für Softwareanwendungen
Stand: Falkensee, den 12.02.2022
Präambel
Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten, die sich durch den Vertragsschluss zur Auftragsverarbeitung ergeben. Sie sind Bestandteil der AGB des Dienstanbieters (im Folgenden: Auftragsverarbeiter) und werden vom Nutzer (im Folgenden: Verantwortlicher) gleichermaßen anerkannt.
Vertragsparteien
Diese Vereinbarung wird zwischen dem Auftraggeber/Vertragspartner (und der PlusFix UG (haftungsbeschränkt) als Auftragsverarbeiter mit Sitz in Kantstraße 53, 14612 Falkensee geschlossen.
1. Gegenstand, Nutzung und Laufzeit
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung von im Auftrag genutzten Softwareanwendungen zwecks Nutzung durch den Verantwortlichen oder im Dienstverhältnis mit dem Auftraggeber. Die Bereitstellung erfolgt im Wege des Zugriffs über das Internet und im Rahmen des zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossenen Vertrags.
(2) Gegenstand des Auftrags ist nicht die vom Auftragsverarbeiter durchgeführte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Im Rahmen der Leistungserbringung des Auftragsverarbeiters erfolgt jedoch Zugriff auf personenbezogene Daten des Verantwortlichen.
(3) Der Auftragnehmer kann, die vom Auftraggeber zur Verfügung gestellten und im Rahmen seiner Leistungserbringung zusätzlich gewonnenen Daten für die Weiterentwicklung und Erweiterung des Leistungsangebotes aggregieren und die aggregierten Daten in eigenem Namen veröffentlichen. Dies beschränkt sich auf ausschließlich anonymisierte, aggregierte Daten ohne jeglichen Personenbezug.
(4) Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Vertrags zur Nutzung der Leistungen des Auftragsverarbeiters. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
2. Pflichten des Verantwortlichen
(1) Der Verantwortliche bleibt die alleinige verantwortliche Stelle der Daten im Sinne des Datenschutzrechts (§ 4 Nr. 7 DSGVO ) und ist für
die Rechtmäßigkeit der Datenverarbeitung, -erhebung und -nutzung sowie für
die Wahrung der Rechte der Betroffenen alleine verantwortlich. Dies gilt auch im Hinblick auf die Einhaltung etwaiger besonderer gesetzlicher Schweigepflichten des Verantwortlichen (z.B. für Ärzte, Rechtsanwälte und bestimmte Versicherungen, § 203 StGB). Falls erforderlich, hat der Verantwortliche die Betroffenen (z.B. seine Beschäftigten oder Kunden) über Datenverarbeitungen zu informieren oder entsprechende Einwilligungen einzuholen.
(2) Die Datenerhebung, -verarbeitung und -nutzung durch den Auftragsverarbeiter erfolgt im Rahmen der Zurverfügungstellung einer standardisierten, aber konfigurierbaren Software über das Internet. Der Verantwortliche übt sein Weisungsrecht in Bezug auf die Daten entsprechend durch Einrichtung und Benutzung der Software aus. Im Übrigen sind Weisungen schriftlich zu erteilen oder mündliche Weisungen unverzüglich schriftlich zu bestätigen. Dem Verantwortlichen bleiben Weisungen im Wesentlichen bei gesondert zu vereinbarenden und zu vergütenden Anpassungen der Software oder Datenmigration vorbehalten. Geht der Inhalt von Weisungen des Verantwortlichen über dasjenige hinaus, was der Auftragsverarbeiter dem Verantwortlichen gemäß dem Hauptvertrag schuldet, hat der Verantwortliche die entsprechenden Leistungen dem Auftragsverarbeiter gesondert zu vergüten. Ist eine Weisung nur mit unverhältnismäßig hohem Aufwand umsetzbar, steht dem Auftragsverarbeiter ein Recht zur außerordentlichen Kündigung des Hauptvertrages und dieses Vertrages zu.
