Auftrag gemäß Art. 28 DSGVO Vereinbarung
zwischen
Friseursalon Godemann Ulf Godemann Pferdemarkt 13/14 18273 Güstrow
– nachstehend Kunde genannt – und
Instyler GmbH, Kantstr. 23, 85098 Großmehring – nachstehend Instyler genannt –
1. Präambel
Die nachfolgenden Regelungen gelten, soweit Instyler personenbezogene Daten für den Kunden verarbeitet. Soweit in diesem Vertrag Tätigkeiten der Instyler aufgeführt werden, sind dies rein tatsächliche Beschreibungen und begründen keinen Anspruch des Kunden auf diese Tätigkeiten. Ansprüche auf diese Tätigkeiten ergeben sich entweder aus einem gesonderten Vertrag zwischen den Parteien oder aus einem Vertrag zwischen dem Kunden und einem Dritten. Die nachfolgenden Regelungen geltend ergänzend zu allen zwischen den Parteien abgeschlossenen datenschutzrechtlichen Verträgen und ersetzen alle anderen vertraglichen datenschutzrechtlichen Bestimmungen, soweit sie von den nachfolgenden Bestimmungen abweichen.
2. Auftragsdatenverarbeitung
a) Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags zum Datenumgang sind folgende Tätigkeiten der Instyler:
– Hosting des Software-As-A-Service mit zentraler Datenbank – Support-Leistungen (Fehlersuche, Beratung)
Der Auftrag ist unbefristet erteilt. Er kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende gekündigt werden. Darüber hinaus können beide Parteien diesen Vertrag ohne Einhaltung einer Kündigungsfrist kündigen, wenn ein wichtiger Grund vorliegt. Ein wichtiger Grund liegt insbesondere vor, wenn zwischen den Vertragsparteien ein Hauptvertrag über die Erbringung von Leistungen abgeschlossen wurde und dieser beendet ist.
b) Umfang, Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen Hinsichtlich der Verarbeitung oder Nutzung von Daten, sowie hinsichtlich des Umfangs, der Art und des Zwecks der vorgesehenen Erhebung von Daten gilt Folgendes:
aa) Hosting
Instyler stellt dem Kunden Zugang zur einem webbasierten Software-Produkt als Software-As-A-Service zur Verfügung.
bb) Support-Leistungen
Im Rahmen der Support-Leistungen erbringt Instyler folgende Tätigkeiten: Wartung und Updates der Software, Fehler-Analyse und gegebenenfalls Fehlerbehebung, Beratung bei IT-relevanten Themen hinsichtlich der Software. Die Support-Leistungen können sowohl per Remote-Zugriff als auch per Vor-Ort-Service erfolgen: Dabei greift Instyler selbst über die webbasierte Software auf die Daten zu oder auf den oder die Rechner des Kunden zu. Dort führt sie die Support-Leistungen aus. Dabei kann es erforderlich sein, u.a. eine Kopie der Datenbank zu erstellen. Instyler erhebt, verarbeitet oder nutzt folgende Datenarten: Adressdaten, Bankverbindungsdaten des Kunden, Kontaktdaten, Abrechnungsdaten, Mitarbeiterdaten, Leistungsdaten, Nutzungsdaten (z.B. Kundentermine), Interessen / Profile, Authentifizierungsdaten.
Zum Kreis der Betroffenen gehören daher sämtliche natürlichen Personen, die in einer Geschäftsbeziehung oder einer mittelbaren Beziehung mit dem Kunden oder mit einem mit ihm nach § 15 ff. AktG verbundenen Unternehmen stehen. Dies sind insbesondere die Mitarbeiter der vorgenannten Unternehmen, Kunden und deren
Mitarbeiter, Lieferanten und deren Mitarbeiter.
Die personenbezogenen Daten werden ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) verarbeitet oder genutzt. Jede Verlagerung in ein Drittland bedarf der Einwilligung des Kunden und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
c) Technische und organisatorische Maßnahmen
Instyler setzt die sich aus der Anlage ergebenden technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten nach folgender Maßgabe um: Die Leistungen für das Hosting der Software erbringt Instyler durch einen Unterauftragnehmer. Dieser Unterauftragnehmer unterhält technischen und organisatorischen Maßnahmen und lässt diese regelmäßig prüfen und zertifizieren. Das jeweils gültige Prüfzertifikat kann auf der Website des Unterauftragnehmers kostenlos heruntergeladen werden. Die Support-Leistungen werden selbst erbracht. Instyler lässt in regelmäßigen Abständen ein Datenschutzaudit bezüglich ihrer eigenen Datenverarbeitungsanlagen und des Umgangs mit personenbezogener Daten durch ihren Datenschutzbeauftragten durchführen. Etwaige festgestellte Mängel werden unverzüglich behoben.
