Auftragsdatenverarbeitung (ADV) von Eisenhauer PC Lösungen, Schabrockerweg 11, 47669 Wachtendonk,
vertreten durch den Geschäftsführer Patrick Eisenhauer
Index:
- 1. Allgemeines
- 2. Verantwortlicher für die Datenverarbeitung
- 3. Art der verarbeiteten Daten
- 4. Technische und organisatorische Maßnahmen
- 5. Berichtigung, Sperrung und Löschung von Daten
- 6. Kontrollen und sonstige Pflichten des Auftragnehmers
- 7. Unterauftragsverhältnisse
- 8. Kontrollrechte des Auftraggebers
- 9. Mitteilung bei Verstößen des Auftragnehmers
- 10. Weisungsbefugnis des Auftraggebers
- 11. Löschung von Daten und Rückgabe von Datenträgern
- 12. Wahrung von Geschäftsgeheimnissen
- 13. Kontaktpersonen
- ANHANG 1 zu den Allgemeinen Bedingungen zur Auftragsdatenverarbeitung
Gegenstand dieser Vereinbarung sind die Rechte und Pflichten des Auftraggebers (im Folgenden „Kunde“) und der Firma Eisenhauer PC Lösungen (im Folgenden „Auftragnehmer“ oder „EPL“) im Hinblick auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Leistungserbringung. Dies gilt für alle IT-Dienstleistungen, die personenbezogene Daten umfassen, wie Auftragsdatenverarbeitung, Datenhosting und ähnliche Leistungen.
EPL verpflichtet sich, die personenbezogenen Daten gemäß den geltenden datenschutzrechtlichen Bestimmungen, insbesondere der DSGVO, zu verarbeiten. Die Vereinbarung regelt die datenschutzrechtlichen Pflichten des Auftragnehmers bezüglich der Erhebung, Speicherung, Bearbeitung, Übertragung, Sicherung und Löschung personenbezogener Daten.
Der Auftragnehmer verarbeitet Daten ausschließlich im Auftrag und nach den Weisungen des Auftraggebers. Er ergreift alle erforderlichen Maßnahmen, um die Daten vor unbefugtem Zugriff oder Missbrauch zu schützen.
Falls Subunternehmer eingesetzt werden, wird der Auftraggeber darüber informiert, und diese sind ebenfalls an die Vereinbarung gebunden.
Diese Vereinbarung ist Teil der allgemeinen Geschäftsbedingungen von EPL und tritt mit der Annahme des Vertrags durch den Auftraggeber in Kraft.
Im Rahmen der vereinbarten IT-Dienstleistungen übernimmt der Auftragnehmer, Eisenhauer PC Lösungen (EPL), die Rolle des Auftragsverarbeiters gemäß der Datenschutz-Grundverordnung (DSGVO). EPL verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers (Kunden), wobei der Auftraggeber der „Verantwortliche“ im Sinne der DSGVO bleibt.
2.1 Auftragsverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Auftrag des Auftraggebers und im Rahmen der vertraglichen Vereinbarungen, die im Hauptvertrag zwischen EPL und dem Auftraggeber festgelegt sind. Der Auftragnehmer ist in seiner Tätigkeit an die Weisungen des Auftraggebers gebunden, die im Rahmen der vertraglichen Leistungsbeschreibung sowie durch etwaige Einzelweisungen, die während der Laufzeit des Vertrags erteilt werden, festgelegt sind.
Die Verarbeitung umfasst insbesondere alle Tätigkeiten, die im Zusammenhang mit den vertraglich vereinbarten IT-Dienstleistungen stehen, wie z. B. die Bereitstellung von Hosting-Services, Wartung von Softwarelösungen, Datensicherung und IT-Support. Der Umfang, die Art und der Zweck der Datenverarbeitung ergeben sich direkt aus den vertraglichen Vereinbarungen und den spezifischen Anweisungen des Auftraggebers.
