Der gastromatic Auftragsver­arbeitungsvertrag

Damit du in Sachen Datenschutz & gastromatic ganz gelassen auf der sicheren Seite bist, machen wir es dir so leicht wie möglich: Wir schließen mit dir einen DSGVO-konformen Auftragsverarbeitungsvertrag. Bitte fülle dazu das untenstehende Formular aus und willige in unsere Vertragsbedingungen ein – der Rest geht automatisch. Du kannst dir im Anschluss deinen Auftragsverarbeitungsvertrag direkt herunterladen.

1. Angaben deiner Firma

2. Erklärung

Vertrag zur Auftragsverarbeitung i. S. d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) zur Verarbeitung personenbezogener Daten in Zusammenhang mit der Nutzung der internetbasierten Planungs- und Verwaltungssoftware gastromatic

zwischen der:

Firmenname - Straße Hausnummer - PLZ Stadt - Kunden-Nr.

Vertreten durch:

Vorname Nachname

Elektronisch erstellt über folgende IP-Adresse:

und der

vertical cloud solution GmbH - Kasinostraße 60 - 64293 Darmstadt

- nachstehend Auftragnehmer genannt -

Präambel

Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der in den Allgemeinen Geschäftsbedingungen der vertical cloud solution GmbH in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den Auftragnehmer Beauftragte, personenbezogene Daten ("Daten") des Auftraggebers verarbeiten.

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Je nach Nutzung der Software sind folgende Datenkategorien betroffen:


1. Stammdaten

Art und Zweck der Verarbeitung:

Personalnummer, Anrede, E-Mail-Adresse, Vorname, Nachname, Mobilfunknummer, Telefonnummer, Wohnanschrift (Straße, Hausnummer, Stadt und PLZ),
Sozialversicherungsnummer, Geburtstag, Geburtsort, Art der Krankenversicherung, Staatsangehörigkeit, Geburtsname, Geburtsland, Krankenkasse,
Steuer-ID, Konfession, Familienstand, Steuerklasse, Konfession Partner, Anzahl Kinder-FB,
Kreditinsitut, IBAN, Kontohinhaber, BIC
Zweck:
Digitale Personalverwaltung, Erstellung der Lohnabrechnung.

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


2. Anstellungsverhältnis

Art und Zweck der Verarbeitung:

Anzahl der Stunden pro Woche/Monat (vereinbart), Lohn (stündlich, monatlich), Zuschläge (Art, Anzahl), Überstunden, Guttage, Fehlzeiten wegen Urlaub, Arbeitsunfähigkeit, Berufsschule, Studium, Schwangerschaft, Erziehungsurlaub und weitere.
Zweck:
Lohnabrechnung vorbereiten

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


3. Dienstpläne

Art und Zweck der Verarbeitung:

Anzahl und Zeitraum der geplanten Arbeits- und Pausenzeiten, geplanter kalkulatorischer Lohn (stündlich, monatlich), geplante Zuschläge (Art, Anzahl), geplante Überstunden, geplante Guttage, geplante Fehlzeiten wegen Urlaub, Arbeitsunfähigkeit, Berufsschule, Studium, Schwangerschaft, Erziehungsurlaub, geplante Anzahl zuschlagsberechtigter Arbeitszeiten und Abwesenheiten.
Zweck:
Erstellung von digitalen Dienstplänen.

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


4. Bewegungsdaten

Art und Zweck der Verarbeitung:

Anzahl und Zeitraum geleisteter Arbeitszeit, erarbeiteter Lohn (stündlich, monatlich), erarbeitete Zuschläge (Art, Anzahl), Überstunden, Guttage, Fehlzeiten wegen Urlaub, Arbeitsunfähigkeit, Berufsschule, Studium, Schwangerschaft, Erziehungsurlaub, Anzahl zuschlagsberechtigter Arbeitszeiten und Abwesenheiten.
Zweck:
Dokumentation der Arbeitszeiten, Erstellung der Lohnabrechnung.

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


5. Lichtbild

Art und Zweck der Verarbeitung:

Bildaufnahme (optional) der Person bei jedem Ein- und Ausstempeln (Zeiterfassung). Aufnahme wird nach Bestätigung der Arbeitszeit gelöscht.
Zweck:
Nachweis geleistete Arbeitszeit. Das Lichtbild dient zur eindeutigen Identifizierung der Person.

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


6. Standort

Art und Zweck der Verarbeitung:

Standort (optional) der Person bei jedem Ein- und Ausstempeln (Zeiterfassung). Standort wird nach Bestätigung der Arbeitszeit gelöscht.
Zweck:
Nachweis geleistete Arbeitszeit

Betroffene Personen:

Mitarbeiter und sonstige freie Mitarbeiter des Auftraggebers sowie der Auftraggeber selbst.


Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von drei Monaten gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrages bis zu der regulären Beendigung des Hauptvertrages/der Hauptverträge fort.


§ 2 Anwendungsbereich und Verantwortlichkeit

  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).
  2. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
  3. Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers in schriftlicher Form und darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.

§ 3 Pflichten des Auftragnehmers

  1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
  2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfte Wirksamkeit wird auf die vorliegenden Unterlagen und Dokumente verwiesen, deren Vorlage dem Auftragnehmer für den Nachweis geeigneter Garantien ausreicht (Vgl. Anlage Technisch-organisatorische Maßnahmen). Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  3. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
  4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  5. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.
  6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
  7. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Datenschutzbeauftragter: Proliance GmbH / www.datenschutzexperte.de, Datenschutzbeauftragter, Leopoldstr. 21, 80802 München, datenschutzbeauftragter@datenschutzexperte.de
  8. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
  9. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.
  10. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
  11. Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind. Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren.
  12. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

§ 4 Pflichten des Auftraggebers

  1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  2. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 10 entsprechend.
  3. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallenden Datenschutzfragen.

