Auftragsverarbeitung gem. Art. 28 EU-DS-GVO

- Stand 17.05.2019 -

Vereinbarung

zwischen

Verantwortlicher, nachstehend Auftraggeber genannt *

Straße *

Hausnummer *

PLZ *

Ort *

vertreten durch

Anrede *

Name *

Vorname *

Position

und der

Auftragsverarbeiter, nachstehend Auftragnehmer genannt:

bol Behörden Online Systemhaus GmbH

Einsteinstraße 14 D- 85716 Unterschleißheim

vertreten durch

Herrn Dr. Fraus

Geschäftsführer

wird folgender Vertrag über Auftragsverarbeitung nach Art. 28 Abs. 3 und den weiteren Bestimmungen der Verordnung 2016/79 EU (EU Datenschutz-Grundverordnung) [i.F.: "EU-DS-GVO"], sowie sonstiger anwendbarer datenschutzrechtlicher Bestimmungen geschlossen:

§ 2 Pflichten / Kontrollrecht des Auftraggebers

Der Auftraggeber ist alleine verantwortlich für die Beurteilung der rechtlichen Zulässigkeit der im Rahmen des Auftragsverhältnisses durchzuführenden Verarbeitung durch den Auftragnehmer im Hinblick auf die Regelungen der EU Datenschutz-Grundverordnung und anderer Vorschriften über den Datenschutz.

Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
Erhebung, Verarbeitung und/oder Nutzung von personenbezogenen und sensitiven Daten, welche über ein Onlineantragsportal des Auftragsnehmers erfasst werden können. Bereitstellung und Betrieb der BOL Webanwendungen auf Ressourcen der in Anlage 2 benannten Unterauftragsverarbeiter. Entgegennahme der Daten des Endnutzers, Verarbeitung und Weiterleitung an den Auftraggeber. Speicherung und Sicherung der Daten nach Vorgaben des Auftraggebers.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 EU-DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann z.B. auch erfolgen durch:

Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DS-GVO
Die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 EU-DS-GVO
Aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
Eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001).

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

Die Verarbeitung von Daten in Privatwohnungen ist gestattet. Auch dort werden die datenschutzrechtlichen Vorschriften eingehalten.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

Schriftliche Bestellung eines Datenschutzbeauftragten, soweit gesetzlich erforderlich.

Als Datenschutzbeauftragter ist beim Auftragnehmer die Firma atarax Unternehmensgruppe bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

Die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DS-GVO wird gewahrt. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Diese gelten auch nach Beendigung des Auftrags fort. Er verpflichtet sich, auch folgende relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen, sofern Sie für diesen Auftrag relevant sind:

Geheimnisschutzregeln

(z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse §203 StGB etc.)

Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 EU-DS-GVO [Einzelheiten in Anlage 1].

Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich im Rahmen der vertraglich festgelegten Weisungen und der speziellen Einzelweisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedsstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (beispielsweise bei Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Er verwendet die zur Datenverarbeitung überlassenen Daten nicht für andere Zwecke und bewahrt sie nicht länger auf, als es der Auftraggeber bestimmt.

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen Datenschutzvorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Weisungsberechtigten beim Auftraggeber bestätigt oder geändert wird.

Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Unterlagen und Daten betroffen sind.

Der Auftragnehmer führt das Verzeichnis der Verarbeitungstätigkeit gem. Art. 30 Abs. 2 EU-DS-GVO und stellt dies auf Anfrage dem Auftraggeber zur Verfügung. Der Auftraggeber stellt dem Auftragnehmer die hierzu erforderlichen Informationen zur Verfügung.
Der Auftragnehmer unterstützt den Auftraggeber seinerseits bei der Erstellung des Verzeichnisses nach Art 30 Abs. 1 EU-DS-GVO.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der EU-DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten.

Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

Etwaig anfallende Mehrkosten für den Auftragnehmer im Rahmen dieser Pflichten sind diesem durch den Auftraggeber zu ersetzen.

