DSGVO eLearning

Vertrag zur Auftragsverarbeitung zwischen

Kunde

und

Gastronovi GmbH Buschhöhe 6 28357 Bremen – nachfolgend Auftragnehmerin genannt –

§ 1 Gegenstand und Dauer des Auftrags

  • Die Auftragnehmerin führt die im Anhang 1 beschriebenen Dienstleistungen für die Auftraggeberin durch. Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen werden dort beschrieben.
  • Dieser Vertrag tritt – solange keine anderweitigen Regelungen vereinbart wurden – mit Unterzeichnung beider Parteien in Kraft und gilt, solange die Auftragnehmerin für die Auftraggeberin personenbezogene Daten verarbeitet.

§ 2 Weisungen der Auftraggeberin

  • Die Auftraggeberin ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich. Gesetzliche oder vertragliche Haftungsregelungen bleiben hiervon unberührt.
  • Die Auftragnehmerin verarbeitet die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen der Auftraggeberin und im Rahmen der getroffenen Vereinbarungen. Daten dürfen nur berichtigt, gelöscht und gesperrt werden, wenn die Auftraggeberin dies anweist.
  • Die Verarbeitung erfolgt nur auf Weisung der Auftraggeberin, es sei denn, die Auftragnehmerin ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem die Auftragnehmerin unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt die Auftragnehmerin der Auftraggeberin diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.
  • Grundsätzlich können Weisungen mündlich erteilt werden. Mündliche Weisungen sind anschließend von der Auftraggeberin zu dokumentieren. Weisungen sind schriftlich oder in Textform zu erteilen, wenn die Auftragnehmerin dies verlangt.
  • Ist die Auftragnehmerin der Ansicht, dass eine Weisung der Auftraggeberin gegen datenschutzrechtliche Vorschriften verstößt, hat sie die Auftraggeberin unverzüglich darauf hinzuweisen.

§ 3 Technische und organisatorische Maßnahmen

  • Die Auftragnehmerin verpflichtet sich, für die zu verarbeitenden Daten angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen und im Anhang 3 dieses Vertrages zu dokumentieren. Die Sicherheitsmaßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  • Die getroffenen Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Die Auftragnehmerin darf entsprechende Anpassungen nur vornehmen, wenn diese mindestens das Sicherheitsniveau der bisherigen Maßnahmen erreichen. Soweit nichts anderes bestimmt ist, muss die Auftragnehmerin der Auftraggeberin nur wesentliche Anpassungen mitteilen.
  • Die Auftragnehmerin unterstützt die Auftraggeberin bei der Einhaltung aller gesetzlichen Pflichten hinsichtlich der einzuhaltenden technischen und organisatorischen Maßnahmen. Die Auftragnehmerin hat auf Anfrage an der Erstellung und der Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten der Auftraggeberin mitzuwirken. Die Auftragnehmerin wirkt bei der Erstellung einer Datenschutz-Folgenabschätzung und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden mit. Sie hat der Auftraggeberin alle erforderlichen Angaben und Dokumente auf Anfrage offenzulegen.

§ 4 Pflichten der Auftragnehmerin

  • Die Auftragnehmerin bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Sie gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
  • Die Auftragnehmerin bietet hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person steht.
  • Die Auftragnehmerin sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Sie überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
  • Die Auftragnehmerin darf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten der Auftraggeberin zugreifen, wenn dies für die Durchführung der Auftragsverarbeitung zwingend erforderlich ist.
  • Soweit gesetzlich vorgeschrieben, bestellt die Auftragnehmerin einen Beauftragten für den Datenschutz. Die Kontaktdaten des Beauftragten für den Datenschutz werden der Auftraggeberin zum Zweck der direkten Kontaktaufnahme mitgeteilt.
  • Die Auftragnehmerin darf die ihr zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland oder in einem Mitgliedsstaat der Europäischen Union verarbeiten. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung der Auftraggeberin und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.
  • Die Auftragnehmerin unterstützt die Auftraggeberin mit geeigneten technischen und organisatorischen Maßnahmen, damit diese ihre bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann, z.B. die Information und Auskunft an die betroffene Person, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Die Auftragnehmerin benennt einen Ansprechpartner, der die Auftraggeberin bei der Erfüllung von gesetzlichen Informations- und Auskunftspflichten, die im Zusammenhang mit der Auftragsverarbeitung entstehen, unterstützt und teilt der Auftraggeberin dessen Kontaktdaten unverzüglich mit. Soweit die Auftraggeberin besonderen gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten unterliegt, unterstützt die Auftragnehmerin die Auftraggeberin hierbei. Auskünfte an die betroffene Person oder Dritte darf die Auftragnehmerin nur nach vorheriger Weisung der Auftraggeberin erteilen. Soweit eine betroffene Person ihre datenschutzrechtlichen Rechte unmittelbar gegenüber der Auftragnehmerin geltend macht, wird die Auftragnehmerin dieses Ersuchen unverzüglich an die Auftraggeberin weiterleiten.

