Auftrag zur Datenverarbeitung Auftrag zur Datenverarbeitung gemäß $11 BDSG / Art. 17 EG-Datenschutzrichtlinie für Kunden der EU Stand 1.Quartal 2016 Zwischen […………………………..] - Auftraggeber - und crowdhouse GmbH -Auftragnehmer- Dieses Dokument konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im SaaS-Rahmenvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. 1. Gegenstand, Zweck und Umfang der Datenverarbeitung 1.1 Der Gegenstand des Auftrags ergibt sich aus dem SaaS-Rahmenvertrag, auf den hier verwiesen wird. Der Auftragnehmer erhebt, verarbeitet oder nutzt die personenbezogenen Daten im Auftrag des Auftraggebers im Sinne des § 11 BDSG zu den im SaaS-Rahmenvertrag und der Leistungsbeschreibung genannten Zwecken. 1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag. 1.3 Der Auftraggeber ist gemäß SaaS-Rahmenvertrag 4.2.2 für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»verantwortliche Stelle« im Sinne des § 3 Abs. 7 BDSG). 1.4 Die Weisungen werden anfänglich durch den SaaS-Rahmenvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, xitavis ® Seite 1/7 crowdhouse GmbH Auftrag zur Datenverarbeitung ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. 1.5 Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind folgende Datenkategorien 1.6 Benutzerdaten (Name, Vorname, Login, Passwort, E-Mail) Kontaktdaten (Name, Fax, Telefon, E-Mail) Firmendaten (Name, Anschrift) Planungs- und Steuerungsdaten Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst Personal und Mitarbeiter des Auftraggeber Ansprechpartner, Mitarbeiter der Geschäftspartner des Auftraggebers 1.7 Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. 2. Pflichten des Auftragnehmers 2.1 Der Auftragnehmer darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2.2 Der Auftragnehmer wird die für ihn anwendbaren datenschutzrechtlichen Verpflichtungen beachten und deren Einhaltung regelmäßig überprüfen. 2.3 Er wird das Datengeheimnis gemäß § 5 BDSG wahren und hat bei der Erhebung, Verarbeitung oder Nutzung ausschließlich Beschäftigte einzusetzen, die auf das Datengeheimnis verpflichtet sind. Er hat insbesondere sicherzustellen, dass alle Personen, die mit der Durchführung des Vertrags betraut sind, sorgfältig ausgewählt werden, die gesetzlichen Bestimmungen über den Datenschutz beachten und die aus dem Bereich des Auftraggebers erlangten oder mit dessen Hilfe erarbeiteten Informationen nicht an Dritte weitergeben oder sonst unbefugt verwenden. 2.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Verstößen des Auftragnehmer oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten nach § 42a BDSG. 3. Technische und organisatorische Maßnahmen 3.1 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird xitavis ® Seite 2/7 crowdhouse GmbH Auftrag zur Datenverarbeitung technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen des Bundesdatenschutzgesetzes (Anlage zu § 9 BDSG) genügen. Dies umfasst Maßnahmen zu a) Zutrittskontrolle b) Zugangskontrolle c) Zugriffskontrolle d) Weitergabekontrolle e) Eingabekontrolle f) Auftragskontrolle g) Verfügbarkeitskontrolle h) Trennungskontrolle Als wesentliche Maßnahmen sind folgende umgesetzt: Betrieb der Produktivserver in einem externen Rechenzentrum mit den gewünschten Sicherheits- und Verfügbarkeitsanforderungen Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren Autorisierte Benutzerkennungen und individuelle Passwörter für den Zugang zu Datenverarbeitungssystemen Abgestufte, rollenbasierte Zugriffskonzepte mit unterschiedlichen Kennungen und Passwörtern für den Zugriff auf Datenverarbeitungssysteme Einsatz von Audit-Protokollen Logische Trennung der Daten nach Mandant und Projekt Trennung von Produktiv- und Testsystem getrennte Aufbewahrung der Backups Die Maßnahmen werden vom Auftragnehmer im Detail dokumentiert. Die Dokumentation kann vom Auftraggeber angefordert werden. 3.2 Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 4. Rechte der Betroffenen 4.1 Der Auftraggeber ist verantwortlich für die Wahrung der Rechte der Betroffenen, die sich aus den §§ 6 und 7 BDSG ergeben. Die Rechte sind von den Betroffenen gegenüber dem Auftraggeber geltend zu machen. Der Auftragnehmer hat den Auftraggeber über die etwaige Geltendmachung solcher Rechte sofort zu unterrichten und ihn hierbei vollumfänglich, xitavis ® Seite 3/7 crowdhouse GmbH Auftrag zur Datenverarbeitung insbesondere jedoch im Hinblick auf die Auskunftserteilung, Berichtigung, Sperrung und Löschung von Daten zu unterstützen, vorausgesetzt: a) b) Der Auftragnehmer wurde vom Auftraggeber dazu aufgefordert Der Auftraggeber erstattet dem Auftragnehmer die über den vertraglich vereinbarten Leistungsumfang hinausgehenden Kosten für diese Unterstützung 4.2 Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen. 5. Begründung von Unterauftragsverhältnissen 5.1 Der Auftragnehmer ist nur nach vorheriger schriftlicher Zustimmung des Auftraggebers berechtigt, Subunternehmer mit der Erfüllung von Aufgaben aus diesem Vertrag zu beauftragen. In diesem Fall hat er sicherzustellen, dass die Regelungen dieser Vereinbarung auch von den Subunternehmern eingehalten werden. 