§ 4 Rückgabe und Löschung

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber - spätestens mit Beendigung der Leistungsvereinbarung - hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 5 Unterauftragsverhältnisse

Der Auftragnehmer darf Unterauftragsverarbeiter (weitere Auftragsverarbeiter) nur nach vorheriger Zustimmung des Auftraggebers beauftragen. Der Auftraggeber stimmt der Beauftragung der in Anlage 2 aufgeführten Unterauftragsverarbeiter zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4, 9 EU-DS-GVO, welche sowohl schriftlich als auch in einem elektronischen Format erfolgen kann.

Vor Hinzuziehung weiterer oder Ersetzung aufgeführter Unterauftragsverarbeiter informiert der Auftragnehmer den Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform.

Der Auftraggeber kann gegen die Änderung - innerhalb einer angemessenen Frist, jedoch nicht länger als 4 Wochen - aus wichtigem datenschutzrechtlichem Grund - gegenüber der vom Auftragnehmer bezeichneten Stelle Einspruch erheben. Erfolgt kein Einspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Bei unberechtigtem Einspruch kann es zu entsprechenden Verzögerungen bei der Erbringung der Leistung nach dem Hauptvertrag kommen. Für eine aus einem unberechtigten Einspruch resultierende Einschränkung der Vertragsleistungen ist der Auftragnehmer nicht verantwortlich.

Hat der Auftraggeber aufgrund eines wichtigen datenschutzrechtlichen Grundes berechtigt Einspruch gegen einen Unterauftragsverarbeiter erhoben und ist eine einvernehmliche Lösungsfindung zwischen den Parteien auch auf anderem Wege aufgrund von wichtigen datenschutzrechtlichen Gründen nicht möglich, steht dem Auftragnehmer ein Sonderkündigungsrecht zu.

In Ausnahmefällen ist auch eine nachträgliche Einigung zwischen den Parteien möglich. Der Auftragnehmer hat den Auftraggeber in diesem Fall unverzüglich über den Einsatz eines Unterauftragsverarbeiter zu informieren.

Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU / des EWR, stellen Auftraggeber und Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

Eine weitere Auslagerung durch den Unterauftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mindestens Textform); sämtliche vertragliche Regelungen zu den Datenschutzpflichten in der Vertragskette sind auch dem weiteren Unterauftragsverarbeiter aufzuerlegen.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

§ 6 Weisungsrechte

Der Verarbeitung der Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber erteilt alle Weisungen und Aufträge in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und in schriftlicher oder elektronischer Form zu dokumentieren.
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format.

- Weisungsberechtigte Personen des Auftraggebers sind:

Weisungsberechtigte Personen *

- Weisungsempfänger beim Auftragnehmer sind:

Herr Dr. Ulrich Fraus, Herr Falk Merten, Herr Lorenz Kahlert

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.

Weisungen des Auftraggebers an den Auftragnehmer werden ausschließlich von den o. g. verantwortlichen Sachgebietsbearbeitern erteilt.

§ 7 Rechte betroffener Personen

Vor Hinzuziehung weiterer oder Ersetzung aufgeführter Unterauftragsverarbeiter informiert der Auftragnehmer den Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform.

§ 8 Technisch-organisatorische Maßnahmen

Die in der Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
Der Auftragnehmer hat damit die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DS-GVO zu berücksichtigen.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

§ 9 Haftung

Für die Haftung aufgrund von Verletzungen der Datenschutzbestimmungen oder dieser Datenschutzvereinbarung gelten die gesetzlichen Vorschriften, sofern in den für die vertragsgegenständlichen Leistungen geltenden Vertragsdokumenten keine abweichende Haftungsvereinbarung getroffen wurde.

§ 10 Sonstiges

Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Der Gerichtsstand für beide Parteien ist München.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Für den Auftraggeber:

Name des Auftraggebers *

Für den Auftragnehmer:

Dr. Ulrich Fraus

Unterschleißheim, den

Anlage 1

Allgemeine technische und organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DS-GVO)

Die Daten befinden sich auf Ressourcen in zertifizierten Hochsicherheits-Rechenzentren der Fa. Amazon Web Services. Diese RZ haben kartengestütztes Zugangssysteme für berechtigte Mitarbeiter sowie Personenkontrolle beim Eingang.

