Vertrag zur Auftragsverarbeitung i.S.d. Art. 28 Datenschutz-Grundverordnung (DS-GVO)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vertrag zur Auftragsverarbeitung i.S.d. Art. 28 Datenschutz-
Grundverordnung (DS-GVO)
zwischen dem Auftraggeber / der Auftraggeberin:
Firmenname: Kunstmuseum Wolfsburg
____________________________________________
Firmenanschrift: ____________________________________________
Hollerplatz 1
38440 Wolfsburg
____________________________________________
Im Folgenden auch „Auftraggeber“ genannt,
und der Auftragnehmerin:
Newsletter2Go GmbH
Köpenicker Str. 126, 10179 Berlin
im Folgenden auch "Newsletter2Go" genannt.
§ 1 Gegenstand und Dauer des Auftrags wenn die besonderen Voraussetzungen des Art. 7
DSGVO erfüllt sind.
Der Auftragnehmer verarbeitet personenbezogene
Daten im Auftrag des Auftraggebers. Gegenstand der Verarbeitung personenbezogener
Daten sind Kundendaten vom Auftraggeber.
Gegenstand des Auftrags ist die Verwendung von
Adressdaten des Auftraggebers zur Versendung von Die durch den Umgang mit ihren personenbezogenen
Newslettern per E-Mail und transaktionalen E-Mails. Daten im Rahmen dieses Auftrags Betroffenen sind
Kunden, Geschäftskontakte und Interessenten vom
Die Einzelheiten der Leistungen ergeben sich aus den Auftraggeber.
Allgemeinen Geschäftsbedingungen (www.newslet-
ter2go.de/agb), die bei der Registrierung für Newslet- Die verarbeiteten Arten von Daten sowie die Katego-
ter2Go ausdrücklich vom AUFTRAGGEBER akzep- rien betroffener Personen ergeben sich aus §16 die-
tiert werden. Auf diese Leistungen wird hier verwiesen ses Vertrages.
(im Folgenden Leistungsvereinbarung).
§ 3 Technische und organisatorische Maß-
Die Dauer dieses Auftrags (Laufzeit) entspricht der nahmen, Folgenabschätzung
Laufzeit der Leistungsvereinbarung. Die Regelungen
zur Kündigung der Leistungsvereinbarung gelten Der Auftragnehmer ist verpflichtet, die nach Art. 32
auch für diesen Vertrag. Eine Beendigung der Leis- DSGVO erforderlichen technischen und organisatori-
tungsvereinbarung berechtigt beide Parteien zur Kün- schen Maßnahmen vor Beginn der Erhebung, Verar-
digung dieses Vertrages. beitung, oder Nutzung der personenbezogenen Daten
– unter besonderer Berücksichtigung der konkreten
Darüber hinaus sind sich die Parteien darüber einig, Auftragsdurch-führung – zu dokumentieren und dem
dass frühere Verträge zur Auftragsdatenverarbeitung Auftraggeber diese Dokumentation auf Anfrage zur
oder Auftragsverarbeitung mit Abschluss dieses Ver- Verfügung zu stellen. Die nach Art. 32 DSGVO erfor-
trages einvernehmlich beendet werden. derlichen technischen und organisatorischen Maß-
nahmen sind zu dem im vorgenannten Zweck in dem
als Anlage 1 beigefügten Datensicherheitskonzept
§ 2 Konkretisierung des Auftragsinhalts aufgeführt und sind Teil dieser Vereinbarung.