§ 5 Berechtigung zur Begründung von Unterauftragsverhältnissen

  • Die Auftragnehmerin darf Unterauftragnehmer nur beauftragen, wenn sie die Auftraggeberin immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch die Auftraggeberin die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Einspruch darf nur aus wichtigem Grund erfolgen.
  • Ein Unterauftragsverhältnis liegt insbesondere vor, wenn die Auftragnehmerin weitere Auftragnehmer in Teilen oder im Ganzen mit Leistungen beauftragt, auf die sich dieser Vertrag bezieht. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen oder Reinigungskräfte. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Auftraggeberin auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  • Ein Zugriff auf Daten darf durch den Unterauftragnehmer erst dann erfolgen, wenn die Auftragnehmerin durch einen schriftlichen Vertrag sicherstellt, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber den Unterauftragnehmern gelten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorschriften erfolgt.
  • Die Inanspruchnahme der in Anhang 2 zum Zeitpunkt der Vertragsunterzeichnung aufgeführten Unterauftragnehmer gilt als genehmigt, sofern die in § 5 Abs. 3 dieses Vertrages genannten Voraussetzungen umgesetzt werden.

§ 6 Kontrollrechte der Auftraggeberin

Die Auftragnehmerin erklärt sich damit einverstanden, dass die Auftraggeberin oder eine von ihr beauftragte Person berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und Anforderung von relevanten Unterlagen, die Einsichtnahme in die Verarbeitungsprogramme oder durch Zutritt zu den Arbeitsräumen der Auftragnehmerin zu den ausgewiesenen Geschäftszeiten nach vorheriger Anmeldung. Durch geeignete und gültige Zertifikate zur IT-Sicherheit (z.B. IT-Grundschutz, ISO 27001) kann auch der Nachweis einer ordnungsgemäßen Verarbeitung erbracht werden, sofern hierzu auch der jeweilige Gegenstand der Zertifizierung auf die Auftragsverarbeitung im konkreten Fall zutrifft. Die Vorlage eines relevanten Zertifikats ersetzt jedoch nicht die Pflicht der Auftragnehmerin zur Dokumentation der Sicherheitsmaßnahmen im Sinne des § 3 dieser Vereinbarung.

§ 7 Mitzuteilende Verstöße der Auftragnehmerin

Die Auftragnehmerin unterrichtet die Auftraggeberin unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten der Auftraggeberin mit sich bringen, sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten der Auftraggeberin. Gleiches gilt, wenn die Auftragnehmerin feststellt, dass die bei ihr getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen. Der Auftragnehmerin ist bekannt, dass die Auftraggeberin verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person unverzüglich zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird die Auftragnehmerin die Auftraggeberin bei der Einhaltung ihrer Meldepflichten unterstützen. Sie wird die Verletzungen der Auftraggeberin unverzüglich melden und hierbei zumindest folgende Informationen mitteilen:

  • eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
  • Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

§ 8 Beendigung des Auftrags

  • Nach Abschluss der Auftragsverarbeitung hat die Auftragnehmerin alle personenbezogenen Daten nach Wahl der Auftraggeberin entweder zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
  • Die Auftraggeberin kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn die Auftragnehmerin einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Bestimmungen begeht und der Auftraggeberin aufgrund dessen die Fortsetzung der Auftragsverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht zugemutet werden kann.

§ 9 Schlussbestimmungen

  • Sollte das Eigentum der Auftraggeberin bei der Auftragnehmerin durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die Auftragnehmerin die Auftraggeberin unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände der Auftraggeberin ausgeschlossen.
  • Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
  • Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.

Anhang 1: Auflistung der beauftragten Dienstleistungen und Kontaktdaten der Datenschutzbeauftragten

Inhalt Beschreibung
Gegenstand der Verarbeitung Bereitstellung einer Lernplattform
Art und Zweck der Verarbeitung Hosting und Wartung einer Online-Lernplattform über das Gastronovi-Webportal
Art der personenbezogenen Daten Anmelde-/ Nutzerdaten: E-Mail-Adresse, Vor- und Nachname / ggf. Profilbild, wenn der Nutzer es selbst hinterlegt / Anmeldungen / Aktualisierungen (zur Protokollierung) / laufende, abgeschlossene Kurse / Schulungszeit insgesamt / Testergebnisse (inkl. Abzeichen, Punkte, Level)
Kategorien betroffener Personen Beschäftigte der Auftraggeberin
Datenschutzbeauftragter der Auftraggeberin (sofern benannt) Bitte E-Mail senden wenn abweichend vom Auftraggeber
Datenschutzbeauftragter der Auftragnehmerin (sofern benannt) datenschutz nord GmbH
Konsul-Smidt-Straße 88
28217 Bremen
E-Mail: office@datenschutz-nord.de

