeber wird allen landes- und bundesrechtlichen sowie europarechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Er wird insbesondere die notwendigen tech- nischen und organisatorischen Maßnahmen verwirklichen sowie das nach Art. 30 Abs. 2 der EU- Datenschutzgrundverordnung erforderliche Verzeichnis von Verarbeitungstätigkeiten führen, soweit dies gesetzlich vorgeschrieben ist.
3.7 Der Auftragnehmer hat den Mitteilungspflichten dieses Vertrags Folge zu leisten.
3.8 Der Auftragnehmer wird die Erfüllung seiner Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise dokumentieren.
3.9 Der Auftragsnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragnehmer substantiiert anzweifelt, ist der Auftragnehmer berechtigt, deren Ausführung temporär auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich fordert oder ändert.
4. Technische und organisatorische Maßnahmen
4.1 Der Auftragnehmer verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Die einzelnen, zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen, ergeben sich aus Anlage 2 zu diesem Vertrag.
4.2 Der Auftragnehmer wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.
4.3 Die Parteien sind sich darüber einig, dass die technischen und organisatorischen Maßnahmen aufgrund rechtlicher, technischer oder tatsächlicher Änderungen ggf. modifiziert werden müssen. Hierbei sind wesentliche Änderungen, durch die datenschutzrechtliche Belange beeinträchtigt werden können, mit dem Auftraggeber abzustimmen. Andere Maßnahmen, durch die keine Einschränkung datenschutzrechtlicher Belange zu befürchten ist, können vom Auftragnehmer auch ohne Abstimmung vorgenommen werden. In jedem Fall ist dem Auftragnehmer auf Anfrage jederzeit eine aktuelle Auflistung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen vorzulegen.
5. Datengeheimnis
5.1 Der Auftraggeber weist den Auftragnehmer ausdrücklich auf die gesetzlichen Bestimmungen zum Datengeheimnis hin. Der Auftragnehmer hat dafür Sorge zu tragen, dass alle Personen, die von ihm zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, ausdrücklich zu gesetzlich vorgeschriebenen Geheimhaltungspflichten verpflichtet und über die besonderen Weisungs- und Zweckbindungen sowie gegebenenfalls besonderen Datenschutz- oder Geheimhaltungspflichten belehrt werden. Der Auftragnehmer wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Personen werden vom Auftragnehmer ferner darauf hingewiesen, dass die entsprechenden Verpflichtungen grund- sätzlich auch nach der Beendigung der Tätigkeit fortbestehen.
5.2 Der Auftragnehmer versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt sind.
5.3 Gesetzliche Offenbarungspflichten des Auftragnehmers bleiben von den vorgenannten Regelungen unberührt.
6. Mitteilungs- und Dokumentationspflichten des Auftragnehmers
6.1 Der Auftragnehmer verpflichtet sich, jeden Verstoß gegen datenschutzrechtliche Bestimmungen, gegen diesen Vertrag und/oder die Weisungen des Auftraggebers unverzüglich mitzuteilen. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragnehmer selbst, einer bei ihm angestellten Person, einem Unterauftragnehmer oder einer sonstigen Person, die er zur Erfüllung seiner vertrag- lichen Pflichten gegenüber dem Auftragnehmer eingesetzt hat, begangen wurde. Der Auftragnehmer ist insbesondere verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informations- pflichten zu unterstützen.
6.2 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten Daten betroffen sein könnten.
6.3 Sollten die dem Auftragnehmer vom Auftraggeber überlassenen Daten im Rahmen dieses Vertrages durch ein Insolvenzverfahren, eine Pfändung, eine Beschlagnahme, ein Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gegenüber dem Auftragnehmer gefährdet sein, hat der Auftragnehmer den Auftraggeber unverzüglich hierüber zu informieren. Der Auftraggeber hat daraufhin die für die Maßnahme Verantwortlichen Personen darüber informieren, dass das Eigentum bzw. die Inhaberschaft und sämtliche Rechte an den Daten bei ihm als verantwortliche Stelle im Sinne des Gesetzes liegen.
6.4 Der Auftragnehmer verpflichtet sich ferner, sämtliche Weisungen des Auftraggebers schriftlich oder in einer anderen geeigneten Form zu dokumentieren und dem Auftraggeber alle Verzeichnisse, Protokolle und weitere erforderliche Informationen zum Nachweis der Einhaltung gesetzlicher Pflichten auf Anforderung unverzüglich zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und in angemessener Weise dazu beizutragen.