2.2 Verantwortlichkeit des Auftraggebers
Der Auftraggeber bleibt in allen Fällen der Verantwortliche für die Datenverarbeitung im Sinne der DSGVO. Dies bedeutet, dass der Auftraggeber die Kontrolle darüber behält, welche personenbezogenen Daten verarbeitet werden und zu welchen Zwecken. Der Auftraggeber trägt auch die Verantwortung für die Rechtmäßigkeit der Datenerhebung und -verarbeitung, einschließlich der Einholung der erforderlichen Einwilligungen von betroffenen Personen, sofern dies notwendig ist.
2.3 Dauer der Auftragsverarbeitung
Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages zwischen dem Auftraggeber und dem Auftragnehmer. Sie endet automatisch mit der Beendigung des Vertrages oder einer schriftlichen Vereinbarung über die Auflösung der Auftragsverarbeitung. Nach Beendigung der Auftragsverarbeitung wird EPL sämtliche personenbezogenen Daten, die im Rahmen des Auftrags verarbeitet wurden, nach Wahl des Auftraggebers entweder löschen oder zurückgeben, es sei denn, gesetzliche Aufbewahrungspflichten bestehen.
2.4 Unterauftragsverhältnisse
EPL kann für die Erbringung der Dienstleistungen auch Subunternehmer einsetzen, die ebenfalls als Auftragsverarbeiter tätig sind. In solchen Fällen wird EPL den Auftraggeber vorab schriftlich informieren und sicherstellen, dass die Subunternehmer an dieselben datenschutzrechtlichen Verpflichtungen gebunden sind. Der Auftraggeber hat das Recht, der Beauftragung von Subunternehmern zu widersprechen, wenn dies mit den vertraglichen Vereinbarungen nicht in Einklang steht.
3.1 Umfang und Zweck der Datenverarbeitung
Eisenhauer PC Lösungen (EPL) erhebt, verarbeitet und nutzt personenbezogene Daten im Rahmen der vertraglich vereinbarten IT-Dienstleistungen, wie sie im Hauptvertrag zwischen dem Auftraggeber und EPL festgelegt sind. Die Erhebung und Verarbeitung von personenbezogenen Daten erfolgt ausschließlich im Rahmen der vertraglichen Verpflichtungen und auf Weisung des Auftraggebers.
Der Zweck der Datenverarbeitung umfasst insbesondere die Bereitstellung und Wartung von IT-Dienstleistungen, einschließlich der Bereitstellung von Software, der Durchführung von Reparaturen, der Fehlerbehebung und der Durchführung von Systemwartungen. Des Weiteren kann die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von Support-Dienstleistungen sowie der Durchführung von Datensicherungsmaßnahmen erfolgen.
Die Verarbeitung und Nutzung der personenbezogenen Daten findet ausschließlich innerhalb der Bundesrepublik Deutschland, einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jegliche Verarbeitung in einem Drittland erfolgt nur nach vorheriger schriftlicher Zustimmung des Auftraggebers und nur, wenn die besonderen Voraussetzungen gemäß den Artikeln 44 bis 50 der Datenschutz-Grundverordnung (DSGVO) erfüllt sind, insbesondere wenn angemessene Garantien zum Schutz der Daten sichergestellt werden.
3.2 Art der verarbeiteten Daten und betroffene Personengruppen
Die Art der personenbezogenen Daten, die von EPL im Rahmen der Auftragsverarbeitung erhoben, verarbeitet oder genutzt werden, richtet sich nach den spezifischen Anforderungen der vereinbarten Dienstleistungen im Hauptvertrag. Mögliche Arten personenbezogener Daten, die betroffen sein können, umfassen:
Die betroffenen Personengruppen umfassen insbesondere:
3.3 Besondere Kategorien personenbezogener Daten
Im Rahmen der vertraglichen Leistungen erhebt und verarbeitet EPL keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO (z. B. Gesundheitsdaten, Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen). Sollte eine Verarbeitung solcher Daten erforderlich werden, erfolgt dies nur nach ausdrücklicher, schriftlicher Zustimmung des Auftraggebers und unter strenger Einhaltung der gesetzlichen Anforderungen.