d) Berichtigung, Löschung und Sperrung von Daten
Instyler nimmt die vom Kunden geforderte Berichtigung, Löschung oder Sperrung von personenbezogenen Daten unverzüglich in dem geforderten Umfang vor.
e) Pflichten der Instyler und die von ihr vorzunehmenden Kontrollen
Instyler wird die einschlägigen Vorschriften des BDSG in der jeweils gültigen Fassung beachten. Instyler bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Instyler überwacht eigenverantwortlich die Einhaltung dieser Vorschriften. Für die Beurteilung der Zulässigkeit der Leistungen der Instyler sowie für die Wahrung der Rechte der Betroffenen bleibt nach § 11 Abs. 1 S. 1 BDSG der Kunde verantwortlich. Instyler wird zur Erfüllung ihrer vertraglichen und sonstigen Pflichten ausschließlich Beschäftigte (Mitarbeiter oder Dritte) heranziehen, die auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Instyler gewährleistet darüber hinaus, dass mit der Vertragserfüllung beauftragte Beschäftigte über die erforderlichen Qualifikationen und Erfahrungen für die Erbringung der von der Instyler geforderten Leistungen und über die entsprechende Zuverlässigkeit verfügen.
Instyler kennzeichnet das Eigentum des Kunden an Daten (z.B. Datenträger, Arbeitskopien, Behältnisse) unverzüglich.
f) Berechtigung zur Begründung von Unterauftragsverhältnissen
Instyler darf zur Erbringung von Leistungen aus dem jeweils abgeschlossenen Vertrag Unteraufträge vergeben. Instyler wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden technischen und organisatorischen Maßnahmen ein gleichwertiges Schutzniveau aufweisen.
Als Unterauftragnehmer gelten:
Für das Hosting der Web-Anwendungen und Kundendaten:
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen
OVH GmbH, Dudweiler Landstraße 5, 66123 Saarbrücken
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Für das Versenden von E-Mails wird genutzt:
Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA
Für Unterauftragnehmer außerhalb der Europäischen Union gilt, dass wir nur Serverstandorte in der EU nutzen. Für das Versenden und Empfangen von SMS wird genutzt:
CM Telecom Germany GmbH, Mainfrankenpark 53, 97337 Dettelbach
tyntec GmbH, Hofmannstrasse 25-27, 81379 Munich
MessageBird B.V., Trompenburgstraat 2C, 1079 TX Amsterdam, Netherlands
Infobip Ltd, 67 Farringdon Road, London EC1M 3JB, United Kingdom
Für das Versenden und Empfangen von WhatsApp Nachrichten wird genutzt:
Whappodo.COM! GmbH, Walter-Kolb-Str. 5-7, 60594 Frankfurt
Für das Login per Facebook wird genutzt:
Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
Für den Chat im Backend wird genutzt:
Intercom Inc., 55 2nd St. 4th Fl., San Francisco, CA 94105, USA
Keine Unterbeauftragungen im Sinne dieser Regelung sind Leistungen, die der Anbieter als reine Nebenleistung zur Unterstützung seiner geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt. Der Anbieter ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleistungen angemessene Vorkehrungen zu ergreifen.
g) Kontrollrechte des Kunden und Duldungs- und Mitwirkungspflichten der Instyler
Der Kunde ist nach § 11 Abs. 2 S. 4 BDSG zur regelmäßigen Kontrolle der technischen und organisatorischen Maßnahmen zur Wahrung des Datenschutzes gesetzlich verpflichtet. Das Ergebnis dieser Kontrollen ist nach § 11 Abs. 2 S. 5 BDSG zu dokumentieren. Instyler unterwirft sich der Kontrolle des Datenschutzbeauftragten des Kunden (soweit vorhanden). Der Kunde ist berechtigt, einmal jährlich oder in sachlich begründeten Fällen auch darüber hinaus die Datenverarbeitung bei der Instyler im Hinblick auf die in dieser Vereinbarung genannten Pflichten der Instyler zu überprüfen. Der Kunde trägt die Kosten dieser Prüfung.
h) Besondere Mitteilungspflichten
Instyler teilt dem Kunden entsprechend § 42a BDSG unverzüglich mit, wenn sie feststellt, dass bei ihr gespeicherte besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG, personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen und Ordnungswidrigkeiten beziehen oder personenbezogene Daten zu Bank oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Instyler stellt dem Kunden alle Informationen zur Verfügung, die es dem Kunden ermöglichen zu beurteilen, ob die Rechte oder schutzwürdige Interessen der Betroffenen beeinträchtigt sind oder beeinträchtigt werden könnten. Instyler gibt dem Kunden unverzüglich Auskunft über die Art der unrechtmäßigen Kenntniserlangung und teilt dem Kunden mit, welche Maßnahmen sie zur Sicherung der Daten des Kunden bzw. der personenbezogenen Daten der Betroffenen bereits ergriffen hat. Instyler teilt dem Kunden die Anzahl der von der unrechtmäßigen Übermittlung betroffenen Personen mit. Sie teilt dem Kunden zudem mit, welche Maßnahmen dem Kunden oder der Betroffene selbst ergreifen können, um mögliche Nachteile der unrechtmäßigen Übermittlung zu mindern oder zu verhindern. Sollte der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa infolge eines Insolvenzverfahrens oder durch sonstige Ereignisse gefährdet werden, hat Instyler den Kunden sofort zu verständigen.