7. Pflichten des Auftraggebers
7.1 Der Auftraggeber ist die für die Datenverarbeitung durch den Auftragnehmer datenschutzrechtlich verantwortliche Stelle. In dieser Rolle ist er insbesondere für die Rechtmäßigkeit und Zulässigkeit der Datenverarbeitung, die Wahrung der Betroffenenrechte und die Aufsicht der Auftragsdatenverarbeitung verantwortlich. In diesem Zusammenhang ist der Auftraggeber insbesondere für die Schaffung der Voraussetzungen verantwortlich, die den Auftragnehmer zur rechtsverletzungsfreien Erbringung seiner Leistungen befähigen.
7.2 Der Auftraggeber hat vor Beginn der Datenverarbeitung und regelmäßig während der Vertragslaufzeit die Einhaltung vertraglichen und gesetzlichen Datenschutzvorschriften zu kontrollieren und gegebenenfalls entsprechende Weisungen zu erteilen. Dies betrifft insbesondere die Einhaltung der technischen und organisatorischen Maßnahmen. Die Ergebnisse dieser Kontrollen und Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer in angemessener Weise zu protokollieren.
7.3 Der Auftraggeber kann darüber hinaus vor, während und nach der Datenverarbeitung bzw. vor, während und nach der Vertragslaufzeit die Löschung, Berichtigung, Sperrung oder Herausgabe der betreffenden Daten verlangen.
7.4 Im Falle von Unregelmäßigkeiten bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich informieren und geeignete Maßnahmen ergreifen bzw. Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
8. Kontrollbefugnisse des Auftraggebers
8.1 Der Auftraggeber ist berechtigt und verpflichtet, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Schutz personenbezogener Daten vor Beginn der Datenverarbeitung und sodann während der Vertragslaufzeit regelmäßig und jederzeit im erforderlichen Umfang zu kontrollieren. Von dieser Kontrollbefugnis sind insbesondere die Einhaltung der Weisungen des Auftraggebers, die Erfüllung der gesetzlichen Protokoll- und Dokumentationspflichten und die Verwirklichung der erforderlichen technischen und organisatorischen Maßnahmen umfasst. Auf Verlangen des Auftraggebers hat der Auftragnehmer zudem Einsicht in die vom Auftragnehmer zur Durchführung des Auftrags verwendeten Datenverarbeitungsprogramme bzw. –systeme zu ermöglichen.
8.2 Der Auftragnehmer hat grundsätzlich sämtliche Kontroll- und Aufsichtsmaßnahmen in angemessenem Umfang zu unterstützen und zu dulden. Er ist gegenüber dem Auftraggeber insbesondere zur vollständigen und wahrheitsgemäßen Auskunftserteilung verpflichtet, soweit dies für die Durchführung der in dieser Ziffer genannten Kontrollen erforderlich ist.
8.3 Im Rahmen der vorgenannten Kontrollen sind Störungen des Betriebsablaufs des Auftragnehmers so weit wie möglich zu vermeiden. Insbesondere sollen Besichtigungen der Betriebsstätte des Auftragnehmers in der Regel mit einer angemessenen Vorlauffrist angekündigt werden und zu den jeweils üblichen Geschäftszeiten vorgenommen werden, sofern dies dem Erfolg der Kontrollmaßnahme nicht entgegensteht. Steht der Verdacht eines Verstoßes gegen gesetzliche oder vertragliche Datenschutzbestimmungen im Raum, kann die Kontrolle – inklusive der Betriebsbesichtigung – ohne Voranmeldung erfolgen, wobei auf die Verhältnismäßigkeit der Kontrollmaßnahme zu achten ist.
8.4 Im Falle von Unregelmäßigkeiten bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich informieren und geeignete Maßnahmen ergreifen bzw. Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
8.5 Der Auftraggeber und der Auftragnehmer dokumentieren die Ergebnisse der Kontrollen eigenständig.
9. Weisungsbefugnis des Auftraggebers
9.1 Der Auftraggeber behält sich vor, den Auftragsgegenstand nach Art, Umfang und Verfahren im Rahmen dieser Vereinbarung durch mündliche oder schriftliche Weisungen zu konkretisieren. Im Falle einer mündlichen Weisung ist diese unverzüglich schriftlich durch den Auftraggeber zu bestätigen. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren. Der Auftraggeber hat ausdrücklich den Grund dafür zu benennen, warum keine schriftliche Weisung erfolgen konnte.