4.1 Dokumentation und Prüfung der Maßnahmen
Vor Beginn der Datenverarbeitung hat der Auftragnehmer die im Vorfeld der Auftragsvergabe vereinbarten technischen und organisatorischen Maßnahmen zu dokumentieren. Diese Dokumentation umfasst sowohl allgemeine Sicherheitsvorkehrungen als auch auftragsspezifische Maßnahmen, die im Zusammenhang mit der Verarbeitung der personenbezogenen Daten erforderlich sind.
Die dokumentierten Maßnahmen werden dem Auftraggeber zur Prüfung übergeben. Nach der Prüfung und Akzeptanz durch den Auftraggeber werden die Maßnahmen Grundlage der Auftragsverarbeitung. Sollte der Auftraggeber im Rahmen einer Prüfung oder eines Audits Anpassungsbedarf feststellen, wird dieser einvernehmlich zwischen den Parteien umgesetzt.
4.2 Art der Maßnahmen
Die technischen und organisatorischen Maßnahmen beinhalten sowohl allgemeine Sicherheitsvorkehrungen als auch spezifische Maßnahmen, die auf den jeweiligen Auftrag zugeschnitten sind. Zu den allgemeinen Sicherheitsvorkehrungen zählen insbesondere:
Zusätzlich zu diesen allgemeinen Maßnahmen können spezifische Sicherheitsvorkehrungen erforderlich sein, die auf den jeweiligen Auftrag und die Art der Datenverarbeitung abgestimmt sind. Diese Maßnahmen umfassen beispielsweise den sicheren Datenaustausch, die Art und Weise der Datenverarbeitung sowie die Datenhaltung.
4.3 Anpassung und Weiterentwicklung der Maßnahmen
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der kontinuierlichen Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative, ebenso adäquate Sicherheitsmaßnahmen umzusetzen, um das Sicherheitsniveau der vereinbarten Maßnahmen zu gewährleisten. Dabei darf das Sicherheitsniveau der ursprünglich vereinbarten Maßnahmen nicht unterschritten werden.
Wesentliche Änderungen an den Maßnahmen sind zu dokumentieren und dem Auftraggeber auf Anfrage zur Verfügung zu stellen. Der Auftragnehmer hat dem Auftraggeber auf Anfrage die Angaben gemäß Artikel 30 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) bereitzustellen.
5.1 Weisung des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers und gemäß den von diesem erteilten Weisungen. Dies schließt auch die Berichtigung, Sperrung und Löschung personenbezogener Daten ein. Der Auftragnehmer wird alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die im Auftrag verarbeiteten Daten nach den Weisungen des Auftraggebers berichtigt, gesperrt oder gelöscht werden, wenn dies erforderlich ist.
5.2 Ersuchen von Betroffenen
Sollte sich eine betroffene Person direkt an den Auftragnehmer wenden, um die Berichtigung, Sperrung oder Löschung ihrer personenbezogenen Daten zu verlangen, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird die betroffene Person darauf hinweisen, dass der Auftraggeber als Verantwortlicher für die Entscheidung über die Bearbeitung des Ersuchens zuständig ist.
5.3 Umsetzung der Löschungsanforderungen
Die Löschung personenbezogener Daten erfolgt gemäß den gesetzlichen Anforderungen und den Vorgaben des Auftraggebers, spätestens jedoch nach Beendigung des Auftrags, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Der Auftragnehmer stellt sicher, dass alle relevanten Daten nach der Weisung des Auftraggebers gelöscht oder anonymisiert werden, wenn diese nicht mehr benötigt werden.
