Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AV-Vertrag") wird geschlossen zwischen dem Auftraggeber (nachfolgend "Verantwortlicher") und:

Net-Evolution
Inhaber: Marvin Henrich
Weinbergstraße 17
55452 Dorsheim
Deutschland
E-Mail: info@net-evolution.de

(nachfolgend "Auftragsverarbeiter")

Der AV-Vertrag ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Erbringung von IT-Sicherheitsdienstleistungen (nachfolgend "Hauptvertrag") und konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der im Hauptvertrag vereinbarten IT-Sicherheitsdienstleistungen.

(2) Die Dauer dieses AV-Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, sofern nicht darüber hinausgehende Aufbewahrungspflichten bestehen.

(3) Der Verantwortliche ist im Rahmen dieses AV-Vertrags für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich (Art. 4 Nr. 7 DSGVO).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt im Rahmen folgender Tätigkeiten:

• Durchführung von Security Audits und Penetrationstests, bei denen der Auftragsverarbeiter Zugang zu Systemen erhält, die personenbezogene Daten enthalten können;
• Analyse von Logdateien, Konfigurationen und Netzwerkverkehr, die personenbezogene Daten enthalten können;
• Erstellung von Sicherheitsberichten, die Verweise auf personenbezogene Daten enthalten können;
• Verarbeitung von Kontaktdaten des Verantwortlichen und seiner Mitarbeiter im Rahmen der Projektdurchführung;

Der Zweck der Verarbeitung besteht ausschließlich in der Erbringung der im Hauptvertrag vereinbarten IT-Sicherheitsdienstleistungen.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Arten personenbezogener Daten verarbeitet werden:

• Stammdaten (z. B. Name, Vorname, Firma, Position)
• Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer, Anschrift)
• Zugangsdaten und Authentifizierungsdaten (z. B. Benutzernamen, Passwort-Hashes, Zertifikate)
• Nutzungsdaten und Protokolldaten (z. B. IP-Adressen, Log-Dateien, Zugriffsprotokolle)
• Kommunikationsdaten (z. B. E-Mail-Inhalte, Chat-Nachrichten im Rahmen der Projektdurchführung)
• IT-Systemdaten (z. B. Konfigurationsdaten, Netzwerkarchitektur, Vulnerability-Scans)

§ 4 Kategorien betroffener Personen

Die von der Verarbeitung betroffenen Personengruppen umfassen:

• Mitarbeiter des Verantwortlichen
• Kunden und Geschäftspartner des Verantwortlichen (soweit deren Daten in den geprüften Systemen enthalten sind)
• Nutzer der IT-Systeme des Verantwortlichen
• Ansprechpartner und Projektbeteiligte beim Verantwortlichen

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

(1) Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer anderen Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht verbietet.

(2) Zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage 1).

(4) Die in § 7 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einzuhalten.

(5) Den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen nachzukommen.

(6) Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen.

(7) Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben und bestehende Kopien zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(8) Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.

(9) Den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.

(10) Den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten zu benachrichtigen (Art. 33 Abs. 2 DSGVO). Die Benachrichtigung muss mindestens folgende Informationen enthalten:

• Beschreibung der Art der Verletzung;
• Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze;
• Beschreibung der wahrscheinlichen Folgen der Verletzung;
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

§ 6 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags.

(2) Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen, wobei das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden darf. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen mitzuteilen.

(4) Die konkreten Maßnahmen sind in Anlage 1 (TOM) beschrieben.

§ 7 Unterauftragsverarbeitung

(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur nach vorheriger allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen. Die aktuell genehmigten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei der Verantwortliche die Möglichkeit hat, gegen derartige Änderungen Einspruch zu erheben. Der Einspruch muss innerhalb von 14 Kalendertagen nach Mitteilung erfolgen.

(3) Der Auftragsverarbeiter hat bei der Einschaltung von Unterauftragsverarbeitern diesen dieselben Datenschutzpflichten aufzuerlegen, die in diesem AV-Vertrag festgelegt sind, insbesondere hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

(4) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

§ 8 Rechte der Betroffenen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person mit einem Antrag auf Ausübung ihrer Rechte direkt an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, soweit sie in seinem Einflussbereich liegen und der Verantwortliche nicht selbst über diese Informationen verfügt.

§ 9 Kontrollrechte

(1) Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall benannte Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses AV-Vertrags durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis der Umsetzung der technischen und organisatorischen Maßnahmen kann auch durch Vorlage eines aktuellen Testats, eines Berichts oder Berichtsauszugs eines unabhängigen Dritten (z. B. Wirtschaftsprüfer, Datenschutz- auditor) oder einer geeigneten Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit erbracht werden.

§ 10 Löschung und Rückgabe

(1) Nach Abschluss der vertraglich vereinbarten Leistungen oder nach Aufforderung durch den Verantwortlichen, spätestens mit Beendigung des Hauptvertrags, hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Verantwortlichen entweder zu vernichten oder an den Verantwortlichen zu übergeben.

(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter über das Vertragsende hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufzubewahren. Er kann sie nach Vertragsende dem Verantwortlichen zu seiner Entlastung aushändigen.

(3) Die Löschung ist zu dokumentieren und dem Verantwortlichen auf Anfrage nachzuweisen.

§ 11 Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den einschlägigen nationalen Haftungsregelungen. Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrags.

(2) Der Auftragsverarbeiter haftet gegenüber betroffenen Personen gemäß Art. 82 Abs. 2 DSGVO nur für Schäden, die durch eine nicht den rechtmäßig erteilten Anweisungen des Verantwortlichen entsprechende Verarbeitung oder durch ein Handeln entgegen oder unter Verstoß gegen die speziell den Auftragsverarbeitern auferlegten Pflichten der DSGVO verursacht wurden.

(3) Wird eine Partei von einer betroffenen Person auf Schadensersatz nach Art. 82 DSGVO in Anspruch genommen, wird sie die andere Partei unverzüglich informieren.