9.2 Änderungen des Vertragsgegenstandes müssen gemeinsam mit dem Auftragnehmer abgestimmt werden.
10. Berichtigung, Löschung und Sperrung der Daten
10.1 Nicht mehr benötigte personenbezogene Daten oder Unterlagen dürfen nur mit Zustimmung des Auftraggebers berichtigt, gesperrt oder vernichtet werden. Im Übrigen kann der Auftraggeber vor, während oder nach Beendigung der Vertragslaufzeit die Berichtigung, Löschung, Sperrung oder Herausgabe der Daten verlangen. Der Auftragnehmer hat einer entsprechenden Weisung unverzüglich Folge zu leisten. Hierfür anfallende Arbeitszeit wird mit einem Stundensatz i.H. von 80,00 EUR zzgl. der gesetzlichen Umsatzsteuer berechnet.
10.2 Ersucht ein Betroffener den Auftragnehmer um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung von dessen Pflichten ggü. den Betroffenen unterstützen. Hierfür anfallende Arbeitszeit wird mit einem Stundensatz i.H. von 80,00 EUR zzgl. der gesetzlichen Umsatzsteuer berechnet.
11. Einsatz von Unterauftragnehmern (Subunternehmer)
11.1 Der Auftragnehmer ist nur mit schriftlicher Zustimmung des Auftraggebers zum Einsatz von Unterauftragnehmern (Subunternehmer) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden und seitens des Auftraggebers ausdrücklich bestätigten Subunternehmerverhältnisse des Auftragnehmers sind diesem Vertrag abschließend in Anlage 1 beigefügt. Für die in Anlage 1 aufgezählten Subunternehmer gilt die schriftliche Einwilligung mit Unterzeichnung dieses Vertrags als erteilt.
11.2 Die Handlungen des Unterauftragnehmers, die mit der Vertragsdurchführung in Zusammenhang stehen, werden dem Auftragnehmer wie eigene Handlungen zugerechnet.
11.3 Der Auftragnehmer versichert, dass er seine Unterauftragnehmer sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unterauftragnehmer entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zum Auftraggeber nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen und entsprechende Unterauftragsdatenverarbeitungsverträge sicher, dass der Subunternehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Der Auftragnehmer hat zudem sicherzustellen, dass die vom Auftraggeber erteilten Weisungen auch von den Subunternehmern befolgt und protokolliert werden. Die Einhaltung dieser Pflichten wird vom Auftragnehmer regelmäßig kontrolliert und dokumentiert.
11.4 Der Auftragnehmer hat sich von seinen Unterauftragnehmern bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – einen betrieblichen Datenschutzbeauftragten bestellt haben. Wenn kein Datenschutzbeauftragter bestellt wurde oder ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist der Auftraggeber vom Auftragnehmer über diesen Umstand zu unterrichten.
11.5 Sämtliche Verträge zwischen Auftragnehmer und Unterauftragnehmer (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen der gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen. Die Subunternehmerverträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontroll- und Weisungsbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Umfang auch gegenüber den Unterauftragnehmern ausgeübt werden können.
11.6 Der Auftragnehmer ist im Falle einer entsprechenden Aufforderung des Auftragnehmers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen oder Kontroll- und Aufsichtsergebnisse sowie entsprechende Dokumentationen, Protokolle und Verzeichnisse des Auftragnehmers einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
11.7 Dienstleistungen, die der Auftragnehmer als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reiniungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Kurierdienste, sonstige Transportleistungen und Bewachungsdienste. Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss der Auftragnehmer die erforderlichen organisatorischen und technischen Vorkehrungen zum Schutz personenbezogener Daten treffen. Gesetzlich vorgeschriebene Wartungs- und Prüfungsdienstleistungen gelten als zustimmungsbedürftige Unteraufträge, sofern hiervon diejenigen IT-Systeme umfasst sind, die auch zur Erbringung der vertragsgegenständlichen Leistung genutzt werden.
11.8 Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (Nicht- EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen wollen, darf dies nicht ohne schriftliche Einwilligung des Auftraggebers erfolgen. Über die in den vorangegangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen und vertraglichen Pflichten eingehalten werden.
12. Rückgabe und Löschung der Daten und Datenträger nach Vertragsbeendigung
12.1 Nach Vertragsbeendigung ist der Auftraggeber verpflichtet, sämtliche im Zusammenhang mit dem Auftrag erlangten Datenbestände, Nutzungs- und Verarbeitungsergebnisse sowie Datenträger an den Auftraggeber auszuhändigen und/oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial sowie ggf. beim Auftraggeber verbliebene Datensicherungen.