6.1 Datenschutzbeauftragter und Kontaktaufnahme
Der Auftragnehmer bestellt, soweit gesetzlich erforderlich, einen Datenschutzbeauftragten, der gemäß den Anforderungen des Abschnitts 4 der EU-DSGVO tätig wird. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber bereitgestellt, um eine direkte und unkomplizierte Kontaktaufnahme zu ermöglichen. Der Datenschutzbeauftragte sorgt dafür, dass alle datenschutzrechtlichen Anforderungen im Rahmen der Auftragsverarbeitung beachtet und umgesetzt werden.
6.2 Wahrung des Datengeheimnisses
Der Auftragnehmer verpflichtet sich, das Datengeheimnis gemäß Artikel 28 Abs. 3 lit. b der EU-DSGVO zu wahren. Alle Personen, die im Rahmen des Auftrags Zugriff auf personenbezogene Daten des Auftraggebers haben, werden auf das Datengeheimnis verpflichtet und über ihre datenschutzrechtlichen Pflichten sowie die Zweckbindung und Weisungsgebundenheit ihrer Tätigkeit belehrt.
6.3 Technische und organisatorische Maßnahmen
Der Auftragnehmer stellt sicher, dass alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Artikel 32 der EU-DSGVO ergriffen werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst insbesondere Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten, um deren unbefugten Zugriff, Verlust oder Zerstörung zu verhindern.
6.4 Information über behördliche Kontrollen
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über alle relevanten Prüfungen und Maßnahmen seitens der Aufsichtsbehörde gemäß den Artikeln 57 und 58 der EU-DSGVO zu informieren. Dies gilt auch dann, wenn eine zuständige Behörde gegen den Auftragnehmer ermittelt oder Maßnahmen anordnet.
6.5 Regelmäßige Auftragskontrolle
Der Auftragnehmer führt regelmäßige interne Kontrollen und Prüfungen durch, um sicherzustellen, dass der Auftrag in Übereinstimmung mit den vertraglichen und datenschutzrechtlichen Vorgaben ausgeführt wird. Dies umfasst insbesondere die Prüfung der Einhaltung der Datenschutzanforderungen und die Notwendigkeit zur Anpassung der technischen und organisatorischen Maßnahmen, um den fortlaufenden Anforderungen gerecht zu werden.
6.6 Nachweis der Maßnahmen
Der Auftragnehmer stellt sicher, dass alle ergriffenen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes nachweisbar sind. Auf Anfrage des Auftraggebers wird der Auftragnehmer geeignete Nachweise, wie z.B. aktuelle Testate, Prüfberichte von unabhängigen Instanzen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheitsabteilungen) oder Zertifizierungen im Bereich IT-Sicherheit und Datenschutz (z. B. BSI-Grundschutz, ISO/IEC 27001) vorlegen, um die Einhaltung der Datenschutzanforderungen zu belegen.
7.1 Genehmigung und Einbeziehung von Unterauftragnehmern
Der Auftragnehmer ist grundsätzlich berechtigt, Unterauftragnehmer in die Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers einzubeziehen. Dies ist jedoch nur mit vorheriger, schriftlicher Zustimmung des Auftraggebers gestattet. Eine solche Zustimmung gilt als erteilt, wenn der Auftraggeber innerhalb einer angemessenen Frist nach Mitteilung des Auftragnehmers keine Einwände erhebt.
7.2 Auftragskontrolle und Mitteilungspflichten
Sofern der Auftragnehmer beabsichtigt, Unterauftragnehmer einzusetzen, wird er den Auftraggeber vor Beginn der Verarbeitung oder Nutzung personenbezogener Daten über die geplante Einschaltung informieren. In dringenden Fällen oder bei der Nutzung von konzernangehörigen Unternehmen kann der Auftragnehmer auch ohne vorherige schriftliche Zustimmung des Auftraggebers Unterauftragnehmer einsetzen, vorausgesetzt, der Auftraggeber wird im Vorfeld informiert. Diese Regelung gilt jedoch nur im Einklang mit der Auftragskontrolle, die der Auftragnehmer gemäß Ziffer 6 dieser Vereinbarung zu erfüllen hat.