§ 5 Anfragen betroffener Personen

  1. Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
  2. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

§ 6 Nachweismöglichkeiten

  1. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
  2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu, sofern der Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
  3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

§ 7 Subunternehmer (weitere Auftragsverarbeiter)

  1. Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat.
  2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.
  3. Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:


root360 GmbH, Beethovenstraße 35, 04107 Leipzig

Beschreibung der Teilleistungen: Implementierung und Betrieb Cloud Hosting auf Basis von Amazon Web Services (AWS). Datenspeicherung auf Servern in Frankfurt am Main - Deutschland.

Sicherheiten: Auftragsverarbeitungsvertrag vorhanden.

easybill GmbH, Düsselstr. 21, 41564 Kaarst

Beschreibung der Teilleistungen: Anfertigen von Angeboten, Auftragsbestätigungen, Rechnungen und Mahnungen.

Sicherheiten: Auftragsverarbeitungsvertrag vorhanden.

Zoho Corporation, 4141 Hacienda Drive, Pleasanton, California 94588, USA

Beschreibung der Teilleistungen: Verwaltung von Kunden- und Interessentenkontakten inkl. Aufgabenmanagement für Kundenbetreuung und Vertrieb.

Sicherheiten: Die Zoho Corporation hat sich nach dem E.U.-U.S. Privacy Shield und dem Swiss-U.S. Privacy Shield Framework zertifiziert. Damit verpflichtet sich die Zoho Corporation, die EU-Datenschutzgesetze für den internationalen Datentransfer einzuhalten. Weitere Informationen zum Privacy Shield finden Sie auf der Privacy-Shield-Liste der US-Handelskammer, abrufbar unter https://www.privacyshield.gov/list. Darüber hinaus haben wir mit der Zoho Corporation einen entsprechenden Vertrag zur Auftragsverarbeitung abgeschlossen.

Intercom R&D Unlimited Company, 55 2nd Street, 4th Floor, San Francisco, California 94105

Beschreibung der Teilleistungen: Kommunikations-, Feedback- und Supporttool inkl. Helpdesk

Sicherheiten: Die Intercom.io / Inc. hat sich nach dem E.U.-U.S. Privacy Shield zertifiziert. Damit verpflichtet sich Intercom.io / Inc., die EU-Datenschutzgesetze für den internationalen Datentransfer einzuhalten. Weitere Informationen zum Privacy Shield finden Sie auf der Privacy-Shield-Liste der US-Handelskammer, abrufbar unter https://www.privacyshield.gov/list. Darüber hinaus haben wir mit der Intercom.io / Inc. einen entsprechenden Vertrag zur Auftragsverarbeitung abgeschlossen.


Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer holt der Auftragnehmer die Zustimmung des Auftraggebers ein, wobei diese nicht ohne wichtigen datenschutzrechtlichen Grund verweigert werden darf. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.


§ 8 Informationspflichten und Verletzung des Schutzes personenbezogener Daten, Schriftformklausel, Rechtswahl

  1. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen.
  2. Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
  3. Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.
  4. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.
  5. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  6. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
  7. Es gilt deutsches Recht.

§9 Haftung und Schadensersatz

Bezüglich der Haftung gelten die gesetzlichen Regelungen des Art. 82 DSGVO.


§10 Schlussbestimmungen

  1. Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.
  2. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.

Anlage - Technisch-organisatorische Maßnahmen


1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Sicherung der Büroräume sowie einzelner Bereiche durch eine elektrische Schließanlage; Berechtigungskonzept; Zutritt von Betriebsfremden nur über einen Vorraum und in Empfangnahme

Zugangskontrolle

Keine unbefugte Systembenutzung: Kennwortsicherung, automatische Sperrmechanismen, Nutzung einer active directory und Passwortverwaltungssoftware

Zugriffskontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch: Berechtigungskonzept und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen

Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden: Trennung von Produktiv-, Test- und Entwicklungsumgebungen; Eindeutige Zuordnung von Mandanten durch Organisations-ID

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Pseudonymisierung von Bewegungsdaten durch eine dem Mitarbeiter zugeordnete ID; keine Klartextspeicherung von Passwörtern


2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Speicherung, Übertragung oder Transport: Verschlüsselung, Passwortschutz mit getrennter Kennwortübermittlung, Virenschutz, Firewall

Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, kopiert oder entfernt worden sind: Protokollierung, Dokumentenmanagement;


3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch: automatisierte Datensicherung, Virenschutz, Firewall, Meldewege und Notfallpläne

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);


4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Datenschutzfreundliche Voreinstellungen
(Art. 25 Abs. 2 DS-GVO)

Auftragskontrolle
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit); Regelmäßige Kontrolle des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit); Verpflichtung der Mitarbeiter des Auftragnehmers auf Verschwiegenheit und Vertraulichkeit; Nachweise für Schulungen der Mitarbeiter des Auftragnehmers


Auftragnehmer: vertical cloud solution GmbH

_________________________________

Florian Klima, Geschäftsführer

Auftraggeber: Firmenname

Elektronisch erstellt über folgende IP-Adresse:

Zeitpunkt der Erstellung:

_________________________________

Vorname Nachname
Entwurf herunterladen