Auftragsverarbeitungsvertrag der InVision AG

Stand: Februar 2020

§1 Definitionen

1. „Hauptvertrag“ bezeichnet den Vertrag zwischen dem Kunden und der InVision AG (nachfolgend “Auftragnehmer”), welcher auf diesen Auftragsverarbeitungsvertrag (nachfolgend “AVV”) Bezug nimmt.

2. „Anwendbares Datenschutzrecht“ bezeichnet die Gesetzgebung zum Schutz des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten (z.B. die DSGVO).

3. „Kunde“ bezeichnet den Kunden, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

4. „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung).

5. „Personenbezogene Daten“ hat die Bedeutung, die diesem Begriff in Art. 4 Abs. 1 DSGVO verliehen ist, und umfasst für die Zwecke dieses AVV nur solche personenbezogenen Daten des Kunden, die vom Auftragnehmer als Auftragsverarbeiter des Kunden verarbeitet werden.

6. „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zu Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu personenbezogene Daten führt, die gemäß den Bedingungen dieses AVV verarbeitet werden.

7. „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Kunden verarbeitet.

8. „Verarbeitung“ hat die in Artikel 4 Abs. 2 DSGVO verliehene Bedeutung.

9. „Verarbeitungsleistungen“ bezeichnet Dienstleistungen, die unter dem Hauptvertrag erbracht werden und die Verarbeitung personenbezogener Daten durch den Auftragnehmer in seiner Eigenschaft als Auftragsverarbeiter für den Kunden umfassen. Die Verarbeitungsleistungen sind in Anhang 1 näher beschrieben.

10. „Unterauftragsverarbeiter“ bezeichnet alle weiteren Auftragsverarbeiter, die vom Auftragnehmer im Rahmen der Erbringung der Verarbeitungsleistungen nach den Bestimmungen dieses AVV beauftragt werden. Unterauftragsverarbeiter bezeichnet nur einen Unterauftragnehmer mit Zugang zu personenbezogenen Daten.

§2 Zweck und Geltungsbereich

1. Dieser AVV stellt den schriftlichen Auftragsverarbeitungsvertrag zwischen dem Kunden und dem Auftragnehmer dar, und findet auf Verarbeitungsleistungen Anwendung, die unter dem Hauptvertrag erbracht werden und die Verarbeitung personenbezogener Daten durch den Auftragnehmer in seiner Eigenschaft als Auftragsverarbeiter für den Kunden umfassen.

2. Dieser AVV regelt die datenschutzrechtlichen Rechte und Pflichten des Kunden und des Auftragnehmers in Bezug auf die von diesem AVV erfassten Verarbeitungsleistungen; alle anderen Rechte und Pflichten richten sich ausschließlich nach den anderen Teilen des Hauptvertrages.

3. Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich in Übereinstimmung mit den Bestimmungen des Hauptvertrages (einschließlich der Bestimmungen dieses AVV) zu verarbeiten.

4. Bei der Erbringung der Verarbeitungsleistungen ist der Auftragnehmer verpflichtet, alle unter anwendbarem Datenschutzrecht für Auftragsverarbeiter geltenden Vorschriften einzuhalten. Der Kunde ist für die Einhaltung der für den Kunden geltenden Gesetze und Vorschriften verantwortlich.

5. Im Falle von Widersprüchen zwischen den Bestimmungen dieses AVV und den übrigen Bestimmungen des Hauptvertrages gehen die Bestimmungen dieses AVV in Bezug auf die Datenschutzverpflichtungen der Parteien vor. Bei Unklarheiten dahingehend, ob sich eine Bestimmung auf die Datenschutzverpflichtungen der Parteien bezieht, gilt im Zweifel dieser AVV.

§3 Einzelheiten zu den Datenkategorien und Ort der Verarbeitungsleistung

1. Die Einzelheiten der vom Auftragnehmer durchgeführten Verarbeitungsleistungen – insbesondere die Art der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen – sind in Anhang 1 zu diesem AVV aufgeführt.

2. Die personenbezogenen Daten werden ausschließlich innerhalb der EU oder in einem anderen Vertragsstaat des Vertrags über den Europäischen Wirtschaftsraum oder in der Schweiz verarbeitet, die jeweils von einer Angemessenheitsentscheidung der Europäischen Kommission gedeckt sind (vgl. Art. 45 Abs. 9 DSGVO). Jede Verlagerung in ein Drittland (Art. 44 DSGVO) bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die Anforderungen der Artikel 44 ff. DSGVO erfüllt sind.

