Auftragsbearbeitungsvertrag der InVision Software AG

Stand: March 2024

§1 Definitionen

1. „Hauptvertrag“ bezeichnet den Vertrag zwischen dem Kunden und der InVision Software AG (nachfolgend “Auftragnehmer”), welcher auf diesen Auftragsbearbeitungsvertrag (nachfolgend “ABV”) Bezug nimmt.

2. „Anwendbares Datenschutzrecht“ bezeichnet die Gesetzgebung zum Schutz des Rechts auf Privatsphäre bei der Bearbeitung von Personendaten (z.B. Das Datenschutzgesetz, die Datenschutzverordnung).

3. „Kunde“ bezeichnet den Kunden, der die Zwecke und Mittel der Bearbeitung der Personendaten festlegt.

4. „DSG“ bezeichnet das Bundesgesetz über den Datenschutz, und “DSV” die Datenschutzverordnung.

5. „Personendaten“ hat die Bedeutung, die diesem Begriff in Art. 5 (a) DSG verliehen ist, und umfasst für die Zwecke dieses ABV nur solche Personendaten des Kunden, die vom Auftragnehmer als Auftragsbearbeiter des Kunden bearbeitet werden.

6. „Verletzung der Datensicherheit“ bezeichnet eine Verletzung der Sicherheit, die zu Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu Personendaten führt, die gemäß den Bedingungen dieses ABV bearbeitet werden.

7. „Auftragsbearbeiter“ bezeichnet eine natürliche oder juristische Person, die Personendaten im Auftrag eines Kunden berarbeitet.

8. „Bearbeitung“ hat die in Artikel 5 (d) DSG verliehene Bedeutung.

9. „Bearbeitungsleistungen“ bezeichnet Dienstleistungen, die unter dem Hauptvertrag erbracht werden und die Bearbeitung der Personendaten durch den Auftragnehmer in seiner Eigenschaft als Auftragsbearbeiter für den Kunden umfassen. Die bearbeitungsleistungen sind in Anhang 1 näher beschrieben.

10. „Unterauftragsbearbeiter“ bezeichnet alle weiteren Auftragsbearbeiter, die vom Auftragnehmer im Rahmen der Erbringung der Bearbeitungsleistungen nach den Bestimmungen dieses ABV beauftragt werden. Unterauftragsbearbeiter bezeichnet nur einen Unterauftragnehmer mit Zugang zu Personendaten.

§2 Zweck und Geltungsbereich

1. Dieser ABV stellt den schriftlichen Auftragsbearbeitungsvertrag zwischen dem Kunden und dem Auftragnehmer dar, und findet auf Bearbeitungsleistungen Anwendung, die unter dem Hauptvertrag erbracht werden und die Bearbeitung von Personendaten durch den Auftragnehmer in seiner Eigenschaft als Auftragsbearbeiter für den Kunden umfassen.

2. Dieser ABV regelt die datenschutzrechtlichen Rechte und Pflichten des Kunden und des Auftragnehmers in Bezug auf die von diesem ABV erfassten Bearbeitungsleistungen; alle anderen Rechte und Pflichten richten sich ausschließlich nach den anderen Teilen des Hauptvertrages.

3. Der Auftragnehmer ist verpflichtet, Personendaten ausschließlich in Übereinstimmung mit den Bestimmungen des Hauptvertrages (einschließlich der Bestimmungen dieses ABV) zu bearbeiten.

4. Bei der Erbringung der Bearbeitungsleistungen ist der Auftragnehmer verpflichtet, alle unter anwendbarem Datenschutzrecht für Auftragsbearbeiter geltenden Vorschriften einzuhalten. Der Kunde ist für die Einhaltung der für den Kunden geltenden Gesetze und Vorschriften verantwortlich.

5. Im Falle von Widersprüchen zwischen den Bestimmungen dieses ABV und den übrigen Bestimmungen des Hauptvertrages gehen die Bestimmungen dieses ABV in Bezug auf die Datenschutzverpflichtungen der Parteien vor. Bei Unklarheiten dahingehend, ob sich eine Bestimmung auf die Datenschutzverpflichtungen der Parteien bezieht, gilt im Zweifel dieser ABV.

§3 Einzelheiten zu den Datenkategorien und Ort der Bearbeitungsleistung

1. Die Einzelheiten der vom Auftragnehmer durchgeführten Bearbeitungsleistungen – insbesondere die Art der bearbeiteten Personendaten und die Kategorien der betroffenen Personen – sind in Anhang 1 zu diesem ABV aufgeführt.