7.3 Vereinbarungen mit Unterauftragnehmern
Der Auftragnehmer stellt sicher, dass die vertraglichen Vereinbarungen mit Unterauftragnehmern den gleichen Datenschutzanforderungen entsprechen, wie sie in der Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, insbesondere hinsichtlich der Einhaltung der Bestimmungen der EU-DSGVO. Insbesondere muss der Unterauftragnehmer denselben Verpflichtungen zur Datensicherheit und zum Datenschutz unterliegen, wie sie dem Auftragnehmer auferlegt wurden.
7.4 Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, vom Auftragnehmer schriftlich Auskunft über die wesentlichen Vertragsinhalte der Unterauftragsverhältnisse zu verlangen. Der Auftragnehmer stellt dem Auftraggeber auf dessen schriftliche Anfrage hin die relevanten Unterlagen zur Verfügung, um eine Überprüfung der datenschutzrechtlichen Verpflichtungen des Unterauftragnehmers zu ermöglichen. Dies umfasst auch das Recht, Einsicht in die entsprechenden Verträge mit Unterauftragnehmern zu nehmen.
7.5 Austausch von Unterauftragnehmern
Der Auftragnehmer ist berechtigt, Unterauftragnehmer im Verlauf des Auftrags auszutauschen, vorausgesetzt, dies erfolgt mit einer angemessenen Ankündigungsfrist und unter Berücksichtigung der Interessen des Auftraggebers. Der Auftraggeber wird über den Austausch eines Unterauftragnehmers rechtzeitig informiert und hat die Möglichkeit, die Eignung des neuen Unterauftragnehmers zu prüfen.
7.6 Ausnahmen von der Unterauftragsregelung
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragnehmer zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt, jedoch keine wesentlichen datenschutzrechtlichen Verpflichtungen betreffen. Hierzu zählen insbesondere Leistungen wie Telekommunikationsdienste, technische Wartung, Benutzersupport, Reinigung oder Entsorgung von Datenträgern. Der Auftragnehmer verpflichtet sich jedoch, auch für solche Dienstleistungen angemessene vertragliche Vereinbarungen zu treffen und sicherzustellen, dass der Datenschutz auch im Rahmen dieser Nebenleistungen gewahrt bleibt.
7.7 Softwaremodule und Integrationen
Softwaremodule, wie beispielsweise Plug-ins oder Add-ons, die von Dritten zur Integration in die von EPL bereitgestellten Systeme genutzt werden, gelten nicht als Unterauftragnehmer im Sinne dieser Vereinbarung. Die Verantwortung für die datenschutzrechtliche Absicherung dieser Module liegt beim Anbieter der jeweiligen Software, der vom Auftragnehmer verpflichtet wird, die geltenden Datenschutzanforderungen einzuhalten.
8.1 Durchführung der Auftragskontrolle
Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen durch den Auftragnehmer gemäß Artikel 32 EU-DSGVO zu überprüfen. Diese Kontrolle kann durch den Auftraggeber selbst oder durch von ihm benannte Prüfer erfolgen. Die Durchführung der Kontrolle ist im Benehmen mit dem Auftragnehmer abzustimmen. Der Auftraggeber kann Stichprobenkontrollen durchführen lassen, die mindestens 7 Werktage im Voraus angekündigt werden müssen.
8.2 Auskünfte und Nachweise
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anfrage alle erforderlichen Auskünfte und Nachweise zu den getroffenen technischen und organisatorischen Maßnahmen zur Verfügung zu stellen, die notwendig sind, um die Einhaltung der vertraglichen und datenschutzrechtlichen Anforderungen nachzuweisen. Diese Auskünfte müssen alle relevanten Informationen umfassen, die der Auftraggeber benötigt, um sicherzustellen, dass der Auftragnehmer den Datenschutz gemäß den geltenden Vorschriften, insbesondere der EU-DSGVO, einhält.