§4 Weisungsbefugnis

1. Der Auftragnehmer als Auftragsverarbeiter handelt ausschließlich gemäß den Weisungen des Kunden. Die Parteien sind sich einig, dass der Hauptvertrag einschließlich dieses AVV die abschließenden Weisungen des Kunden in Bezug auf die Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter darstellen.

2. Der Auftragnehmer ist verpflichtet, wirtschaftlich angemessene Anstrengungen zu unternehmen, um weitere vom Kunden empfangene Weisungen zu befolgen und einzuhalten, solange diese technisch durchführbar sind und keine wesentlichen Änderungen an den Verarbeitungsleistungen (oder der zugrunde liegenden Software) erfordern. Weitere Weisungen sind zwischen dem Auftragnehmer und dem Kunden schriftlich zu vereinbaren und können mit zusätzlichen Kosten verbunden sein. Sofern eine Weisung des Kunden nach Auffassung des Auftragnehmers gegen anwendbares Datenschutzrecht verstößt, teilt der Auftragnehmer dies dem Kunden unverzüglich mit.

3. Sofern aufgrund des geltenden Datenschutzrechts weitere Weisungen erforderlich sind und die Parteien keine Einigung gemäß §4.2 erzielen, hat der Kunde das Recht, den Hauptvertrag zu kündigen.

§5 Technische und organisatorische Maßnahmen

1. Der Auftragnehmer trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen. Der Kunde bestätigt hiermit, dass das durch diese Maßnahmen geschaffene Sicherheitsniveau im Verhältnis zum Risiko der Verarbeitung durch den Auftragnehmer angemessen ist.

2. Dem Kunden ist bewusst und er erklärt sich damit einverstanden, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und einer organisatorischen Weiterentwicklung unterliegen. In dieser Hinsicht ist der Auftragnehmer berechtigt, adäquate Alternativmaßnahmen zu implementieren, soweit das Sicherheitsniveau der Maßnahmen erhalten bleibt.

§6 Verpflichtung auf die Vertraulichkeit

1. Der Auftragnehmer ist verpflichtet, seine an der Erbringung der Verarbeitungsleistungen beteiligten Mitarbeiter zur Wahrung der Vertraulichkeit personenbezogener Daten zu verpflichten.

§7 Unterauftragsverarbeiter

1. Der Auftragnehmer darf Unterauftragsverarbeiter ausschließlich mit vorheriger Zustimmung des Kunden beauftragen, welche nicht unangemessen verweigert werden darf. Der Kunde stimmt hiermit der Beauftragung der auf der Website des Auftragnehmers aufgeführten Unterauftragsverarbeiter zu Link. Der Auftragnehmer ist verpflichtet, mit jedem Unterauftragsverarbeiter einen Vertrag abzuschließen, der dem Unterauftragsverarbeiter im Wesentlichen die gleichen Verpflichtungen auferlegt, wie sie nach diesem AVV für den Auftragnehmer gelten. Auf schriftliche Anfrage des Kunden stellt der Auftragnehmer eine Kopie des jeweiligen Vertrages zur Verfügung, es sei denn, der Vertrag enthält wirtschaftliche oder anderweitig vertrauliche Informationen; in diesem Fall ist Auftragnehmer berechtigt, die wirtschaftlichen oder anderweitig vertraulichen Informationen zu schwärzen.

2. Der Auftragnehmer ist berechtigt, Unterauftragsverarbeiter auszutauschen oder neue zu beauftragen. Neue Unterauftragsverarbeiter sind vom Kunden gemäß dem folgenden Prozess zu genehmigen:

2.1. Der Auftragnehmer ist verpflichtet, den Kunden mit einer Frist von mindestens zehn (10) Tagen zu informieren, bevor er neuen Unterauftragsverarbeitern den Zugriff auf die personenbezogenen Daten des Kunden gestattet.

2.2. Soweit der Kunde innerhalb dieser Frist von zehn (10) Tagen gegenüber dem Auftragnehmer keine angemessenen Einwände schriftlich mitteilt, so gilt dies als Genehmigung des neuen Unterauftragsverarbeiters, sofern der Auftragnehmer den Kunden in seiner Mitteilung über diese Konsequenz informiert hat.