2. Die Personendaten werden ausschließlich innerhalb der EU oder in einem anderen Vertragsstaat des Vertrags über den Europäischen Wirtschaftsraum oder in der Schweiz bearbeitet, die jeweils einen angemessen Datenschutz nach Artikel 8 DSV haben. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die Anforderungen der Artikel 16 DSG erfüllt sind.

§4 Weisungsbefugnis

1. Der Auftragnehmer als Auftragsbearbeiter handelt ausschließlich gemäß den Weisungen des Kunden. Die Parteien sind sich einig, dass der Hauptvertrag einschließlich dieses ABV die abschließenden Weisungen des Kunden in Bezug auf die Bearbeitung von Personendaten durch den Auftragnehmer als Auftragsbearbeiter darstellen.

2. Der Auftragnehmer ist verpflichtet, wirtschaftlich angemessene Anstrengungen zu unternehmen, um weitere vom Kunden empfangene Weisungen zu befolgen und einzuhalten, solange diese technisch durchführbar sind und keine wesentlichen Änderungen an den Bearbeitungsleistungen (oder der zugrunde liegenden Software) erfordern. Weitere Weisungen sind zwischen dem Auftragnehmer und dem Kunden schriftlich zu vereinbaren und können mit zusätzlichen Kosten verbunden sein. Sofern eine Weisung des Kunden nach Auffassung des Auftragnehmers gegen anwendbares Datenschutzrecht verstößt, teilt der Auftragnehmer dies dem Kunden unverzüglich mit.

3. Sofern aufgrund des geltenden Datenschutzrechts weitere Weisungen erforderlich sind und die Parteien keine Einigung gemäß §4.2 erzielen, hat der Kunde das Recht, den Hauptvertrag zu kündigen.

§5 Technische und organisatorische Maßnahmen

1. Der Auftragnehmer trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen. Der Kunde bestätigt hiermit, dass das durch diese Maßnahmen geschaffene Sicherheitsniveau im Verhältnis zum Risiko der Bearbeitung durch den Auftragnehmer angemessen ist.

2. Dem Kunden ist bewusst und er erklärt sich damit einverstanden, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und einer organisatorischen Weiterentwicklung unterliegen. In dieser Hinsicht ist der Auftragnehmer berechtigt, adäquate Alternativmaßnahmen zu implementieren, soweit das Sicherheitsniveau der Maßnahmen erhalten bleibt.

§6 Verpflichtung auf die Vertraulichkeit

1. Der Auftragnehmer ist verpflichtet, seine an der Erbringung der Bearbeitungsleistungen beteiligten Mitarbeiter zur Wahrung der Vertraulichkeit der Personendaten zu verpflichten.

§7 Unterauftragsbearbeiter

1. Der Auftragnehmer darf Unterauftragsbearbeiter ausschließlich mit vorheriger Zustimmung des Kunden beauftragen, welche nicht unangemessen verweigert werden darf. Der Kunde stimmt hiermit der Beauftragung der auf der Website des Auftragnehmers aufgeführten Unterauftragsbearbeiter zu (Link: https://docs.injixo.com/subprocessors/). Der Auftragnehmer ist verpflichtet, mit jedem Unterauftragsbearbeiter einen Vertrag abzuschließen, der dem Unterauftragsbearbeiter im Wesentlichen die gleichen Verpflichtungen auferlegt, wie sie nach diesem ABV für den Auftragnehmer gelten. Auf schriftliche Anfrage des Kunden stellt der Auftragnehmer eine Kopie des jeweiligen Vertrages zur Verfügung, es sei denn, der Vertrag enthält wirtschaftliche oder anderweitig vertrauliche Informationen; in diesem Fall ist Auftragnehmer berechtigt, die wirtschaftlichen oder anderweitig vertraulichen Informationen zu schwärzen.

2. Der Auftragnehmer ist berechtigt, Unterauftragsbearbeiter auszutauschen oder neue zu beauftragen. Neue Unterauftragsbearbeiter sind vom Kunden gemäß dem folgenden Prozess zu genehmigen:

2.1. Der Auftragnehmer ist verpflichtet, den Kunden mit einer Frist von mindestens zehn (10) Tagen zu informieren, bevor er neuen Unterauftragsbearbeitern den Zugriff auf die Personendaten des Kunden gestattet.

2.2. Soweit der Kunde innerhalb dieser Frist von zehn (10) Tagen gegenüber dem Auftragnehmer keine angemessenen Einwände schriftlich mitteilt, so gilt dies als Genehmigung des neuen Unterauftragsbearbeiters, sofern der Auftragnehmer den Kunden in seiner Mitteilung über diese Konsequenz informiert hat.

