Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO

zwischen
dem Kunden
- nachstehend Auftraggeber genannt -
und
alfaview gmbh, Kriegsstr. 100, 76133 Karlsruhe
(alfaview® Video Conferencing Systems)
- nachstehend Auftragnehmer genannt -

Präambel

Der Auftragnehmer stellt dem Auftraggeber die Anwendung alfaview® zur Verfügung und erbringt in diesem Zusammenhang Leistungen auf Grundlage einer zwischen den Parteien geschlossenen Vereinbarung (nachfolgend „Hauptvertrag“ genannt). Im Rahmen dieser Leistungserbringung ist es erforderlich oder zumindest nicht auszuschließen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit den Daten des Auftraggebers zur Durchführung des Hauptvertrags.

§ 1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung

  • Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
  • Der Gegenstand und die Dauer des Auftrages sowie Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus dem Hauptvertrag und dieser Vereinbarung.
  • Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
  • Gegenstand der Erhebung und Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien: Personenbezogene Daten, welche im Rahmen der bestimmungsgemäßen Nutzung von alfaview® von den Nutzern in Online-Meetings erhoben werden. Hierbei handelt es sich in der Regel um Zugangsdaten der Teilnehmer sowie Video- und Audiodaten, welche Bildnisse und Stimmen der Nutzer enthalten; ferner auch um solche von den Nutzern von alfaview® im Rahmen der Kommunikation ausgetauschte Personenstammdaten, Kommunikationsdaten und andere personenbezogene Daten.
  • Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber, Mitarbeiter des Auftraggebers und Kommunikationspartner der nutzungsberechtigten Personen.
  • Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

§ 2 Definitionen 

1. Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
2. Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO.
3. Weisung
Eine Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Berichtigung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag und diese Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). 

§ 3 Verantwortlichkeit für die Datenverarbeitung

  • Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Daten des Auftraggebers Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
  • Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

§ 4 Technische und organisatorische Maßnahmen

  • Der Auftragnehmer sichert die Umsetzung und Einhaltung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO vor Beginn der Verarbeitung zu. Diese sind durch den Auftragnehmer in der beigefügten Anlage 1„Übersicht über die technisch-organisatorischen Maßnahmen“ dokumentiert.
  • Die in der vorgenannten Anlage dokumentierten Maßnahmen sind Grundlage dieser Vereinbarung. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
  • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

§ 5 Pflichten des Auftragnehmers

  • Der Auftragnehmer hat Daten nur nach Weisung des Auftraggebers unter Beachtung von § 7 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat ausschließlich nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
  • Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 10 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
  • Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  • Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten.
  • Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den gesetzlichen Bestimmungen zu bestellen ist) und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
  • Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit zu verpflichten.
  • Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Artt. 33, 34 DSGVO vorliegen. Soweit den Auftraggeber gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Daten des Auftraggebers (insbesondere nach Artt. 33, 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.

§ 6 Pflichten des Auftraggebers 

  • Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
  • Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  • Dem Auftraggeber obliegen die aus Artt. 33, 34 DSGVO resultierenden Meldepflichten. 

§ 7 Weisungsbefugnis des Auftraggebers

  • Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie insbesondere in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden. Weisungen des Auftraggebers dürfen die vertraglich vereinbarten Leistungspflichten aus dem Hauptvertrag nicht unmöglich machen. Einzelweisungen, die von den Festlegungen dieser Vereinbarung abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten.
  • Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
  • Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

§ 8 Unterstützungspflichten

  • Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber soweit vereinbart bei der Erfüllung dieser Pflichten mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
  • Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten.
  • Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehenden und nachzuweisenden Aufwände und Kosten sind vom Auftraggeber zu ersetzen.
  • Im Falle einer Inanspruchnahme einer Vertragspartei durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich die in Anspruch genommene Vertragspartei, die andere Vertragspartei unverzüglich zu informieren. Die Vertragsparteien werden sich bei der Abwehr des Anspruchs gegenseitig unterstützen. 