(Umfang, Art und Zweck der Datenverarbei-
tung, Art der Daten, Kreis der Betroffenen) Die technischen und organisatorischen Maßnahmen
unterliegen dem technischen Fortschritt und der Wei-
Umfang, Art und Zweck der Datenverarbeitung be- terentwicklung; insoweit ist es dem Auftragnehmer ge-
schränken sich auf die Nutzung von Adressdaten zur stattet, alternative adäquate Maßnahmen umzuset-
Versendung von Newslettern per E-Mail. zen, sofern dabei das Sicherheitsniveau der festge-
legten Maßnahmen nicht unterschritten wird. Der Auf-
Die Verarbeitung und Nutzung der Daten findet aus- tragnehmer hat technische und organisatorische
schließlich im Gebiet der Bundesrepublik Deutsch- Maßnahmen zu treffen, die die Vertraulichkeit, Integri-
land, in einem Mitgliedsstaat der Europäischen Union tät, Verfügbarkeit und Belastbarkeit der Systeme und
oder in einem anderen Vertragsstaat des Abkommens Dienste im Zusammenhang mit der Verarbeitung auf
über den Europäischen Wirtschaftsraum statt. Jede Dauer sicherstellen. Dem Auftraggeber sind diese
Verlagerung in ein Drittland bedarf der vorherigen Zu- technischen und organisatorischen Maßnahmen be-
stimmung des Auftraggebers und darf nur erfolgen, kannt und er trägt die Verantwortung dafür, dass diesefür die Risiken der zu verarbeitenden Daten ein ange-
messenes Schutzniveau bieten. § 6 Unterauftragsverhältnisse
Für die Einhaltung der vereinbarten Schutzmaßnah-
men und deren geprüfte Wirksamkeit wird auf die vor- Der Auftragnehmer ist berechtigt, sich für die Erfül-
liegende Zertifizierung durch den TÜV Rheinland ver- lung der Leistungsvereinbarung und/oder dieses Ver-
wiesen, deren Vorlage dem Auftragnehmer für den trages Unterauftragnehmer zu bedienen. Vorausset-
Nachweis geeigneter Garantien ausreicht (vgl. Anlage zung ist die Zustimmung des Auftraggebers. Die Zu-
3). stimmung gilt als erteilt, wenn
dem Auftraggeber die Identität des Unterauftrag-
§ 4 Berichtigung, Löschung und Sperrung
nehmers in Textform mitgeteilt wird (Anlage 2)
von Daten die vertraglichen Vereinbarungen mit dem Unter-
auftragnehmer so gestaltet sind, dass sie den Da-
Der Auftragnehmer hat nur auf Weisung des Auftrag- tenschutzbestimmungen im Vertragsverhältnis
gebers die personenbezogenen Daten, die im Auftrag zwischen Auftraggeber und Auftragnehmer ent-
erhoben, verarbeitet oder genutzt werden, zu berichti- sprechen
gen, zu löschen oder zu sperren. Soweit ein Betroffe- bei der Unterbeauftragung dem Auftraggeber
ner sich unmittelbar an Newsletter2Go zwecks Berich- Kontroll- und Überprüfungsrechte entsprechend
tigung, Löschung oder Sperrung seiner Daten wenden dieser Vereinbarung eingeräumt werden. Dies
sollte, ist der Auftragnehmer verpflichtet, dieses Ersu- umfasst insbesondere das Recht des Auftragge-
chen unverzüglich nach Erhalt an den Auftraggeber bers, vom Auftragnehmer auf schriftliche Anfor-
weiterzuleiten. Etwaige dafür anfallende Kosten trägt derung Auskunft über den wesentlichen Vertrags-
der Auftraggeber. inhalt und die Umsetzung der datenschutzrele-
vanten Verpflichtungen im Unterauftragsverhält-
§ 5 Datenschutzkontrolle und Informations- nis, erforderlichenfalls durch Einsicht in die rele-
pflicht vanten Vertragsunterlagen, zu erhalten.
der Auftraggeber nicht binnen einer Woche ab
Der Auftragnehmer hat nach Art. 28ff DSGVO fol- Mitteilung schriftlich widersprochen hat.
gende Pflichten:
• Schriftliche Bestellung – soweit gesetzlich vorge- Der Auftraggeber darf einen Widerspruch gegen die
schrieben – eines Datenschutzbeauftragten. Einschaltung eines Unterauftragnehmers nur aus
Dessen Kontaktdaten werden dem Auftraggeber wichtigem Grund erheben.
auf Anforderung mitgeteilt.
Nicht als Unterauftragsverhältnisse im Sinne dieser
• Wahrung des Datengeheimnisses entsprechend Regelung sind solche Dienstleistungen zu verstehen,
Art. 28 DSGVO. Alle Personen, die auftragsge- die der Auftragnehmer bei Dritten als Nebenleistung
mäß auf personenbezogene Daten des Auftrag- zur Unterstützung bei der Auftragsdurchführung in An-
gebers zugreifen können, werden auf das Daten- spruch nimmt. Dazu zählen z.B. Telekommunikations-
geheimnis verpflichtet und über die sich aus die- leistungen, Wartung und Benutzerservice, Reini-
sem Auftrag ergebenden besonderen Daten- gungskräfte, Prüfer oder die Entsorgung von Daten-
schutzpflichten sowie die bestehende Weisungs- trägern. Der Auftragnehmer ist jedoch verpflichtet, zur
bzw. Zweckbindung belehrt. Gewährleistung des Schutzes und der Sicherheit der
• Unverzügliche Information des Auftraggebers Daten des Auftraggebers auch bei fremd vergebenen
über Kontrollhandlungen und Maßnahmen der Nebenleistungen angemessene und gesetzeskon-
Aufsichtsbehörde nach Art. 57 DSGVO. Dies gilt forme vertragliche Vereinbarungen zu treffen sowie
auch, soweit eine zuständige Behörde nach Art. Kontrollmaßnahmen zu ergreifen.