5.2 Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung eines Subunternehmers durchgeführt, nämlich: Host Europe GmbH Hosting der Server und Bereitstellung im Internet Für diese Subunternehmer gilt die Einwilligung für das Tätigwerden als erteilt. 5.3 Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. 5.4 Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder Wartung. Der Auftragnehmer wird xitavis ® Seite 4/7 crowdhouse GmbH Auftrag zur Datenverarbeitung mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz zu gewährleisten. 6. Kontrollrechte, Duldungs- und Mitwirkungspflichten 6.1 Der Auftragnehmer gewährt dem Auftraggeber die zur Auftragskontrolle notwendigen Zutrittssowie Einsichts- und Zugriffsrechte. Er berichtet dem Auftraggeber auf Anfrage über die Einhaltung der technischen und organisatorischen Maßnahmen. 6.2 Der Auftraggeber kann sich nach rechtzeitiger Anmeldung zu Prüfzwecken während der üblichen Geschäftszeiten von der Angemessenheit und Umsetzung der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Vorschriften überzeugen. 6.3 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung alle Auskünfte innerhalb einer angemessenen Frist zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind. 6.4 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 7. Pflichten bei Beendigung des Vertragsverhältnisses 7.1 Bei Beendigung des Vertrages verpflichtet sich der Auftragnehmer, alle ihm im Rahmen dieses Vertrags übermittelten oder von ihm selbst im Auftrag des Auftraggebers erhobenen Daten oder mit dessen Hilfe erarbeiteten Informationen auf Verlangen des Auftraggebers an diesen zu übermitteln und nach erfolgreicher Übermittlung zu löschen bzw. zu sperren. Verlangt der Auftraggeber trotz schriftlicher Aufforderung keine Übermittlung, werden die Daten nach Weisung des Auftraggebers gelöscht bzw. gesperrt. 7.2 Insbesondere Dokumentationen, die dem Nachweis der ordnungsgemäßen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten dienen, sind durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 7.3 Der Auftragnehmer ist verpflichtet, auch über das Ende des Vertragsverhältnisses hinaus Stillschweigen über die ihm im Zusammenhang mit dem Auftrag bekannt gewordenen Daten zu wahren. xitavis ® Seite 5/7 crowdhouse GmbH Auftrag zur Datenverarbeitung Anhang Technische und organisatorische Maßnahmen gemäß Anlage zu § 9 BDSG Datenarten Name, Vorname, E-Mail-Adressen, Kontaktdaten (Rufnummern, Faxnummern) Firmenname und Anschrift Zwecke und Umfang der Datenverarbeitung Registrierung von Benutzern zur Nutzung des Dienstes Erfassung von Kontaktdaten zur projektinternen Kommunikation der Projektbeteiligten 1. Hosting xitavis wird in einem Rechenzentrum bei Europas größtem Business Hoster Host Europe GmbH mit Standort innerhalb der EU betrieben und im Internet via HTTPS unter der mit dem Kunden abgestimmten projektspezifischen Adresse zur Verfügung gestellt. Dieser Anbieter hat die Zertifikate „ISO 27001“ und „Trusted Cloud“ erworben und damit alle erforderlichen Maßnahmen zur Absicherung getroffen. https://www.hosteurope.de/Host-Europe/Sicherheit/ https://www.it-tuv.com/news/trusted-cloud-zertifikat-host-europe.html 2. Übertragung - Kompletter Zugriff über HTTPS gesichert - Nutzung eines Premium Organisation SSL-Zertifikats mit erweiterter Validierung durch führenden Zertifizierer Global Sign - Verschlüsselung mit 2048 Bit 3. Datenzugriff - Erhöhte Datenbanksicherheit durch ausschließliche Nutzung von Stored Procedures - Sicher vor SQL Injection - Webseitensicherung durch Validierung aller Eingaben - Ausschließlich authentifizierter Zugriff auf allen Ebenen (Webseite/Datenbank) - Datenzugriff getrennt nach Mandant und Projekt - Rollenbasierte Zugriffsberechtigung auf Daten und Funktionen innerhalb eines Projektes 4. Datensicherung - Alle 6h wird eine lokale Sicherung des Datenbanklog angelegt. xitavis ® Seite 6/7 crowdhouse GmbH Auftrag zur Datenverarbeitung - Alle 24h werden lokale vollständige Datenbankbackups angelegt. Alle 24h werden Datenbankbackups und Internetserverbackups extern beim Hoster gesichert. 5. Reporting - Zur Messung der Verfügbarkeit und Erreichbarkeit von Datenbank und Webseite wird ein Monitoring-Dienst eingesetzt - Der Anbieter überprüft die Verfügbarkeit des Providers im 30 Minuten-Takt mit Hilfe unterschiedlicher technischer Verfahren - Auf Anfrage kann ein Report der Ausfälle der letzten 31 Tage angefordert werden 6. Datenschutzerklärung - Auftragsdatenverarbeitungsvertrag mit Google nach deutschem Recht mit anonymisierter IP - https://xitavis.com/Privacy xitavis ® Seite 7/7 crowdhouse GmbH