§ 9 Kontrollrechte des Auftraggebers

  • Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 3 lit. h DSGVO stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung überzeugen kann.
  • Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung dieser Kontrollen erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
  • Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
  • Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen die Daten des Auftraggebers verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.
  • Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz), einer Bestätigung der Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder der Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO erbracht werden, wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.
  • Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen.
  • Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über eine beabsichtigte Kontrolle und alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen.
  • Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 70 Euro pro Stunde pro Kontrolle.

§10 Unterauftragnehmer (weiterer Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)

  • Die Weitergabe von Aufträgen im Rahmen der im Hauptvertrag konkretisierten Tätigkeiten an Subunternehmer oder Unterauftragnehmer (im Folgenden einheitlich: Unterauftragnehmer) durch den Auftragnehmer bedarf der vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung durch den Auftraggeber. Gleiches gilt für die Ersetzung eines bestehenden Unterauftragnehmers.
  • Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Unterauftragnehmer hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anlage 2, für welche die Genehmigung mit Unterzeichnung dieser Vereinbarung als erteilt gilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Wochen zu kündigen.
  • Erteilt der Auftragnehmer unter Beachtung von Abs. 1 Aufträge an Unterauftragnehmer, so wird er sich bemühen, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer möglichst weitgehend, zumindest aber ihrem wesentlichen Inhalt nach zu übertragen. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Artt. 44 ff. DSGVO sicher.
  • Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag erbringt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann; dazu zählen insbesondere Telekommunikationsleistungen, Post- oder Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern. Der Auftragnehmer wird auch in solchen Fällen angemessene Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen sowie der Daten des Auftraggebers treffen. Insbesondere wird der Auftragnehmer mit solchen Unterauftragnehmern branchenübliche Geheimhaltungsvereinbarungen abschließen.

§ 11 Löschung von Daten und Rückgabe von Datenträgern 

  • Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten des Auftraggebers, die Gegenstand dieser Vereinbarung sind, zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Daten des Auftraggebers enthalten, an den Auftraggeber auszuhändigen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
  • Führt eine vom Auftraggeber verlangte Löschung der Daten des Auftraggebers dazu, dass der Auftragnehmer seine Leistungspflichten nach dem Hauptvertrag nicht mehr ordnungsgemäß erbringen kann, wird der Auftragnehmer von der Verpflichtung zur Leistung frei.
  • Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 12 Haftung

Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdrücklich etwas anderes vereinbart.

§ 13 Schlussvorschriften

  • Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
  • Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  • Ausschließlicher Gerichtsstand für alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.
  • Es gilt deutsches Recht.

Anlage 1

Übersicht über die technisch-organisatorischen Maßnahmen 

In Verbindung mit § 4 der Vereinbarung zur Auftragsverarbeitung verpflichten sich die Vertragsparteien in ihrem jeweiligen Verfügungsbereich und bezogen auf den Vertragsgegenstand, die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO im erforderlichen sowie angemessenen Umfang und nach dem allgemein anerkannten Stand der Technik umzusetzen.
Im Einzelnen handelt es sich um folgende Maßnahmen:

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1. Zutrittkontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
  • Einsatz von Magnet- bzw. Chipkarten für Zutrittsberechtigte
  • Videoüberwachung
  • Festlegung der zugangsberechtigten Personen
  • Closed Shop-Betrieb
  • Revisionsfähigkeit der Zugangsberechtigungen
  • Einsatz eines Zugangskontrollsystems
  • Schlüsselregelung und aktuelle Schlüsselliste
  • Protokollierung der Zu- und Abgänge
  • Empfang / Pförtner
  • Verschlossene Bürotüren und Fenster bei Abwesenheit 
2. Zugangs- und Zugriffskontrolle
Bei der Zugangskontrolle ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Bei der Zugriffskontrolle ist Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Identifikation und Authentifizierung der Benutzer/ Passwortschutz
  • Maschinelle Überprüfung der Berechtigungen
  • Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung)
  • Zeitliche Begrenzung der Zugriffsmöglichkeiten
  • Benutzerbezogene Protokollierung der (Fehl-)Zugriffe
  • Einsatz von Verschlüsselungsverfahren
  • Zentrale Vergabestelle von Benutzerrechten 
3. Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
  • Trennung von Test- und Produktivsystem
  • Mandantentrennung - Logische Trennung der Daten (z.B. unterschiedliche Dateiverzeichnisse)
  • Einsatz unterschiedlicher Verschlüsselungen 
4. Pseudonymisierung
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorische Maßnahmen unterliegen.
  • Definition der Pseudonymisierungsregel, ggf. anknüpfend an Personal-, Kunden- oder Patienten-Kennziffern (Verwendung von UUID v4)
  • Autorisierung: Festlegung der Personen, die zur Verwaltung der Pseudonymisierungs-verfahren, zur Durchführung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind
  • zufällige Erzeugung der Zuordnungstabellen oder der in eine algorithmische Pseudony-misierung eingehenden geheimen Parameter
  • Schutz der Zuordnungstabellen bzw. geheimen Parameter sowohl gegen unautorisierten Zugriff als auch gegen unautorisierte Nutzung
  • Trennung der zu pseudonymisierenden Daten in die zu ersetzenden identifizierenden und die weiteren Angaben 

II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

1. Weitergabekontrolle
Es ist Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Dokumentation der Abruf- und Übermittlungsprogramme
  • Festlegung der für die Übermittlung oder den Transport Berechtigten
  • Regelungen für die Versandart und Festlegung des Transportweges
  • Verwendung sicherer Transportbehälter
  • Sicherung des Übertragungs- und Transportweges
  • Verschlüsselung der Daten
  • Überwachung der Transportzeit
  • Vollständigkeits- und Richtigkeitsprüfung (nach der Übertragung)
  • Nutzung eines VPN 
2. Eingabekontrolle
Es ist Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  • Festlegung von Eingabebefugnissen
  • Protokollierung der Logins 

III. Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit
(Art. 32 Abs. 1 lit. c DSGVO)

1. Verfügbarkeit
Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen
  • USV (Unterbrechungsfreie Stromversorgung)
  • Redundante Leitungsversorgung
  • Notstromaggregat
  • Brandschutz- und Katastrophenordnung
  • Brandmelder
  • Räumlich getrennte Aufbewahrung der erstellten Datensicherungen
  • Redundante Serverstruktur
  • Objektsicherung insb. der Serverräume
  • Virenschutzkonzept
  • Klimatisierung 
2. Rasche Wiederherstellbarkeit
Es sind geeignete Maßnahmen zu ergreifen, um im Falle eines Verlusts, einer Zerstörung oder einer nicht gewünschten Veränderung von personenbezogenen Daten die Daten wiederherzustellen.
  • Backup-Systeme zur Wiederherstellung verlorener Daten
  • Testen der Wiederherstellung
  • Notfallkonzept mit Wiederanlaufplan 
3. Belastbarkeit/ Resilienz
Es sind geeignete Maßnahmen zu ergreifen, um im Falle von Zwischenfällen die Funktionsfähigkeit der Systeme aufrechtzuerhalten.
  • Update- bzw. Patchmanagement
  • Intrusion-Detection-and-Response-System
  • Schulung der Beschäftigten zur Erkennung von Zwischenfällen sowie zur Vermeidung zukünftiger Zwischenfälle
  • Wechsel auf Fail-Safe-Modus im Falle eines Zwischenfalls 

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d
DSGVO; Art. 25 Abs. 1 DSGVO)

