Vertrag über die Auftragsdatenverarbeitung zum Vertrag der externen Kassendatensicherung (ADV-Vertrag)
wird der nachfolgende Vertrag geschlossen:
zwischen
moonlightSoft, Beate Schlimgen Hauptstr. 122
51465 Bergisch-Gladbach (nachfolgend Herstellerin genannt)
und
Friseursalon Godemann
Ulf Godemann Pferdemarkt 13/14
18273 Güstrow
1. Präambel
Die nachfolgenden Regelungen gelten, soweit die Herstellerin personenbezogene Daten für den Kunden verarbeitet. Soweit in diesem Vertrag Tätigkeiten der Herstellerin aufgeführt werden, sind dies rein tatsächliche Beschreibungen und begründen keinen Anspruch des Kunden auf diese Tätigkeiten. Ansprüche auf diese Tätigkeiten ergeben sich aus dem Vertrag zur externen Kassendatensicherung mit Supportkarte (Hauptvertrag).
2. Auftragsdatenverarbeitung
- 2.1 Gegenstand und Dauer des AuftragsDie Vertragsparteien schlossen einen Vertrag zur Datensicherung und Supportkarte. Danach erhält der Kunde eine Datensicherung, aller kassenrelevanten Daten auf einem externen Sicherungsspeicher. Der Support, erfolgt per Abruf und wird im Minutentakt berechnetDer Auftrag wie auch Vertrag zur Datensicherung und Supportkarte ist unbefristet erteilt. Er kann von beiden Parteien mit einer Frist von einem Monat zum Ende des Kalenderjahres gekündigt werden. Darüber hinaus können beide Parteien diesen Vertrag ohne Einhaltung einer Kündigungsfrist kündigen, wenn ein wichtiger Grund vorliegt. Ein wichtiger Grund liegt insbesondere vor, wenn der Hauptvertrag beendet ist.
- 2.2 Umfang, Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der BetroffenenHinsichtlich der Verarbeitung oder Nutzung von Daten, sowie hinsichtlich des Umfangs, der Art und des Zwecks der vorgesehenen Erhebung von Daten gilt Folgendes:Zur Durchführung des Vertrages zur Datensicherung und Supportkarte, wird die Herstellerin gegebenenfalls über einen Remote-Fernzugriff oder durch Vor-Ort-Zugriff auf die IT-Systeme des Kunden zugreifen (zur Sichtung, Analyse, Installation, Programmierung, Deinstallation, etc.) und seine Daten auf die Speichermedien der Herstellerin kopieren, um diese dann zu untersuchen (insbesondere die Datenbank oder ein komplettes Systemimage). Die Herstellerin erhebt, verarbeitet oder nutzt dabei folgende Datenarten:
– Adressdaten
– Angebotsdaten
-2-
- – Bankverbindungsdaten
- – Bestelldaten
- – Kontaktdaten
- – Transaktionsdaten
- – Abrechnungsdaten
- – Kassenbelege
– Mitarbeiterdaten
– Leistungsdaten
– Nutzungsdaten
– Interessen / Profile
– Authentifizierungsdaten
Zum Kreis der Betroffenen gehören daher sämtliche natürlichen Personen, die in einer Geschäftsbeziehung oder einer mittelbaren Beziehung mit dem Kunden oder mit einem mit ihm nach § 15 ff. AktG verbundenen Unternehmen stehen. Dies sind insbesondere die Mitarbeiter der vorgenannten Unternehmen, Kunden und deren Mitarbeiter, Lieferanten und deren Mitarbeiter.
Die personenbezogenen Daten werden ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) verarbeitet oder genutzt. Jede Verlagerung in ein Drittland bedarf der Einwilligung des Kunden und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
2.3 Technische und organisatorische Maßnahmen
Die Herstellerin setzt die sich aus der Anlage 1 ergebenden technischen und organisa-
torischen Maßnahmen zum Schutz von personenbezogenen Daten um.
Ausnahme des Speicherhostings erbringt die Herstellerin sämtliche Leistungen selbst. Die Leistungen des Speicherhostings erbringt sie durch einen Unterauftragnehmer. Dieser Unterauftragnehmer unterhält technischen und organisatorischen Maßnahmen und lässt diese regelmäßig prüfen und zertifizieren. Das jeweils gültige Prüfzertifikat kann auf der Website des Unterauftragnehmers kostenlos heruntergeladen werden.
Die Herstellerin lässt in regelmäßigen Abständen ein Datenschutzaudit bezüglich ihrer eigenen Datenverarbeitungsanlagen und des Umgangs mit personenbezogener Daten durch ihren Datenschutzbeauftragten durchführen. Etwaige festgestellte Mängel werden unverzüglich behoben.