i) Umfang der Weisungsbefugnisse des Kunden gegenüber der Instyler
Instyler kommt allen Weisungen des Kunden betreffend die bei der Instyler gespeicherten personenbezogenen Daten unverzüglich nach.
j) Löschung von Daten
Instyler ist verpflichtet, spätestens nach Beendigung dieses Vertrages mit dem Kunden sämtliche erhaltenen Daten zu löschen und alle etwa noch verbliebenen Arbeitskopien und Arbeitsergebnisse im eigenen Besitz, die mit diesen Daten verbunden sind, zu vernichten.
3. Änderungen dieses Vertrages
Die Inhalte dieser Datenschutz-Vereinbarung können nur durch eine schriftliche Vereinbarung zwischen den Parteien geändert werden.
Anlage zum Vertrag über die Auftragsdatenverarbeitung
Folgende Maßnahmen ergreift Instyler, um den Datenschutz für die personenbezogenen Daten zu gewährleisten:
1. Zutrittskontrolle
Die Büroräume der Instyler befinden sich in der Kantstr. 23, 85098 Großmehring. Sie sind durch ein Sicherheitsschloss gegen unbefugten Zutritt abgesichert. In einer Liste ist vermerkt, an welchen Mitarbeiter ein oder mehrere Schlüssel ausgehändigt wurden.
Außerdem unterhält die Instyler Büroarbeitsplätze im Digitalen Gründerzentrum der Stadt Ingolstadt, Am Stein 9, 85049 Ingolstadt, sowie im HomeOffice der Mitarbeiter. Unterlagen sind durch Sicherheitsschloss in Schließfächern gegen unbefugten Zugriff geschützt. PCs und Notebooks sind durch Hardware-nahe Verschlüsselung (Festplattenverschlüsselung) und EDV-üblichen Zugangsbeschränkungen geschützt.
2. Zugangskontrolle
Die Fernwartung wird mit der Software TeamViewer durchgeführt. Der Zugang erfolgt erst nach Autorisierung durch den zu unterstützenden Mitarbeiter des Kunden.
Der Zugriff auf die webbasierte Software des Kunden ist per Passwort geschützt und erfolgt erst nach Autorisierung durch den zu unterstützenden Mitarbeiter des Kunden.
3. Zugriffskontrolle
Für die Zugriffkontrolle wurde ein Berechtigungskonzept erarbeitet. In diesem Berechtigungskonzept hat jeder Mitarbeiter der Instyler das Recht zur Durchführung der Fernwartung und Zugriff auf die webbasierte Software per Passwort.
4. Weitergabekontrolle
Personenbezogene Daten werden an Dritte grundsätzlich nicht weitergegeben.
5. Auftragskontrolle
Instyler gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle). Diese Weisungen ergeben sich aus dem zugrunde liegenden Vertrag, aus diesem Vertrag sowie aus Einzelweisungen (z.B. mündlich, schriftlich, per E-Mail).
6. Verfügbarkeitskontrolle
Für die Verfügbarkeit und Sicherheit personenbezogener Daten haben die Unterauftragnehmerin umfangreiche technische und organisatorische Sicherheitsmaßnahmen getroffen. Diese werden regelmäßig überprüft und dem technologischen Fortschritt angepasst. Rechenzentren der Unterauftragnehmer sind vom TÜV SÜD nach ISO 27001 zertifiziert. Diese Zertifizierung umfasst ein systematisches Sicherheitskonzept sowie zahlreiche Sicherheitsmaßnahmen in der IT-Infrastruktur selbst, in der Sekundärtechnik und in der Prozesskette. Das Sicherheitskonzept orientiert sich an festgelegten Standards und wird regelmäßig überprüft. Zu deren Sicherheitsmaßnahmen gehören Datenspiegelung zwischen beiden Rechenzentren, batteriegestützte unterbrechungsfreie Stromversorgung, Notstromdiesel für zeitlich begrenzten autonomen Betrieb, Laser- Feuermelder und Löschgas, Zutritts- und Zugangsregeln, Verpflichtungen und Schulungen der Mitarbeiter sowie regelmäßige Analysen neuer Sicherheitsanforderungen.
Unterschrift des Kunden: ULF GODEMANN