83 DSGVO beim Auftragnehmer ermittelt.
• Erstattung von Meldungen an den Auftraggeber
in allen Fällen, in denen durch ihn oder die bei § 7 Pflichten des Auftraggebers
ihm beschäftigten Personen oder Unterauftrag-
Der Auftraggeber ist für die Einhaltung der gesetzli-
nehmer Verstöße gegen Vorschriften zum Schutz
personenbezogener Daten des Auftraggebers o- chen Bestimmungen zum Datenschutz, insbesondere
der gegen die im Auftrag getroffenen Festlegun- für die Rechtmäßigkeit der Datenverarbeitung durch
gen vorgefallen sind. Dies gilt auch im Falle des den Auftragnehmer allein verantwortlich und somit
„Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.
Abhandenkommens oder der unrechtmäßigen
Übermittlung oder Kenntniserlangung von perso-
nenbezogenen Daten und bei schwerwiegenden Die Verantwortlichkeit betrifft auch und insbesondere
Störungen des Betriebsablaufs, bei Verdacht auf eine etwaige Pflicht zur Führung eines Verzeichnisses
sonstige Verletzungen gegen Vorschriften zum nach Art. 30 DSGVO und die Informationspflichten
Schutz personenbezogener Daten oder anderen nach Art. 12 - 14 DSGVO.
Unregelmäßigkeiten beim Umgang mit personen-
bezogenen Daten des Auftraggebers. Im Falle einer Inanspruchnahme des Auftragnehmers
durch eine betroffene Person hinsichtlich etwaiger An-
• Die Durchführung der Auftragskontrolle mittels re-
sprüche nach Art. 82 DSGVO, gilt § 8 Abs. 9 entspre-
gelmäßiger Prüfungen durch den Auftragnehmer
chend.
im Hinblick auf die Vertragsausführung bzw. -er-
füllung, insbesondere Einhaltung und ggf. not-
Der Auftraggeber informiert den Auftragnehmer un-
wendige Anpassung von Regelungen und Maß-
verzüglich, wenn er Fehler oder Unregelmäßigkeiten
nahmen zur Durchführung des Auftrags.
2im Zusammenhang mit der Verarbeitung personenbe- nannten Pflichten. Für die Erbringung dieser Unter-
zogener Daten durch den Auftragnehmer feststellt. stützungsleistungen berechnen wir eine Vergütung
von 75 Euro je angefangener Arbeitsstunde.
Der Auftraggeber nennt dem Auftragnehmer den An-
sprechpartner für im Rahmen des Vertrages anfal- (3) Der Auftragnehmer gewährleistet, dass es den mit
lende Datenschutzfragen. der Verarbeitung der Daten des Auftraggebers befass-
ten Mitarbeiter untersagt ist, die Daten außerhalb der
Weisung zu verarbeiten. Ferner gewährleistet der Auf-
§ 8 Weisungsbefugnis des Auftraggebers/ tragnehmer, dass sich die zur Verarbeitung der perso-
Pflichten des Auftragnehmers nenebezogenen Daten befugten Personen zur Ver-
traulichkeit verpflichtet haben oder einer angemesse-
(1) Der Auftragnehmer darf Daten von betroffenen
nen gesetzlichen Verschwiegenheitspflicht unterlie-
Personen nur im Rahmen des Auftrages und der Wei-
gen. Die Vertraulichkeits-/ Verschwiegenheitspflicht
sungen des Auftraggebers verarbeiten, außer es liegt
besteht auch nach Beendigung des Auftrags fort.
ein Ausnahmefall des Art. 28 Abs. 3 a) DSGVO vor.
(4) Der Auftragnehmer unterrichtet den Auftraggeber
Der Auftraggeber behält sich im Rahmen der in dieser
unverzüglich, wenn ihm Verletzungen des Schutzes
Vereinbarung getroffenen Auftragsbeschreibung ein
personenbezogener Daten des Auftraggebers be-
umfassendes Weisungsrecht über Art, Umfang und
kannt werden.
Verfahren der Datenverarbeitung vor, das er durch
Einzelweisungen konkretisieren kann. Änderungen
Der Auftragnehmer trifft die erforderlichen Maßnah-
des Verarbeitungsgegenstandes und Verfahrensän-
men zur Sicherung der Daten und zur Minderung
derungen sind gemeinsam abzustimmen und zu do-
möglicher nachteiliger Folgen der betroffenen Perso-
kumentieren. Auskünfte an Dritte oder den Betroffe-
nen und spricht sich hierzu unverzüglich mit dem Auf-
nen darf der Auftragnehmer nur nach vorheriger
traggeber ab.
schriftlicher Zustimmung durch den Auftraggeber er-
teilen.