2.3. Soweit der Kunde gegenüber dem Auftragnehmer Einwände erhebt, so ist der Auftragnehmer berechtigt, den Hauptvertrag mit einer Frist von zehn (10) Tagen zu kündigen, es sei denn, der Auftragnehmer entscheidet nach eigenem Ermessen, (a) die Verarbeitungsleistungen ohne den Einsatz des neuen Unterauftragsverarbeiters fortzusetzen, dem der Kunde widersprochen hat, (b) ausreichende Schritte zu unternehmen, um den im Einwand des Kunden erhobenen Bedenken zu begegnen oder (c) im Einvernehmen mit dem Kunden die Erbringung des Teils der Verarbeitungsleistungen, der den Einsatz des neuen Unterauftragsverarbeiters bedingen würde, einzustellen.

3. Wenn der Unterauftragsverarbeiter seinen Verpflichtungen nicht nachkommt, bleibt der Auftragnehmer dem Kunden gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar.

§8 Datenschutzbeauftragte

1. Name und Kontaktdaten der Ansprechpartner für den Datenschutz/Datenschutzbeauftragte beider Parteien ergeben sich aus Anhang 1 zu diesem AVV.

2. Sofern nicht ausdrücklich anders vereinbart, werden alle nach diesem AVV erforderlichen Informationen und Mitteilungen vom Auftragnehmer an den Ansprechpartner für den Datenschutz/Datenschutzbeauftragten beim Kunden schriftlich (E-Mail ausreichend) übermittelt.

§9 Berichtigung, Löschung und Einschränkung der Verarbeitung

1. Der Auftragnehmer verpflichtet sich, die Berichtigung, Löschung oder Einschränkung der Verarbeitung entsprechend der Weisungen des Kunden umzusetzen.

§10 Meldepflichten und Unterstützung des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, den Kunden unverzüglich (spätestens jedoch innerhalb von 48 Stunden) zu informieren, wenn er über eine Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt. Der Auftragnehmer ist verpflichtet (i) bei der Untersuchung einer solchen Verletzung des Schutzes personenbezogener Daten in angemessenem Umfang mit dem Kunden zusammenarbeiten, (ii) den Kunden bei seinen Meldepflichten zu Sicherheitsverletzungen nach dem anwendbaren Datenschutzrecht in angemessenem Umfang zu unterstützen und (iii) angemessene Abhilfemaßnahmen einzuleiten.

2. Der Auftragnehmer ist verpflichtet, den Kunden unverzüglich (i) über Beschwerden oder Anfragen von Betroffenen, deren personenbezogene Daten gemäß diesem AVV verarbeitet werden (z.B. hinsichtlich der Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten) oder (ii) über Anordnungen oder Anfragen einer zuständigen Aufsichtsbehörde oder eines Gerichts zu informieren.

3. Auf Wunsch des Kunden wird der Auftragnehmer den Kunden in angemessenem Umfang bei der

3.1. Behandlung von Beschwerden, Anfragen oder Anweisungen gemäß §10.2 und

3.2. Erfüllung der Verpflichtungen aus dem anwendbaren Datenschutzrecht unterstützen.

Diese Unterstützung erfolgt auf Kosten des Kunden und wird von diesem auf Basis der aufgewendeten Zeit und des aufgewendeten Materials vergütet, außer im Falle einer schuldhaften Verursachung durch den Auftragnehmer.

§11 Audits

1. Der Kunde ist nach Maßgabe der folgenden §§ 11.2 und 11.3 berechtigt, die Einhaltung der in dieser AVV festgelegten Pflichten zum Schutz personenbezogener Daten (insbesondere im Hinblick auf die technischen und organisatorischen Maßnahmen) durch den Auftragnehmer oder Unterauftragsverarbeiter in jährlichen Abständen und anlassbezogen zu überprüfen, wobei diese Prüfungen auf die Informationen und Datenverarbeitungssysteme beschränkt sind, die für die Erbringung der Verarbeitungsleistungen relevant sind.

2. Soweit der Auftragnehmer und Unterauftragsverarbeiter für die Verarbeitungsleistungen Zertifizierungen durchführen und regelmäßige Prüfberichte erstellen, sind zur Ausübung der Kontrollrechte nach dieser AVV zunächst diese Zertifizierungen und Prüfberichte zu verwenden. Auf Verlangen des Kunden stellt der Auftragnehmer (i) die entsprechenden Auszüge aus den Prüfberichten und (ii) die Informationen und Unterlagen zu den für die Verarbeitungsleistungen vorhandenen Zertifizierungen zur Verfügung. Die zur Verfügung gestellten Prüfberichte, Informationen und Unterlagen sind vertrauliche Informationen des Auftragnehmers.