Anhang 2: Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung
Epignosis LLC USA Hosting / Wartung des Dienstes
Epignosis UK Ltd. Großbritannien Hosting / Wartung des Dienstes
Greek Branch of Epignosis UK Ltd. Griechenland Hosting / Wartung des Dienstes

Anhang 3: Technisch-organisatorische Maßnahmen

A Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität

Zutrittskontrollmaßnahmen

  • Alarmanlage
  • Videoüberwachung
  • Besetzter Empfang
  • Festlegung und Legitimation der Zutrittsberechtigten per RFID-Chip
  • Separat personifizierte Zutrittsrechte für den Serverraum mit Zutrittskarte
  • Protokollierung der Zutritte zum Serverraum
  • Protokollierte Schlüsselausgabe
  • Führen von Besucherlisten
  • Zutrittsregelung: Abholung und Begleitung von betriebsfremden Personen

Zugangs- und Zugriffskontrollmaßnahmen

  • Definierter Prozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen
  • Protokollierung der Änderungen von Zugriffsberechtigungen
  • Zwingende Passwort-Vorgaben: 8 Zeichen, mit Sonderzeichen, 90 Tage Gültigkeit
  • Begrenzung von erfolglosen Anmeldeversuchen (3)
  • Automatische Bildschirmsperre nach 5 Minuten Inaktivität
  • 2-Faktor-Authentisierung bei Fernzugriffen
  • Regelmäßiges Updaten der Firewall

Maßnahmen zur Sicherung von Papier-Unterlagen, mobilen Datenträgern und mobilen Endgeräten

  • Entsorgung von nicht mehr benötigten Papier-Unterlagen in verschlossenen Datentonnen durch einen Entsorgungsdienstleister gemäß DIN 66399
  • Löschen der Daten durch mehrfache Überschreibungen
  • Ausschließliches Bereitstellen aller benötigten Speichermedien vom Unternehmen
  • Verschlüsselung der Festplatte auf mobilen Endgeräten

Maßnahmen zur sicheren Datenübertragung (Verschlüsselung)

  • Verschlüsselung beim Transfer personenbezogener Daten per
    • PGP / S/MIME
    • verschlüsseltem Datenträger
    • VPN
    • https / TLS
    • SFTP
    • Technisches Unterbinden für die Verwendung von schwachen Chiffren

B. Maßnahmen zur Sicherstellung der Verfügbarkeit

Serverraum

  • Feuerhemmende Zugangstür
  • Klimatisierung
  • Rauchmelder
  • Brandmeldezentrale
  • Löschsystem (Argon-Löschanlage)
  • Unterbrechungsfreie Stromversorgung (USV)
  • Zusätzliche Absicherung der Stromversorgung über Dieselaggregat
  • Regelmäßige Tests der technischen Sicherungsmaßnahmen

Backup- und Notfall-Konzept, Virenschutz

  • Tägliche Sicherung des Datenbestandes
  • Regelmäßiger Test der Backup-Wiederherstellung
  • Aufbewahrung der Backups in getrennten Brandabschnitten
  • Verschlüsselung der Backups
  • Notfallkonzept (bspw. bei Hardwaredefekten / Brand)
  • Schutz vor unbefugten Datenzugriffen mittels stets aktualisiertem Virenschutz, Anti-Spyware und Spamfilter

C. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Management

  • Bestellter externer Datenschutzbeauftragter mit ständigem Stellvertreter
  • Hausinterne Datenschutzkoordinatorin als zentrale Ansprechpartnerin
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Online-Management-Tool (privacy port) zur Erfassung von datenschutzrelevanten Vorgängen (z.B. Betroffenenanfragen) und Dokumentation aller nötigen Prozesse (z.B. Verarbeitungsverzeichnis)
  • Unterweisung aller Mitarbeiter über die Grundlagen zum Datenschutz per e-Learning

Incident-Response-Management

  • Technische Überwachung der IT-Infrastruktur auf potentielle Schwachstellen
  • Interne Anlaufstelle für die Meldung von Datenschutzverletzungen unter Einbeziehung des externen Datenschutzbeauftragten

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 EU-DS-GVO)

  • Verarbeitung von personenbezogenen Daten erfolgt nur bei geschäftlicher Notwendigkeit
  • Zugriffsrechte auf das Erforderliche beschränkt (need-to-know)
  • Systemseitige Protokollierungsfunktionen mit bedarfsbezogener Auswertung im Einzelfall

Auftragskontrolle

  • Eindeutige Vertragsgestaltung mit Festlegung von Weisungen
  • Sorgfältige Auswahl von Dienstleistern
  • Verpflichtende Einbindung des Datenschutzbeauftragten bei der Prüfung von Auftragsverarbeitern
Die Informationen sind allgemeiner Art und stellen keine Rechtsberatung dar.
Das Supportportal erhebt keinen Anspruch auf Vollständigkeit. Änderungen bleiben ohne Vorankündigung jederzeit vorbehalten. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.