1. Auftragskontrolle
Es ist eine auftrags- und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten.
  • Klare Vertragsgestaltung und –ausführung
  • Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
  • Sorgfältige Auswahl des Auftragnehmers
  • Formalisierung der Auftragserteilung
  • Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung
  • Sanktionen bei Vertragsverletzung
  • Information über neu auftretende Schwachstellen und andere Risikofaktoren, ggf. Überarbeitung der Risikoanalyse und –bewertung
  • Unregelmäßige Audits des Datenschutzbeauftragten 
2. Externe Prüfungen, Audits, Zertifizierungen
  • Es werden ausschließlich ISO 27001 zertifizierte Rechenzentren eingesetzt. Die ISO 27001 ist eine internationale Norm für Informationssicherheit. Sie dokumentiert die Sicherheit und Qualität des jeweiligen Rechenzentrums nach internationalen Standards unter anderem in Bezug auf das Sicherheitsmanagement, die Sicherheitspolitik, Zugriffs- und Zugangskontrollen, das IT-Störungsmanagement sowie die Einhaltung rechtlicher Verpflichtungen.

Anlage 2 

Übersicht über die, die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. § 10 Abs. 2

Firma Unterauftragnehmer Anschrift/Land Beschreibung der übernommenen Teilleistung
alfatraining Bildungszentrum
GmbH 
Kriegsstr. 100
76133 Karlsruhe
Deutschland
Muttergesellschaft,
Bereitstellung von Infrastruktur,
Support und Entwicklung.
Amazon AWS (Data Center
Frankfurt, Germany
)
Amazon Web Services Ireland
Limited
One Burlington Plaza
Burlington Road
Dublin
Irland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden über AWS verschlüsselt transportiert:
- Audioströme (AES verschlüsselt)
- Realtime-Events (z.B. Chatnachrichten, Benutzung des Pausebuttons)
Diese Daten werden nicht gespeichert, sondern über AWS verschlüsselt (TLS) transportiert.

Folgende Daten werden auf der Grundlage der EU-Standardvertragsklauseln im ISO-27001-zertifizierten Frankfurter Rechenzentrum von AWS verarbeitet:
- Authentifizierungsservice
- Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)
- Kundendatenbank (alle Daten, die bei der Registrierung gespeichert werden; z.B. Name, Mailadresse, Unternehmen)

Zusätzlich liegt ein Backup der Kundendatenbank verschlüsselt bei AWS. Die Daten werden bereits verschlüsselt, bevor sie an AWS geschickt werden.
SysEleven SysEleven GmbH
Umspannwerk – Aufgang C
Ohlauer Straße 43
10999 Berlin
Deutschland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden über SysEleven verschlüsselt (TLS) transportiert:
- Audioströme (AES verschlüsselt)
- Videoströme
- Realtime-Events (z.B. Chatnachrichten, Benutzung des Pausebuttons)
Google (Data Center
Frankfurt, Germany
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden auf der Grundlage der EU-Standardvertragsklauseln im ISO-27001-zertifizierten Frankfurter Rechenzentrum von Google verarbeitet:
- Authentifizierungsservice
- Benutzerservice (E-Mailadressen, Benutzerdaten, Rechnungsdaten)
- Companyservice (z.B. Nutzer anlegen)
- Kundendatenbank
noris noris network AG
Thomas-Mann- Straße 16 - 20
D-90471 Nürnberg
Deutschland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden über noris verschlüsselt (TLS) transportiert:
- Audioströme (AES verschlüsselt)
- Videoströme
- Realtime-Events (z.B. Chatnachrichten, Benutzung des Pausebuttons)
Hetzner Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden über Hetzner verschlüsselt (TLS) transportiert:
- Audioströme (AES verschlüsselt)
- Videoströme
- Realtime Events (z.B. Chatnachrichten, Benutzung des Pausebuttons)
- TLS-verschlüsselte Synchronisation der Updates zwischen Providern (z.B. Userupdates, Änderung der Berechtigungen über Benutzer-IDs)

Folgende Daten werden über Hetzner verarbeitet:
- Kundendatenbank
- Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
1und1 Cloud 1&1 Internet SE
Elgendorfer Str. 57
56410 Montabaur
Deutschland
Rechenzentrum (ISO 27001-zertifiziert)
Folgende Daten werden über 1und1 Cloud verarbeitet:
- Kundendatenbank