In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Auftrag zur Datenverarbeitung

Werbung 
Auftrag zur Datenverarbeitung
Auftrag zur Datenverarbeitung
gemäß $11 BDSG / Art. 17 EG-Datenschutzrichtlinie für Kunden der EU
Stand 1.Quartal 2016
Zwischen
[…………………………..]
- Auftraggeber -
und
crowdhouse GmbH
-Auftragnehmer-
Dieses Dokument konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich
aus der im SaaS-Rahmenvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung
ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen
und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte mit
personenbezogenen Daten des Auftraggebers in Berührung kommen können.
1.
Gegenstand, Zweck und Umfang der Datenverarbeitung
1.1
Der Gegenstand des Auftrags ergibt sich aus dem SaaS-Rahmenvertrag, auf den hier verwiesen
wird. Der Auftragnehmer erhebt, verarbeitet oder nutzt die personenbezogenen Daten im
Auftrag des Auftraggebers im Sinne des § 11 BDSG zu den im SaaS-Rahmenvertrag und der
Leistungsbeschreibung genannten Zwecken.
1.2
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag.
1.3
Der Auftraggeber ist gemäß SaaS-Rahmenvertrag 4.2.2 für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung
allein verantwortlich (»verantwortliche Stelle« im Sinne des § 3 Abs. 7 BDSG).
1.4
Die Weisungen werden anfänglich durch den SaaS-Rahmenvertrag festgelegt und können vom
Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert,
xitavis ®
Seite 1/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte
Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
1.5
Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind
folgende Datenkategorien




1.6
Benutzerdaten (Name, Vorname, Login, Passwort, E-Mail)
Kontaktdaten (Name, Fax, Telefon, E-Mail)
Firmendaten (Name, Anschrift)
Planungs- und Steuerungsdaten
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses
Auftrags Betroffenen umfasst


Personal und Mitarbeiter des Auftraggeber
Ansprechpartner, Mitarbeiter der Geschäftspartner des Auftraggebers
1.7
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat
des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland
bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen
Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
2.
Pflichten des Auftragnehmers
2.1
Der Auftragnehmer darf Daten von Betroffenen nur im Rahmen des Auftrages und der
Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.
2.2
Der Auftragnehmer wird die für ihn anwendbaren datenschutzrechtlichen Verpflichtungen
beachten und deren Einhaltung regelmäßig überprüfen.
2.3
Er wird das Datengeheimnis gemäß § 5 BDSG wahren und hat bei der Erhebung, Verarbeitung
oder Nutzung ausschließlich Beschäftigte einzusetzen, die auf das Datengeheimnis verpflichtet
sind. Er hat insbesondere sicherzustellen, dass alle Personen, die mit der Durchführung des
Vertrags betraut sind, sorgfältig ausgewählt werden, die gesetzlichen Bestimmungen über den
Datenschutz beachten und die aus dem Bereich des Auftraggebers erlangten oder mit dessen
Hilfe erarbeiteten Informationen nicht an Dritte weitergeben oder sonst unbefugt verwenden.
2.4
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden
Verstößen des Auftragnehmer oder der bei ihm im Rahmen des Auftrags beschäftigten Personen
gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im
Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der
Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu
unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei
der Erfüllung der Informationspflichten nach § 42a BDSG.
3.
Technische und organisatorische Maßnahmen
3.1
Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation
so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
xitavis ®
Seite 2/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen des Bundesdatenschutzgesetzes (Anlage zu § 9
BDSG) genügen. Dies umfasst Maßnahmen zu
a) Zutrittskontrolle
b) Zugangskontrolle
c) Zugriffskontrolle
d) Weitergabekontrolle
e) Eingabekontrolle
f) Auftragskontrolle
g) Verfügbarkeitskontrolle
h) Trennungskontrolle
Als wesentliche Maßnahmen sind folgende umgesetzt:
 Betrieb der Produktivserver in einem externen Rechenzentrum mit den gewünschten
Sicherheits- und Verfügbarkeitsanforderungen
 Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren
 Autorisierte Benutzerkennungen und individuelle Passwörter für den Zugang zu
Datenverarbeitungssystemen
 Abgestufte, rollenbasierte Zugriffskonzepte mit unterschiedlichen Kennungen und
Passwörtern für den Zugriff auf Datenverarbeitungssysteme
 Einsatz von Audit-Protokollen
 Logische Trennung der Daten nach Mandant und Projekt
 Trennung von Produktiv- und Testsystem
 getrennte Aufbewahrung der Backups
Die Maßnahmen werden vom Auftragnehmer im Detail dokumentiert. Die Dokumentation kann
vom Auftraggeber angefordert werden.