(5) Der Auftragnehmer nennt dem Auftraggeber den
Ansprechpartner für im Rahmen des Vertrages anfal-
Weisungen, die im Vertrag nicht vorgesehen sind,
lende Datenschutzfragen.
werden als Antrag auf Leistungsänderung behandelt.
Erteilt der Auftraggeber Einzelweisungen hinsichtlich
(6) Der Auftragnehmer gewährleistet, seinen Pflichten
des Umgangs mit personenbezogenen Daten, die
nach Art. 32 Abs. 1 lit d) DSGVO nachzukommen, ein
über den vertraglich vereinbarten Leistungsumfang
Verfahren zur regelmäßigen Überprüfung der Wirk-
hinausgehen, sind die dadurch begründeten Kosten
samkeit der technischen und organisatorischen Maß-
vom Auftraggeber zu tragen.
nahmen zur Gewährleistung der Sicherheit der Verar-
beitung einzusetzen.
(7) Der Auftragnehmer berichtigt oder löscht die ver-
Mündliche Weisungen wird der Auftraggeber unver-
tragsgegenständlichen Daten, wenn der Auftraggeber
züglich schriftlich oder per E-Mail (in Textform) bestä-
dies anweist und dies vom Weisungsrahmen umfasst
tigen. Der Auftragnehmer verwendet die Daten für
ist. Ist eine datenschutzkonforme Löschung oder eine
keine anderen Zwecke und ist insbesondere nicht be-
entsprechende Einschränkung der Datenverarbeitung
rechtigt, sie an Dritte weiterzugeben. Kopien und Dup-
nicht möglich, übernimmt der Auftragnehmer die da-
likate werden ohne Wissen des Auftraggebers nicht
tenschutzkonforme Vernichtung von Datenträgern
erstellt. Hiervon ausgenommen sind Sicherheitsko-
und sonstigen Materialien auf Grund einer Einzelbe-
pien, soweit sie zur Gewährleistung einer ordnungs-
auftragung durch den Auftraggeber oder gibt diese
gemäßen Datenverarbeitung erforderlich sind, sowie
Datenträger an den Auftraggeber zurück, sofern nicht
Daten, die im Hinblick auf die Einhaltung gesetzlicher
im Vertrag bereits vereinbart. Für die Erbringung die-
Aufbewahrungspflichten erforderlich sind.
ser Unterstützungsleistungen berechnen wir eine Ver-
gütung von 75 Euro je angefangener Arbeitsstunde.
Der Auftragnehmer ist verpflichtet, die zur Verfügung
gestellten personenbezogenen Daten ausschließlich
In besonderen, vom Auftraggeber zu bestimmenden
zur vertraglich vereinbarten Leistung zu verwenden
Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
außer es liegt ein Ausnahmefall im Sinne des Artikel
Eine Vergütung sowie Schutzmaßnahmen sind hierzu
28 Abs. 3 a) DSGVO vor. Der Auftragnehmer infor-
gesondert zu vereinbaren, sofern nicht im Vertrag be-
miert den Auftraggeber unverzüglich, wenn er der Auf-
reits vereinbart. Für die Erbringung dieser Schutz-
fassung ist, dass eine Weisung gegen anwendbare
maßnahmen berechnen wir eine Vergütung von 75
Gesetze verstößt. Der Auftragnehmer darf die Umset-
Euro je angefangener Arbeitsstunde. Die Kosten für
zung der Weisung solange aussetzen, bis sie vom
die geschäftliche Aufbewahrung von Daten bestimmt
Auftraggeber bestätigt oder abgeändert wurde. Offen-
sich nach der Größe der Daten sowie der Dauer der
sichtlich datenschutzwidrige Weisungen muss der
Aufbewahrung. Soweit die Aufbewahrung gewünscht
Auftragnehmer nicht ausführen.
ist, ist hierzu eine einzelvertragliche Regelung zu tref-
fen.
(2) Der Auftragnehmer unterstützt soweit vereinbart
den Auftraggeber im Rahmen seiner Möglichkeiten
(8) Daten, Datenträger sowie sämtliche sonstige Ma-
bei der Erfüllung der Anfragen und Ansprüche be-
terialien sind nach Auftragsende auf Verlangen des
troffener Personen gemäß Kapitel III der DSGVO so-
Auftraggebers entweder herauszugeben oder zu lö-
wie bei der Einhaltung der in Art. 33-36 DSGVO ge-
schen.
3Entstehen zusätzliche Kosten durch abweichende schwiegenheitserklärung hinsichtlich der Daten ande-
Vorgaben bei der Herausgabe oder Löschung der Da- rer Kunden und der eingerichteten technischen und
ten, so trägt diese der Auftraggeber. organisatorischen Maßnahmen abhängig machen.