2.3. Soweit der Kunde gegenüber dem Auftragnehmer Einwände erhebt, so ist der Auftragnehmer berechtigt, den Hauptvertrag mit einer Frist von zehn (10) Tagen zu kündigen, es sei denn, der Auftragnehmer entscheidet nach eigenem Ermessen, (a) die Bearbeitungsleistungen ohne den Einsatz des neuen Unterauftragsbearbeiters fortzusetzen, dem der Kunde widersprochen hat, (b) ausreichende Schritte zu unternehmen, um den im Einwand des Kunden erhobenen Bedenken zu begegnen oder (c) im Einvernehmen mit dem Kunden die Erbringung des Teils der Bearbeitungsleistungen, der den Einsatz des neuen Unterauftragsbearbeiters bedingen würde, einzustellen.

3. Wenn der Unterauftragsbearbeiter seinen Verpflichtungen nicht nachkommt, bleibt der Auftragnehmer dem Kunden gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsbearbeiters haftbar.

§8 Datenschutzbeauftragte

1. Name und Kontaktdaten der Ansprechpartner für den Datenschutz/Datenschutzbeauftragte beider Parteien ergeben sich aus Anhang 1 zu diesem ABV.

2. Sofern nicht ausdrücklich anders vereinbart, werden alle nach diesem ABV erforderlichen Informationen und Mitteilungen vom Auftragnehmer an den Ansprechpartner für den Datenschutz/Datenschutzbeauftragten beim Kunden schriftlich (E-Mail ausreichend) übermittelt.

§9 Berichtigung, Löschung und Einschränkung der Bearbeitung

1. Der Auftragnehmer verpflichtet sich, die Berichtigung, Löschung oder Einschränkung der Bearbeitung entsprechend der Weisungen des Kunden umzusetzen.

§10 Meldepflichten und Unterstützung des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, den Kunden unverzüglich (spätestens jedoch innerhalb von 48 Stunden) zu informieren, wenn er über eine Verletzung des Schutzes der Personendaten Kenntnis erlangt. Der Auftragnehmer ist verpflichtet (i) bei der Untersuchung einer solchen Verletzung des Schutzes der Personendaten in angemessenem Umfang mit dem Kunden zusammenarbeiten, (ii) den Kunden bei seinen Meldepflichten zu Sicherheitsverletzungen nach dem anwendbaren Datenschutzrecht in angemessenem Umfang zu unterstützen und (iii) angemessene Abhilfemaßnahmen einzuleiten.

2. Der Auftragnehmer ist verpflichtet, den Kunden unverzüglich (i) über Beschwerden oder Anfragen von Betroffenen, deren Personendaten gemäß diesem ABV verarbeitet werden (z.B. hinsichtlich der Berichtigung, Löschung und Einschränkung der Bearbeitung der Personendaten) oder (ii) über Anordnungen oder Anfragen einer zuständigen Aufsichtsbehörde oder eines Gerichts zu informieren.

3. Auf Wunsch des Kunden wird der Auftragnehmer den Kunden in angemessenem Umfang bei der

3.1. Behandlung von Beschwerden, Anfragen oder Anweisungen gemäß §10.2 und

3.2. Erfüllung der Verpflichtungen aus dem anwendbaren Datenschutzrecht unterstützen.

Diese Unterstützung erfolgt auf Kosten des Kunden und wird von diesem auf Basis der aufgewendeten Zeit und des aufgewendeten Materials vergütet, außer im Falle einer schuldhaften Verursachung durch den Auftragnehmer.

§11 Audits

1. Der Kunde ist nach Maßgabe der folgenden §§ 11.2 und 11.3 berechtigt, die Einhaltung der in dieser ABV festgelegten Pflichten zum Schutz Personendaten (insbesondere im Hinblick auf die technischen und organisatorischen Maßnahmen) durch den Auftragnehmer oder Unterauftragsbearbeiter in jährlichen Abständen und anlassbezogen zu überprüfen, wobei diese Prüfungen auf die Informationen und Datenbearbeitungssysteme beschränkt sind, die für die Erbringung der Bearbeitungsleistungen relevant sind.

