1. Gegenstand und Dauer der Verarbeitung
Der Auftragnehmer übernimmt folgende Verarbeitungen:
-
Personenstammdaten
-
Kommunikationsdaten (z.B. Telefon, E-Mail)
-
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
-
Kundenhistorie
-
Vertragsabrechnungs- und Zahlungsdaten
-
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
-
Sonstige Daten
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag/Mitgliedschaftsvertrag (im Folgenden "Hauptvertrag").
Die Verarbeitung beginnt mit der Mitgliedschaft (Hauptvertrag) und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.
2. Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:
2.1 Art und Zweck der Verarbeitung
Die Verarbeitung ist folgender Art:
Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten
Die Verarbeitung dient folgendem Zweck: Verwaltung der Mitgliedschaft und damit verbundene Dienste
2.2 Art der Daten
Es werden folgende Daten verarbeitet:
-
Siehe Punkt 1 „Gegenstand und Dauer der Verarbeitung“
2.3 Kategorien der betroffenen Personen
Von der Verarbeitung betroffen sind:
Kunden:
-
Adressdaten, Kontaktkoordinaten (einschl.
-
Telefon-, Fax-und E-Mail-Daten), Geburtsdatum,
-
Vertragsdaten, Betreuungsinformationen einschließl. Kundenentwicklung,
-
Produkt- bzw. Vertragsinteresse, Statistikdaten,
-
Abrechnungs- und Leistungsdaten, Bankverbindung
3. Pflichten des Auftragnehmers
-
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vereinbart oder angewiesen. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
-
Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, sind schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer einschlägigen gesetzlichen Geheimhaltungspflicht unterliegen. Die beim Auftragnehmer zur Verarbeitung eingesetzten Personen sind mit relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut zu machen. Sie werden angemessen angeleitet und überwacht.
-
Soweit der Auftraggeber zur Erfüllung von Verpflichtungen im Bereich des Datenschutzes auf die Unterstützung des Auftragnehmers angewiesen ist, wird der Auftragnehmer diese Unterstützung gewähren und erforderliche Informationen bereitstellen. Dies gilt insbesondere im Hinblick auf die Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung sowie den Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung.
-
Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten, erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen unverzüglich mit.
-
Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
-
Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz.
4. Technische und organisatorische Maßnahmen
-
Die im Anhang beschriebenen Datensicherheitsmaßnahmen werden verbindlich festgelegt. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
-
Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
-
Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
-
Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung.
5. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
-
Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
-
Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
6. Unterauftragsverhältnisse
-
Die Beauftragung von Subunternehmern ist dem Auftraggeber schriftlich mitzuteilen. Der Auftraggeber kann der Beauftragung innerhalb eines Monats mit Begründung schriftlich widersprechen, andernfalls gilt der Subunternehmer als genehmigt. Ein unbilliger Widerspruch des Auftraggebers berechtigt den Auftragnehmer zur außerordentlichen Kündigung.
-
Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus. Subunternehmen werden vertraglich mindestens Datenschutzpflichten auferlegt, die den hier vereinbarten vergleichbar sind. Rechte des Auftraggebers müssen auch gegenüber Subunternehmern wirksam ausgeübt werden können.
-
Unterauftragsverhältnisse sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen.
7. Rechte und Pflichten des Auftraggebers
-
Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist der Auftraggeber verantwortlich.
-
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
-
Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der Vereinbarungen beim Auftragnehmer in angemessenem Umfang zu kontrollieren.
-
Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer einen angemessenen Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten erbringt, beschränken sich Kontrollen auf Stichproben.
8. Weisungen
-
Der Auftraggeber behält sich ein umfassendes Weisungsrecht vor. Er erteilt Weisungen dokumentiert. In Eilfällen mündlich erteilte Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
-
Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
-
Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
9. Beendigung des Auftrags
-
Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder unwiederbringlich zu vernichten oder an den Auftraggeber zu übergeben.
10. Haftung
-
Der Auftragnehmer haftet dem Auftraggeber nur für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
-
Soweit der Schaden durch die Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist, stellt der Auftraggeber den Auftragnehmer von jeder Haftung frei.
11. Sonstiges
-
Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
-
Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
-
Für Nebenabreden ist die Schriftform erforderlich.
-
Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
-
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
1. Vertraulichkeit (Art. 32 Abs. 1 DS-GVO)
• Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, Schlüssel, Schutzmaßnahmen des Gebäudes Tag/Nacht Manuelles Schließsystem
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Personenkontrolle beim Empfang
- Sorgfältige Auswahl von Reinigungspersonal
• Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Verschlüsselung von Datenträgern:
Verschlüsselung von Notebooks, USB Sticks und von sonstigen mobilen Datenträgern auf denen sich Daten des Auftraggebers befinden Benutzerrechte vergeben
Zuordnung von Benutzerrechten
- Erstellen von Benutzerprofilen
- Passwortvergabe
- Authentifikation mit Benutzername / Passwort
- Schlüsselregelung (Schlüsselausgabe etc.)
- Personenkontrolle beim Empfang
- Sorgfältige Auswahl von Reinigungspersonal
- Einsatz von Anti-Viren-Software
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
Zugang zu Daten des Auftraggebers durch Dritte ausschließen
- Zuordnung von Benutzerrechten
- Zuordnung von Benutzerprofilen zu IT- Systemen
Besucherkontrolle
- Personenkontrolle beim Empfang
Schutz
- Einsatz von Anti-Viren- Software
- Einsatz einer Hardware- Firewall
• Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen:
Schriftliches Berechtigungskonzept des Auftragnehmers Erstellen eines Berechtigungskonzepts
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Sichere Aufbewahrung von Datenträgern
- physische Löschung von Datenträgern vor Wiederverwendung
- ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
- Protokollierung der Vernichtung
- Verschlüsselung von Datenträgern oder sichere Datenübertragungswege
• Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing:
systematisch getrennte Speicherung auf gesonderten Ordnern oder Datenträgern
- Erstellung eines Berechtigungskonzepts
- Festlegung von Datenbankrechten
- Trennung von Produktiv- und Testsystem
•
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und
organisatorischen Maßnahmen unterliegen:
Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
• Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.:
Verschlüsselung, Virtual Private Networks (VPN):
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
- Beim physischen Transport: sichere Transportbehälter/-verpackungen
- Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen
• Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement:
- Veränderung / Erfassung von Daten des Auftraggebers
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
• Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; onsite/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne:
Daten auf Serversystemen, werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert.
Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.
Mitarbeiter sind verpflichtet, keine Unternehmensdaten oder Daten von Kunden auf lokalen
Speichermedien, sondern stets auf den Servern zentral zu speichern, um eine ordnungsgemäße
Sicherung der Daten zu gewährleisten.
Das Einspielen von Backups wird regelmäßig getestet.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
• Datenschutz-Management
Datenschutz Mitarbeiter Vereinbarungen, Verschlüsselung, Passwörter, Zutrittskontrolle, TOM´s , Aktualisierung des Verfahrensverzeichnis, Verfügbarkeitsprüfung
• Incident-Response-Management (Vorfallsrisiko)
Mitarbeiterschulung Risiko- und Folgeabschätzung, Schadeneindämmung, Ausmerzung der Ursache, Wiederherstellung betroffener Systeme, Dokumentation, Analyse
•
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO):
Privacy by Design - datenschutzkonforme Konzeption und Entwicklung von IT-Systemen Privacy by Default - Datenbanken und Benutzer Gruppenrechte
• Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement,wie Nachkontrollen der technischen und organisatorischen Maßnahmen.