Sollte der durch den Auftraggeber beauftragte Prüfer
(9) Im Falle einer Inanspruchnahme des Auftragge- in einem Wettbewerbsverhältnis zu dem Aufragneh-
bers durch eine betroffene Person hinsichtlich etwai- mer stehen, hat der Auftragnehmer gegen dieses ein
ger Ansprüche nach Art. 82 DSGVO, verpflichtet sich Einspruchsrecht.
der Auftragnehmer den Auftraggeber bei der Abwehr
des Anspruches im Rahmen seiner Möglichkeiten zu Für die Unterstützung bei der Durchführung einer In-
unterstützen. Für die Erbringung dieser Unterstüt- spektion verlangt der Auftragnehmer eine Vergütung
zungsleistungen berechnen wir eine Vergütung von in Höhe von 600 Euro pro Arbeitstag verlangen. Der
75 Euro je angefangener Arbeitsstunde. Aufwand einer Inspektion ist für den Auftragnehmer
grundsätzlich auf einen Tag pro Kalenderjahr be-
§ 9 Anfragen betroffener Personen grenzt.
Wendet sich eine betroffene Person mit Forderungen (3) Sollte eine Datenschutzaufsichtsbehörde oder
zur Berichtigung, Löschung oder Auskunft an den Auf- eine sonstige hoheitliche Aufsichtsbehörde des Auf-
tragnehmer, wird der Auftragnehmer die betroffene traggebers eine Inspektion vornehmen, gilt grundsätz-
Person an den Auftraggeber verweisen, sofern eine lich Absatz 2 entsprechend. Die Unterzeichnung einer
Zuordnung an den Auftraggeber nach Angaben der Verschwiegenheits-verpflichtung ist nicht erforderlich,
betroffenen Person möglich ist. Der Auftragnehmer wenn diese Aufsichtsbehörde einer berufsrechtlichen
leitet den Antrag der betroffenen Person unverzüglich oder gesetzlichen Verschwiegenheit unterliegt, bei der
an den Auftraggeber weiter. Der Auftragnehmer unter- ein Verstoß nach dem Strafgesetzbuch strafbewehrt
stützt den Auftraggeber im Rahmen seiner Möglich- ist.
keiten auf Weisung soweit vereinbart. Der Auftragneh-
mer haftet nicht, wenn das Ersuchen der betroffenen § 12 Subunternehmer (weitere Auftragsver-
Person vom Auftraggeber nicht, nicht richtig oder nicht arbeiter)
fristgerecht beantwortet wird.
(1) Der Einsatz von Subunternehmern als weiteren
§ 10 Löschung der personenbezogenen Da- Auftragsverarbeiter ist nur zulässig, wenn der Auftrag-
ten nach Beendigung des zugrundeliegen- geber vorher zugestimmt hat.
den Auftrags
(2) Ein zustimmungspflichtiges Subunternehmer-ver-
hältnis liegt vor, wenn der Auftragnehmer weitere Auf-
Nach Abschluss der vertraglichen Arbeiten oder früher
tragnehmer mit der ganzen oder einer Teilleistung der
nach Aufforderung durch den Auftraggeber – spätes-
im Vertrag vereinbarten Leistung beauftragt. Der Auf-
tens mit Beendigung der Leistungsvereinbarung – hat
tragnehmer wird mit diesen Dritten im erforderlichen
der Auftragnehmer sämtliche in seinen Besitz ge-
Umfang Vereinbarungen treffen, um angemessene
langte Unterlagen, erstellte Verarbeitungs- und Nut-
Datenschutz- und Informationssicherheitsmaßnah-
zungsergebnisse sowie Datenbestände, die im Zu-
men zu gewährleisten.
sammenhang mit dem Auftrags-verhältnis stehen,
dem Auftraggeber auszuhändigen oder nach vorheri-
Die vertragliche vereinbarten Leistungen werden un-
ger Zustimmung datenschutzgerecht zu vernichten.
ter Einschaltung der in Anlage 2 beschriebenen
Gleiches gilt für Test- und Ausschussmaterial. Das
Dienstleiter ausgeführt.
Protokoll der Löschung ist auf Anforderung vorzule-
gen.
Vor der Hinzuziehung weiterer oder der Ersetzung
aufgeführter Subunternehmer holt der Auftragnehmer
Dokumentationen, die dem Nachweis der auftrags-
die Zustimmung des Auftraggebers ein, wobei diese
und ordnungsgemäßen Datenverarbeitung dienen,
nicht ohne wichtigen datenschutzrechtlichen Grund
sind durch den Auftragnehmer entsprechend der je-
verweigert werden darf.
weiligen Aufbewahrungsfristen über das Vertrags-
ende hinaus aufzubewahren. Er kann sie zu seiner
(3) Erteilt der Auftragnehmer Aufträge an Subunter-
Entlastung bei Vertragsende dem Auftraggeber über-
nehmer, so obliegt es dem Auftragnehmer, seine da-
geben.
tenschutzrechtlichen Pflichten aus diesem Vertrag an
den Subunternehmer zu übertragen.