8.3 Geheimhaltungspflicht der Prüfer
Der Auftraggeber stellt sicher, dass alle Personen, die mit der Durchführung der Kontrolle beauftragt werden, zur Geheimhaltung verpflichtet sind. Insbesondere müssen diese Prüfer über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse und Sicherheitsmaßnahmen Verschwiegenheit wahren. Der Auftragnehmer behält sich das Recht vor, auf Anfrage des Auftraggebers eine Erklärung zur Geheimhaltung der Prüfer zu verlangen, bevor der Kontrollprozess beginnt.
8.4 Kosten der Kontrolle
Der Auftragnehmer behält sich vor, die internen und externen Kosten, die im Zusammenhang mit den durchgeführten Kontrollen entstehen, dem Auftraggeber in Rechnung zu stellen. Hierzu zählen insbesondere Aufwendungen, die durch die Bereitstellung von Informationen und die Unterstützung bei der Durchführung der Kontrolle entstehen. Die Höhe dieser Kosten wird im Voraus transparent kommuniziert.
8.5 Nachweis der technischen und organisatorischen Maßnahmen
Im Rahmen der Kontrollverpflichtung des Auftraggebers nach Artikel 28 Abs. 3 lit. h) EU-DSGVO, sowohl vor Beginn der Datenverarbeitung als auch während der Laufzeit des Auftrags, stellt der Auftragnehmer sicher, dass der Auftraggeber sich von der Umsetzung der technischen und organisatorischen Maßnahmen nach Artikel 32 EU-DSGVO überzeugen kann.
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle relevanten Informationen und Nachweise zur Verfügung, die die ordnungsgemäße Umsetzung der erforderlichen Sicherheitsmaßnahmen belegen. Diese Nachweise können auch durch aktuelle Testate, Berichte oder Auszüge von unabhängigen Instanzen wie Wirtschaftsprüfern, Datenschutzbeauftragten, IT-Sicherheitsabteilungen oder Datenschutzauditoren erbracht werden. Alternativ kann der Nachweis durch eine geeignete Zertifizierung durch eine unabhängige Stelle (z. B. BSI-Grundschutz) erfolgen.
9.1 Meldepflicht bei Datenschutzverstößen
Der Auftragnehmer ist verpflichtet, dem Auftraggeber unverzüglich und ohne unangemessene Verzögerung von jedem Verstoß gegen datenschutzrechtliche Bestimmungen oder gegen die im Auftrag festgelegten Datenschutzregelungen zu berichten. Dies gilt insbesondere für Verstöße, die durch den Auftragnehmer oder von ihm beauftragte Personen verursacht wurden und die den Schutz personenbezogener Daten des Auftraggebers betreffen.
9.2 Informationspflichten gemäß der EU-DSGVO
Gemäß den Anforderungen der Artikel 33 und 34 der EU-DSGVO besteht eine Meldepflicht des Auftragnehmers an den Auftraggeber, wenn personenbezogene Daten verloren gehen oder unrechtmäßig übermittelt oder erlangt wurden. Diese Mitteilung muss unverzüglich erfolgen, unabhängig davon, wer den Vorfall verursacht hat. Der Auftragnehmer hat den Auftraggeber ohne Verzögerung zu informieren, wenn:
• personenbezogene Daten abhandengekommen sind oder unrechtmäßig übermittelt wurden,
• eine Verletzung des Schutzes personenbezogener Daten festgestellt wird,
• oder wenn eine andere schwerwiegende Störung im Zusammenhang mit den personenbezogenen Daten des Auftraggebers vorliegt.
9.3 Maßnahmen zur Minderung der Auswirkungen
Im Falle eines Vorfalls, der zu einer Datenschutzverletzung führt, hat der Auftragnehmer im Einvernehmen mit dem Auftraggeber alle erforderlichen und angemessenen Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten wiederherzustellen und mögliche nachteilige Auswirkungen für betroffene Personen zu minimieren. Dazu zählen insbesondere:
• Die Wiederherstellung der Integrität und Vertraulichkeit der Daten,
• Die Identifikation und Eindämmung von Risiken, die aus dem Vorfall resultieren,
• Die Unterstützung des Auftraggebers bei der Benachrichtigung betroffener Personen, falls erforderlich.