3. Nur wenn die Zertifizierungen und Prüfberichte für den Kunden nicht ausreichen, um die Anforderungen an Audits und Kontrollen nach anwendbarem Datenschutzrecht einzuhalten, hat der Kunde das Recht, auf eigene Kosten (i) zusätzliche Informationen und Unterlagen anzufordern oder (ii) nach vorheriger Mitteilung mit einer angemessenen Frist eine weitergehende Prüfung den für die verarbeiteten personenbezogenen Daten relevanten Bereich und der Sicherheitspraktiken des Auftragnehmers vorzunehmen, wobei die Betriebsabläufe des Auftragnehmers hierdurch nicht gestört werden dürfen und die Prüfung im Einklang mit den Sicherheitsrichtlinien des Auftragnehmers und dem anwendbaren Datenschutzrecht zu erfolgen hat.

§12 Beendigung und Kündigung

1. Dieser AVV hat die gleiche Laufzeit wie der Hauptvertrag. Nach Beendigung des AVV wird der Auftragnehmer, sofern zwischen den Parteien nichts anderes vereinbart ist, alle personenbezogenen Daten, die ihm im Rahmen der Verarbeitungsleistungen vom Kunden zur Verfügung gestellt wurden oder die er im Auftrag des Kunden erhalten oder erzeugt hat, innerhalb der im Hauptvertrag genannten Frist löschen. Die Löschung ist vom Auftragnehmer auf Verlangen schriftlich zu bestätigen.

Ort, Datum

Unterschrift des Vertreters

Name und Titel

Ort, Datum

Unterschrift des Vertreters

Name und Titel

ANHANG 1: Konkretisierung der Verarbeitungsleistungen und Ansprechpartner

1. Verarbeitungsleistungen

Betroffene:

Mitarbeiter und Freiberufler des Kunden

Datenkategorien:

Personenstammdaten, Mitarbeiterqualifikationen, Kontaktdaten (z.B. Telefonnummer, E-Mail-Adresse), Planungs- und Steuerungsdaten sowie Trainingsfortschritt

Besondere Kategorien personenbezogener Daten:

-/-

Zweck der Verarbeitung:

Ist im Hauptvertrag näher definiert und umfasst die Bereitstellung von Onlinediensten für die Personaleinsatzplanung und/oder E-Learnings.

Dauer der Verarbeitung:

Entspricht dem Hauptvertrag

2. Ansprechpartner

Ansprechpartner beim Auftragnehmer:

Frank Trautmann, Datenschutzbeauftragter
E-Mail: privacy@invision.de

Ansprechpartner beim Kunden:

Name, Position:
E-Mail:

ANHANG 2: Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

In diesem Abschnitt werden die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (die „Maßnahmen“) beschrieben, die der Auftragnehmer im Zusammenhang mit der von ihm durchgeführten Verarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen mindestens ergreift.

Soweit im zugrunde liegenden Hauptvertrag andere oder besondere Maßnahmen vereinbart sind, so gelten diese anstelle oder zusätzlich zu den in diesem Dokument beschriebenen Maßnahmen.

I. Basismaßnahmen

Die Basismaßnahmen gewährleisten den Schutz der Vertraulichkeit und die Integrität der Systeme, mit denen der Auftragnehmer personenbezogene Daten verarbeitet. Diese Maßnahmen gelten für alle vom Auftragnehmer durchgeführten Verarbeitungen, sofern im zugrunde liegenden Hauptvertrag nichts anderes vereinbart ist.

1. Interne Betriebsorganisation

Der Auftragnehmer hat einen betrieblichen Datenschutzbeauftragten ernannt. Alle Mitarbeiter und Dienstleister des Auftragnehmers, die Zugang zu personenbezogenen Daten haben, sind verpflichtet, diese Daten nur nach Anweisung und ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen zu verarbeiten. Die Mitarbeiter des Auftragnehmers werden durch separate Schulungen für die Themen Datenschutz und IT-Sicherheit sensibilisiert.