§ 11 Nachweismöglichkeiten
§ 13 Hinweis auf rechtskonformes Verhalten
(1) Der Auftragnehmer weist dem Auftraggeber die
Einhaltung der in diesem Vertrag niedergelegten
Pflichten mit geeigneten Mitteln nach. Der Auftragnehmer weist darauf hin, dass keine Wer-
bung unter Verstoß gegen gesetzliche Vorschriften
(2) Sollten im Einzelfall Inspektionen durch den Auf- durch die Auftraggeber versandt werden darf. Die Auf-
traggeber oder einen von diesem beauftragten Prüfer traggeber tragen die Verantwortung für die Zulässig-
erforderlich sein, werden diese zu den üblichen Ge- keit der Datenerhebung, -verarbeitung und -nutzung.
schäftszeiten ohne Störung des Betriebsablaufs nach Dies betrifft auch die Verpflichtung der Auftraggeber
Anmeldung unter Berücksichtigung einer angemesse- nach dem Gesetz gegen unlauteren Wettbewerb (ins-
nen Vorlaufzeit durchgeführt. Der Auftragnehmer darf besondere zur Einholung einer Einwilligung nach § 7
diese von der vorherigen Anmeldung mit angemesse- UWG) und dem Fernmeldegeheimnis gem. Telekom-
ner Vorlaufzeit und von der Unterzeichnung einer Ver- munikationsgesetz (§ 88 TKG).
4§ 14 Informationspflichten, Schriftformklau- § 16 Daten
sel, Rechtswahl
Die folgenden Arten von personenbezogenen Daten
(1) Sollten die Daten des Auftraggebers beim Auftrag- werden im Rahmen dieser Vereinbarung verarbeitet.
nehmer durch Pfändung oder Beschlagnahme, durch
Arten von Daten:
ein Insolvenz- oder Vergleichsverfahren oder durch
sonstige Ereignisse oder Maßnahmen Dritter gefähr- E-Mail, Telefon, Handy, Fax, Strasse, Postleitzahl,
det werden, so hat der Auftragnehmer den Auftragge- Stadt, Land, Vorname, Nachname, Redaktionen und
ber unverzüglich darüber zu informieren. Der Auftrag- Institutionen
nehmer wird alle in diesem Zusammenhang Verant-
wortlichen unverzüglich darüber zu informieren, dass
die Hoheit und das Eigentum an den Daten aus-
schließlich bei Auftraggeber als “Verantwortlicher“ im
Sinne der Datenschutz-Grundverordnung liegen.
(2) Änderungen und Ergänzungen dieser standardi-
sierten Vereinbarung und aller ihrer Bestandteile - ein-
schließlich etwaiger Zusicherungen des Auftragneh-
mers - bedürfen einer separaten, schriftlichen Verein-
barung und des ausdrücklichen Hinweises darauf,
dass es sich um eine Änderung bzw. Ergänzung die-
ser Vereinbarung handelt. Dies gilt auch für den Ver-
Darüber hinaus sind die folgenden Kategorien
zicht auf dieses Formerfordernis.
natürlicher Personen betroffen:
Eine Vereinbarung in elektronischem Format (Text- Kunden und Interessenten vom Auftraggeber,
form) wird von den Vertragsparteien ebenso als wirk- Mitarbeiter vom Auftraggeber, Medienvertreter, Lehrer,
sam anerkannt. Erzieher
(3) Sollten einzelne Teile dieses Vertrages unwirksam
sein, so berührt dies die Wirksamkeit des Vertrages
im Übrigen nicht. Anstelle der unwirksamen Teile finde
die entsprechende gesetzliche Regelung Anwendung.
(4) Es gilt deutsches Recht.
(5) Gerichtsstand ist Berlin.
§ 15 Haftung und Schadensersatz
Anlage 1: Datensicherheitskonzept
Auftraggeber und Auftragnehmer haften gegenüber
betroffenen Personen entsprechend der in Art. 82 Anlage 2: Benennung Unterauftragnehmer
DSGVO getroffenen Regelung.