-3-
2.4 Berichtigung, Löschung und Sperrung von Daten
Die Herstellerin nimmt die vom Kunden geforderte Berichtigung, Löschung oder Sperrung von personenbezogenen Daten unverzüglich in dem geforderten Umfang vor.
- 2.5 Pflichten der Herstellerin und die von ihr vorzunehmenden KontrollenDie Herstellerin wird die einschlägigen Vorschriften des BDSG in der jeweils gültigen Fassung beachten. Sie bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Die Herstellerin überwacht eigenverantwortlich die Einhaltung dieser Vorschriften.Für die Beurteilung der Zulässigkeit der Leistungen der Herstellerin sowie für die Wahrung der Rechte der Betroffenen bleibt nach § 11 Abs. 1 S. 1 BDSG der Kunde verantwortlich.Die Herstellerin wird zur Erfüllung ihrer vertraglichen und sonstigen Pflichten ausschließlich Beschäftigte (Mitarbeiter oder Dritte) heranziehen, die auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Die Herstellerin gewährleistet darüber hinaus, dass mit der Vertragserfüllung beauftragte Beschäftigte über die erforderlichen Qualifikationen und Erfahrungen sowie für die Erbringung der von der moonlightSoft geforderten Leistungen und über die entsprechende Zuverlässigkeit verfügen.Die Herstellerin kennzeichnet das Eigentum des Kunden an Daten (z.B. Datenträger, Arbeitskopien, Behältnisse) unverzüglich.
- 2.6 Berechtigung zur Begründung von UnterauftragsverhältnissenDie Herstellerin darf zur Erbringung ihrer Leistungen Unteraufträge vergeben. Die Parteien sind sich bereits jetzt darüber einig, dass die Herstellerin die STRATO AG, Pascalstr. 10, 10587 Berlin, als Unterauftragnehmer beauftragen darf.
- 2.7 Kontrollrechte des Kunden und Duldungs- und Mitwirkungspflichten der HerstellerinDer Kunde ist nach § 11 Abs. 2 S. 4 BDSG zur regelmäßigen Kontrolle der technischen und organisatorischen Maßnahmen zur Wahrung des Datenschutzes gesetzlich verpflichtet. Das Ergebnis dieser Kontrollen ist nach § 11 Abs. 2 S. 5 BDSG zu dokumentieren. Die Herstellerin unterwirft sich der Kontrolle des Datenschutzbeauftragten des Kunden (soweit vorhanden).
-4-
Der Kunde ist berechtigt, einmal jährlich oder in sachlich begründeten Fällen auch darüber hinaus die Datenverarbeitung bei der Herstellerin im Hinblick auf die in diesem Vertrag genannten Pflichten der Herstellerin zu überprüfen.
Der Kunde trägt die Kosten dieser Prüfung.
- 2.8 Besondere MitteilungspflichtenDie Herstellerin teilt dem Kunden entsprechend § 42a BDSG unverzüglich mit, wenn sie feststellt, dass bei ihr gespeicherte besondere Arten personenbezogener Daten nach
§ 3 Abs. 9 BDSG, personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen und Ordnungswidrigkeiten beziehen oder personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Die Herstellerin stellt dem Kunden alle Informationen zur Verfügung, die es dem Kunden ermöglichen zu beurteilen, ob die Rechte oder schutzwürdige Interessen der Betroffenen beeinträchtigt sind oder beeinträchtigt werden könnten.Die Herstellerin gibt dem Kunden unverzüglich Auskunft über die Art der unrechtmäßigen Kenntniserlangung und teilt dem Kunden mit, welche Maßnahmen sie zur Sicherung der Daten des Kunden bzw. der personenbezogenen Daten der Betroffenen bereits ergriffen hat. Sie teilt dem Kunden die Anzahl der von der unrechtmäßigen Übermittlung betroffenen Personen mit. Sie teilt dem Kunden zudem mit, welche Maßnahmen dem Kunden oder der Betroffene selbst ergreifen können, um mögliche Nachteile der unrechtmäßigen Übermittlung zu mindern oder zu verhindern.Sollte der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa infolge eines Insolvenzverfahrens oder durch sonstige Ereignisse gefährdet werden, hat die Herstellerin den Kunden sofort zu verständigen. - 2.9 Umfang der Weisungsbefugnisse des Kunden gegenüber der HerstellerinDie Herstellerin kommt allen Weisungen des Kunden betreffend die bei der Herstellerin gespeicherten personenbezogenen Daten unverzüglich nach.