9.4 Unterstützung bei der Erfüllung gesetzlicher Pflichten
Soweit der Auftraggeber nach den Artikeln 32 bis 36 der EU-DSGVO zu weiteren Maßnahmen oder Meldungen gegenüber der Aufsichtsbehörde oder den betroffenen Personen verpflichtet ist, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Mitteln unterstützen. Dies umfasst die Bereitstellung aller erforderlichen Informationen, die für die Durchführung einer ordnungsgemäßen Benachrichtigung oder die Erfüllung der regulatorischen Anforderungen erforderlich sind.
10.1 Weisungsrecht des Auftraggebers
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der in dieser Vereinbarung getroffenen Bestimmungen und nach den Weisungen des Auftraggebers gemäß Artikel 28 Absatz 3 Buchstabe a der EU-DSGVO. Der Auftraggeber behält sich das Recht vor, zu jeder Zeit die Art, den Umfang und die Methode der Datenverarbeitung durch den Auftragnehmer zu steuern. Diese Weisungen können durch den Auftraggeber in Form von Einzelweisungen konkretisiert werden.
10.2 Änderungen der Verarbeitungsbedingungen
Jegliche Änderungen der Verarbeitungsprozesse oder -zwecke sowie der Umfang der verarbeiteten Daten müssen zwischen dem Auftragnehmer und dem Auftraggeber abgestimmt und dokumentiert werden. Der Auftragnehmer wird diese Änderungen nur nach ausdrücklicher Zustimmung des Auftraggebers vornehmen.
10.3 Auskünfte an Dritte
Der Auftragnehmer darf ohne ausdrückliche schriftliche Zustimmung des Auftraggebers keine Auskünfte an Dritte oder an betroffene Personen über die verarbeiteten Daten erteilen. Mündliche Weisungen des Auftraggebers werden unverzüglich durch diesen in schriftlicher Form (per E-Mail oder Fax) bestätigt.
10.4 Kopien und Duplikate
Der Auftragnehmer ist verpflichtet, Kopien oder Duplikate von personenbezogenen Daten nur mit ausdrücklicher Zustimmung des Auftraggebers anzufertigen, es sei denn, es handelt sich um Sicherheitskopien, die zur Aufrechterhaltung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, oder um Daten, die aufgrund gesetzlicher Aufbewahrungspflichten aufbewahrt werden müssen.
10.5 Hinweis- und Aussetzungsrecht bei rechtswidrigen Weisungen
Falls der Auftragnehmer der Auffassung ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich darüber zu informieren. Diese Hinweispflicht begründet keine umfassende rechtliche Prüfung der Weisung durch den Auftragnehmer. Der Auftragnehmer ist jedoch berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis diese vom Auftraggeber in schriftlicher Form (per E-Mail oder Fax) bestätigt oder geändert wird.
Nach Beendigung der vertraglichen Leistungen oder früher, wenn der Auftraggeber dies verlangt, hat der Auftragnehmer alle im Rahmen der Auftragserfüllung erhaltenen Unterlagen, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der vertraglichen Vereinbarung stehen, unverzüglich zu löschen oder dem Auftraggeber zu übergeben. Dies gilt auch für Test- und Ausschussmaterial.
Sämtliche Daten, die dem Auftragnehmer im Rahmen des Auftrags zur Verfügung gestellt wurden, sind nach Abschluss der vertraglichen Arbeiten datenschutzgerecht zu vernichten, es sei denn, der Auftraggeber hat ausdrücklich etwas anderes vereinbart. Die Vernichtung muss so erfolgen, dass eine Wiederherstellung der Daten ausgeschlossen ist.