2. Soweit der Auftragnehmer und Unterauftragsbearbeiter für die Bearbeitungsleistungen Zertifizierungen durchführen und regelmäßige Prüfberichte erstellen, sind zur Ausübung der Kontrollrechte nach dieser ABV zunächst diese Zertifizierungen und Prüfberichte zu verwenden. Auf Verlangen des Kunden stellt der Auftragnehmer (i) die entsprechenden Auszüge aus den Prüfberichten und (ii) die Informationen und Unterlagen zu den für die Bearbeitungsleistungen vorhandenen Zertifizierungen zur Verfügung. Die zur Verfügung gestellten Prüfberichte, Informationen und Unterlagen sind vertrauliche Informationen des Auftragnehmers.

3. Nur wenn die Zertifizierungen und Prüfberichte für den Kunden nicht ausreichen, um die Anforderungen an Audits und Kontrollen nach anwendbarem Datenschutzrecht einzuhalten, hat der Kunde das Recht, auf eigene Kosten (i) zusätzliche Informationen und Unterlagen anzufordern oder (ii) nach vorheriger Mitteilung mit einer angemessenen Frist eine weitergehende Prüfung den für die bearbeiteten Personendaten relevanten Bereich und der Sicherheitspraktiken des Auftragnehmers vorzunehmen, wobei die Betriebsabläufe des Auftragnehmers hierdurch nicht gestört werden dürfen und die Prüfung im Einklang mit den Sicherheitsrichtlinien des Auftragnehmers und dem anwendbaren Datenschutzrecht zu erfolgen hat.

§12 Beendigung und Kündigung

1. Dieser ABV hat die gleiche Laufzeit wie der Hauptvertrag. Nach Beendigung des ABV wird der Auftragnehmer, sofern zwischen den Parteien nichts anderes vereinbart ist, alle Personendaten, die ihm im Rahmen der Bearbeitungsleistungen vom Kunden zur Verfügung gestellt wurden oder die er im Auftrag des Kunden erhalten oder erzeugt hat, innerhalb der im Hauptvertrag genannten Frist löschen. Die Löschung ist vom Auftragnehmer auf Verlangen schriftlich zu bestätigen.

Ort, Datum

Unterschrift des Vertreters

Name und Titel

Ort, Datum

Unterschrift des Vertreters

Name und Titel

ANHANG 1: Konkretisierung der Bearbeitungsleistungen und Ansprechpartner

1. Bearbeitungsleistungen

Betroffene:

Mitarbeiter und Freiberufler des Kunden

Datenkategorien:

Personenstammdaten, Mitarbeiterqualifikationen, Kontaktdaten (z.B. Telefonnummer, E-Mail-Adresse), Planungs- und Steuerungsdaten sowie Trainingsfortschritt

Besonders schützenswerte Personendaten:

-/-

Zweck der Bearbeitung:

Ist im Hauptvertrag näher definiert und umfasst die Bereitstellung von Onlinediensten für die Personaleinsatzplanung und/oder E-Learnings.

Dauer der Bearbeitung:

Entspricht dem Hauptvertrag

2. Ansprechpartner

Ansprechpartner beim Auftragnehmer:

Frank Trautmann, Datenschutzbeauftragter
E-Mail: privacy@invision.de

Ansprechpartner beim Kunden:

Name, Position:
E-Mail:

ANHANG 2: Technische und organisatorische Maßnahmen gemäß Art. 8 DSG

In diesem Abschnitt werden die technischen und organisatorischen Maßnahmen zum Schutz der Personendaten (die „Maßnahmen“) beschrieben, die der Auftragnehmer im Zusammenhang mit der von ihm durchgeführten Bearbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Bearbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen mindestens ergreift.

Soweit im zugrunde liegenden Hauptvertrag andere oder besondere Maßnahmen vereinbart sind, so gelten diese anstelle oder zusätzlich zu den in diesem Dokument beschriebenen Maßnahmen.

I. Basismaßnahmen

Die Basismaßnahmen gewährleisten den Schutz der Vertraulichkeit und die Integrität der Systeme, mit denen der Auftragnehmer Personendaten bearbeitet. Diese Maßnahmen gelten für alle vom Auftragnehmer durchgeführten Bearbeitungen, sofern im zugrunde liegenden Hauptvertrag nichts anderes vereinbart ist.

1. Interne Betriebsorganisation

Der Auftragnehmer hat einen betrieblichen Datenschutzbeauftragten ernannt. Alle Mitarbeiter und Dienstleister des Auftragnehmers, die Zugang zu Personendaten haben, sind verpflichtet, diese Daten nur nach Anweisung und ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen zu bearbeiten. Die Mitarbeiter des Auftragnehmers werden durch separate Schulungen für die Themen Datenschutz und IT-Sicherheit sensibilisiert.