-5-
2.10 Löschung von Daten
Die Herstellerin ist verpflichtet, spätestens nach Beendigung dieses Vertrages mit dem Kunden sämtliche erhaltenen Daten auf allen Datenträgern (einschließlich der Datenbestände zur Datensicherung) zu löschen und alle etwa noch verbliebenen Arbeitskopien und Arbeitsergebnisse im eigenen Besitz, die mit diesen Daten verbunden sind, zu vernichten.
3. Änderungen dieses Vertrages
Die Inhalte dieser Datenschutz-Vereinbarung können nur durch eine schriftliche Vereinbarung zwischen den Parteien geändert werden.
Bergisch Gladbach, den 23.07.2019 – Beate Schlimgen, moonlightSoft
Güstrow, den 25.07.2019 – Ulf Godemann, Friseursalon Godemann
-6-
Anlage 1
zum Vertrag über die Auftragsdatenverarbeitung
Folgende Maßnahmen ergreift die Herstellerin, um den Datenschutz für die personenbezogenen Daten zu gewährleisten:
- Zutrittskontrolle Die Büroräume der moonlightSoft in der Hauptstr. 122, 51465 Bergisch Gladbach, befinden sich in der zweiten Etage des Gebäudes. Sie sind durch ein Sicherheitsschloss gegen unbefugten Zutritt abgesichert. In einer Liste ist vermerkt, an welchen Mitarbeiter ein oder mehrere Schlüssel ausgehändigt wurden.
- ZugangskontrolleDie Fernwartung erfolgt ausschließlich aus den Geschäftsräumen der moonlightSoft und wird mit der Software Teamviewer durchgeführt. Der Zugang erfolgt erst nach Autorisierung durch den zu unterstützenden Mitarbeiter des Kunden. Benutzerstammsätze / Userstammsätze sind angelegt.
- Zugriffskontrolle Für die Zugriffkontrolle wurde ein Berechtigungskonzept erarbeitet. In diesem Berechtigungskonzept hat jeder Mitarbeiter der moonlightSoft das Recht zur Durchführung der Fernwartung. Je nach Anforderung und Aufgabe werden differenzierte Berechtigungen für Auswertungen, Kenntnisnahme, Veränderung oder Löschung von Daten vergeben.
- Weitergabekontrolle Personenbezogene Daten werden an Dritte grundsätzlich nicht weitergegeben. moonlightSoft erbringt ihre Leistungen über die Software Teamviewer. Die Software Teamviewer arbeitet mit einer AES 256 Bit-Verschlüsslung.
- Eingabekontrolle Die Dokumentation und Nachvollziehbarkeit der Eingaben wird mit dem Sitzungsprotokoll der Software Teamviewer sichergestellt. Zusätzlich erfolgt eine Protokollierung aller getätigten Leistungen im Ticketsystem. Die Protokolle werden monatlich ausgewertet.
6. Auftragskontrolle
moonlightSoft gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle). Diese Weisungen ergeben sich aus dem zugrunde liegenden Vertrag, aus diesem Vertrag sowie aus Einzelweisungen (z.B. mündlich, schriftlich, per E-Mail).
- VerfügbarkeitskontrolleFür die Verfügbarkeit und Sicherheit personenbezogener Daten hat die STRATO AG als Unterauftragnehmerin umfangreiche technische und organisatorische Sicherheitsmaßnahmen getroffen. Diese werden regelmäßig überprüft und dem technologischen Fortschritt angepasst.Deren Rechenzentren sind vom TÜV SÜD nach ISO 27001 zertifiziert. Diese Zertifizierung umfasst ein systematisches Sicherheitskonzept sowie zahlreiche Sicherheitsmaßnahmen in der IT-Infrastruktur selbst, in der Sekundärtechnik und in der Prozesskette. Das Sicherheitskonzept orientiert sich an festgelegten Standards und wird regelmäßig überprüft. Zu deren Sicherheitsmaßnahmen gehören Datenspiegelung zwischen beiden Rechenzentren, batteriegestützte unterbrechungsfreie Stromversorgung, Notstromdiesel für bis zu vier Wochen durchgängig autonomen Betrieb, Laser-Feuermelder und Löschgas, Zutritts- und Zugangsregeln, Verpflichtungen und Schulungen der Mitarbeiter sowie regelmäßige Analysen neuer Sicherheitsanforderungen.
- TrennungskontrollemoonlightSoft nutzt getrennte Systeme und betreibt einen eigenen Server, auf dem ausschließlich Kundendaten gespeichert sind. Auf diesem Server werden die Testdaten für jeden Kunden getrennt aufbewahrt.