Anlage 3: Zertifikat TÜV Rheinland
5Auftraggeber
Wolfsburg 15.05.2018
Ort Datum
Otmar Böhmer Geschäftsführer
Unterschrift Funktion des Auftraggebers/der Auftraggeberin im Betrieb
Newsletter2Go GmbH:
Berlin 15.05.2018
Ort Datum
David Fiebelkorn Datenschutzbeauftragter
Unterschrift Newsletter2Go Funktion bei Newsletter2Go
6Anlage 1
Datensicherheitskonzept
Maßnahmen zur Datenschutzkontrolle gemäß Art. 32 DS-GVO
7Stand 20.12.2017 verwehrt wird, mit denen personenbezogene Daten
verarbeitet oder gesichert werden:
Bei Fragen zur Newsletter2Go Informationssicherheit
wenden Sie sich bitte an die verantwortliche Stelle: Zutritt zu den Büroräumen nur durch oder in Be-
gleitung von berechtigten Personen
Kontakt Zentrale Zutrittsregelung für Büroräume (Schlüs-
selkonzept)
Newsletter2Go GmbH Brandmeldeanlage
Datenschutzbeauftragter Lagerung von vertraulichen Dokumenten aus-
Köpenicker Str. 126 schließlich unter Verschluss in abschließbaren,
10179 Berlin massiven Schränken.
Tel.: +49 (0) 30 311 99 510
E-Mail: datenschutz@newsletter2go.com Der Auftragnehmer sichert darüber hinaus zu, dass
Unbefugte durch folgende Maßnahmen an der Benut-
zung der Datenverarbeitungssysteme gehindert wer-
Datenschutzmaßnahmen den:
Die von Newsletter2Go getätigten Datenschutzmaß- Passwortschutz: Passwörter mit min. 8 Zeichen
nahmen haben das Ziel der Sicherstellung der Verfüg- inkl. zwei Sonderzeichen. Passwörter werden alle
barkeit der Daten, Integrität, Vertraulichkeit, Nichtver- 90 Tage ändert.
kettbarkeit durch Zweckbestimmung, Tranzparenz persönlicher und individueller User-Log-In bei An-
durch Prüffähigkeit und Intervenierbarkeit durch An- meldung am System bzw. Unternehmensnetz-
kerpunkte. werk
ein Benutzerstammsatz pro User
Es werden Maßnahmen der Pseudonymisierung und
Ip-beschränkter Zugriff auf Server
Verschlüsselung personenbezogener Daten durchge-
Berechtigungskonzept für digitale Zugriffsmög-
führt, welche ein aktuelles Schutzniveau gewährleis-
lichkeiten
ten. Ebenso haben unsere Maßnahmen zur Datensi-
cherheit das Ziel einer dauerhaften, hohen Belastbar-
Die im Unternehmen getroffenen Maßnahmen der
keit unserer Systeme und Dienste hinsichtlich der da-
Vertraulichkeit und Integrität gewährleisten, dass die
mit verbundenen Datenverarbeitung. Wir stellen die
zur Benutzung eines Datenverarbeitungssystems Be-
Fähigkeit sicher, die Verfügbarkeit der personenebe-
rechtigten ausschließlich auf die ihrer Zugriffsberech-
zogenen Daten und den Zugang zu ihnen bei einem
tigung unterliegenden Daten zugreifen können. Dar-
physischen oder technischen Zwischenfall rasch wie-
über hinaus wird sichergestellt, dass personenbezo-
derherzustellen. Ferner verwenden wir ein Verfahren
gene Daten bei der Verarbeitung, Nutzung und nach
zur regelmäßigen Überprüfung, Bewertung und Eva-
der Speicherung nicht unbefugt gelesen, kopiert, ver-
luierung der Wirksamkeit der technischen und organi-
ändert oder entfernt werden können.
satorischen Maßnahmen zur Gewährleistung der Si-
cherheit der Verarbeitung. Überdies unternehmen der
Die Geschäftsprozesse von Newsletter2Go werden
Verantwortliche sowie der Auftragsverarbeiter
durch die nachfolgend aufgeführten Maßnahmen un-
Schritte, um sicherzustellen, dass ihnen unterstellte
terstützt:
natürliche Personen, die Zugang zu personenbezoge-
nen Daten haben, diese nur auf Anweisung des Ver-
antwortlichen verarbeiten, es sei denn, sie sind nach differenzierte und aufgabenbezogene Berechti-
dem Recht der Union oder der Mitgliedstaaten zur gungen, Profile
Verarbeitung verpflichtet. regelmäßige Sichtung von Logfiles
Verpflichtung aller Mitarbeiter auf das Daten-
Die Geschäftsprozesse von Newsletter2Go orientie- schutzgeheimnis und Telekommunikationsge-
ren sich an den Vorgaben des Art. 32 der Daten- heimnis.
schutz-Grundverordnung (DS-GVO).
Die im Unternehmen getroffenen Maßnahmen ge-
§1 Schutz vor unbefugter Kenntniserlangung von währleisten eine hinreichende Weitergabekontrolle.