Der Auftragnehmer verpflichtet sich, nach der Löschung oder Rückgabe der Daten dem Auftraggeber ein Löschprotokoll vorzulegen, welches die ordnungsgemäße Vernichtung dokumentiert.
Dokumentationen, die als Nachweis für die ordnungsgemäße und vertragsgemäße Verarbeitung von personenbezogenen Daten dienen, sind vom Auftragnehmer gemäß den gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Auf Wunsch des Auftraggebers können diese Dokumente nach Beendigung des Vertragsverhältnisses diesem übergeben werden, soweit keine anderen gesetzlichen Bestimmungen zur Aufbewahrung entgegenstehen.
Die Parteien verpflichten sich zur strikten Wahrung der Vertraulichkeit in Bezug auf alle geschäftlichen und betrieblichen Informationen, die im Rahmen der Durchführung des Auftrags bekannt werden. Diese Verpflichtung erstreckt sich auf alle Informationen, die als Geschäfts- oder Betriebsgeheimnisse, Herstellungsverfahren, Arbeitsmethoden, technische Dokumentationen, Geschäftsstrategien, Kundendaten, Partnerinformationen und alle sonstigen vertraulichen Unterlagen oder Daten gelten, unabhängig davon, ob sie in schriftlicher, elektronischer oder mündlicher Form vorliegen.
Die Parteien dürfen diese vertraulichen Informationen weder direkt noch indirekt an Dritte weitergeben, noch in irgendeiner Weise verwenden, es sei denn, dies ist ausdrücklich durch die andere Partei schriftlich genehmigt oder im Rahmen der vertraglichen Leistungserbringung erforderlich. Diese Verpflichtung gilt auch für alle Mitarbeiter, Vertreter, Subunternehmer oder sonstige Dritte, die im Rahmen des Auftrags Zugang zu vertraulichen Informationen haben.
Die Verpflichtung zur Vertraulichkeit bleibt auch nach Beendigung des Auftragsverhältnisses bestehen, solange die betreffenden Informationen nicht öffentlich zugänglich gemacht werden oder nicht anderweitig gemäß den nachfolgenden Ausnahmen offengelegt werden müssen.
Ausnahmen von dieser Verpflichtung zur Vertraulichkeit bestehen nur in den folgenden Fällen:
Im Falle einer unbefugten Offenlegung von vertraulichen Informationen durch eine Partei ist diese verpflichtet, die andere Partei unverzüglich zu informieren und alle erforderlichen Maßnahmen zu ergreifen, um den Schaden zu minimieren und gegebenenfalls den Zugriff auf die vertraulichen Informationen zu unterbinden.
Diese Vertraulichkeitsverpflichtung gilt unabhängig von der Art der Information und bleibt auch dann bestehen, wenn das Vertragsverhältnis zwischen den Parteien beendet wird.
Für alle Weisungen, Mitteilungen und Hinweise, die im Rahmen dieser Vereinbarung zwischen den Parteien ausgetauscht werden, sind die jeweils benannten Kontaktpersonen zuständig. Weisungen oder Mitteilungen an den Auftragnehmer sind an Patrick Eisenhauer von Eisenhauer PC Lösungen als verantwortliche und weisungsberechtigte Person zu richten. Weisungen oder Mitteilungen an den Auftraggeber sind an die im Auftrag genannte, weisungsberechtigte oder -empfangende Person des Auftraggebers zu adressieren.
Beide Parteien haben das Recht, ihre Kontaktpersonen einseitig durch schriftliche Mitteilung an die jeweils andere Partei zu ändern. Eine solche Änderung wird mit Zugang der Mitteilung wirksam, es sei denn, eine andere Frist wird ausdrücklich vereinbart. Jede Partei stellt sicher, dass die benannten Kontaktpersonen jederzeit erreichbar sind und die Weisungen im Einklang mit der Vereinbarung umgehend bearbeitet und ausgeführt werden.
Technische und organisatorische Maßnahmen (TOM) von Eisenhauer PC Lösungen
Stand: Dezember 2024