3.2
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten,
wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht
unterschritten wird.
4.
Rechte der Betroffenen
4.1
Der Auftraggeber ist verantwortlich für die Wahrung der Rechte der Betroffenen, die sich aus
den §§ 6 und 7 BDSG ergeben. Die Rechte sind von den Betroffenen gegenüber dem
Auftraggeber geltend zu machen. Der Auftragnehmer hat den Auftraggeber über die etwaige
Geltendmachung solcher Rechte sofort zu unterrichten und ihn hierbei vollumfänglich,
xitavis ®
Seite 3/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
insbesondere jedoch im Hinblick auf die Auskunftserteilung, Berichtigung, Sperrung und
Löschung von Daten zu unterstützen, vorausgesetzt:
a)
b)
Der Auftragnehmer wurde vom Auftraggeber dazu aufgefordert
Der Auftraggeber erstattet dem Auftragnehmer die über den vertraglich vereinbarten
Leistungsumfang hinausgehenden Kosten für diese Unterstützung
4.2
Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den
Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen.
5.
Begründung von Unterauftragsverhältnissen
5.1
Der Auftragnehmer ist nur nach vorheriger schriftlicher Zustimmung des Auftraggebers
berechtigt, Subunternehmer mit der Erfüllung von Aufgaben aus diesem Vertrag zu beauftragen.
In diesem Fall hat er sicherzustellen, dass die Regelungen dieser Vereinbarung auch von den
Subunternehmern eingehalten werden.
5.2
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen
werden unter Einschaltung eines Subunternehmers durchgeführt, nämlich:
Host Europe GmbH
Hosting der Server und Bereitstellung im Internet
Für diese Subunternehmer gilt die Einwilligung für das Tätigwerden als erteilt.
5.3
Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer,
seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere
für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den
Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim
Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer. Durch schriftliche
Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die
datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls
auch durch Einsicht in die relevanten Vertragsunterlagen.
5.4
Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer
Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei
externem Personal, Post- und Versanddienstleistungen oder Wartung. Der Auftragnehmer wird
xitavis ®
Seite 4/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen
Datenschutz zu gewährleisten.
6.
Kontrollrechte, Duldungs- und Mitwirkungspflichten
6.1
Der Auftragnehmer gewährt dem Auftraggeber die zur Auftragskontrolle notwendigen Zutrittssowie Einsichts- und Zugriffsrechte. Er berichtet dem Auftraggeber auf Anfrage über die
Einhaltung der technischen und organisatorischen Maßnahmen.
6.2
Der Auftraggeber kann sich nach rechtzeitiger Anmeldung zu Prüfzwecken während der üblichen
Geschäftszeiten von der Angemessenheit und Umsetzung der Maßnahmen zur Einhaltung der
technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung
einschlägigen Vorschriften überzeugen.
6.3
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung alle
Auskünfte innerhalb einer angemessenen Frist zu geben, die zur Durchführung einer
umfassenden Auftragskontrolle erforderlich sind.
6.4
Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er
in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher
Bestimmungen feststellt.
7.
Pflichten bei Beendigung des Vertragsverhältnisses
7.1
Bei Beendigung des Vertrages verpflichtet sich der Auftragnehmer, alle ihm im Rahmen dieses
Vertrags übermittelten oder von ihm selbst im Auftrag des Auftraggebers erhobenen Daten oder
mit dessen Hilfe erarbeiteten Informationen auf Verlangen des Auftraggebers an diesen zu
übermitteln und nach erfolgreicher Übermittlung zu löschen bzw. zu sperren. Verlangt der
Auftraggeber trotz schriftlicher Aufforderung keine Übermittlung, werden die Daten nach
Weisung des Auftraggebers gelöscht bzw. gesperrt.
7.2
Insbesondere Dokumentationen, die dem Nachweis der ordnungsgemäßen Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten dienen, sind durch den Auftragnehmer
entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus
aufzubewahren. Der Auftragnehmer kann sie zu seiner Entlastung bei Vertragsende dem
Auftraggeber übergeben.