2. Schutz vor unbefugtem Zutritt

Der Zutritt zum Bürogebäude des Auftragnehmers ist durch ein elektronisches Zutritts-/Einbruchmeldesystem gesichert. Nur Personen, die über einen entsprechend berechtigten Token verfügen, erhalten Zutritt zum Gebäude und zu den einzelnen Bereichen. Außerhalb der Bürozeiten ist das Bürogebäude darüber hinaus durch eine Einbruchmeldeanlage gesichert und wird durch einen Wachdienst kontrolliert.

Bereiche mit erhöhtem Sicherheitsbedarf, z.B. die IT-Zentrale, werden zusätzlich per Video überwacht und sind standardmäßig abgeschlossen. Es existiert eine dedizierte Schlüsselverwaltung.

Zutrittsberechtigungen ergeben sich aus den Aufgabenbereichen der Mitarbeiter und werden dediziert vergeben sowie im Falle von Veränderungen der Aufgaben unverzüglich angepasst bzw. entzogen.

3. Zugangsschutz für die eingesetzten Computer

Jeder Mitarbeiter des Auftragnehmers nutzt einen ihm zugewiesenen Computer. Für den Zugang zu seinem Computer authentifiziert sich der Mitarbeiter am Gerät durch die Eingabe seines Benutzernamens und Passwortes. Um das Schutzniveau der Computer der Mitarbeiter zusätzlich zu erhöhen, sind die Festplatten der Computer standardmäßig verschlüsselt, so dass bei Verlust oder Diebstahl keine unautorisierte Person Zugriff auf die lokalen Daten erlangen kann. Das interne Netzwerk des Auftragnehmers ist durch den Einsatz von Firewalls gegen Angriffe von außen geschützt. Der Zugang zum Produktiv-WLAN ist durch Authentifizierungsmethode nach Stand der Technik gesichert. Das Gäste-WLAN ist logisch vom Produktiv-WLAN getrennt.

4. Schutz der Daten bei Übermittlung, Transport und Fernzugriff

Es ist darauf zu achten, dass personenbezogene Daten während der elektronischen Übermittlung oder während des Transports der Daten oder der Speicherung auf Datenträgern nicht gelesen, kopiert, verändert oder entfernt werden können.

Folgende Maßnahmen kommen zum Einsatz:

Die elektronischen Kommunikationskanäle werden durch den Einsatz von geschlossenen Netzwerken und Verfahren zur Datenverschlüsselung gesichert. Im Falle des physischen Transports von Datenträgern werden bestehende, verifizierbare Transportverfahren eingesetzt, die vor unbefugtem Zugriff oder Verlust der Daten schützen. Datenträger werden in einer zum Schutz der Daten geeigneten Weise entsorgt. Fernwartungsverbindungen werden durch geeignete Verschlüsselungsverfahren geschützt.

II. Besondere Maßnahmen für Verarbeitungsleistungen, bei denen der Auftragnehmer personenbezogene Daten in IT-Systemen speichert

Diese besonderen Maßnahmen gewährleisten den Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der IT-Systeme, in denen der Auftragnehmer personenbezogene Daten speichert. Diese Maßnahmen finden Anwendung, wenn die Speicherung von Daten einen wesentlichen Bestandteil der vertraglichen Verarbeitungsleistungen des Auftragnehmers darstellt und nicht nur vorübergehend ist.

1. Schutz vor unbefugter Verarbeitung

Der Zugriff auf personenbezogene Daten in IT-Systemen erfolgt nach einem funktionsabhängigen Berechtigungskonzept („need-to-know-Prinzip“). Darüber hinaus wird der unberechtigte Zugriff auf personenbezogene Daten durch Datenverschlüsselung verhindert.

2. Sicherstellung der Rückverfolgbarkeit

Der Zugriff auf personenbezogene Daten wird mit Benutzerkennung und Zeitstempel in Protokolldateien erfasst.

3. Sicherstellung von Integrität, Verfügbarkeit und Stabilität

Der Auftragnehmer speichert personenbezogene Daten in redundanten Systemen und diese werden zusätzlich durch geeignete und regelmäßig durchgeführte Sicherungsmaßnahmen gegen Verlust geschützt. Die Verfügbarkeit der internen IT-Services wird durch ein entsprechendes Backup-Konzept gewährleistet. Restoreprozesse werden regelmäßig durchgeführt, um die Eignung der zur Verfügung stehenden Backups zu verifizieren. Der Auftragnehmer verwendet unterbrechungsfreie elektrische Energie (sog. USVs), um die Stromversorgung in seiner IT-Zentrale sicherzustellen.