Zugang zu den Systemen ist nur über eine Verbindung von Login mit sicheren Paßwörtern und Zwei-Faktor-Authentifizierung möglich. Daten werden beim Speichern und im Ruhezustand mit AES256 verschlüsselt.

Zentral verwaltetes Key Management und Vergabe der Zugriffsrechte auf die Daten über Benutzergruppen und bedarfsgerechte Zugriffsrechte. Die Zugriffe auf Daten werden protokolliert.

Trennung von Entwicklungs- und Testsystem zum Produktivsystem durch getrennte Systemkonten. Trennung der Mandanten über VPC (Virtual Privat Cloud) und Subnetze. Trennung von Anwendungs- und Datenbankserver über Subnetze. Mandantenfähige Webanwendungen.

Eine Pseudonymisierung ist nicht notwendig, oder findet beim Auftraggeber statt. (Art. 32 Abs. 1 lit. a EU-DS-GVO, Art. 25 Abs. 1 EU-DS-GVO)

2. Integrität (Art. 32 Abs. 1 lit. b EU-DS-GVO)

Direkter Zugriff auf die Daten ist nur über eine statische VPN Verbindung zum Rechenzentrum mit Hilfe von SSH-Verbindungen möglich. Ein Zugriff über die bereitgestellte Weboberfläche kann nur durch Login erfolgen. Die Datenübertragung ist mit SSL abgesichert.

Alle Zugriffe auf die Daten, einschließlich der Remotezugriffe werden protokolliert.

3. Verfügbarkeit und Belastbarkeit / Wiederherstellbarkeit

(Art. 32 Abs. 1 lit. b EU-DS-GVO)

Regelmäßige, sowie kontinuierliche Backups der Daten und Ressourcen auf unveränderliche Drittsysteme. Schnelle Wiederherstellbarkeit der Daten und Ressourcen im Fehlerfall.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 lit. d EU-DS-GVO, Art. 25 Abs. 1 EU-DS-GVO)

Nutzung von Asset Management und Konfiguration mit AWS Config.

Regelmäßige Audits und Sicherheitsanalysen.

Erstellung von erzwingenden Funktionen, welche durch Nutzer der Ressourcen ohne entsprechende Berechtigungen nicht überschrieben werden können.

Eindeutige vertragliche Regelungen zu Art und Umfang der Datenverarbeitung.

Auftragsverarbeitung gem. Art. 28 EU-DS-GVO

vertreten durch

bol Behörden Online Systemhaus GmbH

vertreten durch

Herrn Dr. Fraus

wird folgender Vertrag über Auftragsverarbeitung nach Art. 28 Abs. 3 und den weiteren Bestimmungen der Verordnung 2016/79 EU (EU Datenschutz-Grundverordnung) [i.F.: "EU-DS-GVO"], sowie sonstiger anwendbarer datenschutzrechtlicher Bestimmungen geschlossen:

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Bitte entsprechendes ankreuzen):

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen (Bitte entsprechendes ankreuzen):

- Weisungsberechtigte Personen des Auftraggebers sind:

- Weisungsempfänger beim Auftragnehmer sind:

Herr Dr. Ulrich Fraus, Herr Falk Merten, Herr Lorenz Kahlert

Für die Haftung aufgrund von Verletzungen der Datenschutzbestimmungen oder dieser Datenschutzvereinbarung gelten die gesetzlichen Vorschriften, sofern in den für die vertragsgegenständlichen Leistungen geltenden Vertragsdokumenten keine abweichende Haftungsvereinbarung getroffen wurde.

Für den Auftraggeber:

Für den Auftragnehmer:

Dr. Ulrich Fraus

Unterschleißheim, den

Anlage 1

Regelmäßige, sowie kontinuierliche Backups der Daten und Ressourcen auf unveränderliche Drittsysteme. Schnelle Wiederherstellbarkeit der Daten und Ressourcen im Fehlerfall.

Eingesetzte Unterauftragsverarbeiter des Auftragnehmers

Name und Adresse von Unterauftragsverarbeiter 1

Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxembourg

Bitte das Zutreffende ankreuzen:

Durchzuführende Tätigkeit(en)

Bereitstellung der benötigten Server und Ressourcen (Server-Hosting, Cloud-Computing)