7.3
Der Auftragnehmer ist verpflichtet, auch über das Ende des Vertragsverhältnisses hinaus
Stillschweigen über die ihm im Zusammenhang mit dem Auftrag bekannt gewordenen Daten zu
wahren.
xitavis ®
Seite 5/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
Anhang
Technische und organisatorische Maßnahmen gemäß Anlage zu § 9 BDSG
Datenarten
 Name, Vorname, E-Mail-Adressen,
 Kontaktdaten (Rufnummern, Faxnummern)
 Firmenname und Anschrift
Zwecke und Umfang der Datenverarbeitung
 Registrierung von Benutzern zur Nutzung des Dienstes
 Erfassung von Kontaktdaten zur projektinternen Kommunikation der Projektbeteiligten
1. Hosting
xitavis wird in einem Rechenzentrum bei Europas größtem Business Hoster Host Europe GmbH mit
Standort innerhalb der EU betrieben und im Internet via HTTPS unter der mit dem Kunden
abgestimmten projektspezifischen Adresse zur Verfügung gestellt. Dieser Anbieter hat die Zertifikate
„ISO 27001“ und „Trusted Cloud“ erworben und damit alle erforderlichen Maßnahmen zur
Absicherung getroffen.
https://www.hosteurope.de/Host-Europe/Sicherheit/
https://www.it-tuv.com/news/trusted-cloud-zertifikat-host-europe.html
2. Übertragung
- Kompletter Zugriff über HTTPS gesichert
- Nutzung eines Premium Organisation SSL-Zertifikats mit erweiterter Validierung durch
führenden Zertifizierer Global Sign
- Verschlüsselung mit 2048 Bit
3. Datenzugriff
- Erhöhte Datenbanksicherheit durch ausschließliche Nutzung von Stored Procedures
- Sicher vor SQL Injection
- Webseitensicherung durch Validierung aller Eingaben
- Ausschließlich authentifizierter Zugriff auf allen Ebenen (Webseite/Datenbank)
- Datenzugriff getrennt nach Mandant und Projekt
- Rollenbasierte Zugriffsberechtigung auf Daten und Funktionen innerhalb eines Projektes
4. Datensicherung
- Alle 6h wird eine lokale Sicherung des Datenbanklog angelegt.
xitavis ®
Seite 6/7
 crowdhouse GmbH
Auftrag zur Datenverarbeitung
-
Alle 24h werden lokale vollständige Datenbankbackups angelegt.
Alle 24h werden Datenbankbackups und Internetserverbackups extern beim Hoster
gesichert.
5. Reporting
- Zur Messung der Verfügbarkeit und Erreichbarkeit von Datenbank und Webseite wird ein
Monitoring-Dienst eingesetzt
- Der Anbieter überprüft die Verfügbarkeit des Providers im 30 Minuten-Takt mit Hilfe
unterschiedlicher technischer Verfahren
- Auf Anfrage kann ein Report der Ausfälle der letzten 31 Tage angefordert werden
6. Datenschutzerklärung
- Auftragsdatenverarbeitungsvertrag mit Google nach deutschem Recht mit anonymisierter IP
- https://xitavis.com/Privacy
xitavis ®
Seite 7/7
 crowdhouse GmbH
Zugehörige Unterlagen
Anlage 1
Anlage 1
Pflanzenpflege-Vertrag zum - Artefakt
Pflanzenpflege-Vertrag zum - Artefakt
- WERBEMONTAGEN GmbH
- WERBEMONTAGEN GmbH
Anlage 1
Anlage 1
agb_werbemontagen-vermietung_gmbh
agb_werbemontagen-vermietung_gmbh
Sicherstellungsmittel - Bankgarantie
Sicherstellungsmittel - Bankgarantie
Wichtig zu wissen!
Wichtig zu wissen!
Allgemeine Geschäftsbedingungen
Allgemeine Geschäftsbedingungen
Auftraggeber - (PTW) TU
Auftraggeber - (PTW) TU
AGB als
AGB als
Servicevertrag AutomoTec
Servicevertrag AutomoTec
Druckversion
Druckversion
Wartungsvertrag
Wartungsvertrag
- Als Anlage 3 zum Dienstleistungsvertrag zwischen im Folgenden
- Als Anlage 3 zum Dienstleistungsvertrag zwischen im Folgenden
1 Vertragsgegenstand
1 Vertragsgegenstand
Software - Pflegevertrag - Hohlfeld Computersysteme
Software - Pflegevertrag - Hohlfeld Computersysteme
anzeigenvertrag - Jazz Guide Berlin
anzeigenvertrag - Jazz Guide Berlin
Fassung vom 01.04.2002, gültig ab 01.05.2002
Fassung vom 01.04.2002, gültig ab 01.05.2002
anzeigenvertrag - Jazz Guide Berlin
anzeigenvertrag - Jazz Guide Berlin
Wohin mit der Mutti? - SeLaVie24
Wohin mit der Mutti? - SeLaVie24
Herunterladen
Werbung