(3) Machen Dritte (einschließlich öffentliche Stellen) gegenüber dem Auftragsverarbeiter Ansprüche bzw. Rechtsverletzungen geltend, die auf der Behauptung beruhen, dass der Verantwortliche gegen seine vertraglichen Pflichten verstoßen hat, insbesondere wenn Betroffene gegen den Auftragsverarbeiter mit der Behauptung vorgehen, die Verarbeitung der Daten verstoße gegen ihre Rechte, so gilt Folgendes:
Der Verantwortliche wird den Auftragsverarbeiter von diesen Ansprüchen unverzüglich freistellen, dem Auftragsverarbeiter bei der Rechtsverteidigung angemessene Unterstützung bieten und den Auftragsverarbeiter von den Kosten der Rechtsverteidigung freistellen. Voraussetzung für diese Freistellungspflicht ist, dass der Auftragsverarbeiter den Verantwortlichen über geltend gemachte Ansprüche unverzüglich schriftlich informiert, keine Anerkenntnisse oder gleichkommende Erklärungen abgibt und es dem Verantwortlichen ermöglicht, auf Kosten des Verantwortlichen – soweit möglich – alle gerichtlichen und außergerichtlichen Verhandlungen über die Ansprüche zu führen.
3. Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen und zum Zwecke der Bereitstellung der Software für den Verantwortlichen und nach den Weisungen des Verantwortlichens. Der Auftragsverarbeiter verwendet die personenbezogenen Daten für keine anderen Zwecke und gibt die Daten insbesondere nicht unbefugt an Dritte weiter.
(2) Der Auftragsverarbeiter gestaltet die innerbetriebliche Organisation in seinem Verantwortungsbereich so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichens, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragsverarbeiter trifft technische und organisatorische Maßnahmen, welche die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Verantwortlichen sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
(3) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(4) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte schriftliche Weisung nach Meinung des Auftragsverarbeiters gegen das DSGVO oder gegen andere Vorschriften über den Datenschutz verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. Eine Pflicht zur rechtlichen Prüfung von Weisungen besteht für den Auftragsverarbeiter nicht.
(5) Sind personenbezogene Daten zu berichtigen, zu loschen oder zu sperren, nimmt dies der Verantwortliche durch Nutzung der entsprechenden Funktionen der Software selbst vor. Ist dies nicht möglich, übernimmt der Auftragsverarbeiter die Berichtigung, Löschung oder Sperrung nach den Weisungen des Verantwortlichens.
(6) Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland statt.
(7) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen
des Schutzes personenbezogener Daten des Verantwortlichen bekannt werden. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
(8) Sofern der Verantwortliche seine Pflicht, einem Betroffenen Auskunft über die Verarbeitung seiner personenbezogenen Daten zu geben, nur mit Hilfe des Auftragsverarbeiters erfüllen kann, wird der Auftragsverarbeiter den Verantwortlichen hierbei angemessen unterstützen. Den entstehenden Aufwand hat der Verantwortliche dem Auftragsverarbeiter zu erstatten.
4. Kontrollrechte des Verantwortlichens
(1) Der Verantwortliche ist in Bezug auf seine Daten berechtigt, die Einhaltung der gesetzlichen Vorschriften über den Datenschutz, der vertraglichen Vereinbarungen der Parteien und der Weisungen des Verantwortlichens im erforderlichen Umfang beim Auftragsverarbeiter zu kontrollieren. Kontrollen in den Betriebsstätten des Auftragsverarbeiters muss der Verantwortliche rechtzeitig im Voraus schriftlich ankündigen. Kontrollen sind zu den üblichen Geschäftszeiten und ohne wesentliche Beeinträchtigung des Geschäftsbetriebs des Auftragsverarbeiters durchzuführen.
(2) Durch Kontrollen entstehende Kosten trägt der Verantwortliche. Dies umfasst auch eine branchenübliche Aufwandsentschädigung für die Arbeitszeit des vom Auftragsverarbeiter beanspruchten Personals.
