Vereinbarung zur Auftragsdatenverarbeitung nach DSGVO
Allgemeine Pflichten des Betreibers
- Der Betreiber verpflichtet sich, seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten im erforderlichen Umfang gesichert und vor der unbefugten Erlangung oder Kenntnisnahme Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird der Betreiber vorab mit der Auftraggeberin abstimmen.
- Der Betreiber verpflichtet sich, die Daten ausschließlich im Rahmen dieses Vertrags und/oder des Hauptvertrages und/oder zur Umsetzung der Weisungen der Auftraggeberin zu erheben/zu verarbeiten/zu nutzen. Eine darüber hinaus gehende Erhebung, Verarbeitung oder Nutzung ist dem Betreiber untersagt.
- Der Betreiber stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen der Datenschutzgesetze und -verordnungen (insb. das Datengeheimnis) vertraut gemacht wurden. Die befassten Personen sind außerdem zur Einhaltung besonderer Verschwiegenheitspflichten im Sinne des § 203 StGB zu verpflichten.
- Soweit gesetzlich vorgeschrieben, bestätigt der Betreiber, dass ein/e betriebliche/r Datenschutzbeauftragte/r bestellt wurde und sichert der Auftraggeberin zu, diese/n unter Angabe seiner/ihrer Kontaktdaten zu benennen (z.B. per E- Mail). Im Falle der Bestellung einer/s neuen Datenschutzbeauftragten sind der Auftraggeberin dessen/deren Kontaktdaten unverzüglich mitzuteilen. Besteht keine Pflicht zur Bestellung einer Datenschutzbeauftragen, ist dies vom Betreiber nachzuweisen; in diesem Fall muss sie jedoch ggf. nachweisen, dass betriebliche Regelungen bestehen, die vertragsgemäße Verarbeitung der Daten gewährleisten.
- Der Betreiber wird die Auftraggeberin unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an die Auftraggeberin verweisen. Darüber hinaus hat Der Betreiber die Auftraggeberin unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet werden könnten.
- Die Auftraggeberin wird allen landes- und bundesrechtlichen sowie europarechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Sie wird insbesondere die notwendigen technischen und organisatorischen Maßnahmen verwirklichen sowie das nach Art. 30 Abs. 2 der EU- Datenschutzgrundverordnung erforderliche Verzeichnis von Verarbeitungstätigkeiten führen, soweit dies gesetzlich vorgeschrieben ist.
- Der Betreiber wird die Erfüllung seiner Pflichten regelmäßig und selbst- ständig kontrollieren und in geeigneter Weise dokumentieren.
Technische und organisatorische Maßnahmen
Der Betreiber verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.
Technisch:
– https – Domain für verschlüsselte Formular-Übertragung
– Sicherheits-Server auf EU-Boden (Berlin)
– IT-Hardware und Software (WordPress-Theme) auf dem Stand der Technik
– Firewall mit kontinuierlicher technischer Wartung
– regelmäßige Sicherheits-Updates der gesamten IT-Software
Organisatorisch:
– Datenschutzerklärung (DE/EN) im Impressum ab Inkrafttreten der EU-Datenschutzverordnung
– Check-Boxes an allen Kontaktformularen zwecks Information und Einverständnis-Erklärung der User
– Möglichkeit, Google Analytics und sonstigeTracking-Software für die eigene IP-Adresse zu deaktivieren (Link im Impressum)
– keine Datenspeicherung auf externen Festplatten oder Datenträgern („Kundendatei“)
Der Betreiber wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.
Datengeheimnis
- Der Betreiber hat dafür Sorge zu tragen, dass alle Personen, die von ihr zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, ausdrücklich zu gesetzlich vorgeschriebenen Geheimhaltungspflichten verpflichtet und über die besonderen Weisungs- und Zweckbindungen sowie gegebenenfalls besonderen Datenschutz- oder Geheimhaltungspflichten belehrt werden. Der Betreiber wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Personen werden vom Betreiber ferner darauf hingewiesen, dass die entsprechenden Verpflichtungen grundsätzlich auch nach der Beendigung der Tätigkeit fortbestehen.
- Der Betreiber versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt sind.
- Gesetzliche Offenbarungspflichten des Betreibers bleiben von den vorgenannten Regelungen unberührt.
Berichtigung, Löschung und Sperrung der Daten
Nicht mehr benötigte personenbezogene Daten oder Unterlagen dürfen nur mit Zustimmung der Auftraggeberin gesperrt oder vernichtet werden. Es gilt die Regelung, dass Der Betreiber die verarbeiteten Daten innerhalb von 2 Monaten löscht, nachdem diese nicht mehr zur Erfüllung des Geschäftszweckes benötigt werden.
Ersucht ein Betroffener den den Betreiber um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Betreiber dieser Anfrage unverzüglich nachkommen.
Einsatz von Unter-AuftragnehmerInnen (Subunternehmen)
Der Betreiber ist zum Einsatz von Unter- AuftragnehmerInnen (Subunternehmen) berechtigt.
Die Handlungen des/der Unter- AuftragnehmerIn, die mit der Vertragsdurchführung in Zusammenhang stehen, werden dem Betreiber wie eigene Handlungen zugerechnet.
Der Betreiber versichert, dass er seine Unter-AuftragnehmerInnen sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unter-AuftragnehmerInnen entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zur Auftraggeberin nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen und entsprechende Unterauftragsdatenverarbeitungsverträge sicher, dass der/die SubunternehmerIn die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
Der Betreiber hat sich von seinen Unter-AuftragnehmerInnen bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – eine/einen betrieblichen Datenschutzbeauftragte/n bestellt haben. Wenn kein/keine Datenschutzbeauftragte/r bestellt wurde oder eine solche/ ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist die Auftraggeberin vom Betreiber über diesen Umstand zu unterrichten.
Sämtliche Verträge zwischen und Unter-AuftragnehmerInnen (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen der gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.
Der Betreiber ist im Falle einer entsprechenden Aufforderung der Auftraggeberin verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des/der SubunternehmerIn zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
Dienstleistungen, die der Betreiber als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reinigungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Kurierdienste, sonstige Transportleistungen und Bewachungsdienste. Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss Der Betreiber die erforderlichen organisatorischen und technischen Vorkehrungen zum Schutz personenbezogener Daten treffen.
Sollte der Betreiber Unter-AuftragnehmerInnen in einem Drittland (Nicht- EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen wollen, darf dies nicht ohne schriftliche Einwilligung der Auftraggeberin erfolgen. Über die in den vorangegangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen und vertraglichen Pflichten eingehalten werden.