12.2 Der Auftraggeber ist berechtigt, die Maßnahmen des Auftragnehmers nach Absatz 1 in geeigneter Weise zu kontrollieren. Hierzu ist er insbesondere berechtigt die betreffenden Datenverarbeitungsanlagen und die Betriebstätte des Auftragnehmers in Augenschein zu nehmen. Die Besichtigung der Betriebsstätte soll zu den regulären Geschäftszeiten erfolgen und ist ggü. dem Auftragnehmer rechtzeitig anzukündigen, sofern dies den Erfolg der Kontrollmaßnahme nicht gefährdet.
12.3 Von der Löschungspflicht werden der Schriftwechsel und die nach den gesetzlichen Vorschriften aufzubewahrenden Dokumente oder Vertragsunterlagen oder sonstige für den Auftragnehmer bestimmte Unterlagen nicht erfasst. Für diese Dokumente gelten die ggf. einschlägigen Aufbewahrungsfristen. Weitergehende Löschungsansprüche bleiben von der vorliegenden Ziffer unberührt.
13. Schlussbestimmungen
13.1 Der Auftragnehmer verzichtet hinsichtlich der ihm zum Zwecke der Vertragsdurchführung überlassenen Daten und Datenträger auf sein Zurückbehaltungsrecht.
13.2 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen Vereinbarung, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
13.3 Sollten einzelne Regelungen dieses Vertrags unwirksam sein, bleibt der Rest dieser Vereinbarung hiervon unberührt.
13.4 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
13.5 Erfüllungsort und Gerichtsstand ist Mannheim.
Anlage 1
Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses
|
(Unternehmens-) Name und Webseite
|
Beschreibung der Leistung
|
Ort der Leistungserbringung
|
|
deLink Gesellschaft für Unternehmenskommunikation mbH
www.delink.de
|
Hosting und Domainanbieter
|
Hamburg, DE
|
|
Tim Schmidt
www.tim-schmidt.digital
|
Social Media Beratung und Audits
|
Mannheim, DE
|
|
Brückner & Brückner
www.brueckner.studio
|
Design und UX
|
Mannheim, DE
|
|
JC – Julia Sawall und Christopher Smid GbR
www.juliaandchris.de
|
Strategie und Advertising
|
Hamburg, DE
|
Anlage 2
Technische und organisatorische Maßnahmen im Sinne von § 9 BDSG
1. Maßnahmen die geeignet sind, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).
Es existieren folgende Maßnahmen zur Zutrittskontrolle:
• Alarmanlage
• Chipkarten-/Transponder-Schließsystem
• Manuelles Schließsystem
• Sicherheitsschlösser
• Schlüsselregelung (Schlüsselausgabe etc.)
2. Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).
Es existieren folgende Maßnahmen zur Zugangskontrolle:
• Zuordnung von Benutzerrechten
• Erstellen von Benutzerprofilen
• Passwortvergabe
• Authentifikation mit Benutzername/Passwort
• Sicherheitsschlösser
• Schlüsselregelung (Schlüsselausgabe etc.)
3. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).
Es existieren folgende Maßnahmen zur Zugriffskontrolle:
• Verwaltung der Rechte durch Systemadministrator
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Erstellen eines Berechtigungskonzepts
• Sichere Aufbewahrung von Datenträgern
4. Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
Es existieren folgende Maßnahmen zur Weitergabekontrolle:
• Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
• Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
• Weitergabe erfolgt nur in Rücksprache und unter ausdrücklicher Genehmigung des Auftragge- bers
5. Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
Es existieren folgende Maßnahmen zur Eingabekontrolle:
• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
• Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
6. Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrol- le).
Es existieren folgende Maßnahmen zur Auftragskontrolle:
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Daten- sicherheit)
• schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag)
• Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
7. Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:
• Unterbrechungsfreie Stromversorgung (USV)
• Feuer- und Rauchmeldeanlagen
• Erstellen eines Backup- & Recoverykonzepts
8. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt ver- arbeitet werden können (Trennungskontrolle).
Es existieren folgende Maßnahmen zur Trennungskontrolle:
• Erstellung eines Berechtigungskonzepts
• Logische Mandantentrennung (softwareseitig)
• Festlegung von Datenbankrechten