2. Schutz vor unbefugtem Zutritt

Der Zutritt zum Bürogebäude des Auftragnehmers ist durch ein elektronisches Zutritts-/Einbruchmeldesystem gesichert. Nur Personen, die über einen entsprechend berechtigten Token verfügen, erhalten Zutritt zum Gebäude und zu den einzelnen Bereichen. Außerhalb der Bürozeiten ist das Bürogebäude darüber hinaus durch eine Einbruchmeldeanlage gesichert und wird durch einen Wachdienst kontrolliert.

Bereiche mit erhöhtem Sicherheitsbedarf, z.B. die IT-Zentrale, werden zusätzlich per Video überwacht und sind standardmäßig abgeschlossen. Es existiert eine dedizierte Schlüsselverwaltung.

Zutrittsberechtigungen ergeben sich aus den Aufgabenbereichen der Mitarbeiter und werden dediziert vergeben sowie im Falle von Veränderungen der Aufgaben unverzüglich angepasst bzw. entzogen.

3. Zugangsschutz für die eingesetzten Computer

Jeder Mitarbeiter des Auftragnehmers nutzt einen ihm zugewiesenen Computer. Für den Zugang zu seinem Computer authentifiziert sich der Mitarbeiter am Gerät durch die Eingabe seines Benutzernamens und Passwortes. Um das Schutzniveau der Computer der Mitarbeiter zusätzlich zu erhöhen, sind die Festplatten der Computer standardmäßig verschlüsselt, so dass bei Verlust oder Diebstahl keine unautorisierte Person Zugriff auf die lokalen Daten erlangen kann. Das interne Netzwerk des Auftragnehmers ist durch den Einsatz von Firewalls gegen Angriffe von außen geschützt. Der Zugang zum Produktiv-WLAN ist durch Authentifizierungsmethode nach Stand der Technik gesichert. Das Gäste-WLAN ist logisch vom Produktiv-WLAN getrennt.

4. Schutz der Daten bei Übermittlung, Transport und Fernzugriff

Es ist darauf zu achten, dass Personendaten während der elektronischen Übermittlung oder während des Transports der Daten oder der Speicherung auf Datenträgern nicht gelesen, kopiert, verändert oder entfernt werden können.

Folgende Maßnahmen kommen zum Einsatz:

Die elektronischen Kommunikationskanäle werden durch den Einsatz von geschlossenen Netzwerken und Verfahren zur Datenverschlüsselung gesichert. Im Falle des physischen Transports von Datenträgern werden bestehende, verifizierbare Transportverfahren eingesetzt, die vor unbefugtem Zugriff oder Verlust der Daten schützen. Datenträger werden in einer zum Schutz der Daten geeigneten Weise entsorgt. Fernwartungsverbindungen werden durch geeignete Verschlüsselungsverfahren geschützt.

II. Besondere Maßnahmen für Bearbeitungsleistungen, bei denen der Auftragnehmer Personendaten in IT-Systemen speichert

Diese besonderen Maßnahmen gewährleisten den Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der IT-Systeme, in denen der Auftragnehmer Personendaten speichert. Diese Maßnahmen finden Anwendung, wenn die Speicherung von Daten einen wesentlichen Bestandteil der vertraglichen Bearbeitungsleistungen des Auftragnehmers darstellt und nicht nur vorübergehend ist.

1. Schutz vor unbefugter Bearbeitung

Der Zugriff auf Personendaten in IT-Systemen erfolgt nach einem funktionsabhängigen Berechtigungskonzept („need-to-know-Prinzip“). Darüber hinaus wird der unberechtigte Zugriff auf Personendaten durch Datenverschlüsselung verhindert.

2. Sicherstellung der Rückverfolgbarkeit

Der Zugriff auf Personendaten wird mit Benutzerkennung und Zeitstempel in Protokolldateien erfasst.

3. Sicherstellung von Integrität, Verfügbarkeit und Stabilität

Der Auftragnehmer speichert Personendaten in redundanten Systemen und diese werden zusätzlich durch geeignete und regelmäßig durchgeführte Sicherungsmaßnahmen gegen Verlust geschützt. Die Verfügbarkeit der internen IT-Services wird durch ein entsprechendes Backup-Konzept gewährleistet. Restoreprozesse werden regelmäßig durchgeführt, um die Eignung der zur Verfügung stehenden Backups zu verifizieren. Der Auftragnehmer verwendet unterbrechungsfreie elektrische Energie (sog. USVs), um die Stromversorgung in seiner IT-Zentrale sicherzustellen.