Beschäftigten- und Kundendaten sowie anderer Personenbezogene Daten werden bei der elektroni-
schützenswerter personenbezogener Daten schen Übertragung oder während ihres Transports o-
der ihrer Speicherung auf Datenträger nicht unbefugt
gelesen, kopiert, verändert oder entfernt, ohne dass
Die im Unternehmen getroffenen Maßnahmen ge- überprüft, festgestellt und unterbunden werden kann.
währleisten, dass Unbefugte nicht auf solche Daten-
verarbeitungsanlagen Einfluss nehmen können, auf Newsletter2Go versichert hiermit, dass über die ge-
denen personenbezogene Daten verarbeitet oder ge- setzlich vorgesehenen Ausnahmefälle hinaus keiner-
speichert werden. lei Daten an Dritte weitergegeben werden.
Der Auftragnehmer sichert dem Auftraggeber zu, dass Die zur Erreichung dieses Ziels getroffenen Maßnah-
Unbefugten durch folgende Maßnahmen der Zutritt men sind nachfolgend aufgeführt:
sowie der Zugang zu den Datenverarbeitungsanlagen
8 256-Bit-SSL-Verschlüsselung mit extended vali-
dation Tägliches Backup-Verfahren
es existieren Regelungen zur Datenvernichtung Spiegeln von Festplatten beim Unterauftragneh-
und Löschung (Löschkonzept) mer (RAID-Verfahren)
Die im Unternehmen getroffenen Maßnahmen zu Da- Notstromversorgung beim Unterauftragneh-
tenintegrität gewährleisten eine hinreichende Einga- mer(USV)
bekontrolle. Es kann in den Geschäftsprozessen von Virenschutz / Firewall sowohl beim Unterauftrag-
Newsletter2Go nachträglich überprüft und festgestellt nehmer als auch bei Newsletter2Go
werden, ob und von wem personenbezogene Daten Notfallplan
in Datenverarbeitungssysteme eingegeben, verändert Brandmeldeanlage
oder entfernt worden sind.
Dies wird durch die nachfolgend aufgeführten Maß- Die im Unternehmen getroffenen Maßnahmen der
nahmen bewirkt: Trennungskontrolle gewährleisten darüber hinaus,
dass zu unterschiedlichen Zwecken erhobene perso-
Gewährleistung durch Protokollierungs- und Pro- nenbezogene Daten ebenfalls getrennt verarbeitet
tokollauswertungssystem werden können.
Regelungen der Zugriffsrechte
Die nachfolgend aufgeführten Maßnahmen sind zur
Die im Unternehmen getroffenen Maßnahmen ge- Erreichung dieses Zwecks in die Geschäftsabläufe
währleisten ebenfalls ein hohes Schutzniveau im Be- von Newsletter2Go implementiert:
reich Auftragskontrolle. Die im Auftrag verarbeiteten
personenbezogenen Daten werden nur entsprechend Es ist mandantenfähige Software im Einsatz.
der Weisungen des Auftraggebers verarbeitet. Entwicklungs- und Testsysteme werden ausschließ-
lich mit Testdaten betrieben
Dies wird durch die folgenden Maßnahmen unter-
stützt:
§ 2 Zertifikat des TÜV-Rheinland
schriftlicher Vertrag zur Auftragsverarbeitung
gem. Art 28 DS-GVO mit Regelungen zu den
Rechten und Pflichten des Auftragnehmers und Als weitere Compliance-Maßnahme im Bereich Da-
Auftraggebers tenschutz haben wir ein Zertifikat als „Dienstleister mit
formalisierte Auftragserteilung geprüftem Datenschutz-Management“ vom TÜV-
Rheinland erhalten.
Die im Unternehmen getroffenen Maßnahmen zur Im Rahmen des Datenschutz-Audits erfolgen neben
Verfügbarkeitskontrolle gewährleisten, dass perso- der Nachbereitung der datenschutzrechtlichen Be-
nenbezogene Daten gegen zufällige Zerstörung oder standsaufnahme fortlaufende Maßnahmen zur Si-
Verlust geschützt sind. cherstellung der datenschutzrechtlichen Vorgaben,
welche durch jährliche Tätigkeitsberichte nachgewie-
sen werden.
Der Auftragnehmer tätigt die folgenden Maßnahmen:
9Anlage 2
Benennung Unterauftragnehmer
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Registergericht Ansbach,
HRB 3204 USt-Id Nr. DE 812871812
Die durch Hetzner erbrachte Teilleistung ist das Hosting der Server an Standorten
innerhalb der Bundesrepublik Deutschland.
10Anlage 3
Zertifikat TÜV Rheinland
1112 Powered by TCPDF (www.tcpdf.org)
Sie können auch lesen