(3) Soweit durch Kontrollen Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters offenbart oder geistiges Eigentum des Auftragsverarbeiters gefährdet werden können, hat der Verantwortliche die Kontrollen durch einen fachkundigen und unabhängigen Dritten vornehmen zu lassen, der sich gegenüber dem Auftragsverarbeiter vorab schriftlich zur Verschwiegenheit verpflichtet.
5. Unterauftragsverhältnisse
(1) Der Verantwortliche erklärt sich einverstanden, dass der Auftragsverarbeiter sorgfältig ausgewählte Drittunternehmen als weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einsetzt.
(2) Im Sinne des Schutzes und der Sicherheit der Daten des Verantwortlichens trifft der Auftragsverarbeiter angemessene und gesetzeskonforme vertragliche Vereinbarungen mit Unterauftragnehmern.
(3) Auf Verlangen des Verantwortlichens teilt ihm der Auftragsverarbeiter mit, welche Unterauftragnehmer durch den Auftragsverarbeiter zur Datenerhebung, -verarbeitung und/oder -nutzung beauftragt sind und welche Dienstleistungen diese für den Auftragsverarbeiter übernehmen.
6. Schlussbestimmung
(1) Änderungen und/oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so bleiben die übrigen Bestimmungen davon unberührt. Die Vertragsparteien verpflichten sich in einem solchen Falle zur Vereinbarung von Bestimmungen, durch die ein der unwirksamen Bestimmung wirtschaftlich möglichst nahekommendes Ergebnis erzielt wird.
(3) Es gilt ausschließlich deutsches Recht. Gerichtsstand ist Potsdam.
– AVV Anlage A –
genehmigte Unterauftragnehmer
1. Datenverarbeitung
Stand: 12.02.2022
Unterauftragnehmer | Land | Adresse | Leistung |
Buchhaltungbutler GmbH | Deutschland | Scanbox #04133 Ehrenbergstr. 16a 10245 Berlin |
Bereitstellung Buchhaltungssoftware |
Flowpilot GmbH | Deutschland | Nostitzstraße 20 10961 Berlin |
Bereitstellung Liquiditätsmanagementsoftware |
Strato GmbH | Deutschland | Otto-Ostrowski-Straße 7, 10249 Berlin |
Bereitstellung Web-Hosting |
2. Support-Dienstleister
Die aktuelle Liste der Support-Dienstleister ist einzusehen unter:
– AVV Anlage B –
Technische und organisatorische Maßnahmen
Version 1.0
1. Vertraulichkeit
gemäß Art. 32 DSGVO
(1) Zutrittskontrolle
Die Räumlichkeiten der PlusFix UG (haftungsbeschränkt) unterliegen Sicherheitsregelungen zwecks Ausschluss unbefugten Zutritts:
– Die Arbeitsplätze befinden sich in zugangsgesicherten Räumlichkeiten
– Für alle Mitarbeiterinnen erfolgt nur personengebundener, kontrollierter Zutritt – Am Standort werden keine Server betrieben
– Arbeitsrechner werden bei Verlassen manuell sofort oder automatisch nach
maximal 5 Minuten Inaktivität gesperrt
– SSH-Tunneling wird eingesetzt
– Datenträger und mobile Endgeräte werden (soweit möglich) verschlüsselt
– Besucher können sich nur in Begleitung eines Mitarbeiters in den Räumlichkeiten bewegen
– Es gibt Festlegungen zur Zugangsberechtigung und Besucherregelung
Der Rechenzentrumsbetrieb unterliegt u.a. folgenden Regelungen:
– der Zutritt zum Rechenzentrum ist nur autorisierten Personen gestattet – der Zutritt ist durch ein materielles (RFID-Chip) und ein geistiges (PIN)
Identifikationsmerkmal gesichert. Es wird zwischen fest zugewiesenen und beim Sicherheitsdienst zur Abholung hinterlegten Zutrittsberechtigungen unterschieden. Bei Zutrittsberechtigungen, die zur Abholung hinterlegt sind, wird die Autorisierung durch Kontrolle des Personalausweises sichergestellt. Die Daten werden bei einem Sicherheitsdienst hinterlegt (Whitelist), so wird gewährleistet, dass nur berechtigte Personen das Rechenzentrum betreten können.
– der Zutritt zu den einzelnen Kundenschränken oder -flächen ausschließlich ist durch den Kunden und durch das zuständige Personal möglich
– die Zutrittskontrollsysteme sowie die Alarmanlagen sind über USV und Netzersatzanlage gegen Stromausfall gesichert
– das Rechenzentrum, insbesondere der Zutritt zu Sicherheitsbereichen ist mit Videoüberwachung ausgestattet
– das Rechenzentrum wird regelmäßig innerhalb vorgegebener Zeitfenster durch einen Wachdienst begangen. Die zu überprüfenden Punkte, welche der Wachdienst in den Rechenzentren zu kontrollieren hat, sind festgelegt. Auälligkeiten werden berichtet. Die vorgegebenen Laufwege des Wachdienstpersonals werden protokolliert.
(2) Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. – Festlegung des Schutzbedarfs
– Zugangsschutz
– Umsetzung einfacher Authentisierung per Username Passwort
– Protokollierung des Zugangs
– Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen – Manuelle Zugangssperre
(3) Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems:
– Erstellen eines Berechtigungskonzepts
– Verwaltung der Rechte durch Systemadministrator
– minimale Anzahl an Administratoren
– Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe,
Änderung und Löschung von Daten
– Sichere Aufbewahrung von Datenträgern
– physische Löschung von Datenträgern vor Wiederverwendung – ordnungsgemäße Vernichtung von Datenträgern
– Einsatz von Aktenvernichtern bzw. Dienstleistern
– Verschlüsselung von Datenträgern und Datenbanken
(4) Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden:
– physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern – Logische Mandantentrennung (softwareseitig)
– Erstellung eines Berechtigungskonzepts
– Festlegung von Datenbankrechten
– Trennung von Produktiv- und Testsystemen
2. Integrität
(1) Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:
– Remote-Zugriff ausschließlich mittels verschlüsselter Verbindung
– Nutzung von SSH-Tunneln
– TLS-Verschlüsselung aller Verbindungen der Anwendung über das Internet
(2) Eingabekontrolle
– Protokollierung der Eingabe, Änderung und Löschung von Daten
– Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzerkennung (nicht Benutzergruppen)
– Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
3. Verfügbarkeit und Belastbarkeit
(1) Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust und rasche Wiederherstellbarkeit:
– Backup Strategie existiert
– eine unterbrechungsfreie Stromversorgung besteht (USV)
– Räumlichkeiten sind in Brandabschnitten versehen mit einzelnen Brandschutzeinrichtungen (Feuer- und Rauchmeldeanlagen, Feuerlöscher) eingeteilt
– Klimaanlagen ist vorhanden
– Notfallmatrix besteht
Der Rechenzentrumsbetrieb stellt insbesondere u.a. sicher:
– die Stromversorgung wird durch Redundanzen sichergestellt (Notstromaggregate sowie USV-Anlagen mit n+1 Redundanz, Überbrückungszeit mindestens 15 min. bis die Notstromaggregate die Stromversorgung wieder sicherstellen – Anlaufzeit inkl. Lastübernahme 1-2 min.)
– das Rechenzentrum ist mit einer Raumklimatisierung ausgestattet ist (mittlere Temperatur 22° C +/- 4°, redundant ausgelegt (n+1), die installierten Luftfilter entsprechen DIN EN 779 G4)
– das Rechenzentrum verfügt über baulich getrennte Brandabschnitte verfügt. In den Räumlichkeiten ist eine Brandmeldeanlage und eine Brandfrühersterkennung installiert
– die Hochwasser- und Erdbebenkritikalität wurde DIN-gerecht geprüft
Falkensee, den 12.02.2022
_______________________________
Unterschrift
PlusFix UG (haftungsbeschränkt)
David Städter (Geschäftsführer)
Ort, Datum
Die Unterschrift bzw. Bestätigung wird bei Auftragserteilung
auf der beigefügten „Erklärung der rechtlichen Belehrungen“
unterschrieben.
_______________________________
Unterschrift Auftraggeber